En la jornada se ha informado del anteproyecto por el que se regulará el nuevo Esquema Nacional de Seguridad, una de las medidas urgentes que el Gobierno ha aprobado para evitar ciberamenazas
"¿Las organizaciones tenemos percepción del riesgo que corremos y del valor de la información que tenemos?", con esta reflexión Miguel Ángel Vila, director general del Instituto de Certificación (IVAC), quiso poner en valor los datos, "ese activo fundamental para cualquier empresa y entidad". "Gran parte de la información de las organizaciones circula libremente por la red y es accesible, con los riesgos que ello conlleva. Pero, los datos se mueven sin control también internamente", ha advertido.
De este modo, ha arrancado la jornada informativa sobre dos Sistemas de Gestión de Seguridad de la Información: la norma internacional ISO 27001 y el Esquema Nacional de Seguridad, que ha organizado la Fundació Parc Científic Universitat de València con el apoyo de la Conselleria de Innovación, Universidades, Ciencia y Sociedad Digital. El principal objetivo de este encuentro ha sido abordar el proceso de implementación y certificación de ambos SGSI.
"Una vez establecido el sistema y definido el alcance que se quiere certificar, comienza el proceso. La entidad de certificación calcula un presupuesto en base al personal implicado en la gestión de la información. Tras la recopilación de todos los datos necesarios, se establece la duración que tendrá la auditoría, que nunca suele ser menos de dos días y medio. Y una vez realizada, se presentará un plan de acciones correctoras para conseguir la certificación en un SGSI", detalla José Vicente Zaragozá, director técnico en Instituto de Certificación (IVAC).
Zaragozá ha avanzado que el nuevo paquete de medidas urgentes en materia de ciberseguridad, aprobadas por el Consejo de Ministros este mismo martes, incluye la actualización del Esquema Nacional de Seguridad. "Se va a tramitar y aprobar un real decreto que sustituirá al Real Decreto 3/2010. El anteproyecto ya puede consultarse en la web del Ministerio de Asuntos Económicos y Transformación Digital", ha informado.
Trabajo constante y transversal
La jornada celebró una mesa redonda para conocer de cerca la experiencia de la Universitat de València, el Instituto de Física Corpuscular, la Autoridad Portuaria de Valencia y la empresa ODEC en la implementación de SGSI. Javier Plaza, Delegado de Protección de Datos de la institución académica, y Fuensanta Doménech, Directora del Servicio de Informática de la Universitat de València, han subrayado que la UV es una de las tan solo cuatro universidades españolas acreditadas por el ENS.
Al respecto, Fuensanta Doménech considera que la institución tiene un "reto doble". "Desde el punto de vista técnico, contamos con la ayuda de una consultora. Pero no debe quedarse ahí. El esfuerzo tiene que ser conjunto, implica a todos. La información no está segura si las medidas no se llevan a cabo de principio a fin".
"Tenemos que andar en un doble camino como usuarios", ha añadido Javier Plaza: "Hay que actualizar constantemente las medidas de seguridad de gestión de la información, y al mismo tiempo, simplificar el proceso; es decir, que sea llevadero, selectivo y útil. En definitiva, debemos garantizar una mayor seguridad pero que la gestión sea llevadera".
Por su parte, José Fernández, Chief Information Security Officer (CISO) y Responsable de Compliance de la Autoridad Portuaria de Valencia, ha explicado los motivos por los que "a día de hoy todavía no tenemos la certificación". "La madurez de las medidas en muchos casos no es la que toca. No tienes un sistema de información, sino hasta 4, gestionados por directores distintos, con presupuestos distintos. Hay un nivel de madurez en la implantación de medidas muy desigual. Eso hace que, para un sistema de categoría alta, sea muy dificultoso obtener el ENS porque hay que homogeneizarlos. Pero no tener todavía la certificación no significa que no tengamos seguridad en materia de protección de datos, ya que a nivel operativo se adoptan muchas medidas".
Dedicación exclusiva
Por lo que respecta a la empresa privada, Fernando Llopis, director de Informática de ODEC - Centro de Cálculo y Aplicaciones Informáticas, S.A., indica que el proyecto piloto que llevaron a cabo en la delegación de Valencia ha sido clave para extrapolar la experiencia al resto de oficinas. "Con la estrategia definida, montamos un equipo formado por la consultora, la dirección de sistemas de información, la administración de sistemas, el director de calidad y dos técnicos de perfiles de sistemas. Necesitas especialistas que dediquen el día a día a la gestión de la seguridad de la información". Tras cinco meses de trabajo, "tuvimos una auditoría de tres días con un sorprendente nivel de exigencia. Y, finalmente, hemos conseguido la certificación en el ENS en nivel medio".
Por último, Francisco Javier Albiol, investigador del Instituto de Física Corpuscular (UV-CSIC), ha explicado que, en su caso particular, "estamos más preocupados en que la propiedad industrial que puede llegar de un proyecto, se custodia, se trabaja y se guardan los secretos de una forma consistente, porque es una plataforma que utilizan muchos grupos . Como instituto queríamos demostrar fuera que nuestra infraestructura opera bajo el paraguas de las buenas prácticas y con ello poder atraer proyectos y garantizar este tipo de cuestiones. Por ello, estamos en proceso de certificación de la ISO 27001. Tenemos prevista la primera auditoría en julio y la certificación esperamos que a final de año".