En la jornada s'ha informat de l'avantprojecte pel qual es regularà el nou Esquema Nacional de Seguretat, una de les mesures urgents que el Govern ha aprovat per a evitar ciberamenaces
"Les organitzacions tenim percepció del risc que correm i del valor de la informació que tenim?", amb aquesta reflexió Miguel Ángel Vila, director general de l'Institut de Certificació (IVAC), va voler posar en valor les dades, "aqueix actiu fonamental per a qualsevol empresa i entitat". "Gran part de la informació de les organitzacions circula lliurement per la xarxa i és accessible, amb els riscos que això comporta. Però, les dades es mouen sense control també internament", ha advertit.
D'aquesta manera, ha arrancat la jornada informativa sobre dos Sistemes de Gestió de Seguretat de la Informació: la norma internacional ISO 27001 i l'Esquema Nacional de Seguretat, que ha organitzat la Fundació Parc Científic Universitat de València amb el suport de la Conselleria d'Innovació, Universitats, Ciència i Societat Digital. El principal objectiu d'aquesta trobada ha sigut abordar el procés d'implementació i certificació de tots dos SGSI.
"Les empreses focus del ciberatac són les pimes perquè són les que menys recursos destinen a la seguretat de la informació", subratlla Jorge Edo, director de Tecnologia Informàtica en Mobiliza Academy. Entre les principals mesures que han d'adoptar per a gestionar les seues dades de manera correcta, evitar ciberatacs i afegir un "valor de marca" a l'empresa, Edo considera fonamental "formar i conscienciar al personal de l'organització; aplicar polítiques i procediments de seguretat de la informació; gestionar de forma adequada els riscos; implantar els controles ISO i ENS; notificar les incidències i fallades de seguretat; protegir la privacitat; i realitzar un pla de continuïtat de negoci".
"Una vegada establit el sistema i definit l'abast que es vol certificar, comença el procés. L'entitat de certificació calcula un pressupost sobre la base del personal implicat en la gestió de la informació. Després de la recopilació de totes les dades necessàries, s'estableix la duració que tindrà l'auditoria, que mai sol ser menys de dos dies i mig. I una vegada realitzada, es presentarà un pla d'accions correctores per a aconseguir la certificació en un SGSI", detalla José Vicente Zaragozá, director tècnic en l'Institut de Certificació (IVAC).
Zaragozá ha avançat que el nou paquet de mesures urgents en matèria de ciberseguretat, aprovades pel Consell de Ministres aquest mateix dimarts, inclou l'actualització de l'Esquema Nacional de Seguretat. "Es tramitarà i aprovar un reial decret que substituirà al Reial decret 3/2010. L'avantprojecte ja pot consultar-se en la web del Ministeri d'Assumptes Econòmics i Transformació Digital", ha informat.
Treball constant i transversal
La jornada va celebrar una taula redona per a conéixer de prop l'experiència de la Universitat de València, l'Institut de Física Corpuscular, l'Autoritat Portuària de València i l'empresa ODEC en la implementació de SGSI. Javier Plaza, Delegat de Protecció de Dades de la institució acadèmica, i Fuensanta Doménech, Directora del Servei de Informàtica de la Universitat de València, han subratllat que la UV és una de les tan sols quatre universitats espanyoles acreditades pel ENS.
Sobre aquest tema, Fuensanta Doménech considera que la institució té un "repte doble". "Des del punt de vista tècnic, comptem amb l'ajuda d'una consultora. Però no ha de quedar-se ací. L'esforç ha de ser conjunt, implica a tots. La informació no està segura si les mesures no es duen a terme de principi a fi".
"Hem de caminar en un doble camí com a usuaris", ha afegit Javier Plaza: "Cal actualitzar constantment les mesures de seguretat de gestió de la informació, i al mateix temps, simplificar el procés; és a dir, que siga suportable, selectiu i útil. En definitiva, hem de garantir una major seguretat però que la gestió siga suportable".
Per part seua, José Fernández, Chief Information Security Officer (CISO) i Responsable de Compliance de l'Autoritat Portuària de València, ha explicat els motius pels quals "hui dia encara no tenim la certificació". "La maduresa de les mesures en molts casos no és la que toca. No tens un sistema d'informació, sinó fins a quatre, gestionats per directors diferents, amb pressupostos diferents. Hi ha un nivell de maduresa en la implantació de mesures molt desigual. Això fa que, per a un sistema de categoria alta, siga molt dificultós obtindre el ENS perquè cal homogeneïtzar-los. Però no tindre encara la certificació no significa que no tinguem seguretat en matèria de protecció de dades, ja que a nivell operatiu s'adopten moltes mesures".
Dedicació exclusiva
Pel que respecta a l'empresa privada, Fernando Llopis, director d'Informàtica d'ODEC - Centre de Càlcul i Aplicacions Informàtiques, S. A., indica que el projecte pilot que van dur a terme en la delegació de València ha estat clau per a extrapolar l'experiència a la resta d'oficines. "Amb l'estratègia definida, muntem un equip format per la consultora, la direcció de sistemes d'informació, l'administració de sistemes, el director de qualitat i dos tècnics de perfils de sistemes. Necessites especialistes que dediquin el dia a dia a la gestió de la seguretat de la informació". Després de cinc mesos de treball, "vam tenir una auditoria de tres dies amb un sorprenent nivell d'exigència. I, finalment, hem aconseguit la certificació en el ENS en nivell mitjà".
Finalment, Francisco Javier Albiol, investigador de l'Institut de Física Corpuscular (UV-CSIC), ha explicat que, en el seu cas particular, "estem més preocupats en què la propietat industrial que pot arribar d'un projecte, es custodia, es treballa i es guarden els secrets d'una forma consistent, perquè és una plataforma que utilitzen molts grups . Com a institut volíem demostrar fora que la nostra infraestructura opera sota el paraigua de les bones pràctiques i amb això poder atreure projectes i garantir aquest tipus de qüestions. Per això, estem en procés de certificació de l'ISO 27001. Tenim prevista la primera auditoria al juliol i la certificació esperem que a final d'any".