El Encuentro E-TIC celebrado en el pasado mes de abril, dedicado a seguridad de la información, ha sido extraordinariamente participativo. Si algo destacaría, no es ninguna de las ponencias, que han sido muy positivas y de alto nivel técnico, lo que destacaría es la intervención del público. Como ponente “muchas gracias estimado público”.Desgraciadamente el debate quedó abierto, tanto en Sevilla como en Málaga, pues la agenda no permitía continuar las mesas redondas en las que se plantearon cuestiones de mucho interés.
De entre todas quisiera resaltar las que se refirieron a las dificultades de la implantación y mantenimiento de un SGSI en las organizaciones, fundamentalmente en las PYMES. Con ellas se demostró que los SGSI están en las miras de las empresas y entidades, pero que estas no terminan de decidirse, en gran medida por cierto desconocimiento y temor a quedarse “colgados” en un proyecto interminable.
Las principales dificultades: la concienciación y formación, particularmente del personal en los procesos de gestión del sistema, y en general en materia de seguridad, el mantenimiento posterior al primer año de vida del sistema, cuando ya los consultores y especialistas que han asistido a la implantación dejan sola a la organización, el coste unido a la dificultad de medir un retorno de la inversión, hacen que llegar a tener un SGSI se perciba mas como un problema que como una solución.
Un SGSI cuesta implantarlo, mas en organizaciones pequeñas, pero estas pueden contar con ayudas económicas y con consultorías especializadas que le ayudarán en el proceso, incluso las entidades certificadoras “entenderán” que el sistema es inmaduro y apoyarán a la entidad premiándola con el ansiado trofeo, el “certificado”, todo vale para el primer año, digamos que es cuestión de dinero.
Después el cuento es otro, el mantenimiento, me mojo, puede implicar sobre unas mil ochocientas horas de trabajo en una PYME de unos veinticinco empleados. La concienciación y formación de los empleados es esencial y nos obliga día a día, hay que operar el SGSI (esto es gestionar) y hay que operar los controles establecidos (esto es controlar), y por último a menudo los técnicos implicados tienen que convencer de continuo a su dirección corporativa.
Todo esto y mucho más quedo dicho en el E-TIC, junto a las ventajas que la organización obtiene al contar con un SGSI: supone un extraordinario crecimiento en la madurez de la gestión en la organización aumentando su supervivencia, permite incrementar la competencia al cumplir exigencias del mercado, mantiene a salvo la organización ante peligros y contingencias, extiende la confianza de los demás en la organización, facilita a la gerencia el cumplimiento legal, …
Vistas las dificultades, (sobre todo el mantenimiento del SGSI), y vistas las ventajas, la pregunta surgió en el debate, blanco y en botella…, ¿qué se puede externalizar?, ¿cómo pueden ayudar terceras partes, consultores y especialistas, empresas de servicios, a gestionar la seguridad de la información en el mantenimiento del SGSI de una corporación que lo demande? Pues yo tengo mis ideas, pero aquí dejo el debate abierto.
José Antonio Castilla
Experto en Seguridad IT. CISA.CGEIT
Avante Formación
Puzzle Bobble
Karate Blazers
Puzzle De Bloques
Magical Cat Adventure