DAR VALOR AÑADIDO A LA SEGURIDAD


Todos los responsables de seguridad nos hemos encontrado con la dicotomía del servicio versus seguridad a la hora de tomar una decisión. En la mayoría de los casos, siempre han salido victoriosas las necesidades de servicio frente a las propuestas de seguridad, principalmente porque se alineaban mejor con los objetivos (a corto plazo) del negocio.
Frases tales como “la seguridad no aporta ningún valor” o “la seguridad es un estorbo en mi trabajo diario” han sido escuchadas por todos nosotros en todos los estamentos de la compañía, desde un trabajador cualquiera a un miembro del equipo de dirección. Esto no hace sino más difícil la implantación de soluciones de seguridad. Pero poco a poco esta tendencia está cambiando.
Casimiro Juanes
Responsable de Seguridad
Informática en EMEA
Dirección de IT Corporativa
Casimiro.juanes@ericsson.com
ERICSSON

Desde hace unos años han comenzado una serie de iniciativas que están dando más visibilidad e importancia a la seguridad en el entorno corporativo, así como mayor nivel presupuestario al área de seguridad. Es el momento de aprovechar estas nuevas inquietudes o incluso requerimientos legales para darle a la seguridad la relevancia que debería tener en nuestras empresas.
En Ericsson, las iniciativas que ahora mismo están teniendo más peso a nivel corporativo son dos; una ofrece ventajas competitivas y oportunidades de negocio, mientras que la otra surge de un requerimiento legal en el área de control financiero.
La primera de dichas iniciativas ha sido la definición de unos estándares de seguridad a los que todos podamos atenernos y contra los cuales podamos certificar que nuestro modelo de gestión de la seguridad es el adecuado, el por todos conocido BS 7799 que ha generado igualmente la ISO 17799.
En Ericsson España existe una unidad de diseño en el área de Investigación y Desarrollo que ha obtenido la certificación BS 7799 por el BSI. Esta unidad ha sido pionera en España y en nuestra compañía, obteniendo en 1999 un certificado por muchos aún desconocido.
Lo que surgió como requerimiento de un cliente concreto ha sido finalmente una oportunidad de negocio para demostrar el manejo de forma segura de información altamente sensible para los operadores. Esta certificación ha abierto nuevas puertas y ha demostrado ser una gran ventaja competitiva respecto a otras compañías.
A nivel global, se han iniciado dos grandes proyectos relacionados con este estándar. Por un lado, la definición de un marco base que pueda ser implementado eficazmente en las diferentes unidades donde la certificación BS 7799 pueda ser un diferencial de negocio, en áreas críticas tales como el diseño de algoritmos de cifrado para redes móviles, Lawful Interception, unidades de trabajo con Defensa ... En estas áreas, es fundamental demostrar que se pueden ofrecer entornos altamente seguros para el tratamiento de información crítica para el cliente, y de esta forma se demuestra fácilmente.
Por otro lado, tenemos el objetivo de alinear las directivas, los procesos y la red interna con la ISO 17799, aunque esto no implica en esta fase inicial la certificación (BSI, como entidad certificadora, no realiza certificaciones globales sino de entornos más limitados física y lógicamente, y no cumpliría nuestro objetivo).
La segunda iniciativa a la que nos referimos ha surgido en Estados Unidos, y es una ley que va a marcar un antes y un después en la gestión financiera de las compañías, y por ende en toda la estructura de información financiera de la compañía. Nos referimos, naturalmente, a la denominada Sarbanes-Oxley Act (SOX), surgida como respuesta a la necesidad de mejorar el control financiero de las compañías. De esta forma se pretende evitar escándalos financieros como los ocurridos con Enron o Worldcom.
Esta ley requiere implementar en los procesos financieros un modelo de Gobierno corporativo, y propone como estándar el descrito por COSO (The Committee of Sponsoring Organizations of the Treadway Commission) para los controles financieros, y el de CobiT (Control Objectives for Information and Related Technology) para los controles de IT. En general, se trata de hacer obligatorio el uso de lo que hasta ahora eran únicamente “buenas prácticas” de gobierno corporativo.

Podemos usar los requerimientos legales de SOX para poner en orden proyectos de control interno de la seguridad en nuestras corporaciones; este es el gran valor que esta ley puede tener para los departamentos de seguridad

Esto implica la reestructuración de procesos y organización, el establecimiento y la documentación de controles internos y su posterior monitorización, y la documentación y control de desviaciones. La ley es aplicable a todas las empresas que operen y/o coticen en el mercado estadounidense. Entre dichas empresas se encuentra Ericsson, así como muchas otras que actualmente operen en el mercado español.
En Ericsson se han iniciado varios proyectos para cumplimiento de SOX en el tiempo estipulado, antes de finales de 2005. Aparte de los proyectos puramente financieros o de organización y procesos, hay dos de ellos que están liderados por el área de seguridad de la información.
SOX requiere de los CEOs y CFOs que aseguren personalmente que los datos financieros son ciertos y que existen controles internos que así lo atestiguen. Por tanto, SOX es una ley que afecta primordialmente al mantenimiento de la integridad y, de forma secundaria, a la disponibilidad de los mismos. Los dos proyectos iniciados en el área de seguridad tienen esos objetivos.
Por un lado, estamos en fase de implementación de un proyecto para el mayor control en la asignación de roles y autorizaciones de acceso a información financiera, que primordialmente se encuentra en nuestra compañía en un entorno SAP R/3 global. A diferencia del modelo actual, muy descentralizado, se está optando por un modelo de roles globales, con el que es más sencillo comprobar los controles existentes y el acceso a la información financiera.
Por otro lado, estamos liderando un proyecto de instalación de controles generales en los servicios e infraestructuras IT que estén siendo usados en los procesos financieros, incluyendo por supuesto la plataforma SAP R/3.
Podemos usar los requerimientos legales de SOX para poner en orden proyectos de control interno de la seguridad en nuestras corporaciones. Este es el gran valor que esta ley puede tener para los departamentos de seguridad. También es verdad que parte del proyecto SOX deberá ser la concienciación de los empleados de acceder tan solo a la información que deban usar para su trabajo, algo difícil para los latinos.
Aunque esta ley pueda parecer lejana para muchas empresas, han comenzado iniciativas para realizar una directiva europea similar a SOX, por lo que tarde o temprano procesos similares tendrán que realizarse en todas las empresas.
Como mensaje principal, me gustaría remarcar que los responsables de seguridad debemos estar atentos a las oportunidades que se nos presentan para dar mayor visibilidad e importancia a nuestro trabajo. No dejemos escapar esta oportunidad para poder realizar cambios que consideramos críticos en nuestras empresas, posicionarnos en el lugar que nos corresponde, y, para qué negarlo, poder tener acceso a parte de ese presupuesto que casi siempre tenemos vetado.


Documento en PDF
 

<volver