Extension cuenta con profesionales pioneros en materia de seguridad y los primeros en apoyar a diferentes organizaciones chilenas en desarrollar el estándar BS 7799, experiencia que implica para sus clientes contar con la asesoría de especialistas probados en seguridad y la incorporación de las mejores prácticas en el ámbito. Actualmente, Extension, a través de su Area de Consultoría, enfrenta la seguridad con un enfoque que eleva este concepto más allá del tradicional análisis de logs o vulnerabilidades, o de antivirus e IDS, situándolo en una perspectiva estratégica dentro de cada organización, bajo las mejores prácticas de gestión de servicios TI (ITIL). Esto no sólo permite a las empresas administrar adecuadamente su seguridad para prevenir las crecientes amenazas, sino también darle un contexto estratégico y de importancia real en la toma de decisiones de alto nivel.
La reciente actualización del estándar ISO 17799 dio origen a la norma ISO 27001:2005, la última certificación del mercado para la especificación de sistemas de gestión integrados de seguridad de la información, también conocidos como ISMS. A diferencia de otras normativas, ISO 27001 no sólo incorpora más dominios de seguridad, sino que integra mecanismos que permiten a la empresa tener la información adecuada en forma precisa, sobre los diferentes eventos en materia de seguridad que la afectan. Según Alfredo González, Gerente de Consultoría de Extension, “así es posible definir claramente qué porcentaje de las políticas de seguridad está siendo cumplido y cuál no, los criterios de no cumplimiento y tomar acciones correctivas”.
Extensión asesora a las compañías en su proceso de certificación ISO 27001, para lo cual realiza un Análisis GAP y planificación posterior para mejorar los niveles de madurez, trabajando sobre los dominios más débiles, como políticas, riesgos, gestión de incidentes y seguridad física o de RRHH, entre otros.
Un aspecto fundamental para cer-tificarse bajo esta norma es que los procedimientos al interior de la empresa estén claramente definidos y documentados. Con este objetivo, como parte de sus servicios, Exten-sion plantea una serie de pasos que es necesario seguir. El primero de ellos es que el rol de los empleados que trabajan en seguridad esté claramente determinado. Luego es fundamental que cada persona, según el rol asignado, tenga responsabilidades claramente definidas. El siguiente paso, explica el ejecutivo, es definir los tipos de reportes que éstas deben realizar, qué información deben contener éstos y la forma en que se elaboran y colaboran con el resto de la organización. “Así, se va estruc-turando un sistema centralizado de gestión, donde los reportes de cada empleado generarán información en un lenguaje claro para que la alta gerencia pueda basar en ésta sus decisiones sobre seguridad”.
El control nunca debe faltar
Una vez ya concretados los pasos anteriores, es necesario contar con un mecanismo de control, vital para supervisar que efectivamente se cumplan las políticas y procedimientos definidos. Por tanto, debe haber un encargado (rol) que realice esta función. González aclara que todos estos roles no implican contratar nuevo personal, pues una persona puede realizar varias funciones, siempre y cuando éstas sean compatibles. “También es necesario designar un rol para la función de mantener y actualizar permanentemente las definiciones en seguridad de la empresa, porque no sirve tener políticas si éstas no van de la mano con los cambios del negocio”, indica.
Debe existir un rol encargado de las mejoras continuas a los procedimientos y políticas definidas, “para transformar esto en un círculo virtuoso, que permita entregar cada vez mejor calidad de información a la alta gerencia, no sólo de acuerdo a las mejores prácticas de seguridad, sino de gestión de servicios TI: ITIL”.
Finalmente, debe haber una etapa de prueba, donde la empresa demuestre que ha implementado y documentado los pasos mencionados. Y aunque ISO 27001 es un estándar nuevo, donde aún no hay empresas chilenas certificadas, los beneficios son seguros: mejora la seguridad de la empresa, pues hay una aplicabi-lidad real de los dominios y a nivel gerencial se tiene una visión global del estado de la seguridad para basar las decisiones estratégicas.
