En Diciembre del 2000 se introdujo la normativa ISO 17799, que involucra una serie de prácticas que garantizan el correcto manejo de los datos. Para conocer en detalle este estándar, las 10 áreas de control que propone y las ventajas que implica para el mundo empresarial, conversamos con uno de sus impulsores, Vernon Poole, Director de la División de Riesgos Empresariales de Deloitte & Touche.
¿Por qué una compañía debe preocuparse por la seguridad de sus sistemas de información?
El costo de la falta de seguridad para una empresa es real y se ha in-crementado con la globalización y el e-Business. Por otra parte, lamentablemente, los atentados del 11 de Septiembre del año pasado también han creado una mayor preocupación por la continuidad del negocio, pues hoy la seguridad no es una certeza. Asimismo, así como hay muchas amenazas externas que son un peligro real sobre la capacidad para proveer un servicio confiable, hay varias encuestas que revelan que muchas fallas operacionales se deben a una falta de conciencia dentro de la compañía. Entonces, hay varios aspectos por los que la seguridad de la información puede ser valorada como una preocupación empresarial y existe la necesidad de medirse contra un estándar aceptado, lo que ha hecho que la demanda por un conjunto de «mejores prácticas globales» haya crecido bastante, tanto en la comunidad de negocios como a nivel de Gobierno.
¿En qué consiste el estándar ISO 17799?
El problema siempre ha sido que se habla demasiado sobre tecnología y no lo suficiente sobre las consecuencias para el negocio, por lo que este es un marco de referencia, una recomendación de prácticas exitosas de seguridad que toda organización puede aplicar independientemente de su tamaño o sector y que permite establecer un diálogo efectivo entre los ejecutivos y el Departamento de TI. Básicamente, la ISO 17799 establece 10 áreas de control que van desde el establecimiento de una política de seguridad hasta la necesidad de educar al personal sobre lo que se espera de ellos en materia de seguridad y asuntos de confidencialidad. Además, para una organización esta certificación es un elemento diferencia-dor dentro del mercado.
¿Cómo evalúa las prácticas de seguridad de la información en la región?
Creo que la situación latinoamericana es muy similar a la española, donde hay mucha flexibilidad en la manera en que las personas operan, sin que exista una evaluación de los riesgos y de las vulnerabilidades que viven las organizaciones. Como resultado, sufren muchos accidentes. En definitiva, es importante que todos se ajusten a ciertos principios básicos y esperamos que la nueva normativa ayude a la empresa en esta tarea, sin importar en qué lugar del mundo se encuentre.
¿Cuál es su opinión sobre la legislación existente sobre el tema?
Claramente, las nuevas amenazas superan a los servicios judiciales y legales, aunque ya se están creando nuevas regulaciones sobre hacking, comercio electrónico y firma digital. De igual modo, hay que desarrollar una nueva manera de perseguir a los criminales electrónicos y obtener suficiente evidencia para procesarlos. En ese sentido, la introducción de esta norma permitió desarrollar buenos hábitos de seguridad dentro de las compañías, sin tener que esperar por la legislación, para estar más protegidos y poder conseguir más y mejor evidencia.
