22/6/06

Telefónica Empresas tiene ya su SGSI con la norma ISO 27001

Aunque la noticia no es de hoy, la tenía pendiente para comentar. En la Revista SIC de este mes aparece un folleto interno en donde se indica que Telefónica Empresas ha adaptado y certificado el "Sistema de gestión de seguridad de la información de aplicación en sus centros de datos gestionados (CDG) y servicios) contra la norma ISO 27001.

Aunque de estos sistemas lo más importante es ver en concreto el alcance de la certificación, me parece digno de destacar que efectivamente Telefónica predica con el ejemplo, dado que ha decidido certificar el centro de datos que da servicios a empresas. Como proveedor ha querido acreditar con este sello que dispone de un sistema de gestión orientado a proporcionar la máxima seguridad de la información a sus clientes.

Ello, no debemos confundirnos, no significa que nunca vaya a pasarles nada. Simplemente han apostado por un marco de gestión para abordar la seguridad y por tanto, el primer paso ha sido identificar los mayores riesgos potenciales para ahora y poco a poco ir reduciendolos, evitarlos o transferirlos a terceros.

Aunque no he encontrado una nota de prensa en el portal español, si aparece en el siguiente enlace.

¿Qué gana con esto Telefónica Empresas?
Yo creo que mucho por dos motivos:
- En primer lugar, se autoimpone una filosofía de gestión para la parte de servicios quizás más delicada, que es la de servicios de proceso de datos a terceros cuyo objetivo es ganarse la confianza de los clientes en base a pruebas y registros de las actividades de seguridad que desarrollan a diario.

- Por otro, puede permitir que cualquier empresa que albergue sus sistemas de información dentro de sus centros, se beneficien de este sistema de gestión, dado que si el outsourcer te garantiza seguridad, el esfuerzo para la empresa propietaria de los datos para implantar el SGSI se reduce a cubrir todos los procesos que no están subcontratados.

El pensar que algo es más seguro porque tenga el sello ISO 27001 es ya otro debate en el que por ahora prefiero no entrar. Para alguien como yo que lleva creyendo en que la "GESTIÓN" de la seguridad iba a llegar a donde está llegando, es muy importante ver como las empresas de mayor prestigio creen en que la seguridad se gestiona, al igual que la satisfacción del cliente.

Como la seguridad al 100% no existe, al menos empezar a andar por un camino que busca llegar a conseguirlo es mejor que pensar que como nada se puede hacer, mejor esperar a tener suerte y que nunca pase nada.

Los primeros, en caso de incidente, podrán saber que ha podido fallar, que elementos no se contemplaron y aprenderán de ello. Los segundos no podrán aprender nada del incidente porque nada hicieron para evitarlo. Como mucho pondrán solución a la amenaza ya materializada sin saber si es lo único que pudiera pasarles y se quedarán simplemente esperando a no tener tan mala suerte.

5 comentarios:

Anónimo dijo...

Estimado Javier:

Somos Javier Ruiz y Agustín López de www.iso27000.es.

Totalmente de acuerdo con tus opiniones en cuanto a esta noticia. Sin embargo, sí quisiéramos aportar algunos datos que hemos obtenido en la tercera sesión de los Foros Fast 2006 de Dintel y la jornada de ISO 27001 de Nexus en Málaga.

Al igual que tú, al intentar buscar en su día más información sobre la noticia para publicarla, no pudimos encontrar nada definitivo que nos lo confirmase. La nota de prensa que mencionas es referente a la certificación de Telefónica Empresas Perú (certificada por Bureau Veritas Reino Unido), que se convierte así en la primera empresa de ese país en estar certificada (comprobable en http://www.iso27001certificates.com, donde se pueden buscar las certificaciones por países; mejor con Internet Explorer, porque Firefox a veces no muestra los resultados).

Sin embargo, la noticia de tu blog es la de la certificación del Centro de Datos Gestionado de Telefónica Soluciones en Tres Cantos (Madrid). La implantación de ISO 27001 en este centro ha sido auditada por APPLUS+ (http://www.applus.com/esp/documentos/noticias/esp/Clip-APPLUS-12-06-2006-7.pdf) y aquí es donde surgen algunas confusiones.

Al buscar las empresas españolas certificadas en http://www.iso27001certificates.com, no aparece Telefónica y sí Izempe, como primera empresa certificada en ISO 27001 (las demás lo están todavía en BS7799-2, hasta que hagan su recertificación; Nextel, por ejemplo, lo hará a principios de Julio). Esto se debe a que no hay todavía ninguna certificadora española acreditada para certificar ISO 27001, fundamentalmente porque ENAC (Entidad Nacional de Acreditación) no ha establecido aún el procedimiento de acreditación de las mismas (están en ello en el comité que lo trata, pero pasarán aún unos meses).

Es decir, que cualquier empresa española que desee certificarse en ISO 27001 y figurar con reconocimiento internacional como certificada, deberá ser auditada, por ahora, por una entidad extranjera que esté acreditada. APPLUS+ aún no lo está, por los motivos mencionados, y por eso Telefónica no aparece en el listado de empresas españolas certificadas y sí Izempe (certificada por BSI Reino Unido).

Eso, por supuesto, no quita ningún mérito a la implantación de la norma en Telefónica Soluciones España que, por su influencia en el mundo empresarial, marcará un camino a seguir para las grandes corporaciones. De hecho, hay otras divisiones de Telefónica que están finalizando también la implantación de la norma, lo que demuestra la seriedad con la que se toman el tema. Además, la auditoría fue llevada a cabo por un auditor de reconocido prestigio y larga trayectoria en el área de SGSIs.

Javier Cao Avellaneda dijo...

Muchas gracias por el clarificador comentario. Yo también estaba extrañado por la ausencia dentro de la Web ISo27000certificates.com de Telefónica.

Es más, la noticia la obtuve de la revista SIC pero también me extraño que algo tan importante no tuviera cobertura en la Web de Telefónica. Tuve que postear la nota de prensa del portal peruano porque no conseguí encontarla entre las notas de prensa del portal español.

Mi agradecimiento por haber aclarado con vuestro comentario el tema.
Un saludo

Anónimo dijo...

De cara la rigurosidad sería bueno que tuvierais en cuenta varias cuestiones:

La primera empresa en España en lograr la certificación de seguridad ISO 27001 es IZENPE, Autoridad de Certificación Digital con sede en Vitoria-Gasteiz.

De hecho, y según he podido saber de buenas fuentes, esta empresa vasca dedicada a la firma digital va a presentar dicha certificación en sociedad este mismo jueves en Bilbao.

La empresa certificadora ha sido BSI, avalada por UKAS y con más de cien años de historia.

A cada uno lo suyo, IZENPE es infinitamente más pequeña que TELEFÓNICA pero, no sé a vosotros, gratifica el hecho de que los pequeños tienen tanto interés por estar en vanguardia como los grandes.

Saludos.

Javier Cao Avellaneda dijo...

En respuesta a los comentarios que me habéis estado haciendo, he modificado el texto del post sustituyendo la frase donde se indica que "Telefónica Empresas ha sido la primera empresa española" por simplemente que "Telefónica Empresas ha adaptado y certificado el "Sistema de gestión de seguridad de la información de aplicación en sus centros de datos gestionados (CDG) y servicios) contra la norma ISO 27001."

Había copiado literalmente la frase aparecida en el folleto de la Revista SIC aunque por vuestros comentarios no parece correcto lo que ahí se dice. Aunque la cuestión de quien ha sido el primero es superficial, también hemos de reconocer que por esta filosofía se viene apostando desde las empresas pequeñas desde hace tiempo y si Izempe o Nextel han sido las primeras es justo que así les sea reconocido.

La buena noticia es que grandes corporaciones que apuesten por este tipo de certificaciones traerán como efectos colaterales que exigirán a sus proveedores también dicha certificación y ello generará seguro que inercia en el mercado.
Creo que lo que ahora debe a todos los profesionales que nos dedicamos a esto importarnos es no trivializar el sentido del certificado ISO27001 y que todos colaboremos en desempeñar un trabajo serio a la hora de construir e implantar este tipo de sistemas de gestión.

. dijo...

Hola a todos, Javieres, Agustín, Romeu ...

Hace ya tiempo que posteé en otros sites que se hicieron eco de la noticia la casuística de la misma ... el tema Perú, etc.

La verdad es que hay que felicitar a todos por el logro que supone llevar un SGSI a certificación. Partiendo de esta base, el trabajo realizado por Nextel e IZENPE requiere un análisis un poco más pausado. Ya lo hablaba tanto el miércoles como el jueves con Agustín Lerma de Nextel. Llevar a la certificación a IZENPE, independientemente de su tamaño, es un logro a destacar dentro de la Sociedad de la Información actual. Nextel no es una de las consultoras denominadas 'grandes' (perteneciente a las 4, quiero decir, pues es una organización bastante más grande que un elevado porcentaje de consultoras que están en el mercado), ni IZENPE es Telefónica. Eso es lo destacable del logro. Romeu viene a hablar de una especie de revolución de los pequeños, la cual debe ser más que valorada.

Nextel, al margen de otros servicios relacionados con la ingeniería telemática, viene impulsando desde hace tiempo la rama de Gestión de Seguridad de la Información. Mil y un cabezazos se habrán dado en el camino hacia la implantación de su sistema de gestión y su posterior certificación, como etapa anterior a la realización de servicios de consultoría como actualmente realizan.

Debe alegrarnos a todo que, tras los pasos realizados desde el inicio de esta línea de negocio, una empresa consultora pueda salir vinculada a este tipo de noticias pues es significado de un trabajo bien hecho.

Ahora, naturalmente queda en manos de IZENPE el uso y el mantenimiento de su SGSI. Eso son consideraciones adicionales. Por mi parte, lo que puedo decir es que felicito a ambas organizaciones por el logro, tanto a Nextel como a Izenpe, al margen de a Telefónica o de cualquier otra empresa que decida implantar un Sistema de Gestión de este tipo.