Jornada informativa sobre seguridad de la informacion y la certificación ISO 27001

Organizado por Applus+ e ITGlobal hoy 11 nov de 2009, he compartido como ponente una interesante jornada dirigida a profesionales. La sesión comenzó con la intervención de José Barrantes, Gerente de operaciones de zona Noroeste de Applus+, seguidamente David García Collado director de IT Global nos explicó las líneas de actuación de esta compañía IT en el ámbito de la seguridad.

Seguidamente dimos paso a Rodolfo Tesone de ITGlobal, para explicar a través de un excelente presentacion las bondades de implantar un sistema de gestión que garantice la seguridad de la información en la empresa. El SGSI se implanta sobre las actividades que requieran una securización de la información que tratan, enfocado al negocio. La continuidad de mi negocio. La familia de normas ISO 2700, nos permiten poder crear un sistema de trabajo en la organización, que permita gestionar de forma adecuada los riesgos y los posibles incidentes, y de esta maneras estar bien preparados a posibles incidentes de seguridad.

Por mi parte, como auditor jefe ISO 27001 explicamos el proceso de certificación, paso posterior a la implantación de un SGSI . En que consiste la auditoría de certificación, que pasos tiene y como una empresa debe estar preparada para poder conseguir esta certificación. Explicamos también que España es actualmente el noveno pais del mundo en número de certificaciones ISO 27001 lo que la hace situarse en un punto relevante en la innovación de la gestión tecnológica. Destacamos las claves de éxito para la certificación: 1. alcance adecuado. 2 Análisis de riesgos, 3.Gestión y 4 Personas

En las sesiones de preguntas se resaltó el hecho de que debe ser la dirección de las organizaciones quien debe estar más concienciado sobre el tema, pues a menudo la gestión no se ve como un beneficio para las empresas sino como un gasto sin retorno de la inversión. Otras preguntas de los asistentes fueron en la dirección de como acometer auditorías conjuntas con ISO 9001, sobre tiempos y el alcance del sistema de gestión.

En los comentarios de este artículo, invitado a los asistentes que lo consultaran, podéis dejar las obersaciones y preguntas que creais oportunas. Muy gustosamente os las responderé

Marketing fase cero. El storyboard de una nueva empresa..

¿Qué ejercicio de marketing puede haber mejor que hacer nacer un nuevo proyecto empresarial?. Estos días estoy trabajando en el plan de negocio y estrategia para una pequeña aventura profesional: IT360. La experiencia es francamente positiva y el blog me permite guardar en estas líneas esta primera impresión que guardo como una foto . Esta sensación de hoy servirá de recuerdo de la empresa, es por eso un storyboard, como un primer dibujo de una, espero, gran película. De esta manera, el blog se comporta como cuaderno de bitácora, en un diario empresarial donde se van dejando snapshots de lo que vamos desarrollando. Un día leeremos este post y nos reiremos un poco de nuestro próximo pasado, es como ver un álbum de fotos en blanco y negro …

IT 360º pretende ser una consultora especializada en dirección de proyectos I+D+I. El tag-line «Estrategia 2.0 en proyectos tecnológicos I+D+I» representa el espíritu del proyecto: Una metodologia de consultoría para hacer llegar la tecnología mucho más fácil a las personas, tanto empleados de las empresas que a menudo los cambios tecnológicos suponen pasos atrás, como para los clientes, donde los proyectos innovadores a menudo no son identificados correctamente desde el comienzo y poco o mal comunicados una vez desarrollados. Esta visión de 360 º siempre debe estar alineada con los procesos de la empresa.

En IT 360º realizaremos dirección de proyectos tecnológicos I+D+i, consultoría de IT Government (ISO 27001 e ISO 20000-ITIL) y formación tecnológica avanzada en diversas materias. Podrás encontrarnos en www.IT360.es

Quería compartir los primeros pasos del proyecto, con el logo y el boceto del website.

ISO 27799:2008, un paso más en la Seguridad de la Información del sector sanitario

En el sector sanitario en este momento nadie debería tener ninguna duda sobre  la necesidad de implantar un PLAN DIRECTOR DE SEGURIDAD. Debería ser una premisa en el IT Government de un centro sanitario, tanto público como privado.

Para conseguir este hito, como decimos los que trabajamos con normas ISO, está ya “todo inventado”.  En este caso, el número a estudiar se llama 27001

El amplio concepto de la seguridad no sólo comprende la parte tecnológica sino la organizacional, el marco jurídico y sobre todo la gestión. En este sentido es más que útil conocer con detalle las familia de norma ISO 27000,encabezadas por  ISO 27001 que nos marca los requerimientos para implantar un SGSI, y tener así un sistema de trabajo y gestión para poder acometer esta cambiante y dificil disciplina de la seguridad

Para el sector sanitario tenemos una muy buena noticia, la norma ISO 27799 aparecida en 2008, parece estar teniendo buena acogida en los profesionales de este sector y ya es una lectura obligada para los profesionales y consultores que trabajen en este tipo de organizaciones. ISO 27799 ha sido creada contemplando las mejores prácticas llevadas a cabo en diversos centros de atención primaria, en clínicas, por equipos de atención domiciliaria, en hospitales, en consultas de especialistas, etc… con la única finalidad de incorporar una aproximación a la realidad de los problemas que actualmente existen y de cómo gestionarlos.

Fuente:ISO/IEC 27000.Elaboración propia del autor.

La SEGURIDAD DE LA INFORMACIÓN EN SANIDAD

Seguridad de la información es la suma de tres conceptos:

CONFIDENCIALIDAD+INTEGRIDAD+DISPONIBILIDAD

• Proteger la confidencialidad se hace obligatorio, puesto que los datos personales referentes a la salud deben de ser tratados con el nivel más alto de protección. En esta variable conviene recordar que existen mayores riesgos cuando la información no está informatizada
• Por otra parte, es indispensable mantener la integridad de la información médico-sanitaria, para garantizar la seguridad de los pacientes,
• Por último, la disponibilidad de información referente a la salud también es fundamental para la eficacia de la prestación de servicios médicos. Los sistemas informáticos sanitarios deben de cumplir con la única premisa de permanecer en funcionamiento tanto en situaciones de desastre natural, como en  fallos del sistema o durante eventuales ataques de denegación de servicio.

En el sector sanidad la integridad y disponibilidad de una historia clínica es mucho más importante que la confidencialidad. La falta de integridad o disponibilidad de datos sanitarios en una historia clínica puede llegar a suponer la pérdida de vidas humanas

¿POR QUÉ GESTIÓNAR LA SEGURIDAD?

Gran reto tenemos los consultores para convencer a nuestros clientes y a nuestro equipo de trabajo que “apagando fuegos con jeringuillas no se extingue un incendio”. Se me ocurre juntar una serie de frases, “tagueando experiencias” para poder explicar lo que significa gestionar la seguridad:

“ gestionar el trabajo de proveedores, marcar pautas y procedimientos, no dejarse agujeros, desarrollar software de manera ordenada, trabajar en equipo, actuar ante incidencias, gestionar adecuadamente un problema, aprender de los errores, contratar a gente válida, transmitir obligaciones según los roles, hacer que la seguridad sea más fácil y transparente al usuario, no volver a cometer los mismos errores, sensibilizar a los usuarios, pedir responsabilidad a la dirección, saber cuanto cuesta la seguridad, preveer los problemas, crear metodología de trabajo, mejorar…”

La mejor manera de “Gestionar la seguridad” es implantar un SGSI, un sistema de gestión de seguridad de la información e ISO 27001 y su familia de normas nos proporcionan este marco de trabajo

ISO 27799:2008

La norma no es nueva. Desde 2003 ya viene trabajando el grupo de trabajo TC215 WG4 y desde finales de 2006 la norma ya era pública en la comunidad científica

La norma ISO 27799:2008 especifica para el ámbito sanitario define las directrices que pueden apoyar la interpretación y la aplicación al sector  de las ya mencionadas ISO 27001 y 27002. Especifica un conjunto detallado de controles para la gestión de la seguridad de la información específicas para el ámbito específico y nos proporciona una serie de claras directrices de seguridad sobre las mejores prácticas a seguir en los temas relacionados con la salud.

ISO 27799:2008 es aplicable a la información sanitaria en todos sus aspectos y en cualquiera de sus formas (palabras, números, grabaciones sonoras, dibujos, vídeo e imágenes médicas o radiografías), sobre cualquier medio de almacenamiento (escrito o impreso en papel y electrónico) y a través de cualquier medio de transmisión (valijas o mensajería, faxes, redes informáticas o correo electrónico).

El contenido de la norma refleja la evolución positiva y práctica de la familia ISO 27000. Razona y especifica los riesgos propios del sector sanitario variando el orden de importancia de los factores de seguridad. Especifica además por ejemplo 25 vulnerabilidades típicasy sobre todo nos da una guía de como implantar ISO 27001 y los controles ISO 27002. Por tanto implantar esta norma sin disponer de un sistema de gestión no tiene mucho sentido. Por ejemplo podemos implantar un sistema de incidencias pero si no lo analizamos y no aprendemos de él, es más que probable que se abandone y caigamos en una burocracia tecnológica que no repercuta en mejorar en seguridad.

Esta norma no es certificable, unicamente representa directrices sobre el sector y se implanta y desarrolla bajo el sistema de gestión definido sobre ISO 27001.

Sería deseable que ISO 27799 sea traducida al español por AENOR y adoptada como norma UNE. Esperemos que dicha traducción llegue lo antes posible y ayude a los proyectos punteros sobre todo en sanidad pública tengan mayor éxito.

Proximos artículos en desarrollo y en este blog sobre Seguridad de la Información:

• Implantar un SGSI:  factores de éxito
• La divulgación y sensibilización de la seguridad de la información
• Claves para certificarse en ISO 27001 sin problemas