Seguritecnia 352

Se eg 2 22 SEGURITECNIA Mayo 2009 I Encuentro de Seguridadintegral Seg 2 infinidad de dispositivos que hay, las cientos de herra- mientas y soluciones (antivirus, sistemas, bases de da- tos, millones de transacciones -banca online, medios de pago...-), que generan billones de registros. Esto se com- plica cada día y crece por necesidades operativas, por estándares internacionales, por leyes y normativas na- cionales o transnacionales. “Todo ello nos genera pro- blemas como el control del fraude o, sobre todo, algo que está muy en boga, que es la evidencia electrónica”, según López Bernal. “Esto tiene un gran impacto eco- nómico, tecnológico y operativo, lo que nos hace confe- rir la gestión integral”, añade. Para López Bernal, la gestión integral de la Seguri- dad hay que abordarla desde tres puntos de vista. Por una parte, la legislación. En su opinión, normas como la Ley Orgánica de Protección de Datos (LOPD), la Ley de Acceso Electrónico de los Ciudadanos a los Servi- cios Públicos (LAECSP) o la Ley para el Impulso de la Sociedad de la Información (LISI) han servido de im- pulsores de la Seguridad. “La LOPD ha sido la gran di- namizadora desde el año 1999; fue lo que hizo reac- cionar a la Dirección”, explicó el gerente de RSI-Grupo Caja Rural. En segundo término, están los estándares: la familia de ISO 27000, como base de gestión y de controles (ya sea la 1 o la 2) o incluso de métricas (la 4), el Payment Card Industry Data Security Standard -PCI DSS-, etc. Y, por último, el enfoque empresarial que apunta “a mejorar el servicio, detectar el fraude lo antes posible y prevenirlo y el combate legal”. El objetivo final de esta gestión integral de la Seguri- dad es “evitar el caos”, para lo cual se requiere de: lide- razgo, especialistas y gestión de riesgos. Según López Bernal, “hoy en día, gracias a Internet, se ha extendido mucho el conocimiento y la intenciona- lidad recurrente de los ataques, combinándolo con la in- geniería social”. Otras maneras de hacer que la Seguridad sea tenida en cuenta por la Alta Dirección es mostrándoles y hablándo- les del Retorno de la Inversión en Seguridad (ROSI). Para ello, así como para mentalizar a todos los miembros de una organización, el ponente recalcó que hay que solucio- nar el problemas de la comunicación. “Hay que imbuirles y darles más percepciones, para lo que hay que plantear un buen plan de formación y de divulgación, pero no uno solo (no es lo mismo hablar para un directivo, que para una se- cretaria, que para personal técnico...): tenemos que hacer- les ver que ellos son parte de la Seguridad, conseguir que sean protagonistas y culpables”, manifestó. Impulsores de la gestión integral Y después de todo esto, como diría Enrique Polanco, “no hemos oído hablar de convergencia, ni de seguridad física ni de seguridad lógica; hemos hablado de Seguri- dad y no le hemos puesto apellidos”. Pedro Pablo López Bernal, gerente de Infraestruc- tura de Seguridad, Auditoría y Normalización de RSI- Grupo Caja Rural, fue otro de los invitados que tuvimos el honor de escuchar, y que ofreció una conferencia con un título muy apropiado: “El puzzle de la Seguridad. La suma integral de las partes”. “RSI es la empresa tecnológica que da servicios a 74 cajas rurales (aproximadamente, un tercio de las enti- dades financieras que operan en nuestro país), en las que intentamos construir la seguridad de la forma más sólida”, según la presentación de su gerente, quien aglu- tina diversas funciones relacionadas con la Seguridad (la lógica, la física, la privacidad de datos, incluso temas de calidad interna, normalización, estandarización..., todo ello alieado con el fraude online, etc.). Tres puntos de vista Pedro Pablo López describió lo complejo del panorama que tienen delante y el “problema real” que suponen la Pedro Pablo López, hablando de la organización del "caos" que supone que las seguridades y todos los elementos de una organiza- ción vayan por separado. En la imagen, junto a Laura Prats, de Applus+ y Ana Borredá, de Editorial Borrmart.