En la actualidad la certificación en los sistemas de gestión de seguridad de la información (SGSI) basados en la norma certificable UNE-ISO/IEC 27001 empiezan a constituir una necesidad para aquellas empresas y organizaciones que desean disponer, y manifestar que disponen, de un sistema completo y coherente para la gestión de sus riesgos en seguridad de la información.

El proyecto ha sido liderado por la Dirección de Sistemas Internos de Indra, unidad en la que está encuadrada la gestión de la seguridad lógica interna. Para la realización del proyecto se ha contado con la colaboración de la Dirección de Gestión de Riesgos y Seguridad, cuyos consultores han establecido el método de trabajo y realizado las actividades de definición del SGSI.

La certificación ISO 27001 es cada vez más solicitada por empresas contratistas de servicios TI

MOTIVOS Y BENEFICIOS

Los aspectos esenciales por los que Indra decidió abordar el proyecto pueden resumirse en tres puntos:

• Establecer un modelo de gestión de la seguridad acorde con las mejores prácticas internacionalmente aceptadas.
• Ofrecer a los clientes un modelo de gestión de los riesgos TIC acorde con la confianza depositada en la compañía.
• Satisfacer una demanda creciente del mercado. Cada vez es más habitual que para optar a determinados proyectos, el contratista exija que la empresa ofertante disponga de este tipo de certificación.

ALCANCE DE LA CERTIFICACIÓN

Uno de los aspectos esenciales a la hora de abordar un proyecto de estas características en una organización de gran tamaño es definir el alcance de la certificación. Para ello se tuvieron en cuenta diversos aspectos, destacando los siguientes:

• Trabajar sobre un escenario con un grado de madurez suficiente.

• Que sea asumible a corto plazo

• Que aporte valor al cliente.

Es por ello que el alcance u objetivo de la certificación se delimitó a los Sistemas de Gestión de la Información relativos al control de acceso a servicios y sistemas corporativos, entendiendo éstos como aquellos de carácter interno ofrecidos a toda la organización.

Este objetivo cumplía con suficiencia las tres premisas anteriores:

El control de acceso y las técnicas asociadas de identificación y autenticación han sido desde hace tiempo uno de los espacios de mayor preocupación y especialidad de la empresa. El uso de certificados digitales y gestión de una PKI interna se han convertido en soluciones implantadas y de uso generalizado.

Por otro lado, el control de acceso a los sistemas se gestiona de forma centralizada, aspecto importante en el proyecto, habida cuenta del número y dispersión de centros de trabajo, especialmente desde que en el año 2007 se adquirieron e incorporaron las empresas de los grupos Soluziona y Azertia.

De acuerdo con dicho ámbito, los procesos considerados clave para el SGSI son:

Identificación: Proceso mediante el cual se identifica inequívocamente a cada usuario, grupo, cuenta, sesión de trabajo o equipo de red.

Autenticación: Proceso de verificar fehacientemente que alguien o algo es quién o lo qué dice ser.

Autorización: Proceso que, en función de la identificación del usuario o agente ya autenticado, otorga permisos para el acceso a los recursos del sistema.

Control de Acceso Físico: Conjunto de controles diseñados para limitar el acceso a las instalaciones exclusivamente al personal autorizado, sea de forma explícita o implícita.

Trazabilidad: Proceso que incluye la generación, gestión y registro de las pistas de auditoría que se generan en cada evento del control de acceso.