Instituciones peruanas deben implementar La Norma ISO 27000

  • 50 organismos del Estado deben prepararse no solo para llegar al cumplimiento de la norma, sino para certificarse, según estipula la resolución publicada el 21 de julio en el diario Oficial El Peruano. El plazo vence en diciembre del 2012.
  • En la actualidad, solo el 20% ó 25% de organizaciones que operan en Perú han implementado la norma, destacando de este grupo que el mayor porcentaje lo comprenden organizaciones que reportan sus estados financieros al extranjero.
  • Esta norma busca salvaguardar la información corporativa de las instituciones y, en consecuencia, los usuarios relacionados con estas entidades, tener la certeza de que sus datos están protegidos de agentes extraños que operan a través de la Internet.
  • Solo 1% ó 3% del presupuesto general de inversión tecnológico de las organizaciones se destina a esta actividad, ya que el sistema de gestión involucra las siguientes fases: educación, concientización, análisis de riesgos, ecuación de mecanismos de control y seguridad.
  • La implementación del proyecto demanda un período de 3 a 6 meses como puede llegar al año, según el tamaño y complejidad de la institución.

Lima, Perú, Septiembre de 2011. – Andréz Lamouroux, Gerente de Soluciones de Seguridad de Aranda SOFTWARE para Latinoamérica, sostiene que este 2011 el nivel de delincuencia cibernética se ha disparado notablemente en el sector corporativo – empresas públicas y privadas- y seguirá su despegue debido a la falta de políticas adecuadas en materia de seguridad de la información.

Lamouroux refiere que cuando se aborda el plano corporativo es importante mencionar los Sistemas de Gestión de Seguridad de la Información (SGSI). Este concepto que lleva un poco más de una década en el lenguaje organizacional debido a la necesidad de cuidar el mayor activo del negocio, como lo es la información corporativa. Ante estas circunstancias es imprescindible que las empresas evalúen los riesgos asociados y establezcan las estrategias y controles adecuados que aseguren una permanente protección y salvaguarda de la información.

“A través de la implementación de un SGSI las compañías mejoran su productividad, su competitividad, su capacidad de reducir, mitigar o evitar incidentes al igual como ofrecer garantías a sus empleados, clientes y socios de negocio como elemento referenciador. La certificación en el cumplimiento de la norma ISO 9000 es un elemento que hoy en día cualquier compañía u organización no puede obviar si quiere garantizar la calidad en sus productos y/o servicios, y la certificación en materia de Seguridad de la Información, a través de la norma ISO 27000 o sus actualizaciones lo es también en la hoy día y esta necesidad se incrementará con el tiempo hasta ser de obligatoria necesidad para mejorar las condiciones antes mencionadas”, subraya Lamouroux.

 

Retos en la certificación

El gerente de Soluciones de Seguridad de Aranda SOFTWARE dice que en el instante en que una compañía u organización toma la decisión de certificarse en el cumplimiento de la norma ISO 27000, debe empezar a asumir los retos que esto conlleva como parte del proceso de adopción del estándar.

Por ejemplo, el cambio cultural en los colaboradores podría ser el más complejo de tratar y el que más tiempo demanda de los responsables de seguridad de información en las organizaciones. Otro requisito previo necesario para tener éxito involucra la perspectiva de la Junta Directiva y la alta gerencia. Solo después de que sus miembros tomen conciencia de que los activos de información son un factor vital para el éxito de la organización, es que la certificación de un SGSI es apreciada como un asunto serio que merece atención.

Agrega el directivo que encontrar personal con experiencia en el campo de la seguridad de la información resulta una tarea complicada pero la organización en proceso de implementar un SGSI y alcanzar la posterior certificación debe asumir de una vez por todas que al igual que dispone de un departamento de Recursos Humanos o de un departamento Financiero, debe contar con un departamento de Seguridad de la Información que pueda trabajar de forma independiente y con los recursos que necesite.

 

Adopción de la norma en Perú

Actualmente, la Norma Técnica Peruana ISO/IEC 17799 es de implementación obligatoria en todas las instituciones públicas del Perú desde agosto del 2004, cuando era Jefe de la ONGEI – PCM, el Ing. Rafael Parra Erkel, quién aprobó la iniciativa, estandarizando de esta forma los diversos proyectos y metodologías en este campo, respondiendo a la necesidad de seguridad por el uso intensivo de Internet y redes de datos institucionales, la supervisión de su cumplimiento está a cargo de la Oficina Nacional de Gobierno Electrónico e Informática – ONGEI (www.ongei.gob.pe).

La Presidencia del Consejo de Ministros del Perú (PCM) mediante la Resolución Ministerial N° 197-2011-PCM, publicada el pasado 21 de julio del presente año en el Diario Oficial El Peruano, ha establecido que 50 Organismos e Instituciones Públicas del Perú implementen el Plan de Seguridad de la Información indicado en la norma NTP ISO/IEC 17799 (ahora ISO 27002), Código de Buenas Prácticas para la Gestión de la Seguridad de la Información, antes del 31 de Diciembre de 2012.

Entre los 50 elegidos, se listan del Poder Legislativo, Poder Judicial, Organismos Autónomos y Poder Ejecutivo. Esta acción no es el único esfuerzo que el gobierno peruano ha evidenciado sobre implementar la norma de seguridad de la información. En el año 2004, cuando se publica la norma en Perú, establecieron su cumplimiento obligatorio y un plazo de 18 meses para su implementación en todas las entidades del estado, lamentablemente la realidad de estas entidades no les permitió cumplir y así, en 2005 ampliaron el plazo para implementarla hasta al 30 de junio de 2006. En el año 2007, al existir una nueva versión de la norma ISO, sale como Norma Técnica Peruana NTP-ISO/IEC 17799:2007 EDI. Ahora, esperemos que en las 50 entidades seleccionadas logren implementar su SGSI y no quede solo como buena iniciativa.

Advertisements
This entry was posted in Uncategorized and tagged , , , . Bookmark the permalink.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s