Luego de una exhaustiva auditoría llevada a cabo por auditores y expertos técnicos del Organismo Certificador, se otorgó a INGHENIA la certificación de su sistema de gestión de seguridad de la información para sus procesos de Soporte de uso e instalación de la herramienta informática ISOKEY, Desarrollo y mantenimiento de extensibilidades de ISOKEY y Prestación de servicios de consultoría en sistemas de gestión.

Este logro se consigue luego de un año de trabajo que involucró a todo el personal de la empresa más proveedores y colaboradores, que recibieron entrenamiento en los requisitos de la norma ISO 27001 y participaron en la identificación de los activos de información de la empresa, el análisis de los riesgos relativos a seguridad de la información y el establecimiento de las acciones necesarias para gestionar los riesgos identificados.

Constituye un paso más que da INGHENIA en el camino de la excelencia, haciendo foco a través de la aplicación de esta norma internacional en el aseguramiento de la protección, la integridad, la confidencialidad y el adecuado uso de la información propia y de sus clientes.

El valor de la información

La información es uno de los recursos más importantes de las organizaciones actuales, en lo relativo a la integridad o completitud de los datos que la componen, la disponibilidad del recurso (muchas veces el éxito de un proceso depende de la prontitud en que se consigue la información necesaria para ejecutar las actividades), así como el adecuado control de la confidencialidad que asegure que la información reservada es accesible solamente por quienes la necesitan.

En el caso de Inghenia la importancia del adecuado manejo de la información es un factor relevante en la prestación de los servicios. Los procesos principales de la organización, como la consultoría en sistemas de gestión ISO, los procesos de implementación de la herramienta informática ISOKEY y los procesos de desarrollo de software a medida, implican el acceso por parte de los consultores, analistas y desarrolladores de Inghenia a información sensible del cliente, que debe ser utilizada de forma controlada, sistemática y trazable.

Es entonces un factor clave de éxito para las organizaciones de consultoría y tecnología el disponer de un conjunto de reglas claras acerca de la forma en que debe gestionarse la información propia y del cliente, un equipo humano consciente de la importancia de observar las políticas, procesos y procedimientos establecidos, además de los riesgos que se toman ante apartamientos a estas reglas, y una infraestructura física y lógica que permita minimizar las vulnerabilidades a las que pueda estar expuesta la información utilizada.

La implantación de la norma ISO 27001

El proyecto de implementación de esta norma se definió con el cometido de consolidar los procesos del negocio desde el punto de vista de la preservación de la información que INGHENIA utiliza, buscando también la fidelización de los clientes, a través de procesos de seguridad física, lógica y tecnológica que garanticen la confidencialidad e integridad de la información propia y de los clientes.

Como todas las normas de la familia ISO de sistemas de gestión, la ISO 27001 está enfocada en el ciclo de mejora P-D-C-A, para lo cual existió una fase primaria de diagnosis, identificación de las buenas prácticas en seguridad de la información y del marco normativo correspondiente, análisis e identificación de activos de información, vulnerabilidades y riesgos asociados a las situaciones normales de trabajo, y también a situaciones extraordinarias y de emergencia.

Posteriormente se decidió un plan para tratar los riesgos identificados, con énfasis en eliminar o mitigar aquéllos vinculados a los procesos relacionados con los clientes.

La implementación de la norma continuó con la adopción de los controles y las contramedidas definidas para tratar los riesgos inaceptables de seguridad de la información, con énfasis en los procesos de comunicación, capacitación y concienciación de todo el personal de INGHENIA.

El éxito del proyecto se basó en un marcado liderazgo por parte de la Dirección; el funcionamiento de la estructura de seguridad, con un Responsable de Seguridad de la Información que coordina interna y externamente las actividades relativas al SGSI; el compromiso de todo el personal en la aplicación de las políticas, procedimientos y controles; y la herramienta informática ISOKEY, a través de la cual se gestionó cada una de las fases del proyecto.

Entradas relacionadas:

• Inghenia alinea sus Procesos de Seguridad según la Norma IS0 27001:2005
• Nuevo Standard ISO para la Gestión Efectiva del Riesgo – ISO 31000:2009
• Sistemas de Gestión de Inocuidad Alimentaria: ISO 22000
• La Importancia de una Gestión Documental Integrada

Esta norma fue aprobada por la Organización Internacional de Normalización (ISO) en el año 2005 y fue concebida para dar confianza a las partes interesadas de la organización (clientes, usuarios, personal de la empresa, sociedad en general) de que la información que la organización maneja está adecuadamente protegida. Es consistente con las mejores prácticas descritas en ISO/IEC 17799 (actual ISO/IEC 27002) y tiene su origen en la norma BS 7799-2:2002, desarrollada por la entidad de normalización británica, British Standards Institute (BSI).

El proyecto de implementación de esta norma se definió con el cometido de consolidar los procesos del negocio desde el punto de vista de la preservación de la información que INGHENIA utiliza, buscando también la fidelización de los clientes, a través de procesos de seguridad física, lógica y tecnológica que garanticen la confidencialidad e integridad de la información propia y de los clientes.

Este es el tramo final de un proceso iniciado a principios de año por el equipo de trabajo de INGHENIA e incluye a toda la organización: las áreas de Administración, Tecnología y Consultoría trabajaron coordinadamente en la identificación de los riesgos que el manejo de la información podría ocasionar en las operaciones del negocio. Posteriormente se decidió un plan para tratar los riesgos identificados, con énfasis en eliminar o mitigar aquéllos vinculados a los procesos clave y a los clientes. Y finalmente se dio tratamiento al plan de acciones definido. Como se puede apreciar, este esquema de trabajo (Plan – Do – Check – Act) es consistente con otras normas de gestión de ISO, como las normas de calidad ISO 9000 o las de gestión ambiental ISO 14000.

La auditoría de UNIT detectó como fortalezas del SGSI:

• El compromiso de la Dirección en el liderazgo del proyecto;

• La definición de un Plan de Continuidad del Negocio establecido a partir del análisis con los usuarios de los riesgos de no disponibilidad de activos críticos ante situaciones de contingencia;

• El funcionamiento de la estructura de seguridad, con un Responsable de Seguridad de la Información que coordina interna y externamente las actividades relativas al SGSI;

• La metodología para el transporte y resguardo de los medios de respaldo y la herramienta informática ISOKEY, que nos permitió gestionar el proyecto de manera sistemática y visible.

En el mismo informe se establecieron puntos de mejora que se están abordando, y una vez que el citado Organismo de Certificación acepte el plan de acciones correctivas propuesto, emitirá el correspondiente certificado de conformidad de INGHENIA con la norma ISO 27001, para las actividades de: prestación de servicios de consultoría, instalación y soporte de la herramienta informática ISOKEY, desarrollo de extensibilidades a la herramienta informática ISOKEY.

El logro de la certificación constituirá un reconocimiento externo a las mejoras conseguidas por INGHENIA en lo relativo a manejo y preservación de la información; así como también una base para la implementación de las mejores prácticas de seguridad existentes, ya sean técnicas o de gestión.

Entradas relacionadas:

• Inghenia Certificó su Sistema de Gestión de Seguridad de la Información
• Acerca de Microsoft SQL Express 2005
• INGHENIA y SYMNETICS establecen alianza estratégica
• Herramienta Inghenia :: SWOT – Formato de los Datos

Este acuerdo permite ofrecer a las empresas soluciones integrales para la implantación de la estrategia, incluyendo los servicios de consultoría de SYMNETICS y el software ISOKEY de INGHENIA.

SYMNETICS es la empresa que representa en Latinoamerica a PALLADIUM GROUP, empresa fundada y dirigida por Robert Kaplan y David Norton, y es líder en la región en la prestación de servicios de Consultoría en Balanced Scorecard y ejecución de la estrategia.

Entradas relacionadas:

• Inghenia Certificó su Sistema de Gestión de Seguridad de la Información
• Inghenia alinea sus Procesos de Seguridad según la Norma IS0 27001:2005
• Factores Claves para Implementar con Exito la Oficina de Gestión de la Estrategia
• Estrategia: la Clave es la Ejecución