¿Cómo se establece un sistema de gestión de la seguridad informática?

Nuestro Grupo ha sido recientemente auditado y certificado con éxito según la norma ISO 27001. Lea aquí una entrevista con Dario Stöckli, CISO del Grupo Aebi Schmidt y director de proyecto para la certificación ISO 27001, sobre los retos de un proyecto de este tipo, los factores de éxito y lo que depara el futuro para el sistema de gestión de la seguridad informática recién certificado.

Darío, ¿cuál fue el mayor reto del proyecto para ti como director del mismo?

Sin duda, la gestión de las partes interesadas. Identificar, analizar y gestionar las tareas, los requisitos y las expectativas de todas las directrices y equipos, así como de cada uno de los colegas, y garantizar al mismo tiempo que todo el mundo tenga la misma comprensión y el mismo nivel de información, es un reto enorme.

¿Tuvo que luchar contra la resistencia?

No, al contrario. Hace unos años iniciamos una formación periódica de sensibilización en todo el Grupo, y esta labor está dando sus frutos. Tengo la impresión de que todo el mundo entiende que tenemos que hacer todo lo posible para garantizar la seguridad de los datos de la mejor manera posible. Sin embargo, ya ha habido debates más intensos para definir cómo debemos y podemos hacerlo. Uno o dos procesos parecían funcionar sobre el papel, pero la experiencia de los colegas afectados puso de manifiesto sus puntos débiles en la aplicación práctica. Para acabar estableciendo procesos que funcionen, se requería agilidad y apertura por parte de todos los implicados durante la fase de implantación.

¿De qué se siente orgulloso?

Hemos sido capaces de crear y poner en marcha el sistema de gestión de la seguridad informática en un plazo relativamente corto. Esto también demuestra que, como grupo, nos tomamos muy en serio la cuestión de la seguridad de la información, tanto desde el punto de vista técnico como organizativo.

¿Cuáles han sido los factores críticos del éxito?

Bueno, la organización, y en particular la dirección, ha dado claramente prioridad al proyecto de certificación. No se trata de algo natural, ya que siempre hay muchas prioridades. Sin embargo, hemos conseguido explicar la intención y la importancia del proyecto de forma comprensible.

Se sabe que los procesos están vivos. ¿Qué pasará ahora?

Estoy firmemente convencido de que hemos sentado una base importante y sólida con nuestro sistema de gestión de la seguridad informática. En el contexto de estos sistemas, una de las cosas de las que hablamos es de la madurez de un sistema. En el futuro, también será importante aumentar continuamente esta madurez y, por tanto, la seguridad en general a diario, porque en última instancia el funcionamiento seguro de nuestros sistemas de información y la seguridad de los datos son ahora un componente clave del éxito a largo plazo de una organización.

> Ir a la entrada del blog sobre la certificación ISO 27001 del Grupo Aebi Schmidt

Dario Stöckli, CISO del Grupo Aebi Schmidt
Dario Stöckli, CISO del Grupo Aebi Schmidt
Este texto fue publicado originalmente en otro idioma y traducido mecánicamente al español mediante inteligencia artificial.