¿Cómo se establece un sistema de gestión de seguridad informática?

Nuestro Grupo ha sido recientemente auditado y certificado con éxito de acuerdo con la norma ISO 27001. Lea aquí una entrevista con Dario Stöckli, CISO del Grupo Aebi Schmidt y director del proyecto para la certificación ISO 27001, sobre los retos de un proyecto de este tipo, los factores de éxito y lo que depara el futuro para el sistema de gestión de seguridad informática recién certificado.

Darío, ¿cuál fue el mayor reto del proyecto para ti como director del proyecto?

Definitivamente, la gestión de los grupos de interés. Identificar, analizar y gestionar las tareas, los requisitos y las expectativas de todos los diferentes directivos y equipos, así como de los compañeros individuales, al tiempo que se garantiza que todos tengan la misma comprensión y el mismo nivel de información, es un gran desafío.

¿Tuviste que luchar con la resistencia?

No, al contrario. Hace unos años comenzamos a impartir formación periódica a nivel de concienciación en todo el Grupo y este trabajo está dando sus frutos. Tengo la impresión de que todo el mundo entiende que tenemos que hacer todo lo posible para garantizar la seguridad de los datos de la mejor manera posible. Las discusiones sobre cómo lograr esto de la mejor manera siempre han sido un acto de equilibrio, donde no todos siempre comparten las mismas opiniones. Uno o dos procesos parecían funcionar sobre el papel, pero la experiencia de los colegas participantes reveló las debilidades en la aplicación práctica. Con el fin de establecer procesos funcionales, se requirió agilidad y apertura de todos los involucrados durante la fase de implementación.

¿De qué te sientes orgulloso?

Pudimos configurar y poner en funcionamiento con éxito el sistema de gestión de seguridad de la información en un período de tiempo relativamente corto. Esto también demuestra que, como grupo, nos tomamos muy en serio la cuestión de la seguridad de la información, tanto técnica como organizativamente.

¿Cuáles fueron los factores críticos de éxito aquí?

Pues bien, la organización, y en particular la dirección, ha dado claramente prioridad al proyecto de certificación. Esto no es una cuestión de rutina, ya que siempre hay muchas prioridades. Sin embargo, hemos logrado explicar la intención y la importancia del proyecto a todas las partes interesadas de una manera comprensible.

Se sabe que los procesos están vivos. ¿Qué pasa ahora?

Estoy firmemente convencido de que hemos establecido una base importante y sólida con nuestro sistema de gestión de la seguridad de la información. En el contexto de este tipo de sistemas, una de las cosas de las que hablamos es de la madurez de un sistema. En el futuro, también será importante aumentar continuamente esta madurez y, por lo tanto, la seguridad en general a diario, porque en última instancia, el funcionamiento seguro de nuestros sistemas de información y la seguridad de los datos son un componente clave del éxito a largo plazo de una organización.

> Ir a la entrada del blog sobre la certificación ISO 27001 del Grupo Aebi Schmidt

Dario Stöckli, CISO del Grupo Aebi Schmidt
Dario Stöckli, CISO del Grupo Aebi Schmidt