Las Certificaciones, ¿son necesarias?Escrito por GEMMA DÉLER el 09/12/2010 a las 00:57:044010
(Gerent) Hace ya un tiempo que me propusisteis de Tecnonews que escribiera sobre la necesidad de contar con certificaciones.
Antes de pronunciarme al respecto, dejadme reflexionar brevemente sobre la reciente infección que Stuxnet ha llevado a cabo en un parque amplio de ordenadores para usos industriales en Irán. Es el momento de aprender de estos acontecimientos. Al pensar en cómo podía haberse prevenido: • Vemos necesario el control del proceso de adquisición de manera que haya garantías de que aquello que se compra e integra está libre de ‘funcionalidades’ no deseadas. La evaluación del código por una entidad independiente, con la experiencia, cualificación y reconocimientos necesarios lo certifique aporta confianza. • Actuar sobre las posibles vías de infección. Nadie discute la necesidad de proteger el perímetro y para ello se adquieren y ponen en marcha herramientas dedicadas a ese fin. Sin embargo Stuxnet nos ha mostrado que las salvaguardas tecnológicas no son suficientes. El análisis de riesgos sobre nuestros activos (vulnerabilidades, la amenaza y el impacto) realizado en forma seria y metodológica permite tener una visión del sistema, sus vulnerabilidades, que y como proteger para tener garantías razonables sobre el sistema. • La supervisión continuada. Hemos oído continuamente el mantra de que la seguridad es un proceso, se trata de una actividad continua. De nuevo es necesario que todas las actividades que se realicen para prevenir, detectar, contener sean parte de un ciclo continuo. Esta idea es intrínseca en los Sistemas de Gestión de la Seguridad de la Información pero también en otros entornos: la protección a las Infraestructuras Críticas obliga a una evaluación dinámica del riesgo en función de niveles de alerta. Volviendo a la pregunta: el primer punto nos muestra la virtud de la certificación de los productos que han de ser usados e integrados en los sistemas. Sólo de esta manera pueden ofrecer al mercado la garantía necesaria. Los dos últimos puntos resaltan la importancia de tener una visión amplia e integral que se consiga a través de un estudio serio y ajustado al negocio de manera que su resultado sea el que justifique la adopción de las medidas y los Sistemas de Gestión. La certificación de los mismos aporta las ventajas de hacer visible al mercado y a los stakeholders la solidez de la empresa y por tanto contribuye en la generación de confianza. Por otro lado, el mantenimiento de la certificación implica ser auditado en forma periódica obligando a los sistemas a estar vivos (que no sean ejercicios en papel o esfuerzos aparcados). La certificación es base para la generación de confianza al ser un tercero de prestigio el que avala los productos o servicios. Adicionalmente la certificación es requisito de entrada en cada vez más mercados por lo que competitividad e internacionalización están ligadas a certificación. Resumiendo, la respuesta es sí, que es necesaria la certificación pero no porque sea una obligación impuesta artificialmente sino desde el convencimiento de sus beneficios tanto internos como externos para la compañía. Para finalizar, una recomendación: diseñar pensando que los requisitos del producto o sistema incluyen su certificación ahorra costes y tiempo poniendo más rápidamente y con garantías los productos o sistemas en el mercado. |