Sala de prensa

29/10/2012
La ACCV obtiene la ISO 27001

La Agencia de Tecnología y Certificación Electrónica obtiene la ISO 27001

La ACCV ha obtenido recientemente la certificación ISO 27001 de su Sistema de Gestión de Seguridad de la Información, como se ha comentado ya en noticias y más adelante en este Boletín.

Aprovechamos esta certificación para recoger un artículo de José Miguel Cardona, de la empresa DNB que ha colaborado estrechamente con la ACCV para la preparación de la certificación ISO 27001.

 

La implantación del SGSI, por DNB

Desde nuestro punto de vista, con la rúbrica del proceso de implantación de un Sistema de Gestión de Seguridad de la Información (SGSI) basado en la norma internacional ISO/IEC 27001 y la obtención del correspondiente certificado avalado por ENAC (Entidad Nacional de Acreditación), la ACCV ha dado un paso muy importante en afianzar su imagen de entidad tercera de confianza en materia de certificación electrónica, tanto a nivel nacional como internacional. Este logro cobra mucho más valor hoy en día en un entorno tan global y cada vez más ubicuo, sobre todo en cuanto a lo que a las tecnologías de la información se refiere.

Para una entidad de certificación electrónica, además de disponer de unos sólidos procedimientos internos, así como, controles técnicos y organizativos correctamente diseñados e implantados, es vital el poder transmitir esta sensación de seguridad y solvencia tanto a los usuarios, como a los posibles clientes y colaboradores. Nuestra opinión es que la ACCV mediante esta nueva certificación, que se une a las que ya posee desde hace varios años, pone de manifiesto la firme intención de apostar por el lograr el mayor alineamiento posible con las buenas prácticas de seguridad de la información reconocidas internacionalmente.

A tal efecto el equipo de DNB, como expertos en Consultoría y Auditoría de la Seguridad de la Información, ha colaborado estrechamente para la ejecución de este proyecto durante varios meses con el personal de los diversos departamentos de la ACCV (Tecnologías de la Información, Gabinete Legal, Dirección, etc.). En ese tiempo, hemos acompañado a los responsables de la ACCV durante todo el proceso, tanto en labores de consultoría, como en la realización de la auditoría interna (con personal independiente en cada proyecto).

No queremos dejar pasar la oportunidad de incidir en que el punto de partida fue muy bueno, ya que el conocimiento y predisposición del personal técnico, las herramientas y la gran concienciación por parte de Dirección en particular, así como el significativo nivel de control interno preexistentes en la entidad supusieron que el nivel de esfuerzo en la implantación, aunque significativo, fuera considerablemente menor que si se partiera de un escenario menos maduro en cuanto a seguridad de la información. Si a esto unimos a las sinergias naturales existentes con los recientemente desarrollados Planes de Adecuación e Implantación de los Esquemas Nacionales de Seguridad e Interoperabilidad (en los que DNB también asesoró a la ACCV) podemos decir que se aprovecharon los recursos de una manera muy eficiente, aspecto clave en estos tiempos donde el personal cualificado y sus dedicaciones son un activo valioso y por ende escaso. Por nuestra parte ha sido un placer el haber aportado nuestro granito de arena para la exitosa consecución del proyecto y colaborar codo con codo para tal fin con personal tan capacitado como el de la ACCV.

Desde el punto de vista operativo la consecución de este hito ha sido resultado de un proceso consistente en adaptar y modelar los procedimientos internos y controles (tanto técnicos como organizativos) de la ACCV a los requisitos de la norma, junto con la tarea para asesorar y “rellenar los huecos” (gaps) respecto aquellos aspectos particulares exigidos por la misma. En particular: se realizó una actualización y mejora del análisis de riesgos existente, un rediseño de ciertos procedimientos y controles enfocados a mantenimiento y seguridad de algunos de los sistemas de información de la Autoridad de Certificación, se llevó a cabo la implantación del ciclo PDCA y de todos los aspectos de mejora continua vinculados, junto con una mejora sustancial del Plan de Continuidad de Negocio.

Para esta tarea DNB puso a la disposición de la ACCV a diversos miembros de su equipo de trabajo, todos ellos Ingenieros Superiores en Telecomunicación o Informática, con amplia experiencia en Autoridades de Certificación y entornos PKI, así como proyectos nacionales e internacionales, contando asimismo como mínimo con las certificaciones CISA y Lead Auditor ISO 27001, y otras como CISSP, CISM, Lead Auditor ISO 20000, etc.

 

Dónde solicitarlo

Encuentra tu Punto de Registro más cercano:

Puntos de registro
Localizar por mapa

Contacta con nosotros