Seguridad de la Información
Jorge Figueroa Jefe Sección Calidad de Soluciones Informáticas |
Martín, en el tema de Seguridad de Información ¿Cuál es tu impresión bajo tu experiencia? ¿Están madurando desde la perspectiva de empresas privadas y del Estado?
En el tiempo que estuve liderando el área de Seguridad de Información del banco, tuve la oportunidad de interactuar con muchas instituciones, desde el punto de vista como consultor y desde el punto de vista como líder de seguridad de información y me dio una gran satisfacción ver que el Estado en su conjunto comenzó a tomarse suya la tarea de que no hay bienestar si no existe seguridad, la Seguridad de Información no es otra cosa que definir la información que se maneja en las empresas como un activo valioso que hay que proteger.
Bajo este concepto en esa orientación el Perú adoptó diferentes modalidades para poder seguir la hoja de ruta interesante y tomo la ISO de seguridad de información la 17799 y posteriormente la 27001 como hoja de ruta para poder evangelizar tanto a las empresas privadas como publicas estos conceptos. Algunos han sido normativas como la SBS donde las financieras tienen que implementar los conceptos de Seguridad de Información de todo dominio que esas ISO´s proveen. Las empresas privadas darle un valor agregado y posicionamiento a la seguridad del concepto preventivo, considero que ya hemos pasado por la parte inicial de esta inversión ya estamos metidos de 3 a 4 años, vamos por el 5to. Año y estamos en una segunda etapa en la cual ya se está viendo el concepto del manejo de los sistemas de Gestión de la Seguridad.
¿Cómo ha sido esta opción, como la han asimilado?
Al principio difícil, las instituciones financieras como algo obligatorio, las instituciones del Estado también como algo obligatorio porque la PCM lo tomo como suya adoptando la ISO de seguridad y exhortaba a todos la instituciones del Estado a usarlas, pero cuando la van ha aplicar o implementar se encontraban con la realidad de presupuesto o el concepto no estaba bien difundido, en las empresas privadas ya se adopta por propia iniciativa de sus lideres gerentes a comenzar a implementar la ISO, entonces se han comenzado a juntar proveedores con experiencia, clientes que ahora buscan más la seguridad como un bienestar y las empresas que buscan un camino interesante para darle valor a su servicio.
En el tema de Auditoria de Sistemas ¿Cuáles han sido las tendencias?
Allí ha habido mucho pan por rebanar, en las empresas privadas el concepto de Auditoria de Sistemas o de Tecnología ha ayudado mucho a agregarle valor a sus tareas a sus procesos e inclusive les permite darle mayor eficacia a sus resultados, pero en las empresas del Estado no era así, era visto como una cacería de brujas muchas veces o por tal error lo hace el que gestiona comete errores por querer crecer o mejorar la administración y esto crea un pretexto para someter o deponer la función, tareas o darle de baja a un funcionario del Estado, entonces allí la tendencia es cuidarse y la mejor solución es ir con un concepto preventivo del conocimiento de la institución de un ambiente de control interno en la cual todos los funcionarios del Estado, especialmente los tecnólogos que dirigen la áreas de infraestructura y tecnología pueda ir conociendo las mejores practicas… por allí esta parte de tecnología esta gustando esta orientación pero allí estamos consiguiendo una parte en el cual todas las instituciones del Estado están aprendiendo desde la óptica de la Auditoria de Sistemas, pero en la privada no, en las privadas la madurez va de otra forma como decía al principio de agregarle valor, de pensar con un conocimiento de control que le va ha permitir la consecución de los objetivos que se han planificado y que le doy a su vez el aporte de las buenas practicas que va enriquecer mi enriquecer mi accionar tecnológicamente, estas son las dos tendencias que yo veo.
En el tiempo que estuve liderando el área de Seguridad de Información del banco, tuve la oportunidad de interactuar con muchas instituciones, desde el punto de vista como consultor y desde el punto de vista como líder de seguridad de información y me dio una gran satisfacción ver que el Estado en su conjunto comenzó a tomarse suya la tarea de que no hay bienestar si no existe seguridad, la Seguridad de Información no es otra cosa que definir la información que se maneja en las empresas como un activo valioso que hay que proteger.
Bajo este concepto en esa orientación el Perú adoptó diferentes modalidades para poder seguir la hoja de ruta interesante y tomo la ISO de seguridad de información la 17799 y posteriormente la 27001 como hoja de ruta para poder evangelizar tanto a las empresas privadas como publicas estos conceptos. Algunos han sido normativas como la SBS donde las financieras tienen que implementar los conceptos de Seguridad de Información de todo dominio que esas ISO´s proveen. Las empresas privadas darle un valor agregado y posicionamiento a la seguridad del concepto preventivo, considero que ya hemos pasado por la parte inicial de esta inversión ya estamos metidos de 3 a 4 años, vamos por el 5to. Año y estamos en una segunda etapa en la cual ya se está viendo el concepto del manejo de los sistemas de Gestión de la Seguridad.
¿Cómo ha sido esta opción, como la han asimilado?
Al principio difícil, las instituciones financieras como algo obligatorio, las instituciones del Estado también como algo obligatorio porque la PCM lo tomo como suya adoptando la ISO de seguridad y exhortaba a todos la instituciones del Estado a usarlas, pero cuando la van ha aplicar o implementar se encontraban con la realidad de presupuesto o el concepto no estaba bien difundido, en las empresas privadas ya se adopta por propia iniciativa de sus lideres gerentes a comenzar a implementar la ISO, entonces se han comenzado a juntar proveedores con experiencia, clientes que ahora buscan más la seguridad como un bienestar y las empresas que buscan un camino interesante para darle valor a su servicio.
En el tema de Auditoria de Sistemas ¿Cuáles han sido las tendencias?
Allí ha habido mucho pan por rebanar, en las empresas privadas el concepto de Auditoria de Sistemas o de Tecnología ha ayudado mucho a agregarle valor a sus tareas a sus procesos e inclusive les permite darle mayor eficacia a sus resultados, pero en las empresas del Estado no era así, era visto como una cacería de brujas muchas veces o por tal error lo hace el que gestiona comete errores por querer crecer o mejorar la administración y esto crea un pretexto para someter o deponer la función, tareas o darle de baja a un funcionario del Estado, entonces allí la tendencia es cuidarse y la mejor solución es ir con un concepto preventivo del conocimiento de la institución de un ambiente de control interno en la cual todos los funcionarios del Estado, especialmente los tecnólogos que dirigen la áreas de infraestructura y tecnología pueda ir conociendo las mejores practicas… por allí esta parte de tecnología esta gustando esta orientación pero allí estamos consiguiendo una parte en el cual todas las instituciones del Estado están aprendiendo desde la óptica de la Auditoria de Sistemas, pero en la privada no, en las privadas la madurez va de otra forma como decía al principio de agregarle valor, de pensar con un conocimiento de control que le va ha permitir la consecución de los objetivos que se han planificado y que le doy a su vez el aporte de las buenas practicas que va enriquecer mi enriquecer mi accionar tecnológicamente, estas son las dos tendencias que yo veo.