¿Cuándo consideramos que estamos seguros? Y, ¿cuándo consideramos que una empresa es segura en términos de seguridad informática? La ciberseguridad, en sí misma, es un concepto abstracto, difícil de determinar y en ocasiones de medir. Probablemente por la necesidad de convertirla en algo más medible, y por la imperiosa necesidad de cumplir con las normativas vigentes y futuras, como el RGPD, surgen sellos de calidad. En España, contamos desde el año pasado con un sello propio. La Agrupación Empresarial Innovadora de Ciberseguridad y Tecnologías Avanzadas (AEI), que aglutina a más de 80 entidades públicas y privadas del sector, presentó en 2016 por primera vez su Sello de Ciberseguridad.

Se trata de la primera certificación de este tipo en España, que pretende legitimar que las empresas cumplen con los estándares establecidos en seguridad informática, a nivel tecnológico y de normativa. Cuando veamos que una empresa tiene este sello sabremos que, por lo menos en términos de ciberseguridad, podemos confiar en ella.

Durante la celebración del evento INTERTIC tuvimos la oportunidad de hablar con Julio César Miguel Pérez, emprendedor digital, Presidente de la Asociación Palentina de Empresarios de Tecnologías de la Información y Comunicación (APETIC), director de Grupo CFI y uno de los responsables de liderar el proyecto como Presidente del Comité de Gestión del Sello de Ciberseguridad.

 

Pregunta: La ciberseguridad, cada vez más, tiende a ser un valor añadido en las compañías, ¿en qué consiste este Sello de ciberseguridad?

Julio César Miguel: El Sello de Ciberseguridad para Organizaciones de la AEI Ciberseguridad es un esquema de certificación que incluye los requisitos de seguridad que debe cumplir cualquier organización o cualquier entidad que se relacione con alguna de éstas a modo de proveedor. El sello avala a la empresa cuando necesite demostrar que dispone de los sistemas y medidas de seguridad físicas y lógicas necesarias para proteger sus activos de las distintas amenazas que puedan dañarlos, o incluso provocar daños en los servicios o capacidades de la organización.

 

P: ¿A qué tipo de empresas va dirigido este sello?

JCM: Va dirigido a cualquier entidad pública o privada (grandes, medianas y pequeñas empresas) que quieran demostrar que cumplen con unos requisitos de ciberseguridad acordes con los requisitos del sello.

 

P: El sello se creó en 2016, ¿qué aceptación estáis teniendo por ahora?

JCM: Estamos teniendo muy buena aceptación, tanto en España como en Europa. Por su carácter eminentemente técnico, es un sello innovador, único en el globo.

 

P:¿Quién está detrás del sello, qué organismos lo avalan?

JCM: Detrás del sello está la Agrupación Empresarial Innovadora en Ciberseguridad y Tecnologías Avanzadas (AEI CIBERSEGURIDAD). Este sello nació en su seno. En concreto, en el Grupo de Trabajo I+D+i que yo presidía. Nos reunimos diez entidades, entre las cuáles se encontraban pymes, gran empresa, centro tecnológico y universidad con el objetivo claro de desarrollar un conjunto de especificaciones de ciberseguridad que, aplicadas a una organización elevasen el nivel de su ciberseguridad a excelente. Un año y medio después, y tras innumerables reuniones de trabajo, teníamos el Sello de Ciberseguridad para Organizaciones.

 

P: ¿Qué requisitos en líneas generales hay que cumplir para obtenerlo? 

JCM: El sello reconoce el cumplimiento de la empresa con una serie de requisitos de seguridad que incluyen, entre otros, protocolos de comunicaciones, protección de datos, infraestructura, recursos humanos, proveedores y servicios.  Con lo cual, deben realizarse las actuaciones pertinentes en cada uno de estos ámbitos para cumplir con los requisitos de seguridad definidos en las especificaciones del sello.

 

P: Una de las grandes preocupaciones ahora para las empresas es estar al día con las especificaciones que marca el nuevo Reglamento General de Protección de Datos, ¿está en línea con él?

JCM: Por supuesto, el sello está alineado con la normativa de protección de datos y es parte fundamental en sus especificaciones.

 

P: ¿Por qué se decidió crear este sello, a qué necesidades responde?

JCM: El sello responde a una pregunta básica: ¿quién certifica la ciberseguridad de una entidad? Hasta la aparición de este sello, realmente nadie certificaba la ciberseguridad, a nivel técnico, en una entidad. Tenemos la ISO 27001, la ISO 22301, el ENS, la Directiva NIS y otras normas y normativas; sin embargo, no entran de forma suficiente en las cuestiones técnicas. Este sello responde a esta carencia. Detalla los requisitos, a nivel técnico y organizativo que debe cumplir una entidad para tener un nivel excelente en el ámbito de la ciberseguridad. Y además es certificable. De esta forma la organización puede demostrar ante terceros que dispone de un nivel excelente de ciberseguridad.

 

Deja un comentario