En las siguientes líneas se dará a conocer, de forma resumida, la experiencia de TIREA en todo este proceso y el valor añadido que, a nuestro juicio, comporta tanto para nosotros como para nuestros clientes.

Los servicios que TIREA presta al sector Asegurador Español se basan en los más avanzados sistemas de información, tanto informáticos como de comunicaciones, lo que motivó que ya en 2006, fuera una de las primeras empresas españolas en certificar su SGSI conforme a la norma UNE 71502. Dado el compromiso adquirido con nuestros clientes, migrar hacia la nueva norma debía ser un nuevo reto que asumir.

En efecto, desde el Comité de Dirección se decidió que el Grupo de Trabajo de seguridad, compuesto por 3 Responsables de Seguridad y 2 auditores internos, acometieran las tareas que la nueva certificación demandara.

En un primer momento, se hacía necesario saber donde operaban los cambios propuestos por la norma 27001, por lo que se procedió a comparar el SGSI existente con el que se debía implementar. Diferencias no había demasiadas pero sí eran importantes, por lo que toda la documentación existente, los controles y procedimientos en los que se apoyaban debían ser objeto de una exhaustiva y detenida revisión.

Las principales diferencias, al margen de la numérica en cuanto a controles (de 127 se pasa a 132), de la nueva norma con respecto a la anterior se pueden centrar en:

• La gestión de personas. Pretendiendo una mejor gestión de los recursos y una mayor concienciación en cuanto a su importancia dentro del SGSI.
• Aprender de las incidencias de seguridad y trasladar esa experiencia o aprendizaje a una mejora en la gestión del SGSI y, por lo tanto, un mayor conocimiento de sus debilidades.
• La definición de indicadores. Aquí la nueva norma considera que si se dispone buenos indicadores de gestión podremos tomar la temperatura de nuestro SGSI y la eficacia del mismo podrá ir en aumento.

Una vez conocidos los cambios a abordar, estos se fueron ejecutando paulatinamente hasta llegar a la realización del análisis de riesgos conforme a la nueva norma y a la realización de la siempre obligatoria y necesaria Auditoría del SGSI.

Aparentemente, el trabajo parecía estar hecho pero faltaba que una tercera parte acreditara la consecución del objetivo, cosa que hizo AENOR a través de la correspondiente auditoría de certificación.

Para TIREA el disponer de un SGSI basado en el PDCA (Plan, Do, Check y Act) y certificado conforme a la norma 27001 mejora la gestión de incidencias, ayuda a conocer las debilidades que se tienen y dónde se debe incidir para limitar el riesgo.

Si el SGSI funciona correctamente, y alguien externo certifica ese buen funcionamiento, la percepción de nuestros clientes, con respecto a nuestra forma de trabajo, es positiva y redunda en beneficio de todos.

Si bien, aunque la consecución de este hito nos satisface enormemente, nuestro empeño va mas allá. Todo el personal de TIREA es consciente de la importancia que su labor tiene en la mejora del SGSI, máxime cuando muchos de los servicios que se prestan deben cumplir lo dispuesto por la Ley Orgánica de Protección de Datos y el Reglamento de la LOPD. De hecho, ya se está trabajando para que en la próxima auditoría de revisión se certifique que el SGSI de TIREA goza de muy buena salud.