Tras evaluar los riesgos asociados al tratamiento automatizado de la información y verificar el alcance de los nuevos canales de comunicación con clientes, Banco Sabadell está a un paso de finalizar su primer Plan Director de Seguridad Tecnológica, sobre la base del estándar internacional ISO 17799. Una norma que ha exigido contemplar “procedimientos y normativa interna, el control sobre la externalización de servicios, las revisiones y auditorias de seguridad, el control de acceso y gestión de identidades, la respuesta ante incidentes, la formación y concienciación en materia de seguridad, la seguridad en las telecomunicaciones, el cifrado de información, la gestión de riesgos, la seguridad en el desarrollo, el cumplimiento legal o la gestión de eventos de seguridad”, según ha explicado a este semanario Xavier Serrano, director de Seguridad Tecnológica de Banco Sabadell. El directivo recalca que las líneas maestras del plan han sido “la gestión de identidades y accesos; la detección y respuesta ante incidentes; la seguridad en el desarrollo de proyectos y el cumplimiento legal” y subraya que “las actuaciones correspondientes a la continuidad del negocio se han realizado mediante un Plan específico, separado de éste”.
Definido a lo largo de cuatro meses en 2003, “no ha sido hasta 2005 cuando se ha obtenido el 85 por ciento de los objetivos previstos, quedando pendientes para 2006 la finalización de ocho proyectos, ya iniciados en 2005, y que concluirán con el cierre del año”, según Serrano.
El Plan Director de Seguridad ha implicado la optimización de los sistemas de detección de intrusiones, mediante la instalación de un sistema de monitorización de tentativas de acceso a los servicios a través de la Red, y otra serie de procedimientos que se ponen en marcha en caso de incidencia. Así, por ejemplo, se ha mejorado la gestión de vulnerabilidades con la incorporación de una base de datos que identifica posibles riesgos en los sistemas del grupo, así como el seguimiento de su resolución.
En paralelo, se ha reforzado la gestión de identidades y el control sobre los accesos a los sistemas de información; los sistemas de cifrado, que además de incrementar los niveles de confidencialidad de la información, ayudan a reducir las posibilidades de phishing.
Para lograr este objetivo, la entidad optó por implementar Netfocus DirecTrust Mail, herramienta que garantiza la procedencia e integridad en la emisión y recepción de correos electrónicos, no sólo al banco sino también a sus clientes, y que uniformiza el uso de la e-firma en toda la organización, eludiendo el uso de certificados o lectores criptográficos por parte de los usuarios, ya que es el servidor central el que realiza la firma según las políticas corporativas.
En el desarrollo del plan han intervenido “un total de seis personas; mientras que en el seguimiento constante de su implantación otras seis a lo largo de tres años, incluyendo personal interno y externo de seguridad”.
