(SP) For the sake of viewer convenience, the content is shown below in the alternative language. You may click the link to switch the active language.

“En plena era de la digitalización, la información es cada vez más volátil, se genera en mayor volumen y dependemos muchísimo más de ella. Por ello, la protección es vital para garantizar la integridad y disponibilidad de los datos”. Así introducía Xavier Ferretjans el último encuentro ‘Knowing for Growing’ de Turistec, dedicado a la implantación de la ISO 27001 en el sector turístico.

El experto, responsable de nuevas tecnologías en BinauraMonlex, señaló que esta norma proporciona una serie de herramientas “para que organismos, empresas y gobiernos utilicen y mantengan sus sistemas de gestión de la seguridad de la información (SGSI). Es un enfoque sistemático para asegurar la información considerada ‘sensible’ para la política de la entidad, y que puede ser básicamente de cualquier tipo: datos financieros, de los empleados, propiedad intelectual, información de terceros, etc.”. Ferretjans remarcó que esta ISO no se limita a la parte tecnológica, y que el sector turístico “necesita incrementar su seguridad, al tratar con datos cada vez más delicados que ahora incluyen también información sanitaria y/o de salud. Si se añaden las tarjetas de crédito y un largo etcétera, tenemos un entramado tecnológico muy complejo y, por lo tanto, susceptible a sufrir ciberataques”.

La gerente del clúster, Mercè Masip, incidió en la presentación de la jornada en el interés que esta norma tiene para los socios de Turistec “donde ya son varias las empresas que están certificadas, en proceso o con intenciones de implantarla”. El encuentro se planteó como una mesa redonda, donde empresas acreditadas con este sello explicaron sus experiencias.

Casos prácticos de implantación

Para Jaume Monserrat, consejero delegado y cofundador de Dingus (Hitt Group), la ISO 27001 conseguida en 2015 (cuando apenas otras 6 empresas de Baleares disponían de ella) y recientemente renovada, ha aportado a la empresa “en primer lugar, el valor de la credibilidad. Por nuestra posición de servicio en el mercado tenemos que responder de un flujo continuo de la información que va y viene a través de los actores de la compra y venta, en este caso del producto hotelero. Estamos hablando de miles de millones de transacciones que se producen de manera continua con información muy variada”. Según su testimonio, lo primero que se planteó Dingus fue “asegurarnos de que tanto nuestros procesos de trabajo como la implantación de normativas de seguridad fueran los adecuados, y también qué exigencias debíamos tener como stakeholders, con la finalidad de asegurar que disponíamos de la capacidad para responder ante cualquier incidencia relacionada con la seguridad de la información.”

Para el posicionamiento de marca del proveedor de tecnología para el turismo también ha sido importante, porque “conseguir esta etiqueta nos abrió muchas puertas de entrada. Sin este ‘carnet’ sencillamente no podíamos competir en según qué autopistas internacionales”. Y en cuanto al retorno de invertir en la implementación de la ISO 27001, Monserrat cree que “es un planteamiento que debe realizarse a medio y largo plazo. Son medidas que tienen que estar totalmente alineadas con la estrategia de la empresa y medirse en términos de capacidad de crecimiento y de mejora. En este sentido el rendimiento ha sido brutal y facilita mucho la interacción con partners, ya sean tecnológicos o de negocio”. El empresario se mostró convencido de que estas normas han venido para quedarse y, además, serán un filtro de calidad, asegurando que “ahora mismo en Dingus, con la ISO 27001, no puede contratar a cualquier proveedor de Cloud, lo que ya supone una especie de ‘nota de corte’. Y creo que todo esto se va a extender porque en nuestro sector es básico generar seguridad”.

En el caso de Jumbo Tours Group su director de distribución y marketing, Jònatan Casabuberta, coincidió con el resto de los intervinientes en que esta norma “no sólo afecta al área tecnológica e involucra y depende de todos los departamentos de la empresa u organización. También existe un poco la creencia de que es una norma para empresas grandes, y no es así: afecta a medianas y pequeñas, porque cualquiera que trate con datos puede ser objeto de fraude, robo y uso indebido”. El directivo del operador turístico opina que la acreditación aporta valor comercial y “el impacto ha sido muy positivo desde que empezamos con la certificación en 2018 y la conseguimos en 2020. Pero no se trata solo de conseguirla, para mantenerla y renovarla se hacen evaluaciones continuas que garantizan que los sistemas informáticos, procesos de trabajo, etc., se cumplen. Y creo que todo ello no solo da tranquilidad al cliente o proveedor, sino que internamente todos estamos concienciados e implicados en la importancia de cumplir estos procesos”.

Una de las ventajas prácticas de disponer de este estándar internacional se demuestra, por ejemplo, con el Brexit y la discusión sobre si el reglamento general de protección de datos europeo aplica (o no) a Reino Unido. Casabuberta señaló que “por lo pronto, cuando el 1 de julio cualquier transferencia o importación de datos de Reino Unido a países de la Unión Europea se considere transferencia de datos internacionales (si no se ponen de acuerdo antes), la ISO 27001 nos dará la cobertura necesaria porque prácticamente cubre todos los requisitos de esa legislación. Todos los nuevos contratos que hemos firmado con clientes británicos han contado con esa seguridad que aporta el disponer de la 27001.”

El papel del auditor

Al director técnico de la entidad de certificación SGS le tocó explicar la figura del auditor y su trabajo durante el proceso de implantación inicial y mantenimiento/renovación posterior. Juan José Fontalba señaló que “debe tener una visión relevante del sector, sabiendo que dentro de él cada empresa, organización o entidad es diferente y peculiar.  El auditor tiene que saber qué tipo de información se tiene, cómo se maneja, la documentación que se utiliza… Así puede también localizar los puntos de mejora y hacer las preguntas adecuadas para que la compañía se plantee si lo está haciendo todo lo bien que puede”. En opinión del experto, “ese cuestionamiento, esa tensión, es positivo, porque el que un tercero te evalúe desde su punto de vista puede ser muy enriquecedor”.

En su intervención, Fontalba aseguró que la norma está experimentando un importante crecimiento por los motivos planteados en la jornada online: la confianza, la credibilidad y la protección ante un entorno inseguro. Se busca “conseguir esa fiabilidad de terceros gracias a un estándar que, además, ha puesto de acuerdo a muchos países. Se plantea como una ayuda para que la organización mejore”.

Nuevos desafíos

En la sesión se analizaron muchas más cuestiones relacionadas con la seguridad de la información, y se habló de los desafíos que llegan como consecuencia de la pandemia: desde el teletrabajo a gran escala hasta los nuevos elementos para viajar, como el pasaporte Covid de la UE. La masiva incorporación de datos sensibles relacionados con la salud, y la posibilidad de acceso de múltiples actores (gobiernos, administraciones, empresas…) trae una carga de incertidumbre considerable.

Si quieres conocer todo lo que se dijo en esta jornada para profundizar en los beneficios de la implantación de la ISO 27001, tienes a tu disposición la grabación clicando aquí. Para contactar con los ponentes, dirígete a la oficina técnica de Turistec mediante el email milena@turistec.org