CONVOTIS ha recibido la certificación ISO 27001. Nikola Dinic, CISO del grupo, habla sobre los desafíos y beneficios que conlleva el certificado.
Querido Nikola, felicitaciones por la exitosa recertificación de CONVOTIS en Viena y Hamburgo. Junto con tu equipo, fuiste fundamental en este éxito. ¿Cuál es la importancia de esta certificación?
Obtener esta certificación ilustra la alta calidad de las prácticas de seguridad aplicadas y, por lo tanto, mejora la reputación de la empresa. Fortalece la relación con nuestros clientes y nos brinda una ventaja competitiva significativa, abriendo nuevas oportunidades de negocio.
La certificación ISO 27001 requiere revisiones periódicas y auditorías internas del SGSI, que son revisadas repetidamente por auditores externos. Expertos independientes evalúan la funcionalidad del SGSI, así como el nivel de seguridad con respecto a la información de la organización y sus clientes.
Para un grupo internacional como CONVOTIS, ¿cuáles son los beneficios de estar certificado según ISO27001?
Además de los beneficios mencionados anteriormente, las medidas de seguridad relevantes se vuelven más estructuradas y enfocadas. Especialmente para empresas en rápido crecimiento, como CONVOTIS, se puede aumentar la productividad con la ayuda del estándar ISO 27001, ya que se definen responsabilidades para los riesgos de información. Por último, pero no menos importante, la certificación proporciona una indicación de eficacia de seguridad reconocida a nivel mundial, lo que elimina la necesidad de auditorías repetidas por parte de los clientes y, por lo tanto, crea ahorros sustanciales de costos.
¿Cómo fue el proceso de recertificación en CONVOTIS? ¿Cuáles fueron los mayores desafíos durante el viaje?
Nuestros mayores desafíos estuvieron principalmente en el área de estandarizar o armonizar la infraestructura de TI heterogénea y los procesos de seguridad de la información relevantes que la respaldan o dependen de ella. También pusimos un fuerte énfasis en la gestión de riesgos para mejorar nuestra identificación, contextualización y mitigación de riesgos. Este área fue calificada como altamente crítica por nuestro equipo de seguridad de CONVOTIS, especialmente en el contexto de una industria innovadora y las amenazas diarias para el negocio. También se hicieron grandes esfuerzos en el área de gestión de activos, que no deben subestimarse.
¿Qué consejo tienes para los clientes que enfrentan una certificación similar?
Esta es una pregunta extremadamente compleja. Hay muchos factores que afectan al alcance, la madurez del proceso y los resultados de la auditoría que deben tenerse en cuenta. La empresa tiene que resistir varios riesgos.
Pero me gustaría enfatizar los siguientes puntos, ya que se pueden aplicar independientemente de la empresa:
- Certificar en el momento adecuado. INDEPENDIENTEMENTE de si su empresa ha sufrido recientemente una violación de datos o simplemente está evaluando los riesgos, comprometerse con la certificación ISO 27001 es siempre el primer y más importante paso.
- Familiariza a tu equipo con el proceso lo antes posible. Edúcalos sobre la protección de datos de los clientes y la mejora de la salud corporativa. Esto aumentará el interés de tu empresa en la seguridad de datos y aclarará el valor, los procesos y los objetivos de la certificación ISO.
- No subestimes el alcance del SGSI de tu organización. Al determinar qué debe incluir y cubrir el SGSI de tu organización, estructuras simultáneamente tu sistema. El alcance se centra en las dependencias e interfaces:
Las dependencias están fuera de la organización e incluyen servicios de terceros, como la contabilidad. Una vez identificadas y eliminadas estas, concéntrate en las interfaces. Esto incluye todos los puntos finales dentro de tu red, como el enrutador, así como interfaces de nivel superior como empleados y procesos.
¿Cómo afecta la recertificación al portafolio de seguridad de CONVOTIS?
El proceso de recertificación nos ha mostrado la importancia de los efectos sinérgicos en el área de seguridad de la información. Específicamente, esto implica el intercambio de conocimientos entre nuestras entidades, actividades de gestión de proyectos conjuntas en nuestros clientes, así como el aumento del uso de herramientas de seguridad uniformes a nivel de grupo.
Para el período 2023-2024, estamos apuntando a la certificación ISO 27001 uniforme en todo el grupo en el área de cumplimiento en todas las entidades y sitios.