Certificación ISO 27001: retos y ventajas
20. diciembre 2022
CONVOTIS ha recibido la certificación ISO 27001. Nikola Dinic, CISO del Grupo, habla de los retos y las ventajas que conlleva el certificado.
Estimado Nikola, enhorabuena por el éxito de la recertificación de CONVOTIS en Viena y Hamburgo. Junto con tu equipo, has contribuido decisivamente a este éxito. ¿Qué importancia tiene esta certificación?
La obtención de esta certificación ilustra la alta calidad de las prácticas de seguridad aplicadas y mejora así la reputación de la empresa. Refuerza la relación con nuestros clientes y nos da una importante ventaja competitiva, abriéndonos nuevas oportunidades de negocio.
La certificación ISO 27001 requiere revisiones periódicas y auditorías internas del SGSI, que son comprobadas repetidamente por auditores externos. Expertos independientes evalúan la funcionalidad del SGSI, así como el nivel de seguridad relativo a la información de la organización y sus clientes.
Para un grupo internacional como CONVOTIS, ¿cuáles son las ventajas de contar con la certificación ISO27001?
Además de los beneficios ya mencionados, las medidas de seguridad pertinentes se vuelven más estructuradas y centradas. Especialmente las empresas de rápido crecimiento, como CONVOTIS, pueden aumentar su productividad con la ayuda de la norma ISO 27001, ya que se definen las responsabilidades relativas a los riesgos de la información. Por último, pero no por ello menos importante, la certificación proporciona una indicación mundialmente reconocida de la eficacia de la seguridad, lo que elimina la necesidad de repetidas auditorías por parte del cliente y, por tanto, genera un ahorro sustancial de costes.
¿Cómo fue el proceso de recertificación en CONVOTIS? ¿Cuáles fueron los mayores retos durante el proceso?
Nuestros mayores retos se centraron principalmente en normalizar o armonizar la heterogénea infraestructura informática y los procesos de seguridad de la información pertinentes que la soportan o dependen de ella. También hicimos especial hincapié en la gestión de riesgos para mejorar su identificación, contextualización y mitigación.
Este ámbito fue calificado de muy crítico por nuestro equipo de Seguridad de CONVOTIS, especialmente en el contexto de una industria innovadora y de las amenazas diarias a la empresa. También se hicieron grandes esfuerzos en el ámbito de la gestión de activos, que no debe subestimarse.
¿Qué consejo tiene para los clientes que se enfrentan a una certificación similar?
Esta es una pregunta sumamente compleja. Hay que tener en cuenta muchos factores que afectan al alcance, la madurez de los procesos y los resultados de las auditorías. La empresa tiene que soportar diversos riesgos.
Pero me gustaría hacer hincapié en los siguientes puntos, ya que pueden aplicarse independientemente de la empresa:
- Certifíquese en el momento adecuado. Independientemente de si su empresa ha sufrido recientemente una violación de datos o simplemente está evaluando los riesgos, comprometerse con la certificación ISO 27001 es siempre el primer paso y el más importante.
- Familiarice a su equipo con el proceso lo antes posible. Enséñeles a proteger los datos de los clientes y a mejorar la salud de la empresa. Esto aumentará el interés de su empresa por la seguridad de los datos y aclarará el valor, los procesos y los objetivos de la certificación ISO.
- No subestime el alcance del SGSI de su organización. Al determinar lo que el SGSI de su organización debe incluir y cubrir, usted estructura simultáneamente su sistema El alcance se centra en las dependencias e interfaces:
Las dependencias están fuera de la organización e incluyen servicios de terceros, como la contabilidad. Una vez identificados y eliminados, hay que centrarse en las interfaces. Esto incluye todos los puntos finales de la red, como el router, así como interfaces de nivel superior, como empleados y procesos.
¿Cómo afecta la recertificación a la cartera de seguridad de CONVOTIS?
El proceso de recertificación nos ha mostrado la importancia de los efectos de sinergia en el ámbito de la seguridad de la información. En concreto, se trata del intercambio de conocimientos técnicos entre nuestras entidades, las actividades conjuntas de gestión de proyectos en nuestros clientes, así como el mayor uso de herramientas de seguridad uniformes a nivel de grupo.
Para el periodo 2023-2024, nuestro objetivo es obtener una certificación ISO 27001 uniforme para todo el Grupo en el área de conformidad en todas las entidades y centros.
