Lecciones aprendidas de ISO 27001: un estudio de caso del software ENTERBRAIN

CONTENIDO

• Un caso de estudio ISO 27001: ENTERBRAIN confía en la certificación
• Experiencias prácticas positivas con la ISO 27001
• La seguridad de la información como base del éxito y la confianza
• Entrevista con Christian Körner
• Planes de futuro e ISO 27001:2022
• Lecciones aprendidas de ISO 27001 en ENTERBRAIN - Conclusión

Un caso de estudio ISO 27001: ENTERBRAIN confía en la certificación

Con sede en Offenbach, Alemania, ENTERBRAIN Software GmbH es uno de los proveedores de software de recaudación de fondos líderes en Europa. Las soluciones de software de la organización ayudan a las organizaciones sin fines de lucro a administrar sus donaciones y sus miembros. Estas soluciones de software se utilizan, entre otras cosas, para gestionar datos personales y detalles de pago. La protección de esta información confidencial, así como su integridad y disponibilidad, son prioridades máximas para el proveedor de software y sus clientes, también en lo que respecta a los aspectos legales.

El sistema de gestión de seguridad de la información, que ha sido certificado de acuerdo con ISO 27001 desde 2019, proporciona un marco práctico integral para esto. Garantiza la confidencialidad, integridad y disponibilidad de la información: los tres objetivos de protección de la seguridad de la información. El sistema de gestión establecido define procesos, roles y autorizaciones vinculantes y reduce sistemáticamente los riesgos de seguridad de la información, al mismo tiempo que genera confianza con los clientes y socios comerciales.

Experiencias prácticas positivas con la ISO 27001

Gracias al uso activo del sistema de gestión y el continuo análisis y evaluación de amenazas asociado, ENTERBRAIN está muy bien posicionado en el área de seguridad de la información y protección de datos. Existe documentación completa de todos los objetos de protección en la empresa. Además de esto, se definen lineamientos, instrucciones técnicas y reglas organizativas aplicables para cerrar las brechas de seguridad.

El enfoque sistemático crea una buena transparencia sobre las amenazas y los procesos necesarios para cerrar las brechas de seguridad. Los cursos periódicos de sensibilización sensibilizan a todos los empleados de la empresa sobre la enorme importancia de la seguridad de la información.

En la práctica, el sistema de gestión de la seguridad de la información ya ha demostrado su eficacia muchas veces. Especialmente gracias a la formación periódica de los empleados. En 2020, por ejemplo, se evitó la propagación de una nueva versión del virus Emotet* en la organización.

* Emotet = familia de malware informático (virus de macro) que se envían por correo electrónico

Gracias a que un empleado del servicio detectó a tiempo la amenaza, se evitó lo peor. La nueva variante del virus no fue detectada por ninguna solución de software antivirus disponible en el mercado en ese momento.

Durante el incidente, ENTERBRAIN recibió un correo electrónico infectado de un cliente, que fue abierto inicialmente por el empleado, quien informó del incidente inmediatamente. Como resultado, se activó el equipo de emergencia y se atendió el incidente de acuerdo con el manual de emergencias de seguridad de la empresa. Gracias a la rápida y concienzuda reacción del empleado, el ordenador afectado fue aislado y se evitó que el virus se propagara en la red interna. Se llamó a una empresa de informática forense para que investigara adicionalmente la variante del virus y la red y prestara apoyo.

La seguridad de la información como base del éxito y la confianza

Para el proveedor de software de recaudación de fondos y sus clientes, el cumplimiento de la normativa es una parte esencial de la actividad empresarial. El cumplimiento de la protección de datos y el comportamiento conforme de todos los empleados de la empresa son la base para una cooperación confiable con clientes y socios. Debido a estos requisitos, la empresa está certificada según la norma ISO 27001, reconocida internacionalmente, para todos los servicios ofrecidos.

Aunque la certificación completa para todos los servicios es significativamente más compleja que la certificación para una sola unidad de negocio, el mayor nivel de seguridad de la información vale la pena para la empresa. Por un lado, esto significa que la gestión de la seguridad de la información con todos sus beneficios está disponible para todas las unidades de negocio y, por otro lado, ENTERBRAIN disfruta de una ventaja competitiva sobre otros actores del mercado que no tienen Certificación ISO 27001.

Además, el tema del cumplimiento está ganando cada vez más importancia, por lo que muchas organizaciones también exigen la cooperación con una empresa certificada ISO 27001.

La transparencia obtenida proporciona a la empresa un excelente punto de partida para la optimización de procesos con el fin de aumentar la satisfacción del cliente y la eficiencia dentro de la empresa. Los procesos y áreas críticos para el negocio también están claramente definidos y pueden hacerse más seguros mediante una minimización de riesgos específica.

Entrevista con Christian Körner

Jefe de Operaciones en ENTERBRAIN Software GmbH

Los beneficios de un sistema de gestión de seguridad de la información son una cosa. Sin embargo, para su certificación y las correspondientes auditorías de seguimiento anuales, las empresas dependen de la cooperación con un organismo de certificación acreditado. Christian Körner nos cuenta en esta entrevista sus experiencias con la norma ISO 27001.

DQS : Señor Körner, usted empezó en el campo de la seguridad de la información con un sistema desarrollado específicamente para las PYME. Cuando llegó el momento de pasar a la norma ISO 27001, fue necesaria una actualización integral: ¿seguiría recomendándose este enfoque hoy en día, dada la enorme ciberamenaza a la que están expuestas, en particular, las pymes?

Christian Korner: ENTERBRAIN se centró desde muy temprano en la seguridad de la información y asumió así un papel pionero. En nuestra industria, la seguridad de la información es la base del éxito y la confianza. En el marco de la acelerada transformación digital, el tema adquiere cada vez más importancia.

Basándonos en nuestra experiencia práctica y en el aumento de las ciberamenazas, ahora recomendamos comenzar directamente con la certificación ISO 27001. Lo valioso de la proceso de certificación es el descubrimiento de posibles riesgos de seguridad que pueden cerrarse o al menos minimizarse gracias a la transparencia obtenida. Esto contribuye significativamente a la seguridad de la información en la empresa.

DQS : Con ISO 27001 ha sentado las bases para un sistema de gestión reconocido. ¿Recuerda aún la primera auditoría de certificación con DQS?

Christian Korner : Durante nuestra primera ISO 27001 auditoría En 2019, todos en la empresa estaban bastante tensos. Aunque en ese momento ya teníamos experiencia con las certificaciones de nuestro primer sistema de gestión de seguridad de la información, la ISO 27001 era única en su clase.

En retrospectiva, debemos sonreír un poco cuando recordamos la primera certificación ISO 27001. Por un lado, entonces ya estábamos muy bien preparados para la norma ISO; por otro lado, el proceso de certificación solo nos podía beneficiar como empresa, ya que cualquier no conformidad nos habría mostrado de forma transparente el potencial de mejora.

Después de todo, nuestro objetivo es garantizar y aumentar la seguridad de la información. Por lo tanto, siempre agradecemos información y recomendaciones para optimizar nuestros procesos. Para cualquier organización que aún no esté certificada, sólo puedo recomendar este punto. La certificación ISO 27001 no debe basarse en el deseo de obtener un certificado, sino en la comprensión de la enorme importancia que hoy en día tiene la seguridad de la información en las empresas.

DQS : Durante las auditorías de seguimiento posteriores, ¿recibió algún consejo útil y práctico de nuestro auditor sobre el potencial de mejora?

Christian Korner: Para nosotros, las auditorías de seguimiento son una parte importante de la certificación y de la optimización continua, ya que el intercambio directo con el auditor proporciona información valiosa para la implementación en la práctica, lo que supone un gran enriquecimiento para nosotros. Al mismo tiempo, nos hemos beneficiado del conocimiento integral de TI y la comprensión del sistema de nuestro auditor durante los últimos años. En él contamos con un socio experimentado que conoce bien los procesos y que tiene en cuenta el tamaño de nuestra empresa.

DQS : Ya ha completado con éxito su primera recertificación y pronto cambiará a la nueva versión, es decir ISO/CEI 27001:2022 - ¿Ya estás en contacto con DQS sobre esto?

Christian Korner: Sí, ya llevamos varios meses en contacto con DQS y nos estamos preparando para el cambio. También estamos en el proceso de coordinar una posible extensión del "Sistema de Gestión de Información de Privacidad".

DQS: ¿Hay algo que DQS pueda mejorar en términos de cooperación?

Christian Korner: Estamos muy satisfechos con la cooperación. Esto se debe en gran medida al experimentado auditor, que con su evaluación nos apoya significativamente en la mejora continua de nuestro sistema.

DQS: Sr. Körner, gracias por la agradable conversación y buena suerte con la transición a la nueva ISO/IEC 27001:2022.

Planes de futuro e ISO 27001:2022

ISO 27001 es un estándar reconocido internacionalmente para la seguridad de la información que se publicó por primera vez en inglés en 2005. El estándar se revisó en 2013 y fue uno de los primeros estándares importantes de sistemas de gestión ISO que se convirtió al entonces nuevo Estructura de alto nivel, lo que ahora hace que sea mucho más fácil la integración en los sistemas de gestión ISO existentes. En 2022 se llevó a cabo una nueva revisión, que se centró en adaptar el estándar al último estado de la tecnología de la información.

ENTERBRAIN no espera sorpresas por el cambio de la nueva norma ISO 27001:2022. Al contrario: la empresa acoge con satisfacción la revisión, ya que se reforzarán especialmente los ámbitos de la protección de datos y la ciberseguridad.

Actualmente, la empresa está analizando las nuevas medidas y requisitos y comparándolos con los procesos y circunstancias específicos de la empresa. A continuación se llevará a cabo una evaluación de los resultados intermedios para determinar la necesidad de implementación, en particular en lo que respecta a los 93 controles del Anexo A, algunos de los cuales son nuevos.

Lecciones aprendidas de ISO 27001 en ENTERBRAIN - Conclusión

La implementación de un sistema de gestión de seguridad de la información según ISO 27001 ha demostrado ser un paso decisivo para fortalecer la estrategia de seguridad de la empresa en ENTERBRAIN. La experiencia adquirida con la certificación ISO 27001 subraya la importancia de un enfoque holístico que incluya no sólo medidas técnicas sino también organizativas.

La certificación ISO 27001 no solo mejoró la infraestructura de seguridad, sino que también aumentó significativamente la confianza de sus clientes y socios. Los empleados se volvieron más conscientes de la importancia de la seguridad de la información, lo que generó una cultura de seguridad en toda la empresa. Aunque la implementación estuvo asociada con desafíos, los efectos positivos claramente superan a los negativos.

La conclusión de la experiencia con ISO 27001 es clara: la certificación es más que un simple certificado: es un proceso continuo que hace que la empresa sea más resistente a las amenazas y ofrece una clara ventaja competitiva.

Experiencia y confianza

La visión holística y neutral de nuestros experimentados  auditores sobre personas, procesos, sistemas y resultados muestra qué tan efectivo es su sistema de gestión de seguridad de la información y cómo se implementa y controla. Es importante para nosotros que usted perciba la  Certificación de acuerdo con la norma ISO no como una prueba, sino como un enriquecimiento para su sistema de gestión.

Nuestras  auditorías buscan brindarle claridad. Nuestros clientes ven esto como una oportunidad. Para ellos, la información del auditor independiente sobre el potencial de mejora y los posibles riesgos es tan valiosa como un certificado DQS como prueba de su capacidad de calidad. Para garantizar que esto siga siendo así, prestamos estricta atención a la integridad y la objetividad; puede leer más sobre esto en nuestra  filosofía de auditoría.

En la auditoría preguntamos específicamente "por qué" porque queremos entender las razones por las que usted ha elegido una forma particular de implementación. Nos centramos en el potencial de mejora y fomentamos un cambio de perspectiva. De esta manera, reconoces opciones de acción con las que puedes mejorar continuamente tu sistema de gestión. Créenos nuestra palabra.

Tenga en cuenta: Nuestros artículos están escritos exclusivamente por  expertos en estándares para sistemas de gestión y auditores de larga trayectoria. Si tiene alguna pregunta para el autor, por favor  contáctenos. Esperamos hablar con usted.