Lecciones aprendidas de ISO 27001 - un estudio de caso de ENTERBRAIN Software

CONTENIDO

• Un estudio de caso ISO 27001 - ENTERBRAIN confía en la certificación
• Experiencias prácticas positivas con la norma ISO 27001
• La seguridad de la información como base del éxito y la confianza
• Entrevista con Christian Körner
• Planes de futuro e ISO 27001:2022
• Lecciones aprendidas sobre ISO 27001 en ENTERBRAIN - Conclusión

Un estudio de caso ISO 27001 - ENTERBRAIN confía en la certificación

Con sede en Offenbach, Alemania, ENTERBRAIN Software GmbH es uno de los principales proveedores de software de recaudación de fondos de Europa. Sus soluciones de software ayudan a las organizaciones sin ánimo de lucro a gestionar sus donaciones y miembros. Entre otras cosas, estas soluciones de software se utilizan para gestionar datos personales y detalles de pago. La protección de esta información confidencial, así como su integridad y disponibilidad, son prioridades máximas para el proveedor de software y sus clientes, también en lo que respecta a los aspectos legales.

El sistema de gestión de la seguridad de la información, certificado conforme a la norma ISO 27001 desde 2019, proporciona un marco práctico completo para ello. Garantiza la confidencialidad, integridad y disponibilidad de la información, los tres objetivos de protección de la seguridad de la información. El sistema de gestión establecido define procesos, funciones y autorizaciones vinculantes y reduce sistemáticamente los riesgos de seguridad de la información, al tiempo que genera confianza con los clientes y socios comerciales.

Experiencias prácticas positivas con ISO 27001

Gracias al uso activo del sistema de gestión y al análisis y evaluación continuos de las amenazas asociados, ENTERBRAIN está muy bien posicionada en el ámbito de la seguridad de la información y la protección de datos. En la empresa existe una documentación exhaustiva de todos los objetos de protección. Además, se definen directrices, instrucciones técnicas y normas organizativas aplicables para colmar las lagunas de seguridad.

El enfoque sistemático crea una buena transparencia sobre las amenazas y los procesos necesarios para colmar las lagunas de seguridad. Los cursos regulares de concienciación sensibilizan a todos los empleados de la empresa sobre la enorme importancia de la seguridad de la información.

En la práctica, el sistema de gestión de la seguridad de la información ya ha demostrado su eficacia en numerosas ocasiones. Sobre todo gracias a la formación periódica de los empleados. En 2020, por ejemplo, se evitó la propagación de una nueva versión del virus Emotet* en la organización.

* Emotet = familia de programas informáticos maliciosos (macrovirus) que se envían por correo electrónico.

Gracias a la detección precoz de la amenaza por un empleado del servicio, se evitó lo peor. La nueva variante del virus no fue detectada por ninguna solución de software antivirus disponible en el mercado en ese momento.

Durante el incidente, ENTERBRAIN recibió un correo electrónico infectado de un cliente, que fue abierto inicialmente por el empleado, quien informó inmediatamente del incidente. Como resultado, se activó el equipo de emergencia y el incidente se trató de acuerdo con el manual de emergencias de seguridad de la empresa. Gracias a la rápida y concienzuda reacción del empleado, se aisló el ordenador afectado y se impidió que el virus se propagara en la red interna. Se llamó a una empresa de informática forense para que investigara además la variante del virus y la red y prestara apoyo.

La seguridad de la información como base del éxito y la confianza

Para el proveedor de software de recaudación de fondos y sus clientes, el cumplimiento de la normativa es una parte esencial de la actividad empresarial. El cumplimiento de la protección de datos y el comportamiento conforme de todos los empleados de la empresa son la base de una cooperación de confianza con clientes y socios. Debido a estos requisitos, la empresa está certificada de acuerdo con la norma ISO 27001, reconocida internacionalmente, para todos los servicios que ofrece.

Aunque la certificación completa de todos los servicios es bastante más compleja que la certificación de una sola unidad de negocio, el mayor nivel de seguridad de la información compensa a la empresa. Por un lado, esto significa que la gestión de la seguridad de la información, con todas sus ventajas, está implantada en todas las unidades de negocio y, por otro, ENTERBRAIN disfruta de una ventaja competitiva frente a otros agentes del mercado que no disponen de la certificación ISO 27001.

Además, el tema de la conformidad está ganando importancia en general, por lo que muchas organizaciones también tienen requisitos de cooperación con una empresa certificada ISO 27001.

La transparencia obtenida proporciona a la empresa un excelente punto de partida para la optimización de procesos con el fin de aumentar la satisfacción del cliente y la eficiencia dentro de la empresa. Los procesos y áreas críticos para el negocio también se definen claramente y pueden hacerse más seguros mediante una minimización de riesgos específica.

Entrevista con Christian Körner

Director de Operaciones de ENTERBRAIN Software GmbH

Las ventajas de un sistema de gestión de la seguridad de la información son una cosa. Sin embargo, para su certificación y las auditorías anuales de vigilancia asociadas, las empresas dependen de la cooperación con un organismo de certificación acreditado. En esta entrevista, Christian Körner habla de sus experiencias con la norma ISO 27001.

DQS: Señor Körner, usted empezó en la seguridad de la información con un sistema desarrollado específicamente para las PYME. Cuando llegó el momento de pasar a la norma ISO 27001, fue necesaria una actualización exhaustiva. ¿Seguiría siendo recomendable este enfoque hoy en día, en vista de la enorme amenaza cibernética a la que están expuestas las PYME en particular?

Christian Körner: ENTERBRAIN prestó gran atención a la seguridad de la información en una fase muy temprana y, por tanto, asumió un papel pionero. En nuestro sector, la seguridad de la información es la base del éxito y la confianza. En el curso de la acelerada transformación digital, el tema es cada vez más importante.

Basándonos en nuestra experiencia práctica y en el aumento de las ciberamenazas, ahora recomendamos empezar directamente con la certificación ISO 27001. Lo valioso del proceso de certificación es el descubrimiento de cualquier riesgo de seguridad que puede cerrarse o al menos minimizarse gracias a la transparencia obtenida. Esto contribuye significativamente a la seguridad de la información en la empresa.

DQS: Con la ISO 27001 han sentado las bases de un sistema de gestión reconocido, ¿recuerda aún la primera auditoría de certificación con DQS?

Christian Körner : Durante nuestra primera auditoría ISO 27001 en 2019, todo el mundo en la empresa estaba bastante tenso. Aunque ya teníamos experiencia de las certificaciones de nuestro primer sistema de gestión de seguridad de la información en ese momento, ISO 27001 estaba en una clase propia.

En retrospectiva, tenemos que sonreír un poco cuando recordamos la primera certificación ISO 27001. Por un lado, ya entonces estábamos muy bien preparados para la norma ISO; por otro, sólo podíamos beneficiarnos del proceso de certificación como empresa, ya que cualquier no conformidad nos habría mostrado de forma transparente el potencial de mejora.

Al fin y al cabo, nuestro objetivo es garantizar y aumentar la seguridad de la información. Por ello, siempre agradecemos la información y las recomendaciones para optimizar nuestros procesos. Para cualquier organización que aún no esté certificada, sólo puedo recomendar este punto. La certificación ISO 27001 no debe basarse en el deseo de obtener un certificado, sino en la comprensión de la enorme importancia de la seguridad de la información en las empresas de hoy en día.

DQS: Durante las auditorías de vigilancia posteriores, ¿recibió algún consejo útil y procesable de nuestro auditor en relación con el potencial de mejora?

Christian Körner: Para nosotros, las auditorías de vigilancia son una parte importante de la certificación y la optimización continua, ya que el intercambio directo con el auditor proporciona información valiosa para la aplicación en la práctica, lo que supone un gran enriquecimiento para nosotros. Al mismo tiempo, nos hemos beneficiado de los amplios conocimientos informáticos de nuestro auditor y de su comprensión del sistema a lo largo de los últimos años. En él tenemos un sparring experimentado que conoce bien los procesos y que tiene en cuenta el tamaño de nuestra empresa.

DQS: Ya han completado con éxito su primera recertificación, y pronto cambiarán a la nueva versión, es decir, ISO/IEC 27001:2022 - ¿ya están en contacto con DQS al respecto?

Christian Körner: Sí, ya llevamos varios meses en contacto con DQS y nos estamos preparando para el cambio. También estamos coordinando una posible ampliación del "Sistema de gestión de la información sobre privacidad".

DQS: ¿Hay algo que DQS podría mejorar en términos de cooperación?

Christian Körner: Estamos muy satisfechos con la cooperación. Esto se debe en gran parte al auditor experimentado, que nos apoya significativamente en la mejora continua de nuestro sistema con su evaluación.

DQS: Sr. Körner, gracias por esta agradable conversación y ¡buena suerte con la transición a la nueva ISO/IEC 27001:2022!

Planes de futuro e ISO 27001:2022

ISO 27001 es una norma internacionalmente reconocida para la seguridad de la información que se publicó por primera vez en inglés en 2005. La norma se revisó en 2013 y fue una de las primeras normas importantes de sistemas de gestión ISO en convertirse a la entonces nueva Estructura de Alto Nivel, que ahora facilita mucho su integración en los sistemas de gestión ISO existentes. En 2022 se llevó a cabo una nueva revisión, que se centró en adaptar la norma al último estado de la tecnología de la información.

ENTERBRAIN no espera sorpresas para el cambio a la nueva ISO 27001:2022, al contrario: la empresa acoge con satisfacción la revisión, ya que se reforzarán las áreas de protección de datos y ciberseguridad en particular.

La empresa está analizando actualmente las nuevas medidas y requisitos y comparándolos con los procesos y circunstancias específicos de la empresa. A continuación se llevará a cabo una evaluación de los resultados provisionales para determinar la necesidad de su aplicación, en particular en lo que respecta a los 93 controles del anexo A, algunos de los cuales son nuevos.

Lecciones aprendidas sobre ISO 27001 en ENTERBRAIN - Conclusión

La implantación de un sistema de gestión de la seguridad de la información conforme a la norma ISO 27001 ha demostrado ser un paso decisivo para reforzar la estrategia de seguridad de la empresa en ENTERBRAIN. La experiencia adquirida con la certificación ISO 27001 subraya la importancia de un enfoque holístico que incluya no sólo medidas técnicas, sino también organizativas.

La certificación ISO 27001 no sólo mejoró la infraestructura de seguridad, sino que también aumentó significativamente la confianza de sus clientes y socios. Los empleados fueron más conscientes de la importancia de la seguridad de la información, lo que dio lugar a una cultura de seguridad en toda la empresa. Aunque la implantación estuvo asociada a retos, los efectos positivos superaron claramente a los negativos.

La conclusión de la experiencia con la norma ISO 27001 es clara: la certificación es algo más que un simple certificado: es un proceso continuo que hace que la empresa sea más resistente a las amenazas y ofrece una clara ventaja competitiva.

Experiencia y confianza

La visión holística y neutral de nuestros experimentados auditores sobre las personas, los procesos, los sistemas y los resultados muestra la eficacia de su sistema de gestión de la seguridad de la información y cómo se implanta y controla. Para nosotros es importante que perciba la certificación conforme a la norma ISO no como una prueba, sino como un enriquecimiento para su sistema de gestión.

Nuestras auditorías le aportan claridad. Nuestros clientes lo ven como una oportunidad. Para ellos, la opinión del auditor independiente sobre el potencial de mejora y los posibles riesgos es tan valiosa como un certificado DQS como prueba de su capacidad de calidad. Para garantizar que esto siga siendo así, prestamos una atención estricta a la integridad y la objetividad; puede obtener más información al respecto en nuestra filosofía de auditoría.

En la auditoría, preguntamos específicamente "por qué" porque queremos entender las razones por las que ha elegido una forma concreta de implantación. Nos centramos en el potencial de mejora y fomentamos un cambio de perspectiva. De este modo, usted reconoce opciones de actuación con las que puede mejorar continuamente su sistema de gestión. Háganos caso.

Nota: Nuestros artículos están escritos exclusivamente por nuestros expertos en normas para sistemas de gestión y auditores de larga trayectoria. Si tiene alguna pregunta para el autor, póngase en contacto con nosotros. Estaremos encantados de hablar con usted.