Certificación ISO 27001: qué es y por qué la necesitamos

Hace poco, TÜV AUSTRIA confirmó que el sistema de gestión de la seguridad de la información que implementamos en la infraestructura de Kaspersky Security Network (KSN) cumple con los requisitos de la legislación ISO/IEC 27001:2013 sobre el envío de archivos maliciosos y sospechosos. TÜV también confirmó el almacenamiento seguro y el acceso a estos archivos en el Sistema de archivo distribuido de Kaspersky Lab (KLDFS). Te contamos en qué consiste la certificación ISO/IEC 27001:2013.

¿Qué es ISO 27001?

ISO 27001 es una norma internacional con requisitos para la creación, el mantenimiento y el desarrollo de los sistemas de gestión de la seguridad de la información. En esencia, se trata de una recopilación de las mejores prácticas destinadas a las medidas de gestión de la seguridad que protegen la información y garantizan a los clientes que sus datos están protegidos.

Para realizar la certificación, una entidad independiente (en nuestro caso, TÜV AUSTRIA) envía auditores cuyo objetivo es verificar si los procesos que brindan la ciberseguridad cumplen con las mejores prácticas. Durante el proceso de verificación, los auditores evalúan los diferentes departamentos (incluyendo recursos humanos, TI, I&D y seguridad) y desarrollan un informe global, que posteriormente otros expertos independientes analizan para confirmar la imparcialidad de los auditores. Finalmente, el organismo independiente emite un certificado que, en nuestro caso, confirma que el sistema de gestión de la seguridad de la información cumple con las mejores prácticas.

¿Qué se “certifica”?

A nuestros clientes les interesa sobre todo saber si proporcionamos el mayor nivel posible de seguridad en los procesos de envío de los objetos maliciosos y sospechosos (archivos) para su análisis adicional automático y manual por parte de nuestros expertos; y si almacenamos dichos objetos de manera fiable. Esta área es clave para cualquier empresa de antivirus. Por lo tanto, logramos la certificación de los mecanismos de envío en los archivos maliciosos y sospechosos mediante la infraestructura de Kaspersky Security Network y su almacenamiento seguro en el Sistema de archivo distribuido de Kaspersky. Sin embargo, el auditor no se limitó solamente a esta área. Muchos servicios en la empresa están organizados de forma similar.

Son varios los factores que afectan a la seguridad de cualquier proceso; pero los sistemas de gestión de la seguridad de la información pueden ayudar a definir esos factores y a proporcionar una protección oportuna. Surgen muchas preguntas en torno a la gestión de la ciberseguridad que se consideran fundamentales. ¿Quién tiene acceso a los sistemas de información y a los datos críticos? ¿Cómo fue su proceso de solicitud de empleo? ¿Cómo trabajan los empleados con los documentos y los sistemas de información? ¿Cómo gestiona el equipo de seguridad la revocación de los derechos de acceso cuando un empleado se va? ¿Conocen los empleados las ciberamenazas y los posibles medios de protección contra ellas? ¿Cómo trabajan los administradores con los ordenadores que ejecutan operaciones críticas?

El sistema de protección también contempla nuevos tipos de amenazas y neutralización; por ejemplo, la protección contra los ataques de APT (amenaza persistente avanzada), lo que neutraliza los posibles riesgos de uso de nuevas tecnologías, incluidos los algoritmos de aprendizaje automatizado.

Dicho esto, los auditores analizaron la documentación, hablaron con los empleados de varios departamentos y analizaron los aspectos técnicos y de organización de la protección de datos, como los procesos de contratación, despido y formación. Estudiaron cómo mantiene el servicio informático la red corporativa y visitaron nuestros centros de datos. También observaron cómo trabajan los empleados; verificaron si dejaban documentos impresos y medios extraíbles olvidados por ahí; si dejaban sus ordenadores bloqueados cuando no estaban cerca de sus escritorios, así como lo que mostraban sus monitores y paneles y con qué clase de programas trabajaban. Es decir, analizaron las prácticas adoptadas por la empresa en su totalidad, prestando especial atención a la verificación de los procesos del sistema de gestión de la seguridad de la información: el análisis de seguridad según la gestión, la gestión de riesgos, la gestión de incidentes, las medidas correctivas, las auditorías, las formaciones de ciberseguridad en los empleados y la procuración de la continuidad del negocio.

¿Qué será lo próximo?

Ahora, los clientes preocupados pueden familiarizarse con este certificado, que representa la opinión de expertos independientes. Las preguntas sobre la certificación ISO 27001 surgen con bastante frecuencia, sobre todo cuando una empresa elige a su proveedor de seguridad, ya que la mayoría de nuestras soluciones cuentan con servicios certificados.

Pero el trabajo no termina aquí. Renovamos la certificación cada 3 años. Eso significa que podrás comprobar la titularidad del certificado en otras auditorías. Además, los auditores realizan controles sorpresa cada año.

Para más información sobre el certificado, puedes visitar el siguiente enlace (en inglés): https://www.kaspersky.com/about/iso-27001.