Hace poco, T\u00dcV AUSTRIA confirm\u00f3 que el sistema de gesti\u00f3n de la seguridad de la informaci\u00f3n que implementamos en la infraestructura de Kaspersky Security Network (KSN) cumple con los requisitos de la legislaci\u00f3n ISO\/IEC 27001:2013 sobre el env\u00edo de archivos maliciosos y sospechosos. T\u00dcV tambi\u00e9n confirm\u00f3 el almacenamiento seguro y el acceso a estos archivos en el Sistema de archivo distribuido de Kaspersky Lab (KLDFS). Te contamos en qu\u00e9 consiste la certificaci\u00f3n ISO\/IEC 27001:2013.<\/p>\n
ISO 27001 es una norma internacional con requisitos para la creaci\u00f3n, el mantenimiento y el desarrollo de los sistemas de gesti\u00f3n de la seguridad de la informaci\u00f3n. En esencia, se trata de una recopilaci\u00f3n de las mejores pr\u00e1cticas destinadas a las medidas de gesti\u00f3n de la seguridad que protegen la informaci\u00f3n y garantizan a los clientes que sus datos est\u00e1n protegidos.<\/p>\n
Para realizar la certificaci\u00f3n, una entidad independiente (en nuestro caso, T\u00dcV AUSTRIA) env\u00eda auditores cuyo objetivo es verificar si los procesos que brindan la ciberseguridad cumplen con las mejores pr\u00e1cticas. Durante el proceso de verificaci\u00f3n, los auditores eval\u00faan los diferentes departamentos (incluyendo recursos humanos, TI, I&D y seguridad) y desarrollan un informe global, que posteriormente otros expertos independientes analizan para confirmar la imparcialidad de los auditores. Finalmente, el organismo independiente emite un certificado que, en nuestro caso, confirma que el sistema de gesti\u00f3n de la seguridad de la informaci\u00f3n cumple con las mejores pr\u00e1cticas.<\/p>\n
A nuestros clientes les interesa sobre todo saber si proporcionamos el mayor nivel posible de seguridad en los procesos de env\u00edo de los objetos maliciosos y sospechosos (archivos) para su an\u00e1lisis adicional autom\u00e1tico y manual por parte de nuestros expertos; y si almacenamos dichos objetos de manera fiable. Esta \u00e1rea es clave para cualquier empresa de antivirus. Por lo tanto, logramos la certificaci\u00f3n de los mecanismos de env\u00edo en los archivos maliciosos y sospechosos mediante la infraestructura de Kaspersky Security Network y su almacenamiento seguro en el Sistema de archivo distribuido de Kaspersky. Sin embargo, el auditor no se limit\u00f3 solamente a esta \u00e1rea. Muchos servicios en la empresa est\u00e1n organizados de forma similar.<\/p>\n
Son varios los factores que afectan a la seguridad de cualquier proceso; pero los sistemas de gesti\u00f3n de la seguridad de la informaci\u00f3n pueden ayudar a definir esos factores y a proporcionar una protecci\u00f3n oportuna. Surgen muchas preguntas en torno a la gesti\u00f3n de la ciberseguridad que se consideran fundamentales. \u00bfQui\u00e9n tiene acceso a los sistemas de informaci\u00f3n y a los datos cr\u00edticos? \u00bfC\u00f3mo fue su proceso de solicitud de empleo? \u00bfC\u00f3mo trabajan los empleados con los documentos y los sistemas de informaci\u00f3n? \u00bfC\u00f3mo gestiona el equipo de seguridad la revocaci\u00f3n de los derechos de acceso cuando un empleado se va? \u00bfConocen los empleados las ciberamenazas y los posibles medios de protecci\u00f3n contra ellas? \u00bfC\u00f3mo trabajan los administradores con los ordenadores que ejecutan operaciones cr\u00edticas?<\/p>\n
El sistema de protecci\u00f3n tambi\u00e9n contempla nuevos tipos de amenazas y neutralizaci\u00f3n; por ejemplo, la protecci\u00f3n contra los ataques de APT (amenaza persistente avanzada), lo que neutraliza los posibles riesgos de uso de nuevas tecnolog\u00edas, incluidos los algoritmos de aprendizaje automatizado.<\/p>\n
Dicho esto, los auditores analizaron la documentaci\u00f3n, hablaron con los empleados de varios departamentos y analizaron los aspectos t\u00e9cnicos y de organizaci\u00f3n de la protecci\u00f3n de datos, como los procesos de contrataci\u00f3n, despido y formaci\u00f3n. Estudiaron c\u00f3mo mantiene el servicio inform\u00e1tico la red corporativa y visitaron nuestros centros de datos. Tambi\u00e9n observaron c\u00f3mo trabajan los empleados; verificaron si dejaban documentos impresos y medios extra\u00edbles olvidados por ah\u00ed; si dejaban sus ordenadores bloqueados cuando no estaban cerca de sus escritorios, as\u00ed como lo que mostraban sus monitores y paneles y con qu\u00e9 clase de programas trabajaban. Es decir, analizaron las pr\u00e1cticas adoptadas por la empresa en su totalidad, prestando especial atenci\u00f3n a la verificaci\u00f3n de los procesos del sistema de gesti\u00f3n de la seguridad de la informaci\u00f3n: el an\u00e1lisis de seguridad seg\u00fan la gesti\u00f3n, la gesti\u00f3n de riesgos, la gesti\u00f3n de incidentes, las medidas correctivas, las auditor\u00edas, las formaciones de ciberseguridad en los empleados y la procuraci\u00f3n de la continuidad del negocio.<\/p>\n
Ahora, los clientes preocupados pueden familiarizarse con este certificado, que representa la opini\u00f3n de expertos independientes. Las preguntas sobre la certificaci\u00f3n ISO 27001 surgen con bastante frecuencia, sobre todo cuando una empresa elige a su proveedor de seguridad, ya que la mayor\u00eda de nuestras soluciones cuentan con servicios certificados.<\/p>\n
Pero el trabajo no termina aqu\u00ed. Renovamos la certificaci\u00f3n cada 3 a\u00f1os. Eso significa que podr\u00e1s comprobar la titularidad del certificado en otras auditor\u00edas. Adem\u00e1s, los auditores realizan controles sorpresa cada a\u00f1o.<\/p>\n