Compartimos una gran noticia: Spacewell Energy (Dexma) ha obtenido la certificación ISO 27001. Esta acreditación, reconocida en todo el mundo, garantiza un alto nivel de seguridad de la información dentro de la organización.
Para obtener la acreditación ISO 27001, Spacewell Energy (Dexma) se sometió a extensas auditorías en diversas áreas de la organización y ha superado con éxito todas las etapas necesarias para obtener la certificación. La acreditación ISO 27001 es la garantía de que hemos conseguido un sistema funcional, estructurado, seguro y escalable, y de que la calidad y la coherencia están en el centro de nuestra actividad.
En un mundo de tecnología omnipresente, la seguridad de los datos personales se ha convertido en una preocupación creciente tanto para los individuos como para las empresas.
La obtención de este certificado nos permite ofrecer garantías sólidas a clientes y socios de que los datos se gestionan de acuerdo con las mejores prácticas internacionales y de que cumplimos con los requisitos normativos, como el Reglamento General de Protección de Datos (RGPD). La decisión de obtener esta acreditación también demuestra nuestra concienciación y consideración de los riesgos relacionados con los datos y la importancia de la seguridad.
¿Qué es la ISO 27001?
La ISO/IEC 27001:2013 es una certificación internacional líder para la gestión de la seguridad de la información en las organizaciones. Fue publicada por primera vez en 2005 por la Organización Internacional de Normalización (ISO) y actualizada en 2013.
Esta norma proporciona la ruta a seguir para anticiparse a posibles problemas y mantener los datos seguros. Establece los requisitos para la implantación, ejecución, mantenimiento y optimización de un Sistema de Gestión de la Seguridad de la Información (SGSI).
Para cumplir los principios fundamentales de la seguridad de la información, el SGSI se estructura en torno a tres ejes principales: confidencialidad (sólo las personas autorizadas pueden acceder a los datos), integridad (garantizar que los datos siguen siendo precisos y coherentes durante toda su vida útil) y disponibilidad de la información (los datos y sistemas deben estar a disposición de las personas autorizadas).
Por tanto, el principal objetivo del SGSI es reducir sistemáticamente los riesgos relacionados con los datos en toda la organización.
Es importante destacar que los controles no sólo deben estar relacionados con las Tecnologías de la Información (TI). De hecho, deben adoptar varias formas, ya que sólo la combinación de tecnología, personas y procesos puede proporcionar un nivel aceptable de seguridad.
Para mitigar estos riesgos y aumentar la seguridad de la información, deben aplicarse salvaguardas como el cifrado de discos, los procedimientos, las declaraciones legales y la formación de los empleados.
Los pasos para establecer un SGSI son los siguientes:
- Identificar las amenazas que podrían poner en peligro la confidencialidad, integridad y disponibilidad de la información, mediante una evaluación de riesgos.
A modo de ejemplo, la metodología de análisis de riesgos Magerit, adaptada a Spacewell Energy (Dexma), identificó 24 amenazas potenciales que se dividen en dos categorías principales: «Errores y fallos no intencionados [E.xx]» y «Ataques deliberados [A.xx]». En nuestro caso, las amenazas de riesgo de Magerit seleccionadas y a las que se aplicó un Análisis de Riesgo fueron «[E.1] Errores de usuario», «[E.2] Errores de administrador» y «[E.3] Error de inicio de sesión». - Una vez identificadas las amenazas, es el momento de seleccionar el control apropiado para cada riesgo que pueda calificar de inaceptable. Estos controles pueden incluir la criptografía, la seguridad de las comunicaciones, la seguridad de los recursos humanos y la gestión de activos, entre otros. (Para la lista completa, consulta el Anexo A).
- Por último, hay que aplicar un Factor de Reducción de Riesgos (FRR) a cada elemento. El valor medio de todos los FRR individuales relacionados con una amenaza específica se convierte en el FRR medio ponderado que se aplica a los cálculos de riesgo inherente en los que interviene la amenaza específica. Gracias a la norma ISO 27001, este proceso puede realizarse de forma metodológica y sistemática, de modo que no se descuida nada.
¿Por qué Implementar la ISO 27001?
Son muchos los beneficios y mejoras que conlleva la aplicación de la ISO 27001, entre los que puedes encontrar:
- La Protección de Datos Críticos: con un SGSI, reduces el riesgo de que la información se utilice de forma inadecuada, sea inexacta o deje de estar disponible.
- El Cumplimiento de los Requisitos Legales: te asegurarás de estar siempre a la vanguardia de las regulaciones cada vez más estrictas, incluyendo el RGPD (Reglamento General de Protección de Datos), el NIS (Network and Information Systems) y el resto de la legislación sobre ciberseguridad.
- El aumento de la confianza y la lealtad: tus clientes y socios tienen la seguridad de que sus datos están protegidos y se gestionan de acuerdo con las mejores prácticas internacionales.
- El beneficio de una reputación internacional: la norma de gestión ISO está reconocida en todo el mundo y refuerza significativamente su credibilidad más allá de las fronteras nacionales.
- Una certificación hecha a medida y adecuada para cualquier organización: La norma ISO 27001 es adecuada para cualquier empresa, independientemente del sector, tamaño o tipo, y se puede adaptar a las necesidades específicas de tu organización, con lo que se reducen los costes al eliminarse medidas y herramientas innecesarias.
Contexto y Alcance del SGSI de Spacewell Energy (Dexma)
Identificar el contexto de tu empresa es un requisito que se encuentra en la cláusula 4.1 de la norma ISO 27001. Pero no sólo eso… Con el fin de obtener una clara comprensión de las cuestiones relacionadas con la Seguridad de la Información (ya sean positivas o negativas) y para asignar los recursos donde se pueden lograr los mejores resultados, era esencial para Spacewell Energy (Dexma) identificar el contexto organizativo tanto desde un punto de vista interno como externo.
Los factores internos bajo el control directo de Spacewell Energy (Dexma) incluyen:
- Estructura organizativa para ayudar a posicionar el SGSI
Incluye el gobierno corporativo, la estructura organizativa, el papel y las responsabilidades y las relaciones de información en la norma ISO 27001. Pero también la forma y profundidad de las relaciones contractuales con otras áreas de la empresa. - Recursos disponibles para orientar el desarrollo de competencias y soluciones
Incluye la experiencia y la formación en términos de recursos y conocimientos; las normas, las directrices y los modelos de gestión seguidos por Spacewell Energy (Dexma). - Impulsores organizativos para desarrollar los soportes pertinentes
Políticas y objetivos, así como las estrategias establecidas para alcanzarlos y la cultura corporativa de Spacewell Energy (Dexma). - Operaciones organizativas para conocer cómo se ejecutan los procesos
Incluía los sistemas de información, los flujos de información y las interfaces.
Aunque las cuestiones externas no pueden controlarse, la empresa puede adaptarse a ellas. Las cuestiones externas que afectan a los resultados del SGSI de Spacewell Energy (Dexma) incluyen:
- Diversos factores
Entorno social, cultural, político, legal, normativo, financiero, tecnológico, económico, medioambiental y de mercado a nivel internacional, nacional y local. - Tendencias del mercado y de los clientes
Como las tendencias cambian constantemente, pueden tener un impacto en los objetivos empresariales de Spacewell Energy (Dexma). Debemos estar siempre alerta a las novedades del mercado. - Relaciones externas
Incluye las relaciones con terceros, en particular con las partes interesadas, que tienen sus propios valores, creencias y percepciones que deben tenerse en cuenta.
En el alcance del SGSI de Spacewell Energy (Dexma) incluye la Producción de programas nuevos y modificados, las operaciones técnicas de sistemas y gestión de TI en el entorno de Producción. Los siguientes procesos están incluidos:
- Gestión de la seguridad de la información (SEC001)
- Seguridad perimetral (SEC002)
- Producción de TI (SYS001)
- Despliegue de TI (SYS002)
Cómo Obtener la Certificación ISO 27001
¿Cuáles son los Pasos para la Certificación?
- Paso 1: Auditoría Preliminar
Evaluación por parte de los auditores para determinar la situación actual en la empresa. Este paso es opcional. Esta auditoría se realiza para comparar el nivel de seguridad de tu SGSI con los requisitos de la norma ISO 27001, lo que pondrá de manifiesto las áreas de atención y de mejora antes del siguiente paso. - Paso 2: Auditoría de Certificación – Nivel 1
Esta primera etapa de auditoría se refiere a la implementación de controles y procedimientos de acuerdo con los requisitos de la norma. Si se detectan incumplimientos, tendrás que corregirlos. - Paso 3: Auditoría de Certificación – Nivel 2
Si se supera la primera fase, el evaluador realizará una auditoría más profunda. Esta segunda auditoría evalúa la aplicación de los procedimientos y controles analizados en el Nivel 1 para garantizar que cumplen los requisitos de la norma ISO27001. - Paso 4: Certificación
Una vez que la empresa haya sido auditada con éxito, recibirá la certificación. Es válida durante 3 años, sujeta a condiciones. En efecto, tu empresa debe dar muestras continuas de progreso en materia de seguridad y, además, debe estar siempre al día y cumplir con la norma. - Paso 5: Auditorías de Control
Durante los dos primeros años, deben realizarse auditorías de control en aras del cumplimiento y la mejora continua. - Paso 6: Renovación de la Certificación
Antes de que finalicen los 3 años, si quieres mantener la certificación ISO 27001 debes renovarla. Para ello, habrá que repetir los pasos detallados anteriormente.
¿Cuánto Cuesta la Certificación ISO 27001?
Es bastante difícil definir un precio exacto para la certificación, ya que depende de varios factores: la complejidad de tu SGSI, el número de localizaciones, el número de empleados, el número de redes segregadas, etc.
En general, el coste se calcula en función de la evaluación de riesgos realizada, las necesidades tecnológicas y el tiempo del empleado, que se considera la mayor fuente de gasto. Es importante tener en cuenta que cada caso es diferente y por tanto el precio puede variar según los factores anteriores y el tamaño de tu empresa.
¿Cuánto Tiempo dura el Proceso de Evaluación?
La duración del proceso de evaluación de implantación varía también, ya que dependerá del tamaño de su empresa, de la complejidad de su SGSI, de la madurez de tu negocio y de cuántos requisitos cumplas ya. Por lo tanto, puede durar desde 3 meses en el caso de las empresas pequeñas hasta al menos un año en el caso de organizaciones más grandes.
¿Qué Validez tiene la Certificación ISO 27001?
Como hemos mencionado anteriormente, una vez que tu empresa obtenga la certificación ISO, ésta será válida durante 3 años, siempre que se realice una revisión anual.
Como ves, embarcarse en el proceso de certificación ISO 27001 no es una tarea fácil. Incluso puede ser bastante abrumador, ya que requiere tiempo, dinero y compromiso por parte de tu equipo.
¡Pero hay muchos motivos por los que animarse! No todas las organizaciones se deciden a dar el salto, pero si lo hacen, se benefician de las ventajas que aporta esta certificación. Si deseas más detalles e información, puedes acceder a la Certificación ISO 27001 de Spacewell Energy (Dexma) aquí.
Política de seguridad de la información: La base de la protección en la era digital
Una Política de Seguridad de la Información es un conjunto de directrices, normas y procedimientos diseñados para proteger la información sensible de una organización, garantizando su disponibilidad, confidencialidad, integridad y autenticidad.
La Política de Seguridad de la Información es un componente fundamental de la gestión de la seguridad de la empresa y debe ser difundida y aceptada por todos los miembros de la organización. Mediante la aplicación de esta política, la empresa puede mejorar su postura de seguridad y proteger la información sensible.
Spacewell Energy (Dexma) ha implantado una Política de Seguridad que refleja su compromiso de proteger los datos de sus clientes, así como sus propios activos y procesos internos. Puedes consultar la política de seguridad (en inglés) en el siguiente enlace.
No dudes en ponerte en contacto con nosotros si necesitas más información.