Xeerpa ha obtenido recientemente la certificación de seguridad ISO 27001, un sello sumamente importante para compañías que trabajan con datos. Por este motivo, y con el objetivo de conocer más sobre la importancia de este sello, hemos querido charlar y plantear algunas cuestiones a nuestro CIO, Guillermo Cediel Blanco.
– Cuéntanos Guille, ¿Qué supone para Xeerpa la obtención del sello ISO?
Supone ante todo la garantía de que el servicio que estamos ofreciendo a nuestros clientes cumple unos requisitos mínimos relativos a la seguridad de la información que estamos tratando para ellos. Previamente a la obtención de la certificación ISO 27001, en Xeerpa hemos tenido un proceso de adaptación de más de un año, con el fin de adaptar nuestros procesos internos y nuestros sistemas, con el objeto no sólo de obtener dicha certificación, sino de mejorar la forma en la cual estamos trabajando. A fin de cuentas, la obtención de la certificación no sólo es un sello que podemos mostrar, sino una garantía y una evidencia de que estamos trabajando correctamente para garantizar la seguridad de toda la información que estamos tratando.
– ¿Por qué es necesario para el mercado actual de datos?
En el mundo actual, en el cual el uso de la tecnología para el tratamiento de la información, no solo es indispensable, sino que es el pilar fundamental para el funcionamiento de cualquier compañía, es imprescindible que los sistemas de información ofrezcan unos niveles de seguridad muy altos. Por niveles de seguridad no sólo nos referimos a la seguridad física de la información (confidencialidad), de cara a posibles accesos no deseados, sino también a garantizar que la información se encuentra disponible para los distintos destinatarios (disponibilidad), y que la misma es exacta (integridad). Estos tres puntos son los pilares de la norma ISO 27001: integridad, confidencialidad y disponibilidad. Cumpliendo estas tres premisas, podemos asegurar que tenemos una base muy sólida sobre la cual construir el resto de servicios, no solo los ofrecidos a los clientes, sino también a los de uso interno.
– ¿Cuáles son los requerimientos que se le han exigido a Xeerpa para su obtención?
Como se acaba de comentar, el pilar básico de la norma ISO 27001 es el de garantizar la integridad, confidencialidad y disponibilidad de la información tratada; información no sólo en formato digital, sino en formato físico, y aplicable a todos los procesos, no sólo los pertenecientes a los clientes, sino también a los proveedores, y a nuestros procesos internos. Para obtener la certificación, tras el periodo de adaptación interna comentado anteriormente, hemos debido superar dos auditorías, una interna, y otra externa, por parte de Applus, que comprenden la revisión de más de cien puntos pertenecientes a los distintos procesos de trabajo o de tratamiento de la información, que se refieren a temas tan dispares como son la existencia y cumplimiento de las políticas de seguridad internas, la gestión de nuestros activos, la seguridad y criptografía utilizada en nuestros sistemas y comunicaciones, relación con nuestros proveedores y clientes, etc. Hemos pasado la auditoría satisfactoriamente en el primer intento, sin ninguna No Conformidad Mayor, lo que nos permite obtener el sello de la norma.
– ¿Cuáles son los siguientes retos en materia de seguridad?
El reto más inminente que tenemos en estos momentos es el de terminar la adaptación al nuevo Reglamento General de Protección de Datos (GDPR), tarea que ya prácticamente tenemos cumplida. Aparte de esto, la seguridad en nuestros sistemas y servicios es una cuestión, aparte de máxima prioridad, de mejora continua; es necesaria la realización de pruebas periódicas para garantizar que nuestros requisitos de seguridad se están cumpliendo, por medio de pruebas periódicas, y metodologías de mejora continua, adaptación a nuevas normativas, implantación de nuevas tecnologías, etc. Nuestro objetivo siempre es que los servicios ofrecidos a nuestros clientes, la relación con los proveedores, y los procesos internos tengan unos requisitos de seguridad (en todas sus vertientes) de máximo nivel. Por último, y relacionado con este último punto, estar al día de las nuevas prácticas, recomendaciones y tecnologías, con el fin de ofrecer un servicio de alta calidad.