Certificación ISO 27001: qué es y por qué es necesaria

Qué certificación recibimos y cómo se realizó dicha certificación.

Recientemente, TÜV AUSTRIA confirmó que el sistema de gestión de la seguridad de la información que implementamos en la infraestructura de Kaspersky Security Network (KSN) está en conformidad con la norma ISO/IEC 27001:2013  para el envío de archivos maliciosos y sospechosos. TÜV también confirmó el almacenamiento seguro y el acceso a estos archivos en el Sistema de archivo distribuido de Kaspersky Lab (KLDFS). Te contamos en qué consiste la certificación ISO/IEC 27001:2013.

¿Qué es ISO 27001?

El ISO 27001 es una norma internacional con los requisitos para la creación, el mantenimiento y el desarrollo de los sistemas de gestión de la seguridad de la información. En esencia, se trata de una recopilación de las mejores prácticas destinadas a las medidas de gestión de la seguridad que protegen la información y garantizan a los clientes que sus datos están protegidos.

Para realizar la certificación, una entidad independiente (en nuestro caso, TÜV AUSTRIA) envía auditores cuyo objetivo es verificar de qué modo los procesos que brindan la ciberseguridad cumplen con las mejores prácticas. Durante la verificación, los auditores evalúan los diferentes departamentos incluyendo RH, TI, I&D y seguridad) y arman un informe global, que posteriormente otros expertos independientes analizan para confirmar la imparcialidad de los auditores. Finalmente, el organismo independiente emite un certificado que en nuestro caso confirma que el sistema de gestión de la seguridad de la información cumple con las mejores prácticas.

¿Qué significa “certificado”?

Nuestros clientes están interesados sobre todo en saber si proporcionamos el mayor nivel posible de seguridad para los procesos de envío de los objetos maliciosos y sospechosos (archivos) para su análisis adicional automático y manual por parte de nuestros expertos; y si nosotros almacenamos dichos objetos de modo confiable. Esta área es clave para cualquier empresa de soluciones de seguridad y antivirus. Por lo tanto, logramos la certificación de los mecanismos de envío para los archivos maliciosos y sospechosos mediante la infraestructura de Kaspersky Security Network y de su almacenamiento seguro en el Sistema de archivo distribuido de Kaspersky Lab. Sin embargo, la auditoría no se limitó solamente a esta área. Muchos servicios en la empresa se encuentran ordenados de una manera similar.

Varios factores afectan la seguridad de cualquier proceso; pero los sistemas de gestión de la seguridad de la información pueden ayudar a definir esos factores y a proporcionar una protección contra ataques online. Muchas preguntas en torno a la gestión de la ciberseguridad se consideran fundamentales. ¿Quién tiene acceso a los sistemas de información y a los datos críticos? ¿Cómo fue su proceso de solicitud de empleo? ¿Cómo trabajan los empleados con los documentos y los sistemas de información? ¿Cómo gestiona el equipo de seguridad la revocación de los derechos de acceso cuando un empleado se va? ¿Cuán buena es el conocimiento de ciberseguridad de los empleados y de los posibles medios de protección contra ellas? ¿Cómo los administradores trabajan con las computadoras que ejecutan operaciones críticas?

El sistema de protección también contempla nuevos tipos de amenazas y neutralización; por ejemplo, la protección contra los ataques de APT (amenaza avanzada persistente), lo que neutraliza los posibles riesgos de uso de nuevas tecnologías, incluyendo los algoritmos de aprendizaje automatizado.

Con lo anterior en mente, los auditores analizaron la documentación, hablaron con los empleados de varios departamentos y analizaron los aspectos técnicos y de organización de la protección de datos, como los procesos de reclutamiento, despido y capacitación. Estudiaron cómo el servicio de TI mantiene la red corporativa y visitaron nuestros centros de datos. También observaron cómo los empleados trabajan; verificaron si dejaban documentos impresos y medios extraíbles olvidados por ahí; si dejaban sus computadoras bloqueadas cuando no estaban cerca de sus escritorios, así como lo que sus monitores y paneles mostraban y con qué clase de programas trabajaban. Es decir, analizaron las prácticas de ciberseguridad de la empresa en su totalidad, prestando especial atención a la verificación de los procesos del sistema de gestión de la seguridad de la información: el análisis de seguridad según la gestión, la gestión de riesgos, la gestión de incidentes, las acciones correctivas, las auditorías, el aseguramiento de concientización de ciberseguridad en los empleados y la procuración de la continuidad del negocio.

¿Qué sigue ahora?

Ahora, los clientes preocupados pueden familiarizarse con el certificado, el cual representa la opinión de expertos independientes. Las preguntas sobre la certificación ISO 27001 surgen con bastante con frecuencia, especialmente cuando una empresa elige a su proveedor de seguridad, porque la mayoría de nuestras soluciones implican servicios certificados.

Pero el trabajo no termina aquí. Renovamos la certificación cada 3 años. Eso significa que hay más auditorías para comprobar la titularidad del certificado. Además, los auditores realizan controles sorpresa cada año.

Puedes encontrar información adicional sobre el certificado en el siguiente enlace: https://www.kaspersky.com/about/iso-27001 y más información sobre otros premios de las soluciones de seguridad de Kaspersky.

Consejos