Uno de los mayores casos de éxito de nuestra compañía ha sido la adaptación para certificación en ISO 27001 realizado a Gradiant. Debido a ello queremos explicaros como ha sido el proceso desde el primero momento.
Gradiant es un proveedor de innovación, con trece años de experiencia en incubación de tecnología. En estos años ha llevado a cabo más de 340 proyectos para sectores como el aeroespacial, la ciberseguridad o el de la salud y el bienestar, situándose en la actualidad como uno de los actores principales del Sistema Nacional I+D+i.
El reto
Gradiant, como referente de la innovación y desarrollo de tecnología disponía de varias normas (ISO 9001 y UNE 166002) pero hasta la fecha no disponía de ninguna relacionada con la seguridad de la información, y por tanto no tenía implementado un sistema de gestión de la seguridad de la información (SGSI).
La seguridad de la información es un pilar fundamental y el no disponer de un SGSI supone que no se dispone de una protección eficaz frente a diferentes riesgos y amenazas y por tanto no se tienen los mecanismos para afrontar un incidente de seguridad con garantías.
Solución Inprosec
El principal objetivo del proyecto era obtener la certificación ISO 27001 en un plazo de un año aproximadamente. Otro de los objetivos fundamentales del proyecto era consolidar a Gradiant como organización consciente de la importancia y la necesidad de promover la seguridad de la información en las empresas. Además, el SGSI implementado debía estar integrado en el sistema de gestión ya existente en Gradiant.
El primer paso llevado a cabo fue la realización de una auditoría de seguridad para comprobar el estado actual en el que se encontraban respecto a la ISO 27001.
Una vez realizada la auditoría, Inprosec trabajó en las diferentes deficiencias para conseguir que Gradiant se certificara. Principalmente se realizaron las siguientes tareas:
- Identificación y catalogación de activos: En esta tarea el principal objetivo era inventariar los diferentes activos de información. Es una de las tareas fundamentales ya que es muy importante tener claro de qué activos de información dispone la empresa (No sólo los físicos, sino de cualquier tipo que contenga información, físicos, en cloud…etc), asignarle un responsable y agruparlos en los casos en los que los controles establecidos sobre ellos y la criticidad sea la misma. Además, es la base para trabajar el análisis de riesgos (siguiente fase).
- Análisis de riesgos: Fue una de las fases en la que más tiempo se ha invertido, debido a la importancia de la misma, ya que se discutió los diferentes valores de riesgo que afectan a cada activo con cada responsable. Primeramente, se definió la metodología a seguir y se dejó documentada para futuros análisis. Se trabajó en definir las posibles amenazas, evaluando la probabilidad de ocurrencia e impacto sobre el activo, en caso de producirse. Después, se evaluaron los controles/salvaguardas implantadas en Gradiant para evaluar cuanto riesgo reducían y obtener así el riesgo residual de cada activo frente a todas las amenazas definidas. Para los riesgos que superaran el umbral definido se decidió la acción de mitigación (reducir, transferir, eliminar o aceptar). Como resultado de esta fase se obtuvo el plan de tratamiento de riesgos (PTR), dónde se establecieron las acciones concretas a llevar a cabo para mitigar los riesgos.
- Definición, implantación y mejora de controles de seguridad: Durante esta fase se llevaron a cabo las acciones derivadas del PTR y las acciones derivadas de la auditoría de seguridad.
- Definición e implementación de un SGSI y preparación para certificación: Durante esta última fase se produjo la creación del SGSI, con todo el marco normativo asociado y aprobado por la Dirección. Además, se preparó toda la documentación para la auditoría y finalmente se realizó una auditoría interna (con un proveedor externo) previa a la de certificación para identificar puntos de mejora.
Resultados
La implementación de un SGSI, junto con la mejora/implementación los controles de seguridad y documentación asociada nos sirvió para conseguir los siguientes beneficios en Gradiant.
- Certificación ISO 27001 conseguida desde 2018
- Consolidar a Gradiant como organización que promueve la seguridad de la información.