Auditoría exhaustiva de seguridad de la información, cubriendo desde procesos internos hasta nuevas amenazas.

ISO 27001 es una norma internacional con requisitos para la creación, el mantenimiento y el desarrollo de los sistemas de gestión de la seguridad de la información. En esencia, se trata de una recopilación de las mejores prácticas destinadas a las medidas de gestión de la seguridad que protegen la información y garantizan a los clientes que sus datos están protegidos.

Para realizar la certificación, una entidad independiente (en nuestro caso, Quality Cert) envía auditores cuyo objetivo es verificar si los procesos que brindan la ciberseguridad cumplen con las mejores prácticas. Durante el proceso de verificación, los auditores evalúan los diferentes departamentos (incluyendo recursos humanos, informática y seguridad) y desarrollan un informe global, que posteriormente otros expertos independientes analizan para confirmar la imparcialidad de los auditores. Finalmente, el organismo independiente emite un certificado que, en nuestro caso, confirma que el sistema de gestión de la seguridad de la información cumple con las mejores prácticas.

¿Qué se “certifica”?

A nuestros clientes les interesa sobre todo saber si proporcionamos el mayor nivel posible de seguridad en los procesos de envío de los objetos maliciosos y sospechosos (archivos) para su análisis adicional automático y manual por parte de nuestros expertos; y si almacenamos dichos objetos de manera fiable. Esta área es clave para cualquier empresa de antivirus. Sin embargo, el auditor no se limita solamente a esta área. Muchos servicios en la empresa están organizados de forma similar.

Son varios los factores que afectan a la seguridad de cualquier proceso; pero los sistemas de gestión de la seguridad de la información pueden ayudar a definir esos factores y a proporcionar una protección oportuna. Surgen muchas preguntas en torno a la gestión de la ciberseguridad que se consideran fundamentales. ¿Quién tiene acceso a los sistemas de información y a los datos críticos? ¿Cómo fue su proceso de solicitud de empleo? ¿Cómo trabajan los empleados con los documentos y los sistemas de información? ¿Cómo gestiona el equipo de seguridad la revocación de los derechos de acceso cuando un empleado se va? ¿Conocen los empleados las ciberamenazas y los posibles medios de protección contra ellas? ¿Cómo trabajan los administradores con los ordenadores que ejecutan operaciones críticas?

El sistema de protección también contempla nuevos tipos de amenazas y neutralización; por ejemplo, la protección contra los ataques de APT (amenaza persistente avanzada), lo que neutraliza los posibles riesgos de uso de nuevas tecnologías, incluidos los algoritmos de aprendizaje automatizado.

Dicho esto, los auditores analizan la documentación, hablan con los empleados de varios departamentos y analizan los aspectos técnicos y de organización de la protección de datos, como los procesos de contratación, despido y formación. Estudian cómo mantiene el servicio informático la red corporativa y visitan los centros de datos. También observan cómo trabajan los empleados; verifican si dejan documentos impresos y medios extraíbles olvidados por ahí; si dejan sus ordenadores bloqueados cuando no estaban cerca de sus escritorios, así como lo que muestran sus monitores y paneles y con qué clase de programas trabajaban. Es decir, analizamos las prácticas adoptadas por la empresa en su totalidad, prestando especial atención a la verificación de los procesos del sistema de gestión de la seguridad de la información: el análisis de seguridad según la gestión, la gestión de riesgos, la gestión de incidentes, las medidas correctivas, las auditorías, las formaciones de ciberseguridad en los empleados y la procuración de la continuidad del negocio.

Si desea un presupuesto para certificar su empresa, rellene el formulario https://qualitycert.es/certificacion-de-sistemas o escríbanos a info@qualitycert.es