“Gracias a la alianza con Delta Protect, Atrato ha logrado avances significativos hacia la certificación ISO 27001, fortaleciendo notablemente su seguridad y cumplimiento. El soporte continuo y las asesorías expertas de Delta, combinadas con la innovadora plataforma Apolo, han sido fundamentales para acelerar y optimizar nuestro roadmap, permitiéndonos enfrentar y superar eficazmente cualquier desafío en seguridad de la información.”
“Tras 3 meses de colaboración efectiva con Delta Protect, estamos impresionados con los resultados y la cobertura del programa de Pentesting de CISO As a Service. Hemos detectado y abordado vulnerabilidades clave, mejorando significativamente nuestra seguridad de la información. Los entrenamientos de Ciberseguridad y ejercicios de Phishing han sido cruciales para aumentar la conciencia de nuestros colaboradores. Agradecemos el seguimiento y apoyo continuo de Delta Protect y esperamos alcanzar más objetivos juntos.”
“Nuestra colaboración con Delta Protect marcó un hito en nuestra seguridad digital. Su enfoque meticuloso y detallado en el Pentest reveló vulnerabilidades ocultas que habían pasado inadvertidas, demostrando una eficacia y rapidez impresionante en su resolución. Además, su servicio de CISOaaS transformó nuestra estrategia de ciberseguridad, donde su equipo experto nos guió en el desarrollo de políticas robustas y procesos efectivos.”
“Me complace enormemente relatar la experiencia positiva y enriquecedora que hemos tenido con Delta Protect y su sobresaliente servicio de Chief Information Security Officer as a Service (CISOaaS). Representando al departamento de TI de Sperientia, quiero expresar mi profunda gratitud y aprecio por el alto nivel de calidad y profesionalismo evidenciado en nuestra colaboración con el equipo de Delta Protect. Desde el inicio de nuestra asociación con Delta Protect, hemos observado un compromiso y una excelencia excepcionales, superando ampliamente nuestras expectativas.”
“Mi experiencia con el equipo de especialistas de Delta Protect ha sido tremendamente positiva. En todo momento, han mostrado un alto grado de profesionalismo, experiencia y conocimiento, manejándose con una ética impecable. Su atención al detalle y su disposición para resolver problemas y brindar apoyo han sido imprescindibles. Como CISO, valoro enormemente contar con aliados tan confiables y competentes, que contribuyen significativamente a fortalecer la postura de ciberseguridad de mi compañía.”
Nuestra reciente experiencia con Delta Protect en el pentesting fue excepcional. Nos brindaron asistencia crucial para identificar y fortalecer aspectos de seguridad en variados sistemas e interfaces, abarcando front-end, back-end y aplicaciones móviles. Su enfoque ágil y sumamente profesional fue notable. Sin duda, confiaríamos nuevamente en Delta Protect para asegurar la integridad de nuestros sistemas.
Estoy absolutamente impresionado con la experiencia brindada por Delta Protect. Son, sin duda, el proveedor más responsable y cumplidor que hemos tenido el placer de colaborar.
Mi trayectoria con DeltaProtect se remonta a mi empleo anterior, donde ya tenía contacto con ellos desde el equipo de Ciberseguridad. Solicitamos pruebas de penetración (PT) para aplicaciones web y móviles. Mi experiencia con varios proveedores, grandes y pequeños, me ha demostrado que DeltaProtect se destaca significativamente. Sus informes y hallazgos son superiores, identificando vulnerabilidades que otros proveedores no detectaron. Lo que más valoro es la profundidad de sus pruebas y el enfoque en vulnerabilidades que requieren un análisis más detallado, más allá de los resultados automáticos.
"Delta Protect fue una solución óptima para nosotros. Buscábamos un proveedor bien actualizado técnicamente, que entendiera nuestro modelo de negocio y que nos diera la certeza de poder transmitir solidez a nuestros clientes. El trato del equipo Delta y sus procesos han superado nuestras expectativas, sin duda seguiremos trabajando juntos.”
"¡La experiencia general de trabajar con Delta Protect ha sido simplemente excelente! El equipo responde con velocidad, aclaran todas las preguntas a medida que surgen y el apoyo brindado durante todo el proceso es excelente. Lo Recomendaría sin dudarlo.”
"El servicio de Delta Protect es altamente profesional. Quedamos muy satisfechos con el resultado. Ofrecieron acompañamiento en todo momento para encontrar y solucionar las vulnerabilidades que encontraron en nuestro sistema.”
¿Qué es la norma ISO 27001?: Beneficios y proceso de certificación
Ciberseguridad y Cumplimiento Simplificado para Startups y PYMEs en México y LATAM 🔐
Introducción
Con la llegada y desarrollo de la tecnología se ha visto un aumento considerable en los riesgos de seguridad de la información para las empresas y organizaciones. Esto trae como consecuencia la pérdida de los servicios esenciales de red, decaimiento de la reputación y confianza de los clientes y graves problemas a nivel financiero.
En la búsqueda de soluciones a esta problemática surge la norma ISO 27001 y durante todo este artículo estaremos brindando información relevante sobre su implementación, beneficios y cómo obtener la certificación para la mejora de su organización.
¿Qué es ISO?
La ISO (International Organization for Standardization) es una organización internacional no gubernamental que cuenta actualmente con 167 países miembros y reúne expertos para compartir conocimientos y desarrollar normas internacionales que ayuden a adoptar las mejores prácticas para asegurar productos y servicios de calidad óptima, de forma homogénea en todo el mundo.
La organización tuvo sus inicios en el año 1946 en Londres y estuvo conformada por delegados de 25 países que fundaron los primeros comités técnicos con expertos enfocados en temas específicos y recursos necesarios en fabricación de productos y tecnologías que garanticen la satisfacción de los consumidores.
La ISO cuenta con una larga lista de normas publicadas, como la ISO 9001, ISO 22301 y una de las más reconocidas a nivel mundial, la norma ISO 27001: Sistemas de Gestión de la Seguridad de la Información (SGSI). La misma se basa en la política de seguridad de la información.
Esta última norma es la respuesta a una problemática actual que surge en diversas plataformas, la seguridad de la información del cliente. Esto debido a que se ha visto cómo se vuelve cada vez más común la solicitud de datos en formularios de diferentes páginas y plataformas. Se consideró que debían existir formas de proteger estos datos, pues muchas veces involucra información de vivienda, contraseñas bancarias, números de tarjetas de crédito, número de teléfono, número de seguridad social, entre muchos otros datos personales que en las manos equivocadas pueden poner en riesgo la seguridad del cliente.
Nota curiosa: Debido a que 'Organización Internacional para la Estandarización' tendría diferentes acrónimos en diferentes idiomas (IOS en inglés, OIN en francés para Organización internacional de normalización), sus fundadores decidieron darle la forma abreviada ISO. ISO se deriva del griego 'isos', que significa igual. Sea cual sea el país, sea cual sea el idioma, siempre se podrá reconocer como ISO.
¿Qué es la norma ISO 27001?
ISO 27001 es una norma internacional emitida por la Organización Internacional de Normalización (ISO). Esta se basa en la teoría de gestión de calidad, o por sus siglas en inglés PDCA (Plan, Do, Check, Act. Planificar, Hacer, Verificar, Actuar en español) y describe cómo gestionar la seguridad de la información en una empresa para la mejora continua de los sistemas de información y garantizar la ciberseguridad de los activos de información. La filosofía que rige a esta norma es la investigación de los riesgos para la futura creación de un plan de tratamiento adecuado.
Es una norma que especifica los controles necesarios para establecer, implementar, mantener y mejorar continuamente un sistema de gestión de seguridad de la información, o ISMS por sus siglas en inglés (Information Security Management System), dentro del contexto de la organización. Los requisitos de la norma son de carácter genérico y están destinados a ser aplicables a todas las organizaciones, independientemente de su tipo, tamaño o naturaleza.
Al igual que otros estándares de sistemas de gestión ISO, la certificación ISO/IEC 27001 es posible, pero no obligatoria y puede ser implementada por cualquier tipo de organización, con o sin fines de lucro. Algunas organizaciones eligen implementar el estándar para beneficiarse de las mejores prácticas que contiene, mientras que otras deciden que también desean obtener la certificación para asegurar a los clientes que se han seguido sus recomendaciones, pues esto conlleva ciertos beneficios de los que se hablará más adelante.
¿Cómo funciona la norma 27001?
La ISO 27001 es una forma de seguridad de información. Entendiendo esto último como las medidas preventivas de resguardo de información de sistemas. Esto quiere decir que busca mantener la confidencialidad e integridad de los datos, independientemente de su formato.
Esto lo hace mediante la investigación de posibles problemas, vulnerabilidades y riesgos que pueda presentar la organización. Para ello se utiliza la evaluación de riesgos y luego se define la mitigación o tratamiento de riesgos.
Es común que los controles de seguridad se implementen a través de softwares y equipos. Así como también se requiere de la definición de políticas y procedimientos.
En muchos casos ya se cuenta con las herramientas técnicas como software y hardware, pero por desconocimiento no se saca el suficiente provecho. Es de allí que surgen los requisitos de la gestión de la seguridad de la información en las organizaciones propuestas por la ISO, donde el correcto cumplimiento de requisitos garantizará la obtención del certificado.
Es importante resaltar que ISO no realiza la certificación, sino que propone los controles adecuados para lograr obtenerla. Todo esto bajo reglas de estándar internacional y requisitos generales. Esta última información la ampliaremos más adelante.
Beneficios de la norma ISO 27001
Las buenas prácticas de gestión de seguridad de la información y cumplimiento de los controles establecidos por la ISO 27001 produce ventajas esenciales para una empresa. Los mismos los veremos a continuación:
Minimización de riesgos
Se disminuye la posibilidad de sufrir un incidente que comprometa la información de la organización. Esto mediante la evaluación de riesgos que permite conocer las vulnerabilidades y a partir de allí, tomar las acciones correctivas para dar paso a la continuidad del negocio.
Algunos riesgos que se evitan o minimizan con la ISO 27001 son: obtención de datos privados del usuario o la organización, hackeo a sistemas y ataques financieros. Dicho de otra forma, promueve la ciberseguridad.
Aumento de confianza
El contar con esta certificación genera mayor confianza en clientes, proveedores y otras entidades. Además de proteger a la organización de ciberataques, al seguir los pasos de certificación, se demuestra que la misma es confiable, responsable y capaz.
Incremento de reputación
El cumplimiento de esta norma proyecta una imagen de profesionalidad que genera cada vez mayor y mejor reputación.
Reducción de costos
El cumplimiento de esta norma evita multas muy costosas de incumplimiento de leyes de protección de información personal y datos personales. De esta misma forma, reduce la necesidad de realizar auditorías constantes, generando una única auditoría de certificación.
Facilitación de la continuidad de negocio
Mediante el correcto tratamiento de riesgos, la norma ISO 27001 permite una mejor gestión de continuidad del negocio al dar paso a la mitigación de amenazas que comprometan la seguridad de información o den paso a disponibilidad de la información a ciberatacantes.
Estructura de la norma ISO 27001
La norma ISO 27001 se estructura de la siguiente manera:
Objeto y campo de aplicación
La norma comienza aportando orientaciones sobre el uso, finalidad y modo de aplicación de este estándar.
Referencias normativas
Son los documentos indispensables para la aplicación de ISO 27001. Entre ellas se incluye la declaración de aplicabilidad.
Términos y definiciones
Es un glosario que describe la terminología aplicable a este estándar. Lo que facilita la comprensión de la norma.
Contexto de la organización
Recoge indicaciones sobre el conocimiento de la organización y su contexto. Luego plantea la comprensión de las necesidades y expectativas de las partes interesadas. Así como también la determinación del alcance del SGSI. Este es uno de los requisitos más importantes de la norma.
Planificación
Se deben establecer objetivos de seguridad de la información y el modo de lograrlos. Es decir, un plan de tratamiento de riesgos.
Soporte
En esta cláusula la norma señala que para el buen funcionamiento del SGSI la organización debe contar con los recursos, competencias, conciencia, comunicación e información documentada pertinente en cada caso.
Operación
Esta parte de la norma indica que se debe planificar, implementar y controlar los procesos de la organización. También se debe hacer una valoración de los riesgos de la seguridad de la información y un tratamiento de ellos.
Liderazgo
Aquí se destaca la necesidad de que todos los empleados de la organización han de contribuir al establecimiento de la norma. Para ello, la alta dirección ha de demostrar su liderazgo y compromiso mediante la elaboración de una política de seguridad que conozca toda la organización y deberá asignar roles, responsabilidades y autoridades dentro de la misma.
Evaluación del desempeño
En este punto se establece la necesidad y forma de llevar a cabo el seguimiento, la medición, el análisis, la evaluación, la auditoría interna y la revisión por la dirección del Sistema de Gestión de Seguridad de la Información. Esto para asegurar que funciona según lo planificado.
Mejora
Por último, encontramos las obligaciones que tendrá una organización cuando encuentre una no conformidad y la importancia de mejorar continuamente la conveniencia, adecuación y eficacia del SGSI.
Una vez conocidos los beneficios, se abre un abanico de posibilidades para la organización que busque implementar la norma ISO 27001. Asimismo, se considera importante plantear el proceso de certificación.
Proceso de certificación
Si bien ISO no realiza la certificación, se apoya de organismos de certificación externos para cumplir con este propósito. A grandes rasgos se puede considerar los siguientes pasos para obtener la certificación:
1. Establecer un equipo de trabajo
El trabajo de certificación es un proceso continuo y el equipo de trabajo debe estar conformado por un personal que tenga como objetivo implementar el SGSI, demostrar su cumplimiento de manera interna y externa, así como reportar a la alta dirección sobre el status en relación con el alcance definido.
2. Determinar el alcance del SGSI
Como comentábamos en un principio, ISO 27001 se puede implementar en cualquier organización sin importar su rama o tamaño. Para ello, la organización que desee certificarse deberá definir el alcance del SGSI en función de las necesidades de la empresa.
Aquí se considerarán factores internos como: misión, visión y objetivos; gobierno y estructura organizacional; cuáles son los roles y responsabilidades, así como también las políticas, objetivos y estrategias de la organización.
Por otra parte, se debe tomar en cuenta factores externos como: el mercado y competencia; prácticas de la industria; cumplimiento de leyes y regulaciones; ambiente político y financiero, entre otros factores.
Además, podrá darse una idea de cuál sería su alcance si comienza a cuestionarse cuáles son sus servicios o productos más importantes para ser asegurados bajo esta norma y cuál de ellos tendría mayor relevancia competitiva frente a sus clientes. Esto sin dejar de tomar en cuenta los factores internos y externos.
3. Análisis de brechas
Se puede auxiliar de herramientas como un análisis de riesgos o una evaluación de brechas contra la norma 27001 para identificar y mitigar las amenazas a las que se encuentra expuesto. Al realizar esto podrá prepararse para la siguiente etapa.
4. Implementación de controles de seguridad
En esta etapa deberá implementar todos los controles de seguridad necesarios para mitigar los riesgos de seguridad de la información identificados. Para este punto, es crucial el apoyo de la alta dirección. Pues será necesario la adición de recursos humanos, técnicos y financieros.
5. Generación de documentación y evidencia
Una vez implementados los controles se deberá conservar la documentación necesaria para soportar el SGSI. Estos documentos serían todos aquellos procesos, procedimientos, guías y evidencias que más tarde serán revisadas por el auditor. Se debe tener en cuenta que es necesario cumplir al pie de la letra lo que se establezca en su documentación.
6. Pre Auditoría / Auditoría
Una vez que se tiene implementado el SGSI con todos los controles de seguridad aplicables, el organismo o empresa se encuentra listo para la certificación mediante un organismo de certificación externo. Sin embargo, como mejor práctica, siempre es recomendable llevar a cabo una pre auditoría, de modo que se puedan identificar posibles inconformidades por parte del auditor y resolverlas antes de la siguiente auditoría final de certificación.
Delta Protect y el cumplimiento de la ISO 27001
Delta Protect surge de la necesidad de devolver la privacidad digital a las startups y pymes de latinoamérica. Esto se hace mediante diferentes servicios y producto en donde procuramos ocuparnos de seguir paso a paso las necesidades individuales de nuestros clientes en materia de ciberseguridad y compliance o cumplimiento.
Cada servicio se complementa para lograr las certificaciones y propósitos. Un ejemplo de esto es CISO as a Service, donde ayudamos en el de certificaciones de seguridad internacional, no sin antes apoyarnos de nuestras pruebas de pentesting y análisis de vulnerabilidades según sea necesario.
Para nosotros la ciberseguridad es tarea fundamental para el crecimiento y correcto funcionamiento de una organización. Es por ello que procuramos que cada servicio se cumpla basado en los requerimientos del cliente y que los resultados sean óptimos y visibles. Además, garantizamos un trabajo constante. Pues aunque el primer logro es obtener la certificación, lo más importante es mantenerla, es decir que esto no es un proyecto de inicio y fin, es un proceso continuo.
Es importante resaltar que lograr la certificación con Delta Protect o con Apolo simplifica el proceso de cumplimiento, debido a que sabemos cómo optimizar la atención y cumplimiento de más de 150 puntos tanto documentales y de control que requiere la certificación. Sumado a que tenemos alianzas con diferentes casas de certificación, esto nos permite brindar muchos beneficios.
Recordamos que en Delta Protect no cobramos por el acompañamiento y preparación de la certificación, para nosotros este es un valor añadido que viene implícito en la entrega de nuestros servicios.
Conclusiones
Una vez más, reiteramos la importancia de la ciberseguridad y los requerimientos que hoy en día hacen posible esta oportunidad. Aunque no sea tarea sencilla, vale el esfuerzo por lograr las certificaciones necesarias, en este caso la certificación ISO 27001. Una herramienta clave para la continuidad de un negocio por todos los aportes positivos para la organización que la obtenga.
Si estás buscando certificar tu organización, en Delta Protect trabajamos con organismos certificadores y apoyamos a nuestros clientes en el cumplimiento de la norma para lograr la certificación. Agenda una demo de Apolo con nosotros y logra la mejora continua de tu organización en materia de seguridad de información.
Experto en Seguridad de la Información con más de 25 años de experiencia en el sector financiero y farmacéutico para diversas empresas en México, como Citibanamex, Banca Mifel, Volkswagen Bank, GBM y SANFER entre otros. Se ha especializado en la gestión de riesgos tecnológicos con la finalidad de sensibilizar a los grupo de Dirección sobre la importancia de certificar a las empresas como medio que agrega valor y confianza a autoridades, clientes e inversionistas.
