Explicando nuestros servicios (III): las ISO y otras normativas o compliance
Cada vez más las empresas se ven sometidas a una serie de leyes y normativas que les obliga a tener fuertes programas de prevención. Dicho de otro modo: poseer certificaciones. Tenerlas puede servir para mitigar los efectos, tanto a nivel interno como legal, frente a eventuales hechos delictivos o infracciones de ley. Quizá el ejemplo más conocido en nuestro entorno sea el de la adaptación a la ley de protección de datos. Pero hay muchas otras certificaciones en los sistemas de la información.
La buena noticia es que todos estos programas preventivos pueden obtenerse a través de un servicio externo que asesore y lo vaya implementando tras analizar la situación de cada empresa. TECNOideas ofrece entre sus servicios el acompañamiento en los procesos de certificación o compliance de varias certificaciones.
¿Qué es compliance?
Compliance es una palabra inglesa que viene a significar “cumplimiento normativo”, entendiendo como tal a las normas internas y también a las externas.
Su origen se encuentra en Estados Unidos en la década de 1970, cuando el sector financiero se vio salpicado de numerosos casos de corrupción. Para combatirla, en 1977 se creó una ley que fue el punto de inicio normativo.
20 años después, en 1997, se firmó el Convenio de la OCDE (Organización para la Cooperación y el Desarrollo Económicos) “de Lucha contra la Corrupción de Agentes Públicos Extranjeros en las Transacciones Comerciales e Internacionales” que ratificó España en 2002.
Estas normas las pueden establecer la propia empresa, la Administración, un ente público o incluso el sector al que pertenece una empresa. La primera norma con la que se inició el cumplimiento de la legalidad fue la UNE – ISO 37001, orientada a la lucha contra el soborno. El siguiente paso llegó en 2015, con la ISO 19600 que trataba de evitar a sus poseedores las consecuencias negativas de un incumplimiento de la ley. Se trataba de que las empresas fueran más transparentes.
¿Qué son las ISO?
A partir de entonces la Organización Internacional de Normalización, conocida por el acrónimo ISO, se ocupó de ir creando estándares internacionales. La entidad, fundada en 1947 y con sede en Ginebra, promueve el uso de estándares privativos, industriales y comerciales a nivel mundial.
En la actualidad existen más de 22.000 normas ISO. Abarcan todo tipo de industrias y sectores y por ende, todo tipo de empresas.
¿Cuáles son las más frecuentes en nuestro sector y para qué sirven?
- ISO 27001.
Para los sistemas de Gestión de la Seguridad de la Información.
Permite a las organizaciones la evaluación del riesgo y la aplicación de los controles necesarios para mitigarlos o eliminarlos.
Es importante señalar que la ISO 27001 significa una diferenciación respecto a la competencia, que mejora la competitividad y la imagen de una organización. Cada vez es más demandada para poder trabajar con diversos organismos, tanto públicos como privados; para aseguradoras; para la exigencia de clientes a proveedores…
Más información AQUÍ. - ISO 20000.
Es el estándar internacional de calidad en la Gestión de los Servicios de Tecnología de la Información.
Intenta ayudar a las empresas a que sus servicios de TI sean más efectivos. Incorporan en el día a día mejoras en la gestión de estos servicios.
¿Qué otras certificaciones ofrece TECNOideas?
- Esquema Nacional de Seguridad (ENS).
Es una norma de obligado cumplimiento desde el año 2017 en toda España para toda empresa y todo ciudadano que trabaje o se relacione con las administraciones públicas y organizaciones relacionadas (Administración General del Estado, Administraciones de las Comunidades Autónomas, Administración local, universidades, entidades de derecho privado, etc.).
Garantiza las buenas prácticas en la implantación y evolución de la tecnología y las ciberamenazas. Tenéis más información AQUÍ. - Esquema Nacional de Interoperabilidad (ENI).
Establece los principios y directrices de interoperabilidad en el intercambio y conservación de la información electrónica por parte de Administraciones Públicas. Más información AQUÍ. - Plan director de seguridad.
No nos cansamos de deciros y recomendaros que la mejor forma de luchar contra la ciberdelincuencia es trabajar desde el principio implantando un plan de seguridad a nivel de toda la empresa y de todos los trabajadores. El Plan director de seguridad es un protocolo interno, para cumplir dentro de la propia empresa, según criterios marcados por las necesidades y que se debe cumplir sin excepciones, para que su información, procesos y sistemas estén bien protegidos. - Plan de continuidad de negocio.
Tampoco cesamos de advertir que la seguridad absoluta al 100% no existe. Por eso es también necesario tener un plan de continuidad de negocio ante posibles contingencias. No hay que olvidar que cada vez existen más pymes que, tras un ciberataque han tenido que cerrar. Este plan es un protocolo de previsión ante desastres, con simulaciones periódicas, para que su información y sistemas estén a salvo ante cualquier imprevisto, ya sea físico, digital o de sustracción cibernética.
¿Cuánto se tarda en tener una ISO o un ENS y cuánto puede costar?
Estas son preguntas que todos nuestros clientes nos hacen. Sin embargo, a priori, no es posible dar una respuesta global. Creemos que es evidente que no es lo mismo efectuar un programa para una gran empresa de unos 500 trabajadores que una pyme de 10 empleados. Tampoco se puede dar un presupuesto sin conocer los objetivos de la empresa ni la situación de sus tecnologías. TECNOideas analiza las necesidades de cada cliente y propone un plan de trabajo y un plan económico adaptado a cada cliente.
Pero podemos dar unas pautas generales, tanto en tiempo, que pueden ser entre 3 o 6 meses, según la ayuda que nos preste el cliente, y entre 2.500 y 6.000 euros, de una empresa de 10 usuarios, con sistemas mínimos, a una de 250 con varios servidores, y servicios diversos.
Resumiendo: ¿Cuáles son los beneficios para mi empresa al contar con estas certificaciones?
Contar con una certificación de las nombradas, es primero, una ventaja competitiva sobre la competencia. Aunque los demás no sepan que hacemos y como lo hacemos, en referencia a nuestros sistemas de la información y su seguridad, contar con una de estas certificaciones, quiere decir que estamos dentro de unos mínimos, o en calidad o en seguridad.
También por obligación contractual, con clientes o proveedores. Y es que desde hace unos meses, empresas españolas que hacen negocios con otras extranjeras, son conminadas a cumplir con alguna, o varias, de estas certificaciones, y/o pasar alguna auditoría independiente. No debemos olvidar que no solo es cuestión de los demás, sino que los datos van de empresa en empresa, y podemos vernos vulnerados por la relación con una empresa cliente o proveedor, en la que no podemos controlar la seguridad de sus sistemas.
Y desde este año, en las licitaciones con administraciones públicas, donde antes daban puntos por tener certificaciones tipo Esquema Nacional de Seguridad (ENS) o Esquema Nacional de Interoperabilidad (ENI), se ha vuelto casi obligatorio cumplir con ellas, para poder acceder a dichas licitaciones.
TECNOideas os acompaña para obtener la certificación
que vuestra empresa necesita.
Nos ocupamos de las auditorías técnicas al empezar el trabajo. Acompañamos a la empresa y a sus trabajadores en ayudarles a cumplir los puntos necesarios para que la certificación sea posible.
Solucionamos todo el complicado papeleo administrativo y somos el interlocutor con la entidad certificadora dependiente de ENAC.
Para todo ello contamos con un equipo capaz:
jefes de proyecto, auditores sénior, auditores júnior o administrativos técnicos, capaces de acompañar y realizar informes para certificaciones o toda la serie de procesos internos necesaria.
- Publicado en General, Noticias, Protección de datos, Servicios
Explicando nuestros servicios (I): la auditoría
Muchos de nuestros posibles nuevos clientes que contactan con nosotros lo hacen de una forma muy cauta. Están reticentes a explicar algunas de las cosas de su empresa y al mismo tiempo están un poco asustados. Asustados porque muchas veces llegan a TECNOideas tras haber visto alguna empresa de su sector, incluso alguna empresa de la competencia, que ha tenido un problema de ciberseguridad. Es absolutamente normal esta prudencia, porque es difícil someter una empresa a unos desconocidos y más si tenemos en cuenta que vamos a hablar de una serie de servicios que en la mayoría de casos suenan a chino. Por todo ello queremos explicar algunas cosas que ayuden a despejar las dudas de nuestros posibles nuevos clientes.
1.- Si ya tengo un departamento propio de tecnología o lo tengo subcontratado, ¿por qué tengo que contratar servicios de ciberseguridad?
La ciberseguridad es una especialización en sí misma, un coadyuvante necesario para aumentar considerablemente la seguridad de cualquier empresa. Por ello no basta con tener una serie de equipos tecnológicos de última generación, ni tener un servidor externo alojado en una empresa reconocida, ni poner un cortafuegos o un antivirus y añadir un seguro de ciberiesgo. Sobre los seguros os recomendamos la lectura de dos artículos de este blog: Seguros de ciberriesgo, una herramienta más y no un elemento sustitutivo publicado en el mes de abril y Seguros de ciberriesgo, ¡no os la juguéis a una sola carta! que publicamos en agosto.
Lo ideal sería que cuando una empresa contratara los servicios tecnológicos también contratara a una empresa de ciberseguridad. ¿Cuál sería su papel? Analizar y consensuar los planes de futuro de la empresa; el riesgo que quiera asumir y dotar a la ciberseguridad de un presupuesto propio. Lo que debería aportar la empresa de ciberseguridad, entre otras cosas, es un plan de prevención continuo.
2.- Nuestra empresa ya funciona desde hace años y nunca hemos tenido un problema de ciberseguridad. ¿Cómo podemos saber el estado real de nuestros sistemas?
Seguramente vuestro proveedor tecnológico ha ido actualizando los programas de sus equipos. Pero los ciberdelincuentes son muy astutos y no siempre somos conscientes de la sofisticación a la que pueden llegar. Por ello lo primero que debe hacer una buena empresa de ciberseguridad es una AUDITORÍA.
Las auditorías deberían realizarse, como mínimo una vez al año en cualquier tipo de empresa, ya que los activos y las tecnologías cambian muy rápido, al igual que las vulnerabilidades.
Estamos hablando de auditorías técnicas, tanto de la empresa como de los equipos de los trabajadores, lo que se conoce como hacking social. Hablamos de ordenadores, tabletas, portátiles, smartphones, conexiones domiciliarias en caso de teletrabajo, etc. Con una auditoría podemos evaluar perfectamente la situación real de su empresa y descubrir las vulnerabilidades de sus sistemas. Presentaremos un informe técnico (para el departamento tecnológico) y otro informe ejecutivo para la dirección.
“Las auditorías de ciberseguridad deberían realizarse, como mínimo,
una vez al año en cualquier tipo de empresa.”
A partir de aquí debe ser el departamento de tecnología de la información de su empresa el que deba solucionar las vulnerabilidades recogidas. Por supuesto que, en caso de ser necesario, TECNOideas asesorará en todo momento a este departamento.
Tras la corrección de las vulnerabilidades volveríamos a revisar todo el sistema para obtener nuestro visto bueno definitivo. Con él, recomendamos planes de futuro, a 6, 12 o 24 meses, siempre hablando con la dirección y participando, como mínimo como oyentes, de los planes empresariales, haciendo nuestras recomendaciones y trabajando con la sección de tecnologías de la información.
3.- ¿Es necesario que nuestros trabajadores conozcan los riesgos?
TECNOideas tiene una importante sección dedicada a la formación. La gran mayoría de problemas de ciberseguridad llegan a través de los empleados, porque desconocen unos principios básicos de ciberseguridad y porque en una empresa u organización tienen que aplicarse estrictamente. Es absolutamente necesario que todos los trabajadores de la empresa conozcan una serie de riesgos básicos, fáciles de evitar.
En TECNOideas tenemos cursos de diferentes niveles, según al acceso que tiene cada trabajador a los sistemas informáticos y documentación de la empresa. El más básico es un curso de 4 horas que podemos hacer en la modalidad que prefiera: on line o en la propia empresa.
“TECNOideas puede realizar una auditoría de vuestros sistemas
de forma independiente, sea cual sea el equipo tecnológico
que vuestra empresa haya escogido.”
4.- ¿Mi empresa puede contratar el servicio de auditoría exclusivamente? ¿Sin tener que comprometernos a contratar más servicios de ciberseguridad? ¿Se incrementaría mucho el presupuesto destinado a las TIC?
TECNOideas puede ofrecer este servicio de forma independiente, por supuesto. Confiamos en los profesionales tecnológicos que ha escogido su empresa. La ciberseguridad es un complemento. Y nos gusta recordar que el presupuesto de ciberseguridad no es un gasto, sino una inversión. Los presupuestos de TECNOideas son personalizados y van a depender del tipo de empresa, porque podemos ofrecer precio por equipo de trabajo. No es lo mismo una pyme de 25 trabajadores que una empresa de 500 trabajadores. Pero en cualquier caso, una auditoría no viene a costar más del sueldo medio mensual de un trabajador de la empresa.
Imagen principal: kalhh en Pixabay
Si queréis saber más exactamente los detalles de una auditoría, contactad con nosotros AQUÍ.
- Publicado en Formación, General, Servicios, Sobre TECNOideas
Español 
Català