Explicando nuestros servicios (III): las ISO y otras normativas o compliance
Cada vez más las empresas se ven sometidas a una serie de leyes y normativas que les obliga a tener fuertes programas de prevención. Dicho de otro modo: poseer certificaciones. Tenerlas puede servir para mitigar los efectos, tanto a nivel interno como legal, frente a eventuales hechos delictivos o infracciones de ley. Quizá el ejemplo más conocido en nuestro entorno sea el de la adaptación a la ley de protección de datos. Pero hay muchas otras certificaciones en los sistemas de la información.
La buena noticia es que todos estos programas preventivos pueden obtenerse a través de un servicio externo que asesore y lo vaya implementando tras analizar la situación de cada empresa. TECNOideas ofrece entre sus servicios el acompañamiento en los procesos de certificación o compliance de varias certificaciones.
¿Qué es compliance?
Compliance es una palabra inglesa que viene a significar “cumplimiento normativo”, entendiendo como tal a las normas internas y también a las externas.
Su origen se encuentra en Estados Unidos en la década de 1970, cuando el sector financiero se vio salpicado de numerosos casos de corrupción. Para combatirla, en 1977 se creó una ley que fue el punto de inicio normativo.
20 años después, en 1997, se firmó el Convenio de la OCDE (Organización para la Cooperación y el Desarrollo Económicos) “de Lucha contra la Corrupción de Agentes Públicos Extranjeros en las Transacciones Comerciales e Internacionales” que ratificó España en 2002.
Estas normas las pueden establecer la propia empresa, la Administración, un ente público o incluso el sector al que pertenece una empresa. La primera norma con la que se inició el cumplimiento de la legalidad fue la UNE – ISO 37001, orientada a la lucha contra el soborno. El siguiente paso llegó en 2015, con la ISO 19600 que trataba de evitar a sus poseedores las consecuencias negativas de un incumplimiento de la ley. Se trataba de que las empresas fueran más transparentes.
¿Qué son las ISO?
A partir de entonces la Organización Internacional de Normalización, conocida por el acrónimo ISO, se ocupó de ir creando estándares internacionales. La entidad, fundada en 1947 y con sede en Ginebra, promueve el uso de estándares privativos, industriales y comerciales a nivel mundial.
En la actualidad existen más de 22.000 normas ISO. Abarcan todo tipo de industrias y sectores y por ende, todo tipo de empresas.
¿Cuáles son las más frecuentes en nuestro sector y para qué sirven?
- ISO 27001.
Para los sistemas de Gestión de la Seguridad de la Información.
Permite a las organizaciones la evaluación del riesgo y la aplicación de los controles necesarios para mitigarlos o eliminarlos.
Es importante señalar que la ISO 27001 significa una diferenciación respecto a la competencia, que mejora la competitividad y la imagen de una organización. Cada vez es más demandada para poder trabajar con diversos organismos, tanto públicos como privados; para aseguradoras; para la exigencia de clientes a proveedores…
Más información AQUÍ. - ISO 20000.
Es el estándar internacional de calidad en la Gestión de los Servicios de Tecnología de la Información.
Intenta ayudar a las empresas a que sus servicios de TI sean más efectivos. Incorporan en el día a día mejoras en la gestión de estos servicios.
¿Qué otras certificaciones ofrece TECNOideas?
- Esquema Nacional de Seguridad (ENS).
Es una norma de obligado cumplimiento desde el año 2017 en toda España para toda empresa y todo ciudadano que trabaje o se relacione con las administraciones públicas y organizaciones relacionadas (Administración General del Estado, Administraciones de las Comunidades Autónomas, Administración local, universidades, entidades de derecho privado, etc.).
Garantiza las buenas prácticas en la implantación y evolución de la tecnología y las ciberamenazas. Tenéis más información AQUÍ. - Esquema Nacional de Interoperabilidad (ENI).
Establece los principios y directrices de interoperabilidad en el intercambio y conservación de la información electrónica por parte de Administraciones Públicas. Más información AQUÍ. - Plan director de seguridad.
No nos cansamos de deciros y recomendaros que la mejor forma de luchar contra la ciberdelincuencia es trabajar desde el principio implantando un plan de seguridad a nivel de toda la empresa y de todos los trabajadores. El Plan director de seguridad es un protocolo interno, para cumplir dentro de la propia empresa, según criterios marcados por las necesidades y que se debe cumplir sin excepciones, para que su información, procesos y sistemas estén bien protegidos. - Plan de continuidad de negocio.
Tampoco cesamos de advertir que la seguridad absoluta al 100% no existe. Por eso es también necesario tener un plan de continuidad de negocio ante posibles contingencias. No hay que olvidar que cada vez existen más pymes que, tras un ciberataque han tenido que cerrar. Este plan es un protocolo de previsión ante desastres, con simulaciones periódicas, para que su información y sistemas estén a salvo ante cualquier imprevisto, ya sea físico, digital o de sustracción cibernética.
¿Cuánto se tarda en tener una ISO o un ENS y cuánto puede costar?
Estas son preguntas que todos nuestros clientes nos hacen. Sin embargo, a priori, no es posible dar una respuesta global. Creemos que es evidente que no es lo mismo efectuar un programa para una gran empresa de unos 500 trabajadores que una pyme de 10 empleados. Tampoco se puede dar un presupuesto sin conocer los objetivos de la empresa ni la situación de sus tecnologías. TECNOideas analiza las necesidades de cada cliente y propone un plan de trabajo y un plan económico adaptado a cada cliente.
Pero podemos dar unas pautas generales, tanto en tiempo, que pueden ser entre 3 o 6 meses, según la ayuda que nos preste el cliente, y entre 2.500 y 6.000 euros, de una empresa de 10 usuarios, con sistemas mínimos, a una de 250 con varios servidores, y servicios diversos.
Resumiendo: ¿Cuáles son los beneficios para mi empresa al contar con estas certificaciones?
Contar con una certificación de las nombradas, es primero, una ventaja competitiva sobre la competencia. Aunque los demás no sepan que hacemos y como lo hacemos, en referencia a nuestros sistemas de la información y su seguridad, contar con una de estas certificaciones, quiere decir que estamos dentro de unos mínimos, o en calidad o en seguridad.
También por obligación contractual, con clientes o proveedores. Y es que desde hace unos meses, empresas españolas que hacen negocios con otras extranjeras, son conminadas a cumplir con alguna, o varias, de estas certificaciones, y/o pasar alguna auditoría independiente. No debemos olvidar que no solo es cuestión de los demás, sino que los datos van de empresa en empresa, y podemos vernos vulnerados por la relación con una empresa cliente o proveedor, en la que no podemos controlar la seguridad de sus sistemas.
Y desde este año, en las licitaciones con administraciones públicas, donde antes daban puntos por tener certificaciones tipo Esquema Nacional de Seguridad (ENS) o Esquema Nacional de Interoperabilidad (ENI), se ha vuelto casi obligatorio cumplir con ellas, para poder acceder a dichas licitaciones.
TECNOideas os acompaña para obtener la certificación
que vuestra empresa necesita.
Nos ocupamos de las auditorías técnicas al empezar el trabajo. Acompañamos a la empresa y a sus trabajadores en ayudarles a cumplir los puntos necesarios para que la certificación sea posible.
Solucionamos todo el complicado papeleo administrativo y somos el interlocutor con la entidad certificadora dependiente de ENAC.
Para todo ello contamos con un equipo capaz:
jefes de proyecto, auditores sénior, auditores júnior o administrativos técnicos, capaces de acompañar y realizar informes para certificaciones o toda la serie de procesos internos necesaria.
- Publicado en General, Noticias, Protección de datos, Servicios
Pero… ¿alguien se ha preguntado si las apps y el software que usamos son seguros?
En 2020 se superó la friolera de 218.000 millones de descargas de apps móviles en todo el mundo. Esta cifra representa un 7% más que los datos de 2019. La pandemia hizo que nos lanzáramos a descargar todo tipos de apps y no sólo las descargamos, sino que también pagamos más por las que son de pago o por los servicios que nos ofrecen. Así, el gasto en apps móviles creció un 20% y se situó en 143 millones de dólares. Pero… ¿alguien se ha preguntado si las apps son seguras?
Estos datos surgen del informe anual que elabora la empresa App Annie, una de las plataformas de análisis y datos móviles más importante del mundo. Fundada en 2010 tiene su sede principal en San Francisco y una docena de oficinas por todo el mundo. Entre otras cosas el estudio también indica que Tinder es la aplicación que más dinero gana, seguida de TikTok. Podéis descargaros este informe en inglés AQUÍ.
Y si preferís un resumen en castellano, podéis leer el artículo de Trece Bits, que se presenta como el primer medio de comunicación en español sobre Internet, redes sociales y tecnología, AQUÍ.
Empecemos por el principio. ¿Qué es una app?
Las apps no son más que herramientas de software escritas en diferentes lenguajes de programación para tabletas y, sobre todo, smartphones. Tienen en común el ser útiles, fáciles de manejar y de instalar. Y las hay para todos los gustos: juegos, noticias, idiomas, redes sociales, etc. etc., como todos vosotros y vosotras seguro conocéis.
El término viene del inglés, de la palabra application, porque en realidad son aplicaciones que se instalan en dispositivos móviles y que realizan funciones de ámbito personal o profesional.
Si queréis saber un poco más sobre las apps, su historia, o una clasificación por tipos de apps, podéis leer este artículo del blog de GoDaddy, una empresa registradora de dominios de Internet y de alojamiento web. Fundada en 1997 y con sede en Arizona, GoDaddy está considerada la más grande del mundo en su ámbito.
Una vez que conocemos todo esto, la pregunta podría ser ¿por qué necesitamos tener tantas apps? La respuesta nos sumergiría en un mar de respuestas entre científicas, psicológicas, vicios y virtudes del que no sabríamos salir con éxito. Así que nos quedamos con nuestra especialidad: la ciberseguridad.
Son muchos los servicios que realizamos en temas de ciberseguridad, ya que nuestra experiencia anterior, tanto en microinformática, como en sistemas, programación o gestión cloud, hace que apliquemos la seguridad a cualquier aspecto técnico.
Y eso nos lleva a contaros que, a veces y últimamente todavía más, porque España es un país exportador, nos llaman empresas que van a trabajar con compañías de LATAM o EE. UU., y que estas les exigen certificados específicos en ciberseguridad o que cumplan ciertas normativas y protocolos, y como no, que estén abiertos a pasar auditorías externas para comprobar todo esto.
Ocurre que muchas empresas que crean apps o software de cualquier tipo, algunos de gran éxito, no cumplen las exigencias de ciberseguridad que demandan otros países más exigentes en estos campos. Y entonces llaman a la puerta de TECNOideas. Nos lo han pedido en diversas áreas, pero sobre todo en industria y programación. Y claro, como hoy hemos empezado hablando del exitazo de las apps, seguiremos con ello hablando de la programación.
Programamos, pero ¿por qué no pensar en la ciberseguridad desde el inicio?
Todos sabemos que las fechas de entrega priman en un proyecto técnico, sobre todo en el sector del software. Vale, pero las cosas deben hacerse bien, porque las prisas son malas consejeras. Así es que cuando solicitan nuestros servicios vemos todos los parches que aparecen después del lanzamiento de un software o de una app. Por ello nos piden auditorias, tanto de código, como de su implantación en cloud o sistemas propios, o de las posibles vulnerabilidades que pueda causar en el equipo que los use. A esto solo le podemos llamar AUDITORÍA.
Pero podemos afrontarlo mejor, en etapas tempranas, formando parte de la organización del proyecto, y aportando nuestro conocimiento, para ir variando poco, ajustando, y securizando sin tener que esperar al día de la entrega. De este modo no se necesitaría hacer una auditoría ni añadir seis meses más de trabajo por la reparación. A esto le llamamos PREVISIÓN en un proyecto.
está presente desde el inicio del proyecto.
Imagen de Gerd Altmann en Pixabay
Y lo mejor, lo que estamos ofreciendo a diferentes empresas, es enseñar a los directores de proyecto y equipo técnico, tanto a programadores como a responsables de sistemas, para que adopten una metodología de programación e implantación segura, un DevSecOps al completo.
DevSecOps es la seguridad integrada dentro de DevOps, cuyo significado, según la Wikipedia, podéis leer AQUÍ.
Así que por último, a esto le llamamos, claro, FORMACIÓN.
Con los dos últimos servicios juntos, PREVISIÓN + FORMACIÓN hacemos un paquete donde ayudamos a las empresas a que todo lo que salga de sus “factorías” sea lo más seguro posible, dándoles formación cada vez que hay novedades, pero también acompañándoles hasta que tengan la experiencia suficiente, cuando sean más autónomos, para que ese producto sea lo más satisfactorio posible para el cliente y se acerque a la excelencia tan deseada.
No lo dudéis: hacednos partícipes de vuestros proyectos desde el principio y juntos ganaremos todos y sobre todo, vuestros clientes. Intentar ahorrar el coste de un colaborador al principio para tenerlo que fichar al final siempre sale más caro, ocasiona más perdidas económicas y de tiempo y sobre todo, muchos más nervios en todo el equipo.
Si queréis saber más sobre todos los servicios que ofrece TECNOideas 2.0 ciberseguridad, sólo tenéis que clicar AQUÍ.
Imagen principal: Gerd Altmann en Pixabay
- Publicado en Consultoría, General, Hazlo tu mismo, Noticias
Español 
Català