Ha llegado la hora de los CPD’s: certificarse o morir
Los Centros de Procesos de Datos (CPD) han ido cogiendo protagonismo poco a poco, con la moda de servicios CLOUD. En la actualidad esto se ha acelerado de tal modo que ya conforman uno de los sectores de mayor crecimiento tras la pandemia. Pero muchos de ellos tienen un grave problema: no poseen las certificaciones necesarias. Particularmente no poseen la ISO 27001 ni el Esquema Nacional de Seguridad (ENS), lo que los deja en fuera de juego, con los clientes o posibles clientes que tengan que cumplir en cadena.
Un centro de datos es una instalación que alberga todas las estructuras básicas e infraestructuras de tecnología de la información (TI) de una organización. Hablamos de servidores, equipamiento eléctrico, electrónico e informático. También se encarga de centralizar las operaciones de TI realizadas. Por ejemplo tener acceso a la información de todos los datos de sus clientes y las operaciones que realizan. Por ello es una estructura básica para cualquier empresa, sea pública o privada.
En un principio, las empresas tenían sus propias instalaciones, pero con el tiempo, los problemas de ciberseguridad, legislativos, económicos o de espacio ha ido obligando a las empresas a renunciar a su propia instalación para alojar todas sus operaciones en CPD’s. Y esto es válido para empresas grandes, medianas o pequeñas. De este modo los CPD’s también han crecido y actualmente se pueden encontrar desde centros en pequeños espacios hasta grandes centros que ocupan edificios enteros.
Podéis leer más información (también técnica) sobre los CPD’s en la Wikipedia o en un artículo algo antiguo y básico del Incibe pero muy claro y esquemático AQUÍ.
¿Cuál es el problema?
Desde su origen los CPD’s estaban obligados a seguir una serie de estándares muy variados. Entre ellos podríamos citar los geográficos (no pueden estar en lugares potencialmente inundables, por ejemplo); técnicos (deben tener infraestructuras fácilmente disponibles como energía eléctrica, carreteras, centrales de telecomunicaciones o bomberos); seguridad física (cámaras de seguridad, detectores de movimiento, cerraduras electromagnéticas, etc.); seguridad lógica de la propia instalación (medidas de protección y/o alertas ante caídas de tensión, desastres naturales, incendios, accesos no autorizados…).
Y esto que comentamos no es banal. Lo podemos comprobar en nuestro día a día. Últimamente son varios los clientes que nos llegan por circunstancias de este sector. Ya no es solo porque tengan que cumplir leyes en protección de datos, sino que tienen clientes, y posibles clientes que han de cumplir con la “rueda” o cadena normativa.
Dicho de otra manera: si una empresa quiere o debe certificarse en el Esquema Nacional de Seguridad va a exigir que sus proveedores, al menos los que afectan a la certificación, y por lo tanto, datos, que también estén certificados. Y esto es válido para el ENS, la ISO 27001 y otras del estilo.
El problema es que estos estándares ya no bastan, porque el mercado y la legislación obliga a que estos centros tengan una certificación dentro del área de la seguridad de la información. Particularmente hablamos de la ISO 27001 y del Esquema Nacional de Seguridad (ENS).
Los CPD’s que no dispongan de estas certificaciones quedarán automáticamente fuera de las necesidades del mercado, porque muchos de sus clientes se ven obligados a cumplir la cadena normativa. Así que no exageramos nada cuando decimos que a llegado la hora de los CPD’s: certificarse o morir
Para las empresas es fundamental, porque si a la seguridad que ofrece un CPD se le añade haber seguido el proceso de una certificación (recordamos que no solo es burocracia), está incorporando competitividad, diferenciarse de la competencia y en consecuencia, más negocio.
Os recordamos que la certificación es un paso más en todo este proceso. Si pensáis que con un CPD todo está resuelto para vuestra empresa, dejad que os recordemos este artículo publicado en este blog titulado ¿Quién tiene la responsabilidad de nuestros datos en la nube?
Y es que todo el tema relacionado con los datos es un tema muy serio. Al contrario de lo que suele pensarse, no solo es un proceso burocrático a cumplir, como estamos viendo en muchos casos de protección de datos en nuestros clientes. Pero de eso, ya hablaremos otro día…
¡Podéis obtener estas certificaciones
con la ayuda de TECNOideas!
Solicitad más información AQUÍ.
Imagen principal: evertonpestana en Pixabay
- Publicado en Certificaciones, General, Mantenimiento, Normativa, Noticias, Seguridad
Explicando nuestros servicios (III): las ISO y otras normativas o compliance
Cada vez más las empresas se ven sometidas a una serie de leyes y normativas que les obliga a tener fuertes programas de prevención. Dicho de otro modo: poseer certificaciones. Tenerlas puede servir para mitigar los efectos, tanto a nivel interno como legal, frente a eventuales hechos delictivos o infracciones de ley. Quizá el ejemplo más conocido en nuestro entorno sea el de la adaptación a la ley de protección de datos. Pero hay muchas otras certificaciones en los sistemas de la información.
La buena noticia es que todos estos programas preventivos pueden obtenerse a través de un servicio externo que asesore y lo vaya implementando tras analizar la situación de cada empresa. TECNOideas ofrece entre sus servicios el acompañamiento en los procesos de certificación o compliance de varias certificaciones.
¿Qué es compliance?
Compliance es una palabra inglesa que viene a significar “cumplimiento normativo”, entendiendo como tal a las normas internas y también a las externas.
Su origen se encuentra en Estados Unidos en la década de 1970, cuando el sector financiero se vio salpicado de numerosos casos de corrupción. Para combatirla, en 1977 se creó una ley que fue el punto de inicio normativo.
20 años después, en 1997, se firmó el Convenio de la OCDE (Organización para la Cooperación y el Desarrollo Económicos) “de Lucha contra la Corrupción de Agentes Públicos Extranjeros en las Transacciones Comerciales e Internacionales” que ratificó España en 2002.
Estas normas las pueden establecer la propia empresa, la Administración, un ente público o incluso el sector al que pertenece una empresa. La primera norma con la que se inició el cumplimiento de la legalidad fue la UNE – ISO 37001, orientada a la lucha contra el soborno. El siguiente paso llegó en 2015, con la ISO 19600 que trataba de evitar a sus poseedores las consecuencias negativas de un incumplimiento de la ley. Se trataba de que las empresas fueran más transparentes.
¿Qué son las ISO?
A partir de entonces la Organización Internacional de Normalización, conocida por el acrónimo ISO, se ocupó de ir creando estándares internacionales. La entidad, fundada en 1947 y con sede en Ginebra, promueve el uso de estándares privativos, industriales y comerciales a nivel mundial.
En la actualidad existen más de 22.000 normas ISO. Abarcan todo tipo de industrias y sectores y por ende, todo tipo de empresas.
¿Cuáles son las más frecuentes en nuestro sector y para qué sirven?
- ISO 27001.
Para los sistemas de Gestión de la Seguridad de la Información.
Permite a las organizaciones la evaluación del riesgo y la aplicación de los controles necesarios para mitigarlos o eliminarlos.
Es importante señalar que la ISO 27001 significa una diferenciación respecto a la competencia, que mejora la competitividad y la imagen de una organización. Cada vez es más demandada para poder trabajar con diversos organismos, tanto públicos como privados; para aseguradoras; para la exigencia de clientes a proveedores…
Más información AQUÍ. - ISO 20000.
Es el estándar internacional de calidad en la Gestión de los Servicios de Tecnología de la Información.
Intenta ayudar a las empresas a que sus servicios de TI sean más efectivos. Incorporan en el día a día mejoras en la gestión de estos servicios.
¿Qué otras certificaciones ofrece TECNOideas?
- Esquema Nacional de Seguridad (ENS).
Es una norma de obligado cumplimiento desde el año 2017 en toda España para toda empresa y todo ciudadano que trabaje o se relacione con las administraciones públicas y organizaciones relacionadas (Administración General del Estado, Administraciones de las Comunidades Autónomas, Administración local, universidades, entidades de derecho privado, etc.).
Garantiza las buenas prácticas en la implantación y evolución de la tecnología y las ciberamenazas. Tenéis más información AQUÍ. - Esquema Nacional de Interoperabilidad (ENI).
Establece los principios y directrices de interoperabilidad en el intercambio y conservación de la información electrónica por parte de Administraciones Públicas. Más información AQUÍ. - Plan director de seguridad.
No nos cansamos de deciros y recomendaros que la mejor forma de luchar contra la ciberdelincuencia es trabajar desde el principio implantando un plan de seguridad a nivel de toda la empresa y de todos los trabajadores. El Plan director de seguridad es un protocolo interno, para cumplir dentro de la propia empresa, según criterios marcados por las necesidades y que se debe cumplir sin excepciones, para que su información, procesos y sistemas estén bien protegidos. - Plan de continuidad de negocio.
Tampoco cesamos de advertir que la seguridad absoluta al 100% no existe. Por eso es también necesario tener un plan de continuidad de negocio ante posibles contingencias. No hay que olvidar que cada vez existen más pymes que, tras un ciberataque han tenido que cerrar. Este plan es un protocolo de previsión ante desastres, con simulaciones periódicas, para que su información y sistemas estén a salvo ante cualquier imprevisto, ya sea físico, digital o de sustracción cibernética.
¿Cuánto se tarda en tener una ISO o un ENS y cuánto puede costar?
Estas son preguntas que todos nuestros clientes nos hacen. Sin embargo, a priori, no es posible dar una respuesta global. Creemos que es evidente que no es lo mismo efectuar un programa para una gran empresa de unos 500 trabajadores que una pyme de 10 empleados. Tampoco se puede dar un presupuesto sin conocer los objetivos de la empresa ni la situación de sus tecnologías. TECNOideas analiza las necesidades de cada cliente y propone un plan de trabajo y un plan económico adaptado a cada cliente.
Pero podemos dar unas pautas generales, tanto en tiempo, que pueden ser entre 3 o 6 meses, según la ayuda que nos preste el cliente, y entre 2.500 y 6.000 euros, de una empresa de 10 usuarios, con sistemas mínimos, a una de 250 con varios servidores, y servicios diversos.
Resumiendo: ¿Cuáles son los beneficios para mi empresa al contar con estas certificaciones?
Contar con una certificación de las nombradas, es primero, una ventaja competitiva sobre la competencia. Aunque los demás no sepan que hacemos y como lo hacemos, en referencia a nuestros sistemas de la información y su seguridad, contar con una de estas certificaciones, quiere decir que estamos dentro de unos mínimos, o en calidad o en seguridad.
También por obligación contractual, con clientes o proveedores. Y es que desde hace unos meses, empresas españolas que hacen negocios con otras extranjeras, son conminadas a cumplir con alguna, o varias, de estas certificaciones, y/o pasar alguna auditoría independiente. No debemos olvidar que no solo es cuestión de los demás, sino que los datos van de empresa en empresa, y podemos vernos vulnerados por la relación con una empresa cliente o proveedor, en la que no podemos controlar la seguridad de sus sistemas.
Y desde este año, en las licitaciones con administraciones públicas, donde antes daban puntos por tener certificaciones tipo Esquema Nacional de Seguridad (ENS) o Esquema Nacional de Interoperabilidad (ENI), se ha vuelto casi obligatorio cumplir con ellas, para poder acceder a dichas licitaciones.
TECNOideas os acompaña para obtener la certificación
que vuestra empresa necesita.
Nos ocupamos de las auditorías técnicas al empezar el trabajo. Acompañamos a la empresa y a sus trabajadores en ayudarles a cumplir los puntos necesarios para que la certificación sea posible.
Solucionamos todo el complicado papeleo administrativo y somos el interlocutor con la entidad certificadora dependiente de ENAC.
Para todo ello contamos con un equipo capaz:
jefes de proyecto, auditores sénior, auditores júnior o administrativos técnicos, capaces de acompañar y realizar informes para certificaciones o toda la serie de procesos internos necesaria.
- Publicado en General, Noticias, Protección de datos, Servicios