Auditoria de App – Ciberseguridad e ISO27001

Ciberseguridad e iso27001

Auditoria de App – Ciberseguridad e ISO27001

Recientemente una empresa startup que va a sacar al mercado una aplicación de recogida-entrega (similar a Glovo o Deliveroo pero verticalizado en un sector concreto) contactó conmigo para poder disponer de un informe firmado por un Auditor CISA que reflejara el estado actual del nivel de cumplimiento con los niveles de seguridad aceptables para su negocio. En este caso su gabinete de abogados que lleva el lanzamiento de esta App le solicitaba dicho informe.

Auditoria Ciberseguridad e ISO27001

En un primer momento el cliente se pone en contacto conmigo sin tener excesivamente claro cómo debe cubrir el requerimiento de sus abogados ya que éste únicamente le indico que necesitaba que antes de salir al mercado fuera auditado respecto de la seguridad de la información.

Puesto que una de las cuestiones más importantes cuando una empresa me solicita un servicio es saber gestionar las expectativas mi labor es entender realmente lo que el cliente necesita. Para ello y en conversación telefónica indago en sus expectativas, que funcionalidad aporta su App, que se espera y le ofrezco realizar el siguiente trabajo:

  1. Dado que su App escaneara ciertos documentos con un nivel de protección de datos alto, le planteo identificar la calidad de la digitalización certificada que realiza, es decir, si aplica algún nivel de firma con criptografía asimétrica a las imágenes, como cuida la cadena de custodia de la imagen así como cuales son las medidas de seguridad en el almacenamiento y CRUD (Créate, Red, Epate y Delate) de la información por terceras partes (usuarios, proveedores, etc.). En esta línea hablamos de la importancia de asegurar la no alterabilidad en el tiempo de la información que almacena así como las políticas de retención de la información, entre muchas otras cuestiones, similar a como realizo las auditorias de digitalización certificada.
  2. Dado que necesitan garantizar que su aplicación tiene un nivel de seguridad y buenas prácticas asegurado, además le planteo utilizar los 114 puntos de control de la ISO27001 como base para las buenas prácticas en seguridad según la aplicabilidad de cada uno de estos controles.
  3. Adicionalmente le explico que mi informe estará firmado por mi como Auditor CISA y como perito colaborador con la justicia.

En este sentido mi informe tendrá tres partes. La auditoría de los puntos anteriormente comentados como el AS-IS de su situación en materia de seguridad de la información y ciberseguridad, el TO-BE como escenario optimo que contemple subsanar todos los riesgos detectados y priorizados y una tercera parte como plan de acción.

Conclusiones

En ocasiones el cliente tiene una necesidad de auditoria que sabe que necesita pero no tiene claro como operativamente debe ser pilotado, no conoce las buenas practicas del sector o estándares como la iso27001 o técnicas de hacking ético, que justamente ayudaran no solo a tener un informe adecuado sino a poder tener un plan de acción que fortalezca los aspectos de seguridad de la información y ciberseguridad de su aplicación.

Si se encuentra en esta situación contacte conmigo y podremos ver el mejor planteamiento que se adapte a su necesidad de forma pragmática.

Luis Vilanova Blanco. Auditor CISA, ISO27001, Master en Ciberseguridad por Deloitte.

911277300

luis@luisvilanova.es