26 Jul Auditoria ISO27001 en importante empresa sector Automóvil
Llevaba varias semanas sin escribir por la carga tan importante de trabajo que hemos liderado, especialmente por auditorias Cloud SaaS para www.red.es de decenas de empresas que han presentado su proyecto al ministerio, así como otros temas de auditoria y dirección TI que no me han dejado mucho tiempo. Sin embargo tengo la cabeza llena de experiencias recopiladas estas semanas que poco a poco, agosto-septiembre… iré escribiendo. En este caso hablare de una de las experiencias más enriquecedoras tanto para mí como para mi cliente respecto de una Auditoria ISO27001 en importante empresa sector Automóvil…
Auditoria ISO27001 sector Automóvil
El sector automóvil sufre una revolución importante, no solo a nivel estratégico por la incipiente competencia, motores eléctricos, low-cost, necesidad de innovación etc sino por la necesidad de asegurar que tanto sus procesos, clientes y, en este caso, proveedores, deben incorporar procesos que garanticen la seguridad de sus sistemas de información. Clientes como Volkswagen, Volvo, etc están cada día más preocupados por la seguridad de los sistemas de información. Entendamos que existen documentos que se intercambian entre ellos y sus proveedores que contienen datos muy confidenciales, diseños de nuevas piezas de modelos que ni siquiera han salido al mercado. La interceptación o robo de esta información podría ser utilizada en contra de la propiedad industrial y de sus nuevos diseños dañando no solo la imagen sino la posible puesta en marcha de sus nuevos modelos.
En este caso el fabricante de automóvil alemán solicita a su proveedor de piezas X una auditoria de seguridad basada en la aplicabilidad de los 114 puntos de control de la norma de seguridad. El proveedor decide buscar un auditor externo que analice la aplicabilidad de la norma y sobre todo ciertos puntos de esos 114 que el fabricante le solicita.
En esta auditoria hemos revisado temas tan importantes como:
1. Sistemas de seguridad y procesos que la empresa posee.
2. Control y audit de acceso a los sistemas de información.
3. Sistemas perimetrales y medidas ante intrusión.
4. Cifrado de la información más confidencial, tanto en servidores de almacenamiento como en las redes por donde se transmite.
5. Alertas proactivas ante intentos erróneos de acceso o intentos externos de intrusión.
6. Políticas de sus copias de seguridad.
7. Involucración de dirección y de mandos intermedios en los procesos que sustentan la seguridad de la información.
8. Etc
Mi informe como resultado clave para la ISO27001
El informe incluye un análisis de evidencias y riesgos de estos puntos y otros, así como recomendaciones de mejora y mitigación del problema, junto con una planificación de acciones y costes que mi cliente mostrara al fabricante de automóviles para demostrar no solo que ha hecho la auditoria sino reflejar:
1. Resultado de la auditoria por un tercero independiente.
2. Evidencias y riesgos.
3. Planteamiento de mejoras.
4. Plan de acción y costes.
Un auditor teórico y puro podría no ver bien el punto 4 comentado anteriormente puesto que quizás entramos en el terreno de Consultoria. Mi enfoque es siempre pragmático, DAR LA MEJOR SOLUCION QUE AYUDE AL MAXIMO AL CLIENTE. En este sentido y acordado con mi cliente estimamos muy oportuno trazar un plan de acción de mejoras.
Este plan de mejoras lo presento a dirección de mi cliente para que se aumente la concienciación por la seguridad y que un tercero independiente explique la realidad más objetiva de su situación.
Conclusiones.
Ofrecemos un amplio catálogo de auditorías y consultorías enfocados a la seguridad informática y a la certificación. Nuestros clientes se ven reforzados de una manera pragmática con las medidas que, en base a nuestra muy amplia experiencia, les trasladamos. En este sentido este cliente mediante nuestra auditoria ISO27001 ha podido demostrar a su cliente y a dirección que se preocupa por la seguridad, que ha encontrado puntos de fallo y mejora y que ya tiene en marcha un plan pragmático de mitigación de riesgos y de mejora de la situación de seguridad de sus sistemas de seguridad interno y externo a Internet.
Luis Vilanova Blanco. Auditor ISO27001, CEO en www.ciberseguridad.com
911277300
info@ciberseguridad.com