El sistema deZem: protegido de forma óptima por la norma ISO 27001

deZem:

Cornelia, en deZem tenemos ahora un certificado ISO 27001 para un "sistema de gestión de la seguridad de la información", un término un tanto difícil de manejar. Dentro de un momento volveré a preguntarle de qué se trata. Pero antes: el trabajo preparatorio para la certificación ha sido inmenso. El nivel de estrés del equipo responsable no ha dejado de aumentar en los últimos meses y, de alguna manera, todo el mundo en deZem se vio afectado por la introducción. ¿Por qué hicimos todo este trabajo en primer lugar?

Dra. Cornelia Kappler:

Así es, ¡el esfuerzo fue enorme! Pasamos más de un año preparándonos para la certificación, así que un gran agradecimiento al equipo de seguridad de la información deZem - ¡y al equipo deZem en su conjunto, que siempre empujarin juntos! Y: ¡valió la pena! Al fin y al cabo, nuestros clientes nos entregan sus datos y deben poder confiar en que los datos de nuestra plataforma en la nube son seguros y que nuestro sistema puede resistir ciberataques y otras adversidades. Por supuesto, llevamos años trabajando duro para garantizar la seguridad de la información en nuestros sistemas. Pero el sello oficial, es decir, la certificación ISO 27001, se está convirtiendo cada vez más en una "licencia para hacer negocios" (no se me ha ocurrido a mí esa expresión - muchas gracias al estimado autor).

deZem:

Echemos un vistazo más de cerca a lo que significa "sistema de gestión de la seguridad de la información" y desglosemos un poco el término. Se trata de la "seguridad de la información". ¿Qué implica realmente?

Dra. Cornelia Kappler:

Básicamente, se trata de proteger la "información", por ejemplo contra ataques informáticos, desastres naturales o incluso manipulaciones accidentales. Esto implica tanto a los datos - por ejemplo, los valores medidos en nuestro sistema (¡ más de 35 millones de valores nuevos al día!) como a los sistemas - es decir, nuestros Edge Computer, la plataforma deZem, nuestro software de gestión energética, el DataSuite deZem, detrás de los cuales hay más de 100 máquinas virtuales que operamos en varios centros de datos. ¡Eso es mucho que proteger! Nuestros "objetivos de protección" están definidos con precisión: Hay que proteger la confidencialidad, la integridad y la disponibilidad de los datos y los sistemas. Esto significa: sólo las personas o sistemas autorizados pueden ver o modificar los datos; los datos son correctos y los sistemas funcionan de forma que los usuarios pueden acceder a ellos en cualquier momento. Por cierto, la abreviatura en inglés de los objetivos de protección de Confidentiality, Integrity and Availability es CIA. Muy recordable y práctico.

deZem:

En el departamento de marketing también participamos en la introducción de la norma ISO 27001, que incluye requisitos más estrictos para el manejo de nuestros PC y contraseñas. Usted organizó varios cursos de formación al respecto. ¿Podría explicarnos brevemente cómo funciona en la práctica un "sistema de gestión de la seguridad de la información" de este tipo?

Dra. Cornelia Kappler:

Se trata de un enfoque sistemático. Hemos registrado todos los datos y sistemas de bajo un esquema y hemos asignado siempre las mismas medidas, por ejemplo, para los temas de responsabilidades, control de acceso, actualización, supervisión, tratamiento de fallos, etc. Otro punto importante es la mejora continua de la seguridad de la información (el conocido ciclo PDCA), por ejemplo, aprendiendo de los errores: éstos son una fuente de información bienvenida sobre cómo se puede mejorar el sistema. En la práctica, esto significa, no sólo supervisar continuamente la salud del sistema, reaccionar rápidamente ante los problemas y rectificar sin demora los puntos débiles, sino también analizar siempre todas estas anomalías para obtener nuevas mejoras.
Y esto ilustra otro punto interesante: la seguridad de la información no es algo que se consigue una vez y ya está. Más bien, hay que trabajar constantemente en ella: Hay nuevas tecnologías, nuevos métodos de ataque, el sistema deZem evoluciona constantemente - y la seguridad de la información tiene que evolucionar con él para garantizar la "CIA". Es como la gestión de la energía o (nuestro ejemplo favorito deZem) la limpieza del polvo. A enas termino de barrer el polvo, ya puedo empezar de nuevo...

deZem:

La seguridad de la información siempre ha sido un tema importante en deZem, y ahora se ha añadido el enfoque sistemático con la certificación ISO 27001. ¿Cuáles han sido las conclusiones más interesantes del intenso trabajo de los últimos meses?

Dra. Cornelia Kappler:

Independientemente de deZem, trabajo mucho como auditor externo de la norma ISO 27001 y conozco el poder que puede tener la aplicación de esta norma. Y en deZem, también fue estupendo ver cuánto potencial hay en el enfoque sistemático, a pesar de que, llevamos mucho tiempo centrándonos en la seguridad de la información. Revisamos cada rincón y encontramos una o dos cosas que podían mejorarse... ¡y se mejoraron! Ahora tenemos una muy buena visión global de todos los riesgos que amenazan nuestra seguridad de la información y, por supuesto, estamos en proceso de reducirlos aún más.
En resumen: Tanto nosotros como los clientes deZem podemos confiar ahora en que nuestros sistemas resistirán a los delincuentes del mundo y en que todos los datos estarán protegidos, e incluso si la situación de la seguridad sigue deteriorándose, ¡mantendremos la situación bajo control!

deZem:

Unas palabras finales estupendas, Cornelia. Muchas gracias por su tiempo y sus interesantes reflexiones.