¡Nos complace anunciar que, tras meses de duro trabajo, hemos obtenido la certificación ISO 27001! Este hito subraya nuestro compromiso con la seguridad de datos de primer nivel. En pocas palabras, su información confidencial está en buenas manos. Conseguir esta certificación no ha sido fácil: ha requerido resistencia y concentración. Afortunadamente, Andor fue nuestra fuerza guía durante todo el proceso. En esta entrada de blog, nos cuenta cómo hemos superado con éxito el proceso.
La seguridad siempre ha sido una prioridad en Easy LMS, y ya seguimos de cerca las normas GDPR. Entonces, ¿por qué decidimos obtener la certificación ISO 27001? Qué beneficios adicionales aportó a lo que ya estábamos haciendo?
"Por supuesto, ya habíamos avanzado mucho en nuestras medidas de seguridad, pero no sabíamos hasta qué punto eran realmente exhaustivas. Sabíamos lo que había, pero identificar las lagunas era todo un reto. Ahí es donde entró en juego la norma ISO 27001: nos proporcionó un marco sólido que nos facilitó mucho la tarea de detectar vulnerabilidades y subsanarlas eficazmente. Para nosotros supuso un cambio radical. No sólo aumentó nuestra confianza en la seguridad, sino que también garantizó que, si algo salía mal, pudiéramos contener rápidamente los daños y recuperarnos. Este enfoque ha reducido enormemente el estrés de nuestros desarrolladores y ha dado a nuestros clientes la tranquilidad de saber que sus datos están seguros con nosotros".
Finalmente, se tomó la decisión de obtener la certificación ISO 27001. Pero, ¿cómo se aborda un proyecto de tal envergadura? ¿Cuál fue el primer paso?
"Sinceramente, al principio fue todo un reto. Yo y mi compañero de fechorías -Job, nuestro antiguo director de tecnología- teníamos poca experiencia en la implantación de una norma como esta y no estábamos seguros de cómo iba a funcionar todo. Empezamos comprando una plantilla de un Sistema de Gestión de la Seguridad de la Información (SGSI) y nos lanzamos de lleno. El primer paso lógico fue evaluar lo que necesitábamos y empezar a crear lo que faltaba. A medida que íbamos trabajando, descubrimos de forma natural lo que funcionaba mejor para nosotros y nuestra empresa".
¿Cómo ha seguido el progreso del proyecto? ¿Cuál fue su enfoque?
"Job y yo teníamos reuniones semanales para asegurarnos de que siempre avanzábamos un paso más hacia nuestro objetivo. Utilizábamos un método similar a la Kata de Mejora, que también aplicamos en otras áreas. Esto significaba centrarnos en los pasos más pequeños que pudieran acercarnos a nuestro objetivo. A menudo, esto implicaba documentar la situación actual o hacer pequeños ajustes en los procesos para ver si nos funcionaban".
El mayor reto fue entender exactamente qué se esperaba de nosotros
¿Qué fue lo más difícil de todo el proceso?
"El mayor reto fue comprender exactamente qué se esperaba de nosotros. La certificación está pensada tanto para grandes bancos como para pequeñas empresas, por lo que los requisitos pueden variar mucho. Con muchas interpretaciones diferentes en línea, era crucial precisar lo que se necesitaba específicamente para nuestra situación, lo que a veces era difícil de separar de las perspectivas de los demás."
La implantación del SGSI es crucial para la certificación ISO 27001, y a menudo significa cambiar la forma de trabajar de los empleados. Cómo mantuvo al equipo de Easy LMS motivado y a bordo con estos cambios, especialmente cuando podría haberle parecido una carga?
"Por supuesto, conseguir que todo el mundo acepte los cambios de seguridad puede ser complicado. Si el proceso es demasiado complicado o molesto, la gente puede intentar saltárselo. Desde el principio, nos centramos en simplificar al máximo las cosas para nuestro equipo. El objetivo era que los procesos mejoraran la seguridad sin entorpecer su trabajo. Queríamos que fuera casi imposible hacer las cosas mal. Además, queríamos evitar el juego de culpas: si algo sale mal, no se trata de señalar a nadie, sino de mejorar el proceso".
Y llegó el día de la auditoría, a cargo de Brand Compliance, nuestro socio ISO. ¿Cómo fue? ¿Estaba nervioso?
"¡Definitivamente! Habíamos pasado meses preparándonos para este momento, y parecía que todo podía venirse abajo en cualquier momento. Pero también confiaba en el trabajo que habíamos hecho. Cuando llegó el auditor, nos explicaron exactamente qué esperar, cómo funcionaría el proceso y qué buscarían. Esto nos ayudó a calmar los nervios durante la auditoría".
Nos alegramos mucho cuando obtuvimos los resultados
Supongo que el alivio fue grande cuando recibimos el resultado positivo.
"¡Claro que sí! Nos alegramos mucho cuando obtuvimos los resultados. Había algunas cosas que ajustar, pero una vez que hicimos planes para solucionarlas, recibimos nuestro certificado ISO 27001. Fue un gran alivio y muy validante".
Ahora que estamos certificados, ¿qué sigue?
"Ahora se trata de utilizar el sistema que hemos puesto en marcha. En realidad, mantenerlo y utilizarlo es mucho más fácil que instalarlo. La clave es seguir utilizando el sistema para garantizar la seguridad permanente y la mejora continua. A medida que Easy LMS evoluciona, tenemos que asegurarnos de que estos cambios siguen siendo seguros. Con el tiempo, pasaremos por una recertificación para asegurarnos de que todo sigue funcionando sin problemas, y es importante que también la superemos".
Contamos con la certificación ISO 27001. Quieres saber más sobre cómo mantenemos tus datos seguros? Consulta nuestra política de privacidad.
