Armonización de procesos de auditoría y certificación
El proceso de obtener, mantener e incrementar el número de certificaciones en una organización puede llegar a convertirse en algo tedioso e inabarcable. Por este motivo, Innotec Security, fiel defensor de la aplicación de los principales estándares y mejores prácticas en seguridad, sin caer en la rigidez, ha decidido replantearse el modelo para hacerlo escalable y sostenible. Para ello, ha puesto en marcha una Oficina de Certificaciones, ha desarrollado un marco integrado de controles y ha apostado por una entidad acreditadora, LEET Security, que ofrece toda la cobertura posible con siete certificaciones en un único proceso de auditoría.
Texto de Antonio Ramos y Eduardo Solís
Como empresa multinacional focalizada en la prestación de servicios avanzados de ciber seguridad, Innotec Security ha venido aplicando en los últimos años los principales estándares y mejores prácticas en torno a la seguridad y la continuidad operativa. Sin caer en el dogmatismo de exigir todas las certificaciones existentes, hay varias e imperiosas razones por las que desde la compañía se ha apostado por obtener, mantener e incrementar el número de certificaciones:
Nos obliga a “engranar la maquinaria” interna, dado que en este proceso están presentes todas las áreas de la compañía y requiere un buen nivel de orquestación para dar respuesta a los requerimientos de los diferentes estándares.
Los propios sistemas de gestión de seguridad y continuidad nos empujan hacia la búsqueda de la mejora continua, adaptándonos de forma dinámica a la evolución de las ciberamenazas.
Aunque nuestra compañía no necesite estas certificaciones para tomarse en serio la ciberseguridad, puesto que la llevamos de serie en nuestro ADN, es cierto que, además de hacer las cosas bien, es preciso demostrarlo.
También es una cuestión de negocio, dado que cada vez más pliegos lo incluyen como condición sine qua non para poder presentarse y, en otras ocasiones, se valora positivamente.
Nos ayuda a agilizar los procesos de homologación como proveedores.
No obstante, no podemos dejar de hablar de lo que ocurre en la trastienda. Con cada nueva certificación el nivel de fatiga aumenta y se percibe una fuerte sensación de solapamiento entre todas las auditorías. El esfuerzo ha sido tal que hemos tenido que crear una Oficina de Certificaciones con un equipo dedicado en exclusiva a este fin.
Por ello, el año pasado decidimos replantear nuestra estrategia de certificaciones. Por una parte, consideramos definir un marco único de controles que diese cobertura de forma armonizada a los requerimientos de las diferentes certificaciones. Por otra parte, necesitábamos a una entidad acreditadora que diese cobertura a todas las certificaciones, por lo que apostamos por LEET Security.
El reto
El reto que teníamos por delante es un desafío compartido por todas las organizaciones(o, al menos, por las que ofrecen productos o servicios): ¿Cómo mostrar a nuestros diferentes clientes que cumplimos con sus necesidades de seguridad y que el producto/servicio que van a utilizar no va a suponer su eslabón más débil?
Como seguimos empeñados en generar distintos estándares y marcos, uno por cada necesidad, la lista de certificaciones y auditorías a realizar es inmensa (y, lo que es aún peor, creciente y, en muchos casos, incompatible para alegría de las certificadoras correspondientes).
En este caso, la lista objetivo estaba conformada por las siguientes:
Esquema Nacional de Seguridad, pasando de categoría media a alta, para los servicios de seguridad gestionada y desarrollo de sistemas de seguridad (para responder a la necesidad de clientes del sector público).
Sistema de Gestión de Seguridad de la Información conforme a la ISO 27001.
Sistema de Gestión de la Continuidad del Negocio conforme a la ISO 22301.
Calificación Pinakes y calificación de LEET Security en nivel ‘A A A’ para los mismos servicios enumerados anteriormente (para atender a los requisitos de entidades financieras y no financieras).
Es decir, debíamos reunir en un único proceso de auditoría lo necesario para certificar sistemas de gestión. Por un lado, sistemas de información. Por otro, y por último, incluir también lo necesario para calificar servicios, cada uno de ellos, con sus normativas de referencia y sus propias especificidades.
El planteamiento
La máxima que hemos perseguido en el ejercicio de armonización ha sido que los controles que apliquen a distintas normativas sólo se tendrán que revisar una única vez, de manera que la auditoría resultante sea una suerte de mínimo común múltiplo de requisitos de las diferentes normativas. Se aprovecharía así el solapamiento existente entre ellas para obtener la esperada eficiencia. Es decir, el corolario sería que, cuanto mayor sea el solape entre normativas, mayor será la eficiencia del proceso armonizado.
Para realizar el ejercicio de armonización propuesto tomamos como referencia la metodología de calificación de LEET Security. El hecho de que este referencial tuviera mapeadas las prácticas de seguridad con múltiples normativas, incluyendo las anteriores, hacía que ese “m.c.m.” de controles viniera, casi por defecto, con la calificación (por ejemplo, algunas medidas del ENS son específicas y no aplican con carácter general en el sector privado).
El proyecto
Una vez aprobada la estrategia por el Comité de Dirección, pasamos a reorientar todo nuestro trabajo previo de preparación de auditorías. Ya no iban a ser múltiples auditorías repartidas a lo largo del año, sino una sola auditoría, concentrada y realmente intensa. Este reenfoque nos supuso un cambio profundo en la forma de trabajar, entendido como una inversión para los próximos años. Como parte del trabajo previo, además del propio mantenimiento y mejora de nuestros sistemas internos de gestión de seguridad y continuidad, teníamos el reto de dar el salto a la categoría alta en la nueva versión del Esquema Nacional de Seguridad (Real Decreto311/2022).
Llegaba el momento de la auditoría integrada, según la cual la evidencia de un control se propagaría por los requerimientos de los diferentes marcos. Dado que no hay precedentes en esta estrategia, no fue sencillo encontrar el encaje para todas las casuísticas de controles hasta que se pudo definir el ansiado marco armonizado. Fueron días realmente intensos de auditoría, seguidos por la revisión de los informes preliminares y la elaboración de los planes de remediación correspondientes, concluyendo con la obtención de todas las certificaciones y calificaciones.
Lecciones aprendidas
Les engañaríamos si les dijéramos que ha sido un proceso sencillo y que no hemos cometido equivocaciones pero, lo que sí es cierto, es que estamos convencidos de que se trata de un gran avance en la dirección correcta y que en las sucesivas renovaciones iremos afianzando el proceso y haciéndolo cada vez más eficiente.
En cualquier caso, algunas lecciones aprendidas:
Toda planificación es poca. La diversidad de normas y alcances hace que se deba emplear un mayor tiempo que una auditoría “normal” en su planificación. Es mejor emplear más tiempo en la planificación que comenzar sin tener todos los cabos atados y tener que repetir trabajo o reuniones de auditoría.
Conseguir el compromiso de todas las partes implicadas. Si hay que contar con agentes externos (especialistas, auditores acreditados, etc.) deben estar al tanto de todo el proceso y contar con su compromiso en sus áreas de responsabilidad respectivas.
Reforzar las tareas de coordinación. En nuestro caso, pensamos que el tándem creado por las responsables del proyecto en una parte y en otra ha sido clave para la finalización airosa del mismo.
Conclusión
La armonización de auditorías es un proyecto innovador que genera eficiencias en la organización auditada, además de permitir un enfoque más global orientado a la mejora de la protección de los servicios y no en el cumplimiento, haciendo que se mejore la calidad del servicio al cliente y el nivel de seguridad de la organización. Además de la eficiencia en tiempo y el foco en la protección, la sinergia de esta estrategia se materializa en términos de costes.
Eduardo Solis es Director Cybersecurity & Assurancce en Innotec Security, y Antonio Ramos es CEO de LEET Security.