Tras la certificación en el Esquema Nacional de Seguridad (ENS) en julio de 2023, Bioidenti-Cell da un paso más en ciberseguridad certificando su Sistema de Información de Gestión de Seguridad para la ISO 27001:2022.
Invertir en Seguridad es un compromiso de Bioidenti con sus clientes y partners. Las amenazas en este ámbito seguirán presentes y con una capacidad de adaptación que siempre irá más rápido que la capacidad de la empresa en evolucionar en seguridad. A pesar de ello, Bioidenti está preparada para minimizar los riesgos, reducir los impactos y anticipar la detección para que la información que se gestiona y los servicios que ofrece estén alineados con las mejores prácticas en ciberseguridad.
La certificación en Seguridad no era un objetivo en sí mismo, sino que el principal objetivo era transformar sus procesos de diseño y desarrollo de soluciones y proyectos de modo que la seguridad de la información formara parte de cada una de sus actividades.
Las claves para conseguir este objetivo han sido:
- Contratar la consultoría adecuada que entendiera bien este objetivo
- Empezar con la certificación ENS y posteriormente preparar el sistema de gestión para la Norma ISO 27001:2022
- Evolucionar nuestro sistema de gestión preparado para la Norma ISO 9001:2015 para no crear un modelo de documentación y normas paralelo
- Seguir invirtiendo en el sistema de gestión propio de Bioidenti.
La consultoría que se ha contratado ha sido Ingertec y la implicación de la consultora asignada fue clave para impulsar la capacitación del personal y entender el punto de partida de la empresa. De ahí se pudo avanzar hacia el objetivo de transformación de procesos apoyado en el sistema de gestión propio, más allá de conseguir una certificación puntual.
El servicio ofrecido, con una planificación de las sesiones ajustadas a su capacidad, ha sido un éxito. Las auditorías externas fueron productivas y realizadas por personal no implicado en el proceso de transformación, asegurando así su objetividad.
Empezar con la certificación ENS ha permitido en primer lugar invertir en los activos de seguridad, potenciar estrategias Cloud en algunos ámbitos y conocer herramientas SIEM para el control centralizado. Se han eliminado dependencias en equipos de oficina y se ha normalizado los sistemas de control definiendo los umbrales de satisfacción para cada una de las herramientas de diagnóstico y control que se han estandarizado como:
- SonarQube para control de código estático
- Zap para análisis oWasp
- Cloudflare para control DDOS
- Fortigate para firewall, VPN
- Fortianalyzer para monitorización y logs
- FortiEMS como endpoint de control de equipos centralizado
Una vez que los sistemas de información y servicios han dispuesto de los activos y procesos certificados bajo ENS, la empresa ha pasado a evolucionar su sistema de gestión para certificarlo también en seguridad de la información.
Bioidenti dispone de un Sistema de Gestión denominado BIG de desarrollo propio que permite la gestión de todos los procesos. Las funcionalidades que han sido fundamentales para la certificación ISO 27001:2022 han sido:
- Gestión de documentación
- Sistema de comunicados
- Gestión de proyectos para definición y seguimiento de:
- Objetivos
- Riesgos y oportunidades
- Planes de formación
- Proyectos de desarrollo
- Planes de mejora
- Planes de acciones correctoras
- Gestión de activos y planes de mantenimiento
- Gestión de revisión
- Sistema de monitorización de servicios y bases de datos
- Sistema de gestión de incidencias
- Generación automática de KPI mensual con tendencia anual
Bioidenti es una PIME con perfiles multifuncionales y las normas ISO no siempre se ajustan a estos modelos. Disponer de un sistema de gestión que permita integrar la norma a su sistema de calidad, permite tener un sistema que se retroalimenta a partir de la dinámica de trabajo de cada perfil.
La gestión documental permite mantener el control del cambio, la comunicación a los empleados-as, la trazabilidad de las validaciones y los acuses de recibo.
La gestión por proyecto de objetivos, riesgos, oportunidades… permite gestionar las actividades por recurso y extraer informes de seguimiento, costes y eficiencia de los mismos siguiendo una definición anualizada.
La gestión de activos ofrece la posibilidad de control de cada tipo de activo, software, hardware, recursos humanos, llaves… que pueda requerir de cualquier plan de mantenimiento o revisión.
Se han establecido dos perfiles, uno para control diario de los planes de mantenimiento sobre sistemas de información y otro para control diario del sistema de gestión. En base a este modelo, se mantiene un sistema de revisión y mejora continua tanto a nivel tecnológico como de gestión y documentación.
Para cada componente requerido para cualquier servicio, se han dispuesto de sondas que cada 5 minutos analizan su estado de actividad y en caso de caída registran automáticamente un parte técnico para su tratamiento y de su resolución en caso de caída puntual.
El sistema de gestión de incidencias con el que se resuelven partes técnicos de los clientes se ha ampliado para cubrir los propios sistemas, lo que permite trazar todas las actividades de la empresa en términos de seguridad de la información.
Mensualmente, se van generando KPI de forma automática que permite disponer de un cuadro de mandos sobre lo que sucede en cada uno de los procesos que apoyan las actividades de la empresa.
Finalmente, para disponer de un control supervisado, se dispone de una pantalla, colocada en una parte visible en la oficina de Bioidenti, donde se monitorizan aquellos indicadores que muestran una desviación y sobre los que se debe actuar, tanto en gestión del negocio como en seguridad o atención al cliente.
La inversión realizada por la empresa en estos dos años supera los 300.000 €. Esta inversión se puede desglosar en desarrollo y evolución del sistema de gestión BIG, compra y suscripciones de recursos y servicios relacionados con la seguridad de la información, ampliación de servicios en Cloud, formación de personal y mejoras en los procesos relacionados con el desarrollo de soluciones y proyectos para alinearlos con los nuevos requisitos en ciberseguridad.
Este viaje no ha terminado y Bioidenti seguirá invirtiendo para ir adaptando sus sistemas y procesos a las amenazas que irán surgiendo y como resultado de sus propios sistemas de revisión que se han integrado. En 2025, Bioidenti tiene como objetivo y compromiso certificarse en ENS en nivel alto e impulsar la cultura de la ciberseguridad a todos sus colaboradores.
Para Bioidenti, la experiencia ha sido un esfuerzo muy importante pero necesario. Desde la posición actual y echando la vista atrás, el punto de partida en el que estaba la empresa requería de este impulso más de lo que eran conscientes. Se puede pensar que una empresa tecnológica como es Bioidenti tiene suficiente experiencia y capacidades para prevenir los riesgos en ciberseguridad pero la sensación a día de hoy es que se puede ser más vulnerables de lo inesperado y uno de los resultados de este proceso de transformación por el que ha pasado la empresa es ser más conscientes de los riesgos pero, al mismo tiempo, que la empresa está más preparada para afrontarlos.
Recent Comments