Després de la certificació en l’Esquema Nacional de Seguretat (ENS) el juliol de 2023, Bioidenti-Cell fa un pas més en ciberseguretat certificant el seu Sistema d’Informació de Gestió de Seguretat per a l’ISO 27001:2022.
Invertir en Seguretat és un compromís de Bioidenti amb els seus clients i partners. Les amenaces en aquest àmbit continuaran presents i amb una capacitat d’adaptació que sempre anirà més ràpidament que la capacitat de l’empresa en evolucionar en seguretat. Malgrat això, Bioidenti està preparada per minimitzar els riscos, reduir els impactes i anticipar la detecció perquè la informació que es gestiona i els serveis que ofereix estiguin alineats amb les millors pràctiques en ciberseguretat.
La certificació en Seguretat no era un objectiu en si mateix, sinó que el principal objectiu era transformar els seus processos de disseny i desenvolupament de solucions i projectes de manera que la seguretat de la informació formés part de cadascuna de les seves activitats.
Les claus per aconseguir aquest objectiu han estat:
- Contractar la consultoria adequada que entengués bé aquest objectiu
- Començar amb la certificació ENS i posteriorment preparar el sistema de gestió per a la Norma ISO 27001:2022
- Evolucionar el nostre sistema de gestió preparat per a la Norma ISO 9001:2015 per no crear un model de documentació i normes paral·lel
- Continuar invertint en el sistema de gestió propi de Bioidenti.
La consultoria que s’ha contractat ha estat Ingertec i la implicació de la consultora assignada va ser clau per impulsar la capacitació del personal i entendre el punt de partida de l’empresa. D’aquí es va poder avançar cap a l’objectiu de transformació de processos recolzat en el sistema de gestió propi, més enllà d’aconseguir una certificació puntual.
El servei ofert, amb una planificació de les sessions ajustades a la seva capacitat, ha estat un èxit. Les auditories externes van ser productives i realitzades per personal no implicat en el procés de transformació, assegurant així la seva objectivitat.
Començar amb la certificació ENS ha permès, en primer lloc, invertir en els actius de seguretat, potenciar estratègies Cloud en alguns àmbits i conèixer eines SIEM per al control centralitzat. S’han eliminat dependències en equips d’oficina i s’han normalitzat els sistemes de control definint els llindars de satisfacció per a cadascuna de les eines de diagnòstic i control que s’han estandarditzat com:
- SonarQube per al control de codi estàtic
- Zap per a l’anàlisi oWasp
- Cloudflare per al control DDOS
- Fortigate per a firewall, VPN
- Fortianalyzer per a monitoratge i logs
- FortiEMS com a endpoint de control d’equips centralitzat
Un cop que els sistemes d’informació i serveis han disposat dels actius i processos certificats sota ENS, l’empresa ha passat a evolucionar el seu sistema de gestió per certificar-lo també en seguretat de la informació. Bioidenti disposa d’un Sistema de Gestió anomenat BIG de desenvolupament propi que permet la gestió de tots els processos. Les funcionalitats que han estat fonamentals per a la certificació ISO 27001:2022 han estat:
- Gestió de documentació
- Sistema de comunicats
- Gestió de projectes per a definició i seguiment de:
- Objectius
- Riscos i oportunitats
- Plans de formació
- Projectes de desenvolupament
- Plans de millora
- Plans d’accions correctores
- Gestió d’actius i plans de manteniment
- Gestió de revisió
- Sistema de monitoratge de serveis i bases de dades
- Sistema de gestió d’incidències
- Generació automàtica de KPI mensual amb tendència anual
Bioidenti és una PIME amb perfils multifuncionals i les normes ISO no sempre s’ajusten a aquests models. Disposar d’un sistema de gestió que permeti integrar la norma al seu sistema de qualitat, permet tenir un sistema que es retroalimenta a partir de la dinàmica de treball de cada perfil.
La gestió documental permet mantenir el control del canvi, la comunicació als empleats/ades, la traçabilitat de les validacions i els acuses de recepció.
La gestió per projecte d’objectius, riscos, oportunitats… permet gestionar les activitats per recurs i extreure informes de seguiment, costos i eficiència dels mateixos seguint una definició anualitzada.
La gestió d’actius ofereix la possibilitat de control de cada tipus d’actiu, programari, maquinari, recursos humans, claus… que pugui requerir qualsevol pla de manteniment o revisió.
S’han establert dos perfils, un per al control diari dels plans de manteniment sobre sistemes d’informació i un altre per al control diari del sistema de gestió. D’acord amb aquest model, es manté un sistema de revisió i millora contínua tant en l’àmbit tecnològic com de gestió i documentació.
Per a cada component requerit per a qualsevol servei, s’han disposat de sondes que cada 5 minuts analitzen el seu estat d’activitat i en cas de caiguda registren automàticament una part tècnica per al seu tractament i la seva resolució en cas de caiguda puntual.
El sistema de gestió d’incidències amb el que es resolen parts tècniques dels clients s’ha ampliat per cobrir els propis sistemes, cosa que permet traçar totes les activitats de l’empresa en termes de seguretat de la informació.
Mensualment, es van generant KPI de forma automàtica que permeten disposar d’un quadre de comandaments sobre el que succeeix en cadascun dels processos que recolzen les activitats de l’empresa.
Finalment, per disposar d’un control supervisat, es disposa d’una pantalla, col·locada en una part visible a l’oficina de Bioidenti, on es monitoritzen aquells indicadors que mostren una desviació i sobre els quals s’ha d’actuar, tant en gestió del negoci com en seguretat o atenció al client.
La inversió realitzada per l’empresa en aquests dos anys supera els 300.000 €. Aquesta inversió es pot desglossar en desenvolupament i evolució del sistema de gestió BIG, compra i subscripcions de recursos i serveis relacionats amb la seguretat de la informació, ampliació de serveis en Cloud, formació de personal i millores en els processos relacionats amb el desenvolupament de solucions i projectes per alinear-los amb els nous requisits en ciberseguretat.
Aquest viatge no ha acabat i Bioidenti seguirà invertint per anar adaptant els seus sistemes i processos a les amenaces que aniran sorgint i com a resultat dels seus propis sistemes de revisió que s’han integrat. El 2025, Bioidenti té com a objectiu i compromís certificar-se en ENS en nivell alt i impulsar la cultura de la ciberseguretat a tots els seus col·laboradors.
Per a Bioidenti, l’experiència ha estat un esforç molt important però necessari. Des de la posició actual i mirant enrere, el punt de partida en què estava l’empresa requeria d’aquest impuls més del que eren conscients. Es pot pensar que una empresa tecnològica com és Bioidenti té suficient experiència i capacitats per prevenir els riscos en ciberseguretat però la sensació avui dia és que es pot ser més vulnerable del que s’esperava i un dels resultats d’aquest procés de transformació pel qual ha passat l’empresa és ser més conscients dels riscos però, al mateix temps, que l’empresa està més preparada per afrontar-los.
Recent Comments