Caso Práctico ISO 27001

LRQA ha certificado, bajo el estándar internacional ISO/IEC 27001:2013, el Sistema de Gestión de la Información de ClarkeModet, grupo especializado en Propiedad Industrial e Intelectual. Este certificado acredita que la compañía cuenta con una estructura de gestión para prevenir y gestionar eficazmente las amenazas y el riesgo de seguridad de la información y de la ciberseguridad, asegurando la confidencialidad, la integridad y la disponibilidad de la información de sus clientes, socios y empleados.

Los auditores de LRQA, cualificados y con experiencia específica en el sector de la TI y la seguridad de la información, han evaluado el cumplimiento de ClarkeModet en su sede de Madrid, con los requisitos legales, regulatorios y contractuales gracias a la ayuda de un sistema y de la gestión del riesgo y las oportunidades. En el alcance de SGSI se centralizan los sistemas de información y la gestión de datos de todo el grupo, que tiene presencia en diez países de Europa y Latinoamérica.

“Debido a la naturaleza de nuestra actividad, en ClarkeModet manejamos información confidencial y sensible relacionada con la Propiedad Industrial e Intelectual de los clientes. Por esto, la ciberseguridad ha sido siempre una prioridad para nosotros y trabajamos con sistemas y procedimientos que garanticen la protección frente a los ciberataques, cada vez más frecuentes y sofisticados, además de evitar cualquier brecha de seguridad en la compañía. Certificarse en materia de seguridad de la información, de la que forma parte la ciberseguridad, es esencial para las compañías del ámbito legal, ya que nos permite corroborar que venimos cumpliendo con aspectos fundamentales para la seguridad de la información.” - Eusebio Yribarren, director corporativo de Tecnologías de la Información de ClarkeModet 

Desde septiembre 2019 hasta diciembre 2020, LRQA evalúo el cumplimiento de la norma ISO/IEC 27001:2013. Esto proporcionó una comprensión completa del nivel de protección actual de ClarkeModet. Nuestros auditores también han identificado los riesgos para la gestión de la seguridad de sus activos de información.

Además, como las filiales de ClarkeModet están operando en modalidad de teletrabajo frente a la alerta sanitaria por COVID-19, LRQA ha certificado el Sistema de Gestión de Seguridad de la Información del Grupo en un momento clave. En efecto, las medidas de seguridad adoptadas durante el proceso de certificación han permitido que el grueso de los equipos en Europa y Latinoamérica, con más de 500 empleados, operen en remoto con las mayores garantías de ciberseguridad frente al aumento de ciberataques y phishing que se está experimentando a escala global.

“Los auditores de LRQA combinan sus labores de auditoría y control del cumplimiento de requisitos tanto del estándar que define el sistema de gestión como de los requerimientos de negocio de ClarkeModet, mostrando las buenas prácticas aprendidas de la experiencia en otros clientes o procesos similares. Dentro del proceso de mejora continua que establece la norma ISO/IEC 27001:2013 y en su proceso de auditoria y certificación, agradecemos especialmente el feedback positivo y colaborativo del auditor para interpretar los requerimientos y las interacciones del sistema con la mejora continua, para mejorar nuestras propuestas y gestionar los cambios que afectan a la seguridad de nuestros activos de información.” - Eusebio Yribarren, director corporativo de Tecnologías de la Información de ClarkeModet 

El caso de ClarkeModet, por sus características, es relevante como referencia para un gran número de organizaciones:

• Es una organización con un tamaño medio y con unas actividades o servicios claramente identificados incluidos en el alcance del sistema de gestión.
• La organización, con una infraestructura tecnológica centralizada en Madrid, tiene localizaciones de negocio distribuidas en diferentes países y entornos legales.
• La propiedad y Dirección de ClarkeModet tienen un alto compromiso con la protección de los activos de la organización, de sus clientes, y de las personas y entidades que interactúan en el desarrollo de su actividad de negocio.
• Los activos de información forman parte esencial de las actividades de negocio de ClarkeModet, y su actividad está altamente tecnificada y cuenta cada vez más con una dependencia de sus sistemas de información e infraestructura tecnología.
• Dispone de empleados altamente cualificados, con conocimientos tecnológicos y un fuerte compromiso con la mejora continua y la progresión profesional que esto supone.

Todo lo expuesto anteriormente da condición a la configuración de los elementos que componen el sistema de gestión de seguridad de la información definido por ClarkeModet, y que afecta a la protección de sus activos de información:

• La correcta identificación, interpretación e integración de los elementos que componen su contexto de negocio, y los cambios que se producen, como la pandemia de COVID-19.
• La identificación sistemática y detallada para su cumplimiento de los requerimientos legales y regulatorios, y de sus partes interesadas, que ayuda a definir los requerimientos y controles necesarios, incluyendo los que afectan a los datos de carácter personal.
• Una gestión del riesgo y de las oportunidades, que permite rediseñar los elementos de control para reducir la probabilidad de la amenaza o el impacto de estas en los activos de información, y que proporciona soporte a la gestión del cambio.
• La gestión de la comunicación, que les permite gestionar cualquier situación de necesidad o riesgo con las autoridades, las fuerzas de seguridad, entornos de seguridad especializados, clientes y proveedores, y sus propios empleados ya accionistas.
• La continua formación para mantener actualizada la capacidad de todas las personas que intervienen en la seguridad de la información y la incorporación de la seguridad de la información como cultura corporativa.
• El control de la operación de la seguridad e la información.
• La gestión de la mejora continua como medio de incorporación de valor en el proceso de negocio y garantía de adaptación de la organización a los cambios necesarios para tener protegidos lo activos de información, sin depender de las circunstancias, o del tiempo transcurrido.

La certificación del sistema de gestión de seguridad de la información de acuerdo con el estándar ISO/IEC 27001:2013 de LRQA ofrece una declaración pública e independiente de las capacidades de gestión y tecnológicas de ClarkeModet para proteger los activos de información, lo que le brinda una ventaja competitiva en las licitaciones y lo posiciona como un proveedor de confianza. Este enfoque pragmático ha asegurado un impacto positivo en sus filiales durante la pandemia del coronavirus y, sobre todo, a largo plazo, por su capacidad para adaptarse a los cambios en el contexto de negocio.

“Recomendaríamos a cualquier organización que confíe en LRQA.  Los servicios han cumplido plenamente con las expectativas de ClarkeModet y garantizaremos la continuidad de los procesos de certificación con LR."” - Eusebio Yribarren, director corporativo de Tecnologías de la Información de ClarkeModet