Como parte de nuestro plan de mejora continua, hace tan solo unos meses en Pomelo nos propusimos certificar la ISO 27001, una normativa que define el status world class en Seguridad de la Información. ¡Y lo logramos en menos de cuatro meses! Todo un récord para la industria, donde comúnmente demora entre 6 y 24 meses. Pero no solo eso: también logramos certificar sin hallazgos, es decir, no recibimos ninguna observación durante el proceso.
La ISO 27001 es una norma internacional que protege la confidencialidad, integridad y disponibilidad de la información, aportando confianza en la correcta gestión de riesgos. Certificarla, demuestra el compromiso de las empresas con la preservación de la privacidad de los datos de sus clientes, así como con el resguardo de sus procesos internos de forma eficiente.
Desde Pomelo fuimos una de las primeras empresas de Latam en contar con la certificación en el estándar PCI-DSS nivel 1 versión 4.0, que regula y define los requisitos para operar con medios de pago. Y ahora con la normativa ISO 27001, cubrimos otro frente, los aspectos de gestión, ya que busca conformar lo que se denomina un Sistema de Gestión de Seguridad de la Información, también conocido como SGSI.
¿Cómo certificamos la normativa ISO 27001?
La primera versión de la normativa ISO 27001 fue lanzada en el año 2005, y desde entonces ha sido actualizada varias veces. La última versión data del año 2022, la cual define 4 áreas de interés general, que a su vez definen 93 puntos de control específicos.
Desde Pomelo, logramos certificar a partir de un minucioso análisis para evaluar la mejor estrategia sobre cómo encarar el proyecto. El camino para desplegar el SGSI requirió del esfuerzo colectivo de múltiples áreas, que debieron trabajar en conjunto para cumplir con los objetivos de este marco normativo.
Los desafíos de certificar: lecciones aprendidas
Como en todo despliegue inicial, debimos sortear exigentes desafíos, pero a la vez, fuimos aprendiendo algunas lecciones que compartimos a continuación:
- Definir el alcance preciso: al igual que con PCI-DSS 4.0, el objetivo inicial de la certificación incluye identificar el “camino crítico” de todos los servicios y sistemas que serán objeto de revisión, con el fin de ajustar y reforzar los controles donde sean realmente necesarios.
Para hacerlo, el equipo trabajó en la planificación de las principales problemáticas asociadas a la gestión de Seguridad de la Información. A partir de allí, se establecieron prioridades y un cronograma de tareas, que en conjunto con otras fuentes de información, como presupuestos, priorización de requerimientos, proyectos futuros, etc, definen el Plan Anual que marca el rumbo y horizonte del SGSI. - Consolidar la documentación: como en cualquier sistema dedicado a la gestión, la normativa ISO 27001 exige poner atención especial a la documentación de todos los procesos, sistemas y servicios dentro de su alcance. En pos de cumplir este objetivo, fue necesario reformular, actualizar o generar gran parte del marco normativo asociado al alcance del SGSI. Esto, con el fin de cubrir cada unos de los aspectos requeridos por la norma, además de consolidar toda la documentación en un nuevo portal interno, dedicado explícitamente a la difusión y disponibilización del mismo.
- Reforzar la Gestión de Riesgos: el recorrido de la certificación incluyó el poder consolidar un comité dedicado a la Seguridad de la Información, en el cual se tratan y definen todos los riesgos que surgen a partir del SGSI. Esta nueva entidad gobierna de forma integral la Gestión de Riesgos Tecnológicos, ya sea evaluando el impacto de eventuales nuevas amenazas, definiendo su tratamiento, o informando a la dirección sobre el resultado de estos análisis.
- Gobernar el Control de Cambios: una parte fundamental del SGSI implica poder demostrar una trazabilidad suficiente de cada cambio realizado en los servicios dentro del alcance. Los equipos de Access Security y Platform trabajaron hasta lograr un refinado circuito de Control de Accesos y Control de Cambios respectivamente, integrado a los sistemas que componen el core de Pomelo, generando la evidencia necesaria para cumplir con el objetivo.
- Clasificar TODA la información: los criterios de clasificación de información definidos oportunamente para el esquema de PCI-DSS fueron ajustados y optimizados, extendiendo el alcance de forma integral. De esta manera, se logra abarcar el flujograma completo desde donde trafica, reside y se almacenan los datos alcanzados por los procesos. Además, se incorporaron contratos comerciales, documentación asociada a terceras partes y todos los circuitos de mensajería interna.
- Demostrar cómo mantenemos la Continuidad del Negocio: a diferencia de PCI-DSS, la ISO 27001 plantea controles asociados a la recuperación de los servicios, en el caso de la ocurrencia de incidentes que atenten contra su operatoria normal. Para dar cumplimiento a estos requisitos, Pomelo explota las capacidades de resiliencia de la nube, tanto a nivel multiregion como multizona, lo que le permite lograr ágiles tiempos de respuesta, sustentados y demostrados en certeras pruebas de uso, debidamente documentadas y programadas.
- Documentar la relación con los proveedores: para lograr la operatoria de negocio actual de Pomelo, oportunamente se debieron realizar acuerdos de servicios con múltiples proveedores, cada uno de ellos especializado en un rubro específico. La ISO 27001 exige detallar de forma explícita y ordenada los controles de seguridad que implementan todos estos proveedores, con el fin de evidenciar que cumplen con los mismos requisitos de seguridad que Pomelo, y detectar cualquier posible desvío o situación irregular.
- Dominar el mapa de Amenazas: al igual que cualquier sistema de gestión, la naturaleza de nuestro SGSI aspira a mantenerlo como si fuera un sistema “vivo”, el cual es alimentado y adecuado de forma continua ante la aparición de nuevos riesgos y amenazas.
En busca de lograr esta dinámica, nos integramos a diversos grupos de interés especializados en diversas áreas temáticas de Seguridad de la Información y Ciberseguridad, tanto de alcance local, regional y global, que continuamente van reportando todo tipo de eventos relevantes. En la tarea puntual de Inteligencia de Amenazas, estos reportes son clasificados, identificados y documentados, para luego ser informados a los equipos internos que deban tomar acción ante los mismos.
- Fortalecer el Monitoreo de Incidentes: una de las fortalezas de Pomelo reside en su capacidad de generar alertas y tomar acción inmediata ante eventos que atenten con el normal funcionamiento de los servicios. Así lo demuestra el tablero publicado en https://status.pomelo.la
Estas tareas y su operatoria fueron documentadas como parte del circuito de Respuesta a Incidentes requerido por la ISO 27001, cubriendo con creces lo esperado por este punto.
- Realizar un Cyber-Awareness integral: por último, cabe mencionar la ardua tarea interna realizada para difundir los objetivos del SGSI. A lo largo de todo el proceso de certificación, todos los colaboradores fueron informados, integrados y concientizados sobre las implicaciones de su implementación, los controles que los involucran y las adecuaciones que se esperan por parte de cada uno de ellos. Su constante colaboración fue fundamental para lograr la eficacia del sistema, un hecho comprobado en diversas pruebas y muestreos concretos realizados por parte de los equipos de auditores externos.
¿Cuáles son los próximos pasos?
El hecho de haber logrado la certificación es solo el puntapié inicial, el SGSI exige una atención constante, que por naturaleza deriva en un plan de mejora continua, optimizando cada vez más el proceso para lograr los resultados esperados.
En el camino, acuñamos una nueva frase que resume el espíritu de lo que esta certificación representa para nosotros y que nos acompañará de ahora en adelante: ¡One Pomelo, One Security!