Nos enorgullece anunciar que Aikido Security ha obtenido recientemente la certificación ISO 27001:2022. Este es un gran hito para nosotros y demuestra nuestro compromiso con la seguridad de la información.
¿Qué es la ISO 27001:2022?
ISO 27001 es un estándar reconocido globalmente para el establecimiento y la certificación de un Sistema de Gestión de Seguridad de la Información (SGSI). La versión 2022 de esta certificación garantiza que Aikido Security está alineada con las mejores prácticas actuales en la gestión de la seguridad de la información. Elegimos específicamente la versión 2022 (en lugar de las versiones 2013 y 2017), ya que esta nueva versión se centra más en la codificación segura, la detección de amenazas, etc. Estos son aspectos que consideramos importantes y relevantes para una empresa de software.
Lograr el cumplimiento de ISO 27001:2022 es un logro significativo para Aikido Security. Subraya nuestra dedicación a proporcionar soluciones seguras y fiables a nuestros clientes.
Willem Delbare, CEO de Aikido Security
¿Qué motivó a Aikido a buscar la certificación ISO 27001?
Somos un actor desafiante en el ámbito de la seguridad, y una de las primeras cosas que pedimos a los nuevos clientes es que nos den acceso de lectura a su base de código. Eso es un gran paso. Y entendemos —y estamos de acuerdo— que es un gran paso.
Para que los clientes confíen cómodamente en nosotros con su base de código, necesitan confiar en nosotros como empresa y en nuestro producto. Obtener la certificación ISO27001 es un gran avance para construir y demostrar esa confianza.
Lo que aprendimos en el camino hacia el cumplimiento de ISO 27001
En una futura entrada de blog, expondré mis principales aprendizajes, pero quiero aprovechar esta oportunidad para compartir algunas breves reflexiones sobre nuestro camino.
Nuestro camino hacia la ISO 27001:2022
Completamos todo el proceso en unos seis meses. Habíamos implementado previamente SOC 2, por lo que ya teníamos muchas políticas, documentos y mejores prácticas establecidas. Esto nos permitió reutilizar y aplicar gran parte de ello a nuestra ISO.
Dado que creemos firmemente en utilizar la herramienta adecuada para cada tarea, aprovechamos la oportunidad para adoptar un enfoque moderno y utilizamos Vanta, que automatiza gran parte del trabajo necesario para obtener la ISO 27001.
Lograr la ISO 27001:2022 exige paciencia y compromiso. Es esencial rodearse de socios fiables y recopilar conocimientos de antemano.
Roeland Delrue, COO y CRO de Aikido Security
El proceso de alto nivel
Auditoría interna (preauditoría)
Puede considerar la auditoría interna como un 'ensayo general' o 'auditoría simulada', para asegurarse de que está listo para realizar las auditorías 'reales'. La auditoría interna asegura que no se le escapó nada obvio que no podría remediar en las etapas posteriores.
Consejo rápido: Utiliza un buen pre-auditor interno o externo. Esto realmente te ayuda a configurarlo correctamente. A menos que tengas experiencia relevante y probada en ISO, probablemente sea mejor contratar a un pre-auditor externo. Aprovechar su experiencia resultará realmente valioso.
2. Auditoría de fase 1
La Fase 1 es en gran medida una «auditoría de escritorio» o revisión de documentación
Esta auditoría consiste en una revisión exhaustiva de la documentación. Un auditor externo ISO 27001 revisa las políticas y procedimientos para asegurar que cumplen con los requisitos del estándar ISO y del propio Sistema de Gestión de Seguridad de la Información (SGSI) de la organización.
3. Auditoría de fase 2
La Fase 2 es una auditoría completa del sistema con muchas pruebas de control
El auditor realiza pruebas para verificar que el Sistema de Gestión de Seguridad de la Información (SGSI) fue diseñado e implementado correctamente y está funcionando adecuadamente. El auditor también evaluará la equidad e idoneidad de los controles de la organización para determinar si los controles han sido implementados y están operando eficazmente para cumplir con los requisitos del estándar ISO 27001.
4. Certificación
Una vez que haya remediado o elaborado un plan de acción para sus no conformidades, estará listo para la validación. Las no conformidades de ISO 27001 se categorizan como menores, mayores u oportunidades de mejora (OFIs). Por supuesto, es fundamental demostrar que ha remediado o que puede mostrar claramente que está en camino de remediar todas las no conformidades mayores.
Y entonces... ¡es hora de conseguir tu certificado! 🎉🥳
¿Cuánto tiempo se tarda en cumplir con la ISO 27001?
No puede hacerlo en menos de dos meses. Y eso asume que tiene todo listo, incluyendo un pentest y un auditor.
Incluso entonces, podrías necesitar unos meses para asegurarte de encontrar suficientes eventos de seguridad de la información, ya que algunos procesos solo pueden tener lugar cuando ocurre un evento determinado (por ejemplo, la incorporación o desvinculación de un empleado).
También tienes que demostrar que puedes subsanar no conformidades y que eres capaz de recopilar pruebas. Este proceso implica identificar el evento, registrarlo y clasificarlo, y documentar exhaustivamente el evento de seguridad de la información.
¿Cuánto cuesta cumplir con la ISO 27001?
Dependiendo de la profundidad de la pre-auditoría y el pentest, el proceso completo te costará típicamente entre 20.000 y 50.000 USD.
Deberás pagar por lo siguiente:
- Pre-auditor
- Pentest (puedes aprovecharlo de otras vías de cumplimiento, por ejemplo, si ya estás realizando uno para SOC 2)
- Licencia de plataforma de cumplimiento normativo (recomendamos encarecidamente su uso)
- Auditor
- Licencias de escáner de vulnerabilidades y/o malware (p. ej., Aikido Security)
El coste depende en gran medida de múltiples factores, entre los que destacan:
- El tamaño de tu empresa (Si tienes muchos empleados, procesos, oficinas, desarrolladores,... los costes de auditoría aumentan drásticamente)
- Coste del pentest (3-30k USD, dependiendo del tipo de pentest que se realice y quién lo ejecute)
- Profundidad de las auditorías
- Plataforma de cumplimiento normativo (ej. Vanta)
Gestión técnica de vulnerabilidades ISO 27001:2022
¿En tu propio camino hacia la certificación ISO 27001:2022? Aikido Security satisface todas las necesidades de gestión técnica de vulnerabilidades para las aplicaciones ISO 27001:2022. También nos sincronizamos con plataformas de monitorización de cumplimiento (como Vanta) para garantizar que tu información de vulnerabilidades esté siempre actualizada. Esto significa que puedes confiar en una evaluación de riesgos precisa y una remediación eficiente.
Solicitar nuestro informe
No dude en solicitar nuestro propio informe ISO 27001:2022 directamente en nuestro centro de confianza.
Protege tu software ahora.
.jpg)
.avif)
