Estamos orgullosos de anunciar que Aikido Security ha obtenido recientemente la certificación ISO 27001:2022. Este es un gran hito para nosotros y demuestra nuestro compromiso con la seguridad de la información.
¿Qué es la norma ISO 27001:2022?
ISO 27001 es una norma reconocida mundialmente para el establecimiento y certificación de un Sistema de Gestión de Seguridad de la Información (SGSI). La versión 2022 de esta certificación garantiza que Aikido Security está alineada con las mejores prácticas actuales en la gestión de la seguridad de la información. Elegimos específicamente la versión 2022 (sobre las versiones 2013 y 2017), ya que esta nueva versión se centra más en la codificación segura, la detección de amenazas, etc. Estos son elementos que consideramos importantes y relevantes para una empresa de software.
La obtención de la certificación ISO 27001:2022 es un logro importante para Aikido Security. Pone de relieve nuestra dedicación a ofrecer soluciones seguras y fiables a nuestros clientes.
WillemDelbare, CEO de Aikido Security.
¿Qué motivó a Aikido a obtener la certificación ISO 27001?
Somos un desafío en el ámbito de la seguridad y una de las primeras cosas que pedimos a los nuevos clientes es que nos den acceso de lectura a su código base. Eso es muy importante. Y entendemos - y estamos de acuerdo - que es un gran problema.
Para que los clientes nos confíen cómodamente su código base, tienen que confiar en nosotros como empresa y en nuestro producto. Cumplir la norma ISO 27001 es un gran paso adelante para generar y demostrar esa confianza.
Lo que aprendimos en el camino hacia la conformidad con la norma ISO 27001
En una futura entrada del blog expondré mis principales conclusiones, pero quiero aprovechar esta oportunidad para compartir algunas breves ideas sobre nuestro viaje.
Nuestro camino hacia la ISO 27001:2022
Superamos todo el proceso en unos seis meses. Anteriormente habíamos implantado la SOC 2, por lo que ya disponíamos de muchas políticas, documentos y buenas prácticas. Esto nos permitió reutilizar y aplicar gran parte de ellos a nuestra ISO.
Como creemos firmemente en el uso de la herramienta adecuada para el trabajo, aprovechamos la oportunidad de adoptar un enfoque moderno y utilizamos Vanta, que automatiza gran parte del trabajo necesario para obtener la ISO 27001.
Conseguir la ISO 27001:2022 exige paciencia y compromiso. Es esencial rodearse de socios fiables y reunir conocimientos de antemano.
Roeland Delrue, COO & CRO de Aikido Security.
El proceso de alto nivel
1. Auditoría interna (preauditoría)
Puede considerar la auditoría interna como un "ensayo general" o una "auditoría simulada", para asegurarse de que está preparado para realizar las auditorías "reales". La auditoría interna garantiza que no se ha pasado por alto ningún aspecto obvio que no se pueda corregir en las fases posteriores.
Consejo rápido: Utilice un buen pre-auditor interno o externo. Esto le ayudará a configurarse correctamente. A menos que tenga experiencia relevante y demostrada en ISO, probablemente sea mejor contratar a un preauditor externo. Aprovechar su experiencia será muy valioso.
2. Auditoría de la fase 1
La etapa 1 es en gran medida una "auditoría de mesa" o revisión de la documentación
Esta auditoría consiste en una revisión exhaustiva de la documentación. Un auditor externo de la norma ISO 27001 revisa las políticas y procedimientos para garantizar que cumplen los requisitos de la norma ISO y del propio Sistema de Gestión de la Seguridad de la Información (SGSI) de la organización.
3. Auditoría de la fase 2
La fase 2 es una auditoría completa del sistema con muchas pruebas de control
El auditor realiza pruebas para comprobar que el Sistema de Gestión de la Seguridad de la Información (SGSI) se ha diseñado e implantado adecuadamente y funciona correctamente. El auditor también evaluará la imparcialidad e idoneidad de los controles de la organización para determinar si los controles se han implantado y funcionan eficazmente para cumplir los requisitos de la norma ISO 27001.
4. Certificación
Una vez que haya corregido o elaborado un plan de acción para sus no conformidades, estará listo para la validación. Las no conformidades de la norma ISO 27001 se clasifican en menores, mayores u oportunidades de mejora (OFI). Por supuesto, es fundamental demostrar que se han corregido o que se está en vías de corregir todas las no conformidades mayores.
Y luego... es hora de obtener tu certificado 🎉🥳
¿Cuánto se tarda en cumplir la norma ISO 27001?
No se puede hacer en menos de dos meses. Y eso suponiendo que tengas todo listo para empezar, incluido un pentest y un auditor.
Incluso entonces, es posible que necesite algunos meses para asegurarse de que se producen suficientes eventos de seguridad de la información, ya que algunos procesos sólo pueden tener lugar cuando se produce un determinado evento (por ejemplo, la incorporación o la baja de un empleado).
También tiene que demostrar que puede remediar las no conformidades y demostrar que es capaz de reunir pruebas. Este proceso implica identificar el suceso, registrarlo y clasificarlo, y documentar exhaustivamente el suceso de seguridad de la información.
¿Cuánto cuesta cumplir la norma ISO 27001?
Dependiendo de lo exhaustivos que sean la auditoría previa y el pentest, todo el proceso le costará normalmente entre 20.000 y 50.000 USD.
Tendrá que pagar lo siguiente:
- Preauditor
- Pentest (puede aprovecharlo de otras pistas de cumplimiento, por ejemplo, si ya está haciendo uno para SOC 2)
- Licencia de la plataforma de cumplimiento (recomendamos encarecidamente su uso)
- Auditor
- Licencias de escáner de vulnerabilidades y/o malware (por ejemplo, Aikido Security)
El coste depende en gran medida de múltiples factores, entre los que destacan:
- El tamaño de su empresa (si tiene muchos empleados, procesos, oficinas, desarrolladores,... los costes de auditoría aumentan drásticamente).
- Coste del pentest (entre 3.000 y 30.000 dólares, dependiendo del tipo de pentest que se realice y de quién lo lleve a cabo).
- Profundidad de las auditorías
- Plataforma de cumplimiento (por ejemplo, Vanta)
Gestión de la vulnerabilidad técnica ISO 27001:2022
¿En su propio camino hacia la certificación ISO27001:2022? Aikido Security satisface todas las necesidades técnicas de gestión de vulnerabilidades para aplicaciones ISO 27001:2022. También sincronizamos con Plataformas de Monitoreo de Cumplimiento (como Vanta) para asegurar que su información de vulnerabilidad esté siempre actualizada. Esto significa que puede confiar en una evaluación precisa de los riesgos y en una corrección eficaz.
Solicite nuestro informe
No dude en solicitar nuestro propio informe ISO 27001:2022 directamente en nuestro centro de confianza.
.jpg)
.png)
.svg)
.png)
.png)
.png)
.jpg)
.jpg)
.jpg)
.png)