Auditoria ISO27001 y ciberseguridad en el sector automóvil

Auditoria ciberseguridad e ISO27001 sector automóvil

Auditoria ISO27001 y ciberseguridad en el sector automóvil

En este post vamos a describir uno de nuestros últimos casos de éxito en la auditoria de seguridad de una empresa del sector automóvil, basada en Auditoria ISO27001 y motivada por un requisito marcado por su principal cliente que en este caso es Volskwagen. Auditoria ciberseguridad e ISO27001 sector automóvil.

El resultado de la auditoría realizada en la empresa XXXXXX describe el grado de cumplimiento y riesgos de los sistemas de información, tanto automatizada como no automatizada, así como una revisión de buenas prácticas en materia seguridad de tecnologías de información bajo el estándar ISO27001 como marco líder de referencia en esta materia.

Auditoria ISO27001 y ciberseguridad en sector automóvil

Para la realización de esta auditoria se ha contado con la colaboración del área TI que, mediante sucesivas reuniones, visitas guiadas y documentación, hemos podido entrar en profundidad en todos aquellos puntos relevantes de la ISO27001 y en ocasiones de la LOPD y LSSI que pueden poner en peligro dos situaciones:

  • Riesgos en materia de privacidad de la información confidencial y buenas prácticas en materia de seguridad de la información, en general siguiendo el estándar ISO27001, centrándonos en el documento Excel information_security_assessment_en.xlsx que nos ha determinado el alcance y aplicabilidad de la ISO27001.
  • Algunos riesgos en materia de protección de datos de carácter personal o LOPD.

Quisiera reflejar la gran colaboración prestada tanto por el departamento de informática sin cuya ayuda hubiera sido imposible realizar este trabajo y haber establecido los puntos de mejora y proyectos que deberán abordarse.

El trabajo se centra, como se ha comentado en la auditoria ISO27001. La seguridad en las empresas de los sistemas de información ha ido evolucionando conforme los sistemas adquirían más peso específico y llegaban a todas las áreas. La adopción de nuevos sistemas web, movilidad, Smartphone, soluciones Cloud SaaS etc. han transformado la seguridad de los sistemas hasta hacerlos incluso estratégico en algunos negocios.

Desde los sistemas aislados tipo mainframe, hasta los sistemas en red tipo cliente servidor, pasando por las soluciones cloud-SaaS unido a la multiintegración de los sistemas actuales, la seguridad se ha transformado, desde prácticamente el uso de un cable y un usuarios junto con una contraseña, a complejos sistemas de doble autenticación, sistemas VPN, sistemas firewall junto con DMZ y WAF etc. en un sinfín de medidas de seguridad que las empresas tratan de adoptar para defender uno de los activos más valiosos que tienen, su información.

La ISO/IEC 27001 es la norma internacional para la Gestión de Seguridad de la Información. Indica cómo establecer un sistema de Gestión de Seguridad de la Información auditado y certificado de forma independiente. Esto permite asegurar de un modo más eficaz todos los datos financieros y confidenciales, minimizando así el riesgo de accesos ilegales o sin permiso.

Las ventajas globales que la organización adquiere al auditar su seguridad de la información con la norma ISO27001 son:

  • Identificar los riesgos y establecer controles para gestionarlos o eliminarlos
  • Flexibilidad para adaptar los controles a todas las áreas de su empresa o solo a algunas seleccionadas
  • Conseguir que las partes interesadas y los clientes confíen en la protección de los datos
  • Cumplir con buenas prácticas respecto de medidas de seguridad informática y gobierno de la misma.

Conclusiones

El cliente obtuvo un informe donde punto por punto se describía la situación actual, valoración cuantitativa y cualitativa del problema así como, al final de todo el análisis, un plan de acción para los próximos 3 años con los proyectos necesarios para aumentar el nivel de seguridad de sus sistemas de información así como el nivel de cumplimiento de la ISO27001.

Proyectos como la información de un Firewall de última generación, implantación de una DMZ y WAF fueron descritos como necesarios para aumentar el control y capacidad preventiva ante posibles intrusiones o ataques.

Luis Vilanova Blanco. CEO en www.ciberseguridad.com

911277300

info@ciberseguridad.com

Etiquetas:
,