Caso de éxito | GRUPO CFI implanta la norma internacional ISO 27001 a Collosa
24 julio 2024
GRUPO CFI, empresa líder en Ciberseguridad y Protección de Datos Personales, ha implantado la norma internacional ISO 27001 a Collosa, organización que opera en diversos sectores como la construcción, energía y servicios. Una vez finalizado todo el proceso de implantación de esta norma, desde GRUPO CFI se ha realizado una entrevista a Roberto Rodríguez Valdajos, responsable de IT , e Ignacio Martín Román, Jefe de Servicio de Calidad y Medio Ambiente de Collosa.
- ¿Cuál es el principal objetivo que perseguía Collosa para implantar la norma internacional ISO 27001?
Ignacio: El primer objetivo que perseguíamos al implantar la norma ISO 27001 viene de la demanda de nuestros clientes. Estamos en un sector que no solo nos relacionamos con la Administración Pública, sino también con las principales empresas del Ibex35, clientes como: Repsol, Enel o Enegas, vienen siendo cada vez más exigentes en que sus proveedores principales cumplan con diversos tipos de certificaciones y, evidentemente, la seguridad de la información no podía estar fuera de esta demanda.
Roberto: Más allá del cumplimiento, nosotros lo que perseguíamos era tener la certeza de que nuestras operaciones, tal y como las operamos habitualmente, (eran operaciones seguras, eran procedimientos que garantizaban la confidencialidad y la disponibilidad de la información, tanto a nuestros compañeros de trabajo como a nuestros clientes y proveedores) y, sobre todo, tener la tranquilidad de poder abordar futuros proyectos dentro de un marco de juego seguro.
- ¿Por qué Collosa, siendo una empresa de construcción, decide implantar una norma de ciberseguridad en la organización?
Ignacio: Porque, independientemente de que una empresa constructora trabaje con personal y con maquinaria, lo que movemos es muchísima información; información que, además, tiene que estar disponible cuando es necesaria y, en muchos casos, además, es confidencial. Esta es la mayor preocupación a la hora de implantar un sistema de este tipo: el tener la integridad y la disponibilidad de la documentación y, sobre todo, garantizar su confidencialidad cuando sea necesaria.
- ¿Consideran ustedes que la implantación de la ISO 27001 les ha traído beneficios para su empresa? ¿Cuáles?
Roberto: Nos ha traído muchísimos beneficios, el principal de todos es el cambio cultural en la empresa en el que ahora la seguridad es nativa a la definición de un proceso; esto es algo que nos ofrece la 27001 porque nos da el marco donde poder ajustarnos y es una palanca que al departamento de IT nos ha venido muy bien porque nos permite exigir el cumplimiento de nuestra norma tal cual la tenemos certificada y eso nos da una garantía y una tranquilidad en las operaciones y un arma de defensa.
Ignacio: También tiene la parte de beneficio reputacional, es decir, una empresa que tiene este tipo de certificación hace que tus clientes y proveedores se acerquen a ti con una sensación de seguridad y lo que van a compartir contigo está protegido. - ¿Qué le ha aportado al departamento IT la implantación de la norma internacional ISO 27001?
Roberto: Principalmente, y partiendo del escenario que Grupo CFI nos presentó cuando hizo la primera labor de análisis antes de la consultoría, lo que principalmente hemos ganado es visibilidad como departamento. Ahora somos el departamento de la organización que se preocupa de defender la información que consumimos y generamos y, sobre todo, la que creamos.
También nos ha permitido traer a casa innovaciones tecnológicas que hasta ahora no teníamos y un respaldo profundo por la dirección de la compañía.
- ¿En qué cree usted que se diferencia una empresa que tiene esta certificación de una que no la tiene?
Ignacio: Fundamentalmente, como cualquier otra marca de garantía es la seguridad ante terceros que lo estás haciendo bien, es decir: has seguido un estándar y has cumplido con él, que no quiere decir que el no tenerlo no estés haciendo nada en Ciberseguridad. Nosotros ya trabajábamos con seguridad de la información, pero lo hacíamos como un autocontrol, pero el hecho de seguir un estándar te ordena todos esos pasos y, además, te garantiza ante terceros que lo estás haciendo bien.
- ¿Qué retos y desafíos se han presentado durante el proceso de implantación y certificación?
Roberto: El hecho de certificarse aporta un cierto grado de estrés, de esfuerzo y trabajo que es importante. Pero, más allá de esto, el mayor reto es la sinceridad. Yo soy del departamento de IT y cuando me he tenido que sentar delante de los consultores de Grupo CFI, lo primero que tienes que hacer es una labor de auto reflexión, eliminar vergüenzas, eliminar miedos, ser sincero para que la labor de consultoría pudiera ser eficaz. Es un gran reto, parece el más pequeño de todos y, sin embargo, probablemente, sea el más complicado de realizar para garantizar la efectividad de la certificación. Y sobre todo trabajo, comunicación con el resto de la compañía y una labor de cambio cultural de los planteamientos del resto de la compañía para que la compañía comprenda por qué estamos en este lío. Pero, básicamente, para mí el gran reto ha sido la labor de auto consulta, reflexión y de confesar a los consultores de Grupo CFI toda la realidad tal cual y tan cruda como yo la podía ver o tan maravillosa como pudiera yo pensar que era. Luego te das cuenta ni que todo lo haces tan bien ni todo lo haces tan mal.
Ignacio: Creo que esta norma es diferente de otras normas ISO, que si bien se estructuran como las clásicas: 9000 o 14000, esta tiene unos matices técnicos muy importantes que hacen que el equipo que implanta la norma sea multidisciplinar porque un responsable de sistemas, como es mi caso, tiene carencias en la parte técnica y al revés. Entonces, es la primera vez que tenemos que trabajar casi codo con codo para que un proyecto de este tipo salga adelante.
- ¿Qué medidas de formación en seguridad se han tomado en Collosa para proteger la confidencialidad y la integridad de la información?
Ignacio: En Collosa se viene trabajando en formación en Ciberseguridad ya desde el último año. Una formación bastante bien planificada y que atañe a todos los empleados que manejan herramientas informáticas, que somos bastantes y muy dispersos. A través de una plataforma se ha conseguido externalizar este servicio. Pero a partir de la implantación de la ISO 27001 lo que hemos procurado es hacer una labor de sensibilización o toma de conciencia en la que somos nosotros, Roberto y yo, los que transmitimos a nuestros compañeros la importancia de tomar medidas de precaución en el día a día, como, por ejemplo, proteger los documentos que dejamos encima de la mesa o proteger nuestras pantallas del ordenador.
Roberto: Más allá de estas dos medidas importantes, tanto la Ciberseguridad como modelo de formación abierto a toda la compañía y la comunicación con la formación más particularizada en Collosa para aplicar la norma en cada uno de los procesos, pues hay una labor del día a día en la que desde IT y sobre todo en los procesos onboarding que el personal hace a la casa.
- ¿Cuáles han sido los resultados de la implantación de la ISO 27001 en Collosa?
Roberto: El resultado final de toda esta labor es un sistema informático compacto, seguro, revisado, monitorizado y auditado. Recalco la palabra auditado porque es algo que a los de IT se nos olvida siempre. Siempre pensamos que somos los mejores, que hacemos la cosas como mejor se pueden hacer, y resulta que una visión externa es la que te produce una conclusión del resultado. También hemos ganado muchísima garantía tecnológica, hemos aprovechado la implantación de la ISO 27001 para renovar muchos sistemas informáticos y hemos ganado mucha cultura. A mí esto me parece muy importante, tanto o más que el resto. Ahora nos enfrentamos a retos nuevos como puede ser IA, Blockchain y otras formas de pensar de hacer las cosas y que gracias a la 27001 tenemos un marco donde introducirlas.
Ignacio: Los resultados ha sido altamente satisfactorios, no solo por el tiempo que ha llevado la implantación, que casi podría decir que ha sido en tiempo récord, y yo siempre pensé que lo estábamos haciendo más o menos bien y que teníamos un buen sistema, pero, efectivamente, que alguien externo te diga que sí lo estabas haciendo bien y que, solo modificando pequeñas cosas, vas a conseguirlo en este tiempo, es un espaldarazo para tu trabajo. Hay que tener en cuenta la dificultad que tenía esta implantación: estamos hablando de que en la empresa puede haber más de 100 usuarios de equipos informáticos y cada uno con su formación y con sus mermas en la formación: es decir, el departamento de IT a veces tiene que resolver problemas que no existen. Entonces, esa era una de nuestras vulnerabilidades: la gran variedad de usuarios y haber conseguido la implantación de la norma y certificación posteriormente en un breve espacio de tiempo (6, 7 meses aproximadamente) ha sido un éxito. - ¿Consideran en un futuro implantar otras medidas de certificación en el ámbito de la Ciberseguridad?
Ignacio: Ahora mismo estamos casi felicitándonos todavía por el éxito conseguido, entonces, a la hora de pensar en el futuro hemos de decir que muchas de las medidas que hemos implantado todavía están en proceso de implantación, puesto que los tiempos que nos hayamos marcado eran largos. Ahora bien, no somos ajenos a que, si bien las tecnologías evolucionan, sino que los requerimientos de nuestros principales clientes van a evolucionar y si hoy es fácil ver que una certificación ISO 27001 está puntuada en un concurso, dentro de unos años será requisito sine qua non te podrás presentar a la licitación y mañana será el Esquema Nacional de Seguridad lo que nos pida la Administración Pública cuando queramos contratar con ella. Y somos conscientes de que esto es una carrera de fondo y que vamos a estar así toda la vida en esta empresa.
- ¿Cómo Grupo CFI os ha ayudado a que el proceso de implantación y certificación sea menos costoso?
Ignacio: El trabajo con Grupo CFI ha cumplido todas las expectativas que teníamos porque lo que buscábamos, después de experiencias no en esta materia, pero sí en otras relacionadas con la Protección de Datos u otros servicios de asesoría, lo que nosotros buscábamos era cercanía. Lo que yo más valoraría con Grupo CFI es que hacen que nos sintamos como si fuéramos su cliente único y eso para nosotros es muy importante porque, posiblemente, cuando trabajas con diferentes tipos de consultorías, algunas a nivel nacional, no dejas de ser un cliente más y como tampoco Grupo Collosa es una empresa del IBEX35, pues al final nunca somos el más importante. Y esto con Grupo CFI sí que lo hemos tenido, la proximidad que nos han dado y el tratamiento era lo que estábamos buscando. Luego, las herramientas que nos han facilitado, que seguramente sean desarrollos suyos genéricos, pero que te las personalizan según tus necesidades y esto es lo que más hemos valorado porque era la única manera de cumplir nuestro objetivo: que en el año 2024 Collosa estuviera certificada. Estoy seguro de que ha sido costoso en nivel de tiempos de trabajo, pero, desde luego, cuando vas a éxito, miras atrás y piensas que fue una decisión correcta contar con Grupo CFI.
Roberto: Yo quiero resaltar algunos aspectos: uno es la proximidad. Es muy sencillo hablar con los consultores de Grupo CFI. En nuestro caso, nuestro consultor más directo ha sido Óscar Serna. Otros aspectos han sido la sencillez, la transparencia, la flexibilidad que se ha demostrado durante todo el proceso de implantación y certificación, el profundo conocimiento de la norma, el profundo conocimiento del mundo de la Ciberseguridad, porque puedes implantar una norma como la ISO 27001 sin saber de Ciberseguridad, pero tienes que saber cómo agarrar cada una de las circunstancias. Fue un proceso duro, pero siempre tuve la libertad de posponer, acelerar y nunca tuve un no como respuesta por parte de Grupo CFI y eso es algo increíble. Y luego la auditoría interna y la labor de acompañamiento en la certificación creo que son de las mejores que yo he visto en mi vida. Enhorabuena a Grupo CFI y gracias.