MRPeasy obtiene la certificación ISO 27001
ISO 27001 es una norma internacional para la seguridad de la información, cuya conformidad demuestra la seguridad de los datos conservados en una empresa. Aunque la seguridad de los datos ha sido una de las principales prioridades de MRPeasy desde su fundación, ahora la empresa cuenta con los certificados que lo demuestran. El director de marketing, Karl H. Lauri, explica qué significa esto y por qué es importante.
¿Qué es la norma ISO 27001?
ISO 27001 es la norma de gestión de la seguridad de la información más importante del mundo en la actualidad. La otorga la Organización Internacional de Normalización (ISO) a las empresas que han demostrado tener un sistema seguro para gestionar los datos de clientes y empleados, los datos financieros, la propiedad intelectual y otra información que se guarda en la empresa.
¿Durante cuánto tiempo se ha preparado MRPeasy para esto?
MRPeasy ha prestado gran atención a la seguridad de la información desde la fundación de la empresa hace 9 años. Aunque en gran medida ya cumplíamos la norma ISO 27001, decidimos obtener la certificación a mediados de 2022. Desde nuestra evaluación inicial, hemos pasado por dos auditorías de la empresa de certificación acreditada Bureau Veritas. La auditoría final se realizó en febrero de 2023 y la superamos con honores.
¿Por qué es importante la certificación?
La certificación ISO 27001 demuestra a nuestros clientes y socios que sus datos están seguros con nosotros. Aunque no solicitamos datos confidenciales a nuestros clientes, es posible que los almacenen en nuestro sistema. Si no se almacenan y gestionan con diligencia, estos datos pueden ser robados o perderse con bastante facilidad. El cumplimiento de la norma ISO 27001 demuestra que disponemos de los procesos y políticas necesarios para evitarlo.
¿Qué hay que hacer para obtener la certificación?
Es un sistema riguroso, por lo que requiere una inversión significativa de tiempo y recursos si se parte de cero. Pero como desde el principio nos centramos en la seguridad de la información, el proceso de certificación fue bastante sencillo. Tuvimos que introducir algunas mejoras en la seguridad física de nuestra oficina, en el software de terceros que utilizamos y en la formación de los empleados, pero fueron ajustes menores. En adelante, un auditor revisará nuestro sistema una vez al año, por lo que tenemos que revisar y mejorar constantemente nuestros procesos de seguridad de datos.
¿Solicitan los clientes específicamente esta certificación?
Algunas empresas lo exigen explícitamente, mientras que otras no. Sin embargo, hay muy pocas organizaciones que no se preocupen por la seguridad de sus datos. Y aunque una empresa no tenga la certificación ISO 27001 como requisito a la hora de elegir un socio de software, se está convirtiendo en un argumento de venta cada vez más importante.
¿Deberían otras empresas de TI obtener esta certificación?
Yo diría que merece la pena invertir en ello, especialmente para empresas de rápido crecimiento como MRPeasy. En primer lugar, establecer estas políticas y procedimientos antes de llegar a los 100 empleados es mucho más fácil. En lugar de dedicar el doble o el triple de tiempo a formar a cientos de empleados más adelante, puede dejar que el sistema de cumplimiento crezca con su empresa. En segundo lugar, es una señal importante de que se le pueden confiar los datos de sus clientes. Y en tercer lugar, quizás lo más importante, disponer de procesos y políticas conformes con la norma ISO 27001 protegerá a su empresa de una serie de amenazas que podrían acabar costándole mucho más que obtener la certificación.