La Certificación ISO 27001 que hemos obtenido recientemente en ADN Datacenters, nos convierte en el único Data Center en Costa Rica que brinda servicios certificados de seguridad de la información de todos nuestros clientes, además de contar con una infraestructura de clase mundial TIER III que garantiza la continuidad de su negocio.
Hoy en día, es habitual que las organizaciones tengan implementados sistemas de gestión, por ejemplo, calidad según ISO 9001, medio ambiente según ISO 14001, seguridad y salud laboral según OHSAS 18001 y seguridad de la información según ISO 27001. Todos estos sistemas tienen metodologías, objetivos y documentación que buscan mejoras en la productividad y procesos de las empresas.
Aunque los sistemas de gestión se aplican en todo el mundo y son utilizados por diferentes países, no están sujetos a leyes o regulaciones nacionales particulares. Esta característica es cada vez más importante con la internacionalización del comercio y las empresas, así como con los cambios operativos de servicios, personas y sistemas, como es el caso de la deslocalización y los servicios de almacenamiento en la nube (cloud computing).
ISO 27001 proviene de una norma británica de seguridad de la información que data de la década de 1990, se ha desarrollado continuamente desde entonces y su iteración más reciente surgió en 2013.
Evaluación de riesgos: Uno de los elementos más relevantes de la norma es el requisito relacionado con la gestión de los riesgos de los activos de información, el cual tiene como enfoque la identificación, la evaluación y el control de forma continua.
Varios escenarios de control: Otra diferencia significativa con respecto a otras normas, es que se deben considerar cada uno de los 114 controles en los cuales está basada la norma y presentar escenarios donde se apliquen o no dichos controles.
Certificación por sectores: Las organizaciones participantes también deben declarar qué partes de sus operaciones comerciales son compatibles. Esta condición evita las generalizaciones sobre una organización que dice cumplir con un estándar, cuando en realidad solo una parte cumple con los requisitos.
Auditoría continua: Otro aspecto destacable de la norma, son los requisitos para una auditoría continua y rigurosa. Para que la certificación continúe vigente, la empresa está sujeta a auditorías de observación y supervisión formales y constantes, tanto internas como externas. Éstas últimas deben ser realizadas periódicamente por un tercero acreditado con el fin de validar el cumplimiento y la mejora de los requisitos.
Un centro de datos, que sea considerado globalmente de alto nivel, debe contar estrictamente con varias características para poder asegurar a sus clientes que es un sitio seguro para el almacenamiento de su información, principalmente si ésta es considerada crítica para su negocio.
La primera de ellas, es contar con un diseño de la infraestructura certificado por un tercero con prestigio. Dicho diseño, debe contemplar todos los componentes que se consideran necesarios para ofrecer una solución robusta y redundante desde el punto de vista de generación eléctrica, ups, enfriamiento, seguridad, comunicaciones, respaldo y otros.
La segunda característica, es la experiencia, el conocimiento y las competencias del personal que administra su operación, ya que la infraestructura por sí sola no se gestiona. Dichas cualidades de los líderes de este tipo de empresa, se ven reflejadas cuando logran plasmar excelencia y disciplina en la forma en la que operan la infraestructura con la que se cuenta.
Muchos centros de datos pueden decir que basan su operación en las mejores prácticas de la industria, pero esto no es suficiente, se requiere que su gestión esté basada en normas afines al giro del negocio y que esto sea demostrable mediante una certificación de un tercero acreditado.
La norma ISO 27001 asegura a los clientes que se cuenta con un sistema de gestión de seguridad de la información (SGSI) que protege la disponibilidad, confidencialidad e integridad de la información que almacenan, mediante la gestión de los riesgos relacionados con los activos, contemplando así, toda la cadena de valor.
Un SGSI certificado está basado en la mejora continua, lo cual asegura que las empresas constantemente están monitoreando su operación desde todos los puntos de vista posibles con el fin de identificar riesgos, evaluarlos, analizarlos y tratarlos de forma eficaz.
Finalmente, la norma ISO 27001, a diferencia de otras normas que también podrían ser implementadas, no solo viene a aportar en temas de administración, operación y calidad de los servicios que se entregan a los clientes, sino que además de cumplir con esas características, lo hace con un enfoque especializado en la seguridad de la información, lo cual al fin de cuentas es el core del negocio un centro de datos, asegurar la información de los clientes.