La ciberseguridad es una prioridad para eMaint y toda Fluke Reliability. Gracias a la dedicación de la Oficina de Seguridad de la Información de Fluke, Fluke Reliability obtuvo la certificación ISO/IEC 27001:2013 en octubre de 2021. La gestión eficaz de los riesgos de seguridad de la información es fundamental para el éxito de Fluke Reliability y sus clientes.
La ISO 27001 es una de las normas de seguridad de la información reconocidas internacionalmente. Ofrece un marco para implantar un sistema de gestión de la seguridad de la información (SGSI) que garantice la confidencialidad, integridad y disponibilidad de los datos corporativos. Esto incluye datos como la información financiera, la propiedad intelectual, los datos de los empleados e incluso la información gestionada por terceros. Un SGSI eficaz protege contra los ciberataques, las fugas de datos y los intentos de piratería o robo.
Matthew Hudon, director de seguridad de la información de Fluke, explicó que el equipo de la Oficina de Seguridad de la Información evaluó múltiples opciones de certificación en 2020 antes de decidirse por la ISO 27001. "Tiene que ver con el sistema de gestión más que con los controles específicos que se puedan tener", dijo. "Fluke ya cuenta con la certificación ISO 9001 para su ingeniería de hardware, así que simplemente encajaba con el tema".
Uno de los primeros pasos en el proceso de certificación fue el uso de la Publicación Especial 800-53 del NIST "para tener una lista de verificación de las cosas que necesitábamos implementar desde una perspectiva de seguridad en la nube", añadió Hudon.
Otro de los primeros pasos del proceso fue la puesta en marcha de una herramienta de gobierno, riesgo y cumplimiento (GRC). "Una herramienta de GRC era donde podíamos rastrear todo nuestro progreso, los controles específicos a los que teníamos que adherirnos, y ser capaces de proporcionar evidencia de que esos controles se estaban siguiendo", dijo Josh Ciaramitaro, líder de GRC de seguridad de la información para Fluke. Para ello, se creó el foro de gestión de la seguridad de la información (MISF), que es un conjunto de departamentos y líderes que ayudaron a impulsar las iniciativas de ciberseguridad. El MISF se reunió regularmente para colaborar en las tareas que debían completarse para lograr la certificación ISO.
La consecución de la certificación, así como todo el trabajo realizado para obtenerla, reflejan la declaración de intenciones de la Oficina de Seguridad de la Información:
La misión de la Oficina de Seguridad de la Información de Fluke es proteger la confidencialidad, la integridad y la disponibilidad de la información de los clientes, los empleados y la organización haciendo que la seguridad de la información sea programática y cultural en toda la organización.
Una vez concedida la certificación, ésta tiene una duración de tres años. El mantenimiento de la certificación en ese periodo implica la realización de auditorías periódicas para garantizar que se mantienen todas las acciones y controles adecuados.
"Si eres el propietario de un sistema como Salesforce, debes asegurarte de que, como mínimo, el administrador del sistema realiza una revisión trimestral de todas las personas que siguen activas en ese entorno", explicó Ciaramitaro. "Así, si hay un empleado despedido o transferido que ya no necesita acceso, se responde a él de manera oportuna". Estas revisiones reducen el riesgo de posibles infracciones.
Otros requisitos cubren áreas como la formación y la concienciación, la seguridad física del sitio y las pruebas de seguridad de los productos.
Al haber obtenido Fluke Reliability una certificación de tercera parte, los clientes y potenciales clientes pueden tener una mayor confianza en las normas y prácticas de ciberseguridad de FRS. "No somos nosotros los que les decimos que estamos haciendo algo, es una tercera parte independiente", dijo Hudon. "La ISO es un organismo mundial que se toma estas cosas muy en serio, por lo que los auditores tienen que estar certificados. Sólo hay un puñado de empresas en el mundo que pueden emitir la certificación. Así, tienen la garantía de que una tercera parte independiente y muy cualificada ha venido y ha verificado que lo que decimos es cierto. Pero puedes imaginar que eso da mucha tranquilidad a los departamentos de seguridad de nuestros clientes".
La certificación también cubre los procesos relacionados con la recuperación de desastres. "Cualquier cosa, desde un evento cibernético hasta un desastre físico o un huracán, lo que sea", dijo Hudon. "La recuperación de desastres es una parte realmente importante de la ISO, y también es una gran preocupación de los clientes, por lo que quieren asegurarse de que tenemos los procesos adecuados para que, si algo sucede, no afecte a sus servicios".
"Nuestros RPO y RTO, que son objetivo de punto de recuperación y objetivo de tiempo de recuperación, son de 12 y 24 horas. Así que le decimos a un cliente: 'Si ocurre algo, tenemos un evento de ransomware, tenemos algún tipo de desastre, seremos capaces de poner en marcha sus servicios de nuevo en 24 horas, y seremos capaces de tener los datos que están en ese entorno de recuperación no menos de 12 horas'. Así que, cada tres meses, tienen que probar eso para asegurarse de que, sí, las copias de seguridad están funcionando, el proceso está funcionando, y esto puede ocurrir de hecho si tenemos un desastre".
Los clientes y prospectos interesados pueden ver la Declaración de Aplicabilidad (SoA) a través del portal de seguridad FRS. La SoA define el ámbito de aplicación de la siguiente manera:
El sistema de gestión de la seguridad de la información (ISMS) de FRS es responsable de gestionar los requisitos de seguridad internos y externos para todos los entornos de desarrollo, control de calidad y producción que soportan todas las soluciones SaaS globales de Fluke Reliability.