Cómo Autotech Group impulsa la mejora continua de la seguridad de la información con la norma ISO 27001

“La certificación es un subproducto del proceso: la hemos logrado para mejorar como empresa y optimizar nuestro enfoque en la gestión de la seguridad de la información, la capacitación de los usuarios finales y los procesos”.

Jack Salsbury Jefe de TI y Seguridad de la Información, Autotech Group

Puntos Clave

Descubra cómo Autotech Group:

• Obtuvo la certificación ISO 27001 en 11 meses
• Se utilizó la plataforma IO para optimizar la implementación del SGSI
• Aprovechó la experiencia ISO 27001 de SGG para respaldar el éxito
• Mejores prácticas de seguridad de la información integrada para una mejora continua.

Acerca de Autotech Group

Autotech Group, especialista en el sector de la automoción y la movilidad, está formado por cuatro marcas: Autotech Recruit, Autotech Training, Autotech Academy y Autotech Connect.

La empresa es una consultora especializada y galardonada que impulsa la innovación en los sectores de la automoción y la movilidad en general. Mediante soluciones a medida, basadas en sus tres áreas de especialización principales (personas, habilidades y tecnología), abordan uno de los desafíos más urgentes del sector: la creciente escasez de mano de obra.

El desafío

El equipo de Autotech Group necesitaba cumplir con la norma ISO 27001 como parte de su estrategia de seguridad de la información. Sabían que, al desarrollar, mantener y mejorar un sistema de gestión de seguridad de la información (SGSI) conforme a la norma ISO 27001, podrían garantizar que el enfoque de la empresa en materia de seguridad de la información se ajustara a las mejores prácticas.

La seguridad de la información no es estática. Estamos en constante evolución, asegurándonos de que nuestra seguridad de la información se ajuste a nuestras necesidades como empresa, en lugar de simplemente añadir cualquier cosa que podamos conseguir.

Jack Salsbury Jefe de TI y Seguridad de la Información, Autotech Group

La certificación ISO 27001 también permitiría a Autotech Group demostrar a las partes interesadas que la empresa cumplía con los requisitos fundamentales de seguridad de la información. Muchos de sus proveedores y socios exigían pruebas del cumplimiento de la seguridad de la información, requisitos que a menudo excedían el alcance de marcos de seguridad básicos como Cyber ​​Essentials y Cyber ​​Essentials Plus.

Esto hizo que demostrar medidas efectivas de seguridad de la información fuera crucial para el éxito continuo: la certificación ISO 27001 sería un catalizador para el crecimiento.

Para nosotros, Cyber ​​Essentials y Cyber ​​Essentials Plus ya no eran suficientes. La ISO 27001 se convirtió en el siguiente paso más amplio en cuanto a certificación y capacidad para demostrar nuestra seguridad de la información.

Jack Salsbury Jefe de TI y Seguridad de la Información, Autotech Group

Sin embargo, con el desarrollo de experiencia interna en ISO 27001, el equipo necesitaba apoyo adicional para trabajar en la implementación y una plataforma para consolidar el proceso de cumplimiento.

La Solución

El equipo contó con la experiencia de los consultores de seguridad de la información de SGG y aprovechó la plataforma IO para centralizar la gestión del cumplimiento normativo. Internamente, Nadège, directora de proyectos de Autotech Group, se encargó de la gestión del proyecto. Adaptó la estructura y las responsabilidades del proyecto ISO 27001 a los recursos internos y los requisitos del negocio para garantizar la certificación.

Chris Gill, Director de Ciberseguridad, GRC y Auditoría de SGG, brindó apoyo durante todo el proceso de certificación. Trabajó con el equipo de Autotech Group para analizar las áreas de la norma que presentaban cierta ambigüedad y compartió las mejores prácticas para su implementación. Chris comentó: «Tanto Jack como Nadège tenían un alto nivel de competencia en seguridad de la información. La función de SGG fue aclarar los requisitos técnicos de la norma ISO 27001:2022 y asesorar sobre cómo implementar y cumplir eficazmente con ellos».

“SGG aportó claridad y experiencia al proceso de certificación, abordando áreas de la norma donde necesitábamos apoyo”.

Jack Salsbury Jefe de TI y Seguridad de la Información, Autotech Group

Jack y Nadège utilizaron el Método de Resultados Asegurados (ARM) de 11 pasos de IO para adoptar un enfoque estratégico de implementación. También emplearon las plantillas de políticas y controles integradas en la plataforma y las adaptaron para garantizar que se ajustaran al contexto de la empresa.

“La plataforma nos brindó el marco y el contenido que podíamos adaptar; nuestra experiencia interna en ISO 27001 estaba en desarrollo, por lo que fue fundamental para nuestro éxito”.

Nadège Gavarret-Clarke Gerente de Proyectos, Autotech Group

Gracias a la plataforma IO, Autotech Group también pudo mapear los requisitos entre las normas de gestión de calidad ISO 27001 e ISO 9001 y armonizar los controles donde se solapaban. Esto evitó la duplicación de trabajo y agilizó la gestión del cumplimiento normativo entre ambas normas.

El Resultado

“ARM nos brindó una forma racional de abordar la norma ISO 27001, y pudimos usarla para luego profundizar en cada una de las cláusulas y controles del Anexo A”.

Jack Salsbury Jefe de TI y Seguridad de la Información, Autotech Group

Gracias a este enfoque holístico de cumplimiento normativo que abarca a personas, procesos y plataformas, Autotech Group obtuvo la certificación ISO 27001 en 11 meses. La empresa cuenta ahora con un SGSI sólido y el equipo continúa mejorando su enfoque de gestión de la seguridad de la información, comprometiéndose con el requisito de mejora continua de la norma ISO 27001.

Autotech Recruit es ahora una de las únicas empresas de contratación de su tamaño que cuenta con las certificaciones ISO 27001 e ISO 9001, lo que refleja el compromiso del equipo con la calidad y la seguridad.

IO nos ha dado la tranquilidad de poder abordar las mejoras que surgen de nuestras auditorías y medirlas. Podemos ver dónde estamos y, cuando implementamos un cambio, podemos ver el impacto. La plataforma IO nos brinda una visión muy clara de lo que hemos mejorado a nivel de control.

Jack Salsbury Jefe de TI y Seguridad de la Información, Autotech Group

Si bien la certificación ISO 27001 exitosa era el objetivo principal, Jack compartió que era igualmente importante que las mejores prácticas de la norma se aplicaran de manera efectiva en toda la empresa:

“La certificación es un subproducto del proceso: la hemos logrado para mejorar como empresa y optimizar nuestro enfoque en la gestión de la seguridad de la información, la capacitación de los usuarios finales y los procesos”.

Jack Salsbury Jefe de TI y Seguridad de la Información, Autotech Group

Autotech Group ha programado sus próximas tres auditorías con SGG para garantizar el cumplimiento continuo y desarrollar la madurez de su SGSI. Jack comentó: «Una de las cosas que más me ha resultado útil de trabajar con SGG es poder analizar el nivel de madurez esperado de un SGSI a medida que avanza el proceso».

Ha sido fantástico ver cómo Autotech Group ha perfeccionado sus procesos y políticas desde que trabajo con ellos. Espero con interés realizar sus auditorías internas para determinar el cumplimiento de los requisitos de la norma ISO 27001:2022 y las áreas de mejora a medida que nuestra colaboración evolucione.

chris gill Jefe de Ciberseguridad, GRC y Auditoría, SGG

Próximos Pasos

El equipo trabajará en el cumplimiento del RGPD por parte de Autotech Group durante los próximos meses. Utilizando la plataforma IO, planean comenzar con un análisis de deficiencias para identificar dónde los controles implementados para la certificación ISO 27001 se alinean con los requisitos del RGPD y dónde se requiere mayor trabajo.