Cómo Evolution Funding logró la certificación ISO 27001

Financiación de la evolución Evolution Funding es una correduría de financiación de vehículos regulada por la FCA. Ofrece soluciones financieras digitales que ayudan a sus socios a optimizar el proceso de financiación y a transformar la experiencia del cliente al contratar un préstamo para su automóvil. El alcance y las capacidades de Evolution Funding van más allá de las de un intermediario tradicional; sus innovadoras soluciones financieras digitales están revolucionando el sector de la financiación de vehículos.

Obtener la certificación ISO 27001 era un objetivo fundamental para Evolution Funding.

A medida que la empresa crecía e innovaba, ampliaba su oferta tecnológica con soluciones de software financiero líderes en el mercado, capacidades de generación de clientes potenciales para financiación de vehículos, una API propia de finanzas digitales y mucho más. Estos avances hicieron que demostrar una gestión sólida de la seguridad de la información fuera crucial.

Sin embargo, el equipo de Evolution Funding necesitaba una plataforma centralizada que les permitiera implementar la norma ISO 27001 y gestionar el proceso de cumplimiento. Inicialmente utilizaban SharePoint, que ofrecía una solución eficaz para la gestión de la documentación, pero no les permitía recopilar fácilmente pruebas ni vincularlas con las políticas y controles de su sistema de gestión de la seguridad de la información (SGSI).

Para agilizar el proceso de certificación ISO 27001, Evolution Funding utilizó la plataforma IO.

El equipo migró su documentación existente de SharePoint a IO, lo que les permitió consolidar la gestión del cumplimiento normativo, garantizar que los documentos se almacenaran en áreas adecuadas de la plataforma y obtener una visión general en tiempo real de su progreso en su panel de control.

La implementación inicial fue sencilla. Jen utilizó la función de gestión de usuarios de la plataforma para añadir usuarios a los proyectos pertinentes y asignarles diferentes niveles de acceso según fuera necesario. Esto también simplificó el proceso de otorgar acceso a terceros, como auditores internos y externos.

Durante el proceso de cumplimiento normativo, Jen y su equipo utilizaron las plantillas de políticas y controles integradas de la plataforma como guía. Emplearon las funciones de «adoptar, adaptar y añadir» de IO para personalizar las plantillas con su propio contenido según fuera necesario, garantizando así que se ajustaran a las necesidades específicas de seguridad de la información de Evolution Funding.

Gracias a la plataforma IO, que les permitió centralizar y optimizar su cumplimiento normativo, Evolution Funding logró obtener la certificación ISO 27001 en 18 meses.

Lo lograron a pesar de que el organismo de auditoría externa original de la empresa experimentó problemas de recursos que retrasaron el proceso.

Jen compartió que la plataforma IO le ahorró a la empresa una cantidad considerable de tiempo:

Las reuniones trimestrales con Wayne, su gestor de éxito en cumplimiento normativo (CSM), siguen aportando un valor real a la empresa. Estas reuniones fomentan una comunicación fluida, y Wayne suele identificar nuevas soluciones para ayudar a Evolution Funding a alcanzar objetivos específicos dentro de la plataforma. Por ejemplo, recientemente la empresa solicitó una regla de «excepciones a la política» que permite al equipo utilizar determinadas herramientas durante un tiempo limitado antes de que la plataforma IO bloquee automáticamente su uso.

La empresa planea impulsar el uso de la plataforma IO para la gestión del cumplimiento normativo.

Evolution Funding forma parte de un grupo más amplio, Evolution Group, y los próximos pasos incluyen la incorporación de sus empresas hermanas, Creditas y Motion Finance, al ámbito de aplicación de su sistema de gestión de seguridad de la información ISO 27001.

Además, el equipo está considerando ampliar el caso de uso de ISO 27001 o implementar Cyber ​​Essentials para otras empresas del Grupo Evolution que tal vez no estén comprendidas en el ámbito de su SGSI existente.