Cómo LearnSci demuestra una gestión de seguridad sólida y agiliza la incorporación de socios con la certificación ISO 27001

El Desafío

LearnSci colabora directamente con universidades para proporcionar recursos educativos digitales, lo que significa que la empresa gestiona una cantidad significativa de datos de estudiantes, evaluaciones y tareas. La Encuesta sobre Brechas de Ciberseguridad de 2025 reveló que el 97 % de las instituciones de educación superior identificaron una brecha o un ciberataque durante el último año. Por ello, los proveedores potenciales están sujetos a estrictos requisitos de seguridad; obtener la certificación ISO 27001 fue crucial para la empresa, ya que permitió a LearnSci demostrar sus sólidas prácticas de seguridad.

Katy Aldrich, directora de operaciones de LearnSci, afirmó: «Las universidades integran partes de nuestro sistema en el suyo, y almacenamos los datos de los estudiantes en nuestro sistema. Debemos ser muy cuidadosos para proteger esos datos. Las universidades tienen que pasar por importantes procesos de adquisición al licenciar cualquier software nuevo, y la norma ISO 27001 les da una gran ventaja en este aspecto».

“Queríamos obtener la certificación ISO 27001 para demostrar que cuidamos los datos que nos proporcionan y que tenemos en cuenta la seguridad de los datos en toda la organización”.

Katy Aldrich Jefe de operaciones, LearnSci

Katy y el equipo de Learning Science intentaron implementar la norma ISO 27001 utilizando diversas plantillas de documentos y políticas. Sin embargo, tras un estancamiento en la implementación, se dieron cuenta de que necesitaban una herramienta que les permitiera construir un sistema de gestión de seguridad de la información (SGSI) completo y eficaz, alineado con los requisitos de las mejores prácticas de la norma ISO 27001.

Habíamos probado varias cosas; nada funcionaba realmente y no avanzábamos. Probamos un par de plantillas de políticas, pero carecíamos de la infraestructura necesaria en la empresa ni de los registros de riesgos y de activos necesarios. Necesitábamos algo que ofreciera más que un simple punto de partida para las políticas.

Katy Aldrich Jefe de operaciones, LearnSci

La Solución

La empresa implementó ISMS.online para gestionar el cumplimiento de la norma ISO 27001. La plataforma le permitió centralizar políticas, tareas, gestión de riesgos, recopilación de evidencias y más. Trabajando con su Gerente de Éxito del Cliente y utilizando el Método de Resultados Asegurados (ARM) de ISMS.online, LearnSci implementó un enfoque gradual para el cumplimiento, integrando la seguridad de la información en toda la empresa.

Las plantillas de políticas y controles preescritas proporcionaron una buena estructura: el 90 % de lo que necesitábamos estaba ahí. Pudimos eliminar partes que no nos interesaban y añadir lo que sí lo era.

Katy Aldrich Jefe de operaciones, LearnSci

Katy añadió: «Empezar desde cero e intentar encontrar la manera de alinear el estándar, que está escrito de forma muy específica, y luego aplicarlo a nuestra empresa, habría sido mucho más difícil. Tener ese punto de partida fue fundamental para nosotros».

LearnSci también utilizó la función de paquetes de políticas de la plataforma para fomentar una cultura de cumplimiento normativo. El uso de los paquetes de políticas por parte de la empresa se alinea directamente con los requisitos de formación y concienciación de los empleados de la norma ISO 27001 y ayuda a LearnSci a garantizar que los empleados de toda la organización conozcan sus funciones y responsabilidades en materia de seguridad de la información.

Usamos ISMS.online para compartir políticas clave. Cuando se incorporan nuevos empleados, les enviamos un paquete de políticas con 15 o 20 políticas clave que deben tener en cuenta en su trabajo diario. Luego, podemos republicar ese paquete periódicamente y pedirles a todos que comprueben que aún las conocen, ya que es fácil leer algo y luego olvidarlo. Esto fue útil durante nuestra auditoría de certificación, ya que pudimos demostrar que presentamos las políticas pertinentes a los empleados y que las leyeron.

El Resultado

“Seguir el método ARM nos ayudó a identificar las áreas en las que debíamos concentrarnos para progresar”.

Katy Aldrich Jefe de operaciones, LearnSci

El equipo de LearnSci desarrolló su SGSI y procesos de seguridad de la información integrados en el negocio a lo largo de tres años y logró con éxito la certificación ISO 27001 por primera vez en 2025.

“Para cuando llegamos a las auditorías, contábamos con un sistema que llevábamos desarrollando un par de años, que nos funcionaba bien y que conocíamos bien. Toda la empresa estaba familiarizada con la plataforma porque habíamos tenido un par de rondas de trabajo para que leyeran sus paquetes de políticas y para que otras personas participaran en el registro de riesgos o usaran el rastreador de incidentes”, dijo Katy. “Así, cuando los auditores nos preguntaban sobre algo, podíamos orientarlos. Comentaron que estaba muy bien configurado”.

Se espera que la certificación ISO 27001 ahorre a Katy y al equipo tiempo y recursos valiosos al trabajar con universidades. El mayor impacto se producirá cuando LearnSci incorpore nuevos socios: la certificación ISO 27001, en muchos casos, elimina la necesidad de que el equipo complete exhaustivos cuestionarios de seguridad de la información. En cambio, la certificación demuestra la sólida gestión de la seguridad de la información de la empresa.

La certificación ISO 27001 le da al socio la confianza de que contamos con certificación externa y de que cubrimos la seguridad de los datos. Es un gran triunfo para nosotros y para ellos.

Katy Aldrich Jefe de operaciones, LearnSci

Un par de cuestionarios de seguridad de la información que hice el año pasado tenían un formato largo, y la primera pregunta es: "¿Tiene usted la certificación ISO 27001?". Si puede marcar esa casilla e indicar su número de certificado, no es necesario que complete el formulario.

LearnSci también ha logrado importantes ahorros de costes al utilizar la plataforma ISMS.online.

Si consideramos el costo del sistema y nuestro tiempo, es mucho menor que contratar a alguien para un puesto de oficial de cumplimiento. No podríamos contratar a alguien del nivel adecuado para eso, porque seguiríamos necesitando el tiempo de otros empleados de la empresa.

¿Qué es lo siguiente?

El equipo de LearnSci se enorgullece de haber obtenido la certificación ISO 27001 y está planeando difundirla, así como cómo mantener los altos estándares que establece. Aprovecharán la certificación en las conversaciones sobre las próximas ventas y renovaciones durante los próximos meses, a medida que las universidades comiencen a buscar recursos para el próximo año académico.

“Nuestra certificación ISO 27001 realmente entrará en juego en los próximos seis meses, cuando entremos en nuestra temporada alta de ventas”.

Katy Aldrich Jefe de operaciones, LearnSci