Comienza la cuenta atrás para Keyfactor Tech Days | ¡Asegura tu plaza hoy mismo!

Las normas que defiende Keyfactor

Gestión de identidades de máquinas

En el mundo de la ciberseguridad y la confianza digital, hay pocas normas estrictas y rápidas, pero sí muchas buenas prácticas en constante evolución. 

La PKI y los certificados digitales son el ADN de la confianza digital, ya que permiten el cifrado y el intercambio seguro de datos entre personas y máquinas. La IA, la cuántica, la adopción de IoT y otras innovaciones están haciendo de la PKI un elemento aún más importante de la infraestructura empresarial. Sin embargo, organizaciones de todo tipo siguen viéndose acosadas por las interrupciones y la dispersión. Su visibilidad y sus conocimientos son limitados. 

La infraestructura de clave pública (PKI, por sus siglas en inglés) es un ámbito de especialización que se ve afectado oblicuamente por las normas de seguridad que afectan a la protección y el cifrado de datos. Aunque el sector financiero, la sanidad y otros ámbitos de alto nivel de gobernanza no son ajenos a la normativa, el cumplimiento de la misma también está llegando a los sectores generales. 

Para satisfacer las exigencias de cumplimiento, reducir los costes de los seguros y aumentar la resistencia operativa, es vital trabajar con proveedores y soluciones creados para cumplir y potenciar los marcos de ciberseguridad. 

Las normas que cumplimos

En Keyfactor queremos desarrollar todo nuestro potencial como organización y ofrecer la máxima excelencia a nuestros clientes y socios. Por eso no solo cumplimos las siguientes normas, sino que las utilizamos como referencia para ir más allá.

SOC 2 Tipo II

El marco de Control de Sistemas y Organizaciones (SOC) ofrece una serie de informes que validan la eficacia de los controles de seguridad de la información. 

Los informes SOC 2 evalúan los controles de seguridad, confidencialidad, integridad del procesamiento, privacidad y disponibilidad de los datos de los clientes. SOC 2 es relevante para las organizaciones que almacenan, procesan o transmiten cualquier tipo de datos de clientes, como proveedores de SaaS, alojamiento de datos y almacenamiento en la nube. 

El cumplimiento de las normas SOC 2 garantiza unos cuantos controles de seguridad clave:

  • La organización dispone de controles de seguridad de datos que protegen los datos de los clientes de accesos no autorizados.
  • La organización puede detectar anomalías e incidentes de seguridad en todo el entorno informático.
  • En caso de fallo o interrupción, la organización puede restablecer rápidamente el funcionamiento de los sistemas. 

Dentro de la designación SOC 2, los informes de Tipo I evalúan los controles y procesos de un solo vistazo, mientras que los de Tipo II los evalúan a lo largo de un periodo de 3 a 12 meses. Los informes de Tipo II tienen más peso y abarcan la infraestructura, software, el personal, los datos y los procedimientos.

Estas auditorías las lleva a cabo un auditor independiente, y superarlas refleja una verdadera cultura de la seguridad y una estrategia de seguridad permanente eficaz.

ISO 27001, 9001 y 14001

La Organización Internacional de Normalización (ISO) es una organización independiente y no gubernamental dedicada a la elaboración de normas. En todo el mundo, son más los países miembros de la ISO que los que no lo son, y cada uno de ellos cuenta con un representante con derecho a voto que elabora normas de calidad y seguridad para el mercado mundial. Estas normas sientan las bases de las normativas nacionales e internacionales. 

ISO publica un gran volumen de normas y marcos. En Keyfactor cumplimos las normas ISO 27001, 9001 y 14001. Aunque estas normas no son obligatorias, su aplicación, por definición, hace que las organizaciones cumplan el GDPR y otras leyes de protección de datos.

ISO 27001 - Seguridad

La norma ISO 27001, una de las más prestigiosas del mundo, evalúa si una empresa puede salvaguardar eficazmente sus datos. 

La auditoría 27001 evalúa los sitios hardware y software que una organización utiliza para proteger sus datos, así como la gobernanza para almacenar y recuperar esos datos. También evalúa las políticas para responder a las violaciones y mejorar continuamente las estrategias de protección de datos.

ISO 9001 - Calidad

ISO 9001 es una de las normas de gestión de la calidad más utilizadas en el mundo. Ayuda a garantizar el control de la calidad de los bienes, servicios y software.

La auditoría ISO 9001 evalúa la satisfacción del cliente, la mejora de procesos y productos, la gestión de riesgos, la eficacia operativa, la auditoría interna de calidad y otros protocolos.

ISO 14001 - Sostenibilidad

La norma ISO 14001 establece las mejores prácticas para que las organizaciones reduzcan su impacto ambiental mediante la adopción de un sistema de gestión ambiental (SGMA). Estos sistemas controlan e informan de la sostenibilidad medioambiental de una organización. 

Cumplir esta norma puede ayudar a las organizaciones a evitar sanciones y aumentar la eficiencia, por ejemplo, reduciendo los residuos producidos en el proceso de fabricación.

Criterios comunes certificados para EJBCA

Creado a partir de varias normas técnicas empleadas por diversos organismos gubernamentales de Estados Unidos y Europa, el marco de Criterios Comunes unifica varias normas técnicas ISO para que las empresas que venden productos informáticos a los gobiernos sólo tengan que evaluarlos con arreglo a un conjunto de criterios de evaluación. 

Los Criterios Comunes examinan si un producto es tan seguro como afirma. Para obtener la certificación Common Criteria, las organizaciones deben presentar una descripción general del producto, un inventario de sus características de seguridad y una descripción del contexto en el que se desplegará. También deben evaluar las amenazas potenciales contra el producto. A continuación, un laboratorio independiente prueba el producto para determinar si está a la altura de las afirmaciones de la organización y funciona correctamente en el entorno previsto.

La convergencia del cumplimiento y las buenas prácticas

En el momento de escribir este artículo, estas normas no son obligatorias. Sin embargo, aunque nunca lleguen a ser obligatorias, seguirán siendo importantes y, de hecho, lo serán más. Los consumidores prestan cada vez más atención a los ciberataques, las infracciones y los cortes de suministro a la hora de decidir dónde ubicar sus negocios. Las organizaciones, en su búsqueda de socios para completar sus cadenas de suministro de TI, están aplicando un mayor escrutinio a la seguridad de las herramientas y los proveedores. 

Creemos que el futuro no es posible sin confianza digital. En nuestros productos, nuestro servicio y nuestra gente, seguiremos esforzándonos por alcanzar la excelencia y ayudar a nuestros clientes a cultivar la confianza, ganarse la lealtad y triunfar en el mercado.