Para una organización que comercializa información financiera, con una base de datos de 6,8 millones de agentes económicos, asegurar su principal activo es fundamental. Por ello, INFORMA ha incorporado a sus certificaciones de sistemas de gestión de la calidad y ambiental, el certificado de sistema de gestión de seguridad de la información ISO/IEC 27001. Este reconoce el uso de buenas prácticas en materia de seguridad que garantizan la confidencialidad, integridad, disponibilidad y legalidad de toda la información que gestiona.
Nathalie Gianese
Directora de Estudios y Calidad
INFORMA
INFORMA es la empresa de información comercial, financiera, sectorial y de marketing líder en el mercado español. Nació en 1992 de la mano de la Compañía Española de Seguros de Crédito a la Exportación (CESCE) y ORT, empresa francesa de información comercial. La compañía se creó con el objetivo de ser la base de datos de información empresarial más completa y totalmente online. En la actualidad INFORMA cuenta con una base de datos de 6,7 millones de agentes económicos españoles y se consultan más de 20 millones de páginas al mes.
Desde el principio, se diferenció de su competencia por el tratamiento exhaustivo de todas las fuentes de información disponibles, así como por la innovación y la mejora continua.
Las primeras innovaciones aportadas por INFORMA fueron:
- Ser la primera base de datos indexada por NIF.
- Tratar el Boletín Oficial del Registro Mercantil (BORME) automáticamente, creando un proceso Recono-cimiento Óptico de Caracteres (OCR) para el proceso y codificación de los actos publicados e incorporación automática en la base de datos.
- Ser la primera empresa para comprar y cargar masivamente los balances a los registros mercantiles. En 1994 fueron 180.000 depósitos de cuentas cargados, y en la actualidad son más de 700.000.
Además, en 1996 fue la primera empresa en Europa y la segunda del mundo en comercializar información comercial a través de internet.
La amplia tipología de información necesaria supone numerosos tratamientos. La preocupación por controlar el proceso productivo fue una de las razones que motivaron la decisión de implantar la antigua Norma ISO 9002 en 1999, de Sistemas de Gestión de la Calidad. Un año más tarde, se logró la certificación y convirtiéndose en la primera empresa del sector en Europa en obtenerla. Desde hace 20 años, INFORMA apuesta por los sistemas de gestión descritos en las normas ISO, por ello obtener la certificación de nuestro Sistema de Gestión de la Seguridad de la Información, según la ISO/IEC 27001 era un paso lógico en una empresa vinculada a la información.
Análisis de contexto de la empresa
Apuesta por los sistemas de gestión
Desde su implantación, el Sistema de Gestión de la Calidad estuvo enfocado a la gestión por procesos y a todas las actividades de la empresa: desde la firma de un contrato a la obtención de la información. Y las nuevas actividades, siempre se han integrado en el sistema de gestión. Por ejemplo, en 2005 se añadieron las actividades de Dun and Bradsteet España, a través de las cuales se da acceso a información de empresas de todo el mundo -más de 300 millones en la actualidad-, y, en 2011, se incorporaron las actividades de DBK, que ofrece estudios sectoriales.
En 2012, conscientes de la importancia del respeto al medio ambiente, INFORMA decidió apostar por la implantación y certificación del Sistema de Gestión Ambiental según la Norma ISO 14001. Y, por último, en 2017, INFORMA dio un paso más allá y decidió implantar y certificar el Sistema de Gestión de Seguridad de la Información según ISO/IEC 27001. Debido a la importancia de la información en nuestro negocio, esta nueva certificación representa una evolución lógica. Además, responde a una creciente demanda por parte de los clientes y del sector que quieren tener garantías en materia de seguridad de la información.
El proyecto de implantación de la ISO/IEC 27001 empezó en abril de 2017, con la constitución del comité de Seguridad (CS). Después de realizar el análisis de contexto de la empresa, una de las primeras tareas fue realizar un diagnóstico a través de entrevistas.
Primero se formó a todos los empleados en el Manual de Usuario, también se dio formación específica en ciberseguridad, derechos de las TIC e ISO/IEC 27001. Además, desde finales de 2017, se envían semanalmente recomendaciones de seguridad por correo electrónico a todos los empleados
Análisis de riesgos
El paso siguiente fue realizar un análisis de riesgos a través de dos técnicas complementarias: análisis de riesgo de los activos (MAGERIT) y análisis por escenarios (COBIT). También en esta fase, se realizó un ejercicio de hacking ético que nos permitió evaluar nuestras vulnerabilidades en caso de ciberataque. Estos análisis nos permitieron elaborar un mapa de riesgos, fijar los umbrales de aceptación y poner en marcha un plan de tratamiento de riesgos.
Una tarea muy importante en este proceso de implantación fue la clasificación de los activos. Esta clasificación permite identificar todos los activos relevantes de la empresa y sus riesgos potenciales. A partir de ahí, empezamos a elaborar políticas y procedimientos, así como aprobar el Manual de Usuario.
La formación ha sido también un aspecto fundamental. Primero se formó a todos los empleados en el Manual, también se dio formación específica en ciberseguridad, derechos de las TIC e ISO/IEC 27001. Adicionalmente, desde finales de 2017 se envían semanalmente recomendaciones de seguridad por correo electrónico a todos los empleados.
El proyecto ha podido concluirse con éxito gracias a la colaboración de todas las Direcciones. La Norma ISO/IEC 27001 es mucho más que una norma tecnológica, abarca aspectos técnicos, legislativos y de gestión, por lo que la colaboración de todas las Direcciones y de todos los empleados ha sido determinante.
La auditoría interna tuvo lugar en septiembre de 2018, y posteriormente a ella, en noviembre, AENOR nos auditó con éxito. Gracias a estas auditorías se han mejorado varios aspectos del sistema, lo que nos permite decir que INFORMA es cada vez más segura.
La estructura de alto nivel adoptada por las normas ISO permite la compatibilidad e integración entre los diversos Sistemas de Gestión. Esta estructura facilitó la integración del Sistema de Gestión de Seguridad de la Información con el Sistema de Gestión de INFORMA, hasta ese momento formado por el sistema de Calidad y el de Medio Ambiente.
Los tres sistemas de gestión se basan en el ciclo PDCA (del inglés Plan-Do-Check-Act o lo que es lo mismo, planificar, hacer, verificar y actuar). Y la revisión y mejora continua que este ciclo conlleva permite la actualización del sistema constante ante nuevas amenazas.
Por ejemplo, la seguridad en el diseño es un aspecto fundamental. Cuando se diseña un nuevo producto o servicio, hay que tener en cuenta la seguridad desde el principio y no una vez que el producto está acabado. Por ello, la ISO/IEC 27001 nos ayuda a concienciarnos y a formarnos de manera continua en cuestiones de seguridad.
Información de empresas y empresarios única
Ciberamenazas
En una época caracterizada por un aumento sin precedentes de los ciberataques y el mal uso de la información, la certificación ISO/IEC 27001 es una manera de reducir nuestros riesgos y dar más confianza a nuestras partes interesadas. Para nuestros clientes de mayor tamaño, esta certificación avala un nivel de seguridad acorde con sus exigencias internas. Para los clientes más pequeños, el público en general, y las propias empresas y empresarios que conforman la base de datos, este reconocimiento asegura el uso de buenas prácticas en materia de seguridad que garantizan la confidencialidad, integridad, disponibilidad y legalidad de toda la información que gestionamos.
Esta certificación ha sido muy importante para INFORMA, pero somos conscientes de que es el primer paso de un proceso de mejora continua sin fin. En este aspecto, las auditorías periódicas de AENOR, nos serán, sin duda, de gran ayuda.
INFORMA en cifras
El sistema de gestión de las reclamaciones
En una empresa innovadora y especialista en el tratamiento de la información, era importante que el sistema de gestión sea el más ágil posible. Por esta razón, la documentación del sistema esta solamente accesible a través de nuestra intranet. La gestión de las reclamaciones fue también la ocasión de innovar. Para garantizar la correcta y rápida resolución de las reclamaciones y de las no conformidades, hemos creado una aplicación propia. Gracias a un sistema de workflow, se asigna a las personas responsables de su resolución que cierran la incidencia. Se han clasificado las reclamaciones por tipo, lo que facilita la elaboración de estadísticas y su análisis.