Kinsta siempre ha trabajado para proteger la seguridad de nuestra plataforma de alojamiento y de los sitios web de nuestros clientes. Ya sea protegiendo la información de las cuentas, proporcionando herramientas para evitar ataques DDoS externos, detectando y limpiando malware, o alertando a los propietarios de sitios web sobre vulnerabilidades en plugins de WordPress, la seguridad de la información es uno de nuestros puntos fuertes.
Pero las empresas de alojamiento pueden hacer fácilmente esa afirmación. Demostrarlo es un reto.
La mejor forma de probar tales afirmaciones es desarrollar prácticas y políticas de seguridad de la información que cumplan normas ampliamente reconocidas y, a continuación, hacer que el cumplimiento de esas normas sea confirmado por expertos independientes.
Así es como Kinsta obtuvo por primera vez en 2023 el cumplimiento de los criterios de servicios de confianza System and Organization Controls 2 (SOC 2) desarrollados por la Association of International Certified Professional Accountants (AICPA).
Después, en agosto de 2024, tras completar un año entero de supervisión SOC 2, recibimos la certificación de los controles de seguridad de datos y privacidad especificados por la International Standards Organization (ISO) y la International Electrotechnical Commission (IEC).
Este artículo examina la certificación ISO/IEC de Kinsta según la norma ISO 27001 y dos de sus extensiones, ISO 27017 e ISO 27018.
¿Qué es la norma ISO 27001?
Erik Van Dijk, Director de IT de Kinsta, dirigió los esfuerzos de certificación ISO 27001 y declaró que el framework es «el estándar de oro» en el cumplimiento de la seguridad.
ISO 27001 especifica los controles necesarios para proteger la confidencialidad, integridad y disponibilidad de la información en una organización. Esto es lo que significa:
- Confidencialidad — Garantizar que sólo las personas autorizadas puedan acceder a la información.
- Integridad — Garantizar que sólo las personas autorizadas puedan modificar la información.
- Disponibilidad — Garantizar que las personas autorizadas puedan acceder a la información cuando la necesiten.
Van Dijk dijo que la ISO 27001 define los requisitos de los distintos componentes de un Sistema de Gestión de la Seguridad de la Información (ISMS, Information Security Management System). Pero ese sistema no es sólo hardware y software. Además de esos controles tecnológicos, el ISMS incluye controles organizativos, físicos y relacionados con las personas:
- Controles organizativos — Definir las normas que deben seguirse y el comportamiento que se espera de los usuarios, equipos, software y sistemas.
- Controles relacionados con las personas — Proporcionar conocimientos, educación, habilidades o experiencia a las personas de la organización para que puedan realizar su trabajo de forma segura.
- Controles físicos — Elementos como tarjetas de acceso a los centros de datos, cámaras de vigilancia y sensores de detección de intrusos.
¿Qué son las normas ISO 27017 y 27018?
Van Dijk explicó que las normas ISO 27017 y 27018 son extensiones certificables de la ISO 27001 y son especialmente importantes para Kinsta, ya que ambas se aplican a entornos de computación en nube.
La ISO 27017 prescribe controles de seguridad y directrices de aplicación para entornos de computación en nube. Estos controles se aplican a tareas como:
- Gestión de los activos del cliente tras la finalización del contrato.
- Separación de los entornos virtuales del cliente.
- Supervisión por parte del cliente de la actividad en un entorno de computación en nube.
La norma ISO 27018 se centra en la protección de la información personal identificable en entornos de computación en nube. Estos controles abordan cuestiones como:
- Transparencia a la hora de informar sobre la ubicación geográfica de los almacenes de datos de los clientes.
- Restricciones al uso de datos de clientes sin consentimiento.
- Métodos seguros para devolver, transferir y eliminar de forma segura la información personal.
Cronología de la certificación ISO de Kinsta
El año transcurrido desde la consecución de la conformidad SOC 2 ha sido muy ajetreado para el equipo de conformidad de seguridad, sobre todo para Van Dijk, que al mismo tiempo estudiaba y obtenía la designación de Profesional Certificado en Seguridad de Sistemas de Información (CISSP, Certified Information Systems Security Professional).
La designación inicial SOC 2 en 2023 siguió a un periodo de auditoría de tres meses y se aplicó al servicio fiduciario de Seguridad fundamental. Ese proyecto se transformó en una supervisión continua con informes anuales y se amplió para incorporar los criterios de Disponibilidad y Confidencialidad de SOC 2.
Mientras tanto, nuestro trabajo sobre la ISO 27001 ya estaba en marcha. Van Dijk afirmó que su exhaustiva investigación sobre los requisitos de la ISO 27001 comenzó en torno a noviembre de 2023.
«La ISO 27001 está muy cargada de documentación y procesos», dijo. «Sigue conteniendo una serie de controles técnicos, pero toda la premisa del framework es implantar un sistema de gestión de la seguridad de la información y sus políticas y procedimientos asociados».
Van Dijk dijo que un análisis de las deficiencias sugería que el proyecto SOC 2 ya había realizado alrededor del 40% del trabajo que había que hacer para las certificaciones ISO. Así que, cuando un equipo interempresarial se reunió en diciembre de 2023, pudo empezar rápidamente a subir información sobre el estado a Vanta, la plataforma elegida para ayudar en la recopilación de pruebas.
El equipo creó 13 nuevas políticas de ISMS y perfeccionó algunas políticas existentes desarrolladas para SOC 2. En marzo de 2024, el equipo recurrió a la empresa de seguridad en la nube Rhymetec para una auditoría interna que ayudó a determinar qué trabajo quedaba por hacer.
Más tarde, BARR Advisory proporcionó la auditoría independiente que verificó la elegibilidad de Kinsta para las certificaciones ISO.
«Recibimos constantes elogios de nuestros auditores por lo organizados y preparados que estábamos», dijo Van Dijk.
Las ventajas de la certificación ISO 27001
La certificación ISO 27001 de Kinsta (y el cumplimiento de la norma SOC 2) pone de relieve nuestro compromiso con la seguridad de la información. Seguiremos ganándonos la confianza de los clientes a medida que nos sometamos a auditorías periódicas para confirmar el cumplimiento y la eficacia continuos de nuestro SGSI y mantener nuestro estado de certificación.
Muchos clientes potenciales nos dicen que su proveedor de alojamiento debe tener la certificación ISO 27001. Estamos orgullosos de poder satisfacer esta necesidad y les damos la bienvenida a Kinsta.
Nuestras certificaciones ISO demuestran que tenemos el perfil de seguridad necesario para proteger los activos de los clientes y mitigar los riesgos utilizando las mejores prácticas.
Resumen
Kinsta tiene un sólido historial de protección de los datos de sus clientes. Las nuevas certificaciones ISO confirman y amplían las garantías validadas por nuestro trabajo para cumplir la norma SOC 2.
Nos dedicamos a proteger los sitios web de los clientes. Nuestros procedimientos de seguridad de la información con certificación ISO reflejan nuestra inversión en ganarnos la confianza de los clientes.
Visita el Centro de Confianza de Kinsta para obtener información sobre los continuos esfuerzos de cumplimiento de la empresa.
¿Aún no eres cliente? Empieza bien, seguro y protegido, eligiendo nuestra infraestructura segura. ¡Encuentra ahora la mejor solución de alojamiento web para tu negocio!
Deja una respuesta