31

Platzi obtiene la certificación ISO 27001 en seguridad de la información

5280Puntos

hace 2 meses

En Platzi siempre hemos priorizado la seguridad de los datos de nuestros estudiantes, clientes y Team Platzi, y este foco en la seguridad nos llevó a embarcarnos en la tarea de formalizar nuestras prácticas y procesos hasta lograr la certificación ISO 27001:2022.

La norma ISO 27001 es un estándar internacional que establece los requisitos para un sistema de gestión de seguridad de la información (SGSI). Su objetivo es proteger la confidencialidad, integridad y disponibilidad de la información en las organizaciones, mediante la implementación de controles de seguridad adecuados.

Sabemos que obtener esta certificación es un hito importante; sin embargo, solo es el principio de un compromiso a largo plazo con la excelencia operativa y la mejora continua. En un mundo donde la seguridad de la información está constantemente amenazada, Platzi ha abrazado este compromiso con una visión clara y un enfoque estratégico.

Este post detalla nuestro viaje hacia la certificación ISO 27001, proporcionando una visión interna de los procesos, desafíos y triunfos que hemos experimentado en el camino.

¿Por qué esto es difícil para una startup?

Las startups tenemos un compromiso implacable con el crecimiento exponencial, lo que obliga a operar a un ritmo acelerado con enfoque en la innovación. Responder rápido a los cambios y adaptarse son la norma. Es bien conocido el mantra:

"Move fast and break things”

Y esto pareciera, de entrada, imposible de reconciliar con la rigurosidad y estructura de procesos requeridos para la certificación ISO 27001.

Esta certificación no solo implica la implementación de un conjunto extenso de controles de seguridad y procedimientos de gestión de riesgos, sino también una revisión constante y una mejora continua de estos procesos.

Lo cierto es que no partimos desde cero, Platzi tiene una cultura muy fuerte, que hemos diseñado y promovido de forma intencional y ese fue nuestro punto de partida.

¿Por qué certificarnos?

Community First es nuestro principal valor y nunca será la excepción. Nuestra comunidad está constituida por nuestros estudiantes, por nuestros clientes empresariales y por nuestro propio equipo, y siempre, siempre lo mantendremos como un principio rector.

Desde nuestros inicios, hemos implementado controles de seguridad basados en la experiencia de nuestros profesionales. Entendimos rápidamente la importancia de alinearnos con las mejores prácticas de seguridad de la comunidad en línea, como el Modelo de Madurez de OWASP SAMM, el OWASP ASVS e incluso realizando pruebas internas enmarcadas en el OSSTMM.

Luego nos alineamos con varios documentos del National Institute of Standards and Techonology (NIST), como el NIST SP 800-30, para evaluar nuestros riesgos y el NIST SP 800-53 para implementar Controles de Seguridad de manera más estructurada y con la profundidad que nos parecía correcta.

Por todo esto, comprendimos que podíamos ir al siguiente nivel, demostrar que hacemos lo correcto, de forma sistemática, con un enfoque de mejora continua y beneficiando siempre en primer lugar a nuestros estudiantes.

Seguimos el enfoque que tienen los proveedores de nube como Amazon Web Services, que implementan prácticas de seguridad de nivel militar, pero esto no solo beneficia a sus clientes más críticos, sino que a todo el que use sus servicios.

Al alcanzar y mantener los estándares de la certificación ISO 27001, estamos no solo cumpliendo con las expectativas de nuestros clientes corporativos, sino también elevando el nivel de seguridad y confianza en toda nuestra plataforma educativa.

Y si podemos lograr ser más confiables para las empresas, pero además le podemos dar este beneficio a nuestra comunidad entera, ¿por qué no hacerlo?

Una cultura alineada con la seguridad

La cultura de Platzi se basa en la transparencia, curiosidad, aprendizaje continuo y seguridad psicológica. Estos valores se manifiestan en la práctica a través de canales de comunicación públicos y privados, donde tanto el equipo como la comunidad se enfocan en que nuestra plataforma sea más confiable.

Estos canales se utilizan activamente para reportar problemas, solicitar ayuda e intercambiar información, lo que refuerza la seguridad y el aprendizaje colaborativo.

Todas estas prácticas las combinamos con cápsulas de seguridad que constantemente exponemos en la reunión semanal donde participa toda la empresa, le llamamos Platzi All-Hands, en esta damos tips de seguridad, contamos las pruebas que hicimos internamente y detallamos las lecciones aprendidas.

Un equipo comprometido con la seguridad

El equipo de Security Champions en Platzi ha sido fundamental, con habilidades enfocadas en ciberseguridad, privacidad y seguridad de la información, han elevado la conciencia de seguridad en todos nuestros procesos y en toda la diversidad y amplitud del equipo, desde Human Talent y Finanzas hasta los equipos de Ingeniería de Software.

Este equipo se ha tomado nuestro “nunca pares de aprender” muy en serio, y ha hecho de la formación continua uno de los elementos importantes de su práctica. Son profesores activos de Platzi, y sus cursos en ciberseguridad con foco en las empresas han sido extremadamente exitosos.

Por otra parte, las consideraciones de seguridad con nuestro equipo empiezan desde el mismo proceso de contratación, en el onboarding tenemos cursos obligatorios de seguridad que debes aprobar. Esto se trabaja con un feedback loop, siempre buscando el compromiso correcto entre la seguridad y la agilidad del equipo.

Los pilares de éxito

1. El equipo y el plan correcto

Al tener claridad en lo que queríamos lograr, creamos la Unidad de Ciberseguridad y Riesgo con personas certificadas en Seguridad de la Información, ISO 27001 y Seguridad Informática (pentesting, hacking ético, cloud computing, entre otras), luego sumamos más miembros del equipo Platzi y los formamos en Ciberseguridad, Privacidad y Seguridad de la Información. A este gran equipo le llamamos los Security Champions y les asignamos un reto: ¡Certificarnos!

La planeación meticulosa y la claridad de los objetivos fueron esenciales, las actividades definidas se clasificaron en diferentes tipos:

  1. Creación y socialización de documentos requeridos por la Norma ISO 27001
  2. Capacitación en seguridad de la información al Team Platzi.
  3. Elaboración de métricas para objetivos de Seguridad.
Untitled (11).png
  1. Recolección de evidencias y/o registros.
  2. Pentesting y/o Auditoría en Ciberseguridad.
  3. Gestión de Riesgos en Seguridad.
  4. Actividades relacionadas con el ente certificador externo.

2. Comunicación interna

Para cumplir las tareas en el tiempo propuesto, decidimos utilizar nuestros canales de comunicación internos, fundamentalmente Slack, para apoyar la resolución de cada actividad y obtener evidencia de todo el proceso, lo cual sería muy útil en la auditoría de certificación.

Untitled (9).png

El uso de los canales internos no solo despejó dudas, sino que también involucró a todo el equipo de Platzi, incrementando el nivel de compromiso y participación.

3. Establecer un alcance delimitado para el SGSI

Los Sistemas de Gestión de Seguridad de la Información (SGSI) pueden aplicar a toda la organización o en principio limitarse a los procesos críticos.

Nos centramos en los sectores Small and Medium Business, Enterprise y Government. Esto implicó la formalización de procesos, la creación de métricas de seguridad y la determinación de una línea base de cumplimiento que se iba a replicar en nuestra plataforma educativa, beneficiando a toda la comunidad.

Ya con el alcance claro, creamos el siguiente documento, en Notion, donde participa todo el team Platzi:

Untitled (10).png

4. Ente certificador reconocido

Finalmente, ya con el reto propuesto y el alto nivel de exigencia que tenemos en Platzi para brindar las mejores soluciones a nuestra comunidad, nos preguntamos ¿Quién puede ser el evaluador de nuestro SGSI, que sea reconocido y que nos permita tener un alcance internacional?

Por el conocimiento, cobertura en países y alta experiencia de sus auditores optamos por ICONTEC miembro de IQNET.


El camino hacia la certificación ISO 27001 ha sido un viaje de aprendizaje, compromiso y mejora continua en Ciberseguridad, Privacidad y Seguridad de la Información.

Todo comenzó hace muchos años con diligencias claves en seguridad que comenzamos implementando de manera discrecional. Las actividades clave para esta formalización de la Gestión de la Seguridad abarcaron desde la creación de documentos hasta la gestión de riesgos y auditorías. La Inteligencia Artificial nos facilitó la revisión de documentos y ejercicios internos de seguridad.

Los resultados fueron significativos: mejoramos nuestras prácticas de seguridad, alineándonos con estándares internacionales y elevando la seguridad para toda nuestra comunidad de estudiantes.

Te invitamos a explorar Platzi y descubrir cómo nuestra dedicación a la seguridad y la educación de alta calidad puede potenciar tu aprendizaje y carrera, en Platzi Nunca Paramos de Aprender, pero además, ¡Nunca Paramos en Seguridad!

Ronald
Ronald
ronaldescalona

5280Puntos

hace 2 meses

Todas sus entradas
Escribe tu comentario
+ 2
2
15928Puntos

Muchas felicidades al equipo de Security Champions por la certificación! 🥳