El aumento de los ciberataques y la digitalización de las empresas ha afianzado la seguridad como uno de los temas cruciales en las organizaciones. La consultora de Recursos Humanos PayFit, que busca digitalizar los procesos del sector, ha obtenido la certificación ISO 27001 con el fin de gestionar la información personal y los datos sensibles de sus más de 500 clientes distribuidos en cinco países, garantizando su seguridad.
El country manager de PayFit en España, Yoann Artus, ha asegurado que «la seguridad es una de las prioridades en el desarrollo de la plataforma y parte integral de su producto».
La certificación ISO 27001 es una normativa para la seguridad de los sistemas de información de la ISO (Organización Internacional de Normativas. Su propósito es proteger a las empresas de cualquier pérdida, robo o corrupción de datos, protegiendo los sistemas informáticos de infracciones o daños. Esta certificación reconocida internacionalmente cubre más de 150 puntos de control. Dada la actividad de PayFit en cinco países con sistemas legislativos diferentes, la compañía se ha visto en la necesidad de contar con un marco que les permitiera organizar sus operaciones con un nivel estándar de seguridad global.
Yoaan Artus ha destacado que «el hecho de haber conseguido la certificación está teniendo un impacto en la captación de nuevos clientes. Cuando buscan elegir una solución para gestionar las nóminas y los RRHH de su empresa, la seguridad es un factor decisivo para la mayoría de ellos». De esta manera, la empresa ha conseguido mejorar su imagen externa, pasando «de afirmaciones vagas a pruebas muy concretas de sus compromisos» y ofreciendo «una garantía a todos los grupos de interés de la empresa que están trabajando con una plataforma plenamente comprometida con la seguridad de sus clientes, proveedores y socios».
Cinco pasos principales
El proceso para obtener la certificación es largo y complejo, ya que requiere de una minuciosa documentación y de auditorías periódicas. La compañía, que no contaba con la experiencia de empresas similares a la suya ni de ningún referente que hubiese iniciado el proceso de certificación antes que ellos, decidió trabajar con BSI Group, un organismo de certificación, con el fin de garantizar la obtención del mismo.
Para la consecución del certificado, la compañía tuvo que realizar cinco pasos principales: la formación, con la recomendación de que al menos una persona de la empresa estuviera capacitada para poder realizar la auditoría; la complementación de la documentación básica, definiendo la política de seguridad y realizando un análisis de riesgos; una auditoría simulada, comparando la documentación; una auditoría de documentación de nivel 1, presentando dicha documentación de manera sólida; y una auditoría de nivel 2 con la obtención de la certificación mediante 150 verificaciones, después de dos años de comprobaciones.
El fortalecimiento de los procesos de seguridad de una empresa implica generalmente renunciar en cierta medida a la agilidad en dichos procesos. Desde la empresa han asegurado que están buscando un equilibrio entre ambos a través de la innovación tanto en desarrollo como en seguridad.
Según Artus, las claves para la obtención de la certificación han sido la involución de los fundadores y empleados en el proceso, el disponer de un presupuesto adecuado que permitiera disponer de los medios suficientes para hacer las cosas de forma correcta y la formación a los equipos y la transparencia en la comunicación.
La norma ISO 27001 requiere del compromiso de PayFit por mantener el certificado a través de una serie de auditorías que se fijan al principio del proceso y que deben cumplimentarse cada tres años. Estas auditorías están fortalecidas por controles anuales que buscan comprobar que todo sigue funcionando según lo que se había establecido. Si no se aprueban estas ligeras comprobaciones, la compañía pierde directamente la certificación.
