Cliente
Actividades
- Actor principal en la transición energética y la transformación digital
- 85.700 empleados
- 1.800 empresas
Retos
- Obtener la certificación ISO 27001
- Completar el proyecto en 12 meses
- Implicar al equipo y a la dirección
VINCI Energies Systèmes d’Information (VESI) es el departamento informático del grupo VINCI Energies, que presta servicios informáticos a las 1 700 empresas del grupo VINCI. De esta forma, se despliegan en todo el grupo servicios de autenticación, de mensajería, herramientas colaborativas, ERP y aplicaciones Core Business, con requisitos específicos para cada empresa.
Obviamente, la ciberseguridad es fundamental para todas estas actividades, por lo que VESI ha optado por obtener la certificación ISO 27001. Un proyecto a gran escala, realizado mano a mano con los equipos de Advens.
«La ciberseguridad se menciona cada vez más en las licitaciones a las que responden nuestras 1.700 empresas. Recurren a nosotros para cumplir los requisitos de sus clientes. La certificación ISO 27001 enriquece sus ofertas con un argumento adicional.»
Bertrand Leclerc • CISO en VINCI Energies Systèmes d’Information
El doble objetivo de la certificación ISO 27001: aumentar la competitividad y mejorar las competencias
Una hoja de ruta de ciberseguridad que debe evaluarse
Ninguna obligación reglamentaria obligaba a VINCI Energies Systèmes d’Information a certificar su gestión de la seguridad. Se trataba más bien de que:
- las empresas del grupo se diferenciaran de sus competidores
- el equipo de seguridad siguiera creciendo
«Fue una oportunidad para saber en qué punto nos encontrábamos, autoevaluándonos con respecto a una norma reconocida. Nuestro equipo de seguridad no se formó hasta 2017, cuando elaboramos una hoja de ruta de ciberseguridad.»
Bertrand Leclerc • CISO en VINCI Energies Systèmes d’Information
La hoja de ruta de la ciberseguridad ya se basaba en una autoevaluación de las actividades de seguridad con respecto a la norma ISO 27001. La puesta en marcha del proceso de certificación nos permitía realizar un examen objetivo de su aplicación.
Un equipo de proyecto nutrido de experiencias
Certificación significa organización. Se contrató a un jefe de proyecto de «conformidad » para dirigir esta certificación y ser el garante del Sistema de Gestión de la Seguridad de la Información (SGSI). Además de esta incorporación, el Director Operativo de Sistemas de Información (DOSI) optó por trabajar con un especialista en auditorías de seguridad y apoyo para la ISO 27001. Así se movilizaron los equipos de Advens para guiar a VESI en su planteamiento.
«Ya habíamos ayudado a muchos clientes en sus procesos de certificación de la norma ISO 27001. Algunos lo hacen por razones reglamentarias, otros para aumentar sus competencias en ciberseguridad o buscando una verdadera diferencia competitiva, como VINCI Energies. Pero también se trata de un marco, de una estructura sólida para el futuro.»
Nicolas Pierre • Consultor de seguridad en Advens, miembro del equipo del proyecto VINCI Energies
El reto: 12 meses para obtener la certificación ISO 27001
El proyecto se pone en marcha. Bertrand Leclerc y Dominique Tessaro, CIO de VINCI Energies, establecieron una hoja de ruta con una fecha límite: ¡VESI tiene 12 meses para obtener su certificación! Un calendario apretado, en el que el papel de Advens es decisivo.
«Necesitábamos ayuda: la norma ISO 27001 conlleva un nutrido volumen de documentación y requiere una buena comprensión de los requisitos, y también prepararse para una auditoría que no estaba en nuestro ADN. Necesitábamos una mirada externa y experta. El equipo de Advens tenía mucha experiencia en este enfoque, y la confianza se estableció de inmediato.»
Bertrand Leclerc • CISO en VINCI Energies Systèmes d’Information
Una fuerte necesidad de adhesión al proyecto
El equipo, formado por 4 consultores de Advens, el jefe de proyecto de VESI y Bertrand Leclerc, pudo contar con la experiencia de 2 referentes confirmados en la norma ISO 27001. Estos últimos se encargaron de la auditoría interna, que era un requisito previo a la auditoría de certificación.
¿El punto más crítico, aparte del trabajo sobre los procedimientos de seguridad? Sin lugar a dudas, obtener la adhesión de todos los colaboradores de VESI.
«Era un proyecto de empresa… compuesta por 550 personas en el grupo. Tuvimos que explicar las razones del planteamiento y conseguir la adhesión de todos, sin olvidar que, como en cualquier empresa, hay rotación de personal. Por consiguiente, había que integrar a los recién llegados. Para ello se organizaron una decena de actos, con la ayuda de nuestras herramientas colaborativas.»
Bertrand Leclerc • CISO en VINCI Energies Systèmes d’Information
La importancia del apoyo de la dirección
Bertrand Leclerc y el equipo del proyecto trabajaron con empeño para explicar el proyecto y conseguir el compromiso. Y contaron con un fuerte aliado: el patrocinio activo de su CIO. Y el resultado fue más que satisfactorio: VESI obtuvo la certificación holgadamente, sin que el auditor destacara ningún desvío.
Un veredicto extremadamente raro.
«De todos los proyectos en los que he participado, éste ha sido el que ha contado con la participación más activa de la dirección, con un CIO que se implicó de verdad y transmitió los mensajes adecuados al personal. Estuvo presente durante toda la construcción del sistema de gestión. El resultado ha estado a la altura de dicho compromiso.»
Nicolas Pierre • Consultor de seguridad en Advens, miembro del equipo del proyecto VINCI Energies
Lo que sigue: más que una certificación, un proyecto de innovación a largo plazo…
Una certificación ISO 27001 no sólo es un aro por el que haya que pasar. El proceso no fue en absoluto tedioso, porque había mil y una formas de cumplir los requisitos de la norma, que es lo suficientemente amplia y genérica en su redacción como para permitir que los ciberequipos innoven, sin poner necesariamente en tela de juicio lo que se haya implantado hasta el momento en el grupo VINCI.
Certificación ISO 27001: un proyecto unificador a seguir
Una certificación ISO 27001 es la culminación del aumento de la competencia de todos los equipos implicados y de todas las actividades, un aspecto que no siempre perciben las empresas al iniciar el proceso.
Este proceso de certificación debe considerarse como un proyecto a largo plazo, por el que la empresa entrará en un ciclo de mejora continua de su seguridad. Y el CIO de VINCI Energies Systèmes d’Information pretende seguir en esta línea.
«Ahora el reto es no relajar el esfuerzo. A corto plazo, debemos mantener el ritmo planificando los próximos comités, preparando la próxima auditoría interna y enriqueciendo la parte documental. Aunque la auditoría no haya revelado ningún incumplimiento, ni siquiera menor, sí ha puesto de relieve algunos puntos delicados: son áreas de mejora que debemos integrar en nuestro plan de acción para seguir reforzando la ciberseguridad del grupo.»
Bertrand Leclerc • CISO en VINCI Energies Systèmes d’Information
