Teradisk obté les certificacions ISO 9001 i 27001

iso, quality, security

Us comuniquem amb molt d’orgull que al març de 2022, a Teradisk vam obrtenir les ISO 9001 i 27001. El procés ha estat un repte, amb molt de temps invertit però molt gratificant pel que fa al creixement de Teradisk com a empresa. En aquest post tractaré d’explicar el nostre enfocament de la certificació i les idees sobre els nostres processos..

Aprofitar la tecnologia per aconseguir els objectius

La certificació ISO requereix molta documentació sobre els processos, polítiques, manuals i eviodències. Tota aquesta informació ha de recopilar-se, rastrejar-se i protegir-se. Som una empresa que treballa gairebé sense papers, així que vam decidir seguir enfavant amb aquesta filosofia i utilitzar les nostres eines quotidianes, com Confluence o Jira Ssrvice Desk.

Garantir els processos

Els Workflows de Jira són molt potents si saps com fer-los anar. Pots definir processsos complexos amb múltiples estats i transicions. L’ús de camps personalitzats i pantalles de transició personalitzades et permeten preguntar exactament què es necessita a cada part del procés. D’altra banda, establint Condicions i Validadors xOn the other hand, setting Conditions and Validators t’ajuda a garantir que es recull la informació obligatòria abans de permetre que l’usuari continui amb el procés. Si necessites implementar algun tipus de procés d’aprovació, et resultarà útil fer servir una combinació de Grups i Validadors. Finalment, les funcions posteriors et poden ajudar a assignar la incidència al destinatario adequat
Com a exemple d’aquest tipus d’implementació, aquí teniu el nostre procés d’oferta commercial:

 

 

Com es pot veure, la primera part del procés garanteix que les ofertes siguin validades tècnicament i comercialment. Fet aquest procés, el departament de vendes pot compartir l’oferta amb el client. Un cop tenim l’aprovació del client, el departament d’administració s’assegura que les dades necesssàries per a la facturació estiguin disponibles i redirigeix l’oferta a facturació o al procés de scrum (en cas que calgui realitzar una provisió d’infraestructura i configuració tècnica abans de facturar).
Aquí hi ha un exemple de l’ús de les pantalles per a sol·licitar informació personalitzada:

Automatització de les proves

Un aspecte important a tenir en compte en la certificació ISO és que has de poder demostrar les accions que s’han dut a terme per garantir el procés. Per exemple, si has de realitzar comprovacions periòdiques d’una implementació d’un Disaster Recovery, pots utilitzar el sistema d’automatització de Jira per crear sol·licitus de comprovació periòdiques. Aquesta és una manera senzilla d’evitar que t’oblidis de tasques perquè ja està implementat amb el nostre servei de tickets.
En alguns casos, necessitaràs “lògica extra” abans de crear la sol·licitud. Per exemple, per assegurar el bon funcionament del nostre Storage Replication entre datacenters, optem per realitzar un procés de mostreig mensual. Aquest mostreig escull clients a l’atzar de la nostra base de dades i obre una incidència amb les instruccions per al Sysadmin. En aquest cas, l’ús del scrypt de python desplegat com un cron job en el nostre Kubernets intern va resoldre el problema (però pots fer servir Lambda per a una solució serverless o també simplement un cron en alguna instància).

Control de documentació

Confluence disposa d’una funcionalitat fora de sèrie molt útil per a la certificació ISO. La macro “Historial de canvis” permet controlar fàcilment les versinos dels documents. L'”estructura d’arbre” de Confluence s’afapta força bé per a organitzar els documents d’una manera “ISO-lògica” i la capacitat d’enllaçar entre documents (amb la susbtitució automàtica del títol en comptes del link) és una gran funcionalitat. UNa cosa que vam trobar a faltar en el paquet estàndard de Confluence va ser la capacitat de “signar” els documents d’una manera formal. Finalment, vam trobar un plugin anomenat “eSign for Confluence” que ens va proporcionar la capacitat de crer un sistem de revisió i aprovació a traés de PIN (Personal Identification Number) que funciona a la perfecció.

 

Tastant la nostra pròpia medicina

Al 2020, Teradisk va fer passos ferms cap a l’adquisició de capacitats de seguretat. Els nois de R&D van treballar dur per desenvolupae un portfoli de serveis de seguretat i la Certificació ISO era l’excusa perfecte per aplicar les nostres pròpies eines i serveis en nosaltres mateixos. Per garantir una auditoria de seguretat independent, l’avaluació de vulnerabilitats la va realitzar l’equip de R&D sense la intervenció dels departaments de projecte o suport.

Per què lluitem

A Teradisk, ens hem pres molt seriosament la Certificació ISO. No es tracta només de tenir una nova insígnia. Vam aprofitar l’ocasió per revisar en profunditat els nostres processos i, en cada pas de la certificiació, van crear una extensa llista d’entregables a millorar. No obstant, ens va alegrar saber que ja ho feiem bastant bé. En general, penso que hem fet molt bona feina i que això reforçarà els nostres serveis. Al cap i a la fi, com a empresa que intenta evolucionar dins del nostre apassionant sector, ens hem d’assegurar que cada pas que fem refroça la nostra proposta de valor.

David Jimenez

27001, 9001, information security, ISO

Te puede interesar