En Teradisk nos hemos certificado con la ISO 9001 y 27001

iso, quality, security

Estamos muy orgullosos de anunciar que en marzo de 2020, en Teradisk obtuvimos la ISO 9001 y 27001. El proceso ha sido todo un reto, ha llevado mucho tiempo, pero ha sido gratificante en términos de crecimiento de Teradisk como empresa. En este artículo, intentaré explicar nuestro enfoque de la certificación y los detalles de nuestros procesos.

Aprovechando la tecnología para lograr los objetivos

La certificación ISO requiere mucha documentación en términos de procesos, políticas, manuales y pruebas. Toda esta información debe recopilarse, rastrearse y protegerse. Somos una empresa que trabaja casi sin papeles, así que decidimos seguir esa filosofía y utilizar nuestras herramientas cotidianas, como Confluence o Jira Service Desk.

Asegurando los procesos

Los flujos de trabajo de Jira son muy potentes si sabes cómo manejarlos. Puedes definir procesos complejos con múltiples estados y transiciones. El uso de campos personalizados y pantallas de transición personalizadas te dan la capacidad de preguntar exactamente lo que se necesitas en cada parte del proceso. Por otro lado, el establecimiento de Condiciones y Validadores te ayudan a asegurarte de que se recoge la información obligatoria antes de permitir al usuario continuar con el proceso. Si necesitas implementar algún tipo de proceso de aprobación, te resultará útil utilizar la combinación de Grupos y Validadores. Por último, las funciones posteriores pueden ayudarte a asignar la incidencia al destinatario adecuado.
Como ejemplo de este tipo de aplicación, he aquí nuestro proceso de oferta comercial:

 

 

Como puede ver, la primera parte del proceso garantiza la validación técnica y comercial de las ofertas. Tras este proceso, el departamento de ventas puede compartir la oferta con el cliente. Tras la aprobación del cliente, el departamento de administración se asegura de que todos los datos necesarios para la facturación estén disponibles y dirige el asunto a facturación o a scrum (en caso de que deba realizarse alguna provisión de infraestructura y configuración técnica antes de la facturación).
He aquí un ejemplo de utilización de pantallas para solicitar información personalizada:

Automatizando las pruebas

Un aspecto importante de la certificación ISO es que debes poder demostrar las acciones realizadas para garantizar el proceso. Por ejemplo, si necesitas realizar comprobaciones periódicas de una implementación de Disaster Recovery, puedes utilizar el sistema de automatización Jira para crear solicitudes de comprobación periódicas. Es una forma sencilla de evitar que se olviden las tareas, porque ya está implementado con nuestro sistema de tickets.
En algunos casos, necesitará «algo de lógica extra» antes de crear la solicitud. Por ejemplo, para asegurar el buen funcionamiento de nuestra Storage Replication entre datacenters, optamos por realizar un proceso de muestreo mensual. Este muestreo elige clientes al azar entre la base de datos de nuestros clientes y abre una incidencia con las instrucciones para el Sysadmin. En ese caso, el uso de script python desplegado como un cron job en nuestro Kubernetes interno fue suficiente (pero puedes usar Lambda para una solución serverless o simplemente un cron en alguna instancia también)

Control de documentación

Confluence incorpora de serie funciones muy útiles para la certificación ISO. Garantizar el control de versiones de los documentos es fácil con la macro «Historial de cambios». La «estructura de árbol» de Confluence se adapta bastante bien para organizar los documentos de una manera «ISO-lógica» y la capacidad de enlazar entre documentos (con la sustitución automática del título en lugar del enlace) es una gran característica. Una cosa que echamos en falta en el paquete estándar de confluence fue la capacidad de «firmar» los documentos de una manera formal. Finalmente, encontramos un complemento llamado «eSign for Confluence» que nos proporcionó la capacidad de crear un sistema de revisión y aprobación mediante PIN (número de identificación personal) que funciona a la perfección.

 

Probando de nuestra propia medicina

En 2020, Teradisk dio pasos firmes hacia la adquisición de capacidades de seguridad. Nuestros chicos de I+D trabajaron duro para desarrollar una cartera de servicios de seguridad y la certificación ISO fue la excusa perfecta para aplicar nuestras propias herramientas y servicios en nosotros mismos. Para garantizar una auditoría de seguridad independiente, la evaluación de vulnerabilidades fue realizada por el equipo de I+D sin la intervención de nuestros departamentos de proyectos o soporte.

Por qué luchamos

En Teradisk nos tomamos muy en serio la certificación ISO. No se trata sólo de tener una nueva medalla. Aprovechamos la ocasión para revisar nuestros procesos en profundidad y, en cada paso de la certificación, creamos una larga lista de entregables para mejorar. Sin embargo, nos alegró ver que ya lo estábamos haciendo bastante bien. En general, creo que hemos hecho un buen trabajo y nuestros servicios se verán reforzados. Al fin y al cabo, como empresa que intenta evolucionar en nuestro apasionante sector, debemos asegurarnos de que cada paso que damos refuerza nuestra propuesta de valor.

David Jimenez

27001, 9001, information security, ISO

Te puede interesar