El Cliente

Una empresa FinTech británica de rápido crecimiento se expandía vertiginosamente y ganaba terreno entre grandes clientes corporativos. Sin embargo, el crecimiento trajo consigo nuevos desafíos. Los clientes potenciales exigían garantías de seguridad formales, pero los controles internos de la empresa eran inconsistentes, la documentación estaba dispersa y responder a los cuestionarios de seguridad ralentizaba los ciclos de venta.

Al mismo tiempo, la empresa gestionaba el riesgo cibernético de forma reactiva. Con una visibilidad limitada de las amenazas, la aplicación de parches de forma puntual y una mínima preparación ante incidentes, el equipo directivo sabía que necesitaba un enfoque de seguridad más estructurado y sostenible.

Recurrieron a Bruce & Butler (HLB UK) para diseñar e implementar un Sistema de Gestión de Seguridad de la Información (SGSI) certificado según la norma ISO 27001:2022, al tiempo que desarrollaban un modelo pragmático de soporte de ciberseguridad que pudiera evolucionar con el negocio.

La tarea

Juntos, nos propusimos cinco objetivos claros:

1. Lograr la certificación ISO 27001 en el primer intento en un plazo de seis meses.
2. Reducir el riesgo de seguridad de la información material dentro de un margen de tolerancia definido y documentado.
3. Optimice los ciclos de compras empresariales mediante un “paquete de pruebas” de garantía reutilizable.
4. Reforzar las prácticas básicas de ciberseguridad y mejorar la preparación ante incidentes.
5. Desarrollar la capacidad interna para mantener y mejorar continuamente sin depender en gran medida de consultores.

Nuestro enfoque comenzó con un análisis inicial de dos semanas, durante el cual identificamos y correlacionamos personas, procesos y tecnología con la norma ISO 27001 y los objetivos de negocio del cliente. Junto con la alta dirección, definimos el alcance y la tolerancia al riesgo, creamos un registro de activos y un mapa de datos, y establecimos las bases para la gestión de riesgos.

También desarrollamos un conjunto de políticas a medida, una Declaración de Aplicabilidad y una hoja de ruta de control de 12 meses que prioriza victorias prácticas rápidas: hacer cumplir la MFA, reforzar el acceso privilegiado, proteger los endpoints, fortalecer las copias de seguridad y mejorar el registro y las alertas para los sistemas críticos.

Paralelamente al proceso de certificación, implementamos la debida diligencia de proveedores, revisiones de cambios y accesos, y alineamos la continuidad del negocio y la recuperación ante desastres con objetivos de recuperación alcanzables. Para consolidar una buena gobernanza, creamos un comité directivo del SGSI con responsabilidades claras, métricas periódicas y ciclos de revisión por la dirección.

Como parte de nuestra provisión continua de ciberseguridad, implementamos un programa de soporte permanente que incluyó escaneo continuo de vulnerabilidades, pruebas de penetración anuales, simulaciones de phishing y manuales de respuesta a incidentes con ejercicios prácticos. También proporcionamos un panel de control visual y sencillo sobre riesgos e indicadores clave de rendimiento (KPI) para ofrecer a la junta directiva información en tiempo real sobre la postura y el desempeño en materia de seguridad.

El valor que creamos

El resultado fue inmediato y cuantificable. El cliente obtuvo la certificación ISO 27001 en su primer intento, sin no conformidades mayores y solo con observaciones menores, todas resueltas dentro de los plazos acordados. El nuevo paquete de documentación redujo significativamente el tiempo y el esfuerzo necesarios para responder a las solicitudes de garantía de calidad de la empresa, lo que contribuyó a acelerar los ciclos de venta.

En el plano operativo, la mejora de los controles de identidad, la aplicación de parches y la protección de endpoints redujo las vulnerabilidades de alto riesgo, mientras que las simulaciones de phishing demostraron una mejora tangible en la concienciación del personal. La racionalización de las alertas y la adopción de manuales de procedimientos acortaron el tiempo medio de priorización y mejoraron la confianza en la respuesta ante incidentes.

Lo más importante es que la empresa ahora considera la seguridad de la información como un sistema empresarial continuo, no como un proyecto puntual. El ritmo de gobernanza, el modelo de propiedad y el registro de riesgos actualizado garantizan que el SGSI permanezca integrado en las operaciones diarias. Las métricas se incorporan a las revisiones periódicas, la garantía de los proveedores es repetible y los equipos están capacitados para mantener la documentación y las auditorías de forma independiente.

Como compartió su director de operaciones:

“Lo que más nos impresionó fue lo práctico y pragmático del enfoque. Bruce & Butler (HLB UK) no solo nos certificó; crearon un ritmo sostenible, con una clara definición de responsabilidades y evidencias tangibles que nuestros ejecutivos utilizan realmente. Hemos acelerado la incorporación de empresas y nos sentimos mucho más seguros en el día a día.”

Para sus clientes, esto significa una incorporación más rápida, una mayor confianza contractual y la garantía de que los servicios en los que confían están respaldados por controles sólidos y sostenibles.

En HLB creemos que el verdadero valor no proviene solo de lograr el cumplimiento normativo, sino de integrar la resiliencia que ayuda a las empresas a crecer con confianza.

Fuente: HLB Global