ISO 27001:2022 conseguida. La confianza estaba construida antes de la auditoría.

En la IA empresarial, el cuello de botella es la confianza. Ni la precisión, ni el rendimiento, ni el coste por página. La confianza. anyformat ya cuenta con la certificación ISO 27001:2022, y los controles llevaban tiempo funcionando mucho antes de que entrase el auditor.

En la IA empresarial, el cuello de botella es la confianza. Ni la precisión, ni el rendimiento, ni el coste por página. La confianza. Y durante los últimos años, la confianza en este sector se ha devaluado por proveedores que tratan el cumplimiento normativo como una insignia de marketing, y por una cultura de compras que ha aprendido a aceptar esa insignia sin hacer preguntas.

anyformat se construyó para procesar los documentos más sensibles que tiene una empresa. Eso exige un nivel de confianza que no se puede escenificar. Hay que diseñarlo desde el primer commit, resistir un escrutinio independiente y aguantar el peor día, no el mejor.

Y lo hace. anyformat ya cuenta con la certificación ISO 27001:2022.

Qué es realmente ISO 27001:2022

ISO 27001:2022 es la norma internacional para los sistemas de gestión de seguridad de la información. La revisión de 2022 reorganizó el conjunto de controles en 93 controles repartidos en cuatro dominios: organizativos, personas, físicos y tecnológicos. Esos controles abarcan cómo una organización gobierna el riesgo, gestiona los accesos, protege los datos, responde ante incidentes, evalúa a sus proveedores y mejora su seguridad de forma continua frente a un panorama de amenazas que no deja de cambiar.

La certificación no es una auditoría puntual. Es una certificación de sistema de gestión. Lo que acredita es que anyformat opera un SGSI vivo (Sistema de Gestión de Seguridad de la Información): documentado, operativo, medido y en mejora continua. A partir de ahora hay auditorías de seguimiento cada año y una recertificación completa cada tres.

La auditoría la realizó Prescient Security, un organismo de certificación acreditado e independiente. Su trabajo es contrastar los controles con las evidencias y con la realidad operativa, no sellar sin más una lista generada por una plataforma de automatización. Esa distinción, entre un certificador que verifica y un proveedor que genera evidencias, es la que cada vez decide más si un certificado vale lo que tiene escrito encima.

Por qué elegimos el camino difícil

anyformat construyó su arquitectura de seguridad antes de plantearse la certificación. Cifrado en reposo con AES-256 y en tránsito con TLS 1.2 o superior. Gestión de identidades y accesos con mínimo privilegio, y MFA en toda ruta administrativa. Gestión centralizada de claves mediante AWS KMS, con rotación documentada. Registro de auditoría en toda la cadena de procesamiento documental. Segmentación de red entre entornos. No son controles montados para satisfacer una plantilla. Son los cimientos sobre los que se construyó el producto, y la mayoría son anteriores al proyecto ISO en varios años.

Ese orden importa más de lo que parece. Cuando el SGSI precede a la auditoría, la auditoría se convierte en un ejercicio de verificación, no de construcción. Las políticas describen lo que ya hacemos. Las evidencias reflejan lo que ya producimos. Las carencias que aparecen son carencias reales que merece la pena corregir, no parches cosméticos montados para aprobar.

Conviene nombrar el contexto general. El cumplimiento normativo se ha productizado hasta el punto de que algunas plataformas automatizadas generan evidencias precumplimentadas para controles que nunca se implementaron, y acompañan ese resultado con auditores que lo sellan sin mirar. El caso reciente de Delve es un ejemplo público de lo que pasa cuando esa maquinaria se rompe. Es un recordatorio de que un certificado vale lo que vale el rigor que tiene detrás.

Elegimos a los auditores por rigor, no por rapidez. Encontrar una carencia durante una auditoría es un regalo. Encontrarla después de una brecha es un desastre. Esa asimetría es toda la razón para hacer esto bien, y es el motivo por el que nuestro calendario se midió en meses y no en días.

Qué aspecto tiene la confianza por dentro

En la capa de protección de datos, todo lo que está en reposo se cifra con AES-256 y todo lo que está en tránsito viaja sobre TLS 1.2 o superior. Las claves se gestionan en AWS KMS, con rotación documentada y políticas de acceso. Los datos se clasifican, conservan y destruyen conforme a reglas escritas y explícitas. El acceso es de mínimo privilegio por defecto, con MFA en cada cuenta administrativa y sin credenciales compartidas en ninguna parte de la plataforma.

La seguridad operativa se ejecuta como un proceso, no como una postura. Nuestro SDLC seguro separa los entornos de desarrollo y producción, con pruebas de seguridad integradas en el pipeline. El escaneo trimestral de vulnerabilidades alimenta un proceso formal de gestión de vulnerabilidades con SLAs de remediación definidos. La gestión de parches y la de cambios siguen procedimientos escritos con trazabilidad de evidencias. Los registros se conservan al menos seis meses, y por encima corre una capa de detección de anomalías. El plan de respuesta ante incidentes se prueba con periodicidad y está ajustado a las obligaciones de notificación del GDPR y de los contratos con nuestros clientes. El offboarding se cierra en las primeras 24 horas desde la salida, en todos los sistemas.

Las personas y el gobierno corporativo pesan lo mismo que la capa técnica. Cada incorporación pasa verificaciones de antecedentes y firma NDAs antes de recibir acceso. La formación en concienciación sobre seguridad es obligatoria y se renueva. Las funciones están segregadas, los roles están definidos y existe un canal de denuncias abierto a cualquiera, dentro o fuera de la empresa. Los proveedores se evalúan con los mismos controles que aplicamos puertas adentro, y llevan cláusulas de seguridad en sus contratos.

Cada campo que anyformat extrae de un documento va acompañado de una puntuación de confianza, token a token. Eso no es un control de ISO. Es el mismo principio trasladado al producto: si vamos a pedir a una empresa que confíe en nuestros resultados, le debemos poder verificar esa confianza al nivel más granular.

El estándar que mantenemos

Una certificación es una promesa, no un sello. El certificado ya está emitido y el trabajo no se para ahí. Las auditorías de seguimiento continúan. El registro de riesgos se actualiza en función de la inteligencia real de amenazas, no al ritmo del calendario. Los controles se prueban, las políticas se revisan y las nuevas tecnologías se evalúan contra el SGSI antes de entrar en producción.

anyformat se construyó para empresas que no pueden permitirse descubrir que el cumplimiento de su proveedor era puro teatro. La ISO 27001:2022 es una manifestación de ese compromiso. Las puntuaciones de confianza en cada campo extraído son otra. Los controles de residencia de datos en la UE son otra. Todas apuntan en la misma dirección.

Durante los próximos doce meses, el SGSI va a ampliarse, no a reducirse. Vamos a ampliar el alcance de las pruebas, a ajustar los plazos de detección y a incorporar los nuevos subsistemas al mismo conjunto de controles a medida que entren en producción. La confianza empresarial se gana poco a poco y se pierde en un único incidente. El certificado es un punto de control, no una meta.

Una certificación que no refleja la realidad no es una certificación. Es una responsabilidad.