Blog
dark mode light mode Search Archivos descargables
Search

Cómo certificarte rápido en ISO 27001

Te damos algunos consejos para agilizar el proceso

Certificarte en ISO 27001 no tiene que ser un proceso interminable. Si te concentras y te enfocas en lo que realmente importa, conseguirás esa certificación rápidamente. O como a nosotros nos gusta decirlo, a la Hackmetrix. 

Podemos decir que el secreto para certificarte rápido está en la frase “divide y vencerás”. Claro que cumplir con ISO no es un proceso tan agobiante como ir a la guerra pero, sí puede llevarte algo de tiempo. A menos que sigas los consejos que vamos a darte. 

En este artículo te contamos cómo abordar cada una de las cláusulas de esta ISO para que te certifiques en tiempo récord y de manera eficiente.

Conoce el camino a seguir

Lo primero y más importante, es conocer como está planteada la ISO 27001 y cuál es el camino a seguir. Así que, comencemos. 

ISO 27001 se divide en 10 cláusulas diferentes, o bueno, 11 ya que cuenta con una cláusula 0. Cada una con un propósito y un objetivo diferente por lo que siempre hay que hacerlas en orden. 

Las cláusulas de la 0 a la 3 no se toman en cuenta como parte de las actividades de certificación ya que son meramente informativas. Consisten en una introducción a ISO 27001; conocer su objeto y campo de aplicación; normas para consulta, es decir que otras ISOs hay que leer para comprender la 27001; y por último, términos y definiciones de conceptos relevantes en la familia de ISO 27000.

Ahora, entendamos en qué consisten el resto de las cláusulas y cómo puedes dominarlas rápidamente. 

Cláusula 4: Contexto de la organización

Aquí lo más importante es que conozcas a tu empresa. ISO 27001 te solicita conocer a la perfección cuál es tu giro, tus competidores e identificar quiénes podrían estar involucrados en la certificación (clientes, proveedores, etc.). Con base en esto vas a definir tu Sistema de Gestión de Seguridad de la Información (SGSI). 

Por ejemplo, si eres una fintech y estás pensando en certificar tu departamento de recursos humanos, tal vez sea mejor recapacitar. Si el core de tu empresa es el área financiera, sería mucho más beneficioso para ti certificar esa área o el servicio que ofrece. 

Supera esta cláusula a la Hackmetrix

Para certificarte rápido recomendamos tener un alcance muy específico. Es decir define bien qué es lo que vas a certificar. 

Después de todo, no es lo mismo llevar a cabo el proceso para un solo activo que para 10. Así que enfócate solo en un servicio, producto o área. De preferencia en tu producto o servicio estrella. 

Iniciar con un alcance pequeño pero que le de mucho valor a tu organización es el mejor camino a seguir. Recuerda que al definir el alcance de tu SGSI, menos es más. 

Cláusula 5: Liderazgo

La alta dirección tiene que comprometerse con el proyecto. Su liderazgo es importante para educar al resto de los colaboradores sobre seguridad de la información.

Si los líderes de la empresa sienten la cultura de ciberseguridad, es fácil que se contagie al resto de la organización. 

Supera esta cláusula a la Hackmetrix

Para realizarlo de una manera efectiva, sugerimos que la alta dirección envíe un comunicado dónde explique que todos tienen una participación importante dentro del programa de seguridad. 

Además, tendrás que asignar a una persona como responsable del proyecto;  puede ser algún PM o el OSI. Acá lo importante es que esa persona esté respaldada por el CEO, subdirector, o alguien en un puesto de alta dirección.

Cláusula 6: Acciones para manejar riesgos y oportunidades

Esta es la cláusula en la que se centra el sistema de gestión. Es aquí donde identificas y evalúas tus riesgos (que te está doliendo). Ya que los identificaste, toca diseñar que vas a hacer para que te deje de doler. 

Es importante tener en mente que aún no es hora ejecutar. Vas a concentrarte solo en identificar y planear, para con base en esto definir los objetivos del SGSI. 

Supera esta cláusula a la Hackmetrix

Justo como lo mencionamos en la cláusula 4. Menos es más.

Evalúa solo riesgos de tu alcance, el cuál ya debería estar lo suficientemente acotado. Tus objetivos deben ser específicos y no tienen que ser muchos. No necesitas 20 objetivos para un SGSI si cuentas con 3 buenos. 

Cláusula 7: Soporte

Ahora toca identificar, diseñar y sumar  todo lo que va a soportar a tu programa de seguridad. Es decir, todo los elementos que necesitas para que tu SGSI funcione. Desde recursos humanos, financieros, tecnológicos  etc.

Además, es aquí dónde vas a crear la documentación y a enfocarte en que tu recurso humano esté capacitado, concientizado y comunicado. 

Supera esta cláusula a la Hackmetrix

La clave está en el enfoque. Los recursos que necesitas para la certificación giran alrededor del alcance que definiste. Sí tu alcance está bien acotado y genera valor, necesitarás menos recursos, infraestructura y tu documentación será más corta.

Cláusula 8: Operación 

Llegó el momento de ejecutar lo que diseñaste en la cláusula 6. Después de ver qué es lo que le duele a tu empresa y definir un plan de acción, es hora de ejecutar los planes de tratamiento. 

En este punto te tomas la pastilla para sentirte bien. Puede que la medicina funcione o puede que no. Lo importante es implementar todos los controles que sean necesarios para minimizar los riesgos a los que estás expuesto. 

En pocas palabras vas a aplicar los controles necesarios para que tu empresa sea segura. 

Supera esta cláusula a la Hackmetrix

Lo que nos lleva a hacer énfasis en “necesarios”. Emplea solo los controles que te aplican. De seguro no necesitas los 114 que menciona ISO 27002. Si te concentras en lo que realmente necesitas, el proceso será mucho más corto. 

¿Por qué tomarte 10 pastillas para calmar el dolor si sólo necesitas 2?

Cláusulas 9 y 10: Evaluación del desempeño y mejora continua 

No podemos mejorar lo que no se puede medir. Ya que identificaste los objetivos en cláusula 5, toca definir los KPIs y cada cuanto los vas a medir y monitorear. 

Otra forma de evaluar el desempeño es revisar en casa que lo que haces está bien con auditorías internas y revisiones gerenciales. Es importante avisarle a la gente importante como está el proyecto y que estén involucrados. 

Por último, en la cláusula 10 es momento de pensar qué mejoras puedes hacer a tu programa de seguridad con base en lo que mediste en la cláusula anterior.

Supera estas cláusulas a la Hackmetrix

Estas dos últimas cláusulas se concentran en los resultados. Define los KPIs que representen mejor el rendimiento de tu SGSI y concéntrate en corregir los errores que surjan. Sí algo puede estar mejor, trabaja en ello y no esperés a que vaya mal en tu próxima auditoría. 

Otros tips para certificarte rápido

  • Crea un plan para comunicar a tu organización de los cambios que implica en la operación implementar un programa de seguridad. Sobre todo porque con la certificación se implementarán controles y siempre será más fácil si todos saben la importancia de estos y cómo contribuyen.
  • No implementes todo de golpe. Cuando haces políticas y procedimientos y tratas de implementar de la noche a la mañana, se puede generar fricción y frustración en la organización. Por lo tanto, hacerlo progresivamente ayudará a que el proceso fluya. Para ayudarte con esto, en Hackmetrix implementamos 10 fases

Conclusión

Certificarte en ISO 27001 es algo que definitivamente le traerá incontables beneficios a tu negocio. Sin embargo, puede que el proceso se vuelva algo largo y tedioso.

Para evitar esto, es importante que definas muy bien tu alcance desde el inicio. Recuerda que menos es más y entré más específico sea lo que quieres certificar más fácil será hacerlo. De igual manera, al acotar correctamente tu alcance, también se disminuyen los recursos necesarios para implementar tu programa de seguridad.

Otro punto importante, es el liderazgo. Poner en un buen ejemplo es crucial para que la organización cumpla con las políticas de seguridad de la información. Después de todo, si el jefe de jefes no cumple con dichos lineamientos, ¿por qué deberían hacerlo el resto de los colaboradores?

Esperamos que esta pequeña guía para certificarte te sea útil. Si te quedaste con alguna duda o quieres saber más sobre lo que implica certificarte en ISO 27001, no dudes en contactarnos.

Hackmetrix newsletter ciberseguridad