Una guía rápida para estar preparado y obtener exitosamente certificaciones como la ISO 27001 y cumplir estándares como PCI DSS.
Empecemos diciendo lo obvio. Quieres que tu empresa crezca, sea exitosa y te dé las utilidades que siempre has deseado. Sabemos que estás trabajando duro para conseguirlo y por eso, tal vez, ya te planteaste certificarte en temas de ciberseguridad. Si todavía no lo haces, te contamos por qué es una buena idea.
Usualmente las empresas establecidas o corporativos buscan que sus proveedores cuenten con los mismos estándares de seguridad que ellas para evitar poner en riesgo a sus clientes, información y operaciones a través de terceros. Es aquí donde pueden entrar diferentes estándares de seguridad como ISO 27001 y PCI DSS.
Por otro lado, existen países e industrias en los que es necesario cumplir con regulaciones de seguridad para poder operar. Incluso podrás encontrarte con clientes que te pidan este cumplimiento, como mencionamos en el punto anterior. Algunas de las regulaciones más importantes en materia de seguridad son la RAN 20-10, GDPR e HIPAA.
Aunque puede ser que lo único que busques sea tranquilidad. Si te preocupa que un hacker se divierta con tu plataforma y te genere pérdidas monetarias, es probable que busques una guía de buenas prácticas en ciberseguridad. Sea cual sea tu razón para querer certificarte, podemos decirte que siempre es una buena idea.
¿Por qué quieres certificarte?
Primero, lo primero. Tienes que saber qué es lo que quieres. A lo mejor estás buscando una certificación porque un cliente potencial te lo exige o, porque simplemente buscas sentirte seguro.
Existen diferentes razones para querer certificarte y por lo tanto, distintos estándares para hacerlo. Aquí lo que tienes que preguntarte es, ¿qué es lo que me duele? y ¿cuál es el medicamento que necesito?
Por ejemplo, si lo que quieres es sentirte seguro y preservar la confidencialidad, integridad y disponibilidad de tu información, probablemente lo que necesites es ISO 27001, ya que se centra en seguridad de la información. Por otra parte, si tu eres una fintech o cualquier empresa relacionada al e-commerce y tú foco está en proteger los datos de tus tarjetahabientes, PCI DSS es la opción para tí. Si aún no sabes que framework de cumplimiento es mejor para tu startup, te ayudamos a averiguarlo con este artículo.
Aterriza tu idea
Ahora que sabes por qué quieres esa certificación podemos pasar a la siguiente etapa. Aquí vamos a definir en qué proceso, servicio o activos de la empresa se va a realizar. Recuerda que una certificación no es siempre para toda la empresa. Es necesario que identifiques las áreas que son relevantes para ti y que tienen que ver directamente con la seguridad.
Para entenderlo un poco mejor hablemos de una fintech. Sí esta empresa realiza transacciones mediante tarjetas y busca certificarse en PCI DSS, los activos a certificar podrían ser los servidores que albergan la información de sus tarjetahabientes. O también, su sistema contable (ERP), bases de datos de clientes, etc. Dichos activos cambian dependiendo de la certificación que busques.
Asegúrate de tener los recursos necesarios
Antes de comenzar con el proceso tienes que contar con los recursos necesarios y no, no nos referimos sólo a dinero. Al hablar de recursos estamos pensando tanto en el personal, como en cualquier otro recurso físico o lógico.
Imagina que tienes una tienda de conveniencia y decides que vas a certificar los refrigeradores. Para poder hacerlo, tienes que asegurarte de que:
- Tienes los refrigeradores
- Tienes los insumos que van dentro de los refrigeradores
- Cuentas con el personal suficiente para operarlos
Es importante comprender que no importa si no cuentas con todos los recursos necesarios en otras áreas, como dónde están las chips, los chicles, etc. Lo que le importa al auditor es que tengas los recursos necesarios para soportar el sistema de gestión que te pide (humanos, financieros, tecnológicos, etc).Es decir, tienes que tener recursos destinados específicamente para tu foco de certificación.
Inclúyelo en tu estructura organizacional
Al segregar funciones, vas a definir quién hace qué y en qué área de la empresa. Esto lo tienes que aplicar en una estructura organizacional que detalle bien las tareas y responsabilidades de las diferentes áreas y alta gerencia dentro de la organización.
Es un paso muy importante, porque es cuando defines quiénes participan en el proceso de certificación. No es necesario que todo tu personal participe. Procura invitar sólo a las áreas que realmente sean parte de ese proceso.
Sigamos con el ejemplo de la tienda de conveniencia. En este caso algunas personas indispensables para el proceso serían tal vez, el dueño de la cadena de tiendas, el dueño del local y las personas que operan los refrigeradores.
¿Hasta dónde quieres llegar?
Ya que pensaste en qué es lo que necesitas, dónde lo necesitas y qué áreas participan, llegó la hora de decidir si lo que estás buscando es certificarte o solamente quieres seguir buenas prácticas de seguridad.
Si decides certificarte no sólo tú estarás seguro sino que, tus clientes y proveedores tendrán más confianza en tus procesos. Además al contar con estándares internacionales se te abrirán las puertas a muchas oportunidades de negocio que te harán crecer.
Sea cual sea tu objetivo nosotros estamos aquí para ayudarte. No dudes en ponerte en contacto si tienes alguna duda o si necesitas asesoría sobre el tema.