Tiempos, recursos y pasos necesarios para crear tu programa de seguridad
Si dijéramos que obtener la certificación de ISO 27001 es tener el sello de “la startup más codiciada”, no estaríamos mintiendo.
En los tiempos que corren, tener un programa de seguridad de la información es lo esperado, y la ISO 27001 es clave para lograrlo ya que su marco integral de controles protege la seguridad de tu empresa de punta a punta.
Si bien, cumplir con este estándar no es obligatorio, a veces se vuelve el precio de entrada a los grandes contratos y a la operación en países regulados como México (Ley Fintech) o Chile (Capítulo 20-10).
El gran desafío es implementar los 244 controles de gestión y de seguridad solicitados por la normativa, porque requiere tiempo, recursos y colaboración de todas las áreas. Pero, que no cunda el pánico, aquí te explicamos cómo es el proceso de cumplimiento y qué deberías planificar previamente para no atiborrar los tiempos de tu startup.
➡¿Mi startup debería certificarse en ISO 27001?⬅
¿Qué necesito para implementar ISO 27001?
Antes de empezar, debes tener en cuenta que necesitarás de ciertos recursos y presupuestos para avanzar con este viaje de seguridad. Algunos de los más importantes serán:
1. Esfuerzos del personal
La implementación requiere de la colaboración de al menos un líder de cada área. Tendrán que poner en marcha varios controles y colaborar en el diseño de documentos y registros. Por este motivo, considera las horas semanales que tu equipo le dedicará a este proyecto, ya sea a tiempo parcial o completo. Como todo, entre más prioridad se le dé a la implementación, más rápido se terminará el proceso.
2. Inversión en herramientas
La ISO 27001 requiere invertir en herramientas de seguridad (como antivirus, antimalware, Web Application Firewall, entre otras), pero esto no significa que debas contratar las más caras del mercado. Tranquilamente puedes robustecer tu seguridad con un kit de herramientas de menor precio hasta que realmente sea necesario contratar suites o soluciones de mayor envergadura. De hecho, cada mes compartimos algunas herramientas startup friendly en nuestro newsletter mensual, apúntate cuando quieras para recibirlas.
3. Asistencia para capacitaciones
En cierto punto deberás promover una cultura de concientización por medio de capacitaciones continuas al equipo. Para ello, probablemente consideres contratar a un externo que te ayude con talleres de concientización de seguridad, desarrollo seguro, etc. En este caso, ten en cuenta que la inversión puede volverse un costo permanente y debe hacerse mínimamente de forma anual.
4. Precio de la certificación ISO 27001
Este precio está ligado a tres factores:
- Cantidad de ubicaciones: si tienes oficinas subsidiarias con sistemas descentralizados (es decir, cada una cuenta con diferentes actividades, servicios y productos) deberás certificarlas por separado. Esto se debe a que cada una contará con su propio sistema de seguridad y con diferentes alcances, objetivos y controles.
- Complejidad tecnológica: entre mayor sea tu arquitectura tecnológica (cantidad de productos, servicios, aplicaciones o sistemas), más elevado será el costo de la auditoría porque se necesitarán varios días de revisión y evaluación.
- Precio local: en cada país hay distintos organismos acreditados por ISO que se encargan de auditar y certificar a las empresas. Y aunque este precio varía según el organismo y el país, el precio oscila entre los 4500 USD y los 11000 USD aproximadamente para el caso de una startup. La certificación debe renovarse cada 3 años.
¿Cuánto tiempo toma implementar ISO 27001?
La pregunta del millón tiene la respuesta del millón: depende. Depende del grado de compromiso que la alta gerencia tenga con el proyecto. Porque los equipos avanzan según las prioridades que les asignen sus líderes y… ya sabes qué sucede con las tareas que quedan al final del backlog.
Por otro lado, depende de cuán maduros tengas los procesos internos en tu empresa. Es decir, puede suceder que ya tengas un puñado de prácticas o procesos de seguridad y solo debas alinearlos y darles orden.
En nuestra experiencia con las startups, lo normal es que el proceso dure 12 meses. Sin embargo, hemos trabajado con quienes le han dedicado el tiempo adecuado y una prioridad monumental para sacarlo en 9 meses.
En resumen, el tiempo que te llevará depende de:
- Compromiso y prioridad que se le dé al proyecto
- Cantidad de prácticas de seguridad que tengas previas al proyecto
Hackmetrix Insight: recuerda que solo hablamos del tiempo de implementación (o poner en marcha los controles y diseñar y recopilar los documentos para la auditoría). Luego de superar la auditoría, debes dedicar tiempo a mantener y actualizar este trabajo para conservar la certificación.
Primeros pasos para implementar ISO 27001
Es importante recordar que la clave para cumplir con ISO 27001 es crear un Sistema de Gestión de Seguridad de la Información (SGSI). Quizás te suene un poco complejo, pero no es más que un motor de prácticas de seguridad que te ayuda a monitorear tus riesgos y proteger tu información.
Para implementarlo es necesario incorporar los controles de gestión y de seguridad que pide la norma. Las fases principales para comenzar el proceso son:
1. Obtener el apoyo directivo
Parece obvio, pero el gran motor para el éxito de la implementación es obtener el apoyo directivo, sobre todo, para comunicar en la empresa las prioridades y los beneficios del proyecto, y comenzar a despertar una cultura de seguridad.
2. Definir un plan de proyecto
Considera este paso como una preparación para la implementación. Primero debes organizar las tareas, personas y prioridades antes de poner en marcha los controles de seguridad. Esto implica:
- Definir el alcance: para establecer las áreas y procesos que serán alcanzados por el SGSI.
- Hacer un Análisis GAP: básicamente para tener una foto de tu estado actual de cumplimiento (en términos de controles de la ISO 27001).
- Hacer un Plan de Acción: para distribuir y priorizar las tareas que cerrarán esa brecha entre el cómo estás hoy y cómo quieres estar mañana. Es recomendable crear un comité de seguridad que vele por el avance de este plan y que garantice los recursos necesarios para llevarlo adelante.
- Identificar los activos: debes tener un registro de esos recursos que guardan información valiosa para tu startup para identificar lo que está en riesgo y tomar medidas. Para ello, será necesario realizar un inventario de activos.
- Hacer una evaluación de riesgo: para tener identificados los riesgos, sus posibles impactos y pensar medidas para minimizarlos. En definitiva, te ayuda a prepararte para cualquier escenario que pueda afectar la información que consideres crítica, como contratos de clientes o empleados, etc.
- Declaración de aplicabilidad: es una lista de controles de la ISO 27001 en la que debes indicar los controles que aplicarás en tu empresa y aquellos que no, justificando los motivos.Ten en cuenta que hay algunos que son obligatorios y debes aplicarlos sin importar el caso. Te facilitamos una lista con la documentación obligatoria de ISO 27001:
3. Diseñar e implementar los controles
Con el plan de proyecto armado ya tendrás conocimiento del alcance, de los riesgos a los que te expones y de las tareas a realizar para disminuirlos.
Ahora hay que ponerse en marcha: debes crear las políticas, procedimientos y controles definidos en la Declaración de aplicabilidad (último punto del listado anterior). Ten en cuenta que aunque debes seguir tu Plan de Acción para priorizar la protección de la información crítica, paralelamente puedes ir creando los documentos obligatorios de la normativa.
4. Recopilar las evidencias
Durante la auditoría debes proporcionar evidencias de los controles implementados para que el auditor evalúe si estás cumpliendo con los requerimientos de ISO 27001. Te recomendamos tener preparada la evidencia de al menos 3 meses previos a la auditoría.
5. Monitorear, medir y actualizar
La famosa frase “lo que no se mide no se puede mejorar” también aplica a la seguridad. Una vez que tengas el SGSI y la evidencia para la auditoría, debes prestar atención a las métricas y verificar que esos resultados cumplan con los objetivos del sistema. Esto es importante no solo para superar la auditoría y mantener la certificación, sino también para mantenerte protegido de las nuevas amenazas. Recuerda: la seguridad es una historia sin fin.
Una vez que tienes el plan de proyecto definido, los controles implementados, la evidencia documentada y las primeras métricas obtenidas es momento de ir por la certificación.
Conclusión
Conocer las fases, tiempos y recursos de la implementación es indispensable para planificar los tiempos de tu startup y eliminar la incertidumbre de un proceso un poco desafiante y complejo. Ahora ya tienes una idea de cómo prepararte, qué presupuestos evaluar y cómo comenzar la implementación del SGSI en tu startup.
Tener la certificación ISO 27001 es una gran ventaja competitiva y genera confianza para tus clientes porque has invertido mucho tiempo y recursos en seguridad de la información.
En Hackmetrix ya te adelantamos mucho del trabajo que se te viene encima: aquí te compartimos un repositorio con plantillas de documentos para comenzar la primera fase del plan de proyecto. Si tienes dudas o quieres saber más sobre cómo podemos ayudarte a automatizar esta tarea, estamos aquí para ayudarte.