Blog
dark mode light mode Search Archivos descargables
Search

ISO 27001: ¿Qué sigue después de la certificación?

Conoce los pasos a seguir para que tu programa de seguridad se mantenga con el tiempo

Ya que pasaste por la odisea que es certificarte en ISO 27001 tal vez te preguntes, ¿y ahora qué sigue?

Cuando obtienes la certificación ISO 27001 ya estás del otro lado. Quiere decir que todo el esfuerzo que hiciste en implementar tu SGSI no fue en vano. Pero claro, con el éxito vienen otras responsabilidades también. 

Es un tema que tal vez no tocamos mucho pero que es importante tener en cuenta. Pues, la seguridad de tu empresa no termina con la certificación. 

Después de la auditoría

Después de haber trabajado en tu SGSI, llegará el momento de la auditoría de certificación. Aquí el auditor evaluará la implementación de tu SGSI para determinar si cumple, o no cumple, con las cláusulas de ISO 27001. 

Al terminar la auditoría, el auditor te entregará un reporte donde se indica si obtuviste o no la certificación. Con base en lo que diga este reporte, hay 3 escenarios diferentes: 

  1. Si terminas con observaciones, hallazgos u oportunidades de mejora, puedes llevártelas de tarea y aplicarlas para antes de la auditoría de revisión el próximo año. Cómo son sugerencias es opcional su aplicación; sin embargo, te recomendamos que lo hagas para evidenciar la mejora continua de tu SGSI. En este caso, sí recibes la certificación de ISO 27001.
  1. Si terminas con no conformidades menores, tienes que idear un plan de remediación para que el auditor lo revise. De ahí pueden surgir dos situaciones:
    1. En caso de que el auditor apruebe el plan, tendrás que aplicarlo antes de la revisión del siguiente año.
    2. En caso de que el auditor no esté conforme con el plan, puede pedirte que lo ajustes, ya sea en temas de redacción o en las acciones a implementar. Después de hacer las correcciones, el auditor lo vuelve a revisar para aprobarlo y así puedas aplicarlo antes de la revisión del siguiente año.

En este escenario, también recibes tu certificación ISO 27001.

  1. Si terminas con no conformidades mayores, el certificado queda condicionado. Esto quiere decir que tienes que resolver estas no conformidades en no más de 3 meses. Si se resuelven obtendrás tu certificado (¡enhorabuena!). De lo contrario, tendrás que preparar otra auditoría externa, lo que implica volver a pasar por ese proceso. 

Renueva tu certificación

Una vez que tengas tu certificación y hayas definido las mejoras que hay que aplicar, es importante que tomes en cuenta el seguimiento que debes darle. 

Este seguimiento es anual y consta de auditorías de mantenimiento los primeros dos años después de certificarte, y de una auditoría externa de recertificación, igual que la primera, después de tres años. 

En resúmen, este ciclo de certificación de ISO 27001 se ve así:

  • Año 1: Auditoría de certificación.
  • Año 2: Auditoría de seguimiento.
  • Año 3: Auditoría de seguimiento.
  • Año 4: Auditoría de recertificación. 

Las auditorías de seguimiento suelen ser menos pesadas que las de certificación. Esto porque valida que se esté aplicando la mejora continua al SGSI, y si se han corregido las no conformidades que se encontraron en la auditoría anterior.

Conclusión

En pocas palabras podemos decir que una vez que te subes al barco de la certificación, ya no puedes bajarte; salvo que estés dispuesto a perder tu “estrellita”. Y seamos honestos, después de un año de tanto esfuerzo y trabajo, no querrás tirarlo a la basura, ¿o sí? 

Cuando completas tu certificación es importante que practiques la mejora continua, ya que es la base para mantener cualquier sistema de gestión. Además esto te ayudará a pasar con una nota de 10 las auditorías de seguimiento y de recertificación. 

Recuerda que al tener la certificación puedes ampliar el alcance de tú SGSI inicial (sumar otros procesos, activos o servicios), para seguir mejorando y estar cada vez más protegido. 

Hackmetrix newsletter ciberseguridad