Para la certificación ISO 27001, tu personal debe adoptar procesos y políticas para trabajar de forma segura con la información. ¿Por qué es tan difícil?
La norma oficial ISO/IEC 27001, más coloquialmente conocida sólo como ISO 27001, proporciona un conjunto de directrices para el desarrollo e implementación de un Sistema de Gestión de la Seguridad de la Información (SGSI) que se puede adaptar a cualquier organización. Ante esto, podrías preguntarte ¿es difícil certificarse en esta norma?
La respuesta a esta pregunta, dependiendo a quién se le haga puede ser: “Muy difícil”, “algo complicado” o “fácil”. ¿De qué factores depende la respuesta? Veamos.
En esta certificación se trata de implementar las políticas, procesos y procedimientos contenidos en la norma ISO 27001 para garantizar, que una vez ejecutadas por todo el personal de la empresa y sus asociados, tiene un nivel de seguridad en el uso de la información lo suficientemente robusto para evitar pérdida de esta en caso de algún tipo de ataque cibernético, intrusión a sus instalaciones o impericia de alguno de sus colaboradores.
En pocas palabras: La seguridad de la información depende directamente de la disciplina del personal de la empresa, no de la norma misma.
Este factor es el centro de una implementación tersa o friccionante y es por eso por lo que la experiencia de cada empresa es distinta.
Si una persona tiene el hábito de fumar y lleva haciéndolo por varios años, si por alguna razón debe dejar de hacerlo, el esfuerzo exigido le será muy desgastante, le implica sufrimiento y posiblemente hasta cierto síndrome de abstinencia, producido por la ausencia de nicotina en su cuerpo.
Si una persona no hace ejercicio con regularidad y por el motivo que sea, de pronto debe realizar 30 minutos diarios de algún tipo de actividad física, cada vez que tenga que vestirse y prepararse para iniciar empezará a sufrir. No le gusta sudar ni fatigarse.
En ambos ejemplos, como están obligados a realizar un cambio en sus hábitos y rutina, lo harán, pero en cuanto la exigencia desaparezca es muy probable que abandonen y vuelvan a sus hábitos anteriores.
Solamente continuarán cuando perciban y disfruten del beneficio del cambio de hábito, es decir, cuando vean que su nuevo comportamiento les aporta valor: Se sienten mejor.
De igual forma sucede en la implementación de ISO 27001.
Para los dos primeros casos, si el personal no percibe el valor que aporta ser ordenado en el cumplimiento de políticas y procesos, aun cuando estos sean los adecuados, la certificación en ISO 27001, con el paso del tiempo, si bien le va a la empresa, se cumplirán parcialmente y la empresa tendrá una “seguridad parcial”, con potenciales vulnerabilidades y la inversión financiera y esfuerzo de certificación habrán sido un desperdicio, en el mejor de los casos; si es que no abandona por completo los procesos diseñados y en su próxima auditoría de mantenimiento no cumpla nuevamente con la norma.
Por lo tanto, la respuesta a la pregunta depende de la cultura organizacional prevaleciente y no de la norma. Ésta es igual para todas las empresas, no existen versiones diferenciadas por tipo de actividad empresarial, tamaño o cualquier otro criterio. Es la misma para cualquier empresa del mundo.
Así que, si se desea una implementación fácil y duradera de la norma, lo primero que debe hacer la empresa es evaluar su cultura corporativa. Si en ella no existen procesos y procedimientos o si se cumplen parcialmente la respuesta nunca será “Fue fácil”.
Por lo tanto, la dirección general, una vez que haga el diagnóstico, debe acompañar la implementación de la norma de un Plan de Cambio haciendo Endomarketing (marketing institucional orientado a las acciones internas) para que el personal comprenda y desee obtener los beneficios que aporta cumplir con un Sistema de Gestión de Seguridad de la Información (SGSI).
Si la empresa cree que es suficiente con adquirir la norma, un software especializado e ir cumpliendo con los formatos y documentos que exige la norma como evidencia, está equivocado. Con el paso del tiempo abandonará la ejecución de los procesos diseñados y volverá a sus hábitos anteriores.
Así como no existe una píldora que instantáneamente elimine el hábito de fumar o una que al consumirla haga el ejercicio por la persona, de igual forma no existe una solución inmediata y sin esfuerzo que logre la certificación en ISO 27001.
Por lo tanto, en nivel de esfuerzo en la certificación depende de los hábitos prevalecientes en la empresa, si la organización no tiene una gran cultura de procesos o es incompleta e incipiente, debe acompañar su certificación con un plan cambio y una implantación progresiva, para que el personal vea el beneficio conforme va implantando los procesos y políticas que ellos mismos han diseñado.
Entonces dirán que la certificación “fue fácil”.
Conoce nuestra Consultoría de Implementación ISO 27001 y comienza tu proyecto de Gestión de la Seguridad de la Información.
Sigue estas recomendaciones para proteger la información de tu empresa y construir un buen SGSI - Sistema de Gestión de Seguridad de la Información.
No te confíes al no detectar incidentes. Para la seguridad de la información, algo de tecnología y empleados confiables son insuficientes. ¿Por qué?
Con el cibercrimen en aumento, las empresas necesitan ISO 27001 para protegerse de ataques a la información de sus finanzas, operaciones y clientes.