Blog de Innevo

¿Es difícil obtener la certificación ISO 27001? Y cómo hacerla más fácil

Escrito por Tania López | Jul 8, 2022 3:00:00 PM

La norma oficial ISO/IEC 27001, más coloquialmente conocida sólo como ISO 27001, proporciona un conjunto de directrices para el desarrollo e implementación de un Sistema de Gestión de la Seguridad de la Información (SGSI) que se puede adaptar a cualquier organización. Ante esto, podrías preguntarte ¿es difícil certificarse en esta norma?

 

La respuesta a esta pregunta, dependiendo a quién se le haga puede ser: “Muy difícil”, “algo complicado” o “fácil”. ¿De qué factores depende la respuesta? Veamos.

Disciplina: factor central para la Seguridad de la Información

En esta certificación se trata de implementar las políticas, procesos y procedimientos contenidos en la norma ISO 27001 para garantizar, que una vez ejecutadas por todo el personal de la empresa y sus asociados, tiene un nivel de seguridad en el uso de la información lo suficientemente robusto para evitar pérdida de esta en caso de algún tipo de ataque cibernético, intrusión a sus instalaciones o impericia de alguno de sus colaboradores.

En pocas palabras: La seguridad de la información depende directamente de la disciplina del personal de la empresa, no de la norma misma.

Este factor es el centro de una implementación tersa o friccionante y es por eso por lo que la experiencia de cada empresa es distinta.

¿Qué dificulta la implementación de la norma ISO 27001?

Si una persona tiene el hábito de fumar y lleva haciéndolo por varios años, si por alguna razón debe dejar de hacerlo, el esfuerzo exigido le será muy desgastante, le implica sufrimiento y posiblemente hasta cierto síndrome de abstinencia, producido por la ausencia de nicotina en su cuerpo.

Si una persona no hace ejercicio con regularidad y por el motivo que sea, de pronto debe realizar 30 minutos diarios de algún tipo de actividad física, cada vez que tenga que vestirse y prepararse para iniciar empezará a sufrir. No le gusta sudar ni fatigarse.

En ambos ejemplos, como están obligados a realizar un cambio en sus hábitos y rutina, lo harán, pero en cuanto la exigencia desaparezca es muy probable que abandonen y vuelvan a sus hábitos anteriores.

Solamente continuarán cuando perciban y disfruten del beneficio del cambio de hábito, es decir, cuando vean que su nuevo comportamiento les aporta valor: Se sienten mejor.

De igual forma sucede en la implementación de ISO 27001.

  • Si el personal de la empresa no está acostumbrado a cumplir con políticas y procesos que son estrictos en cuanto al orden que deben tener para que la información sea utilizada y gestionada con cuidado, una vez que se certifiquen dirán: “Fue muy difícil”. Sufrieron por el cambio de rutina en el trabajo que los obliga a ser cuidadosos con el uso de la información y si no perciben valor en esto, siempre que puedan violarán políticas y procesos porque éstos les incomodan y como no han percibido un beneficio en la implementación de la norma, solamente ven incomodidad, regresarán a sus hábitos anteriores.

  • Si el personal de la empresa tiene la obligación de cumplir la mayor parte del tiempo con políticas y procesos, y solamente en ocasiones, por motivos generalmente de atención a urgencias no los cumplen y está permitido por la alta gerencia, una vez que se certifiquen dirán que fue “algo complicado”. Como están acostumbrados a que “urgencia mata proceso”, cuando algo sea urgente violarán las políticas y procesos de seguridad de la información.

  • Si el personal siempre cumple con procesos y políticas, y existen auditorías internas de cumplimiento, una vez que se certifiquen dirán: “Fue fácil”. Es este caso el personal cumple con las políticas y procesos establecidos por la empresa, no porque están acostumbrados, sino porque perciben el valor que les aporta el orden.

Para los dos primeros casos, si el personal no percibe el valor que aporta ser ordenado en el cumplimiento de políticas y procesos, aun cuando estos sean los adecuados, la certificación en ISO 27001, con el paso del tiempo, si bien le va a la empresa, se cumplirán parcialmente y la empresa tendrá una “seguridad parcial”, con potenciales vulnerabilidades y la inversión financiera y esfuerzo de certificación habrán sido un desperdicio, en el mejor de los casos; si es que no abandona por completo los procesos diseñados y en su próxima auditoría de mantenimiento no cumpla nuevamente con la norma.

Por lo tanto, la respuesta a la pregunta depende de la cultura organizacional prevaleciente y no de la norma. Ésta es igual para todas las empresas, no existen versiones diferenciadas por tipo de actividad empresarial, tamaño o cualquier otro criterio. Es la misma para cualquier empresa del mundo.

¿Cómo facilitar la implementación en la norma ISO 27001?

Así que, si se desea una implementación fácil y duradera de la norma, lo primero que debe hacer la empresa es evaluar su cultura corporativa. Si en ella no existen procesos y procedimientos o si se cumplen parcialmente la respuesta nunca será “Fue fácil”.

Por lo tanto, la dirección general, una vez que haga el diagnóstico, debe acompañar la implementación de la norma de un Plan de Cambio haciendo Endomarketing (marketing institucional orientado a las acciones internas) para que el personal comprenda y desee obtener los beneficios que aporta cumplir con un Sistema de Gestión de Seguridad de la Información (SGSI).

Si la empresa cree que es suficiente con adquirir la norma, un software especializado e ir cumpliendo con los formatos y documentos que exige la norma como evidencia, está equivocado. Con el paso del tiempo abandonará la ejecución de los procesos diseñados y volverá a sus hábitos anteriores.

Así como no existe una píldora que instantáneamente elimine el hábito de fumar o una que al consumirla haga el ejercicio por la persona, de igual forma no existe una solución inmediata y sin esfuerzo que logre la certificación en ISO 27001.

Por lo tanto, en nivel de esfuerzo en la certificación depende de los hábitos prevalecientes en la empresa, si la organización no tiene una gran cultura de procesos o es incompleta e incipiente, debe acompañar su certificación con un plan cambio y una implantación progresiva, para que el personal vea el beneficio conforme va implantando los procesos y políticas que ellos mismos han diseñado.

Entonces dirán que la certificación “fue fácil”.

Conoce nuestra Consultoría de Implementación ISO 27001 y comienza tu proyecto de Gestión de la Seguridad de la Información.