¿Estás pensando en obtener una certificación ISO 27001 para tu empresa? ¿No sabes cómo o dónde elegir un auditor ISO 27001?

Empezar el camino hacia la certificación ISO 27001 puede sentirse abrumador. Incluso encontrar un auditor acreditado en tu área puede ser un desafío.

Entrevistamos a Mahtab Haider, Director de la línea de servicios ISO en The Cadence Group, para brindarte una perspectiva informada. Con más de 15 años de experiencia en riesgos y cumplimiento, él sabe exactamente qué debería considerar tu empresa al seleccionar su auditor.

Cubriremos qué es ISO 27001, por qué las empresas deberían ser auditadas, cómo encontrar auditores acreditados y otros factores que impactarán tu elección final.

¿Qué es ISO 27001 y por qué las empresas deberían certificarse?

ISO 27001 es una norma internacional para los sistemas de gestión de seguridad. ISO 27001 ayuda a las empresas a demostrar que su sistema de gestión de seguridad de la información tiene los procesos de seguridad adecuados en su lugar. Es crucial para las empresas que almacenan datos de clientes y otra información sensible de forma digital, lo que abarca prácticamente a todas las empresas en el siglo XXI.

Para demostrar que tu empresa cumple con esta norma, necesitas ser auditado por un auditor acreditado que supervise tus procedimientos, sistemas y prácticas de trabajo. Una vez que hayas pasado la auditoría de Etapa 2, obtendrás tu certificación ISO 27001 y podrás promocionarla públicamente.

Con un enfoque creciente en las mejores prácticas de seguridad de la información y la estandarización, las empresas están mirando hacia marcos y normas reconocidas globalmente. Obtener una es la mejor manera de mostrar la efectividad de tus controles de seguridad de la información.

La mayoría de las startups encuentran más fácil hacer negocios con grandes empresas si están certificadas en ISO 27001. De hecho, algunas empresas requieren que todos los proveedores con los que hacen negocios tengan la certificación ISO 27001. Si no puedes demostrar que su información estará segura contigo, el trato se cancela.

Si has experimentado ese tipo de ultimátum, probablemente estés apurado por encontrar el auditor adecuado para tu empresa. Eso es lo que cubriremos en nuestra próxima pregunta.

¿Dónde puedo encontrar auditores acreditados ISO 27001?

Puedes encontrar organismos de certificación ISO 27001 acreditados en línea en el sitio web oficial de ANAB en el directorio de acreditación.

Configura el estándar a ISO/IEC 27001, y selecciona tu país, estado u otros criterios. Presiona buscar, y verás auditores acreditados en tu área.

ANAB (ANSI National Accreditation Board) es parte de ANSI (American National Standards Institute), y como tal es responsable de acreditar a los proveedores de EE.UU.

En Europa y Asia, es posible que tengas que investigar los sitios web de otros organismos de acreditación para obtener la misma información.

Estos incluyen:

• UKAS: United Kingdom Accreditation Service
• JAB: Japan Accreditation Board
• DAkkS: German Accreditation Body

Estos sitios oficiales son la única fuente confiable para confirmar la acreditación.

¿Cómo puedes verificar que un auditor está acreditado por organismos de acreditación oficiales?

Antes de contratar a un auditor para tu empresa, asegúrate siempre de que el organismo de certificación esté listado en el directorio de acreditación en el sitio web del registrador de certificaciones.

Puedes hacerlo utilizando los enlaces en la sección anterior.

Asegúrate de que el nombre de la empresa, la dirección comercial y el número de certificado coincidan con lo que se presenta en el sitio web del auditor.

¿Hay otros factores (además de la acreditación) a considerar al elegir un auditor?

Si solo ser acreditado fuera la única consideración, podrías empezar a contactar a todos los auditores acreditados locales para consultar precios y disponibilidad.

Pero hay otros factores a considerar, incluyendo la experiencia en la industria, otras acreditaciones de auditoría y más.

Las firmas de auditoría con mucha experiencia en tu industria tendrán una comprensión más profunda de las tecnologías emergentes, como la computación en la nube como GCP, AWS y Azure. Eso significa que entenderán mejor las prácticas y requisitos de la industria, acelerando el proceso de auditoría en sus primeras etapas.

También significa que pueden ofrecer información mucho más significativa durante el proceso de certificación de la Etapa 1, donde el auditor verifica si la empresa está lista para un proceso de certificación de la Etapa 2 más detallado.

También es importante asegurarse de que la firma de auditoría pueda ofrecer múltiples certificaciones, especialmente SOC 2, FedRamp y PCI.

La seguridad de la información es una prioridad tan grande que la mayoría de las empresas se sienten más cómodas cuando has demostrado que cumples con múltiples estándares internacionales. Cada vez más, estamos viendo que nuestros clientes quieren expandir sus auditorías de ISO con trabajos de auditoría SOC 2 y FedRamp para cubrir todas sus bases.

Considerar la escalabilidad futura al seleccionar una firma de auditoría ahorrará mucho trabajo extra en el futuro. En particular, las pruebas y entrevistas de auditoría serán muy laboriosas.

Trabajar con la misma firma para múltiples certificaciones hace que el proceso de auditoría sea mucho más eficiente.

Lo último que quieres es comenzar desde cero cada vez que quieras obtener una nueva certificación similar. Trabajar con una firma de auditoría que pueda manejar múltiples certificaciones puede ahorrar tanto tiempo como dinero.

¿Qué deben hacer las empresas antes de contratar a un auditor para una auditoría externa ISO 27001?

La mayoría de las firmas de auditoría ofrecen servicios de precertificación y análisis de brechas como primer paso para lograr la certificación.

A menos que tenga un experto en seguridad de la información en su empresa, estos servicios son cruciales para ayudarle a sentar las bases para una auditoría ISO exitosa en el futuro.

Un auditor principal experimentado en ISO 27001 trabajará con usted para identificar todos los problemas potenciales con sus sistemas y procedimientos, para que no pierda tiempo preparándose para múltiples auditorías.

Una vez que se completa la evaluación de brechas, los clientes tienen una imagen completa de los problemas en su entorno actual que les impiden cumplir con los requisitos de certificación. Eso juega un papel crítico en la preparación para la auditoría de certificación ISO 27001.

Después de completar el análisis de brechas, los siguientes pasos que debe seguir para prepararse para su auditoría de la Etapa 1 de ISO 27001 incluyen:

1. Documentación de políticas: Documente las políticas que establezca para proteger los datos de los clientes, como la identificación de dos factores, las claves de inicio de sesión cifradas y más.
2. Procedimientos de implementación: Describa cómo se verán estas políticas en la práctica, qué necesitan hacer sus empleados y más.
3. Capacitación del personal: Capacite a todos sus empleados para que realmente sigan estos procedimientos y políticas para el manejo de datos. Una organización es tan segura como su eslabón más débil. No quiere que alguien inicie sesión en sistemas sensibles desde computadoras personales potencialmente infectadas.
4. Implementación y prueba de controles de seguridad: Antes de ser auditado, es hora de poner en práctica nuevos controles de seguridad.
5. Auditoría interna: establezca controles y auditorías para ver si el personal sigue los procedimientos y si realmente evitan que ocurran posibles problemas.

Es un proceso largo y multietapa que será mucho más desafiante sin las ideas de un auditor de un análisis de brechas. No es algo que pueda aprender solo con publicaciones de blogs y videos de YouTube.

El objetivo final es establecer un sistema de gestión de seguridad de la información (SGSI) robusto que monitoree todas las prácticas de manejo de datos de su empresa. La incorporación y capacitación de nuevos empleados debería ser una parte confiable de ese sistema. De esa manera, los datos de los clientes permanecen seguros durante reestructuraciones, adquisiciones y otros eventos importantes.

¿Cuáles son sus reflexiones finales sobre ISO 27001?

ISO 27001 es el primer paso para construir y demostrar controles de seguridad de la información y cumplimiento. Sin embargo, el viaje no termina una vez que su empresa está certificada.

Su organización necesita mantenerse comprometida con la mejora continua del SGSI. Es la única manera de mantenerse al día con los requisitos, tecnologías y riesgos cambiantes en su industria.

Eso significa una inversión continua y la participación de las partes interesadas en el proyecto de seguridad de la información. Si los ejecutivos de alto nivel pierden interés, puede llevar a una falta de colaboración entre departamentos.

Lo último que desea es fallar su auditoría de renovación en tres años y comenzar el proyecto desde cero. Sin mencionar que, en el peor de los casos, volverse negligente puede llevar a filtraciones de datos, demandas y la pérdida de clientes importantes.

Tiene todas las razones para seguir invirtiendo en seguridad de datos en toda su organización.

La seguridad de la información ya no es opcional

Las empresas buscan cada vez más la certificación ISO 27001 y certificaciones comparables al elegir proveedores con los que hacer negocios.

Cuando una sola violación de datos en 2020 cuesta en promedio $3.86 millones, puede entender por qué las empresas se lo toman en serio.

Si eres nuevo en este recorrido y quieres obtener más información sobre la fiabilidad de tus sistemas y la pila tecnológica en general, no necesitas contratar consultores costosos. Secureframe te permite escanear todas las aplicaciones, plataformas y herramientas que utilizas para manejar información en línea. Para ver nuestra plataforma en acción, solicita una demostración gratuita hoy mismo.