La información es la moneda del mundo moderno.

Lamentablemente, muchas organizaciones carecen de los controles y estándares adecuados para proteger sus activos de información.

Esto es especialmente peligroso para las empresas que manejan datos confidenciales de usuarios. Una violación de datos puede ser un golpe doloroso, uno del cual muchas organizaciones no se recuperarán.

ISO 27001 te ayuda a implementar un sistema de gestión de seguridad de la información (SGSI) sólido para proteger tus activos de información más valiosos y mitigar los riesgos de seguridad.

Entrevistamos a Mahtab Haider, director de la línea de servicios ISO en The Cadence Group, y le hicimos siete preguntas sobre cómo mantener tu certificación ISO 27001.

Antes de sumergirnos en las preguntas de la entrevista, comencemos con un breve resumen del estándar ISO 27001.

¿Qué es ISO 27001?

ISO 27001 es un estándar internacional que explora los controles y procesos de seguridad de una organización para asegurar que protejan la información confidencial de los usuarios.

Para hacer esto, ISO 27001 analiza el rendimiento de seguridad de una organización en tres áreas principales:

1. Confidencialidad: ¿Cómo estás protegiendo la información confidencial de los usuarios contra el acceso no autorizado?
2. Integridad: ¿Qué estás haciendo para asegurar que tus datos sean precisos y completos?
3. Disponibilidad: ¿Qué procesos tienes en lugar para que tu información esté disponible para los usuarios cuando la necesiten?

ISO 27001 te proporciona las directrices y requisitos que necesitas para implementar un sistema de gestión de seguridad de la información (SGSI) de la manera correcta.

El SGSI de una organización representa la colección de todos los controles de seguridad en tu negocio. Es decir, todo lo que estás haciendo para gestionar y coordinar tus controles de seguridad internos, incluyendo:

• Personas: Todos los miembros de tu organización (es decir, empleados, partes interesadas, consultores y líderes)
• Procesos y operaciones: Procesos y operaciones que están directa o indirectamente relacionados con la protección de la información confidencial
• Sistemas, software y tecnología: Sistemas informáticos, proveedores de SaaS, aplicaciones y cualquier otra tecnología que te ayude a implementar tus controles de seguridad
• Riesgos y amenazas involucrados: Planes de contingencia y controles que usas para mitigar riesgos y evitar amenazas
• Políticas y regulaciones: Políticas y regulaciones para asegurar el cumplimiento en toda la organización

Ahora que hemos cubierto los aspectos básicos de ISO 27001, profundicemos en las preguntas de la entrevista.

1. ¿Cuánto dura una certificación ISO 27001?

Haider explica: "La certificación ISO 27001 dura tres años. El primer año comprende una auditoría de certificación completa, mientras que los años segundo y tercero son auditorías de vigilancia."

¿Qué significa esto?

Una vez que un auditor revisa tus controles y emite tu certificación, eres compatible por tres años. Pero, eso no significa que no debas hacer nada para mantener esa certificación.

Así es como funciona:

• Primer año: El auditor realiza un análisis completo de los controles de su organización frente a los estándares ISO 27001, incluyendo revisión de documentación, revisión de campo, análisis de hallazgos, informes de auditoría de seguridad y revisión de gestión.
• Segundo y tercer año: El auditor revisa que sus controles sigan funcionando y sugiere actualizaciones cuando sea necesario.

Si uno de sus controles falla mientras su certificado aún es válido, está obligado a documentar el incidente, informar a las partes interesadas relevantes y solucionar el problema. De lo contrario, puede perder su certificación.

En otras palabras, obtener su certificación ISO 27001 es solo el primer paso de un proceso continuo.

2. ¿Qué debe hacer una empresa para mantener su SGSI después de recibir la certificación ISO 27001?

“Se necesita una revisión continua y actualizaciones de las políticas y procedimientos de seguridad de la información junto con la implementación de procesos y controles para mantener el SGSI”, dice Haider.

El estándar ISO 27001 sugiere implementar un programa de auditoría interna. De esta manera, puede detectar problemas potenciales y solucionarlos antes de que se conviertan en problemas mayores que puedan amenazar su certificación.

Debe designar un auditor interno que será responsable de evaluar sus controles periódicamente.

En esta etapa, el análisis de rendimiento puede ayudarle a entender cómo están funcionando sus controles y mejorar sus acciones en consecuencia.

Le sugerimos también realizar análisis periódicos de brechas para determinar si sus controles aún cumplen con los requisitos ISO 27001.

Además de eso, defina un calendario específico para auditorías internas y programe reuniones para documentar y revisar sus hallazgos.

3. ¿Cuáles son algunos errores comunes que ve que los equipos cometen como resultado de bajar la guardia después de la auditoría?

Según Haider, “Los cambios organizacionales son inevitables. Una vez certificados, las empresas deben mantener el conocimiento interno de la documentación y procesos del SGSI. Es un error común que las organizaciones pierdan de vista el cumplimiento de controles y la efectividad de políticas mientras atraviesan procesos de personal y cambios organizacionales.”

Esto es especialmente relevante para grandes organizaciones que manejan múltiples departamentos. La información sectorizada y entre departamentos puede exponerlo a vulnerabilidades. ¿Por qué? La falta de control sobre sus procesos de gestión de cambios puede llevar a una mala comunicación y potenciales problemas de seguridad.

Le sugerimos adoptar una solución de gestión de proyectos que le ayude a centralizar su información en una única fuente de verdad. De esta manera, puede mejorar la transparencia en toda la organización, eliminar silos entre departamentos y asegurar la adopción del SGSI.

4. He recibido un certificado ISO 27001, pero surge una nueva amenaza a la seguridad de la información. ¿Necesito actualizar mi documentación?

Según Haider, sí. “La evaluación de riesgos de seguridad de la información es otro ámbito donde se pueden registrar y monitorear amenazas a la seguridad de la información para tomar las acciones de mitigación apropiadas.

Si descubres una nueva amenaza que pueda poner en riesgo la seguridad de tu información, debes actualizar tu documentación describiendo la amenaza y los posibles planes de contingencia y acciones que puedes tomar para mitigar el riesgo.

La Cláusula 6 de ISO 27001 establece que las organizaciones deben analizar y considerar cualquier riesgo y amenaza potencial asociados con cualquier control de seguridad.

También debes documentar un calendario claro de acciones para lidiar con los riesgos en caso de que se materialicen.

5. Si una empresa sufre una violación de datos después de obtener la certificación ISO 27001, ¿puede perder su certificado?

“Los requisitos del dominio de gestión de incidentes del estándar de certificación ISO 27001 requieren que las organizaciones documenten e informen a las partes interesadas sobre cualquier incidente de seguridad que ocurra durante el período de certificación. Si no siguen el plan/política de gestión de incidentes durante una auditoría de vigilancia, esto podría categorizarse como no conformidad mayor, lo que llevará a la discontinuación de la certificación ISO”, dice Haider.

Esta es la razón por la que debes monitorear constantemente el rendimiento de tus controles.

Los ciberataques se han disparado desde el inicio de la pandemia. El FBI informa un 300% aumento en el ciberdelito solo en el último año. Se espera que la ciberseguridad cueste a las empresas aproximadamente $6 billones a nivel mundial para el final de este año.

Muchas organizaciones ignoran la importancia de monitorear y evaluar los controles de seguridad después de obtener la certificación ISO. El problema es que una violación de datos puede costarte más que una certificación. Puede hundir todo tu negocio.

6. ¿Cómo se vuelve a solicitar la certificación ISO 27001 cuando está a punto de expirar?

En este punto, ya entiendes lo básico para mantener tu certificación ISO 27001. Ahora la pregunta es, ¿qué puedes hacer una vez que expira?

Afortunadamente, renovar tu certificación no es tan complicado.

En palabras de Haider, “Los organismos de certificación llevan un seguimiento de la acreditación de sus clientes de certificación. Los auditores trabajarán contigo para planificar, programar y renovar la certificación ISO 27001.”

En otras palabras, asegúrate de mantenerte en continua comunicación con tu auditor actual para anticipar tu próxima auditoría de seguridad.

7. ¿Qué más deben saber nuestros lectores sobre cómo mantener la certificación ISO 27001?

Haider comparte una última palabra de consejo: “Tener una plataforma tecnológica de cumplimiento puede proporcionar a las organizaciones la estructura de proceso necesaria para implementar la certificación ISO 27001.”

Otras cosas importantes a considerar incluyen:

1. Entrenando a tu equipo: Comunica el valor del cumplimiento de ISO y asegúrate de que tu equipo entienda el proceso. Esto hará que sea más fácil mantener tu certificación. 
2. Encontrar el organismo de certificación correcto: Busca a alguien con experiencia en tu industria, ya que puede acelerar el proceso de auditoría y ayudarte a obtener conocimientos valiosos para mejorar tu cumplimiento de seguridad. 

El Veredicto

Obtener tu certificación ISO 27001 es un paso importante para cualquier organización. Sin embargo, mantener esa certificación a largo plazo es crucial.

Siguiendo las ideas y directrices proporcionadas en esta entrevista, podrás mantener el cumplimiento y mantener segura tu información confidencial.

Si buscas más orientación en tu proceso de certificación, Secureframe puede ayudarte a optimizar tu cumplimiento de ISO 27001 y ahorrarte muchos dolores de cabeza en el camino.