Consejos para trabajar con un auditor

Hemos escrito mucho sobre ISO 27001 en nuestro blog: su propósito y beneficios, el proceso de certificación, los requisitos de control, y los costos. Hemos compartido listas de verificación, guías y plantillas. Todo es parte esencial de nuestra misión de desmitificar el mundo de la seguridad y el cumplimiento para nuestros clientes. 

Pero también vale la pena compartir nuestra perspectiva como una organización que realmente ha pasado por el proceso de lograr la certificación ISO 27001. ¿Cómo es realmente? ¿Vale la pena la certificación ISO 27001? 

Como plataforma de automatización de cumplimiento, siempre hemos creído que una postura sólida de seguridad impulsa la innovación y el crecimiento. Sabíamos que la inversión valdría la pena. 

Hoy compartimos nuestra experiencia de primera mano en el proceso de recertificación y cómo mantenemos el cumplimiento continuo, junto con nuestros consejos para otras organizaciones de rápido crecimiento que se preparan para pasar por el mismo proceso.

Nuestra experiencia de recertificación ISO 27001

Como una empresa enfocada en el cliente, tenía sentido llevar a cabo nuestra propia certificación ISO 27001 no solo por los beneficios de seguridad y organizativos, sino también para ponernos en los zapatos de nuestros clientes. 

Comenzamos los preparativos en la segunda mitad de 2020, completamos las auditorías de la Etapa 1 y 2 a través de A-LIGN y logramos la certificación a principios de 2021. ¡Recientemente completamos nuestra recertificación para el año de vigilancia 1 sin no conformidades! 

Siendo un equipo de expertos en una empresa de seguridad y cumplimiento, tener recursos disponibles resultó más fácil. Pero el proceso de recertificación puede seguir llevando mucho tiempo. Continuamos mejorando la postura de seguridad y la cultura de cumplimiento de Secureframe, e incluso actualizando nuestra oferta de ISO 27001 para incorporar lecciones aprendidas de nuestras propias auditorías. 

En resumen, buscar y mantener la certificación vale la pena el esfuerzo, y estamos felices de compartir conocimientos adicionales de nuestra experiencia de primera mano.

Por qué decidimos ser certificados en ISO 27001 

Como empresa de seguridad y cumplimiento, entendemos el valor de un marco internacional respetado como ISO 27001. Es una razón por la que también cumplimos con SOC 2, GDPR y CCPA.

En segundo lugar, aunque ninguno de nuestros clientes nos exige específicamente estar certificados en ISO 27001, sabemos que esto ayuda a generar confianza con nuestros clientes y socios comerciales. Podemos afirmar que somos una empresa que entiende y ofrece seguridad de primera clase, pero tener a un auditor externo objetivo que verifique nuestras afirmaciones sobre nuestra propia postura de seguridad brinda mayor credibilidad. Estar nosotros mismos en conformidad con ISO 27001 también nos diferencia de nuestros competidores, quienes aún no han logrado la certificación.

Los procesos de certificación y recertificación tienen el valor añadido de brindarnos mejores perspectivas sobre lo que atraviesan nuestros clientes en su camino hacia el cumplimiento. Habiendo experimentado el proceso en primera persona, todo nuestro equipo puede empatizar más profundamente con nuestros clientes que están pasando por el mismo proceso. Nosotros mismos hemos estado ahí.

Nuestro cronograma de recertificación ISO 27001

Prepararse para una auditoría ISO 27001 no es una tarea fácil. Hay muchas partes móviles, muchas personas que necesitan estar involucradas y mucho tiempo que debe dedicarse al proceso.

Ir a una auditoría por primera vez (y durante años en los que se deben probar todos los controles) consume más tiempo que los años que requieren una auditoría de vigilancia, donde solo se prueba un subconjunto de los controles del Anexo.

Para nuestra auditoría de certificación inicial el año pasado, las tareas de cumplimiento ocuparon aproximadamente el 50-75% de 1-2 recursos en los 3 meses previos a la auditoría, es decir, unas 480-720 horas en total.

Durante este año pasado, se dedicaron 20 horas adicionales a lo largo del año para prepararse para nuestra auditoría de vigilancia.

Estas horas son para un equipo de expertos en cumplimiento con décadas de experiencia. Las horas reales probablemente serán diferentes para organizaciones que no están familiarizadas con auditorías de cumplimiento, empresas que contratan a un consultor o negocios que necesitan más tiempo para implementar procesos y políticas o abordar no conformidades.

Cada negocio es diferente, por eso es tan importante asociarse con expertos que se tomen el tiempo para entender tus sistemas y necesidades de cumplimiento únicos.

Cómo gestionamos el proceso de preparación para la auditoría

En nuestra experiencia, tener a una sola persona o equipo responsable de impulsar el proceso de cumplimiento y asegurarse de que las tareas se completen a tiempo es clave.

Desde una perspectiva de gestión de proyectos, también encontramos que era importante identificar nuestros recursos más tensionados (para nosotros, es nuestro equipo de Ingeniería) y priorizar enviarles las solicitudes primero.

Incluir este tiempo de margen nos permitió asegurarnos de no perder ningún plazo interno o externo. Ser consciente de las dependencias, incluidas las personas y las actividades, es esencial. En nuestra experiencia, tener del 80 al 90 % de las evidencias cargadas antes de que comience la auditoría es un buen objetivo.

En general, el aspecto más importante de nuestro proceso de preparación fue la comunicación. Explicar la necesidad de selecciones de muestras a las personas adecuadas con anticipación realmente les ayudó a anticipar las solicitudes de evidencia y comprender los plazos.

Comunicar el cronograma de la auditoría a todo el equipo con anticipación evitó que las solicitudes ad-hoc del auditor llegaran como una sorpresa excesiva. Responder a ellas puede ser estresante, por eso Secureframe se dedica al negocio de la automatización del cumplimiento.

Nuestros consejos para trabajar con un auditor ISO 27001

Trabajamos con A-LIGN tanto para nuestra certificación inicial como para nuestra recertificación. Desarrollar una relación sólida con su auditor externo ayuda enormemente con la continuidad. Al entrar en nuestra recertificación, nuestro auditor ya tenía un conocimiento práctico de nuestra organización.

Para la recertificación, tuvimos una llamada de planificación a principios de noviembre de 2021 para una auditoría que comenzaría a finales de enero de 2022. Fuera de esas reuniones, la comunicación fue principalmente por correo electrónico.

Dimos una visión general de nuestra organización y compartimos pantallas para guiar a nuestro auditor a través del sistema. Cuando trabajas con un auditor durante varios años, ya saben qué buscar y pueden usar este entendimiento más profundo para ofrecer recomendaciones más específicas para la mejora.

Como un equipo de expertos en cumplimiento con experiencia, nos resultó más fácil interpretar los requisitos, anticipar solicitudes de evidencia y ser conscientes de posibles brechas.

Para las organizaciones que no tienen este tipo de experiencia para aprovechar, recomendamos encarecidamente trabajar con expertos en cumplimiento al comienzo de su viaje de certificación ISO 27001. Sin esa experiencia, todo puede parecer desalentador y el tiempo ahorrado puede ser invaluable.

Cómo abordamos el cumplimiento continuo

Aunque definitivamente sentimos una sensación de logro al recibir nuestra recertificación ISO 27001, nuestro trabajo no ha terminado. Planificamos actividades recurrentes del ISMS con anticipación y las programamos a lo largo del año. Esto evita que todo se haga apresuradamente en los meses previos a la auditoría.

Es importante ajustar cómo cumples con los controles del Anexo en función de cómo ha crecido o cambiado tu organización. Por ejemplo, si tus ubicaciones físicas han cambiado o si tu organización se volvió completamente remota. Si hay riesgos comerciales nuevos o cambiantes o amenazas de seguridad, si los procesos han madurado o cambiado para cumplir con una mayor cantidad de personal, todos estos escenarios requieren que reevalúes tus políticas y controles internos.

Para mantener el cumplimiento, deberá actualizar su documentación ISO 27001 todos los años (es decir, políticas, su Declaración de Aplicabilidad, documento de alcance, acciones correctivas, etc.). Otras actividades de revisión y actualización anual incluyen la revisión de proveedores, ejercicios de simulación e inventario.

También se debe realizar una prueba de penetración anual, capacitación en concienciación sobre seguridad para empleados y evaluaciones de desempeño, y una evaluación de riesgos ISO 27001. También se requieren objetivos ISMS y seguimiento de KPI, así como auditorías internas.

Su reunión de ISMS debe llevarse a cabo después de que se completen la auditoría interna y la evaluación de riesgos para permitir una revisión adecuada, y se deben capturar y documentar las actas de la reunión. Se recomienda una revisión de acceso y un escaneo de vulnerabilidades al menos trimestralmente.

Puntos clave

Obtener la certificación ISO es muy parecido a correr una maratón. Cruzar la línea de meta se siente genial, pero solo puedes llegar allí con mucha preparación dedicada.

Condensar nuestra experiencia en un puñado de puntos clave puede parecer una simplificación excesiva, pero si tuviéramos que reducirlo, este sería nuestro consejo para otras empresas de alto crecimiento que se preparan para una auditoría de cumplimiento.

• Priorice la comunicación, tanto con su equipo interno como con su auditor. Todos en su organización deben entender por qué está buscando la certificación, cuáles son sus responsabilidades y cuándo se espera que actúen.
• Incluya tiempo de margen en su planificación de preparación. Las tareas de cumplimiento toman más tiempo de lo que cree y necesitará depender de otros equipos para generar evidencia y responder preguntas.
• Dedique tiempo al principio a familiarizar a su auditor con sus sistemas y procesos. Está construyendo una relación a largo plazo con ellos, y cuanto mejor comprendan su organización, más fluido será el proceso de auditoría.
• Agende sus tareas de mantenimiento a lo largo del año para que no haya una carrera frenética en las semanas previas a su auditoría de recertificación.
• La experiencia y la pericia son activos invaluables. Si es nuevo en ISO 27001, considere contratar a un consultor o asociarse con una solución de cumplimiento para ayudarlo. Asegúrese de preguntar a cada proveedor si ellos mismos están certificados en ISO 27001 y/o SOC 2.

¡Esperamos que compartir nuestra experiencia sea útil para otras empresas! Si está interesado en la certificación ISO 27001, puede programar una demostración para obtener más información sobre nuestra plataforma y equipo de expertos en cumplimiento.