En este punto, voy a asumir que Ud. ya está convencido de por qué certificar ISO 27001, de sus ventajas, beneficios... y que también está dispuesto a afrontar las dificultades! Porque sin duda lograr una certificación internacional, y en particular la ISO 27001, no es tarea sencilla, la cuestión es que probablemente no sea tan claro por qué.
Vamos a enfocar, entonces, nuestra modesta descripción de un proceso de certificación desde cuatro puntos de vista: proyecto, tecnología, procesos y personas, con el objetivo de extraer algunas conclusiones que podrían resultar valiosas a la hora de emprender este intenso e interesante viaje.
Vista la certificación como proyecto, nos interesan básicamente tres puntos íntimamente relacionados: alcance, objetivos y tiempos.
Podríamos decir que para una compañía que no posee políticas de seguridad implementadas, procesos, procedimientos ni controles específicos de seguridad de la información, el tiempo mínimo para alcanzar la certificación es de dos años, extendiéndose en la medida en que el alcance comprenda más áreas y procesos de la organización.
Es sabido que en algunos departamentos de tecnología existe la tendencia a funcionar aislados del resto de la organización, y pedir ayudar es algo que definitivamente deben aprender a hacer para llevar a cabo este tipo de procesos.
Por supuesto, como ocurre en toda actividad, hay muchas formas de alcanzar una certificación, aunque en estas recomendaciones vamos a tomar el camino de realmente implementar un sistema de gestión de la seguridad de la información, que sea sostenible en el tiempo y que produzca beneficios para la organización.
Y aquí entramos también en la cuestión de los objetivos, porque si anteponemos el obtener la certificación a crear un sistema de gestión eficiente que resuelva problemas reales, bueno… quizás no sea la mejor alternativa, ya que principalmente se corren dos riesgos: uno, que los costos de reconvertir esos procesos en útiles para la organización sean mayores a los que hubiera costado hacer las cosas bien desde un inicio; y otro, que el alcance definido (con el único objetivo de obtener la certificación) sea tan poco atractivo para el mercado, que se produzca un efecto de publicidad adversa para la marca.
Descuento que cuando una organización decide “certificar a cualquier costo” es una decisión consensuada, si no deberíamos agregar un riesgo más, que es la falsa sensación de seguridad, en la cual se toma a la certificación como garantía de seguridad (¡cuando en ningún caso lo es!), creyendo que realmente se cuenta con una gestión eficiente de los riesgos, y no es así.
Sé que las certificaciones generan mucho movimiento en las empresas, y es correcto que la certificación sea vista como una ventaja competitiva y que se desarrollen acciones de marketing en torno a su obtención (ya que la propia norma lo plantea en sus cláusulas), pero a la hora de administrar y comprometer los tiempos del proyecto es importante que seamos realistas en función del alcance y de la calidad de la implementación; es muy poco probable que podamos certificar una norma como ésta en seis meses, con un alcance importante para la organización, si no existen de antemano gran parte de los requisitos ya implementados.
Si nos detenemos a analizar los aspectos tecnológicos como una fase importante de la implementación, es principalmente por una cuestión de costos.
Y es que me cuesta imaginar una certificación de ISO 27001 en la que no sea necesario invertir en hardware y servicios asociados a la implementación de tecnologías, porque si la empresa que quiere certificar ya hubiera hecho un análisis de los riesgos sostenidos en el tiempo, de forma tal que contara con todos los sistemas de protección necesarios para sus activos de información, entonces ya contaría con un sistema de gestión implementado y la certificación sería trivial.
Es importante dimensionar en un estadio temprano del proyecto cuáles serán las inversiones necesarias y cuáles los servicios que se requerirán, para poder conseguir una aprobación realista del presupuesto que permita que el proyecto avance sin demoras ni interrupciones (al menos por ese motivo!).
La norma define actividades indispensables que es necesario implementar como procesos para obtener la certificación, como por ejemplo las revisiones por el comité de seguridad o las auditorías internas, pero también es necesario considerar qué procesos de negocio se verán afectados en función del alcance.
En este punto podríamos recomendar comenzar con un alcance significativo pero acotado, de forma tal que el proyecto pueda ser llevado a buen puerto en un tiempo no tan lejano, para luego crecer y extenderse (idealmente) a toda la organización.
Sin duda que hablar de procedimientos y procesos hace pensar en una carga burocrática adicional, tanto en la implementación como en la utilización habitual del sistema de gestión, y es lógico que esto va a ocurrir; existe la tentación de evitar parte de esta carga utilizando documentos (procesos, procedimientos, políticas, metodologías, etc.) que sean provistos o bien por las consultoras que soportan el proceso de implementación y certificación, o bien obtenidos de otras compañías, aunque la recomendación en este caso es que la propia organización desarrolle su documentación, ya que el know-how y el involucramiento que esto genera es lo que realmente garantiza que el sistema de gestión evolucione y sea sostenido en el tiempo.
En este punto quiero ser bien claro para evitar malentendidos: recomiendo ampliamente trabajar con apoyo externo para el desarrollo e implementación de sistemas de gestión como ISO 27001, ya que la experiencia que aporta un equipo profesional especializado es claramente beneficiosa para la organización, pero eso no significa que los consultores deban hacer todo el trabajo, ya que si bien puede parecer más fácil al inicio, lo cierto es que los consultores se irán pero el sistema de gestión permanece, y si no se cuenta con el know-how mínimo para mantenerlo y mejorarlo, corremos el riesgo de perder la certificación obtenida.
Como en muchos ámbitos de la vida, aquí también es necesario esforzarse más al inicio para obtener ¡mayores beneficios en el futuro!
Personas. La verdadera clave de cualquier logro organizacional son siempre las personas, y obtener una certificación no es la excepción: más aún, los recursos humanos forman parte esencial de ISO 27001, con actividades específicas asociadas a su gestión y formación.
El tiempo y los costos asociados a la formación de las personas que participan del alcance de la certificación y la organización en general, deben ser considerados desde el inicio del proyecto, ya que son aspectos que no pueden obviarse para obtener el certificado, ni tampoco para el funcionamiento adecuado del sistema de gestión propiamente dicho.
A modo de ejemplo, podemos decir que la falta de capacitación es uno de los riesgos que se identifican en prácticamente todos los procesos de certificación, y no solamente del personal técnico, sino a nivel organizacional: en muchos casos en los que ya existen políticas corporativas definidas por la organización, es posible comprobar que el personal de la organización no las conoce o bien no las sabe aplicar, y eso constituye un incumplimiento normativo grave, más allá del riesgo en sí que implica para la propia organización.
Pero sería un error ver a la capacitación como una cuestión de tomar cursos y resolver un problema puntual; lo cierto es que necesitamos comenzar por describir y documentar qué perfiles de gente (es decir, aptitudes, formación, conocimientos, etc.) son necesarios para el adecuado funcionamiento del sistema de gestión, y empezar a analizar brechas desde ese punto; de más está decir que es imprescindible la participación activa del departamento de Recursos Humanos para poder implementar políticas en este sentido a nivel organizacional.
Conclusiones. Soy consciente que con el objetivo de hacer un resumen, estoy dejando afuera puntos que son importantes para la norma, como el cumplimiento regulatorio o la continuidad del negocio, por nombrar solamente algunos, pero en lugar de hablar específicamente de la norma, a la cual uno puede consultar y estudiar hasta el cansancio en muchos otros sitios, preferí enfocarme en aspectos más prácticos del proceso de certificación, que son más difíciles de encontrar en la bibliografía al respecto y que generalmente terminamos conociendo después de lo que hubiéramos deseado!
Trabajar con un equipo externo de especialistas ayuda a contribuir al éxito de una certificación, pero es importante entender que la experiencia de los expertos debe ser complementada con el conocimiento de la cultura organizacional de los empleados de la empresa, ya que de otra manera el plan de implementación no será realista, por más bien construido que esté desde la teoría.
Por otro lado, tengamos en cuenta que la ISO 27001 es una norma que cruza a casi todos los sectores de una organización, y eso significa que debemos involucrar a representantes de esos sectores en el proceso de certificación, ¡desde el inicio! Es sabido que en algunos departamentos de tecnología existe la tendencia a funcionar aislados del resto de la organización, y pedir ayudar es algo que definitivamente deben aprender a hacer para llevar a cabo este tipo de procesos.
Con todo, los beneficios de un sistema de gestión y en particular del que plantea ISO 27001, bien valen la pena el esfuerzo y los recursos abocados a su implementación y certificación.
Seamos sinceros: los riesgos están, los estemos tratando o no, así que mejor hagamos algo al respecto! Y qué mejor que una norma internacional, probada en todos los continentes, y con tan amplio espectro de aplicación como la ISO 27001.
Como dijo alguna vez Jacques Lacan: “la primera virtud del conocimiento, es la capacidad de enfrentarse a lo que no es evidente”.