Cómo 4way Consulting allanó el camino hacia el éxito en la certificación ISO 27001.

4way Consulting ofrece consultoría y asistencia técnica especializada en tecnología, mejorando la seguridad, la fiabilidad y la accesibilidad de los servicios de transporte en el Reino Unido. La empresa apoya a los gobiernos locales y centrales en la gestión de las redes de transporte mediante la implementación de tecnología. Su equipo, compuesto por aproximadamente 45 personas, tiene su sede principal en Manchester y Birmingham.

El equipo de 4way Consulting buscaba implementar la norma ISO 27001 para la gestión de la seguridad de la información, como complemento a su certificación ISO 9001 de gestión de la calidad ya existente.

También estaban considerando la certificación ISO 45001 para la gestión de la salud y la seguridad (S&S), ya que la empresa contaba con un sistema de gestión de S&S existente que contenía material a partir del cual podían desarrollar su cumplimiento. Dado que la empresa manejaba información sensible, la certificación ISO 27001 era vital para demostrar que 4way Consulting aplicaba las mejores prácticas de seguridad de la información. Necesitaban una forma de implementar la norma estratégicamente y ahorrar tiempo y recursos.

«Necesitábamos determinar la forma más rentable y eficiente de obtener la certificación», afirmó Ian Pengelly, director técnico de Digital en 4way Consulting. Una opción que Ian y su equipo consideraron fue desarrollar su sistema de gestión de seguridad de la información (SGSI) desde cero. Otra alternativa fue adoptar el sistema basado en SharePoint que utilizaba una empresa filial. Ninguna de estas opciones ofrecía la eficiencia ni la centralización que el equipo buscaba.

El equipo de 4way Consulting utilizó la plataforma IO para implementar la norma ISO 27001 y actualmente se encuentra en proceso de implementar la norma ISO 45001, además de migrar su trabajo de gestión existente basado en la norma ISO 9001 a la plataforma. 

El equipo utilizó el Método de Resultados Garantizados (ARM, por sus siglas en inglés) de 11 pasos para avanzar en su cumplimiento con la norma ISO 27001, además de adaptar las plantillas de políticas y controles predefinidas de la plataforma.

La empresa también utilizó la función de registro de riesgos de la plataforma para crear un resumen de las normas ISO 27001, ISO 45001 e ISO 9001. Crearon un nuevo grupo dentro de la plataforma IO, vinculándolo a los registros de riesgos de sus normas. Esto proporcionó un registro de riesgos consolidado que luego se podía filtrar para identificar los riesgos con mayor puntuación y utilizarlo como registro de riesgos corporativo, lo que permitió al equipo directivo evaluar y abordar estos riesgos con mayor frecuencia.

La intuitiva plataforma de E/S también ayudó a la empresa a vincular sus riesgos, activos y controles, proporcionando claridad sobre cómo 4way Consulting gestionaba el riesgo de acuerdo con los requisitos de las normas.

Además, la concienciación y la implicación de los empleados son cruciales para el cumplimiento continuo de las normas ISO; 4way Consulting adaptó su enfoque de formación de los empleados en función de sus políticas y procedimientos en la plataforma IO.

Compartieron la documentación con los empleados, quienes firmaron un documento de confirmación para verificar que habían leído y comprendido cada documento, y también para brindar comentarios sobre las áreas que requerían aclaraciones adicionales. Esto les permitió registrar dichos comentarios, actualizar los documentos y realizar un seguimiento de las versiones dentro de la plataforma IO, lo que proporcionó evidencia adicional del compromiso de los empleados y respaldó su certificación.

La empresa también está desarrollando su sistema de gestión del aprendizaje (LMS) con contenido de vídeo interactivo, que permitirá obtener más comentarios, realizar un seguimiento de la participación de los empleados y podrá registrarse como prueba de cumplimiento.

4way Consulting obtuvo la certificación ISO 27001 en 17 meses, aunque el equipo estima que con más recursos disponibles habrían podido lograrlo en unos 10 meses.

Ian comenta que la facilidad de uso de la plataforma contribuyó a agilizar el proceso de auditoría:

Las normas ISO exigen una mejora continua, por lo que el equipo está centrando sus esfuerzos en perfeccionar su cumplimiento con la norma ISO 27001, realizar revisiones periódicas de riesgos y controles, y evaluar el registro de riesgos de la empresa. El equipo de IO sigue prestando apoyo a 4way Consulting mientras Ian y su equipo perfeccionan su sistema de gestión de seguridad de la información (SGSI) y se preparan para sus próximos pasos: obtener certificaciones ISO adicionales.

Ian y el equipo de 4way Consulting continúan implementando la norma ISO 45001 para la gestión de la salud y la seguridad.

También continúan migrando su sistema de gestión de calidad ISO 9001 a la plataforma IO. Además, el equipo está creando videos de capacitación con la ayuda del equipo de aprendizaje y desarrollo para apoyar el proceso de incorporación de nuevos empleados, mantener la concienciación del personal existente y garantizar que los proveedores cumplan con los requisitos de seguridad de la información de 4way Consulting.