5 consejos principales para lograr la certificación ISO 27001
Siga el camino trazado por Sam Peters, nuestro director de productos y servicios, para emprender un camino sencillo hacia el éxito de la certificación.
Comience siempre con un plan
El proceso de certificación ISO 27001 puede resultar bastante complejo y desafiante. Tienes que mantener muchos platos girando. Entonces, antes de comenzar, necesita un plan de implementación que lo guíe a través de todo. Hágase preguntas como: ¿Cómo implementamos la ISO 27001?? ¿En qué debemos pensar en cada etapa del proceso? proceso de auditoría? ¿Cómo será nuestra carga de trabajo y cuándo queremos lograrlo? Debes tener una buena idea de lo que quieres y necesitas. a lograr antes, durante e incluso después de la certificación.
Trátelo como un ejercicio de mejora empresarial.
Hay mucho que asimilar ISO 27001. Verlo como un ejercicio de mejora empresarial, en lugar de simplemente marcar muchas casillas, le ayudará a asimilarlo todo y a participar en él. Puede ayudarte a crear Procesos de negocios y enfoques de manera más estructurada y reflexiva. Hemos visto mejoras masivas en nuestro propio negocio al hacer esto. No sacarás tanto provecho si tu enfoque es: "Sólo hago esto para cumplir con estos requisitos de las normas".
Trae tu organización contigo
Todos deben comprender y seguir sus políticas de seguridad de la información y controles. La gente de su organización será su mayor fortaleza de seguridad. Pero sólo si los equipas con todo lo que necesitan para ser competente y capaz. Y se necesita la aceptación del liderazgo, es una parte clave del estándar. De hecho, es una parte auditada del estándar.
De modo que sus políticas y controles no pueden ser demasiado técnicos. Tienen que decirle a la gente que no tiene idea de cuestiones técnicas lo que tienen que hacer y por qué es tan importante. Y sus altos directivos tienen que comprometerse con todo esto y aprobarlo. Cuanto más fácil lo hagas, más probabilidades tendrás de cumplir, tanto internamente como con el proceso de certificación.
Comparta la información correcta con las personas adecuadas
Al principio le pedimos a todo el personal que leyera cada política y control. ¡Eso es mucha lectura! Y luego les pides que resuelvan lo que les importa. Con el tiempo lo hemos perfeccionado. Solo pedimos a las personas que lean las políticas y controles que sean relevantes para sus funciones. Por lo tanto, sólo se le pide a la gente que asimile lo que es relevante para ellos, lo que realmente necesitan saber y actuar en consecuencia. Creo que eso es bastante clave. Ah, y por supuesto, aún pueden leer el resto si así lo desean.
Recuerda que todo es cuestión de riesgo.
ISO 27001 es una norma basada en riesgos. Es fácil perder de vista esto cuando estás inmerso en la certificación. Por lo tanto, todo lo que haga debe mitigar el riesgo que enfrenta su organización. A veces puedes hacerlo al revés, terminas pensando: “Tengo que implementar este control porque eso es lo que dice el estándar”. Pero la norma sólo lo dice por un riesgo real. No estás marcando casillas imaginarias, en realidad estás protegiendo a tu organización. Entonces, a veces comenzar con los riesgos y trabajar a partir de ellos le ayudará a pensar en todo de una manera más constructiva.
Sam Peters – Jefe de Productos y Servicios
Uno de los miembros más antiguos de la SGSI.online equipo, Sam tiene casi veinte años de experiencia en llevar soluciones SaaS al mercado. Antes de especializarse en seguridad de la información, Sam ocupó roles digitales tanto en el sector público como en el privado, trabajando en finanzas, educación y aplicación de la ley. En el poco tiempo libre que tiene, Sam disfruta andar en bicicleta y pasar tiempo con su joven familia.
