Autor: Israel Rogelio Gómez Juárez, Gerente de Ciberseguridad en Bitnueve

LinkedIn: https://www.linkedin.com/in/israel-gj-ciberseguridad/

Es bien sabido que la norma ISO/IEC 27001 es un requisito indispensable en la mayoria de organizaciones, sobre todo las dedicadas a las TI. No por nada es una de las normas más implementadas en el mundo [1] teniendo el segundo lugar despúes de la famosa ISO 9001.

Sin embargo, al ser una de las normas que exigen conocimiento amplio en procesos, politicas y cuestiones técnicas propias de la seguridad, se ha vuelto en una de las normas más complicadas de implementar y sobre todo de mejorar. Muchas empresas deciden contratar consultores, abrir un área de calidad o incluso comprar formatos que ayuden a acelerar el proceso de certificación. 

Sin importar cuál sea el mecanismo que uses para la implementación y la mejora, existen elementos clave para evitar el camino de la amargura y llegar a la conclusión de muchas organizaciones “Las normas no sirven” “Las normas son una perdida de tiempo” entre muchas otras.

Que no debes hacer en una implementación

1. Implementar en tiempos record. Sé que una de las razones por la cuál una organización decide implementar un sistema de gestión de seguridad de la información (En adelante SGSI) es por que algún cliente lo está pidiendo o en alguna licitación. Sin embargo, implementar un sistema de gestión en un mes o incluso en 3 meses, se corre el riesgo de que los objetivos del sistema sean endebles y no se perciba el valor real de la gestión.
2. Separar la operación del SGSI de la real de la organización. Existen algunas organizaciones que piensan que un SGSI es una obligación lejos de un beneficio y la decicición más fácil es mantener un SGSI con evidencia que no refleja la realidad de la empresa o el negocio, en ese momento el SGSI se vuelve un gasto en lugar de una inversión.
3. Certificar solo una parte de la organización. Aun que esta opción es totalmente valida y no es algo malo, ya que la misma norma te pedirá un alcance, puede también que exista un riesgo latente de caer en el punto anterior y tener dos operaciones (Una dentro del SGSI y otra sin gestión) Sin embargo, para evitar este error, se puede implementar todo el SGSI en la empresa, pero para la certificación limitar el alcance, de esa manera se evita el error número 2.
4.  Sin apoyo de la alta dirección. Cuando se le asigna un presupuesto a la implementación del SGSI no es la unica acción que deberá hacer la dirección. Si bien, la dirección no tiene por que participar en la operación del sistema, es de suma importancia que la dirección siempre diriga y asigne hacia donde quiere llegar con el sistema, no solamente obtener la certificación.
5. Olvidar el SGSI despúes de la implementación. O tambien operarlo un mes antes de la siguiente visita de los auditores. Un sistema gestión contempla la mejora continua no de manera intermiitente si no continua. Es como si los directores tomaran acciones en la empresa cuando solo pasan cosas malas, cuando es así, la empresa nunca llegará a ser estable.
6. Utilizar formatos sin conciencia. Yo no veo mal el uso de formatos, incluso yo llevo años trabajando con los propios. Pero tambien es cierto que al no tener conciencia al llenado de estos formatos o la debida conciencia, se pueden cometer errores de operaciones que no reflejen la realidad de la empresa. Es importante usar los formatos adaptandolos a la organización y no adaptar la organización a los formatos.
7. Realizar un SGSI para la auditoria y no para la organización. Yo como auditor puedo confesar que a veces es muy notorio la elavoración de documentación para facilitarle el trabajo al auditor, o incluso operar el sistema de gestión solo para la auditoria. Aun que eso facilita nuestro trabajo, no crea ningún beneficio para el negocio. Dile no a las observaciones que no le den un valor al SGSI.

Los puntos anteriores no son limitativos, puede que existan más, pero a mi experiencia son los más relevantes. Antes de terminar quiero obviar los que son ilegales en una certificación, como es generar evidencia, comprar la certificación etc. Un sistema de gestión bien implementado puede darle valor a tu negocio sin necesidad de ver esto como un gasto y no una verdadera inversión. 

[1] https://www.iso.org/popular-standards.html