(Elaborado por CARLOS VILLAMIZAR R.)

Según estadísticas de la International Organization for Standardization (ISO) al finalizar el año 2.024, 96.709 empresas en todo el mundo se habían certificado ya en la norma ISO27001, Sistema de Gestión de Seguridad de la Información (SGSI)[i], considerando aún versiones de ISO27001:2013 y por supuesto de ISO27001:2022. Esto representa un incremento de 77.132 empresas desde 2012 (19.577 empresas al finalizar dicho año) y con tendencia a seguir aumentando en los siguientes años.

El top 5 de los países con mayor cantidad de empresas certificadas en ISO27001 está liderado por China (33.359 empresa), seguido por India (6.758 empresas), Japón (6.644 empresas), Reino Unido (4.455 empresas) y Estados Unidos (4.260 empresas).

A nivel de América Latina, aún nos encontramos a años luz de quienes lideran el ranking. Los primeros 5 países son: México (475 empresas, posición 29 en el ranking general), Brasil (373 empresas, posición 36 en el ranking general), Colombia (282 empresas, posición 40 en el ranking general), Perú (193 empresas, posición 46 en el ranking general) y Chile (134 empresas, posición 55 en el ranking general).

A lo largo de mi carrera profesional, he tenido la oportunidad de participar en una veintena de proyectos de definición e implementación de SGSIs, logrando en varios de ellos la certificación en clientes de Colombia, México, Guatemala y Curazao.

En el devenir de la ejecución de estos proyectos, he identificado 10 aspectos básicos para la culminación exitosa de estas iniciativas y que no queden olvidadas en los anaqueles de la empresa.  Es por ello que me atrevo a compartir con Uds. estos consejos, esperando que les sean de utilidad, como lo han sido para mí después de haber sufrido también alguno que otro sinsabor: 

1.     Compromiso de la alta dirección. Para que la iniciativa entregue los resultados esperados, es un requisito necesario el apoyo e involucramiento de la Alta Dirección de la empresa. Sin su apoyo formal real, es casi imposible desarrollar exitosamente la iniciativa y demostrar el logro de la conformidad en la implementación del SGSI. Aquellas iniciativas que provienen desde los sectores operativos y/o tácticos y no cuentan con el respaldo de la Alta Dirección tienen mayor posibilidad de fracaso. 

2.   Cada empresa es un mundo diferente. Cada empresa es un mundo particular, así pertenezcan al mismo sector económico o a un mismo grupo empresarial. Cada una tiene su ambiente de control particular, un apetito de riesgo particular y riesgos de seguridad de la información particulares. Lo que es bueno para una empresa, pueda que no lo sea para otra. Copiar tal cual de una empresa a otra NO es procedente. Luego se debe considerar un eentendimiento de los requerimientos de seguridad y gestión de riesgos particulares de cada organización. 

3.     Definición apropiada del Alcance. Es importante definir un Alcance del SGSI realizable. El esfuerzo para implementar el SGSI no es el mismo al definir en su alcance TODOS los procesos de la organización, a un alcance que incluya sólo 1 o 2 procesos misionales. En este sentido es mejor iniciar con pocos procesos y paulatinamente ir creciendo el alcance del SGSI a medida que se logra mayor madurez en seguridad de la información. 

4.    Los controles no son todo. Es un error creer que la implementación de los controles de seguridad incluidos en los Anexos de la norma son “el todo”, sin considerar los elementos clave de un SGSI, como por ejemplo: Objetivos de seguridad de la información, Declaración de aplicabilidad, métricas e indicadores de seguridad, información documentada, procedimientos de auditoría interna, no conformidades, acciones correctivas, etc. 

5.    El SGSI es de la Empresa. En ocasiones las organizaciones contratan el servicio de consultoría para apoyar la definición y puesta en marcha  del SGSI, cometiendo el craso error de delegar todo el trabajo en el grupo consultor sin involucrarse en el desarrollo del proyecto. Por favor tengan en cuenta que el SGSI no es de la consultora, es de la organización! La consultora algún día se irá, y si la organización no se involucra desde el inicio del proyecto no aprenderá a implementar adecuadamente su SGSI. He visto algunos casos en los cuales la consultora entregó al cliente Manuales, procedimientos, formatos, etc. y el cliente no sabe cómo aplicarlos!  

6.     Evalúe el desempeño. Una forma de saber si el SGSI está operando adecuadamente o no es a través del uso de métricas e indicadores. La vieja máxima que dice que “lo que no se puede medir….no se puede controlar”, es aplicable a un SGSI. Luego hay que definir métricas e indicadores relevantes para el SGSI. En ISO27004 – MEDICIONES PARA LA GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN encontramos una guía de orientación inclusive con algunos ejemplos. 

7.   Concienciación. No debemos dejar de lado en la implementación del SGSI el recurso humano y sus responsabilidades frente a la seguridad de la información. Al recurso humano se puede llegar a través de diversos medios para sensibilizarlo: afiches, pendones, protectores de pantalla, videos, trivias, juegos, obras de teatro, etc.[ii] 

8.     Importante es llegar, pero mantenerse lo es aún más. La certificación en la norma ISO27001 no es el fin, es apenas el inicio de un largo y sinuoso camino por la seguridad de la información. Recuerde: Un SGSI debe operarse día a día!, no una semana antes de la auditoría de certificación o mantenimiento. El SGSI debe ser sostenible en el tiempo y eso se logra solamente con el involucramiento del personal y su operación diaria. 

9.   Mejoramiento continuo. El mejoramiento continuo retroalimenta y hace que el SGSI se nutra y enriquezca. Es vital para el SGSI establecer acciones correctivas y preventivas para que el sistema reaccione a eventos desfavorables y evolucione hacia una mayor eficacia. 

10. Automatice su SGSI. Tradicionalmente estas iniciativas se ejecutan con el apoyo de herramientas de ofimática. En mis últimas experiencias de contribución a la obtención de la certificación en ISO27001, sin lugar a dudas el uso de una herramienta automatizada con cubrimiento de todo el ciclo de vida (Planear-Hacer-Verificar-Actuar) del SGSI ha sido factor crítico de éxito ya que ha reducido la duración de la consultoría en por lo menos un 25% (especialmente en las actividades de inventario de activos, gestión de riesgos y establecimiento de métricas e indicadores), ha permitido que el cliente se involucre directamente en el uso de la herramienta conservando todos los registros y documentos del SGSI en un solo repositorio de información y sobre todo le ha permitido dar auto-sostenibilidad al SGSI sin dependencia directa hacia el equipo de consultoría, ya que lo hemos construido conjuntamente. Es allí donde aparece la solución GRC GlobalSuite con su módulo para Seguridad de la Información completamente alineado al ciclo PHVA de ISO27001. 

Cómo podemos ayudarle?

A través de los servicios de consultoría y proyectos de Gestionar Asesores podemos ayudarle en:

·         Diagnóstico inicial de cumplimiento frente a ISO27001 y apoyo para la formulación de cierre de brechas

·         Acompañamiento para la definición, implementación, mejora y monitoreo de su SGSI bajo ISO27001

·         Auditoría interna o de tercera parte  

·         Acompañamiento para la puesta en marcha de GlobalSuite Solutions para ISO27001