Cada día son más las empresas que buscan certificar su Sistema de Gestión de la Seguridad de la Información (SGSI) y lo que hasta hace unos años se veía como un proceso engorroso que aportaba poco valor, hoy se ha convertido en una prioridad que responde a diferentes necesidades.
Por un lado, las compañías han identificado en la ciberseguridad una ventaja competitiva y buscan en las certificaciones la manera de diferenciarse y transmitir a sus clientes un mayor grado de confianza. En otros casos, las certificaciones vienen impuestas por obligaciones legales, como veremos más adelante. Pero también existen empresas que desean certificar su SGSI para protegerlo de posibles malas praxis internas y salvaguardar los activos digitales de la compañía.
Ya sea por estas u otras razones, lo cierto es que a la hora de enfrentarse al proceso de certificación del SGSI las empresas no terminan de tener muy claro por dónde empezar y, lo que en principio puede parecer un reto exigente pero asequible, termina por convertirse en un calvario insufrible.
La experiencia nos dice que antes de empezar el camino de las certificaciones de seguridad conviene echarle cabeza, fijar plazos realistas y marcar los hitos por donde debemos de pasar para recorrer nuestra travesía de la ciberseguridad de manera satisfactoria.
A continuación, y con el apoyo de la infografía que acompaña a este artículo, vamos a proponer una estrategia que nos permitirá identificar dónde estamos, a dónde debemos llegar y cuáles son los pasos a seguir en todo el proceso de certificación. La idea es que, partiendo de esta propuesta, cada cual adapte la hoja de ruta a su realidad antes de empezar a andar y fije sus propias metas.
Lo mejor para introducirnos en el mundo de las certificaciones es empezar por la ISO 9001:2015. Esta norma, enfocada en el Sistema de Gestión de la Calidad, nos ayudará a establecer las bases sobre las que luego iremos montando el resto del modelo. En esta fase se tocarán todos los elementos esenciales del negocio: estrategia, objetivos, gestión de personas, compras, ventas…
Lo normal es que en un par de meses hayamos completado este primer paso y ya estemos familiarizados con el mundo de la calidad. Muchas empresas aprovechan este primer tramo del camino para certificar también su Sistema de Gestión Ambiental en la ISO 14001:2015 y obtener, además, el Certificado de la Huella de Carbono (HC).
Obviamente, estas dos certificaciones relacionadas con el cuidado del medioambiente nada tienen que ver con la seguridad de la información, pero es tan pequeño el esfuerzo a realizar comparado con la tarea en la que ya estamos metidos que, en la práctica, merece la pena ir a por la certificación y no dejar la oportunidad.
Por otro lado, no nos olvidemos que el binomio digitalización-sostenibilidad cada día tiene más peso en la estrategia de las compañías y que, tarde o temprano, terminará por convertirse en obligación; así que, en cierto modo, podemos pensar que nos estamos adelantando a la jugada.
A esta altura del camino, nuestra empresa ya está preparada para abordar con solvencia la primera certificación relacionada con la seguridad. Así que tras haber superado la ISO9001+ISO14001+HC ahora es el momento de ir a por la ISO 27001:2023.
Si hemos montado bien nuestro Sistema de Gestión de la Seguridad de la Información (SGSI), la obtención de la ISO 27001:2023 vendrá dada como consecuencia de las tareas que ejecutamos con normalidad en la empresa y no como algo impostado que habremos preparado para pasar el examen.
Es en este punto cuando empezamos a percibir el resultado del esfuerzo realizado durante varios meses de trabajo. Nuestro modelo de seguridad comienza a ser más sólido, está bien definido y lo tenemos convenientemente monitorizado. Ahora todo está listo para afrontar el proceso de mejora continua que nos espera en los próximos años.
Aunque muchas empresas finalizan aquí el camino de las certificaciones, otras prefieren seguir avanzando y continuar marcando distancia con sus competidores. Y es, bajo esta premisa, donde tiene sentido pensar en abordar la ISO 20000:2018. Esta norma certifica el Sistema de Gestión de Servicios, muchos de los cuales dan soporte al proceso de digitalización de nuestra empresa, y no nos olvidemos que digitalización y ciberseguridad siempre van de la mano.
Así que, aunque la ISO20000:2018 no es en sí misma una norma orientada a la ciberseguridad, sí nos ayudará a protegernos de posibles malas prácticas de nuestros equipos en el ámbito tecnológico al tiempo que medimos el nivel de calidad de los servicios IT que prestamos así como la satisfacción de nuestros clientes, ya sean internos o externos.
Pero sigamos avanzando hacia nuestra siguiente parada que no es otra que el Esquema Nacional de Seguridad (ENS). Esta norma es de obligado cumplimiento para todos las Administraciones y organismos públicos, aunque la realidad es que muchos de ellos están todavía muy lejos de cumplirla. Pero, además, en la práctica, también termina afectando a las empresas privadas que aspiren a dar servicio a la Administración.
Este es el motivo por el que comienza a ser habitual que las empresas que se certifican en la ISO 27001:2023 también quieran obtener el ENS, por lo general en su Nivel Medio, pues las exigencias son similares y el esfuerzo es relativamente pequeño si se ha trabajado correctamente.
Hasta hace bien poco, el camino de las certificaciones relacionadas con la seguri- dad de la información terminaba aquí. Lo cierto es que el mix formado por: ISO 9001 + ISO 14001 + HC + ISO 20000 + ISO 27001 + ENS es realmente potente y nos posiciona con fuerza marcando distancia del resto de competidores y aportando un alto grado de confianza a nuestros clientes.
Pero en una economía digitalizada la ciberseguridad es un tema que preocupa cada vez más. En este sentido, Europa ha querido dar una nueva vuelta de tuerca poniendo en marcha la NIS2.
Esta directiva europea, que se aprobó en 2022 y que entra en vigor en octubre de 2024, es de obligado cumplimiento para todas las empresas que sean consideradas infraestructuras críticas proveedoras de servicios esenciales.
Existen doce categorías que clasifican estos servicios esenciales en donde encontramos, entre otros: sanidad, alimentación, transporte, energía… En la práctica podemos decir que todas las entidades públicas y privadas de la UE que cumplen funciones importantes para la economía y la sociedad en su conjunto deben cumplir la NIS2.
Resumiendo, y solo con el ánimo de que se entienda de una manera rápida y sencilla, pensemos que si tu empresa se mantuvo abierta en tiempo de pandemia, seguramente sea una de las que esté afectada por esta nueva norma.
Y este es el final del viaje propuesto para obtener las certificaciones de la seguridad de la información. La NIS2 es el destino donde muchas compañías están obligadas a llegar, aunque no quieran; porque, ya sea por su naturaleza de ser proveedoras de servicios esenciales; o bien, porque tienen como cliente a la AA.PP, este umbral de la ciberseguridad marcado por la nueva norma, acabará por convertirse en un estándar europeo.
Suele pasar que cuando una empresa decide andar el camino de las certificaciones de la seguridad aparece algo de vértigo acompañado de cierto miedo y respeto a lo desconocido. Por eso es importante incluir las certificaciones de calidad dentro de nuestro Plan Director de Ciberseguridad y que la obtención de las mismas se aborde como una actuación más de la estrategia que debe estar orientada a minimizar el riesgo y reducir la superficie de exposición, las claves para lograr el éxito.
