Aikido acaba de pasar por el proceso de obtener la certificación ISO 27001:2022 y SOC 2 Tipo 2. Y una de las cosas que nos hubiera gustado tener es algún consejo práctico y práctico sobre cómo empezar. Y una de las cosas que nos hubiera gustado tener es algún consejo práctico y sin tonterías sobre cómo empezar. Las mejores prácticas, las cosas que hay que tener en cuenta, básicamente consejos de alguien que ya ha pasado por el proceso de certificación ISO 27001.
Lea más sobre el camino de Aikido para la conformidad con ISO 27001:2022 y los requisitos de la norma ISO 27001.
Por eso hemos escrito esta entrada de blog: para ayudar a cualquier persona de una empresa SaaS que esté pensando en cumplir la norma ISO:27001.
8 cosas que aprendimos durante el proceso de certificación ISO 27001
1. Sepa en qué se está metiendo
Si nunca has hecho esto antes, lo primero que debes hacer es preguntar a tus amigos y conocidos de negocios. Seguro que encuentras a alguien que haya pasado por el proceso, así que acércate a él y pídele consejo.
Si realmente no encuentra a nadie, puede ponerse en contacto con un pre-auditor. Pero ten en cuenta que, como es lógico, intentarán venderte servicios.
En cualquier caso, ayuda mucho hacerse una idea de cómo funciona todo. Esto le ahorrará tiempo al final y le ayudará a obtener su certificado ISO 27001 más rápidamente.
2. Comunique que está trabajando en la implantación de ISO 27001
La gente aprecia que le mencione que está en proceso de implantar la norma ISO 27001. Estarán ansiosos por saber que en un futuro próximo tendrán menos de qué preocuparse. Y eso, a su vez, ayudará a sus ventas y conversiones. Así que mencione esto en su sitio web, en conversaciones de ventas, en LinkedIn y más. Haz saber a tus usuarios que estás haciendo que tu producto sea más conforme.
3. Decidir qué norma ISO 27001 implantar (2013, 2017 o 2022)
2022 tiene muchos más controles en materia de codificación segura y seguridad del software. (por ejemplo, la detección de malware es un nuevo control). Esto significa que implica más trabajo de implementación que una versión más antigua. Si eliges una de las normas más recientes, necesitarás más controles, pero ya estarás preparado para el futuro. Así que probablemente sea mejor optar por la versión de 2022.
Consejo rápido: La certificación ISO 27001 requiere una auditoría completa cada tres años. Esto significa que es mejor no optar por la ISO 27001:2013, ya que sólo es sólo es válida durante dos años más..
Cada versión de la norma ISO 27001 también enmarca de forma diferente el proceso de gestión de riesgos. La versión de 2022 incluye requisitos de certificación actualizados que reflejan la evolución de los riesgos de ciberseguridad. Esto hace que sea importante que las empresas dispongan de un sólido proceso de gestión de riesgos para identificar, evaluar y mitigar estos riesgos.
Ten en cuenta que, si eres una empresa grande y madura, es posible que prefieras optar por la versión de 2017, ya que está más consolidada y podría provocar menos trastornos en tus procesos actuales.
4. No externalice todo
Es arriesgado externalizar todo el proceso... Aunque es posible subcontratar todo el proceso a una consultoría, yo lo desaconsejaría. Claro que un consultor puede ayudar, proporcionar plantillas y ese tipo de cosas. Pero si lo subcontratas todo y te encuentras con un problema, tienes que saber cómo solucionarlo. Mi consejo es que participen al menos dos, y hasta cuatro, personas de la empresa.
Consejo rápido: Recuerde que la auditoría final debe realizarla un organismo de certificación acreditado.
5. Obtenga un pentest que tenga sentido para su empresa
Si usted es una empresa de software, debe elegir un pentester para centrarse en las cosas que no están cubiertas por herramientas automatizadas como OWASP ZAP. Elige pentesters con experiencia en cazarrecompensas, en lugar de pentesters de la "vieja escuela".
6. Aprovechar las normas de cumplimiento y acelerar
Cumplir ya la norma SOC2 agiliza el cumplimiento de la ISO. Y es bueno saber que, si se cumple la ISO, NIS2 (una nueva normativa aplicable en la UE) será más fácil.
Consejo rápido: Compruebe que su auditor ha sido auditado (es un requisito). No te conformes con alguien sin las credenciales adecuadas o podrías ser engañado.
7. Darse cuenta de que nadie es perfecto
La eventual auditoría siempre encontrará no conformidades y no pasa nada por ser imperfecto. Pero hay que conocer esas imperfecciones y asegurarse de que se dispone de un plan de acción formal para resolver los problemas. Se trata de un proceso de mejora continua que, en última instancia, mejorará la seguridad en toda la empresa. Es posible que nunca alcances la "perfección", pero debes hacer todo lo posible por conseguirla.
8. Empezar pronto con la implantación de herramientas que cubran los controles ISO
Si está pensando en optar por el cumplimiento de la norma ISO, siempre es una buena idea hacer una prueba de las herramientas que le ayudarán a cubrir determinados controles (y también a producir las pruebas que necesita).
Por ejemplo, la norma ISO le exige que aplique algunos procesos relativos a las personas, como la incorporación, la baja, la comprobación de antecedentes y la asignación y recuperación de activos de la empresa. La implantación de estos procesos en un sistema de información de recursos humanos (SIRH), como Officient, Personio o Workday, le ayudará a ponerse en marcha en el momento en que tenga que presentar sus pruebas para ISO.
Lo mismo ocurre con Aikido, que ya realiza comprobaciones de 22 controles y genera un informe ISO 27001 exhaustivo. Es otro gran ejemplo de cómo adelantarse a la preparación de su ISO.
Gestión de la vulnerabilidad técnica ISO 27001:2022
¿Sigue su propio camino hacia la certificación ISO 27001:2022? Nuestra plataforma, Aikido Security satisface todas las necesidades técnicas de gestión de vulnerabilidades para aplicaciones ISO 27001:2022. También hemos decidido asociarnos con plataformas de supervisión del cumplimiento (como Vanta o Drata) para sincronizar fácilmente los datos y garantizar que la información sobre vulnerabilidades esté siempre actualizada. Esto le ayuda a mantenerse fácilmente en la cima de su postura de seguridad.
Solicite nuestro informe
No dude en solicitar nuestro propio certificado ISO 27001:2022 directamente en nuestra página de resumen de seguridad. Estaremos encantados de compartir los frutos de nuestro duro trabajo 😉 .
Espero que esta entrada del blog te resulte útil. Ojalá hubiera sabido todos estos consejos cuando empezamos el proceso. Si estás estudiando la posibilidad de obtener la certificación ISO, ponte en contacto conmigo en LinkedIn y estaré encantado de compartir mis impresiones.
.jpg)
.png)
.svg)
.png)
.png)
.png)
.jpg)
.jpg)
.jpg)
.png)