Aikido acaba de completar el proceso para cumplir con ISO 27001:2022 y SOC 2 Tipo 2. Y una de las cosas que nos hubiera gustado tener era un asesoramiento práctico y directo sobre cómo empezar. Buenas prácticas, aspectos a tener en cuenta, básicamente consejos de alguien que ya ha pasado por el proceso de certificación ISO 27001.
Lee más sobre el camino de Aikido para cumplir con la ISO 27001:2022 y los requisitos de la ISO 27001.
Por eso hemos escrito esta entrada de blog: para ayudar a cualquier persona en una empresa SaaS que busque cumplir con la norma ISO:27001.
8 cosas que aprendimos durante el proceso de certificación ISO 27001
Sé consciente de lo que implica
Si nunca has hecho esto antes, lo primero es preguntar a tus amigos y contactos de negocios. Probablemente encontrarás a alguien que haya pasado por el proceso, así que contáctales y pide consejo.
Si realmente no encuentras a nadie, puedes contactar con un pre-auditor. Solo ten en cuenta que, comprensiblemente, intentarán venderte servicios.
De cualquier manera, es muy útil entender bien cómo funciona todo. Esto te ahorrará tiempo al final y te ayudará a obtener tu certificado ISO 27001 más rápido.
2. Comunica que estás trabajando en la implementación de ISO 27001
La gente valora que menciones que estás en proceso de implementar la ISO 27001. Estarán deseando saber que tendrán menos de qué preocuparse en un futuro próximo. Y eso, a su vez, ayudará a tus ventas y conversiones. Así que menciónalo en tu sitio web, en conversaciones de ventas, en LinkedIn y en otros lugares. Haz saber a tus usuarios que estás haciendo que tu producto sea más conforme.
3. Decidir qué estándar ISO 27001 implementar (2013, 2017 o 2022)
La versión de 2022 incorpora muchos más controles en cuanto a codificación segura y seguridad del software (por ejemplo, la detección de malware es un nuevo control). Esto implica un mayor esfuerzo de implementación que una versión anterior. Si opta por uno de los estándares más recientes, requerirá más controles, pero ya estará preparado para el futuro. Por lo tanto, probablemente sea mejor elegir la versión de 2022.
Consejo rápido: La certificación ISO 27001 requiere una auditoría completa cada tres años. Esto significa que es mejor no optar por la ISO 27001:2013, ya que solo será válida por otros dos años.
Cada versión del estándar ISO 27001 también enmarca el proceso de gestión de riesgos de manera diferente. La versión de 2022 incluye requisitos de certificación actualizados que reflejan los riesgos de ciberseguridad en evolución. Esto hace que sea importante para las empresas contar con un proceso robusto de gestión de riesgos para identificar, evaluar y mitigar estos riesgos.
Ten en cuenta que, si eres una empresa grande y madura, podrías preferir optar por la versión de 2017, ya que está más establecida y podría generar menos interrupciones en tus procesos existentes.
4. No externalices todo
Es arriesgado externalizar todo el proceso... Aunque es posible externalizar todo el proceso a una consultoría, yo lo desaconsejaría. Claro, un consultor puede ayudar, proporcionar plantillas y ese tipo de cosas. Pero si externalizas todo y te encuentras con un problema, necesitas saber cómo manejarlo. Mi consejo es tener al menos dos, y hasta cuatro, personas de la empresa involucradas.
Consejo rápido: ¡Recuerda que la auditoría final debe ser realizada por un organismo de certificación acreditado!
5. Obtén un pentest que tenga sentido para tu empresa
Si eres una empresa de software, deberías elegir un pentester que se centre en aspectos no cubiertos por herramientas automatizadas como OWASP ZAP. Opta por pentesters con experiencia como bug bounty hunters, en lugar de pentesters "de la vieja escuela".
6. Aproveche los estándares de cumplimiento y acelere
Ser ya compatible con SOC2 acelera el proceso para ser compatible con ISO. Y es bueno saber que, si eres compatible con ISO, NIS2 (una nueva regulación aplicable en la UE) será más fácil.
Consejo rápido: Verifica que tu auditor haya sido auditado (es un requisito). No te conformes con alguien sin las credenciales adecuadas o podrías ser engañado.
7. Date cuenta de que nadie es perfecto
La auditoría final siempre encontrará no conformidades y está bien ser imperfecto. Pero debes conocer esas imperfecciones y asegurarte de tener un plan de acción formal para resolver los problemas. Es un proceso de mejora continua que, en última instancia, conducirá a una mejor seguridad en toda tu empresa. Claro, quizás nunca alcances la 'perfección', ¡pero debes hacer todo lo posible para lograrlo!
8. Empieza pronto a implementar herramientas que cubran los controles ISO
Si considera obtener la conformidad ISO, siempre es una buena idea hacer una prueba de las herramientas que le ayudarán a cubrir ciertos controles (y también a producir la evidencia que necesita).
Por ejemplo, la ISO requiere que implementes ciertos procesos relacionados con el personal. Por ejemplo, la incorporación, la desvinculación, las verificaciones de antecedentes, la asignación y la recuperación de activos de la empresa. Tener estos procesos implementados en un sistema de información de recursos humanos (HRIS) como Officient, Personio o Workday, te ayudará a empezar con buen pie en el momento en que necesites presentar tus pruebas para la ISO.
Lo mismo ocurre con Aikido, que ya realiza comprobaciones en 22 controles y genera un informe ISO 27001 completo. Es otro gran ejemplo de cómo adelantarse en la preparación para tu ISO.
Gestión técnica de vulnerabilidades ISO 27001:2022
¿En tu propio camino hacia la certificación ISO 27001:2022? Nuestra plataforma, Aikido Security, satisface todas las necesidades técnicas de gestión de vulnerabilidades para aplicaciones ISO 27001:2022. También hemos decidido asociarnos con plataformas de monitorización del cumplimiento (como Vanta o Drata) para sincronizar fácilmente los datos y asegurar que tu información de vulnerabilidades esté siempre actualizada. Esto te ayuda a mantenerte fácilmente al tanto de tu postura de seguridad.
Solicitar nuestro informe
No dudes en solicitar nuestro certificado ISO 27001:2022 directamente en nuestra página de resumen de seguridad. ¡Estamos encantados de compartir los frutos de nuestro arduo trabajo! 😉
Espero que esta entrada de blog te sea útil. Sin duda, ojalá hubiera conocido todos estos consejos cuando empezamos el proceso. Si estás explorando la certificación ISO, conecta conmigo en LinkedIn y estaré encantado de compartir mis conocimientos.
Protege tu software ahora.
.jpg)
.avif)
