El seminario web sobre la norma ISO 27001 impartido por Etienne LAZARZGRC Project Manager en MyTower, acompañado por Nicolas MOTTEJefe de Servicios GRC en Lyvoc, y Ben RENAUDINEAUEjecutivo de cuentas en Drata.
Antecedentes y puesta en marcha del proyecto ISO
El proyecto de conformidad con la norma ISO comenzó en junio de 2024. Desde el principio, nos enfrentamos a una falta de conocimientos internos sobre el tema, aparte de algunas sesiones de formación puntuales recibidas por los equipos de desarrollo. En aquel momento, no existía formación específica sobre seguridad, y aunque ya se aplicaban algunas buenas prácticas a nivel técnico, sobre todo en la nube, el principal reto residía en los plazos impuestos: había que lograr la conformidad antes de finales de 2024, una exigencia tanto más acuciante cuanto que nuestros clientes esperaban un rigor absoluto en materia de ISO.
Así que el primer paso fue encontrar un socio externo capaz de apoyarnos. Gracias a nuestra red, y al apoyo de socios como Live, así como de auditores especializados en gestión de riesgos y auditorías de certificación, pudimos recopilar rápidamente los datos necesarios. Esto nos permitió poner en marcha el proyecto en solo dos semanas, ahorrándonos un tiempo valioso y reduciendo costes.
A partir de agosto de 2024, durante el periodo de vacaciones, pudimos realizar una evaluación de riesgos y elaborar un plan de tratamiento. El objetivo era vincular cada riesgo identificado a los controles de la plataforma de datos.
La segunda fase consistió en una revisión de las políticas internas, los controles y la gestión de las reclamaciones, todo ello llevado a cabo simultáneamente. Esta multitarea resultó especialmente intensa, dados los plazos impuestos.
Las políticas se redactaron a lo largo de cuatro meses, utilizando modelos y datos recopilados. Empezar de cero en este tipo de proyecto es un verdadero reto, pero contar con modelos a partir de los cuales trabajar fue una gran ventaja.
Por último, es importante subrayar que la gestión de los controles es un proceso continuo: siempre hay elementos que ajustar para seguir cumpliendo los requisitos de auditoría. Es un trabajo de equipo a largo plazo, en el que participa todo nuestro personal.
Finalización del proyecto: establecimiento de procedimientos y preparación de auditorías
La última etapa del proyecto consistió en revisar y formalizar los procedimientos internos, una tarea esencial que idealmente debería haberse previsto, pero que surgió de forma natural con la preparación de las auditorías.
Por ello, hemos introducido los PNT (Procedimientos Operativos Estándar). Estos SOP proporcionan una descripción precisa del flujo de trabajo interno en MyTower, y son generalmente el segundo punto analizado por los auditores después de la auditoría de las políticas de seguridad. El objetivo es doble: demostrar que los procedimientos existen y que se aplican efectivamente en el día a día.
Este trabajo, aunque de carácter continuo, pudo estructurarse eficazmente: la primera versión de los procedimientos se elaboró en dos o tres semanas, con la inestimable ayuda de nuestros socios Lyvoc y Drata. Nos ayudaron a elaborar los PNT,entrevistar al personal y preparar toda la documentación necesaria para la auditoría.
Auditorías: un proceso paso a paso
Se realizó una auditoría interna a medio plazo, en diciembre de 2024, seguida de laauditoría de certificación en dos fases: la primera a finales de diciembre y la segunda en enero de 2025.
Es crucial anticipar la elección de los auditores. Empezamos a buscar perfiles ya en septiembre, para asegurarnos de que se ajustaban a nuestras necesidades, estarían disponibles y conocían las particularidades de nuestro sector y nuestro proyecto.
La plataforma de datos que utilizamos también nos ha ayudado mucho, sobre todo en lo que respecta a las alertas, los controles y las comprobaciones vinculadas al sistema de información. Esto nos ha permitido alinear nuestras prácticas con el marco de cumplimiento previsto a lo largo del año.
Factores clave del éxito
Para resumir los elementos clave del proyecto, destacan varios puntos:
- La multitarea era esencial: la redacción simultánea de políticas, procedimientos, el plan de tratamiento y las auditorías representaban un reto diario.
- El uso de herramientas como Drata y Lyvoc ha permitido claramente estructurar el trabajo, automatizar algunos controles y centralizar la documentación.
- El compromiso de la alta dirección fue el principal factor de éxito. Obtener la certificación ISO en seis o siete meses es inconcebible sin el apoyo firme y constante de la alta dirección.
- La movilización del personal también fue decisiva, en particular para la redacción de procedimientos y políticas, pero también para garantizar el cumplimiento técnico (por ejemplo, asegurándose de que cada puesto de trabajo estuviera listo y fuera conforme antes de la auditoría).
- Por último, la elección de los auditores es estratégica: no todos los auditores trabajan de la misma manera, y algunos dan más importancia a determinadas normas o a la estructura del documento. Por lo tanto, es esencial seleccionarlos cuidadosamente de antemano.
