Ferran Galcerà es Socio fundador de MGA Consultant y consultor de la norma ISO 27001 en IEC desde hace 3 años. Hablamos con él para compartir su visión sobre las ventajas y retos que supone la experiencia de implementación de la ISO 27001.
¿Podrías describir cómo fue el proceso de implementación de ISO 27001 en nuestra organización y los principales desafíos que encontraste?
En primer lugar, IEC ya contaba con un sistema de gestión basado en la norma ISO 9001, y en el momento de la implementación es una ventaja por estar acostumbrados a la metodología de trabajo de las normas ISO. En el proceso de implementación de ISO 27001 realizamos una evaluación inicial de la situación de la seguridad de la información, definimos el alcance, que en el caso de IEC era el mismo que el de la ISO 9001, la identificación y evaluación de riesgos, la implementación de controles de seguridad adecuados, la preparación de los nuevos procedimientos de seguridad y la adaptación de los procedimientos comunes del sistema de gestión a la nueva norma. Asimismo, se realizó una formación en seguridad de la información a los empleados y una más específica a la Responsable del Sistema y Dirección. Finalmente se realizó la auditoría interna y la auditoría externa por parte de la certificadora.
Como IEC ya contaba con buenos recursos informáticos, el principal desafío que se encontró, y el más habitual, es la falta de procedimientos escritos de seguridad, así como tener inventariados todos los activos participantes en la seguridad de la información.
Bajo tu guía, ¿cómo ha mejorado nuestra estrategia de gestión de riesgos de seguridad de la información desde la implementación de ISO 27001?
La estrategia de gestión de riesgos de seguridad de la información puede haber mejorado al enfocarse en la identificación proactiva de riesgos, la implementación de controles más efectivos, la mejora de la capacidad de respuesta ante incidentes y la integración de la seguridad de la información en todas las áreas de la organización. Además, se han establecido mecanismos de monitoreo y revisión continua para garantizar que el SGSI se mantenga actualizado y sea efectivo en la gestión de los riesgos de seguridad de la información.
¿Cuáles son los beneficios más significativos que ha experimentado nuestra organización desde que obtuvimos la certificación ISO 27001?
Algunos de los beneficios más significativos son la inclusión de una mejora en la seguridad de la información, una mayor confianza de los clientes y partes interesadas, una reducción en los incidentes de seguridad, el cumplimiento normativo mejorado y una ventaja competitiva en el mercado.
ISO 27001 enfatiza la mejora continua. ¿Qué recomendaciones tienes para asegurar que nuestra gestión de seguridad de la información permanezca efectiva y actualizada?
Para garantizar la efectividad y la actualización continua de la gestión de seguridad de la información, es importante mantener un enfoque de mejora continua, realizar revisiones y auditorías periódicas, monitorear constantemente los cambios en el entorno de amenazas y tecnológico, realizar una formación continua al personal en seguridad de la información, y adaptar el SGSI a medida que evolucionan los riesgos y las necesidades de la organización.
Dado el rápido cambio en las amenazas de seguridad digital, ¿cómo puede nuestra organización mantenerse adaptativa y resiliente en el contexto de ISO 27001?
IEC debe estar al tanto de las últimas amenazas y tendencias en seguridad de la información, participar en actividades de intercambio de información y colaboración con otras organizaciones (INCIBE, CCN, etc…), mantener actualizados los controles de seguridad, realizar simulacros de incidentes y pruebas de penetración de manera regular, y fomentar una cultura de seguridad de la información en toda la organización. La flexibilidad y la capacidad de adaptación son clave para enfrentar los desafíos cambiantes en el panorama de la seguridad digital.