Certificando que es gerundio, ¡27001!

Para quien no lo conozca, la ISO 27001 es una norma desarrollada con el propósito de ayudar a gestionar la Seguridad de la Información en una empresa, esta norma es interesante de implantar en aquellas empresas que cuentan con activos de información imprescindibles y cuya gestión y almacenamiento deben ser meticulosamente cuidados.

Desde hoy podemos anunciar que después de muchos meses de duro trabajo, documentación y formación, Five Flames Mobile ha obtenido la certificación 27001, otorgada por la entidad certificadora AENOR. Este nuevo paso de excelencia no solo aporta un gran valor a la empresa, sino también a los servicios que proporciona a todos sus clientes.

¿Por qué hemos decidido implantarla?

La principal razón ha sido que después de tantos años en los que hemos ido evolucionando nuestra forma de trabajar, con nuevas formas de desarrollo enfocadas a la seguridad, con nuevos procesos de pruebas y verificación de la calidad, con mejores procesos de gestión del talento y de los recursos humanos, queríamos tener una base estandarizada que nos pudiera indicar cómo de bien (o de mal) lo estábamos haciendo y sobre todo que nos ayudara a identificar aquellas áreas de mejora posible sobre las que seguir trabajando en los años venideros.

¿Cómo ha sido el proceso?

Aunque existe la posibilidad de contratar empresas especializadas en consultoría que pueden ayudarte en el proceso de análisis y preparación para la certificación, y después de barajar algunas de ellas, decidimos realizar todo el proceso por nosotros mismos, por varios motivos:

– Nadie mejor que nosotros conoce nuestra empresa (lo bueno y lo malo)

– Creíamos que iba a ser un ejercicio de reflexión interior que nos podía venir muy bien. En ocasiones, hay actuaciones, médidas o procedimientos, que metido en la vorágine del día a día no te paras a pensar y que pueden llegar a ser importantes, y es necesario saber si lo estás haciendo mal (o no del todo bien).

– Pasar por todo el proceso, es en cierto modo, parte del proceso.

Por lo tanto, una vez decidido que nos íbamos a encargar internamente, el proceso comenzó con un tiempo de autoformación acerca de la certificación, la norma, consejos y buenas prácticas, ejemplos… La web está llena de información al respecto, aun así y para tomárselo en serio sigue siendo vital la compra oficial de los documentos de la norma (27001) y de los controles (27002), no tienen un coste exagerado y por lo tanto son una buena inversión.

Después de un par de meses de formación, comenzó un proceso algo tedioso de análisis de la situación actual de la empresa y del escenario al que queríamos llegar. Con la información de ambos puntos, comenzamos a trazar la planificación de los pasos a dar en los meses siguientes para llegar al objetivo.

El trabajo durante esos meses, en los que dividimos los diferentes procesos, consistió básicamente en tres pasos: analizar cómo se estaba realizando el proceso o acción actualmente, realizar las actuaciones de mejora necesarias para alcanzar el objetivo y documentar todo (tanto el proceso en sí, como las acciones de mejora realizadas). Y así para una gran cantidad de procesos ….

Después, cuando creíamos que ya lo teníamos, buscamos una entidad certificadora y solicitamos el comienzo del proceso de certificación. Este proceso se compone de varias fases, alguna de las cuales se ha realizado de forma remota (es lo que toca en estos tiempos). Durante la revisión de las fases, el auditor detecta una serie de puntos que se pueden mejorar o que directamente no están conformes con la norma (en mayor o menor medida) y se dispone de cierto tiempo para subsanar la situación hasta el comienzo de la siguiente fase.

¿Cuanto tiempo os ha llevado implantar la ISO 27001?

Para la obteción de la certificación podemos distinguir entre el tiempo efectivo y el tiempo físico de trabajo y por último, el tiempo de implantación de la norma.

Para este último paso, podríamos hablar de un plazo de unos ocho meses, tiempo durante el cual nos formamos, analizamos la empresa y procedimos a documentar todo lo necesario. Posteriormente, el tiempo físico necesario para la obtención de la certificación ha sido de unos cuatro meses, y el trabajo efectivo para la obtención de la certificación (auditorías, subsanación, documentación…) de un mes más o menos.

¿Qué habéis descubierto?

Finalmente, y quizá el punto más importante, durante todo el proceso, hemos descubierto varias cosas:

– Lo primero, que aunque contratar a una empresa externa para ayudarnos podría haber acortado el plazo de preparación, desde nuestro punto de vista, el ahorro en tiempo con respecto al ahorro en coste no nos habría compensado, por que aunque alguien te diga lo que tienes que hacer, nadie conoce mejor tu empresa que tú mismo y por lo tanto hay una cantidad de trabajo enorme que nadie va a poder hacer por ti. Por ello, y siempre teniendo en cuenta que es nuestra opinión y que aplica para nuestro caso, creemos que fue una buena idea hacer la preparación por nuestros propios medios.

– Lo segundo, que al igual que otros muchos seguro, la mayor parte de las «cosas» las estábamos ya haciendo bien de forma orgánica y natural, y que simplemente lo que nos hacía falta era mejorar el nivel de madurez del proceso en cuestión, lo que implica procedimentar, documentar y sobre todo medir resultados y evolución (p.e. por supuesto que tenemos un repositorio de código y que controlamos quién y cuándo se puede acceder a él, pero en una empresa de 20 personas, nunca nos habíamos planteado el definir por escrito un proceso que defina los pasos a seguir para un alta o baja, ahora lo tenemos escrito y nos ayudará cuando aumentemos la plantilla y en vez de ser 20 seamos 40, 50, 100).

– Tercero, del mismo modo que muchas tareas las estábamos haciendo bien de forma natural o mediante el aprendizaje de lo que nos ha funcionado y lo que no a lo largo de los años, otras no las estábamos haciendo tan bien, o las estábamos haciendo directamente mal. Con respecto a estas últimas, por mal afortunadamente no nos referimos a realizar acciones erróneas ni procesos mal planteados (cuando ha ocurrido esto, tu propio negocio te dice que algo no funciona y lo vas mejorando o cambiando o no podrías sobrevivir), sino simplemente a procesos no documentados, incompletos o incluso a procesos que estábamos realizando y de los que ni siquiera éramos conscientes al no darles importancia o no considerarlos como tal (especial hincapié en este punto a los cientos de controles de la norma 27002)

Por último y como resumen, creemos de verdad que, aunque ha sido un proceso de trabajo duro, nos ha permitido mejorar considerablemente, y aunque mucho del trabajo es papeleo (literalmente), el pararte a pensar cómo se están haciendo las cosas, en qué se puede mejorar, marcar objetivos tangibles y hacer seguimiento para que los cambios se produzcan, al final, se traduce en resultados reales de mejora.

Ahora, por supuesto, a continuar mejorando (lo que también es parte del proceso) y a seguir avanzando para hacer, cada vez, nuestro trabajo mejor y que esto redunde en el beneficio de todos, empleados y clientes.

Cesta de compras