Consejos para afrontar un proceso de certificación con éxito
Afrontar un proceso de certificación requiere una reflexión previa. Hay que tener claros los objetivos que deseamos, los medios con los que contamos y sobre todo tener la confianza de que nuestra dirección nos apoya.
Dar recomendaciones para afrontar un proceso de certificación en la norma ISO 27001 no es sencillo. Cada empresa es un mundo completamente diferente y los objetivos que persigue cada una pueden ser muy dispares. Sin embargo, a continuación, le dejamos algunos consejos que pueden ser de gran ayuda al enfrentarse a un ciclo de certificación.
- Entender a qué nos estamos enfrentando: Antes de empezar, debemos saber qué es un SGSI y qué aporta a la organización. Es importante saber que un SGSI afectará a toda la organización y, por lo tanto, debemos estar preparados para ello.
- Tomar decisiones antes de empezar: Es esencial tener claro cuál es el objetivo de nuestro Sistema de Gestión. No podemos embarcarnos en establecer un SGSI sin saber a dónde queremos llegar.
- Contar con el apoyo de la Dirección: Alguno de los cambios que se abordarán para dar respuesta al Sistema de Gestión supondrán un cambio cultural muy importante. La forma de trabajo puede cambiar y los directores y responsables del negocio deben estar completamente involucrados en el SGSI ya que, sin ellos, estaremos mas cerca del fracaso que de conseguir nuestros objetivos.
- Conocer los riesgos de nuestra organización: Emprender un proceso de certificación supone, en algunas ocasiones, un cambio cultural importante en las organizaciones. Considerar los riesgos a los estamos sometidos es un excelente punto de partida que nos ayudará a priorizar las actividades de nuestro Sistema de Gestión .
- Argumentar el gasto de las medidas de seguridad: Al enfrentarnos a un proceso de certificación, es posible que debamos enfrentarnos a gastos no planificados. Ser capaces de argumentar el motivo de los gastos y hacer ver a la Dirección los beneficios que a corto y medio plazo va a tener ese gasto, son la clave para no recibir un no por respuesta.
- Simplificar: Es esencial tender a simplificar y abarcar las situaciones con paciencia. Embarcarse en grandes cambios, harán que las posibilidades de éxito se reduzcan drásticamente.
- Ser capaces de establecer procesos repetibles: Uno de los factores de éxito más importante es, sin duda, conseguir que los procesos que se establezcan resulten sencillos de entender para los usuarios y, sobre todo, que puedan ser reutilizables para otras actividades de la empresa.
- Establecer métricas que permitan medir nuestras actividades: Evaluar el grado de avance de nuestras actividades es fundamental. Ser capaces de identificar si lo que estamos haciendo va por buen o mal camino es imprescindible. Trabajar sin medir lo que estamos haciendo nos hará perder el control de la situación. Argumentar con datos las decisiones es, sin duda, un paso ganado. Fijar un objetivo medible y comparable nos ayudará a entender si estamos haciendo bien o mal nuestro trabajo.