¿Cómo obtener la certificación ISO 27001? La experiencia de PayFit

Obtener una certificación puede llegar a ser un proceso difícil, especialmente si es para una empresa joven. Antes de empezar cualquier proceso de certificación, te preguntarás ¿por dónde empezar? ¿Necesitarás ayuda? Y es que efectivamente, los procesos relacionados con la seguridad son los más complicados. La seguridad se ha convertido en un tema crucial para las empresas, sea cual sea su tamaño.

En PayFit iniciamos el proceso de certificación ISO 27001 en 2018*. Lo recibimos dos años después, en septiembre de 2020. Cuando decidimos empezar el proceso de certificación no sabíamos como empezar y tampoco podíamos contar con la experiencia de otras empresas similares a la nuestra ni con consejos que nos pudiesen ayudar en el proceso.

Por eso hoy compartimos nuestra experiencia y consejos a quienes quieran embarcarse en esta aventura. Guillaume Gohin, Director de Seguridad de Sistemas de Información, fue la persona líder en el proceso de obtención del certificado ISO 27001 en PayFit y hoy, contamos con su opinión después de todo el proceso.

¿Por qué PayFit decide conseguir la certificación ISO 27001?

En PayFit, la seguridad es una de nuestras prioridades en el desarrollo de la plataforma. Es una parte integral de nuestro producto. Debido a la naturaleza de nuestro negocio, gestión de nóminas y RRHH, lidiamos con datos sensibles de las empresas y sus trabajadores, personales y confidenciales. Es por eso que garantizamos un producto seguro.

"Dado que la seguridad es parte de nuestro producto, también queremos que la seguridad sea la parte integral de todos nuestros proyectos de trabajo y de la cultura de empresa".

PayFit sigue creciendo con fuerza en Europa. A día de hoy, ya operamos en cinco países diferentes por lo que trabajamos bajo cinco sistemas legislativos diferentes. El crecimiento, a nivel de producto y también de clientes, implicaba la necesidad de contar con un marco que nos permitiera organizar todas nuestras operaciones con un nivel estándar de seguridad global.

¿Cómo empezó el proceso de certificación?

Empezamos a investigar la posibilidad de obtener la certificación a finales de 2018. Ya no bastaba con decirlo, queríamos ir más allá y dar fe de la fiabilidad del sistema de seguridad con una certificación.

La norma ISO 27001 es reconocida internacionalmente y cubre más de 150 puntos de control. Certifica todos los productos y servicios de una empresa sin excepción. Cubre la seguridad de una aplicación y también de toda la organización. 

Paralelamente, hicimos una "lista de referencias" de empresas que habían conseguido previamente la certificación y podrían asesorarnos. Desafortunadamente, no hay mucha información disponible sobre este tema. Entonces pensamos que podría ser bueno contar con un tercero para gestionar el proceso de certificación. Por eso, a principios de 2019, BSI Group, un organismo de certificación, empezó a apoyarnos en todo el proceso de certificación.

¿Cómo fueron los pasos del proceso de certificación?

Había 5 pasos principales:

• Formación;

• Conseguir y completar la documentación básica;

• Practicar con una auditoría simulada;

• Pasar la auditoría de documentación de nivel 1, denominada "Etapa 1";

• Pasar la auditoría de nivel 2, llamada "etapa 2".

Paso 1: Formación interna (5 días)

Para empezar, la formación era nuestra prioridad. La recomendación es que al menos una persona de la empresa se capacite para poder realizar la auditoría.

En PayFit, dos de nosotros completamos la formación de 5 días con BSI Group. Anne-Flore de Belenet, Directora Jurídica, y Guillaume Gohin, Director de Seguridad y Sistemas de la información, pasaron la certificación de seguridad, "Auditor líder ISO 27001".

Paso 2 - Fase de documentación: completar la estrategia y los controles operativos (1 año y medio)

A partir de junio de 2019, creamos los documentos fundamentales que formaron la base de nuestra seguridad diaria siguiendo la norma ISO 27001. Concretamente, estos documentos incluyen 114 controles específicos y altamente operativos, divididos en 9 políticas principales:

• Política de seguridad general;

• Seguridad de las operaciones;

• Seguridad del desarrollo;

• Plan de respuesta a incidentes;

• Manual del sistema de información;

• Continuidad del negocio;

• Relaciones con proveedores;

• Gestión de acceso y recursos;

• Seguridad física y de equipos.

Para nosotros esto implicó, por ejemplo, establecer un procedimiento para la llegada de nuevos empleados y crear un plan de formación en seguridad para los empleados, etc.

La empresa tiene que marcar estos 114 controles específicos para poder pasar al siguiente paso. En este momento es cuando se define la política de seguridad y se realiza un análisis de riesgos completo en la organización, para todos los roles y operaciones.

Para obtener la certificación, se deben aprobar dos auditorías. La primera auditoría hace referencia a la documentación de la empresa y constituye el nivel 1, conocido como "Etapa 1". Luego, la auditoría de nivel 2, conocida como "Etapa 2", verificará si los procesos y organización de la empresa se corresponden con la documentación establecida en la etapa previa.

Durante estas inspecciones, hay 3 tipos de anomalías:

• Observaciones: el auditor da consejos para mejorar un punto, pero sigue siendo un nivel informativo.

• Anomalías menores: la auditoría no se ve comprometida, siempre que la empresa se comprometa a corregir la anomalía, organizando un plan para corregirla (quién va a estar involucrado, cuándo, cómo, etc.). Varias anomalías menores pueden convertirse en mayores.

• Grandes anomalías: la empresa no pasa la auditoría.

Paso 3: Auditoría simulada, comparando nuestra documentación con la realidad (después de 6 meses de preparación de la auditoría)

Antes de la auditoría de nivel 1, organizamos una auditoría simulada con BSI Group. Luego, simulamos una auditoría de nivel 2 para evaluar nuestro progreso. Hasta entonces, nos habíamos centrado mucho en la documentación, pero todavía era muy teórico y queríamos ponernos a prueba en la práctica. Esta simulación resultó ser extremadamente útil y nos permitió hacer un balance de nuestro progreso. Tras esta evaluación simulada,  pasamos al nivel 1 en junio de 2020.

Paso 4 - La auditoría de "Nivel 1", presentando la documentación de manera sólida (6 meses)

Comenzamos a prepararnos para la auditoría de Nivel 1 en enero de 2020. Este paso inicial tenía dos objetivos específicos:

• Mejorar los procesos, ver lo que falta y hacer un nuevo plan para alcanzar el nivel requerido. Junto con el auditor, revisamos todos los documentos básicos que se habían creado, para asegurarnos de que coincidían con los requisitos de la norma;

• Presentar los resultados de todo el trabajo realizado al equipo directivo. En concreto, se trataba de una reunión con todos los jefes de departamento, donde se presentan las diferentes políticas puestas en marcha y los indicadores de desempeño, el éxito de las acciones implementadas hasta ahora y todo lo que queda por hacer: todo lo que pueda requerir su validación así como su apoyo.

En PayFit, hemos tenido el apoyo total del equipo directivo, quienes han sido muy proactivos ayudándonos. El proyecto de conseguir la certificación ISO 27001 ha sido impulsado gracias a la voluntad compartida de implementar mejoras, así como por la agilidad que PayFit lleva en su ADN. 

Paso 5: La auditoría de "Nivel 2", obteniendo la certificación mediante 150 verificaciones (4 meses)

La segunda auditoría tuvo lugar a finales de julio. Se llevó a cabo en todas las sedes de la empresa, es decir, en los cuatro países en los que estamos presentes (Alemania, España, Francia y Reino Unido). Luego, el auditor comparó la documentación con las prácticas realizadas por la empresa en más de 150 controles específicos, como lo requiere la norma. Por ejemplo, analizamos nuestros procesos y medidas de seguridad a lo largo del ciclo de desarrollo de una función específica de la plataforma. También revisamos el acceso y los materiales disponibles para un empleado, seleccionando algunos empleados al azar.

Siendo honestos, hemos estado trabajando dos años para obtener la certificación, y nos habríamos decepcionado mucho si nuestros esfuerzos no hubieran dado sus frutos. Pero finalmente, haciendo las cosas bien, pasamos la segunda auditoría y obtuvimos la certificación del ISO 27001 en septiembre de 2020.

¿Qué esperaba PayFit de la certificación ISO 27001?

Obtener la certificación ISO 27001 ha sido una noticia fantástica. En primer lugar, tiene un impacto externo increíble. Poder mostrar la certificación nos permite cambiar nuestra imagen al mostrar que PayFit está creciendo a la vez que se vuelve más fuerte y más segura. Pasamos de afirmaciones vagas a pruebas muy concretas de nuestros compromisos. La certificación ofrece una garantía a todos los grupos de interés de la empresa de que están trabajando con una plataforma plenamente comprometida con la seguridad: clientes, proveedores y socios. El hecho de haber conseguido la certificación está teniendo un impacto en la captación de nuevos clientes. Cuando buscan elegir una solución para gestionar las nóminas y los RRHH de su empresa, la seguridad es un factor decisivo para la mayoría de ellos.

Internamente, estar certificado requiere y demuestra una fuerte voluntad de comprometerse a largo plazo con los problemas de seguridad de nuestro software.

¿Qué hay que hacer para mantener esta certificación a lo largo del tiempo?

El sistema de información se audita en un momento dado, pero eso no significa que la empresa no continúe esforzándose para mantener la seguridad en la empresa. Durante la auditoría se fijan objetivos que tendrán que cumplirse ya que cada tres años se realiza una auditoría completa con controles cada año para comprobar que todo sigue funcionando como establecido.

Hoy en día, todos nuestros empleados están formados en seguridad, en su semana de onboarding se les hace una formación específica en seguridad y al menos una vez al año, hacemos formaciones para todos los empleados del trabajo. Es un proceso obligatorio, pero es sumamente positivo. Tener una formación específica en seguridad y saber hacer un buen uso de la tecnología destaca la posición de nuestra organización. Las malas praxis se convierten en problema para toda la empresa y para todos los empleados, no solo para el equipo de IT. 

De esta manera, nos aseguramos de que todos los PayFiters entienden cómo un incumplimiento de procedimientos puede afectar a toda la empresa y especialmente al producto que vamos desarrollando.

¿Cuál fue la parte más complicada del proceso?

El paso de documentación inicial fue el más difícil para nosotros. Tuvimos que anotar todas las acciones que la empresa iba a implementar para cumplir la norma, pasar las auditorías y obtener la certificación. El proceso teórico fue complicado, tuvimos que recopilar mucha información y en general, la creación de este tipo de proyecto es un proceso largo y tedioso, especialmente porque teníamos poca experiencia en esta área.

La gestión del cambio es la parte complicada en las empresas, especialmente en aquellas con miles de empleados. Si se encuentra alguna anomalía en algún proceso interno de algún departamento, se tiene que pedir a ese departamento que agreguen o cambien sus procesos y hábitos diarios. Por lo que se necesita contar con el equipo directivo para apoyar las decisiones sobre nuevas maneras de hacer ese mismo proceso pero en línea con la norma.

En PayFit, con 500 empleados, no tuvimos este problema. Prácticamente desde que PayFit empezó, se instauró el departamento de Seguridad, el cual ha trabajado como cualquier otro con el objetivo de hacer todos los procesos de los departamentos seguros.

¿Qué compromisos tuvimos que hacer para conseguir la certificación?

Cuando decides fortalecer los procesos de seguridad de tu empresa, sabes que vas  tener que renunciar a un poco de agilidad ya que se ponen en marcha más procesos, especialmente para las relaciones con terceros (proveedores, socios, etc.). 

Al final, los compromisos que haces para obtener la certificación traen resultados positivos. En primer lugar, incluir la seguridad en las actividades de crecimiento de una empresa y como pilar principal de una organización es fundamental, especialmente cuando se está en contacto con datos sensibles, como lo hace PayFit.

En segundo lugar, hay que saber encontrar el equilibrio adecuado entre agilidad y seguridad. Para nosotros, el equilibrio lo encontramos en la innovación, tanto en desarrollo como en seguridad.

Guillaume Gohin da consejos para empezar el proceso de certificación

1. Hacer las cosas en el orden correcto sin iniciar un proceso de certificación si la seguridad no es un tema estratégico para la empresa. Las normas están ahí para aprobar un sistema que es existente en la empresa.

2. Tener voluntad para comprometer a la empresa con cuestiones de seguridad a largo plazo:

Involucrar a los fundadores y la dirección en el proceso 

Hacer de la seguridad un pilar estructural para la empresa. La seguridad es un problema diario que forma parte integral de todas las operaciones de las empresas tecnológicas.

3. Disponer de un presupuesto adecuado: auditorías reales y simuladas, soporte, herramientas, etc. Contar con las herramientas necesarias para pasar las auditorías y conseguir la certificació

Realizar una auditoría simulada: esto te va a permitir hacer un balance de tu situación y mejorar lo que necesitas mejorar antes de la gran inspección.

4. Configurar las herramientas necesarias para obtener el estándar:

Como la herramienta de gestión centralizada para gestionar la seguridad de los equipos (JAMF en PayFit) o ​​verificación de antecedentes para nuevos empleados que no se realizaron antes (diploma, identidad, última experiencia).

5. Hacer una auditoría: Esto te permitirá hacer un balance de tu situación y mejorar lo que haga falta antes de la gran inspección.

6. Forma a tus equipos:  - Tener al menos una persona certificada como auditor ISO 27001.

- Capacitar a todos los empleados en seguridad.

7. Proporcionar comunicación sobre cuestiones de seguridad: En general, la gente piensa que la "seguridad" solo significa "confidencialidad". Para los desarrolladores y las personas dedicadas en tecnología, la seguridad significa "integridad".

8. Comunica y mantén la certificación visible: La certificación ISO 27001 también incluye una sección de respuesta a incidentes y a seguridad empresarial, por lo que comunicar sobre el proceso de certificación ayuda a posicionarse como empresa integra, segura y fiable. Por lo que si finalmente, obtienes tu certificado, ¡no dudes en hacerlo!