Por qué aún no tenemos la certificación ISO 27001

En ISMS Copilot, nos comprometemos a "predicar con el ejemplo". Al ser una herramienta creada por y para profesionales de la seguridad de la información, implementamos muchos de los controles que ayudamos a nuestros clientes a alcanzar, como el MFA obligatorio, la seguridad a nivel de fila para el aislamiento de datos, el escaneo automatizado de código y el monitoreo en tiempo real. Nuestra arquitectura ya se alinea con los requisitos clave del Anexo A de ISO 27001:2022 y los Criterios de Servicios de Confianza de SOC 2.

Dicho esto, somos transparentes: ISMS Copilot aún no cuenta con la certificación ISO 27001 ni con el informe SOC 2. A continuación, explicamos por qué y nuestro plan pragmático para el futuro.

Por qué aún no estamos certificados

Somos una startup autofinanciada (bootstrapped), sin inversores ni financiación externa. Nuestro pequeño equipo está liderado por el fundador/CEO, quien gestiona multitud de procesos, desde el desarrollo de producto hasta el cumplimiento, actuando como CEO, CISO, DPO, oficial de cumplimiento, product owner y responsable financiero, todo a la vez.

Esta realidad genera desafíos tangibles que dificultan la obtención de la certificación ISO 27001 en nuestra estructura de gestión actual:

Estructura de gestión

ISO 27001 presupone estructuras organizativas con segregación de funciones y supervisión independiente. En nuestra configuración actual:

• Redacto y apruebo mi propia documentación: desde las políticas de seguridad hasta las evaluaciones de riesgos, no hay un revisor independiente porque yo ocupo la mayoría de los roles. Incluso si el área de ingeniería fuera un rol separado, yo sería el aprobador de la mayoría de las políticas que redacto.

• Revisiones por la dirección = reflexión individual: cuando la "revisión por la dirección" consiste en que yo mismo revise mi propio trabajo, se trata de una autoevaluación sin las diversas perspectivas que esperan los auditores. Aunque podemos contratar consultores externos para realizar auditorías internas y aportar otros puntos de vista al SGSI, la revisión por la dirección no se puede externalizar.

• Solapamiento entre liderazgo e implementación: asumo simultáneamente el compromiso con la seguridad como CEO y su implementación como CISO, lo que no ofrece la separación de roles que recomienda la norma ISO 27001 para garantizar capas de responsabilidad diferenciadas (Cláusulas 5.1 y 5.3). Como fundador, tengo la responsabilidad total de todos los aspectos, pero la intención de la norma requiere una división más estructurada para una certificación formal.

Priorización de recursos

Como empresa autofinanciada, crecemos haciendo felices a nuestros clientes: consultores de ciberseguridad, auditores y equipos de cumplimiento que confían en nosotros para sus implementaciones de ISO 27001. Hemos priorizado:

• Controles de seguridad tangibles que protegen directamente a los usuarios (cifrado, controles de acceso, monitoreo) por encima de los procesos formales de certificación.

• Funcionalidades del producto que ayudan a nuestros colegas profesionales de ISO 27001 y GRC a tener éxito en sus propios procesos de cumplimiento.

• Valor para el cliente mediante la generación de documentos impulsada por IA, el mapeo de marcos normativos y la automatización del cumplimiento.

Reinvertimos los ingresos de los usuarios satisfechos en mejoras constantes en lugar de desviar recursos significativos a la certificación mientras seguimos siendo un equipo muy pequeño.

Cuándo planeamos certificarnos

Buscaremos la certificación ISO 27001 y el informe SOC 2 a medida que ampliemos nuestro equipo, incorporando roles como un especialista en cumplimiento dedicado e ingenieros adicionales. Este crecimiento se producirá de forma orgánica a partir del éxito de los clientes: al ayudar a los profesionales de ISO 27001 y GRC a agilizar su trabajo, generamos los ingresos para escalar de forma responsable.

Una vez que el equipo sea más grande, formalizaremos los requisitos organizativos restantes:

• Revisiones por la dirección independientes con múltiples partes interesadas.

• Planes de tratamiento de riesgos documentados con flujos de trabajo de aprobación separados.

• Procedimientos de continuidad de negocio con asignaciones de roles designadas.

• Programas de auditoría interna con verdadera independencia.

Aprovecharemos nuestro propio producto para acelerar este proceso, predicando con el ejemplo al usar ISMS Copilot para actualizar nuestras políticas, mapear controles y mantener la evidencia.

Nuestra postura de seguridad actual

Aunque aún no estamos certificados, hemos implementado controles de seguridad robustos que se alinean con los estándares de la industria:

• Autenticación multi-factor obligatoria

• Seguridad a nivel de fila para un aislamiento total de los datos entre espacios de trabajo

• Escaneo automatizado de código con hallazgos clasificados

• Recuperación en un punto en el tiempo para una mayor resiliencia

• Seguimiento y monitoreo de errores en tiempo real

• Cifrado en reposo y en tránsito

• Protección contra DDoS y limitación de tasa (rate limiting)

• Cumplimiento del RGPD por diseño con retención de datos controlada por el usuario

Para más detalles sobre nuestros controles implementados, consulte nuestra Descripción general de seguridad y protección de datos y nuestras Políticas de seguridad.

¿Preguntas sobre nuestra seguridad?

Estamos a su disposición para analizar cómo nuestra postura de seguridad actual se adapta a sus necesidades. Si es cliente o cliente potencial y tiene preguntas sobre nuestros controles, estado de cumplimiento o nuestra hoja de ruta de certificación, póngase en contacto con nosotros. Además, cuando tenemos recursos suficientes para implementar un control, estaremos encantados de hacerlo o, al menos, de planificarlo, así que no dude en preguntar.