Con las auditorías ISO actualmente en espera debido a la pandemia de Covid-19, ha habido mucho furor en torno a miles de certificaciones potencialmente caducadas. Algunas empresas afectadas pueden hacer caso omiso de esto; después de todo, no le impedirá hacer negocios.
Sin embargo, la realidad es que las ISO suelen ser elementos cruciales dentro de las obligaciones contractuales. En muchos casos, las certificaciones que posee su empresa forman parte de la razón por la que muchos clientes o socios han optado por hacer negocios con usted.
Tome ISO 27001, por ejemplo. Esta certificación proporciona a otras empresas la garantía de que cuenta con un sistema de gestión de seguridad sólido y que se evalúa de forma independiente frente al marco internacional. En caso de que la certificación caduque, los contratos con clientes y socios que se aseguraron por el hecho de que la certificación estaba en vigor podrían incumplirse. Además, su reputación y las relaciones con los clientes podrían estar en juego.
Y no son solo las relaciones existentes las que se ven afectadas. Al permitir que la certificación caduque, también corre el riesgo de perder nuevas oportunidades comerciales de posibles clientes que desean trabajar con una empresa que ha obtenido y mantenido la certificación.
Más allá de atraer y retener negocios, las ISO tienen otros beneficios tangibles. En el caso de ISO 27001, las empresas certificadas se benefician de un gobierno interno más sólido y un reconocimiento de liderazgo para una seguridad sólida. Si se permite que esa certificación caduque, la consideración interna por la gestión de la seguridad podría disminuir.
Hay muchos riesgos al permitir que las certificaciones caduquen y, en el panorama actual, las empresas deben preguntarse si realmente vale la pena tomar estos riesgos. Pero, a pesar del furor, no debe preocuparse por la imposibilidad de ser auditado porque las soluciones son totalmente posibles.
Muchas empresas se han visto obligadas a adoptar el trabajo a distancia durante la pandemia y los organismos de certificación están adoptando el mismo enfoque para realizar auditorías bajo la guía del Servicio de Acreditación del Reino Unido (UKAS).
Hemos visto a clientes de primera mano obtener con éxito la certificación ISO 27001 en los últimos meses con auditorías remotas y auditorías de vigilancia organizadas con organismos de certificación. También hemos visto otras actividades de certificación que requieren la interacción en persona, lo que permite a las empresas manejar el impacto comercial de Covid-19 sin perder su certificación.
Si decide seguir la ruta de la auditoría remota, debe considerar su enfoque cuidadosamente para tener las mejores posibilidades de éxito. Es común durante las auditorías in situ que el auditor elija con quién en el negocio quiere involucrarse y quién en el negocio debe conducir la auditoría.
Para asegurarse de que las personas más adecuadas puedan convertirse en el punto de contacto del auditor durante una auditoría remota, debe asegurarse de comprender completamente las áreas que se evalúan e identificar a las personas responsables de cada una de esas áreas. Estos representantes deben estar disponibles para los auditores durante toda la evaluación, asegurando que tengan el acceso adecuado a la evidencia que respaldará una auditoría exitosa.
También asegúrese de enfatizar las políticas, procesos, iniciativas de concientización y capacitación que implementan de la manera más clara posible.
Prepararse para una auditoría de certificación ISO puede llevar mucho tiempo y ser costoso, y dados los desafíos comerciales que han surgido de la pandemia, es posible que su empresa busque recortar costos siempre que sea posible. Pero aunque permitir la caducidad de una certificación puede parecer tentador, los beneficios de tener una certificación realmente superan los riesgos de dejarla ir.
La pandemia ha acelerado rápidamente la transformación digital en casi todas las industrias y es necesario considerar cómo la falta de certificación podría reflejarse con un mayor enfoque en la gestión de sistemas, procesos y seguridad. Del mismo modo, si su empresa aún no está certificada y ahora está reconsiderando si debe molestarse en buscar una certificación ISO, también debe considerar estos argumentos. Una certificación podría ser crucial para ganar y retener clientes, ahora más que nunca.
Para asegurarse de que su negocio siga funcionando de manera eficaz en la nueva forma de trabajo, debe entablar un diálogo transparente con el organismo de certificación pertinente y trabajar con ellos para asegurarse de que puedan hacer frente a los desafíos de certificación y auditoría que han resultado de Covid-19.
Las medidas que son necesarias para lograr la certificación a menudo deben implementarse rápidamente, pero con muchas fuerzas laborales actualmente dispersas, esto podría ser un desafío mayor. La participación de consultores experimentados que puedan brindar apoyo experto para lograr la certificación correspondiente le dará a su empresa una mayor posibilidad de éxito.
Reconocer que el beneficio de la certificación ISO es mayor que el riesgo de operar sin ella es imperativo a medida que nos aclimatamos a la nueva normalidad.
Scott Nicholson es director y líder de entrega técnica en Bridewell Consulting, un proveedor de servicios de seguridad de la información. Comenzó su carrera en la aplicación de la ley en Gwent Police antes de convertirse en consultor de seguridad y privacidad en IBM, y tiene más de una década de experiencia en seguridad cibernética y cumplimiento.