Miles de Certificaciones del sistema de gestión ISO corren el riesgo de caducar en los próximos meses, ya que los organismos de certificación luchan por superar una acumulación de citas de auditoría de recertificación perdidas y pospuestas durante la pandemia del coronavirus Covid-19.
Actualmente, las directrices del organismo nacional de acreditación del Reino Unido UKAS prever un retraso de seis meses para las auditorías de recertificación en circunstancias de pandemia, especialista en seguridad advirtió, protección de datos y cumplimiento comercial InfoSaaS, que ha dado la alarma sobre el riesgo inminente. A medida que se acerca el “aniversario” de seis meses del cierre del Reino Unido, este exceso está llegando a su fin.
«En solo tres [ISO9001, ISO27001 and ISO45001] de las cinco normas del sistema de gestión ISO que ayudamos a las organizaciones a lograr, un promedio de 2500 certificaciones del Reino Unido por mes podría estar en riesgo de caducar debido a la interrupción en las actividades de auditoría, sin importar todas las demás normas ISO, y a pesar de cualquier acumulación de auditorías, siempre que puedan reanudarse a gran escala ”, dijo el cofundador de InfoSaas, Peter Rossi.
Las pautas de UKAS establecen: “Si no se puede realizar una evaluación de recertificación dentro de los seis meses [of the anniversary of the certificate being issued], el certificado debe suspenderse y se requerirá una nueva evaluación inicial «.
Rossi dijo que para restaurar sus certificaciones caducadas, las organizaciones afectadas pueden verse obligadas a pagar costos tres veces más altos de lo que esperarían pagar por una auditoría ISO anual, junto con más tiempo y recursos. También tendrían que borrar las referencias a sus certificaciones de sus sitios web y otras garantías mientras la recertificación está pendiente.
Si bien gran parte de la respuesta a la pandemia ha sido mover todo en línea a virtual, plataformas basadas en la nube, InfoSaaS señaló que esto era esencialmente imposible para las auditorías ISO cuando muchas organizaciones confían en enfoques más anticuados, como múltiples hojas de cálculo que requieren explicación, justificación y referencia cruzada en persona. Rossi instó a los auditores a considerar la adopción de plataformas de gestión remota.
“Francamente, es innecesario e ineficiente que cualquier organización siga utilizando hojas de cálculo como las de este propósito”, dijo. “Haría aún más atractivo el logro de los objetivos de cumplimiento empresarial a través de una plataforma moderna si las organizaciones pudieran estar seguras de que las auditorías remotas no solo son posibles, sino también preferidas.
“La incómoda verdad es que, en las circunstancias actuales, algunas organizaciones pueden decidir no volver a auditarse y simplemente dejar que sus certificaciones ISO caduquen. Cualquier eliminación de prioridades de este tipo puede, a su vez, conducir a una disminución no deseada de los estándares para la seguridad de la información, la gestión ambiental, la salud y la seguridad y la gestión de la calidad. Este no es un buen resultado para nadie «.
DomainTools El ingeniero senior de seguridad Tarik Saleh dijo que las medidas de distanciamiento social han agregado capas de complejidad a la ya compleja tarea de mantener las organizaciones seguras y en cumplimiento.
“Cuando se trata de eso, las redes, el software y los usuarios finales solo pueden alcanzar un cierto nivel de resiliencia cibernética”, dijo. “Seguirán ocurriendo descuidos y se seguirán cometiendo errores; después de todo, somos solo humanos. Lo que realmente importa es lo que ha hecho en el front-end para minimizar el impacto de un incidente de seguridad en su organización.
“Es por eso que tener un plan de RI implementado, así como un equipo de seguridad y la tecnología adecuada, es esencial para poder responder a las amenazas de una manera rápida y profesional. El plan debe ser discutido y creado por un grupo interdisciplinario de actores clave de diferentes áreas del negocio, incluyendo seguridad y TI, operaciones, legal y, a menudo, RR.HH. y relaciones públicas / comunicaciones «.
Saleh agregó: “La razón de esto es garantizar que todas las áreas de toma de decisiones estén representadas y que se tengan en cuenta los mejores intereses de la organización. Si bien la cantidad de partes interesadas involucradas, junto con el distanciamiento social, a menudo hace que el proceso sea complicado, es completamente necesario que los planes y certificaciones se mantengan actualizados. En un momento ya difícil para las empresas, un ciberataque es lo último que una organización necesita para complicar aún más las cosas «.