Lograr una certificación internacional de seguridad no ocurre de la noche a la mañana. Requiere disciplina, cultura organizacional y un camino progresivo que va desde las buenas prácticas hasta la formalización completa de un programa de seguridad de la información. La experiencia de Platzi al obtener la certificación ISO 27001 ilustra exactamente ese recorrido y ofrece lecciones valiosas para cualquier equipo que aspire a proteger sus activos digitales con estándares de clase mundial.
¿Cómo se construye un programa de seguridad desde cero?
El punto de partida fue la implementación de lo que el equipo consideraba buenas prácticas discrecionales [0:10]: configurar un firewall, aplicar controles a nivel de programación y cifrar información sensible en la base de datos. Estas acciones, aunque valiosas, carecían de estructura formal.
El salto cualitativo llegó cuando decidieron apoyarse en la inteligencia colectiva, es decir, apegarse a marcos reconocidos por la industria:
- OWASP como referencia para mejorar la seguridad del producto [1:05].
- El documento estándar NIST 800-53 para estructurar la implementación de controles [1:18].
- Clasificación de la información para determinar la profundidad de cada control [1:35].
A partir de esa clasificación, el equipo definió qué tipo de cifrado usar, cómo gestionar contraseñas y cómo preparar los dispositivos de los colaboradores. Así nació el baseline checklist, una lista de verificación de seguridad que todo nuevo integrante debe cumplir al recibir su equipo [1:52].
¿Por qué la cultura de seguridad es tan importante como los controles técnicos?
Implementar controles no basta si las personas no los entienden ni los adoptan. El equipo creó cápsulas de seguridad dentro de la reunión semanal de toda la empresa [2:08]. Identificaron las debilidades más comunes entre los colaboradores y desarrollaron un curso interno de prácticas de seguridad que luego abrieron a la comunidad.
Un ejemplo concreto: enseñar a todos por qué es necesario agregar múltiples factores de autenticación [2:30]. Este enfoque de formación continua fue clave para demostrar competencia ante los auditores.
¿Qué significa formalizar la seguridad en una startup?
Cuando ya existían controles documentados, gestión de la configuración y control de versiones, faltaba un elemento: formalidad demostrable [2:50]. Para una startup que se adapta constantemente al mercado y a la velocidad de la innovación, documentar procesos y mantenerlos actualizados representó el mayor reto.
La decisión de formalizar surgió de una discusión estratégica con la capa de líderes sobre los beneficios de certificar el programa. El equipo contaba con personas certificadas en ISO 27000 y en seguridad informática, además de un equipo de ingeniería sólido [3:22].
¿Cómo es el proceso real de certificación ISO 27001?
El camino hacia la certificación siguió etapas bien definidas:
- Auditoría interna de segunda parte [3:55]: contrataron a una persona externa con certificación de auditor interno ISO 27001. Este profesional evaluó la estructura y señaló oportunidades de mejora en documentación y registros de formación.
- Selección del organismo certificador: eligieron ICONTEC, un organismo que permite demostrar la certificación de forma internacional [4:30].
- Auditoría previa [5:00]: revisión general de documentos, controles y cumplimiento de todos los requisitos (debe) que establece la norma.
- Auditoría formal [5:12]: un proceso intenso y detallado donde no basta con decir, hay que demostrar con evidencia.
Todo el equipo de Platzi participó activamente, no solo el área de seguridad. La certificación fue resultado de un esfuerzo colectivo y de la cultura construida durante años.
¿Qué viene después de obtener la certificación?
La certificación no es un trofeo para colgar en la pared. Es un compromiso de mejora continua [5:50]. Después de obtenerla, el equipo profundizó en áreas clave:
- Creación de políticas de seguridad integradas en los procesos diarios.
- Gestión de vulnerabilidades con un equipo especializado.
- Contratación de servicios externos de pruebas de intrusión (penetration testing) como proceso recurrente [6:05].
- Profundización en el modelo de madurez de aseguramiento del software (SAMM) [6:20].
Cada uno de estos elementos refuerza que la seguridad de la información no es un destino, sino un proceso vivo que evoluciona con la organización. Si estás construyendo tu propio programa de seguridad, comparte en los comentarios en qué etapa te encuentras y qué retos has enfrentado.
