Una de las preguntas generales con respecto a las diversas certificaciones ISO es el cronograma involucrado . La respuesta a esta pregunta no siempre es fácil de aceptar, tanto para los gerentes de seguridad como para la alta gerencia. El tiempo, el dinero y el esfuerzo que se requieren pueden variar según la organización que busca la certificación.
Nota: Para conocer los beneficios de la Certificación ISO 27001, consulte nuestra publicación sobre los beneficios de la Certificación ISO 27001.
A menudo, las organizaciones emplean asistencia externa en el proceso de certificación ISO. Al buscar asistencia de terceros, como consultores en certificación ISO, es importante que solicite el cronograma del proyecto proyectado para el proceso de certificación ISO. Si la respuesta del tercero a estas preguntas es un marco de tiempo exacto, o un período de tiempo corto, no tienen experiencia en el proceso de certificación ISO o no son honestos con usted. (Aquí hemos incluido un breve ejemplo de una presentación que destaca el proceso de implementación de ISO 27001 )
El tiempo que se tarda en obtener la certificación ISO depende de varios factores, lo que dificulta determinar cuánto tiempo requerirá el proceso de certificación ISO para cada organización. En nuestra experiencia en nuestro propio proceso de certificación ISO y a través de la asistencia a otras organizaciones, hemos determinado que los siguientes factores son fundamentales para desarrollar una estimación general de la línea de tiempo para la Certificación ISO:
- Recurso disponible para utilizar en el proceso de certificación ISO
- Tamaño general de la organización (o departamento)
- Estado actual del sistema de gestión de la organización
Recursos disponibles para el Proceso de Certificación ISO
Sin embargo, dada la importancia y los beneficios de obtener la certificación ISO, puede resultar difícil obtener los recursos necesarios aumentar la eficiencia y reducir el tiempo necesario para obtener la certificación ISO. Una de las primeras tareas (y potencialmente más importantes) a realizar es obtener el apoyo de la alta dirección. Los equipos ejecutivos serán los guardianes de los recursos, como la cantidad de dinero y mano de obra que se asignarán al proceso de certificación. En un mundo perfecto, obtendrías acceso ilimitado a los recursos según fuera necesario. En realidad, es posible que las personas y la flexibilidad financiera no estén disponibles cuando sea necesario para el proceso de certificación ISO.
Esto se puede ilustrar con una ecuación simple:
5 empleados que trabajan 8 horas al día, o 40 horas humanas al día asignadas al proyecto o 1 Gerente de Calidad que asigna 2 horas al día al proceso de certificación
No nos estaríamos haciendo justicia si no mencionáramos cómo el Software y las Herramientas de Gestión de Riesgos pueden reducir el tiempo que toma completar el proceso de certificación.
Tamaño general de la Organización Que busca la certificación ISO
El tamaño de la organización puede tener un impacto importante en el tiempo que tomará implementar un estándar ISO y obtener la certificación ISO. Una organización más pequeña puede tener más flexibilidad y capacidad para centrar sus esfuerzos en el proceso de certificación ISO, así como menos infraestructura que requiera modificaciones, reduciendo así el cronograma total del proceso de certificación ISO. Sin embargo, una organización más pequeña puede enfrentar mayores limitaciones en cuanto a los recursos disponibles para comprometerse con el proceso.
Por el otro lado de la moneda, las organizaciones más grandes pueden enfrentar problemas como embotellamientos durante el proceso burocrático, inmensas infraestructuras, restricciones presupuestarias y, por supuesto, recursos limitados para asignar al proceso de certificación ISO.
Estado actual del Sistema de gestión
El estado del sistema de gestión puede reducir o aumentar en gran medida el tiempo de certificación ISO. Las organizaciones que ya tienen un sistema de gestión establecido experimentarán menos «problemas de crecimiento» en el proceso de certificación ISO. Las organizaciones que comienzan desde cero tienen más sistemas, controles y procesos que implementar.
Para obtener una comprensión del estado actual del sistema de gestión, se puede realizar un Análisis de brechas. Un Análisis de Brechas es el proceso en el que una organización determina su estado actual hoy y dónde quiere estar en el futuro, definiendo así la «Brecha» entre el estado actual y el estado de meta. El Análisis de deficiencias puede verse como una lista de verificación que proporciona a la administración una indicación del tiempo que se puede esperar para la certificación ISO.