Certificación ISO 27001
Para conseguir el certificado ISO 27001 no es suficiente con llegar a la entidad de certificación y pedirlo, sino que se deben realizar una serie de acciones para conseguir dicha certificación. Puede resultar interesante ISO 27001:2013, ¿cómo definir el alcance del Sistema de Gestión de Seguridad de la Información?.
Es un proceso muy complejo, por lo que se debe dividir en 5 áreas clave que deben ser abordadas:
Obtener el apoyo de la alta dirección
Muchas empresas pasan por alto este paso, y este es el motivo por el que suelen fallar las certificaciones bajo la ISO 27001, ya que resulta inevitable que se encuentre con problemas y es necesario solicitar ayuda a la dirección de la organización. Sin embargo, la alta dirección, no sabe por qué es importante por lo que no hacer nada al respecto.
Para evitar esta situación primero hay que conseguir la atención y la comprensión de su CEO, y para hacer esto, debe presentar de forma clara los beneficios empresariales que ofrece la norma ISO 27001, como el aumento de la cuota de mercado, incrementar las ganancias, disminuir el riesgo de incumplimiento, etc.
Planificar el presupuesto
Si no se dispone de presupuesto previsto no le llevará a ninguna parte, es posible que este tipo de proyectos le suponga menos inversión de lo que se espera de forma inicial, esto no quiere decir que no deba contar con un presupuesto previo.
En la mayoría de los casos, tendrá una serie de costos seguros como puede ser la adquisición de la norma ISO 27001, la formación de los trabajadores, la tecnología, la contratación de un auditor, etc. Esto se debe a que la mayor parte de la tecnología que se usa está disponible para la empresa, pero sus empleados tendrán que organizarse con el fin de comenzar a utilizar dicha tecnología de una manera mucho más segura.
Cómo realizar la aplicación de un proyecto
Para implantar la norma ISO 27001 se deben organizar los procesos de seguridad que se llevan a cabo en la empresa, por lo que no pude encargase una sola persona de todo este trabajo, ni tampoco se puede encargar una persona que lleve muy poco tiempo en la empresa o que tenga poca experiencia en la realización de un proyecto y esperar que dicha persona coordine todo lo necesario para la empresa.
La aplicación de la norma ISO 27001 se trata como un proyecto normal, lo que supone la selección de un jefe de proyecto con experiencia y el establecimiento de los plazos necesarios para obtener los resultados esperados.
No debe saltarse ningún paso durante la implementación
Existen muchas personas que omiten pasos cruciales en la norma ISO 27001, como la evaluación del riesgo, sólo para saltar a la aplicación real. La norma ISO 27001 se encuentra escrita de una manera secuencial y esto se hace por un buen motivo. No se deben implementar controles a menos que existan incidentes potenciales que requieran de una inversión, es decir, primero se debe realizar una evaluación de riesgos con el fin de averiguar qué cosas malas pueden suceder y después decidir que se necesita para mitigar los riesgos.
La elección de la entidad de certificación
No todos los organismos de certificación son iguales. Es posible que usted pueda encontrar un par de organismos en su país, por lo que será capaz de elegir el que más le convenga.
El precio es importante, aunque no es el único criterio que se debe utilizar por lo que también es importante que los auditores conozcan las actividades que realiza su industria, que tenga una buena reputación, que pueda certificar la norma que le interesa, etc.
¿Cuánto tiempo tardará?
Es necesario que se pregunte si será capaz de implementar la norma ISO 27001 sin abordar estos elementos. Por lo que si usted quiere conseguir el certificado en un corto espacio de tiempo, estos temas son muy importantes y deben ser cuidados.
Si se encuentra preparado, puede ser que la implantación y certificación de la norma ISO 27001 tarde unos 4 o 6 meses en una empresa pequeña, hasta 10 meses para una organización de tamaño mediano y sobre 12 meses para una organización grande.
Puede ser que no se tomen suficientemente enserio el proyecto, éste puede ser uno de los proyectos que parecen agradables pero nunca fueron terminados.
Software ISO 27001
El estándar internacional ISO 27001, junto con todas las normas que componen su familia, generan todos los requisitos necesarios para poder implementar un Sistema de Gestión de Seguridad de la Información de una forma rápida y sencilla, además el Software ISOTools Excellence para la norma ISO 27001 presta solución a todas estas cuestiones que se plantean a la hora de implementar un Sistema de Gestión de Seguridad de la Información en una empresa.
¿Desea saber más?
Entradas relacionadas
Compliance La ley 30424, ha sido modificada por el D. Leg. 1352, que exige la implantación de un…
Proveedores Hoy en día pocos fabricantes dan la importancia que tiene a auditar sus proveedores sin darse cuenta…
Ley 29783 Durante este artículo hablaremos sobre cómo se puede automatizar los requisitos establecidos en la ley 29783.…
Gestión del rendimiento La gestión del rendimiento es uno de los siete subsistemas que componen el Sistema Administrativo…