ISO 27001

¿Qué hay que tener en cuenta a la hora de implantar la ISO 27001?

ISO 27001

Sistema de Seguridad de la Información

En el marco de referencia que debemos usar se encuentra el proceso de implantación del Sistema de Gestión de Seguridad de la Información basado en ISO 27001, siendo un trabajo muy complejo.

No se puede asignar al administrador de los sistemas para que realice el proceso de implantación de la ciberseguridad, siendo esto un trabajo muy complejo. Tampoco se podrá asignar sólo al administrador de sistema la responsabilidad de que realice su trabajo habitual, ya que:

  1. Es demasiado complejo, por lo que una sola persona no podrá manejar adecuadamente el SGSI sin tener un plan establecido.
  2. No hablamos de una tarea exclusiva de TI.
  3. Cualquier persona que se encuentre con la estructura y que no tenga la experiencia necesaria para manejar a las personas es muy posible que no se encuentre suficientemente capacitada para llevar a cabo este trabajo.

A la hora de iniciar la implantación de un Sistema de Gestión de Seguridad de la Información según ISO 27001 se deben seguir estos pasos:

Determinar la gestión del proyecto

A la hora de implementar la norma ISO 27001 nunca se puede terminar si no se establece una estructura de proyecto. Esto nos supone que debe existir una metodología definida para gestionar los proyectos y que debe ser aplicada, para ello seguimos todos estos pasos:

  1. Se debe conseguir un proyecto.
  2. Se tienen que establecer a las personas responsables de los proyectos, es decir, el gerente de proyecto se debe encargar de coordinar a todas las personas y será el responsable de tramitar los plazos y obtener los resultados de los mismos.
  3. Se debe determinar quién será el promotor del proyecto, es decir, será la persona de la alta dirección que intervenga cuando sea necesario o cuando el proyecto se pare.
  4. Se deben establecer los pasos, los resultados, los plazos y los logros del proyecto.
  5. Se necesita formar un equipo del proyecto que ayude a la coordinación con diferentes unidades organizacionales.

Las personas que forman parte del equipo del proyecto han sido seleccionadas desde el sector comercial y desde el departamento de TI de la empresa.

Obtener los conocimientos

La referencia de la norma ISO 27001 utiliza los diferentes pasos previos que facilita una excelente base sobre la que construir la seguridad de la información, pero esto no supone utilizar todo el conocimiento teórico y práctico necesario para poder implantarla.

Se debe decidir que opción se escoge:

  • Implantar la seguridad solo en los empleados.
  • Implantar la seguridad en los empleados usando el asesoramiento externo por parte de expertos en la materia.
  • Implantar la seguridad usando solo ayuda externa, es decir, de consultores externos a la organización.

La primera opción, en principio, es la más económica aunque también necesita de una mayor cantidad de tiempo, ya que se deben capacitar a los empleados o se tiene que realizar la búsqueda de trabajadores que ya se encuentren capacitados en éste sentido. Durante la implantación del Sistema de Gestión de Seguridad de la Información se pueden generar ciertos fallos que se realizaron durante el trascurso del proyecto, llegando a la conclusión de que le costó más si hubiera elegido la ayuda externa de expertos. Esta opción es muy recurrente cuando hablamos de información elevadamente confidencial, por lo que no se quiere que nadie externo a la organización sepa que existe.

La prima opción es más lenta que la segunda, pero la tercera es bastante rápida. Lo que ofrece es un elevado equilibrio entre no realizar muchos errores, y además se obtiene la mayor transferencia de conocimientos a sus empleados. Esto se lleva a cabo mediante la capacitación, que como regla general sigue siendo necesaria, aunque también se consigue con el aprendizaje que se transmite por el especialista contratado para la implantación.

La tercera opción es, con diferencia, la más rápida y se realiza en cortos plazos de tiempo. De todas maneras, se debe ser consciente de que los consultores externos no son económicos para las organizaciones y además, si una tercera persona se encuentra encargada de redactar los diferentes procedimientos de la empresa, el gerente se puede enfrentar a varios problemas sin importar la calidad que tenga el consultor. Éstos son:

  • Trabajadores que pueden no sentir como suyas las políticas de seguridad y los procedimientos, por lo que podrían resistirse a la implementación.
  • La transferencia de conocimientos no son muy amplias como en la segunda opción.

Determinar los recursos necesarios

Lo que supone la creación de un plan no significa que el proyecto tenga que salir adelante con éxito. Para que esto suceda será necesario emplear mucho tiempo, esfuerzo y dinero para que el proyecto salga como nosotros queremos.

Lo normal es que la persona encargada del proyecto realice una planificación del presupuesto necesario y planifique a los comerciales:

  • Tiempo y dinero de los empleados: el tiempo que los empleados deben invertir en capacitar, desarrollar, coordinar y adaptarse a las futuras reglas.
  • Costo en tecnología: si es necesario se deberá invertir en nuevas tecnologías que se encuentren a medida con lo que se ha detectado como grandes riesgos. Se debe tener en cuenta que es muy posible que se encuentre en su poder gran parte de la tecnología necesaria. En general, la principal inversión se utiliza para conseguir la recuperación de datos después de que se produzca algún desastre. Dicha recuperación es una solución técnica, ya que los datos y la tecnología están disponibles no solo en su ubicación, sino que además se pueden encontrar en lugares alternativos que se usan en caso de que ocurra un accidente.
  • Gasto en asistencia externa: en este gasto se introducen los consultores, la capacitación, las diferentes herramientas que pueden ser utilizadas, las plantillas de documentación, etc.
  • El costo que supone la certificación: dentro de todos los gastos necesarios será el que tenga menos peso.

Software para ISO 27001

El Software ISOTools Excellence para ISO 27001, tiene las características adecuadas para responder a numerosos controles de tratamiento de la información gracias a las aplicaciones que contiene y que son totalmente configurables según los requerimientos de cada organización.

¿Desea saber más?

Entradas relacionadas

Compliance
Perú exige la implantación de un programa compliance para evitar sanciones
31 enero, 2018

Compliance La ley 30424, ha sido modificada por el D. Leg. 1352, que exige la implantación de un…

Ver más
Proveedores
¿Por qué se debe auditar a los proveedores para la fabricación de alimentos?
26 diciembre, 2017

Proveedores Hoy en día pocos fabricantes dan la importancia que tiene a auditar sus proveedores sin darse cuenta…

Ver más
Ley 29783
Ley 29783: Automatización de la Ley Peruana de Seguridad y Salud en el Trabajo
19 diciembre, 2017

Ley 29783 Durante este artículo hablaremos sobre cómo se puede automatizar los requisitos establecidos en la ley 29783.…

Ver más
Gestión Del Rendimiento
Gobierno del Perú: Preguntas frecuentes sobre la gestión del rendimiento
12 diciembre, 2017

Gestión del rendimiento La gestión del rendimiento es uno de los siete subsistemas que componen el Sistema Administrativo…

Ver más
Volver arriba