¿Cuál es la mejor opción para implementar la norma ISO 27001 en tu organización?

Norma ISO 27001

Si en tu empresa te estás planteando la posibilidad de implantar un Sistema de Gestión de Seguridad de la Información según la norma ISO 27001, es posible que se encuentre abrumado con todos los enfoques que existen sobre la iniciación y la finalización del proyecto con éxito.

Hay tres opciones básicas para poner en práctica basándonos en la norma ISO 27001, que son:

Implementar de forma completa la norma 27001 con ayuda de los empleados de la organización.
Implementar mediante la contratación de un consultor.
Implementar la norma ISO 27001 con la ayuda de un consultor y con la ayuda de los empleados de la empresa.

Queremos ver cada una de las opciones, para saber elegir cada una de ellas según se ajuste de mejor forma a las necesidades de la organización.

La implementación completa con la ayuda de los trabajadores

Se utiliza cuando se decide implantar la norma ISO 27001 sin obtener ayuda de nadie externo a la empresa, se utiliza de forma única el conocimiento y la capacidad que tengan los propios empleados. Con esta opción, los trabajadores llevan a cabo el análisis, las entrevistas, escriben documentos, etc.

Las ventajas que presenta, es que es una opción mucho más económica, ya que no se realiza el pago de ningún servicio externo. Hay empresas que no permiten que ninguna persona que se ajena a la organización conozca cómo funcionan sus procesos internos y su documentación, por lo que esta opción sería la única que se podría barajar. Es necesario escribir su propia documentación para incrementar el compromiso por parte de los empleados hacia el cambio.

Los inconvenientes que presenta esta opción es que es mucho más lento, ya que se lleva a cabo todo desde el interior de la empresa y puede ser que los empleados no cuenten con la experiencia o los conocimientos necesarios, por lo que dicha opción se puede convertir en la más cara, pudiendo ofrecer ciertos errores que impedirian obtener la certificación a toda costa.

La implementación mediante la contratación de un consultor

Con esta opción se contrata a un consultor experto que tiene experiencia en la aplicación de la norma ISO 27001 y además, en el sector en el que opera la empresa. Esta persona tiene que realizar un análisis de la empresa, entrevistas, escribir la documentación, etc.

Las ventajas que ofrece esta opción es su rapidez a la hora de implementar la norma ISO 27001, ya que el consultor cuenta con la experiencia necesaria y sabrá organizar el proyecto para finalizarlo de una manera rápida y sencilla. Esta es la opción que se utiliza si los empleados no disponen de tiempo para poder llevar a cabo el proyecto.

Los inconvenientes que presenta esta opción son: Es una opcón mucho más cara que la anterior, por lo que la podemos calificar como la opción más cara. Además se crea un acceso a casi todos los secretos de la empresa, es decir, el consultor conocerá como se organiza la organización, los procesos que utiliza, las ventajas competitivas que tiene, etc. Además, cuando es una persona externa a la empresa la que redacta todos los procedimientos y la política, el resto de la organización puede tomarlo como una imposición, siendo algo negativo para la empresa.

Existen tres opciones básicas para implementar la norma #ISO27001

Click To Tweet

La implementación de la norma ISO 27001 con la ayuda de un consultor y de los propios trabajadores de la organización

Esta opción se ha hecho muy popular en los últimos años, y es algo que se encuentra entre las dos opciones primeras. En esta opción los empleados se encuentran implicados en la implantación, además consiguen que los empleados aprendan y ayuden a realizar la documentación.

Las ventajas que ofrece es que en cuanto a la economía no es tan caro, pero sí que necesita de una inversión económica. además deberá ofrecer a los empleados un consultor que los ayude, los documentos quedarán dentro de la empresa y no será necesario que el consultor los realice, ya que los empleados ayudan en la realización de la documentación.

Los inconvenientes que presenta es que los trabajadores necesitan capacitación en cuanto a la aplicación de la norma ISO 27001, por lo que esta no es la manera más rápida de implantar la norma ISO 27001. Esta opción no resuelve problemas si los empleados se encuentran saturados con otros proyectos y no tienen tiempo para aprender nada nuevo.

¿Qué opción elegir?

Si su opción de implantar el Sistema de Gestión de Seguridad de la Información según la norma ISO 27001 utilizando a sus propios empleados sería bueno que estos empleados tengan experiencia en la norma. Además, es una buena opción si cuenta con documentos confidenciales que no puede ver nadie y tiene un presupuesto muy bajo para llevar a cabo la implementación.

Por otro lado, si tiene prisa y no tiene miedo de que algunos secretos sean desvelados o expuestos, deberá utilizar a un consultor. Es necesario contar con un buen presupuesto para barajar esta opción.

Puede ser que quiera seleccionar la opción intermedia, utilizar a los empleados junto a la contratación de un consultor. Es una buena opción si desea que sus trabajadores aprendan, si no tiene mucha prisa y si el jefe de proyecto puede dedicar un par de horas al día para dicho proyecto. Además se puede contemplar la ventaja de que no necesita contar con un presupuesto elevado.

Software ISO 27001

El Software ISOTools Excellence para ISO 27001 para la Seguridad de la Información es otra de las opciones que se deben valorar a la hora de implementar y mantener dicho sistema. Esta herramienta se encuentra compuesto por diferentes aplicaciones que, al unirlas, trabajan para que la información que manejan las empresas no pierda ninguna de sus propiedades más importantes. Facilita el cumplimiento de las diferentes fases del ciclo de mejora continua.