Saltear al contenido principal
SGSI

¿Por qué implementar un SGSI?

SGSI

SGSI

Muchas de las organizaciones no lo saben, pero establecer un Sistema de Gestión de Seguridad de la Información (SGSI) según ISO 27001 de forma correcta implica muchas mejoras. Al principio de la implantación, los elementos más importantes que se deben considerar son el tiempo y  el dinero.

El compromiso contraído por la alta dirección de la organización es el primer paso. Es muy habitual que los altos ejecutivos piensen que no van a obtener un beneficio real incrementando el nivel de seguridad mediante el establecimiento de reglas claras. Su opinión se centra en que será mucho mejor invertir la energía, tiempo y dinero en otros asuntos para la organización.

 

Se debe ser consciente de que esto necesita mucho tiempo, por lo que no se podrá conseguir de una forma rápida y mucho menos con una reunión en una presentación PowerPoint. Se trata de un proceso en el que juega un papel activo, primero se deben conocer todos los beneficios que se aplican en el negocio y luego enviar de forma constante el mensaje hacia los que toman decisiones.

A menos que tú mismo hayas implantado un SGSI basado en ISO 27001 un par de veces, será necesario aprender cómo hacerlo. La implantación del SGSI es muy compleja de entender y mucho más si lo único que hace es leer la norma ISO 27001.

Puede optar por una de estas tres opciones:

  • Con los propios empleados: se debe realizar formación a las personas implicadas en el proceso, tanto la persona encargada de realizar la implementación del SGSI como los que le ayuden, ya que esta será la forma de obtener todos los conocimientos necesarios para la implantación. Esta será la mejor opción si no se cuenta con personal externo en la organización, y si quiere obtener una mayor curva de aprendizaje para los trabajadores. Se deben enviar a los trabajadores a cursos de concienciación.
  • Una combinación de los empleados con ayuda exterior: aquí seleccionas implantar el estándar usted mismo, pero un experto externo realiza una guía paso a paso de todo el proceso completo. Esta es una buena opción si quiere obtener los conocimientos necesarios para implantar un SGSI y tener la seguridad de que no haces nada mal en el proceso.
  • Con la ayuda de un consultor; esta será la opción en la que se contrata a un consultor externo a la organización para que realice todo el trabajo. Es la opción más rápida a la hora de implantar un SGSI basado en ISO 27001 y requiere de una menor cantidad de esfuerzo por parte de los trabajadores de la organización.

Elegir un Jefe de proyecto

Como es normal la implementación de la ISO 27001 tiene que estar estructura como un proyecto, sin definir de forma clara quien es el responsable de qué y en qué plazo de tiempo, la posibilidad de que nunca finalice la implantación es alta.

La persona que, de forma natural, es la que más posibilidades tiene de quedarse a cargo de la Seguridad de la Información en su organización. Aunque hay diferentes personas dentro de una organización que puede realizar este trabajo: Oficial jefe de seguridad de la información, oficial de seguridad de la información, gerente de seguridad, etc.

Algunas de las organizaciones más grandes presentan diferentes reglas y estructuras corporativas para gestionar los proyectos, además de que el jefe de proyecto sea un profesional que lleve el peso del proyecto, mientras que un experto de seguridad de la información sería el miembro más indicado para liderar el equipo de proyecto.

Fases del proyecto

Las fases del proyecto se suelen dividir en dos grandes fases:

  • Análisis y planificación: aquí es donde tiene que definir los objetivos de su proyecto, analizar la situación existente y determinar lo que debe realizarse. En otras palabras, tienes que completar todos los pasos de la fase del Plan, en los que se incluye el establecimiento del alcance del SGSI, la política de SGSI y los objetivos, llevando a cabo una evaluación y tratamiento de riesgos y elaborando la declaración de aplicabilidad.
  • Implementación de salvaguardas: no puedes saber que controles de seguridad necesita ser implementado antes de que termine la fase anterior del proyecto. además del plan de implementación del SGSI detallado será conocido sólo después de que termine la primera fase. De forma básica, en la fase de implementación debe implementar todas las políticas de SGSI, procedimientos, tecnologías y otras cosas que ayudan a que la información sea mucho más segura.

Para implantar un SGSI todos los controles se deben planificar, estableciendo un proyecto que ha terminado. Pero no te olvides que ahora es cuando comienza el trabajo duro y se debe incluir todas las actividades de seguridad en las operaciones diarias.

Software para ISO 27001

El Software ISOTools Excellence para ISO 27001 para la Seguridad de la Información se encuentra compuesta por diferentes aplicaciones que, al unirlas, trabajan para que la información que manejan las empresas no pierda ninguna de sus propiedades más importantes: disponibilidad, integridad y confidencialidad.

¿Desea saber más?

Entradas relacionadas

Volver arriba