Saltear al contenido principal
Norma ISO 27001

Norma ISO 27001: Cómo lograr reducir gastos

Norma ISO 27001

Norma ISO 27001

Llegado el momento de llevar a cabo la implementación de la norma ISO 27001 pueden surgir dos cuestiones o preocupaciones:

  • Un gran desembolso en algo que no se sabe si funcionará como se espera
  • La incomodidad de tener que mantener un Sistema de Gestión de Seguridad de la Información

No podemos obviar el costo que supone la norma ISO 27001. Ese desembolso puede llegar a ser muy beneficioso y recuperar dicha inversión con rapidez. Uno de los grandes problemas es reducir los costes de funcionamiento para el Sistema de Gestión de Seguridad de la Información, sobre todo reduciendo el tiempo que requieren los trabajadores o que pierden en llegar a entender toda la documentación.

CTA 27001 BOTON EBOOK

Descarga gratis e-book: La norma ISO 27001

 

Para implementar un sistema de gestión correctamente podemos definir 5 principios básicos. Se deben tener en cuenta a la hora de desarrollar el Sistema de Gestión de Seguridad de la Información:

 

No ser demasiado ambicioso

Es decir, se deben de crear únicamente los documentos necesarios. Si se trata de una organización formada por 10 trabajadores, no será necesario desarrollar una descripción del procedimiento de operación. En el caso de tener que hacerlo será por parte del comité de seguridad.

¿Cómo podemos saber qué documentos serían necesarios?. A partir de la cláusula 4.3.2 de norma ISO 27001, en la cual aparecen enumerados cada uno de los documentos de obligado cumplimiento. Además, deben de añadirse cada uno de los documentos exigidos por otras partes interesadas. Así como también las áreas que son muy complejas o que resultan demasiado arriesgas. Es necesario utilizar procedimientos para definir las reglas de operación.

El objetivo es la finalidad de la documentación la cual resulta de gran utilidad para la empresa, no para satisfacer al auditor de certificación de la norma ISO 27001.

 

La documentación debe ser elaborada por aquellos que la van a utilizar

No se trata únicamente de evitar documentos innecesarios, sino que también se debe de evitar el contenido innecesario en aquellos documentos requeridos por la norma ISO 27001. Se puede ver a consultores leyendo un documento sumamente largo. Los documentos deberán reducirse lo máximo posible.

Sería mejor si aquellos documentos son elaborados por los trabajadores que posteriormente van a usarlos en las operaciones diariamente. Pues de esta forma se garantiza la reducción o eliminación de las partes no necesarias. Además se ahorraría una gran cantidad de tiempo que aprovechar en otras tareas.

 

Obtener el compromiso durante la primera fase

Lograr documentos breves es la mejor forma para poder comenzar a lograr cada uno de los documentos. Esto favorece y contribuye al acuerdo general acerca de la inutilidad de dichos documentos.

Los trabajadores deberán estar incluidos en los documentos por escrito. Además deberán recibir programas de sensibilización y formación.

 

Mantener la documentación

Puede ser que en algún momento un trabajador haya perdido tiempo revisando un documento obsoleto. Resulta muy importante garantizar que la documentación se encuentra actualizada. Para conseguirlo, los documentos deben estar fácilmente localizables:

  • Cada documento debe tener un dueño que debe verificar periódicamente si el documento necesita ser actualizado.
  • Las auditorías internas periódicas y exhaustivas deben de encontrar irregularidades en los documentos.
  • Las acciones correctivas y preventivas deben de aplicarse con eficacia con el objetivo de que cada una de las no conformidades sean eliminadas de manera continua.

 

Comprobar si se han alcanzado los objetivos

Verificar la eficacia de la seguridad de la información en base a la norma ISO 27001 aún es considerado como algo casi místico, concretamente como una sobrecarga.

Pero enfocándolo de otro forma distinta, si realmente no se puede demostrar que la seguridad de la información tiene sentido, siempre será considerada como una sobrecarga por cualquier persona. Mantenemos la opinión de que tiene sentido fijar unos objetivos claros que de manera ocasional se verifiquen.

Estos controles no deben de requerir demasiado tiempo. Si ya existe algún tipo de cuadro de mando integrado en su lugar se deberá demostrar a la alta dirección que el desembolso de la norma ISO 27001 ha dado los beneficios deseados.

 

Software ISO 27001

El Software ISOTools Excellence para implantar un Sistema de Gestión de la Seguridad de la Información según la norma ISO 27001. Se encuentra compuesto por distintas aplicaciones que, al unirlas, trabajan para que la información que manejan las empresas no pierda ninguna de sus propiedades. Esta útil herramienta facilita el cumplimiento de los requisitos legales que les repercuten.

CTA 27001 TIRA EBOOK

E-book gratis la norma ISO 27001

¿Desea saber más?

Entradas relacionadas

Volver arriba