ISO 27001
Numerosas empresas no son conscientes de que establecer los requisitos de la norma ISO 27001 es el punto de partida de un proyecto con los elementos de mayor relevancia en el caso de querer implementar un Sistema de Gestión de Seguridad de la Información (SGSI) en un tiempo y presupuesto prudencial.
Un factor clave es el compromiso de la alta dirección, pues si los altos ejecutivos no creen que obtendrán beneficio real del proyecto de inversión,quizás deberían invertir su energía en otras cuestiones.
Se trata de un proceso que requiere establecer un papel activo. Primero deben de conocerse los beneficios aplicables al negocio. A continuación, debe transmitirse de manera continua este mensaje o idea a todas aquellas personas encargadas de tomar decisiones en la organización.
Implementación
A menos que se haya implementado la norma ISO 27001 en varias ocasiones, se debe aprender cómo llevar a cabo el proceso. La norma ISO 27001 muestra una aplicación notablemente compleja. Por ello, debe comprenderse correctamente la lectura de la norma.
Para realizar la implementación de la norma ISO 27001 puede escogerse una de estas tres opciones:
- Con sus propios trabajadores. En este supuesto es conveniente la formación para que alcancen y asimilen los conocimientos necesarios durante la ejecución de los mismos. Esta puede ser una de las mejores opciones si no se desea que personas ajenas a la organización tengan acceso a los documentos de la misma. Como consecuencia de dicha formación, la curva de aprendizaje de los trabajadores será más alta. Alcanzar la formación de los empleados y los objetivos fijados reducirá el tiempo de implementación de la norma ISO 27001.
- Combinar el trabajo desarrollado por los trabajadores y complementarlo con ayuda externa. Se puede llevar a cabo la implementación de un Sistema de Gestión de Seguridad de la Información con el asesoramiento de un experto externo. Se trata de una buena opción si se desea aprender acerca de la aplicación y garantizar la correcta implementación de la norma ISO 27001.
- Contratar a un consultor externo para que realice gran parte del trabajo. Bajo esta perspectiva la elección es la contratación de un consultor externo que realice todo este proceso. Se trata de la opción más rápida para aplicar la ISO 27001 con la menor cantidad de esfuerzo.
¿Cómo elegir al jefe de proyecto?
El proceso de aplicación de la norma ISO 27001 debe estructurarse en un proyecto, el cual debe estar correctamente definido. Entre los elementos a señalar encontramos:
- Quién es el responsable del Sistema de Gestión de Seguridad de la Información
- Espacio temporal en el que debe realizarse la implementación
Es habitual que la persona encargada de la dirección del proyecto sea la responsable de la seguridad de la información en la empresa. Para este cargo encontramos distintas denominaciones:
- Jefe de Información Oficial de Seguridad
- Oficial de Seguridad de la Información
- Administrador de Seguridad
Existen algunas empresas grandes que trabajan con ciertas reglas o estructura corporativas en el momento de gestión de proyectos. Bajo este supuesto, un jefe de proyecto profesional sería el encargado del proyecto. A la par que un experto en seguridad de la información formará parte del equipo encargado de desarrollar el proyecto.
Fases del proyecto
Normalmente, el proyecto suele dividirse en dos fases, estas son:
- Análisis y planificación. Se requiere la definición de los objetivos del proyecto, análisis de la situación actual y la determinación de lo que debe hacerse. Es decir, se deben completar cada uno de los pasos de la fase del plan en el que se incorpora tanto el establecimiento del alcance del sistema de gestión, la realización de una evaluación y tratamiento de riesgos, y la producción de la declaración de aplicabilidad.
- Aplicar las salvaguardias. Se desconoce que controles de seguridad son los que se necesitan para poner en prácticas antes de que finalice la fase anterior en el proyecto. Además debe de conocerse el plan de trabajo con detalle de aplicación al término de la primera fase. Durante la primera fase será necesario que se implementen las políticas de seguridad, los procedimientos, la tecnología y otros aspectos.
Cuando se hayan implementados cada uno de los controles necesarios del Sistema de Gestión de Seguridad de la Información se puede decir que el proyecto se ha finalizado.
Software ISO 27001
Para garantizar la automatización, gestión y control de un Sistema de Gestión de Seguridad de la Información de manera eficaz, podemos ayudarnos con el Software ISOTools Excellence. Soluciona de forma completa los requisitos de la norma ISO 27001. Además, ofrece al cliente la herramienta imprescindible para obtener una mejora continua en su gestión de procesos, con el consiguiente aumento de sus beneficios a corto plazo.
¿Desea saber más?
Entradas relacionadas
IATF 16949:2016 La IATF 16949:2016 es la norma de Sistemas de Gestión de Calidad (SGC) específica para la…
Normas ISO La ISO (Organización Internacional para la Estandarización) es una organización no gubernamental independiente y el mayor…
ISO 9001 Las empresas que desean automatizar la gestión de la calidad ISO 9001, deben tener en cuenta…
OHSAS 18001 En los diferentes negocios se establece que la obtención de la certificación en OHSAS 18001 puede…