¿Cómo hacer que funcione el proyecto de la norma ISO 27001?
ISO 27001
Muchas organizaciones no se dan cuenta de esto, pero el establecimiento de los requisitos de la norma ISO 27001 es el comienzo de un proyecto con los elementos más importantes si desea implementar de un SGSI dentro de un tiempo y presupuesto razonable.
El compromiso de la alta dirección debe estar por encima de cualquier otra cosa, ya que si los altos ejecutivos de la organización no encuentran beneficio real para incrementar el nivel de seguridad mediante el establecimiento de reglas claras, deberá invertir mejor su energía en otra cosa.
Pero esto no puede suceder en un periodo de tiempo corto, y mucho menos durante una reunión en la que se utilice una presentación de PowerPoint. Es un proceso que necesita establecer un papel activo, en primer lugar se deberían conocer los beneficios que se pueden aplicar en su negocio, y después empujar de forma contante este mensaje para todos los que toman decisiones.
A menos que haya implementado la norma ISO 27001 un par de veces, usted necesita aprender cómo se hace. La norma ISO 27001 presenta una aplicación muy compleja, en la que se debe comprender la lectura de la norma.
En este caso, puede optar por una de estas tres opciones a la hora de implementar la norma ISO 27001:
- Con sus propios trabajadores: en este caso, se deben formar para obtener todos los conocimientos necesarios durante la ejecución. Esta es la mejor opción si no quiere que personas extrañas tengan acceso a los documentos de su organización, y si quieres que la curva de aprendizaje de tus empleados sea la más alta. Conseguir formar a sus trabajadores y conseguir los objetivos propuestos con ellos disminuirá muchísimo el tiempo que se tarda en implementar la norma ISO 27001.
- Combinar el trabajo realizado por los empleados y complementarlo con ayuda externa: puede elegir implementar el SGSI usted mismo pero con la ayuda de un experto externo a la organización que le guíe a la hora de realizar todo el proceso. Esta es una buena opción si quiere aprender mucho acerca de la aplicación y asegurarse que no realiza nada mal en el proceso de implementación.
- Contratar a un consultor externo para que realice gran parte del trabajo: esta opción trata de contratar a un consultor externo para que lleve a cabo el todo el trabajo. Esta debe ser la opción más rápida para la aplicación de la norma, y requiere de la menor cantidad de esfuerzo. También puede leer ¿Cómo conseguir la certificación ISO 27001?
¿Cómo elegir al jefe de proyecto?
La aplicación de la norma ISO 27001 tiene que estar estructurada en un proyecto, debe estar perfectamente definido: quién es el responsable del SGSI y el marco de tiempo en el que se debe llevar a cabo, ya que si no nunca se llegará a buen fin con la implementación del SGSI.
Lo normal es que la persona que se haga cargo de dirigir el proyecto tiene que ser la persona que se encarga de la seguridad de la información en la organización, existen diferentes títulos para este trabajo: Jefe de Información Oficial de Seguridad, Oficial de Seguridad de la Información, Administrador de Seguridad, etc.
Algunas organizaciones grandes tienen ciertas reglas o estructuras corporativas a la hora de gestionar los proyectos, por lo que en tal caso un jefe de proyecto profesional lleva el proyecto, mientras que un experto en seguridad de la información será un miembro del equipo que se encarga de realizar el proyecto.
Fases del proyecto
Como regla general se suele dividir el proyecto en dos fases, que suelen ser:
- Análisis y planificación: será necesario definir los objetivos de su proyecto, analizando la situación actual, y determinar lo que se debe hacer. En otras palabras, es necesario completar todos los pasos de la fase del plan en el que se incluyen el establecimiento del alcance del Sistema de Gestión de Seguridad de la Información (SGSI), la política y los objetivos del sistema de gestión, la realización de una evaluación y tratamiento de riesgos, además de la producción de la declaración de aplicabilidad.
- Aplicar las salvaguardias: por desgracia, no se puede saber qué controles de seguridad son los que se necesitan para poner en prácticas antes de que termine la fase anterior en el proyecto. Además se debe conocer el plan de trabajo detallado de aplicación únicamente al término de la primera fase, como algo básico, en la fase de la implantación será necesario implementar las políticas de seguridad, los procedimientos, la tecnología y otras cosas que ayudan a que su información se vuelva más segura.
Una vez se encuentran implementados todos los controles necesarios del SGSI, se puede decir que su proyecto se ha terminado. Pero recuerde, esto es cuando comienza el trabajo más importante, ya que se deben incluir las actividades de seguridad en las operaciones del día a día y mejorarlo de forma continua.
Software ISO 27001
El Software ISOTools Excellence ISO 27001 para la Seguridad de la Información se encuentra compuesto por diferentes aplicaciones que, al unirlas, trabajan para que la información que manejan las empresas no pierda ninguna de sus propiedades más importantes: disponibilidad, integridad y confidencialidad.