¿Cuál es la mejor estrategia para implantar la norma ISO 27001?
ISO 27001
Si en su organización se están planteando la posibilidad de implementar el Sistema de Gestión de Seguridad de la Información basado en ISO 27001, es probable que se encuentre abrumado con todos los enfoques que existen sobre la iniciación y la finalización del proyecto con éxito.
Existen tres opciones básicas para poner en práctica la norma ISO 27001:
- La implementación completa con la ayuda de los trabajadores.
- La implementación mediante la contratación de un consultor.
- La implementación de la norma ISO 27001 con la ayuda de un consultor y de los propios trabajadores de la organización.
A continuación vamos a ver cada una de las opciones, para que puedan elegir cual de todas ellas se ajusta mejor a sus necesidades.
La implementación completa con la ayuda de los trabajadores
Este caso se utiliza cuando se decide implementar la norma ISO 27001 sin obtener la ayuda de nadie externo a la organización, se utiliza solamente el conocimiento y la capacidad de sus propios empleados. En esta opción, los trabajadores realizan los análisis, las entrevistas, escribirán la documentación, etc.
Ventajas: es la opción más barata, ya que no se encuentra pagando ningún servicio externo. Hay organizaciones que no permiten que ninguna persona ajena a la organización conozca sus procesos internos y su documentación, por lo que esta opción sería la única que podrían barajar. Escribir su propia documentación incrementa el compromiso por parte de los trabajadores hacia los cambios necesarios.
Inconvenientes: es la opción más lenta, ya que se realiza todo desde el interior de la organización y puede ser que los trabajadores no cuenten con la experiencia o los conocimientos necesarios, por lo que esta opción se puede convertir en la más cara porque se pueden dar muchos errores que resulten fatales para obtener la certificación.
La implementación mediante la contratación de un consultor
En esta opción se contrataría aun consultor experto que cuente con la suficiente experiencia en la aplicación de la norma ISO 27001 y en el sector en el opera la organización. Dicha persona realizará un análisis de la organización, realizará las entrevistas, escribirá la documentación, etc.
Ventajas: es la forma más rápida de implantar la norma ISO 27001, ya que el consultor contará con la experiencia necesaria y sabrá organizar el proyecto para que sea finalizado de una forma rápida y sencilla. Esta es la opción que se utiliza si los trabajadores no disponen de tiempo para poder realizar el proyecto.
Inconvenientes: como es obvio será más cara que la opción anterior, por lo que la podemos calificar con la opción más cara. Además se abre el acceso a casi todos los secretos de la organización, es decir, el consultor conocerá como se organiza la empresa, los procesos que utiliza, las ventajas competitivas que tiene, etc. Además, cuando es una persona externa a la organización la que redacta los procedimientos y la política pueden tomarlo como una imposición, siendo algo negativo para la organización.
La implementación de la norma ISO 27001 con la ayuda de un consultor y de los propios trabajadores de la organización
Esta opción se ha hecho muy popular en los últimos años, y es básicamente algo entre las dos primeras opciones. En esta opción los trabajadores se encuentran implicados en la implementación, además consiguen que los empleados aprendan y ayuden en la realización de la documentación.
Ventajas: esta opción no es tan cara como la anterior, pero sí que necesita de una inversión económica además de ofrecer a los trabajadores un consultor para que le ayude, los documentos confidenciales quedarán dentro de la organización no será necesario que el consultor los vea. Además, como los trabajadores ayudan en la realización de la documentación su compromiso por acatar las nuevas reglas será mucho mayor.
Inconvenientes: los trabajadores necesitan capacitación sobre la aplicación de la norma ISO 27001, por lo que esta no es la manera más rápida de implementar la norma. Esta opción no resuelve problemas si los trabajadores se encuentran saturados con otros proyectos y no tienen tiempo para aprender nada nuevo.
¿Qué opción elegir?
Si tiene que implementar el Sistema de Gestión de Seguridad de la Información ISO 27001 usando a sus propios trabajadores sería bueno que estos empleados tengan experiencia en la norma. Además es una buena opción si cuenta con documentos confidenciales que no puede ver nadie y tiene un presupuesto muy bajo para realizar la implantación.
Pero por otro lado, si tiene prisa y no tiene miedo de que algunos secretos de su empresa puedan ser expuestos, debe utilizar a un consultor. Es necesario contar con un buen presupuesto para barajar esta opción.
Seleccionar la opción intermedia, utilizar a los trabajadores junto a la contratación de un consultor, es una buena opción si quiere que sus empleados aprendan, si no tiene mucha prisa y si su jefe de proyecto puede dedicar un par de horas al día para dicho proyecto. Además debe contemplar la ventaja de que no necesitará contar con un presupuesto muy elevado.
Software ISO 27001
El Software ISOTools Excellence para ISO 27001 para la Seguridad de la Información se encuentra compuesto por diferentes aplicaciones que, al unirlas, trabajan para que la información que manejan las empresas no pierda ninguna de sus propiedades más importantes. Facilita el cumplimiento de las diferentes fases del ciclo de mejora continua.