¿Por qué capacitarse para implementar un Sistema de Gestión de Seguridad de la Información?
Sistema de Gestión de Seguridad de la Información
El Sistema de Gestión de Seguridad de la Información cumple con una función esencial en las empresas de hoy en día. La labor del implementador de la norma ISO 27001 es muy compleja, y por regla general, difiere dependiendo del sector de en el que trabaje la organización.
La clave está en la formación. A la hora de formar a un implementador de ISO 27001 debe abordar todos los requisitos de la norma, en diferentes sectores, y cómo implantarla.
¿Cómo debería ser la formación?, ¿en qué temas deberá centrarse la formación? Iremos respondiendo a estas dudas durante todo el artículo.
¿Qué debe abordar una formación para implementador de ISO 27001 2013?
Los siguientes son los aspectos que debe abordar un programa de capacitación efectivo para un implementador del Sistema de Gestión de Seguridad de la Información.
Duración, requisitos y exámenes
La duración puede variar según el proveedor del programa de formación. Sin embargo, debe tener en cuenta el temario que se debe abordar y la complejidad que presentan algunos requisitos de la norma ISO 27001, por lo que podríamos considerar que 100 horas sería una duración adecuada. El tiempo de formación, tomado en un periodo de 6 a 8 meses, supone una intensidad horaria aceptable para un programa de calidad.
La capacitación debe ser certificable, y para obtener esta certificación el alumno ha de aprobar un examen final en el que demuestre el conocimiento de la norma ISO 27001.
Si tenemos en cuenta que la mayoría de los procesos en las empresas de hoy en día utilizan información confidencial respaldada por la tecnología, es necesario conocer la relación estrecha entre la seguridad de la información, los procesos de la organización y la tecnología. Este es un requisito previo que cualquier profesional que quiere realizar un programa de formación como implementador de ISO 27001.
Los temas de la formación y el sistema de gestión
Un programa de formación de este tipo se inicia con las generalidades del Sistema de Gestión de Seguridad de la Información. Tan importante como las generalidades, es familiarizarse con el contexto, interno y externo de la empresa, conceptos que son ineludibles a la hora de implantar la norma ISO 27001.
No se pueden dejar de abordar un programa de formación de alto nivel son la planificación de la implantación, el requisito de liderazgo en la norma ISO 27001, la documentación, la evaluación del desempeño del Sistema de Gestión de Seguridad de la Información y la mejora continua como principio fundamental.
Es necesario abordar el Anexo A, soporte de la estructura de la norma ISO 27001 y las auditorías internas del Sistema de Gestión de Seguridad de la Información.
La importancia del Anexo A
En el Anexo A existen 14 dominios y 114 controles. La estructura permite definir los controles apropiados para los riesgos identificados mediante su evaluación. Estos se registran en un documento denominado SoA, siendo las iniciales en inglés de Declaración de Aplicabilidad. El documento define la implementación de la protección de la información y, de forma implícita, los objetivos que se quieren alcanzar.
Un programa de formación de implementador de ISO 27001 debe dedicar tiempo y atención al estudio del Anexo A.
Pues bien, un programa de formación que reúne los requisitos y las características que hemos ido referenciando es el Diplomado Implementador de Sistemas de Gestión de Seguridad de la Información con la ISO/IEC 27001:2013, dictado por la Escuela Europea de Excelencia.
Con una intensidad horaria de 100 horas, que se pueden distribuir a lo largo de 7 meses, este Diplomado aborda uno a uno los requisitos de la norma. Así, se trata desde la planificación, la operación o la implementación, hasta la mejora continua y la auditoría de un Sistema de Gestión de Seguridad de la Información basado en la norma ISO/IEC 27001:2013.
El programa se imparte en 10 bloques y dedica los dos últimos a estudiar el Anexo A y la auditoría del sistema. Se trata de un programa de alto nivel, al que usted y su organización pueden acceder.
Software para ISO 27001
El estándar internacional ISO 27001, junto con todas las normas que componen su familia, generan todos los requisitos necesarios para poder implementar un Sistema de Gestión de Seguridad de la Información de una forma rápida y sencilla, además el Software ISOTools Excellence para ISO 27001 presta solución a todas estas cuestiones que se plantean a la hora de implementar un Sistema de Gestión de Seguridad de la Información en una empresa.