La manera de reducir gastos al implementar la norma ISO 27001
ISO 27001
Puede ser que existan dos pensamientos principales al iniciar la implementación de la norma ISO 27001:
- Pagaremos mucho dinero para algo que no estamos seguros si es digno de ese gasto.
- La molestia de mantener un Sistema de Gestión de Seguridad de la Información.
Sí, la norma ISO 27001 requiere una inversión pero puede ser que dicha inversión merezca la pena y que se recupere rápidamente. El mayor problema es el siguiente: minimizar los costos de funcionamiento para un Sistema de Gestión de Seguridad de la Información, sobre todo minimizar el tiempo que necesitan los empleados o que pierden en comprender toda la documentación.
Y sí, estoy de acuerdo que muy a menudo grandes cantidades de documentación o documentación inadecuada es un problema, aunque simplemente toma demasiado tiempo para ajustarse a la misma sin ningún beneficio evidente. Por lo tanto, aquí hay 5 principios simples que usted debe tener en cuenta a la hora de desarrollar su Sistema de Gestión de Seguridad de la Información:
No seas demasiado ambicioso
Básicamente, crear sólo los documentos que realmente son necesarios, si usted es una empresa de 10 empleados no es probable que usted necesite establecer una descripción escrita del procedimiento de operación realizado por un comité de seguridad.
¿Cómo saber qué documentos son necesarios? Usted debe comenzar a partir de la cláusula 4.3.2 de la norma ISO 27001, en la que se enumeran todos los documentos obligatorios. Se deben añadir todos los documentos requeridos por otras partes interesadas (la legislación, los acuerdos con los clientes y socios, etc.), y las áreas que son muy complejas o son muy arriesgadas que normalmente necesitan procedimientos para definir las reglas de operación.
El fondo es el propósito de la documentación que es de utilidad para la organización, para describir los procesos para sus empleados no para satisfacer el auditor de certificación.
La documentación debe ser escrita por los que la van a utilizar
No sólo es necesario evitar documentos innecesarios, también es necesario para evitar el contenido innecesario en los documentos requeridos. Muy a menudo veo consultores o expertos en seguridad leyendo demasiado texto en un documento que podría haber sido mucho más corto y más fácil de cumplir.
Sería mejor si los documentos son escritos por los empleados que van a utilizar esos documentos en las operaciones del día a día, ya se asegurarán de que todas las partes poco realistas se retiran porque de lo contrario iban a utilizar mucho tiempo del que en numerosas ocasiones no se dispone.
Obtener el compromiso durante la primera fase
Tener documentos escuetos es la mejor manera para que puedan empezar a cumplir todos los documentos, lo que contribuye al consenso general sobre la «inutilidad de tales documentos.»
Para evitar tal imagen, además de incluir a los empleados por escrito los documentos, también es importante para ejecutar programas de sensibilización y formación, como pueden ser programas que deben funcionar en paralelo a la aplicación de los documentos y controles, porque una vez que se implementan los documentos y controles, la imagen ya se podría convertir irreversiblemente en la dirección equivocada.
Mantener la documentación
Si alguna vez has perdido tiempo revisando un documento que estaba obsoleto, es necesario que te asegures de que la documentación está al día, para lograr esto los documentos deben tener su lugar:
- Cada documento debe tener un dueño que debe comprobar periódicamente si el documento necesita ser actualizado
- Las auditorías internas periódicas y exhaustivas deberían encontrar irregularidades en los documentos
- Las acciones correctivas y preventivas deben aplicarse con eficacia a fin de que todas las no conformidades sean eliminadas de forma continua.
Medir si has conseguido tus objetivos
Medir la eficacia de la seguridad de la información según la norma ISO 27001 todavía es considerado como algo casi místico, sobre todo, se considera como la sobrecarga.
Pero yo diría de manera diferente que si no se puede demostrar que la seguridad de información tiene sentido, siempre será percibido como una sobrecarga en general. Así que en nuestra opinión, tiene sentido establecer unos objetivos claros y, ocasionalmente, comprobar si ha sido alcanzado. Estos controles no tienen que tomar demasiado tiempo, sobre todo si ya tiene algún tipo de cuadro de mando integral en su lugar y será mostrado a la alta dirección si la inversión realizada sobre la norma ISO 27001 ha dado los frutos esperados. Si lo hiciera, se le hará un esfuerzo aún mayor para apoyarlo.
Software ISO 27001
El estándar internacional ISO 27001, junto con todas las normas que componen su familia, generan todos los requisitos necesarios para poder implementar un Sistema de Gestión de Seguridad de la Información de una forma rápida y sencilla, además el Software ISOTools Excellence para ISO 27001 presta solución a todas estas cuestiones que se plantean a la hora de implementar un Sistema de Gestión de Seguridad de la Información en una empresa.