¿Cómo elegir al director de proyecto de la norma ISO 27001 2013?
ISO 27001 2013
Si está pensando en implementar un Sistema de Gestión de Seguridad de la Información según la norma ISO 27001 2013, puede que este preguntando: ¿Quién podría liderar un proyecto tan complejo?
En primer lugar, no se debería pensar en comenzar a aplicar los requisitos de la norma ISO 27001 2013 sin contar con un proyecto, para tener éxito se necesitan hitos y plazos planteados por el director del proyecto.
Perfil del gerente de proyecto
La norma ISO 27001 2013 se encuentra estrechamente relacionada con la tecnología de la información, el director del proyecto tiene que contar con el conocimiento necesario en TI. Sin embargo, el proyecto no debe ser tratado como un proyecto de TI, por lo que se debe evitar tener a alguien en su departamento de TI que lleve este tipo de proyecto.
El director de proyecto debe ser alguien que tengan conocimientos de TI y de los procesos de negocio de su organización, ya que la gestión de seguridad de la información, en la mayoría de los casos se relaciona con cuestiones de la empresa, no de la tecnología.
Desde el gestor de este tipo de proyectos a menudo se encuentran con la oposición de algunas personas, dicha persona debe tener la suficiente autoridad, ya sea por posición o por respeto a sus compañeros.
Una vez el proyecto se ha terminado, la persona será la candidata más probable para convertirse en el director de Sistema de Gestión de Seguridad de la Información ISO 27001 2013 o el administrador de continuidad del negocio. Para las organizaciones más pequeñas, por lo general tendrá una posición que cubra la seguridad de la información y la continuidad del negocio, mientras que en las grandes organizaciones estas funciones serán independientes aunque a menudo se produce en el mismo departamento.
Habilidades necesarias y disponibilidad
Sería muy importante que un jefe de proyecto tenga la experiencia en la aplicación de la norma ISO 27001 2013, aunque encontrar a estas personas es bastante difícil. Lo normal es que una persona de su organización bien elegida sea la que se forme en este tema.
En la mayoría de casos, la persona obtendrá todas las habilidades asistiendo a cursos, los mejores son de auditor y de implementador.
La relación del tiempo necesario sería diferente para cada tipo de empresa, es decir, una empresa pequeña necesita que el director de proyecto utilice como una o dos horas diarias para este tipo de proyecto, para una organización muy grande puede consumir todo su tiempo en el proyecto.
Dentro de la organización o subcontratar
No existe duda sobre que el director del proyecto debe ser alguien que se encuentre dentro de la organización, esto es necesario porque alguien ajeno a la organización puede ser que no conozca todos los detalles y aspectos culturales en su organización. Cuando las cosas se ponen difíciles se necesita contar con alguien que sabe que debe hacer o a quién tiene que recurrir.
Aunque en parte es necesaria la ayuda de alguien externo a la organización, ya que puede aportar conocimientos necesarios para la implementación de la norma ISO 27001 2013 y así conseguir que el proyecto tenga el éxito deseado.
¿Qué tipo de autoridad?
Esta puede ser la pregunta más difícil, ya que por un lado el director del proyecto sólo tiene un trabajo temporal y por otro lado, tiene que cambiar cómo se hacen las cosas en su organización. Por lo que teóricamente, esta persona debe tener una autoridad formal para implementar cualquier cambio necesario en el marco del proyecto de la implementación de la norma ISO 27001 2013.
Pero, en realidad, las siguientes dos características serán mucho más importante que la autoridad formal:
1) ¿Cómo se lleva el director del proyecto con el patrocinador del proyecto? Ya que cada vez que el director del proyecto se encuentre con un muro, debe ser el patrocinador el que le proporciona las herramientas para poder eliminar dicho muro.
2) El nivel de habilidades diplomáticas con las que cuenta el director del proyecto de implementación de la norma ISO 27001 2013, ya que el patrocinador no va a entrar en un mayor nivel de detalle, necesita al director del proyecto para encontrar formas de evitar dicho muro.
Además, el director del proyecto es una figura central de su aplicación, y el éxito de su proyecto depende de lo que piense dicha persona. Además, para tener éxito, es necesario encontrar a la persona perfecta, que cuente con las habilidades necesarias. La alternativa sería contar con un proyecto interminable.
Software ISO 27001
El estándar internacional ISO 27001 2013, junto con todas las normas que componen su familia, generan todos los requisitos necesarios para poder implementar un Sistema de Gestión de Seguridad de la Información de una forma rápida y sencilla, además el Software ISOTools Excellence para la norma 27001 2013 presta solución a todas estas cuestiones que se plantean a la hora de implementar un Sistema de Gestión de Seguridad de la Información en una empresa.