Qué te ofrece la norma ISO 27001
ISO 27001
El estándar internacional ISO 27001 nos ofrece un modelo para crear, implantar, supervisar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información. Para ellos debemos tener ciertas cosas claras antes de tomar la decisión de implementar la norma ISO 27001, estas son:
- Podemos adaptarnos a la norma ISO 27001, pero no certificarnos.
- Siempre es una decisión estratégica de la organización.
- La organización que nos lleva a cabo la adaptación no tiene por qué estar certificada bajo la ISO 27001.
- La organización que lleve a cabo la consultoría no puede hacer la auditoría para la certificación.
- Cualquier ISO no es sólo un diploma en la pared.
- La duración del proyecto depende del ámbito y de la complejidad de la empresa.
- Si la empresa tiene una norma implementada siempre será mucho menos laboriosa la adaptación.
Aunque no hay unas reglas claras cada organización debe decidir por sí misma si realmente le compensa la adaptación. Como sugerencia podemos decir lo siguiente:
- Una adaptación a la norma ISO 27001 hace ganar valor a la organización y así debe venderse de forma interna. Seguro que funcionará de forma mucho más óptima y segura después de realizar su adaptación.
- Si la organización es del sector financiero, es de nueva creación y busca inversores o trabaja con datos sensibles es muy recomendable que se adapte. Y si lo exigen nuestros proveedores no nos quedará mucho más remedio.
- Debemos poder pagarla, no podemos hipotecar otras inversiones necesarias para los objetivos de la organización.
¿Cuánto va a durar y cuando va a costar el proyecto?
La duración depende del ámbito que queramos abarcar. Mi recomendación, si somos novatos en la ejecución de estos proyectos, es focalizarse en un área muy determinada y acotada. Esto nos permite aprender para poderlo escalar a niveles mucho más amplios de una forma relativamente fácil.
El coste va a depender de muchos factores. En primer lugar depende de quién lo realice ya que cada organización tiene unos costes determinados en función de la infraestructura que debe mantener.
La forma de trabajar también nos dará el coste. El proyecto puede realizarse en varios formatos:
- Proyecto llave en mano: la organización o persona que contratemos lo realiza totalmente, ofrece plantillas y cumple con el calendario del proyecto. El personal de la organización contratante solamente deberá suministrar la información requerida y validar la documentación.
- Proyecto mixto: Las organizaciones contratantes y contratadas se reparten las tareas en el proyecto y al final se hace de forma totalmente conjunta. El calendario varía de forma constante.
- Proyecto pormenorizado: la organización contratada actúa como mentor y organiza el proyecto como un curso con datos reales. Convoca reuniones y da trabajo al personal de la organización, suministra las plantillas y los conocimientos necesarios para llevar a cabo la implementación de la norma ISO 27001.
La adaptación, con o sin certificación de la norma ISO 27001 siempre ofrece un valor añadido a la organización pero tiene que ser algo en lo que crea la alta dirección de la organización. Para todas las personas que se encuentran directamente relacionadas con el proyecto se deberá ofrecer una nueva visión de la seguridad y el gran aporte que le supone de conocimiento la implantación del Sistema de Gestión de Seguridad de la Información.
Además, si su organización ya cuenta con la norma ISO 27001 implementada y quiere pasar la auditoría de certificación puede ser que se esté realizando la siguiente pregunta: ¿Qué me preguntará el auditor?
La gran mayoría de auditores no suelen llevar preparada una lista con preguntas, ya que cada empresa es diferentes, por lo que deberá improvisar. El trabajo que lleva a cabo un auditor para ofrecer la certificación en ISO 27001 será revisar toda la documentación, hacer preguntas y buscar pruebas que certifiquen que se cumplen todos los requisitos que establece la ISO 27001.
La norma ISO 27001 establece todos los requisitos, que la empresa deberá cumplir. Para poder comprobar que se cumple, el auditor deberá realizar un examen a los procesos, registros, políticas y personas. Las personas serán estudiadas al realizarle diferentes entrevistas personales en las que las preguntas que se llevan a cabo irán encaminadas a conocer que el Sistema de Gestión de Seguridad de la Información se encuentra bien implantado en la organización.
Si desea estar preparado para las preguntas que le realice el auditor de certificación, lo primero que debe hacer es comprobar que dispone de todos los documentos que pueden ser requeridos y después comprobar que la empresa hace todo lo que dice en los documentos y pueda ser probado.
Software ISO 27001
El Software ISOTools Excellence para la norma ISO 27001 presta solución a todas estas cuestiones que se plantean a la hora de implementar un Sistema de Gestión de Seguridad de la Información en una empresa. Toda protección es importante, por mínima que sea, pues el mínimo descuido puede ocasionar una violación de los datos de la misma.