Cargando...
Estás aquí:  Inicio  >  Opinión  >  Gestión  >  Artículo actual

ISO 27001, la mejora de un sistema de gestión de la seguridad de la información

Por   /   21 julio, 2016  /   Sin Comentarios

Por Raquel Barris, Consulting Manager de Aronte Enterprise Services, compañía especializada en consultoría y servicios de informática y seguridad tecnológica.

 

Como todos sabemos la norma ISO 27001 nos ofrece un modelo para crear, implementar, supervisar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI). Gestión de seguridad tecnológica, de PixabayPero hay que tener varias cosas claras a la hora de tomar la decisión de adaptarnos a esta norma:

• Podemos crear una SGSI y adaptarnos a la norma ISO 27001, y no certificarnos. Sin embargo, esto nos quita la ventaja competitiva con otras empresas a la hora de lucir nuestra chapa en la pared, pero no me obliga a un cierto encaje.

• Siempre es una decisión estratégica de empresa. No decide el departamento de informática, y desde luego deber contar con el apoyo de la alta dirección, pues si no es así, está condenada al fracaso.

• La empresa que nos realiza la adaptación no tiene por qué estar certificada con esta ISO. Que una compañía ofrezca consultoría de esta norma no quiere decir que sus sistemas de información necesiten estar certificados.

• La empresa que realice la consultoría no puede hacer la auditoría para la certificación.

• Cualquier ISO no es sólo un diploma en la pared. Su aplicación exige un cambio de mentalidad en la forma de trabajar.

• La duración del proyecto depende del ámbito y de la complejidad de la organización, y cuando se dice que “la implantamos en un mes”, es mentira.

• Si la empresa ya tiene antes sus procesos basados en una norma, siempre será menos laboriosa la adaptación de la ISO 27001.

¿Pero todo el mundo necesita la ISO 27001?

Aunque no hay unas reglas claras, cada empresa debe decidir por sí misma si realmente le compensa la adaptación. No obstante, como sugerencias o argumentos, tengamos en cuenta los siguientes:

• Una adaptación a la ISO 27001 hace ganar valor a la empresa, y así debe venderse internamente. Seguro que funcionará de manera más óptima y segura después de su adaptación.

• Si la empresa es del ramo financiero, es de nueva creación y busca inversores, o trabaja con datos sensibles, por supuesto que debe adaptarse. Y si lo exigen nuestros proveedores, no nos quedará más remedio.

• Debemos poder pagarla; no podemos hipotecar otras inversiones necesarias para los objetivos de la empresa. Es decir, no nos vendamos el vehículo para poder comprar combustible.

¿Cuánto va a durar y cuánto va a costar el proyecto?

La duración depende del ámbito que queramos abarcar. Mi recomendación, si somos novatos en estos proyectos, es focalizarse en un área muy determinada y acotada. Esto nos permitirá aprender para poderlo escalar a niveles más amplios de una forma relativamente fácil.

Por su parte, el coste depende de muchos factores. En primer lugar, depende de quién lo realice, ya que cada empresa tiene unos costes determinados en función de la infraestructura que debe mantener.

Además, la forma de trabajar también nos dará el coste. Y es que el proyecto puede realizarse en varios formatos (que no todas las empresas lo permiten):

– Proyecto llave en mano. La empresa o persona que contratemos lo realiza totalmente: suministra las plantillas y cumple su calendario del proyecto. El personal de la empresa contratante solamente deberá suministrar la información requerida y validar las documentaciones. La ventaja de este sistema es que tendremos un proyecto profesional cerrado, con garantía de cumplimiento de plazos. Pero los inconvenientes pueden ser un precio que no sea adecuado al servicio y que resulte más caro que en otros formatos.

– Proyecto mixto. Las empresas contratantes y contratadas se reparten tareas en el proyecto, y al final se hace de forma totalmente conjunta (el calendario varía constantemente). Su principal ventaja consiste en que se produce una transferencia de conocimiento que permite al cliente involucrarse activamente, aunque su inconveniente fundamental es que tanto el éxito como los plazos pueden resentirse.

– Proyecto mentorizado. La empresa contratada actúa como mentor y organiza el proyecto como un curso con datos reales. Convoca reuniones y da trabajo al personal de la empresa, suministra las plantillas y el conocimiento, si bien su calendario es un misterio. La ventaja clave es que es como asistir a un curso durante la realización del proyecto. Eso sí, entre sus inconvenientes, es preciso citar un liderazgo endeble, que no se cumplirán los plazos y que incluso el proyecto puede quedar inacabado.

En cualquier caso, siempre hay que tener en cuenta que la adaptación, con o sin certificación de la ISO 27001, siempre dará valor a la empresa, pero, eso sí, tiene que ser algo en que crea la alta dirección. Además, a las personas más directamente relacionadas con el proyecto, les ofrecerá una visión nueva de la seguridad y un gran aporte de conocimientos de gestión de la seguridad.

    Print       Email

Sobre el autor

Tras casi 35 años posicionada como la principal revista económica especializada en gestión y management, y habida cuenta de los nuevos modos y necesidades de sus habituales lectores (directivos, emprendedores y empresarios en un 90% de los casos), NUEVA EMPRESA lleva apostando desde principios de 2009 por el mercado digital, convirtiendo la Web en el principal punto de nuestra estrategia, dejando la edición en papel exclusivamente destinada a números especiales sin una periodicidad estipulada.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *