Ver Suplemento Temático...


Seguridad de la Información y Protección de Datos.

 

 Expertos

Pere Pla


Consulting Manager at Aronte Enterprise Services, S.L.

ISO 27001 Reflexiones en una noche de insomnio


Como todos sabemos la norma ISO 27001 nos ofrece un modelo para crear, implementar, supervisar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI). Hay que tener varias cosas claras a la hora de tomar la decisión de adaptarnos a esta norma:

  • Podemos adaptarnos a la norma y no certificarnos
  • Siempre es una decisión estratégica de empresa
  • La empresa que nos realiza la adaptación no tiene por qué estar certificada con esta ISO
  • La empresa que realice la consultoría no puede hacer la auditoría para la certificación.
  • Cualquier ISO no es sólo un diploma en la pared
  • La duración del proyecto depende del ámbito y de la complejidad de la organización.
  • Si la empresa tiene una siempre será menos laboriosa la adaptación.

Aronte ISO27001

¿Todo el mundo necesita la ISO 27001?

Aunque no hay unas reglas claras cada empresa debe decidir por sí misma si realmente le compensa la adaptación. Como sugerencias o argumentos tengamos en cuenta los siguientes:

  • Una adaptación a la ISO 27001 hace ganar valor a la empresa y así debe venderse internamente. Seguro que funcionará de manera más óptima y segura después de su adaptación.
  • Si la empresa es del ramo financiero, es de nueva creación y busca inversores o trabaja con datos sensibles por supuesto que debe adaptarse. Y si lo exigen nuestros proveedores no nos quedará más remedio.
  • Debemos poder pagarla, no podemos hipotecar otras inversiones necesarias para los objetivos de la empresa. Es decir, no nos vendamos el vehículo para poder comprar combustible.

Aronte Adaptación ISO27001

¿Cuánto va a durar y cuando va a costar el proyecto?

La duración depende del ámbito que queramos abarcar. Mi recomendación, si somos novatos en estos proyectos, es focalizarse en una área muy determinada y acotada. Esto nos permitirá aprender para poderlo escalar a niveles más amplios de una forma relativamente fácil.

El coste depende de muchos factores. En primer lugar depende de quién lo realice ya que cada empresa tiene unos costes determinados en función de la infraestructura que debe mantener.

La forma de trabajar también nos dará el coste. El proyecto puede realizarse en varios formatos (que no todas las empresas lo permiten):

Proyecto llave en mano. La empresa o persona que contratemos lo realiza totalmente: suministra las plantillas y cumple su calendario del proyecto. El personal de la empresa contratante solamente deberá suministrar la información requerida y validar las documentaciones.

Aronte ISO27001 llave en mando

Proyecto mixto. Las empresas contratantes y contratadas se reparten tareas en el proyecto y al final se hace de forma totalmente conjunta. El calendario varía constantemente.

Aronte ISO27001 Proyecto Mixto

Proyecto mentorizado. La empresa contratada actúa como mentor y organiza el proyecto como un curso con datos reales. Convoca reuniones y da trabajo al personal de la empresa, suministra las plantillas y el conocimiento. El calendario es un misterio.

Aronte ISO27001 Mentorizado

Conclusiones

La adaptación, con o sin certificación de la ISO 27001 siempre dará valor a la empresa pero tiene que ser algo en que crea la Alta Dirección. Para las personas más directamente relacionadas con el proyecto les ofrecerá una visión nueva de la seguridad y un gran aporte de conocimientos de gestión de la seguridad.

Suplemento Temático: Los nuevos retos del Director de Seguridad

 


Fuente: Aronte
Fecha: 2016-05-11

   Mas artículos de Pere Pla        Otros Expertos   

Este experto ha sido visto por 539 personas.