The ISO 27001 & ISO 22301 Blog

Dejan Kosutic

¿Cuánto cuesta la implementación de la norma ISO 27001?

Esta es, habitualmente, una de las primeras preguntas que me hacen los potenciales clientes. Y aunque tenga que desilusionarlos, no puedo proporcionarles inmediatamente la cifra exacta. Por los siguientes motivos.

Ante todo, el costo total de la implementación dependerá del tamaño de su organización (o del tamaño de la(s) unidad(es) de negocio que se incluirá(n) dentro del alcance de la norma ISO 27001), del grado crítico de la información (por ejemplo, la información de los bancos se considera más crítica y requiere un nivel de protección mayor), de la tecnología que utiliza la organización (por ejemplo, los centros de datos suelen tener mayores costos debido a sus complejos sistemas) y de las disposiciones legales (generalmente, los sectores públicos y financieros están muy controlados en relación con la seguridad de la información).

Además, sería imposible calcular los costos exactos antes de saber qué nivel de protección necesita. Primero debe realizar una evaluación de riesgos, ya que este análisis le mostrará qué medidas de seguridad necesita.

Una vez que conozca el resultado de la evaluación de riesgos, tendrá que tener en cuenta los siguientes costos:

1. Costo de publicaciones y de capacitación

blogpost-banner-22301-es

La implementación de la norma ISO 27001 requiere cambios en su organización, y requiere también nuevas capacidades. Usted puede preparar a sus empleados comprando diversos libros sobre el tema y/o enviándolos a cursos (presenciales o en línea) de entre 1 y 5 días de duración (consulte Cómo conocer más sobre las normas ISO 27001 y BS 25999-2).

Y no se olvide de comprar la norma ISO 27001 propiamente dicha; con mucha frecuencia me encuentro con empresas que están implementando la norma sin haberla visto realmente.

2. Costo de asistencia externa

Desafortunadamente, capacitar a sus empleados no es suficiente. Si usted no cuenta con un gerente de proyecto con amplia experiencia en la implementación de la norma ISO 27001 necesitará alguien que sí tenga ese conocimiento; para ello, puede contratar a un consultor externo o puede optar por alguna alternativa en línea (esto es lo que hacemos en 27001Academy).

Lo más valioso de tener alguien con experiencia que le ayude en este tipo de proyectos es que usted no terminará en callejones sin salida; es decir, no se pasará meses y meses realizando actividades que no son realmente necesarias o no trabajará con toneladas de documentación no requerida por la norma. Y esto realmente cuesta.

Sin embargo, tenga cuidado con esto y no espere que el consultor haga toda la implementación por usted; la norma ISO 27001 solamente podrá ser implementada por sus empleados.

3. Costo de tecnología

Puede parecer raro, pero la mayoría de las empresas con las que he trabajado no necesitaron de grandes inversiones en hardware, software ni en nada que se le parezca; todas estas cosas ya las tenían. Generalmente, el mayor desafío pasó por cómo utilizar la tecnología existente de forma más segura.

Sin embargo, sí es necesario planificar este tipo de inversiones si resultan necesarias.

4. Costo del tiempo de los empleados

La norma no se implementará sola, como tampoco podrá ser implementada solamente por un consultor (si es que contrata alguno). A sus empleados les tomará tiempo identificar dónde están los riesgos, cómo mejorar los procedimientos y políticas existentes o implementar nuevas; les demandará tiempo capacitarse para asumir las nuevas responsabilidades y para adaptarse a las nuevas normas.

5. Costo de la certificación

Si usted desea obtener una constancia pública de que ha dado cumplimiento a la norma ISO 27001, la entidad de certificación tendrá que realizar una auditoría de certificación, cuyo costo dependerá de la cantidad de días/hombre que le demande hacer el trabajo: podrá ser desde menos de 10 días/hombre para empresas pequeñas hasta unas docenas de días/hombre para organizaciones más grandes. El costo del día/hombre depende del mercado local.

Tiene que tener mucho cuidado de no subestimar el costo real del proyecto de ISO 27001; si lo hace, la dirección comenzará a ver su proyecto de forma un tanto negativa. En cambio, si puede predecir acertadamente todos los costos demostrará su nivel de profesionalismo. Y no se olvide, siempre debe presentar tanto los costos como los beneficios (consulte Cuatro beneficios clave de la implementación de la norma ISO 27001).

Este documento técnico gratuito también le ayudará a: How to Budget an ISO 27001 Implementation Project.

Si le gustó este artículo, suscríbase para recibir actualizaciones.

Amplíe su conocimiento con nuestros recursos gratuitos sobre las normas ISO 27001 / ISO 22301.

Puede darse de baja en cualquier momento.

Consulte este Aviso de Privacidad para obtener más información sobre qué datos personales recopilamos, por qué los necesitamos, qué hacemos con ellos, durante cuánto tiempo los guardamos y cuáles son sus derechos.

Una respuesta a “¿Cuánto cuesta la implementación de la norma ISO 27001?”

  1. Dennis Alvarado dice:

    Muy interesante!!

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

NUESTROS CLIENTES

NUESTROS SOCIOS

  • Advisera es un Proveedor TPECS Certificado Global Ejemplar para IS, QM, EM, TL y las Unidades de Competencia AU.
  • ITIL® es una marca registrada de AXELOS Limited. Usada bajo licencia de AXELOS Limited. Todos los derechos reservados.
  • DNV GL Business Assurance es uno de los principales proveedores de certificaciones de sistemas de gestión acreditadas.