Esta es, habitualmente, una de las primeras preguntas que me hacen los potenciales clientes. Y aunque tenga que desilusionarlos, no puedo proporcionarles inmediatamente la cifra exacta. Por los siguientes motivos.
Ante todo, el costo total de la implementación dependerá del tamaño de su organización (o del tamaño de la(s) unidad(es) de negocio que se incluirá(n) dentro del alcance de la norma ISO 27001), del grado crítico de la información (por ejemplo, la información de los bancos se considera más crítica y requiere un nivel de protección mayor), de la tecnología que utiliza la organización (por ejemplo, los centros de datos suelen tener mayores costos debido a sus complejos sistemas) y de las disposiciones legales (generalmente, los sectores públicos y financieros están muy controlados en relación con la seguridad de la información).
Además, sería imposible calcular los costos exactos antes de saber qué nivel de protección necesita. Primero debe realizar una evaluación de riesgos, ya que este análisis le mostrará qué medidas de seguridad necesita.
Una vez que conozca el resultado de la evaluación de riesgos, tendrá que tener en cuenta los siguientes costos:
1. Costo de publicaciones y de capacitación
La implementación de la norma ISO 27001 requiere cambios en su organización, y requiere también nuevas capacidades. Usted puede preparar a sus empleados comprando diversos libros sobre el tema y/o enviándolos a cursos (presenciales o en línea) de entre 1 y 5 días de duración (consulte Cómo conocer más sobre las normas ISO 27001 y BS 25999-2).
Y no se olvide de comprar la norma ISO 27001 propiamente dicha; con mucha frecuencia me encuentro con empresas que están implementando la norma sin haberla visto realmente.
2. Costo de asistencia externa
Desafortunadamente, capacitar a sus empleados no es suficiente. Si usted no cuenta con un gerente de proyecto con amplia experiencia en la implementación de la norma ISO 27001 necesitará alguien que sí tenga ese conocimiento; para ello, puede contratar a un consultor externo o puede optar por alguna alternativa en línea (esto es lo que hacemos en 27001Academy).
Lo más valioso de tener alguien con experiencia que le ayude en este tipo de proyectos es que usted no terminará en callejones sin salida; es decir, no se pasará meses y meses realizando actividades que no son realmente necesarias o no trabajará con toneladas de documentación no requerida por la norma. Y esto realmente cuesta.
Sin embargo, tenga cuidado con esto y no espere que el consultor haga toda la implementación por usted; la norma ISO 27001 solamente podrá ser implementada por sus empleados.
3. Costo de tecnología
Puede parecer raro, pero la mayoría de las empresas con las que he trabajado no necesitaron de grandes inversiones en hardware, software ni en nada que se le parezca; todas estas cosas ya las tenían. Generalmente, el mayor desafío pasó por cómo utilizar la tecnología existente de forma más segura.
Sin embargo, sí es necesario planificar este tipo de inversiones si resultan necesarias.
4. Costo del tiempo de los empleados
La norma no se implementará sola, como tampoco podrá ser implementada solamente por un consultor (si es que contrata alguno). A sus empleados les tomará tiempo identificar dónde están los riesgos, cómo mejorar los procedimientos y políticas existentes o implementar nuevas; les demandará tiempo capacitarse para asumir las nuevas responsabilidades y para adaptarse a las nuevas normas.
5. Costo de la certificación
Si usted desea obtener una constancia pública de que ha dado cumplimiento a la norma ISO 27001, la entidad de certificación tendrá que realizar una auditoría de certificación, cuyo costo dependerá de la cantidad de días/hombre que le demande hacer el trabajo: podrá ser desde menos de 10 días/hombre para empresas pequeñas hasta unas docenas de días/hombre para organizaciones más grandes. El costo del día/hombre depende del mercado local.
Tiene que tener mucho cuidado de no subestimar el costo real del proyecto de ISO 27001; si lo hace, la dirección comenzará a ver su proyecto de forma un tanto negativa. En cambio, si puede predecir acertadamente todos los costos demostrará su nivel de profesionalismo. Y no se olvide, siempre debe presentar tanto los costos como los beneficios (consulte Cuatro beneficios clave de la implementación de la norma ISO 27001).
Este documento técnico gratuito también le ayudará a: How to Budget an ISO 27001 Implementation Project.