Muchas empresas no se dan cuenta de esto, pero establecer el proyecto de ISO 27001 correctamente al principio de la implantación es uno de los elementos más importantes si desea implementar un SGSI en un tiempo y presupuesto aceptable.
No intenten esto sin apoyo de la Dirección
El compromiso de Dirección debe venir antes que nada – si sus altos ejecutivos no ven beneficio real incrementando el nivel de seguridad mediante el establecimiento de reglas claras, mejor que inviertas tu energía en otra cosa.
Pero esto no puede suceder en un tiempo corto, y mucho menos en una reunión con una presentación de PowerPoint. Este es un proceso donde tienes que jugar un papel activo – primero tienes que conocer los beneficios aplicables para su negocio y luego empujar constantemente este mensaje hacia los que toman decisiones. Vea también: Cuatro beneficios clave de la implementación de la norma ISO 27001.
Obtener el conocimiento
A menos que ya hayas implementado ISO 27001 un par de veces, necesitará aprender cómo hacerlo. La implementación de ISO 27001 es demasiado complejo de entender, y más si lo único que hace es leer la norma.
En esencia, usted tiene tres opciones:
a) Con sus propios empleados – En este caso, tienes que formar a los implicados, tanto a usted como a sus colegas, para así obtener todos los conocimientos necesarios para la implementación. Esta es la mejor opción si no quieres a personal externo en su empresa, y si quieres la mayor curva de aprendizaje para sus empleados. Enviando a tus empleados a cursos de concienciación y consiguiendo algunas otras herramientas (por ejemplo, plantillas, y tutoriales) disminuirá drásticamente el tiempo de implementación.
b) Una combinación de sus empleados con ayuda exterior – Aquí elijes implementar el estándar usted mismo (mediante la realización de todos los análisis, entrevistas, escribiendo la documentación, etc.), pero un experto externo (por ejemplo un consultor) está guiándote paso a paso en todo el proceso. Esta es una buena opción si quieres aprender mucho acerca de la implementación y tener seguridad de que no haces nada mal en el proceso.
c) Un consultor hace la mayor parte del trabajo – Esta es la opción donde se contrata un consultor para hacer todo el trabajo. Esta debe ser la opción más rápida para la implementación de la norma y requiere la menor cantidad de esfuerzo. Lea también 5 criteria for choosing an ISO 22301 / ISO 27001 consultant.
Cómo elegir un Jefe de proyecto
Por supuesto, la implementación de la ISO 27001 debe estructurarse como un proyecto – sin definir exactamente quién es responsable de qué y en qué plazo de tiempo, la posibilidad de que nunca finalice la implementación es alta.
La persona más natural para liderar el proyecto debe ser una persona que está a cargo de la seguridad de la información en su empresa – hay diversos títulos para este trabajo: Oficial jefe de seguridad de la información (CISO), Oficial de seguridad de la información (ISO), Gerente de seguridad, etc. Vea también: Chief Information Security Officer (CISO) – where does he belong in an org chart?
Algunas grandes compañías tienen reglas y estructuras corporativas para la gestión de proyectos, así que en este caso un jefe de proyecto profesional llevaría el proyecto, mientras que un experto en seguridad de la información sería un miembro del equipo de proyecto.
Fases del proyecto
Normalmente, se debe dividir el proyecto en dos fases:
- Análisis y planificación – Aquí es donde debes de definir los objetivos de su proyecto, analizar la situación existente y determinar lo que debe hacerse. En otras palabras, tienes que completar todos los pasos de la fase del Plan (cláusula 4.2.1 del estándar) incluyendo el establecimiento del alcance del SGSI, política de SGSI y objetivos, realizando la evaluación y tratamiento de riesgos y elaborando la Declaración de Aplicabilidad.
- Implementación de salvaguardas – Por desgracia, no puedes saber qué controles de seguridad necesita implementar antes de que termine la fase anterior del proyecto. Así que el plan de implementación detallado será conocido sólo después de que termine la primera fase – básicamente, en la fase de implementación deberá implementar todas las políticas, procedimientos, tecnologías y otras cosas que ayudarán a que su información esté más segura.
Y cuando implementas todos los controles que planificó, su proyecto ha terminado. Pero recuerda, aquí es cuando comienza el trabajo más importante (y más difícil) – incluyendo sus actividades de seguridad en las operaciones diarias.
Haga clic aquí para descargar una vista previa gratuita de plantilla de Plan de proyecto de ISO 27001.
Agradecemos a Antonio Segovia la traducción al español del presente artículo.