3 opciones estratégicas para implementar cualquier Norma ISO

Si está considerando la implementación de ISO 27001, ISO 9001, ISO 14001, ISO 20000, o de cualquier otra norma de gestión ISO, usted probablemente estará abrumado con varios enfoques acerca de cómo empezar y culminar tal proyecto de manera exitosa.

En mi opinión, existen tres opciones básicas para implementar estas normas: (1) hacerlo completamente usando sus propios empleados, (2) usar un consultor, o (3) (algo intermedio) implementar la norma con un enfoque “Hágalo usted mismo” – pero tomando ventajas del conocimiento externo.

Pero, esos enfoques no son aplicables a todos por igual – he aquí una explicación de cada una de esas opciones, y cuál puede ofrecerle más beneficios.

1) Implementar la norma usando sus propios empleados

Esto es cuando decide implementar la norma sin ayuda externa, usando sólo el conocimiento y la capacidad de sus propios empleados. En esta opción, sus empleados estarán haciendo todo el análisis, conduciendo todas las entrevistas, escribiendo la documentación, etc.

Ventajas. Esta es probablemente la opción menos costosa ya que usted no estará pagando por un servicio externo; tampoco estará permitiendo que personas externas aprendan acerca de sus procesos o documentación internos; finalmente, escribir su propia documentación aumenta el compromiso de sus empleados hacia los cambios requeridos.

Desventajas. Probablemente esta es la opción más lenta porque usted estará haciendo todo por su cuenta; si sus empleados no tienen la experiencia o las habilidades, esto puede ser la opción más costosa por los errores que pueden cometer.

Acá usted encontrará cursos gratuitos en línea para aprender acerca de ISO 27001, ISO 9001, & ISO 14001.


2) Usar un consultor

En esta opción usted contrata a un experto externo (normalmente un consultor local) que tiene experiencia en la implementación de la norma – esta persona hace el análisis de su compañía, conduce las entrevistas, escribe la documentación, y todo lo demás – básicamente, él estaría implementando la norma entera por usted.

Ventajas. Definitivamente esta es la manera más rápida de implementar la norma – si usted contrata a un buen consultor, él o ella tendrá mucha experiencia, y sabrá cómo organizar el proyecto para terminarlo rápidamente; esta también es la mejor opción si sus empleados no tienen tiempo para dedicárselo al proyecto.

Desventajas. Obviamente los consultores cuestan dinero, así que esta es la opción más costosa; además, usted le estará abriendo una puerta a casi todos los secretos de su compañía (p.e., cómo está organizada su compañía, sus procesos principales y las mayores ventajas competitivas, quiénes son las personas más importantes, etc.) a un extraño; finalmente, cuando alguien externo escribe la documentación, los empleados pueden sentir que esas políticas y procedimientos son impuestos, así que buscarán la manera de obviarlos.

Este artículo puede ayudarle: 5 criteria for choosing an ISO 22301 / ISO 27001 consultant.

3) Implementar la norma con un enfoque “Hágalo usted mismo” y usando conocimiento externo

Esta opción se ha vuelto muy popular en los últimos años, y es básicamente algo intermedio entre las dos primeras opciones. Aquí es donde sus empleados ejecutan toda la implementación, pero reciben el conocimiento completo, la documentación, y el soporte de una parte externa. (Por favor tome nota: en esto es que nos especializamos en Advisera.)

Ventajas. Esta opción no es tan costosa como el contratar consultores, y aún usted recibirá el conocimiento y soporte necesarios; además, usted no le dará un total acceso de su información confidencial al personal externo. Además, ya que sus empleados estarán escribiendo la documentación, el compromiso para seguir las nuevas reglas probablemente será mayor.

Desventajas. Sus empleados aún necesitan aprender acerca de la implementación, así que esta no es la manera más rápida de implementar la norma; también, esta opción no resuelve el problema si sus empleados están completamente abrumados con otros proyectos y no tienen tiempo para proyectos adicionales.

Vea también este artículo: When to use tools for ISO 27001/ISO 22301 and when to avoid them.

Entonces, ¿cuál opción seleccionar?

Usted debería implementar la norma usando sus propios empleados si usted tiene empleados que ya tienen experiencia en la implementación, si usted tiene datos muy confidenciales, y si su presupuesto es muy bajo.

Por otro lado, si usted está apurado, y no tiene miedo que algunos secretos de la compañía puedan ser expuestos, entonces usted debería usar un consultor. Por supuesto, usted necesitará un buen presupuesto para esta opción.

Finalmente, seleccione la opción de Implementar “Hágalo usted mismo” si usted quiere que sus empleados aprendan cómo se hace, si no está muy apurado, y si su Líder de Proyecto puede dedicarle al menos un par de horas diariamente al proyecto. Y, por supuesto, si su presupuesto no es muy alto.

Consulte el Software de Cumplimiento de Conformio para ayudarle a completar la implementación de la norma ISO.

Advisera Dejan Kosutic
Autor
Dejan Kosutic
Leading expert on cybersecurity & information security and the author of several books, articles, webinars, and courses. As a premier expert, Dejan founded Advisera to help small and medium businesses obtain the resources they need to become compliant with EU regulations and ISO standards. He believes that making complex frameworks easy to understand and simple to use creates a competitive advantage for Advisera's clients, and that AI technology is crucial for achieving this.

As an ISO 27001 and NIS 2 expert, Dejan helps companies find the best path to compliance by eliminating overhead and adapting the implementation to their size and industry specifics.
Conéctese con Dejan: