Al igual que sucede con muchos proyectos, comenzar con ISO 27001 es la parte más difícil de la construcción de un sistema de gestión de seguridad de la información. Pero es el principio para obtener la certificación asociada y la garantía de que se está haciendo lo posible por proteger la seguridad de la información de la organización y sus clientes.
Para hacer que la tarea sea más fácil en esos momentos iniciales, compilamos algunas pautas para comenzar con ISO 27001 y sentar las bases para una implementación exitosa.
¿Cómo comenzar con ISO 27001?
Todo comienzo requiere su esfuerzo, pero es importante entender que de la dedicación y la disciplina que se incorpore en esta etapa dependerá el éxito del proyecto en el futuro. Los profesionales que piensan en implementar ISO 27001 y obtener sus beneficios requieren:
Obtener el compromiso de la alta dirección
El liderazgo de la alta dirección es un requisito presente en muchos estándares de ISO, entre los que se encuentra ISO 27001. Sin embargo, en esta norma sobre seguridad de la información es más que un requisito en razón de la cantidad, calidad y coste de los recursos que demanda el proyecto de implementación. Por ello es importante dar a conocer desde el principio su ROI y sus importantes beneficios.
Este compromiso de la dirección, además, debe conservarse en las etapas de planificación, implementación, monitoreo, operación, revisión, mantenimiento y mejora continua, pues el liderazgo de la alta dirección debe ser evidente y comprobable en todo el proceso.
Realizar un análisis de brechas
Antes de realizar presupuestos, cronogramas y asignar responsabilidades, es preciso realizar el análisis GAP o análisis de brechas.
Todas las organizaciones, pequeñas o grandes, complejas o muy básicas, hacen algo para garantizar la seguridad, la integridad y la confidencialidad de su información y la de sus partes interesadas. Algunas hacen mucho. Tanto, que, aunque no sean conscientes de ello, han implementado un sistema de gestión de seguridad de la información. Otras han avanzado muy poco, pero alguna parte del camino han recorrido.
El análisis de brechas consiste en tomar como punto de partida lo que ya existe y establecer qué falta para alcanzar la conformidad con todos y cada uno de los requisitos de ISO 27001. El secreto está en considerar los requisitos del estándar y obtener la colaboración de personas clave. Sin duda, el análisis GAP es un ejercicio que tendría que repetirse periódicamente ya que la información que suministra es en extremo valiosa.
Comenzar con #ISO27001 requiere un esfuerzo en la medida que traerá beneficios. Hacemos que sea más sencillo con algunas pautas básicas Share on XElaborar un presupuesto
Una vez se sabe lo que hay que hacer, es posible estimar en tiempo y dinero la duración y el coste del proyecto. Esta es una etapa esencial de la implementación, ya que de ello depende la asignación de recursos que hará la alta dirección.
Si deseamos que los empleados adopten e implementen los procesos y políticas, primero es necesario informarles sobre cuál es su papel en el logro de los objetivos y la importancia que este tiene. Por ello, en este presupuesto es preciso considerar necesidades de formación y capacitación en distintos niveles. Y finalmente, es preciso considerar los costes de auditoría de certificación.
Planificar
Con recursos es más fácil planificar las tareas que se requieren para la implementación. Ahora es el momento de asignar responsabilidades, elaborar cronogramas, planificar programas de capacitación y formación, programar auditorías, contactar con el organismo certificador y, en fin, lo que significa implementar el sistema de seguridad de la información.
Esto, por supuesto, son los primeros pasos para comenzar con ISO 27001. El camino es largo, pero satisfactorio y reconfortante en la medida en que se evidencian los resultados y los beneficios.
Curso Análisis e Interpretación de la ISO/IEC 27001:2013
Comenzar con ISO 27001 requiere profesionales formados en esta norma, sus principios y sus requisitos de seguridad de la información. Un buen comienzo lo ofrece el Curso Análisis e Interpretación de la ISO/IEC 27001:2013 de la Escuela Europea de Excelencia, programa que se especializa en los principios básicos de este estándar, sus requisitos y la forma adecuada de conducir la implementación.
Se trata de un programa de excelencia para entrar en contacto con el área de seguridad de la información y el estándar ISO 27001 desde el principio.