¿Cuál es el camino más corto para obtener la certificación en ISO 27001?
ISO 27001
Para obtener el certificado en la norma ISO 27001 no es suficiente con llegar a la entidad de certificación y pedirlo, sino que se deben realizar una serie de acciones para conseguir dicho certificado.
Resulta un proceso muy complejo, por lo que se debe dividir en 5 áreas clave que deben ser abordadas:
Obtener el apoyo de la alta dirección
Demasiadas organizaciones pasan por alto este paso, y esta es la razón por la que suelen fallar las certificaciones bajo la ISO 27001, ya que resulta inevitable que se encuentren con problemas y es necesario solicitar ayuda a la alta dirección. Sin embargo, la alta dirección, sin saber por qué esto es importante, no hacer nada al respecto.
Por lo tanto, para evitar una situación de este tipo, primero hay que conseguir la atención y la comprensión de su CEO, y para hacer esto, usted debe presentarlas con claros beneficios empresariales que ofrece la norma ISO 27001, el igual que el incremento de la cuota de mercado, las elevadas ganancias, la disminución del riesgo de incumplimiento, etc.
Planificar el presupuesto
Si no dispone de presupuesto previsto no le llevará a ninguna parte, es probable que este tipo de proyectos le suponga menos inversión de la que esperaba de manera inicial, pero esto no quiere decir que no deba contar con un presupuesto previo.
En la mayoría de los casos, tendrá una serie de costos seguros como puede ser la adquisición de la norma ISO 27001, la formación a los trabajadores, la tecnología, la contratación de un auditor, etc. Esto se debe a que la mayor parte de la tecnología que se utiliza ya se encuentra disponible en la organización, pero sus trabajadores tendrá que organizarse con el fin de comenzar a utilizar dicha tecnología de una forma mucho más segura.
Cómo realizar la aplicación de un proyecto
Implementar la norma ISO 27001 es principalmente la organización de los procesos de seguridad que se llevan a cabo en la organización, por lo que no puede encargarse una sola persona de todo ese trabajo, ni tampoco se podrá encargar una persona que lleve muy poco tiempo en la organización o que disponga de poca experiencia en la ejecución de un proyecto y esperar que dicha persona coordine todo lo necesario para la organización.
La aplicación de la norma ISO 27001 se trata como un proyecto normal, lo que supone la selección de un jefe de proyecto con experiencia y el establecimiento de los plazos necesarios para obtener los resultados esperados.
No debe saltarse ningún paso durante la implementación
Existen muchos entusiastas que omiten pasos cruciales en la norma ISO 27001, como la evaluación del riesgo, sólo para saltar a la aplicación real. Sin embargo, esta norma ISO 27001 se encuentra escrita de una forma secuencial, y esto se hace por una buen razón. No se deben implantar controles a menos que existen incidentes potenciales que requieran de una inversión, es decir, primero se debe realizar una evaluación de riesgos con el fin de averiguar qué cosas malas pueden suceder y luego decidir que se necesita para mitigar los riesgos.
La elección de la entidad de certificación
No todos los organismos de certificación son iguales. Es posible que usted encuentra al menos un par de ellos en su país, por lo que será capaz de elegir el que más le convenga.
El precio es muy importante, aunque no es el único criterio que se debe utilizar por lo que también es importante es que los auditores conozcan las actividades que realiza su industria, que tenga una buena reputación, que pueda certificar la norma que le interesa, etc.
¿Cuánto tiempo tardará?
Debe preguntarse si será capaz de implantar la norma ISO 27001 sin abordar estos elementos. Por lo que si usted quiere conseguir el certificado en un corto espacio de tiempo, estos temas son muy importantes y deben ser cuidados.
Si está preparado, puede ser que la implementación y certificación de la norma ISO 27001 tarde unos 4 o 6 meses para una empresa pequeña, hasta 10 meses para una empresa de tamaño mediano y sobre 12 meses para una empresa grande.
Si no se toman suficientemente enserio el proyecto, éste puede convertirse en uno de los proyectos que parecen agradables pero que nunca fueron terminados.
Software ISO 27001
El estándar internacional ISO 27001, junto con todas las normas que componen su familia, generan todos los requisitos necesarios para poder implementar un Sistema de Gestión de Seguridad de la Información de una forma rápida y sencilla, además el Software ISOTools Excellence para la norma ISO 27001 presta solución a todas estas cuestiones que se plantean a la hora de implementar un Sistema de Gestión de Seguridad de la Información en una empresa.
