ISO 27001: ¿Cómo organizar la implantación de un SGSI?

Sistema de Seguridad de la Información

Dentro del marco de referencia que se decida utilizar, el proceso de implementación de Sistema de Gestión de Seguridad de la Información ISO 27001, es probablemente un trabajo muy completo.

Por lo que no se puede asignar a su administrador de sistemas para que lleve a cabo el proceso de implementación de la ciberseguridad, siendo un trabajo bastante complejo. No se puede asignar sólo al administrador de sistemas para que lo haga como su trabajo habitual, ya que:

1. Es muy complejo para que una única persona lo maneje sin tener establecido un plan.
2. No estamos hablando de una terea exclusiva de TI.
3. Cualquier persona que se encuentre bajo la estructura organizativa que no tenga la experiencia suficiente para manejar a las personas, es probable que no se encuentre debidamente capacitada para realizar dicho trabajo.

Para poder iniciar la implementación de un Sistema de Gestión de Seguridad de la Información, ISO27001, se tienen que seguir estos pasos:

Durante la implementación nunca se podrá terminar sin tener establecida una estructura del proyecto. Por lo que esto puede significar que alguna metodología para la gestión de proyectos puede ser aplicada, pero se debe determinar lo siguiente:

1. Se tiene que conseguir el proyecto.
2. Determinar la persona responsable de proyecto, es decir, el gerente de proyectos se encarga de coordinar todos los esfuerzos y será el responsable de tramitar los plazos y obtener los resultados del mismo.
3. Determinar quién será el promotor del proyecto, es decir, una persona de la gerencia que intervenga cuando el proyecto se quede parado.
4. Establecer cuáles serán los pasos, los resultados, los plazos y los logros del proyecto.
5. Formar un equipo del proyecto que ayudará en la coordinación con diferentes unidades organizacionales.

Lo mejor es que los miembros del equipo del proyecto sean seleccionados tanto desde el sector comercial como del TI de la organización.

El marco de referencia de la norma ISO-27001 selecciona todos los pasos previos que proporciona una excelente base sobre la cual se construye la seguridad, pero esto no conlleva todo el conocimiento teórico y práctico necesario para poder implementarla.

Se tiene que decidir cuál de estas opciones se escogerá:

• Se tiene que implementar la seguridad solamente en los trabajadores.
• Implementar la seguridad en los trabajadores utilizando asesoramiento externo de expertos.
• Implementar la seguridad utilizando solamente ayuda externa, es decir, consultores expertos.

La primera opción en principio es la más económica, aunque también se demanda mucha mayor cantidad de tiempo ya que se tiene que capacitar a los trabajadores o buscar personal para contratar que ya cuente con los conocimientos necesarios. En la implementación se puede dar cuenta de los fallos que tuvo al realizar ciertos pasos, y que llegar a la conclusión de que le costaron más que si hubiera elegido asesoramiento externo. Esta opción es muy recurrente cuando se cuenta con información altamente  confidencial, y no quiere que nadie externo a la organización conozca de su existencia.

La segunda opción es mucho más rápida que la primera opción, pero no tanto como la tercera. Lo mejor que tiene es que consigue un buen equilibrio entre no cometer demasiados errores, y además obtener la mayor transferencia de conocimientos a sus trabajadores. Esto se realiza mediante las capacitación, que como es normal siguen siendo necesarias, aunque también se consigue con el aprendizaje que le transmite el especialista contratado para la implementación.

La tercera opción es la más rápida y cuenta con plazos muy cortos. De todas formas, se tiene que ser consciente de que los consultores no resultan económicos para las organizaciones y además, si una tercera persona es la encargada de redactar todos los procedimientos, sin importan lo bueno que sea dicho consultor, el gerente se puede enfrentar a dos problemas:

• Los trabajadores pueden sentir que las políticas y los procedimientos no es algo suyo y podrían resistirse a la implementación.
• La transferencia de conocimientos no serán tan amplia como en la segunda opción, además se puede encontrar con que le faltan trabajadores capacitados para mantener el Sistema de Seguridad de la Información una vez que el consultor no esté.

El simple hecho de generar un plan no significa que el proyecto salga adelante con éxito. También es necesario emplear tiempo y dinero para que el proyecto se desarrolle satisfactoriamente.

Lo normal es que la persona encargada del proyecto planifique el presupuesto y las planificaciones comerciales:

• Tiempo y costo de los trabajadores: el tiempo en el que ellos deben invertir en capacitación, desarrollo de documentación, coordinación del proyecto, adaptación a las nuevas reglas.
• Costo en tecnología: cuando sea necesario invertir en nuevas tecnologías a medida que se han detectado como mayores riesgos. Observamos que es muy posible que usted se encuentre en su poder con la mayor parte de la tecnología. En general, la principal inversión necesaria es en recuperación de desastres. Esta recuperación es una solución técnica en la que sus datos y tecnología se encuentran disponibles no solamente en la ubicación habitual, sino además en un lugar alternativo que utiliza en caso de que ocurra un desastre.
• Costo de asistencia externa: se incluye todos los consultores, la capacitación, las diferentes herramientas que pueden utilizar, las plantillas de documentación, etc.
• Costos de certificación: se decide si la certificación tendrá algún costo. De todas formas, dentro de estos costos serán los menores.

El Software ISO 27001 para Riesgos y Seguridad de la Información, está capacitado para responder a numerosos controles para el tratamiento de la información gracias a las aplicaciones que contiene y que son totalmente configurables según los requerimientos de cada organización.