¿Cómo utilizar la matriz RACI en un proyecto de implantación ISO 27001?

Un blog editado por ISOTools Excellence

SGSI

Blog especializado en Sistemas de Gestión
de Seguridad de la Información

cerrojo

¿Cómo utilizar la matriz RACI en un proyecto de implantación ISO 27001?

¿Cómo utilizar la matriz RACI en un proyecto de implantación ISO 27001?

matriz RACE

Matriz RACI

Casi siempre, un proyecto de implantación de la norma ISO 27001 genera un sobreesfuerzo para las organizaciones. El personal que se encuentra involucrado tiene diferentes roles y responsabilidades a medida que el proyecto avanza.

Para que se pueda aclarar y controlar la participación activa de los trabajadores en los proyectos, se suele utilizar la matriz RACI. Durante el artículo de hoy queremos mostrar un ejemplo como se puede aplicar la matriz RACI en un proyecto de implantación ISO 27001.

Conceptos básicos de la matriz RACI

La matriz RACI es una forma de realizar la asignación de responsabilidades, y lleva el nombre de las cuatro responsabilidades más comunes: Responsable, Aprobador, Consultado e Informado.

  • Responsable: es la persona que realiza el trabajo hasta completar la tarea.
  • Aprobador: es el encargado de designar a la persona responsable de la tarea, además será el responsable de que la tarea se realice con éxito. En algunos casos el aprobador y responsable pueden ser la misma persona.
  • Consultado: se refiere a las personas que expresan su opinión sobre una actividad en concreto.
  • Informado: designa a aquellos que buscan mantenerse al día sobre el progreso de la actividad.

 

En diferentes situaciones, la misma persona que ejerce el rol de aprobador ejercer el poder de responsable.

Matriz RACI para la implementación del proyecto ISO 27001

Si tenemos en cuenta las definiciones anteriores, en la siguiente tabla se presenta una sugerencia de cómo sería una matriz RACI que cubra con todas las actividades generales que se encuentran relacionadas con un proyecto de implementación ISO 27001 y las funciones involucradas.

Es muy importante que se tenga en cuenta que la matriz se llevó a cabo asumiendo que el proyecto ya cuenta con la participación de la alta gerencia. Conseguir la participación de la gerencia es algo fundamental para obtener el éxito del proyecto. En términos de matriz RACI, esta actividad solo agregaría una complejidad innecesaria. Obtener la aprobación de la gerencia solo se realiza justo antes de comenzar con la planificación y ejecución del proyecto, y dicha actividad se puede definir dentro de los otros documentos de planificación del proyecto.

tablote-01

La participación de la alta dirección suele darse más al principio y al final de proyecto. A la hora de definir los jefes de unidad o propietarios de los procesos serán como responsables de las fases que están relacionadas con la implantación y medición de los controles, la empresa puede hacer cumplir y mantener su compromiso con el proyecto.

Dónde documentar la matriz RACI

La matriz RACI se puede documentar en un documento separado o como parte del plan de proyecto. Con respecto a la persona responsable de conseguir la participación de la gerencia superior para el proyecto, normalmente el autor del plan es esa persona.

Se deberán documentar todos los detalles específicos sobre las responsabilidades en diferentes documentos del proyecto, si existen, como el calendario, el presupuesto, el plan de comunicación y otros documentos que se llevan a cabo como parte de la implantación de la norma ISO 27001.

A la hora de documentar detalles, es muy importante tener en cuenta que cuando un rol se designa como A o R, esto supone que la responsabilidad de ese rol también será la acción de realizar la gestión con respecto a dicha actividad, mientras que la R significa el desempeño de un aspecto operacional de la actividad. Para el monitoreo y medición del desempeño, el jefe del departamento es responsable de revisar los resultados de la medición y definir las acciones apropiadas, mientras que los empleados tienen la responsabilidad de llevar a cabo mediciones y realizar las acciones que decida el jefe del departamento.

Matriz RACI: una herramienta útil para su proyecto de implementación ISO 27001

La matriz RACI es una de las mejores herramientas durante la implantación de la norma ISO 27001, ya que ayuda a definir y aclarar las diferentes responsabilidades de todos en las actividades necesarias, ayudando a minimizar errores de comunicación e implantación.

De forma independiente la metodología que se está usando para la implantación de la norma ISO 27001, dicha matriz puede proporcionarle una visión general clara de todas las responsabilidades.

Software para ISO 27001

El estándar internacional ISO 27001, junto con todas las normas que componen su familia, generan todos los requisitos necesarios para poder implementar un Sistema de Gestión de Seguridad de la Información de una forma rápida y sencilla, además el Software ISOTools Excellence para ISO 27001 presta solución a todas estas cuestiones que se plantean a la hora de implementar un Sistema de Gestión de Seguridad de la Información en una empresa.

Seguridad de la información
1 Star2 Stars3 Stars4 Stars5 Stars (No Ratings Yet)
Cargando…

Loading Facebook Comments ...