Implementación de ISO/IEC 27000

Introducción
 
La información es como el aparato circulatorio para las organizaciones y requiere que se proteja ante cualquier amenaza que pueda poner en peligro a las empresas tanto públicas como privadas, pues en otro caso podría dañarse la salud empresarial.
  • Carlos Manuel Fernandez

Como menciona el Coordinador de TIC de AENOR, Carlos Fernandez, la información es de vital importancia para las empresas, motivo por el cual debe ser tratada de la forma correcta, tomando en cuentas las buenas prácticas y sugerencias que nos brindan las normas establecidas en ISO 27000. El aseguramiento de dicha información y de los sistemas que la procesan es, por lo tanto, un objetivo de primer nivel para la empresa.
ISO/IEC 27000 es un conjunto de estándares que proporcionan un marco de referencia para la gestión de la seguridad de la información.



Costo de implementación de ISO 27000

De acuerdo al especialista líder en ISO 27001, Dejan Kosutic, el costo total de la implementación está íntimamente ligado a cada organización y no puede ser calculado sin tomar en cuenta parámetros como el tamaño de la empresa, la criticidad de la información, el nivel de protección requerido, la tecnología implementada, y las disposiciones legales. Dejan sugiere que primero se debe realizar una evaluación de riesgos, ya que este análisis mostrará qué medidas de seguridad necesita, y posteriormente se tendrá que tener en cuenta los siguientes costos:

  1. Costo de materiales didácticos y entrenamiento: Implementar ISO 27001 va a requerir en casi todos los casos, cambios en la estructura o los procesos de la empresa, por lo que es necesario que el personal sea capacitado por un equipo de expertos en la materia. Dentro de los materiales y documentaciones necesarias, habrá que adquirir primero que nada la norma 27001 propiamente dicha, ya que esta no es de libre distribución, sino que debe comprarse. Adicionalmente se compraran libros relacionados al tema.
  2. Costo de asistencia externa: Contar con el apoyo de un experto en la materia durante todo el proceso de preparación para la certificación será de vital importancia, ya que nos ayudará a tomar las decisiones correctas y reducir el tiempo de implementación, así como a clarificar dudas, e incluso fortalecer la capacitación del personal. Sin duda contratar este servicio no será algo barato, pero nos evitará dolores de cabeza y gastos innecesarios. Si no se cuenta con un gerente de proyecto con amplia experiencia en la implementación de la norma ISO 27001 necesitará contratar alguien que sí tenga ese conocimiento, o se puede optar por alguna alternativa en línea.

  1. Costo de la tecnología: Dejan cuenta en su blog que, aunque pudiera parecer raro, la mayoría de las empresas no necesitan de grandes inversiones en hardware, software o infraestructura, puesto que ya contaban con todas estas cosas. Generalmente, el mayor desafío suele estar en cómo utilizar la tecnología existente de forma más segura. También existirán casos de empresas que aún no cuentan con la tecnología necesaria y deberán hacer fuertes inversiones en equipos (computadoras) o software. Cualquiera que sea el caso, siempre es necesario planificar este tipo de inversiones.

  1. Costo del personal: Obviamente la norma no se implementará sola, como tampoco podrá ser implementada solamente por un consultor (si es que se decide contratar a alguno). La empresa tendrá’ que designar a algunos (o todos) sus empleados para participar en las actividades de implementación. A los empleados les tomará tiempo identificar dónde están los riesgos, cómo mejorar los procedimientos y políticas existentes o implementar nuevas. Además tendrán que dedicar tiempo para capacitarse y asumir las nuevas responsabilidades, así como para adaptarse a las nuevas normas. Toda esta inversión de tiempo significa que sus tareas cotidianas serán impactadas, por lo cual la empresa tendrá que asumir los costos de reducción en la producción y tomar ciertas medidas como el pago de horas extras o la contratación de personal de apoyo.

  1. Costo de la certificación: El especialista Dejan comenta que si la empresa desea obtener una constancia pública de que ha dado cumplimiento a la norma ISO 27001, la entidad de certificación tendrá que realizar una auditoría de certificación, cuyo costo dependerá de la cantidad de días/hombre que le demande hacer el trabajo: podrá ser desde menos de 10 días/hombre para empresas pequeñas hasta unas docenas de días/hombre para organizaciones más grandes. El costo del día/hombre depende del mercado local.

Como podemos ver, no es tan fácil realizar la estimación del costo total de implementación de la norma 27001 y la adquisición de la certificación. Para poder obtener estos detalles será’ necesario acercarse a una empresa experta en el tema, como una Certificadora, y solicitar una cotización específica para su empresa. Será necesario la realización de un estudio previo para determinar las acciones que deben llevarse a cabo para lograr el objetivo. Una vez implementadas todas las sugerencias del experto, se podrá proceder a la auditoría.



Proceso de Auditoría

El portal de ISO 27001 en Español, nos dice que una vez implantado el Sistema de Gestión de Seguridad de la Información en la organización, y con un historial demostrable de al menos 3 meses, se puede pasar a la fase de auditoría y certificación, que se desarrolla de la siguiente forma:


  • Solicitud de la auditoría a la entidad de certificación y toma de datos por parte de la misma.
  • Respuesta en forma de oferta por parte de la entidad certificadora.
  • Compromiso.
  • Designación de auditores, determinación de fechas y establecimiento conjunto del plan de auditoría.
  • Pre-auditoría. Altamente recomendable para preparar a la empresa para la auditoría real. En esta fase se podrán identificar los puntos que deben ser mejorados.
  • Fase 1 de la auditoría: Análisis de la documentación por parte del Auditor Jefe y preparación del informe de la documentación básica del SGSI del cliente, destacando los posibles incumplimientos de la norma que se verificarán en la Fase 2.
  • Fase 2 de la auditoría: es la fase de detalle de la auditoría, en la que se revisan “in situ” las políticas, la implantación de los controles de seguridad y la eficacia del sistema en su conjunto. Se inicia con una reunión de apertura donde se revisa el objeto, alcance, el proceso, el personal, instalaciones y recursos necesarios, así como posibles cambios de última hora. Se realiza una revisión de las exclusiones según la Declaración de Aplicabilidad (documento SOA), de los hallazgos de la Fase 1, de la implantación de políticas, procedimientos y controles y de todos aquellos puntos que el auditor considere de interés. Finaliza con una reunión de cierre en la que se presenta el informe de auditoría.
  • Certificación: en el caso de que se descubran durante la auditoría no conformidades, la organización deberá presentar un Plan de Acciones Correctivas que incluya un análisis de las causas raíz que originaron la desviación.
  • Auditoría de seguimiento: semestral o, al menos, anualmente, debe realizarse una auditoría de mantenimiento que se centra, generalmente, en partes del sistema, dada su menor duración, y tiene como objetivo comprobar el uso del SGSI y fomentar y verificar la mejora continua.
  • Auditoría de re-certificación: cada tres años, es necesario superar una auditoría de certificación formal completa.



Referencias Bibliográficas

  • Fernandez, C. M. (Julio - Septiembre 2012). La norma ISO 27001 del Sistema de Gestión de la Seguridad de la Información.
  • http://www.iso27000.es/certificacion.html#home
  • https://advisera.com/27001academy/es/blog/2011/02/08/cuanto-cuesta-la-implementacion-de-la-norma-iso-27001/

Comentarios

Publicar un comentario

Entradas populares de este blog

U3 - 5. Estrategia y técnicas de negociación integrativa

Imagen
Estrategia y técnicas de negociación integrativa Designed by Freepik   Comprometerse con los intereses de la otra parte y con los propios hace que la resolución de problemas sea la estrategia preferible. En muchas negociaciones no es necesario que haya ganadores y perdedores, pues todas las partes pueden ganar. En una negociación integradora las metas de las partes no son excluyentes. Si una parte consigue sus metas, no evita que la otra parte alcance las suyas. Las ganancias de una parte no es a expensas de la otra. Para que una negociación se considere integradora, los negociadores deben: Concentrarse en las afinidades, no en las diferencias. Intentar abordar las necesidades y los intereses, no las posiciones. Comprometerse a satisfacer las necesidades de todas las partes. Intercambiar información e ideas. Crear opciones para una ganancia mutua. Emplear criterios objetivos para los estándares de desempeño. Panorama del proceso de negociació...
Leer más

U3 - Ensayo de la negociación

Introducción El diario vivir de cada persona se encuentra repleto de decisiones que deben ser tomadas en torno a un conjunto de intereses propios. La gran mayoría de estas decisiones suelen ser tan pequeñas e irrelevantes que llegan a pasar desapercibidas, pero hay muchas otras que sí deben ser analizadas con mayor detenimiento. El reto surge cuando nuestros intereses se ven ligados a los de alguien más, de modo que las decisiones no pueden ser tomadas sin la intervención de una segunda parte, generando de esta manera un conflicto. Hablamos de la existencia de un conflicto, cuando dos o más personas tienen diferentes percepciones acerca de un tema determinado, y se necesitan mutuamente para solucionarlo. Surge de esta manera un proceso llamado negociación, que puede ser definido, citando a Pruitt y Carnevale (1193) , como una " discusión entre dos o más partes que desean resolver intereses incompatibles". Por lo tanto, la negociación es una actividad habitual en el ser h...
Leer más

U3 -2. Estilos alternativos, estrategias y técnicas de negociación

Etapas de la negociación Es indispensable ver el proceso en 5 etapas: preparación, introducción, iniciación, intensificación y cierre. Sin embargo, no debe esperar que el proceso siempre se dé en cinco etapas distintas, ya que normalmente las etapas se traslapan. Cuanto mas compleja sea el asunto de la negociación, más lo será el proceso. Etapa Introductoria Uno de los primeros pasos en la interacción es establecer el tono de la negociación, refiriéndonos a una atmósfera competitiva o cooperativa. En esta etapa se pretende hacer contacto personal, establecer la confianza y el tono. Debe transmitirse una actitud cálida y cooperativa, tratando a la otra persona con dignidad y respeto. El comportamiento y el lenguaje corporal son pistas sobre la actitud de una persona hacia la negociación. Si ambas partes intentan establecer el mismo tono, comenzarán a progresar. Si una de las partes adopta un tono competitivo mientras que la otra busca uno cooperativo, el primer tema a neg...
Leer más