Estas aqui
Home > Es noticia > ISO 27001 Reflexiones en una noche de insomnio

ISO 27001 Reflexiones en una noche de insomnio

ISO 27001 Reflexiones en una noche de insomnio

Como todos sabemos la norma ISO 27001 nos ofrece un modelo para crear, implementar, supervisar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI). Hay que tener varias cosas claras a la hora de tomar la decisión de adaptarnos a esta norma:

  • Podemos adaptarnos a la norma y no certificarnos
  • Siempre es una decisión estratégica de empresa
  • La empresa que nos realiza la adaptación no tiene por qué estar certificada con esta ISO
  • La empresa que realice la consultoría no puede hacer la auditoría para la certificación.
  • Cualquier ISO no es sólo un diploma en la pared
  • La duración del proyecto depende del ámbito y de la complejidad de la organización.
  • Si la empresa tiene una siempre será menos laboriosa la adaptación.

¿Todo el mundo necesita la ISO 27001?

Aunque no hay unas reglas claras cada empresa debe decidir por sí misma si realmente le compensa la adaptación. Como sugerencias o argumentos tengamos en cuenta los siguientes:

  • Una adaptación a la ISO 27001 hace ganar valor a la empresa y así debe venderse internamente. Seguro que funcionará de manera más óptima y segura después de su adaptación.
  • Si la empresa es del ramo financiero, es de nueva creación y busca inversores o trabaja con datos sensibles por supuesto que debe adaptarse. Y si lo exigen nuestros proveedores no nos quedará más remedio.
  • Debemos poder pagarla, no podemos hipotecar otras inversiones necesarias para los objetivos de la empresa. Es decir, no nos vendamos el vehículo para poder comprar combustible.

 ¿Cuánto va a durar y cuando va a costar el proyecto?

La duración depende del ámbito que queramos abarcar. Mi recomendación, si somos novatos en estos proyectos, es focalizarse en una área muy determinada y acotada. Esto nos permitirá aprender para poderlo escalar a niveles más amplios de una forma relativamente fácil.

El coste depende de muchos factores. En primer lugar depende de quién lo realice ya que cada empresa tiene unos costes determinados en función de la infraestructura que debe mantener.

La forma de trabajar también nos dará el coste. El proyecto puede realizarse en varios formatos (que no todas las empresas lo permiten):

Proyecto llave en mano. La empresa o persona que contratemos lo realiza totalmente: suministra las plantillas y cumple su calendario del proyecto. El personal de la empresa contratante solamente deberá suministrar la información requerida y validar las documentaciones.

Proyecto mixto. Las empresas contratantes y contratadas se reparten tareas en el proyecto y al final se hace de forma totalmente conjunta. El calendario varía constantemente.

Proyecto mentorizado. La empresa contratada actúa como mentor y organiza el proyecto como un curso con datos reales. Convoca reuniones y da trabajo al personal de la empresa, suministra las plantillas y el conocimiento. El calendario es un misterio.

 

Conclusiones

La adaptación, con o sin certificación de la ISO 27001 siempre dará valor a la empresa pero tiene que ser algo en que crea la Alta Dirección. Para las personas más directamente relacionadas con el proyecto les ofrecerá una visión nueva de la seguridad y un gran aporte de conocimientos de gestión de la seguridad.

 

Pere Pla

Consulting Manager

Aronte Enterprise Services, S.L.

Contacto:

Aronte Enterprise Services, S.L. – info@aronte.com

@_Aronte

Fuente Noticia TusMedios.es

Powered by WPeMatico

Top