ISO 27001 & BS 25999

Esta es, habitualmente, una de las primeras preguntas que me hacen los potenciales clientes. Y aunque tenga que desilusionarlos, no puedo proporcionarles inmediatamente la cifra exacta. Por los siguientes motivos.

Ante todo, el costo total de la implementación dependerá del tamaño de su organización (o del tamaño de la(s) unidad(es) de negocio que se incluirá(n) dentro del alcance de la norma ISO 27001), del grado crítico de la información (por ejemplo, la información de los bancos se considera más crítica y requiere un nivel de protección mayor), de la tecnología que utiliza la organización (por ejemplo, los centros de datos suelen tener mayores costos debido a sus complejos sistemas) y de las disposiciones legales (generalmente, los sectores públicos y financieros están muy controlados en relación con la seguridad de la información).

Además, sería imposible calcular los costos exactos antes de saber qué nivel de protección necesita. Primero debe realizar una evaluación de riesgos, ya que este análisis le mostrará qué medidas de seguridad necesita.

Una vez que conozca el resultado de la evaluación de riesgos, tendrá que tener en cuenta los siguientes costos:

1. Costo de publicaciones y de capacitación

La implementación de la norma ISO 27001 requiere cambios en su organización, y requiere también nuevas capacidades. Usted puede preparar a sus empleados comprando diversos libros sobre el tema y/o enviándolos a cursos (presenciales o en línea) de entre 1 y 5 días de duración (consulte Cómo conocer más sobre las normas ISO 27001 y BS 25999-2).

Y no se olvide de comprar la norma ISO 27001 propiamente dicha; con mucha frecuencia me encuentro con empresas que están implementando la norma sin haberla visto realmente.

2. Costo de asistencia externa

Desafortunadamente, capacitar a sus empleados no es suficiente. Si usted no cuenta con un gerente de proyecto con amplia experiencia en la implementación de la norma ISO 27001 necesitará alguien que sí tenga ese conocimiento; para ello, puede contratar a un consultor externo o puede optar por alguna alternativa en línea (esto es lo que hacemos en Information Security & Business Continuity Academy).

Lo más valioso de tener alguien con experiencia que le ayude en este tipo de proyectos es que usted no terminará en callejones sin salida; es decir, no se pasará meses y meses realizando actividades que no son realmente necesarias o no trabajará con toneladas de documentación no requerida por la norma. Y esto realmente cuesta.

Sin embargo, tenga cuidado con esto y no espere que el consultor haga toda la implementación por usted; la norma ISO 27001 solamente podrá ser implementada por sus empleados.

3. Costo de tecnología

Puede parecer raro, pero la mayoría de las empresas con las que he trabajado no necesitaron de grandes inversiones en hardware, software ni en nada que se le parezca; todas estas cosas ya las tenían. Generalmente, el mayor desafío pasó por cómo utilizar la tecnología existente de forma más segura.

Sin embargo, sí es necesario planificar este tipo de inversiones si resultan necesarias.

4. Costo del tiempo de los empleados

La norma no se implementará sola, como tampoco podrá ser implementada solamente por un consultor (si es que contrata alguno). A sus empleados les tomará tiempo identificar dónde están los riesgos, cómo mejorar los procedimientos y políticas existentes o implementar nuevas; les demandará tiempo capacitarse para asumir las nuevas responsabilidades y para adaptarse a las nuevas normas.

5. Costo de la certificación

Si usted desea obtener una constancia pública de que ha dado cumplimiento a la norma ISO 27001, la entidad de certificación tendrá que realizar una auditoría de certificación, cuyo costo dependerá de la cantidad de días/hombre que le demande hacer el trabajo: podrá ser desde menos de 10 días/hombre para empresas pequeñas hasta unas docenas de días/hombre para organizaciones más grandes. El costo del día/hombre depende del mercado local.

Tiene que tener mucho cuidado de no subestimar el costo real del proyecto de ISO 27001; si lo hace, la dirección comenzará a ver su proyecto de forma un tanto negativa. En cambio, si puede predecir acertadamente todos los costos demostrará su nivel de profesionalismo. Y no se olvide, siempre debe presentar tanto los costos como los beneficios (consulte Cuatro beneficios clave de la implementación de la norma ISO 27001).

También puede dar un vistazo a nuestro tutorial en vídeo Cómo comenzar el proyecto ISO 27001: redacción del Plan del proyecto (es un vídeo comercial disponible para la venta).

La autoinstrucción es, sin dudas, una de las mejores formas de hacer posible la implementación de las normas ISO 27001 y BS 25999-2. Debido a que hay cada vez más y más tipos de cursos disponibles, intentaré explicar sus beneficios y sus diferencias.

El primero es la lista de cursos presenciales. Estos cursos aún son mayoría, pero están perdiendo terreno sostenidamente a mano de los cursos en línea (se explican al final del presente artículo).

Curso de Auditor Líder en ISO 27001 o BS 25999-2

Este es el curso más popular, tanto para ISO 27001 como para BS 25999-2; dura 5 días y termina con un examen escrito. El examen es bastante difícil; por lo tanto, bien podría considerarse que este es el mejor curso para esas dos normas. Si aprueba el examen, usted puede convertirse en auditor para una entidad de certificación. Pero ese no es el principal beneficio: es el más útil para profesionales que implementan las normas porque les proporciona una excelente perspectiva sobre las mismas y les brinda explicaciones exhaustivas sobre lo que pedirán los auditores en la auditoría de certificación. Por consiguiente, es útil tanto para auditores como para consultores.

El público al que está orientado este curso está compuesto por profesionales con mediana o mucha experiencia en seguridad de la información, continuidad del negocio, auditoría o TI. Se recomienda que realice solamente cursos reconocidos (por ej., por el IRCA – irca.org).

Curso de Consultor Líder en ISO 27001 o BS 25999-2

Este curso es un tanto parecido al Curso de Auditor Líder en ISO 27001 o BS 25999-2, pero no es tan popular. La diferencia es que este curso se centra en las técnicas de implementación más que en las técnicas de auditoría; por lo tanto, si la certificación no es lo que le interesa, puede encontrar más apropiado este curso.

En este caso, el público al que está orientado el curso es similar: profesionales con mediana o mucha experiencia en seguridad de la información, continuidad del negocio o TI.

Curso de Auditor Interno en ISO 27001 o BS 25999-2

Este curso es una versión no tan profunda del Curso de Auditor Líder en ISO 27001 o BS 25999-2; generalmente dura 2 o 3 días, puede o no tener un examen y el contenido es una versión condensada del curso mencionado. La principal diferencia es que con este curso usted no puede hacer carrera como auditor en una entidad de certificación. Sin embargo, si desea obtener una introducción sistemática al mundo de las normas ISO 27001 o BS 25999-2 o si evalúa convertirse en auditor interno en su empresa, este curso es el indicado para usted.

El público al que está orientado está conformado por profesionales con poca o mediana experiencia en seguridad de la información, continuidad del negocio o TI.

Curso Base o Curso Introductorio para ISO 27001 o BS 25999-2

Estos cursos generalmente duran uno o dos días. Su objetivo no es enseñarle técnicas de auditoría o implementación sino darle una visión general de los requisitos y de los temas de implementación. Si usted no cuenta con mucho tiempo y desea conocer qué experimentará su empresa durante la implementación, sí evalúe uno de estos cursos.

El público al que están orientados son la dirección o profesionales sin experiencia en seguridad de la información o continuidad del negocio.

Otros cursos sobre seguridad de la información o continuidad del negocio

Es posible que haya escuchado sobre cursos de Auditor Certificado de Sistemas de Información (CISA, por sus siglas en inglés), Administrador Certificado de Sistemas de Información (CISM) o Profesional Certificado en Sistemas de Seguridad de la Información (CISSP). Aunque creo que estas opciones son muy útiles para una carrera en seguridad de la información o continuidad del negocio, no son directamente relevantes para las normas ISO 27001 o BS 25999-2. Por lo tanto, pienso que debería tomar los cursos de CISA, CISM y/o CISSP después de haber realizado cursos directamente relacionados con las dos normas.

Cursos en línea

Además de los mencionados cursos presenciales, los cursos en línea (ya sea en el formato de e-learning o webinar en vivo) tienen cada vez más presencia, en parte por los menores costos, ya que no tienen gastos de viajes ni representan tiempo perdido fuera de la oficina. Hay cada vez más y más empresas en Internet que ofrecen más y más contenidos de calidad (incluida nuestra Information Security & Business Continuity Academy). Usted puede encontrar cursos que duran desde una hora (por ej., webinars gratuitos) hasta varias semanas (por ej., cursos de e-learning).

El principal beneficio de los cursos en línea es que usted puede adquirir conocimientos más relevantes en un menor período de tiempo y por menos dinero; aunque la efectividad real de este tipo de cursos aún es una incógnita.

Pero, independientemente del formato o tipo de curso que haga, asegúrese de una cosa: la utilidad de la inversión se verá rápidamente.

También puede dar un vistazo a nuestra serie de tutoriales en vídeo sobre ISO 27001, que explica cada paso de la implementación de esta norma (son vídeos comerciales disponibles para la venta).

¿Su gerencia le ha asignado la tarea de implementar la continuidad del negocio pero usted no sabe muy bien cómo hacerlo? Aunque no se trata de una tarea sencilla, puede utilizar la metodología de la norma BS 25999-2 para facilitar las cosas. Los siguientes son los pasos principales que necesita seguir para implementar esta norma:

1. Obtener el apoyo de la dirección

Si bien no es un paso obligatorio de la norma BS 25999-2, sí se trata de un paso crucial al inicio: si la dirección no comprende los beneficios de la continuidad del negocio y no se compromete con el proyecto, lo más probable es que su proyecto fracase.

2. Tomarlo como un proyecto

La creación de su sistema de gestión de la continuidad del negocio (SGCN) le demandará bastante tiempo y recursos ya que debe definir claramente qué se necesita hacer, dentro de qué plazos y cuáles son las funciones en la implementación del proyecto. En otras palabras, debe aplicar métodos de gestión de proyectos.

3. Definir objetivos y alcance; redactar una Política de GCN

Debe definir qué es lo que usted desea lograr con el SGCN; es decir, cumplir, disminuir el nivel de riesgo, requisitos de sus clientes o socios, etc. También debe definir qué incluirá en su SGCN, si a toda la organización o solamente a una parte. Por ejemplo, puede decidir que incluirá sólo el centro de datos si usted suministra servicios de alojamiento a sus clientes. Todo esto tiene que estar documentado en la Política de GCN.

4. Definir las funciones y las responsabilidades para el SGCN

Como el SGCN se convertirá en una actividad permanente en su organización, es necesario asignar responsabilidades precisas, especialmente para el “promotor” del SGCN (alguien que sea responsable por el SGCN pero que no esté involucrado en las actividades diarias del mismo) y para el “coordinador de GCN”, “gerente de GCN” o similar (una o más personas con tareas activas relacionadas con el SGCN). Lo mejor es documentar estas funciones y responsabilidades en su Política de GCN.

5. Implementar procedimientos obligatorios

La norma BS 25999-2 requiere que se implementen los siguientes cuatro procedimientos obligatorios: control de documentos y registros, auditoría interna, medidas preventivas y correctivas. Estos procedimientos son, en realidad, la base de su sistema de gestión, igual que con las normas ISO 27001 o ISO 9001.

6. Realizar un análisis de impactos en el negocio y evaluación de riesgos

Mediante el análisis de impactos en el negocio usted debe identificar las actividades críticas, su período máximo tolerable de interrupción, sus dependencias (incluidas las dependencias con proveedores y socios externos) y debe establecer objetivos de tiempo de recuperación.

Al realizar la evaluación de riesgos encontrará realmente cuáles pueden ser las causas de interrupción de sus actividades críticas; pueden ser naturales pero también puede tratarse de actividades realizadas por personas (ya sea en forma maliciosa o accidental). También tendrá que llevar a cabo el tratamiento de riesgos, que implica que debe decidir cómo disminuir la posibilidad de que algo funcione mal. Desafortunadamente, la evaluación y el tratamiento de riesgos no están muy bien definidos en esta norma; por lo tanto, podría consultar la norma ISO 27001, que los describe mucho más detalladamente.

7. Determinar la estrategia de continuidad del negocio

Antes de continuar con la redacción de planes de continuidad del negocio, en realidad debe determinar qué recursos necesitará para retomar sus actividades críticas: qué empleados, ubicaciones, datos, hardware, software, proveedores, socios externos, etc.

La estrategia de continuidad del negocio no sólo debe determinar lo que usted necesita, sino también cómo hará para asegurar esos recursos.

8. Desarrollar planes de gestión de incidentes y planes de continuidad del negocio

El objetivo de los planes de gestión de incidentes es describir cómo se responderá directamente ante la ocurrencia de un incidente (por ej., incendio, terremoto, amenaza de bomba, corte de electricidad, etc.) para evitar que se agrande y para intentar disminuir sus efectos directos.

Por otro lado, el objetivo de los planes de continuidad del negocio es describir cómo se recuperarán las actividades críticas, cómo se harán funcionar conjuntamente todos los recursos que se han preparado. Esto quiere decir que es necesario detallar quién hará qué cosa, en qué plazo, utilizando qué datos y tecnología, para poner nuevamente a su organización en funcionamiento.

Todos esto planes tienen ser redactados detalladamente porque deben ser ejecutados aún en el caso que los principales empleados no se encuentren disponibles; por lo tanto, es necesario redactarlos de tal forma que otra persona pueda ejecutarlos.

9. Capacitación y concienciación

Necesita definir el nivel de competencias necesario para la ejecución de los planes de continuidad del negocio ante el caso de una interrupción y, luego, debe capacitar a todo el personal (tanto empleados como socios externos) para llegar a este nivel de competencias.

Sin embargo, esto no es suficiente. También debe explicarle a su personal por qué es necesaria la GCN. Aceptémoslo, sus planes de continuidad del negocio se utilizarán, con suerte, una única vez; por lo tanto, la mayoría de las personas lo consideran una pérdida de tiempo. Por eso, debe explicarles por qué debe existir esta planificación. (Consultar Cómo abordar a quienes no creen en la GCN)

10. Ensayo de GCN

Si piensa que ha redactado los planes de manera perfecta, probablemente se equivoque. Es casi imposible redactar un plan sin errores en el primer intento. Por eso resulta obligatorio ensayar parte del SGCN; debe verificar sus planes en una situación que, más o menos, se asemeje a una interrupción real. Solamente allí podrá determinar qué planificó correctamente y qué no.

11. Mantenimiento y revisión del SGCN

Otra forma de mantener actualizado su SGCN es definiendo intervalos en los que revisará sus planes de continuidad del negocio, pero también otras cuestiones (por ej., contratos con proveedores y socios externos, capacitación y concienciación, etc.). Existe toda clase de cambios en el entorno que amenazan con hacer obsoleta su documentación: es suficiente que un empleado abandone la empresa para tener un número telefónico inservible en un plan si esa persona cumplía una función en el SGCN.

S i se produjo un incidente real, también es obligatorio realizar revisiones después de ocurrido el mismo para ver cómo reaccionó la organización, si siguió los planes o no.

12. Auditoría interna

El objetivo de la auditoría interna es averiguar si hay algo que se está haciendo mal, de manera objetiva. El auditor debe ser una persona que pueda descubrir si algo se hace mal dentro de su SGCN para poder corregirlo. Si se realiza correctamente, la auditoría interna puede ser una de las mejores formas para mejorar su SGCN. (Leer Dilemas con los auditores internos de las normas ISO 27001 y BS 25999-2)

13. Revisión por parte de la dirección

Como se mencionó anteriormente, es muy importante que la dirección se involucre en el proyecto. La revisión por parte de la dirección está diseñada justamente para eso. La norma requiere que la dirección examine todos los hechos importantes sobre la GCN y que decida si ha cumplido su objetivo. Una vez que está hecha, la dirección debe decidir qué mejoras se deben implementar.

14. Medidas preventivas y correctivas

Lo mejor sería evitar que se produzcan errores (o, en términos de BS 25999-2, las “no conformidades”); para esto es que se utilizan las medidas preventivas, representan una forma sistemática de corregir las cosas antes de que generen problemas. Similares a las medidas preventivas, también hay medidas correctivas que solucionan los problemas que ya se han producido.

Ahora la pregunta es ¿por qué usaría usted la norma BS 25999-2? Aunque (todavía) no es una norma internacional, es la norma más reconocida a nivel mundial para la continuidad del negocio. Los pasos mencionados arriba están diseñados por los mejores especialistas en este tema. Por eso, si desea implementar las prácticas más aceptadas para continuidad del negocio, no busque más.

Aquí puede descargar el diagrama del proceso de implementación de la norma BS 25999-2 que muestra todos estos pasos junto con la documentación requerida (requiere inscripción).

¿Alguna vez ha escuchado algo como “eso no se puede hacer”, “no tiene sentido” o “sería inútil si se produjera una catástrofe”? Si ya ha implementado la gestión de la continuidad del negocio, probablemente sí. Obviamente, estas actitudes no aportan nada a su proyecto; por eso, aquí le presentamos algunas sugerencias sobre cómo tratar con este tipo de personas.

“Si se produjera una catástrofe, no podríamos hacer nada”

Probablemente, ésta sea la más habitual. Está bien, es posible que tengan razón; a menos que usted haya preparado la estrategia de continuidad del negocio y los planes de continuidad del negocio realmente tomando en cuenta todos los posibles escenarios. Si lo hizo de esta forma, puede explicarles que ha preparado una ubicación alternativa que se encuentra suficientemente alejada para resistir cualquier tipo de desastre, que ha generado copias de seguridad de los datos, que hay un reemplazo para cualquier empleado de la empresa, que ya cuenta con proveedores alternativos para todos los servicios críticos, etc.

“Si se desata una guerra nuclear, no servirá de nada”

Bueno, a menos que usted sea un proveedor militar, no tendría importancia, ¿verdad? Básicamente, ante este tipo de escenarios catastróficos, probablemente su negocio ya no tendría ningún sentido.

“No tiene sentido”

Sencillamente, rece para que nunca tenga que utilizar la continuidad del negocio. Aún sin mencionar los más que conocidos ejemplos como el 11/9 o el Huracán Katrina, basta preguntar ¿alguna vez ha sufrido un apagón eléctrico? ¿O se le rompió el servidor? ¿O tal vez un ordenador que contenía datos importantes? ¿Escuchó alguna vez que un edificio se haya incendiado íntegramente? Es suficiente leer los titulares de los periódicos para comprender que esas cosas le suceden a cualquiera.

“Lo haremos solamente para cumplir con el auditor”

Prioridad incorrecta. Si lo hace correctamente, se protegerá a usted mismo y, como consecuencia, su auditor estará satisfecho.

“No podemos prever todos los incidentes”

Es verdad. Al menos al principio. Pero si realiza correctamente la evaluación de riesgos, si consulta diversas publicaciones y recursos y controla periódicamente la evaluación, es posible que, con el tiempo, pueda tomar en cuenta todos los riesgos posibles. Una vez que sepa cuáles son, puede preparar la respuesta.

“Ante un caso de emergencia, la gente pensará primero en cuidar a sus familias, no el negocio”

También es verdad. En el caso de un terremoto, ¿quién no llamaría primero a su familia para verificar si se encuentra a salvo? Pero si planifica detenidamente quién se puede ir a su casa después de ocurrido un incidente y quién debe quedarse para resolver la situación, y si se ocupa de las familias de los empleados que se deben quedar (por ej., asignando esta tarea a otros empleados), tal vez le pueda haber encontrado una solución a este problema.

“Las personas reaccionan irracionalmente en situaciones de crisis”

Completamente cierto. Pero si capacita a sus empleados (y proveedores o socios) periódicamente, y practica los planes de continuidad del negocio, se habituarán a situaciones estresantes y, probablemente, responderán en la forma correcta si se produjera una situación de este tipo.

Si ya ha implementado proyectos similares, sabrá que la concienciación es importante. Si sus compañeros de trabajo no son conscientes del objetivo de este tipo de proyectos, a usted le resultará muy difícil llevar adelante la implementación. Por no decir que podría fracasar el proyecto entero. Es por ello que debe evaluar el hecho de generar conciencia con anticipación.

También puede dar un vistazo a nuestro webinar Fundamentos de BS 25999-2 – Parte 2: Estrategia de continuidad del negocio (es un curso de capacitación disponible para la venta).

Si usted está empezando a implementar la norma ISO 27001, probablemente esté buscando una forma sencilla para hacerlo. Permítame desilusionarlo: no existe una forma sencilla para lograrlo. Sin embargo, intentaré facilitarle el trabajo. Este es un listado de dieciséis pasos que deberá seguir si desea obtener la certificación ISO 27001:

1. Obtener el apoyo de la dirección

Esto puede parecer un tanto obvio y, generalmente, no es tomado con la seriedad que merece. Pero, de acuerdo con mi experiencia, es el principal motivo en el fracaso de los proyectos para la implementación de la norma ISO 27001 ya que la dirección no destina suficientes recursos humanos para que trabajen en el proyecto ni suficiente dinero. (Lea Cuatro beneficios clave de la implementación de la norma ISO 27001 para presentarle el tema a la dirección)

2. Tomarlo como un proyecto

Como ya se ha dicho, la implementación de la norma ISO 27001 es un tema complejo que involucra diversas actividades, a muchas personas y puede demandar varios meses (o más de un año). Si no define claramente qué es lo que se hará, quién lo hará y en qué período de tiempo (por ej., aplicar la gestión del proyecto), es probable que nunca termine el trabajo.

3. Definir el alcance

Si se trata de una gran organización, probablemente tenga sentido implementar la norma ISO 27001 solamente en una parte de la misma, reduciendo significativamente de esta forma, los riesgos del proyecto. (Problemas para definir el alcance de la norma ISO 27001)

4. Redactar una Política de SGSI

La Política de SGSI es el documento más importante en su SGSI: no debe ser demasiado detallado pero debe definir algunos temas básicos sobre la seguridad de la información en su organización. Pero ¿cuál es su objetivo si no es minucioso? El objetivo es que la dirección defina qué desea lograr y cómo controlarlo. (Política de Seguridad de la Información: ¿qué nivel de detalle debería tener?)

5. Definir la metodología de Evaluación de riesgos

La evaluación de riesgos es la tarea más compleja del proyecto para la norma ISO 27001; su objetivo es definir las reglas para identificar los activos, las vulnerabilidades, las amenazas, las consecuencias y las probabilidades, como también definir el nivel aceptable de riesgo. Si esas reglas no están definidas claramente, usted podría encontrarse en una situación en la que obtendría resultados inservibles. (Consejos sobre la evaluación de riesgos para empresas pequeñas)

6. Realizar la evaluación y el tratamiento de riesgos

Aquí, usted tiene que implementar lo que definió en el paso anterior. En organizaciones más grandes puede demandar varios meses, por lo tanto, debe coordinar esta tarea con mucho cuidado. Lo importante es obtener una visión integral de los peligros sobre la información de su organización.

El objetivo del proceso de tratamiento de riesgos es reducir los riesgos no aceptables (generalmente se hace planificando el uso de controles del Anexo A).

En este paso, se debe redactar un Informe sobre la evaluación de riesgos que documente todos los pasos tomados durante el proceso de evaluación y tratamiento de riesgos. También es necesario conseguir la aprobación de los riesgos residuales; ya sea en un documento separado o como parte de la Declaración de aplicabilidad.

7. Redactar la Declaración de aplicabilidad

Luego de finalizar su proceso de tratamiento de riesgos, sabrá exactamente qué controles del Anexo necesita (hay un total de 133 controles pero, probablemente, no los necesite a todos). El objetivo de este documento (generalmente denominado DdA) es enumerar todos los controles, definir cuáles son aplicables y cuáles no, definir los motivos de esa decisión, los objetivos que se lograrán con los controles y describir cómo se implementarán.

La Declaración de aplicabilidad también es el documento más apropiado para obtener la autorización de la dirección para implementar el SGSI.

8. Redactar el Plan de tratamiento del riesgo

Justo cuando pensaba que había resuelto todos los documentos relacionados con el riesgo, aquí aparece otro. El objetivo del Plan de tratamiento del riesgo es definir claramente cómo se implementarán los controles de la DdA, quién lo hará, cuándo, con qué presupuesto, etc. Este documento es, en realidad, un plan de implementación enfocado sobre sus controles; sin el cual, usted no podría coordinar los pasos siguientes del proyecto.

9. Determinar cómo medir la eficacia de los controles

Otra tarea que, generalmente, es subestimada. El tema aquí es, si usted no puede medir lo que ha hecho, ¿cómo puede estar seguro de que ha logrado el objetivo? Por lo tanto, asegúrese de determinar cómo medirá el logro de los objetivos establecidos tanto para todo el SGSI como para cada control aplicable de la Declaración de aplicabilidad.

10. Implementación de controles y procedimientos obligatorios

Es más fácil decirlo que hacerlo. Aquí es cuando debe implementar los cuatro procedimientos obligatorios y los controles correspondientes del Anexo A.

Esta es, habitualmente, la tarea más riesgosa de su proyecto ya que, generalmente, implica la aplicación de nuevas tecnologías pero, sobre todo, la implementación de nuevas conductas en su organización. Muchas veces las nuevas políticas y procedimientos son necesarios (en el sentido que el cambio es necesario) y las personas, generalmente, se resisten al cambio; es por ello que la siguiente tarea (capacitación y concienciación) es vital para prevenir ese riesgo.

11. Implementar programas de capacitación y concienciación

Si quiere que sus empleados implementen todas las nuevas políticas y procedimientos, primero debe explicarles por qué son necesarios y debe capacitarlos para que puedan actuar según lo esperado. La falta de estas actividades es el segundo motivo principal por el fracaso del proyecto para la implementación de la norma ISO 27001.

12. Hacer funcionar el SGSI

Esta es la parte en que ISO 27001 se transforma en una rutina diaria dentro de su organización. La palabra más importante aquí es: “registros”. A los auditores les encantan los registros; sin registros le resultará muy difícil probar que una actividad se haya realizado realmente. Pero, ante todo, los registros deberían ayudarle. Con ellos, usted puede supervisar qué está sucediendo, sabrá realmente si sus empleados (y proveedores) están realizando sus tareas según lo requerido.

13. Supervisión del SGSI

¿Qué está sucediendo en su SGSI? ¿Cuántos incidentes tiene? ¿De qué tipo? ¿Todos los procedimientos se efectúan correctamente?

Aquí es donde se cruzan los objetivos de los controles con la metodología de medición; debe verificar si los resultados que obtiene cumplen con lo que se estableció en los objetivos. Si no se cumplen, es evidente que algo está mal y debe aplicar medidas correctivas y/o preventivas.

14. Auditoría interna

Muchas veces las personas no son conscientes de que están haciendo algo mal (por otro lado, a veces sí lo saben pero no quieren que nadie lo descubra). Pero no ser consciente de los problemas existentes o potenciales puede dañar a su organización, por eso debe realizar auditorías internas para descubrir este tipo de cosas. Lo importante aquí no es activar medidas disciplinarias, sino aplicar medidas correctivas y/o preventivas. (Dilemas con los auditores internos de las normas ISO 27001 y BS 25999-2)

15. Revisión por parte de la dirección

La dirección no tiene que configurar el cortafuegos, pero sí debe saber qué está sucediendo en el SGSI; es decir, si todo el mundo ejecutó sus tareas, si el SGSI obtiene los resultados deseados, etc. En base a estos aspectos, la dirección debe tomar algunas decisiones importantes.

16. Medidas correctivas y preventivas

El objetivo del sistema de gestión es garantizar que todo lo que está mal (las denominadas “no conformidades”) sea corregido o, con algo de suerte, evitado. Por lo tanto, la norma ISO 27001 requiere que las medidas correctivas y preventivas se apliquen sistemáticamente; es decir, que se identifique la raíz de una no conformidad y se solucione y se controle.

Tal vez, este artículo haya aclarado qué es necesario hacer. Aunque implementar la norma ISO 27001 no sea una tarea sencilla, no necesariamente tiene que ser tan complicado. Solamente debe planificar detalladamente cada paso, y no se preocupe… obtendrá su certificado.

Aquí puede descargar el diagrama del proceso de implementación de la norma ISO 27001 que muestra todos estos pasos junto con la documentación requerida.