No necesariamente. Una ISO 27001 puede considerarse para grandes empresas cuando se realiza una tercerización de consultoría para la implementación y certificación. Entiéndase como implementación, el conjunto de procedimientos necesarios para documentar, evidenciar y monitorear todo nuestro Sistema de Gestión de Seguridad de la Información (SGSI) en la organización. Y entiéndase como certificación la visita que le hará un auditor calificado y autorizado para entregarle el certificado internacional de ISO 27001. Estos servicios son costosos, pero no imposibilita para que una pequeña empresa pueda tener su propia ISO 27001, tal vez no certificada, pero al menos adaptada a la realidad de nuestra pequeña organización.

Realidad

Sí, la mayoría de empresas que están certificadas con ISO 27001 son empresas grandes que presentan muchos trabajadores interactuando con mucha información de la organización y necesitan ser controlados. En cambio una empresa pequeña presenta agilidad por la poca interacción entre los trabajadores y la información, pero, no escapa en tener vulnerabilidades y desorden en la gestión de la información. Como por ejemplo, contraseñas no seguras, acceso a páginas con malware, gestión de actualizaciones del sistema operativo, etc. Para una pequeña empresa, cuando suceden estos incidentes, se suelen corregir del momento y rezar para que no vuelva a suceder. Sin embargo por un tema de recursos no pueden darse el lujo de contar con estos complejos sistemas de gestión, debido a la inversión que éste conlleva: Consultores expertos, digitadores, capacitaciones, etc.

Adaptación

Ok, de repente la pequeña organización no cuenta con el dinero para contratar consultores profesionales a tiempo completo en la implementación ISO 27001, entonces, se puede optar por lo siguiente: ¿Por qué no contratarlos a tiempo parcial para que revise nuestro avance de implementación ISO 27001?, por lo tanto quedaría bajo nuestra responsabilidad establecer la disciplina necesaria para construir nuestra documentación. Entonces, Uds. dirán, pero ¿Dónde consigo ayuda inicial para la construcción de mi SGSI?, fácil, internet. A algunos de nuestros clientes les hemos ayudado a implementar bajo su propia responsabilidad y nuestra supervisión, el SGSI con cursos online económicos. Nuestra participación como audit, fue la de monitorear el avance de la implementación SGSI. Lo mencionado anteriormente deja constancia de que quien conoce más la organización, es el mismo trabajador. Pero la manera en cómo implementar ISO 27001 correctamente, la tenemos nosotros.

¿Certificación?

Si ya agarraste tu propio ritmo, y ya escribiste y aplicaste todos los documentos que ISO 27001 te exige como mínimo, entonces, felicitaciones, puedes acudir a la certificación, sin embargo, para ir primero a la certificación deberás realizar una pequeña revisión de auditoría externa con una empresa consultora de ISO 27001, esto debido a que quien implementó y revisó la ISO 27001 NO debe ser el que realice una pre auditoría de certificación. La inversión en la pre auditoría de certificación y la propia auditoría de certificación, son caros y tienen carácter de importatísimo si deseas obtener una certificación internacional. La decisión de ir o no por la certificación quedará en manos de la Alta Dirección.

Consejo audit

La Norma ISO 27001 no es exclusivo para los que tienen dinero. Solamente la pre auditoría de certificación y la auditoría de certificación son costosas, pero no es algo que sea alarmante. Lo más costoso en este tipo de implementaciones son las capacitaciones, ya que puede tomar mucho tiempo convencer a los implicados en vencer la resistencia al cambio, además de convencer a la Alta Dirección del presupuesto necesario.