Esta ISO publicada en el año 2005 tiene diversos beneficios potenciales tras su implementación y obtención de certificado internacional, uno de ellos es la demostración a tu cliente que la seguridad de la información dentro de la empresa es vital y está resguardada bajo ciertos controles auditados por una norma internacional. Pero qué tanto costo/beneficio existe en una implementación ISO 27001.

Costos de implementación

En la actualidad las empresas brindan servicios en la nube para sus clientes, y son más las empresas que buscan la certificación ISO 27001 como una insignia significativa de la seguridad de la información. Pero para llegar a ello es necesario considerar recursos internos. Éste es uno de los puntos más importantes, la colaboración de áreas como Administración, Recursos Humanos y Tecnologías de la Información para que nos brinden facilidades de entrevistas, revisiones de documentos actuales y evaluación de riesgos en equipo. En muchas organizaciones este punto suele ser complicado si es que no se cuenta con el apoyo de la Alta Dirección en diriccionar gran parte del tiempo de trabajo en la organización en colaborar con los implementadores de la ISO 27001. Recursos externos, que vienen a ser los consultores externos contratados y que cuentan con experiencia en implementación, y que ahorarrán gran cantidad de tiempo en las auditorías internas que se proyectan a auditorías externas. , las entidades encargadas de la certificación tienen un costo, que es muy diferente a lo que cuesta un implementador externo. Finalmente hablamos de la implementación como al conjunto de cambios a aplicar como primera medida al observar la coyuntura de seguridad de información que vive la empresa.

Tiempo de implementación

En promedio, una implementación puede tomar entre 4 a 9 meses, y dependerá mucho del tamaño de la organización, su madurez y la documentación que presenta. Como cualquier otra ISO, este sigue el ciclo PDCA (Planificar, Hacer, Chequear y Actuar), y si ya existen otras iniciativas de TI dentro de la organización como COBIT, SAS 70, PCI DSS, etc., vamos a presentar un gran avance en las fases de Planificación y Ejecución, y esto colleva al ahorro. Por ejemplo, COBIT ya presenta internamente una Gestión de Riesgo y creación de plan de tratamiento de riesgos, algo que exige como eje central dentro de la ISO 27001.

El SGSI

La ISO 27001 tiene como objetivo que en las venas de la organización se integre el Sistema de Gestión de Seguridad de la Información, que no es más que todo un sistema de personas, documentos y controles técnicos que busca como fin incrementar la seguridad de la organización, no sólo a nivel técnico si no también humano, generar conciencia respecto a la seguridad de la información. El punto de partida de un SGSI se enfoca en analizar las necesidades de planificación de una continuidad del negocio, controles existentes de accesos al sistema, procedimientos actuales de mantenimiento, desarrollo y adquisición de sistemas, seguridad física y ambiental, cumplimiento, gestión de incidentes de seguridad de la información, seguridad del personal, gestión de las operaciones y de la comunicación, control y clasificación de activos, y políticas de seguridad.

Consejo audit

Los costos de una ISO 27001 dependerá del nivel de madurez por parte de la organizción en adaptar las buenas prácticas de ISO 27001 y adoptar su propio sistema de gestión de la información. En audit nos enfocamos en aplicar implementación ágil de normas internacionales, buscando un mejor rendimiento y performance de implementación a través de herramientas automatizadas permitiendo al cliente reducir costos al contratar a consultores externos que tiene audit.