Introducción
Muchas empresas no se dan cuenta de esto, pero establecer el proyecto de ISO 27001 correctamente al principio de la implantación es uno de los elementos más importantes si desea implementar un SGSI en un tiempo y presupuesto aceptable.
No intenten esto sin apoyo de la Dirección
El compromiso de Dirección debe venir antes que nada – si sus altos ejecutivos no ven beneficio real incrementando el nivel de seguridad mediante el establecimiento de reglas claras, mejor que inviertas tu energía en otra cosa. Pero esto no puede suceder en un tiempo corto, y mucho menos en una reunión con una presentación de PowerPoint. Este es un proceso donde tienes que jugar un papel activo – primero tienes que conocer los beneficios aplicables para su negocio y luego empujar constantemente este mensaje hacia los que toman decisiones.
Obtener el conocimiento
A menos que ya hayas implementado ISO 27001 un par de veces, necesitará aprender cómo hacerlo. La implementación de ISO 27001 es demasiado complejo de entender, y más si lo único que hace es leer la norma.
En esencia, usted tiene tres opciones:
a) Con sus propios empleados – En este caso, tienes que formar a los implicados, tanto a usted como a sus colegas, para así obtener todos los conocimientos necesarios para la implementación. Esta es la mejor opción si no quieres a personal externo en su empresa, y si quieres la mayor curva de aprendizaje para sus empleados. Enviando a tus empleados a cursos de concienciación y consiguiendo algunas otras herramientas (por ejemplo, plantillas, y tutoriales) disminuirá drásticamente el tiempo de implementación.
b) Una combinación de sus empleados con ayuda exterior – Aquí elijes implementar el estándar usted mismo (mediante la realización de todos los análisis, entrevistas, escribiendo la documentación, etc.), pero un experto externo (por ejemplo un consultor) está guiándote paso a paso en todo el proceso. Esta es una buena opción si quieres aprender mucho acerca de la implementación y tener seguridad de que no haces nada mal en el proceso
c) Un consultor hace la mayor parte del trabajo – Esta es la opción donde se contrata un consultor para hacer todo el trabajo. Esta debe ser la opción más rápida para la implementación de la norma y requiere la menor cantidad de esfuerzo.
Cómo elegir un Jefe de proyecto
Por supuesto, la implementación de la ISO 27001 debe estructurarse como un proyecto – sin definir exactamente quién es responsable de qué y en qué plazo de tiempo, la posibilidad de que nunca finalice la implementación es alta.
La persona más natural para liderar el proyecto debe ser una persona que está a cargo de la seguridad de la información en su empresa – hay diversos títulos para este trabajo: Oficial jefe de seguridad de la información (CISO), Oficial de seguridad de la información (ISO), Gerente de seguridad, etc.
Algunas grandes compañías tienen reglas y estructuras corporativas para la gestión de proyectos, así que en este caso un jefe de proyecto profesional llevaría el proyecto, mientras que un experto en seguridad de la información sería un miembro del equipo de proyecto.
Para comentar debe estar registrado.