¿Piensa en la norma ISO 27001 e imagina que le ayudará a conseguir conformidad, a atraer nuevos clientes, a disminuir el costo de los incidentes y a agilizar sus principales procesos de TI? La idea es buena, pero cuando llega el momento de la implementación, las cosas comienzan a complicarse.
Primero tendría que convencer a su gerencia (si es que usted no es parte de la alta gerencia) de que la ISO 27001 realmente es necesaria en su empresa. Generalmente, la gerencia está sobrecargada con otros compromisos y vencimientos y no es probable que aborden otro proyecto sobre el cual preocuparse.
Aún si a la gerencia le interesa hacer algo en relación con la seguridad de la información, la segunda pregunta que surge es: ¿cómo se financia? A primera vista, podría parecer que este «trámite no debería costar demasiado», pero pronto se da cuenta de que le tiene que pagar al consultor, que debe comprar documentación, capacitar a sus empleados, invertir en software y equipamiento, pagar la certificación, etc.
Pero supongamos que, por obra de algún milagro, encuentra el dinero; entonces surge la tercera pregunta: ¿quién lo hará realmente? Si tiene un consultor sincero, le dirá que no es posible que un consultor le provea las plantillas de la documentación, pero que deberá intentar, con mucho esfuerzo, adaptar la documentación a su situación. Pero tampoco termina aquí; el consultor también le informa que, en realidad, usted debe hacer exactamente lo que la documentación (y la norma) le dicen que haga. Y es una obligación permanente, no un trabajo de una sola vez.
Entonces se reúne con sus colegas y les pregunta cómo dividirían el trabajo para implementar y ejecutar la norma ISO 270001 y, de repente, todos comienzan a hablar sobre otra cosa. Peor aún, le puede solicitar a la gerencia que contrate un Gerente de Seguridad Informática que, debido a la falta de este tipo de personas en el mercado, no trabajará por poco dinero.
Entonces usted termina designado gerente de proyecto para la norma ISO 27001, con un pequeño o inexistente presupuesto, con un equipo que realmente no quiere preocuparse con la seguridad de la información y con una gerencia que pretende la certificación lo antes posible una vez que el proyecto ha comenzado.
¿Todavía está interesado en la ISO 27001?
Para solucionar los problemas más comunes relacionados con la implementación de ISO 27001, consulte el Software de Cumplimineto de Conformio.