22/1/07

Principales claves para implantar la ISO 27001

En la revista ITAudit aparece un breve artículo respecto a los principales puntos a contemplar a la hora de abordar una certificación ISO 27001. A continuación resumo los puntos más destacados:

- Identificar los objetivos de negocio: el propósito de la certificación es garantizar la gestión de la seguridad sin olvidar que esto debe contribuir al desarrollo de los servicios o procesos de negocio. La seguridad debe alinearse estratégicamente con la actividad de la organización para darle un mejor soporte y robustez.

- Seleccionar un alcance adecuado: El esfuerzo en la implementación será proporcional al tamaño del sistema a construir. En muchos casos, no es necesario extender el SGSI a toda la organización sino centrarnos como primer paso en el corazón de la gestión donde se concentra la mayor parte de las actividades relacionadas con la gestión de información, que suele coincidir con las áreas de sistemas de información o con algún departamento donde la seguridad de la información que se gestiona es crítico para el desarrollo de las actividades de negocio.

- Determinar el nivel de madurez ISO 27001: Debemos identificar en que estado de madurez se encuentra la organización para identificar el esfuerzo que habrá que hacer en la implantación. No va a ser igual en organizaciones que ya han pasado previamente bajo los procesos de certificación de calidad que aquellas que empiecen desde cero y no se encuentren acostumbradas a la gestión de la mejora continua.

- Analizar el retorno de inversión: Es muy importante demostrar que el esfuerzo realizado no será un gasto sino una inversión y que tras implantar los procesos de gestión, se conseguirán efectos colaterales que supondrán un retorno de inversión a considerar. Es dificil justificar el ahorro por los incidentes no producidos, pero al menos, si es viable demostrar con indicadores que los indices de incidentes se han reducido.


Artículo complento en IT Audit - The Institute of Internal Auditors

4 comentarios:

Jesús A. Suárez dijo...

La selección del alcance pienso es el factor que puede determinar el exito o no del SGSI, por lo tanto es de cuidado. Mis preguntas serían:
¿Según su experiencia que actividades previas serian recomendables para conseguir un buen alcance?
¿Como iniciar, cuando el alcance es toda la empresa?
¿Cual es la estrategia ideal?

Anónimo dijo...

no se puede descargar el archivo PDF

Anónimo dijo...

El link indica un error y no se puede ver la información....

Pietro Pallavicini
Pallavicini Consultores
www.seguridad_información .cl

Javier Cao Avellaneda dijo...

Acabo de arreglar en enlace que ha sido modificado por el Web. La url correcta es http://www.theiia.org/itaudit/index.cfm?catid=21&iid=440