Implementar ISO 27001: tiempo, esfuerzo y roles necesarios

Cuando se decide presentar el proyecto de implementar ISO 27001 a la Alta Dirección, el profesional que toma el liderazgo suele enfrentarse a varias cuestiones, entre ellas cuánto se tardará en materializar un Sistema de Gestión de Seguridad de la Información basado en esta norma.

Implementar ISO 27001 no es una tarea que pueda realizarse en unas pocas semanas. El tiempo necesario para hacer realidad el proyecto y los recursos que demande dependerán de diferentes factores, entre ellos el número de empleados de la organización o su capacidad financiera.

Ayudar a estimar el tiempo que llevará implementar ISO 27001, cuántas personas deberán implicarse en el proyecto y qué tareas imprescindibles desarrollará cada una son cuestiones que recogemos en la siguiente guía.

¿Cuánto tiempo se necesita para implementar ISO 27001?

Implementar ISO 27001 requiere de un poco más de tiempo que la media observada en la tarea análoga para otros estándares ISO. La razón es clara: la complejidad derivada de los aspectos técnicos y tecnológicos implícitos y, por supuesto, del trabajo adicional que supone la implementación de los controles del Anexo A.

El proceso para implementar la norma se desarrolla bajo el modelo PDCA. Esto significa que primero se planifica, luego se pone en marcha lo planificado, se revisa la efectividad de lo realizado y, de acuerdo con los resultados de la verificación, se ponen en marcha acciones correctivas para reiniciar el ciclo.

Esto se repite hasta que se obtenga un resultado satisfactorio para la organización, pero sobre todo para el auditor de certificación. Es probable que en este proceso se realicen dos, tres, cinco o más auditorías internas.

El nudo del asunto en esta etapa es la gestión de riesgos. Es la tarea que más tiempo y más cantidad de recursos consume. El tiempo necesario para implementar ISO 27001 es proporcional al tamaño de la organización. Se utiliza como factor determinante el número de empleados:

Dos factores tienen incidencia relevante en los tiempos estimados: la formación y la tecnología. El primero, la formación, se puede solucionar eventualmente contratando consultores externos, con los beneficios y retos que esto supone.

El segundo, la tecnología, es un recurso que tiene la capacidad de impulsar el proyecto y agilizarlo. Disminuye de forma significativa los tiempos de implementación, potencia el logro de objetivos y construye de paso una plataforma sólida para la sostenibilidad del sistema y su mejora continua en el futuro.

Las organizaciones que apoyan con tecnología el proyecto de implementar ISO 27001 desde la etapa inicial reducen tiempos hasta en un 70 %. Además, requieren de menos auditorías internas para alcanzar el rendimiento esperado en una auditoría de certificación y logran entregar un sistema de gestión robusto, sólido e inclinado hacia la mejora continua.

¿Qué roles se necesitan para implementar ISO 27001?

Dentro de los requisitos de ISO 27001 no está la conformación de un equipo implementador ni dedicado a la gestión en el futuro. Por supuesto, la norma no discrimina roles y responsabilidades específicas, pero sí habla de “asignar responsabilidades”. También lo sugieren la experiencia y el sentido común.

El número de empleados que tendrán que desempeñar un rol en la implementación también varía en función del tamaño de la organización. En términos generales, el proyecto requiere un jefe o gerente, un oficial de seguridad y un equipo que varía en número de acuerdo con la complejidad de la organización.

Las empresas de más de 200 empleados pueden conformar un equipo interdisciplinario que incluya a los directores de áreas como TI, Seguridad de la Información, RR. HH., Legal e incluso Alta Dirección.

¿Qué tareas demandan mayor esfuerzo para implementar ISO 27001?

Hablar del esfuerzo requerido para implementar ISO 27001 es justificar las horas de trabajo de las personas a las que se les asignan roles en la gestión. Agrupando las actividades en grupos, de acuerdo con su objetivo, se pueden resumir de la siguiente forma:

• Gestión de documentos: creación de los documentos básicos exigidos por la norma, desde políticas, contexto y alcance hasta aplicabilidad de controles del Anexo A.
• Evaluación y tratamiento de riesgos: es la tarea más importante, la que más tiempo puede consumir y la que requiere mayor participación de todas las áreas de la organización.
• Implementación de controles: ISO 27001 incorpora 93 controles, distribuidos en cuatro grupos. La elección de controles, la justificación sobre la elección o no de ellos y la implementación son tareas críticas para el proyecto. Demandan tiempo, conocimiento y apoyo tecnológico.
• Revisión, monitoreo y evaluación: las actividades en esta etapa van desde las inspecciones y revisiones generales o de procesos hasta las auditorías internas.
• Diseño de estrategias y acciones correctivas: es una tarea sensible. De la eficacia en este paso depende que disminuya el tiempo en el camino hacia la auditoría de certificación y, con ello, los costes, el plazo y el esfuerzo.

Todas las organizaciones tendrán que destinar tiempo, personas y otros recursos a la ejecución de estas acciones. Como se ha indicado, los tiempos pueden disminuir notablemente si se toma el camino de automatizar y digitalizar el sistema de gestión desde la planificación a la implementación.

Software ISO 27001

Mantener bajo control los riesgos que amenazan a la Seguridad de la Información, garantizando la operabilidad y efectividad del sistema de gestión, es uno de los objetivos esenciales del Software ISO 27001. La plataforma, basada en la nube, se ha diseñado para automatizar tareas tan sensibles como la gestión de incidentes de Seguridad de la Información, desde el registro hasta su resolución final.

La gestión de la Seguridad de la Información nunca había sido tan fácil y ágil. Si necesitas más información sobre esta solución tecnológica avanzada, no dudes en contactar con un asesor.