ISO 27001 implementation – 4 key challenges & how to overcome them

Implementación de ISO 27001: 4 desafíos clave y cómo superarlos

Name: ISMS.online
Telephone: +441273041140
Price range: ££
Location: ISMS.online

12 November 2019

Si ha reconocido los beneficios de ISO/IEC 27001:2013, más comúnmente conocida simplemente como ISO 27001 – desde requisitos legales, regulatorios y contractuales hasta nuevas oportunidades de negocios – y estamos considerando cómo gestionará la implementación, hemos delineado algunos desafíos clave que enfrentan y cómo superarlos.

Dotación de recursos para su implementación: ¿capacitar, reclutar o adquirir?
¿Cómo gestionamos la disrupción del negocio?
¿Cómo garantizamos que ISO 27001 no sea sólo un ejercicio de marcar casillas?
Cómo hacer que la implementación de ISO 27001 sea menos desalentadora

1. Dotación de recursos para su implementación: ¿capacitar, reclutar o adquirir?

con considerable beneficios de tener ISO 27001 certificación, querrás considerar cuidadosamente tus opciones en cuanto a recursos.

El desafío que se presenta a muchas empresas suele ser no tener la experiencia y los conocimientos internos para gestionar la implementación de ISO 27001 y estas son las opciones que normalmente se consideran:

Capacitar al personal existente
Contrate a un experto en seguridad de la información
Contratar consultores
Uso Conjuntos de herramientas para documentos ISO 27001
Buscar software de gestión de seguridad de la información

Estas pueden considerarse opciones independientes o combinadas, según el tamaño y la complejidad de su negocio.

Para muchas empresas, a menudo existe un factor externo que debe ser ISO 27001 certificado, lo que a su vez da prioridad a una rápida implementación. Esto puede influir en la decisión de cómo seguridad de la información de recursos gestión considerablemente.

Sistema de Gestión de Seguridad de la Información (SGSI)

Un sistema de gestión de seguridad de la información que cumpla con ISO 27001 proporciona un enfoque sistemático para construir una base sólida para demostrar el cumplimiento o lograr la certificación ISO 27001, así como otras regulaciones nacionales e internacionales.

Un SGSI:

Demuestra su compromiso con la gestión de la seguridad de la información
Incorpora la gestión de la seguridad de la información como una disciplina dentro de sus procesos habituales.
Fomenta la colaboración y el reparto de responsabilidades.
Dirige una hoja de ruta para la implementación, operación y mejora continua

Un SGSI basado en software proporciona un conjunto vivo de políticas y procedimientos dentro de su organización que se almacenan de forma centralizada, preferiblemente en una plataforma basada en la nube.

Esta es la razón por la que un conjunto de herramientas para documentos ISO 27001 se queda corto. Incluso los kits de herramientas más "completos" son esencialmente documentos de Microsoft Excel y Word con mecanismos de control de versiones inadecuados y sin pasos a seguir claros para la implementación de ISO 27001.

2. ¿Cómo gestionamos la disrupción del negocio?

Al emprender el trabajo hacia una Certificación ISO 27001, el desafío a menudo será cómo ejecutar esto junto con todo lo demás con una interrupción mínima, manteniendo al mismo tiempo el impulso y logrando la certificación dentro de sus plazos.

Trabajar en equipo

No se puede implementar ISO 27001 solo; necesitarás trabajar juntos como un equipo.

Distribuya la responsabilidad y la carga en toda la empresa, en lugar de crear un “silo” de seguridad de la información, lo que a veces puede suceder cuando se contrata a un consultor de seguridad de la información. Esto minimizará las interrupciones y el camino hacia y más allá de la implementación de ISO 27001 suele ser más eficiente y eficaz.

No solo esto, sino que las empresas que abordan la norma ISO 27001 de manera considerada y holística permanecen certificadas al demostrar que todos actúan correctamente en sus operaciones diarias y habituales.

Comunicarse bien

Durante la implementación de ISO 27001, comuníquese temprano, comuníquese con claridad, comuníquese continuamente: lleve a todos en el viaje con usted. Si la gestión de la seguridad de la información se interpone en su camino, probablemente lo esté haciendo mal.

3. ¿Cómo garantizamos que ISO 27001 no sea sólo un ejercicio de marcar casillas?

Soporte de arriba hacia abajo

Para que el viaje sea verdaderamente efectivo, una organización necesita adoptar un enfoque cultural. Cambio que debe ser impulsado desde arriba con la participación de toda la alta dirección..

Optimice con el software

Utilice un software de gestión de seguridad de la información que le guíe a través de la implementación de ISO 27001, con plantillas, marcos y políticas que pueda adaptar.

Entre sus auditorías independientes ISO 27001 se espera que usted realice sus propias auditorías internas (Cláusula 9.2) y actuar sobre los hallazgos para incorporar la gestión de seguridad de la información en los procesos de negocio revisando y optimizando constantemente su SGSI para garantizar una madurez continua.

Comprometerse a la certificación

Los auditores ISO suelen sugerir que la certificación ISO 27001 puede llevar seis meses o más, pero existen formas más rápidas y sostenibles de lograrla.

Nuestra Método de resultados asegurados (ARM) es una forma de asegurarse de alcanzar el éxito. Nuestra metodología proporciona un enfoque pragmático basado en el riesgo que se basa en las políticas que ya tiene implementadas mientras planifica mejoras futuras.

El tiempo que le lleve depende de sus objetivos. Si tiene una fecha límite ajustada, con un contrato de cliente potencial en juego, entonces necesitará comprometerse a una implementación rápida para cosechar los beneficios. Recompensas de la certificación ISO.

ISMS.online acelera la implementación de ISO 27001. Con su ISO 27001 procesable políticas y controles documentación, que puede adoptar, adaptar y agregar rápidamente, ofrece un progreso de hasta el 77 % hacia el estándar, en el momento en que inicia sesión.

4. Cómo hacer que la implementación de ISO 27001 sea menos desalentadora

Si bien los beneficios son interesantes, abordar la norma ISO 27001 por primera vez puede resultar complejo y desalentador, por decir lo menos.

No se esfuerce por lograr una "seguridad perfecta"

Si bien ISO 27001 establece los requisitos sobre cómo se debe implementar y operar su sistema de gestión de la información, no es necesario que sea perfecto.

Una excelente manera de comenzar es documentar lo que hace hoy (y algunas cosas ya estará haciendo) mientras identifica y registra mejoras para el futuro que reducirán aún más sus riesgos a niveles aceptables.

Mientras tu considerando el riesgo comparativo niveles – cuánto riesgo de no implementar un control versus cuánto riesgo para el negocio de implementar el control – usted está en el camino correcto.

Recuerde, sea pragmático, no “perfecto” al seleccionar y documentar sus controles.

El objetivo clave es garantizar que su gestión de seguridad cumpla plenamente con la norma ISO 27001 y al mismo tiempo garantizar controles pragmáticos, efectivos y eficientes para gestionar sus riesgos a un nivel aceptable.

« Anexo A.18 - Cumplimiento

¿Quién participará en la implementación de ISO 27001? »

Última edición: 20 de junio de 2022

Autor

Marcos Sharron

Mark trabaja como parte del equipo de marketing de ISMS.online y se asegura de que nuestro sitio web esté actualizado con contenido útil e información sobre todo lo relacionado con ISO 27001 y su cumplimiento.

Ver todas las publicaciones de Mark Sharron