En el momento en que decidimos implantar un Sistema de Gestión de la Seguridad de la Información (SGSI) en nuestra organización, da igual el tamaño de esta, comienza un proceso que nos obliga a tomar decisiones que van a repercutir de forma positiva o negativa en toda la evolución del proyecto.
¿Qué Norma implantamos?
Una de las primeras decisiones se refiere a qué Norma implantamos de todas las existentes. La más extendida hoy por hoy es la ISO 27001, se ha convertido en un estándar ampliamente aceptado y esto debería ayudarnos a decidir. El problema viene con la segunda elección; ¿lo hacemos contando con el personal de la propia organización?, o, por el contrario, ¿contratamos una consultora externa?
Hagamos lo que hagamos, tardaremos unos meses en darnos cuenta si ha sido la decisión correcta. Tenemos que tener presente que, en todo caso, va a ser una entidad de certificación la que valide todo el trabajo realizado, esto ya de por sí supone un coste que debemos asumir, y equivocarnos en la primera decisión puede salir más caro de lo que pensamos.
¿Quién debe realizar la implantación?
Vamos a suponer que decidimos autogestionar nuestra implantación. Debemos contar con alguien dentro de nuestra entidad que dirija el proceso y que tenga los conocimientos adecuados, o en su defecto formar a esa persona. Además, debemos contar con el resto de personal para llevar a cabo todo el proyecto y su seguimiento, aunque esta implicación del personal y la dirección es necesaria en cualquier caso. Solo sabremos si lo hemos hecho bien cuando nos audite la certificadora.
A pesar de la gran cantidad de información que podemos encontrar, nada de lo que nos puede ayudar es esencialmente gratuito, toda la información relevante desde la propia norma, hasta la formación para implantarla tiene un coste en tiempo y dinero.
Ventajas y desventajas
La ventaja de este método radica en que el personal interno ya estará concienciado y preparado para mantener el sistema en funcionamiento y madurarlo a lo largo del tiempo. Esto nos permitirá pasar con soltura las diferentes revisiones y recertificaciones. La parte negativa es que va a ser difícil valorar el coste y la duración, hemos de derivar tiempo y recursos a este proyecto, que no es pequeño. Y tenemos que tener muy claro que esto va a repercutir en el resto de las ocupaciones que habitualmente tenga el personal interno. Por supuesto debemos asumir que este personal permanezca en la entidad durante todo el proyecto, y su posterior seguimiento.
Si nos decidimos por contratar una consultora externa, partimos con ciertas ventajas, pero también hay inconvenientes. Para empezar debemos buscar la consultora adecuada. Debemos hacer un análisis del mercado y buscar aquellas que tengan más efectividad, experiencia y nos amparen durante todo el proyecto, implantación, certificación y posterior seguimiento.
La ventaja de esta decisión es que el coste está controlado, y que con toda seguridad reduciremos los tiempos del proyecto. Quizá el personal de la organización no se sienta tan implicado, pero al tratarse de un sistema de gestión adecuado a los procesos de nuestra organización, este inconveniente no es relevante. Si elegimos la consultora adecuada, la que nos ofrezca más confianza, el éxito del proyecto está asegurado.
En Grupo CFI ofrecemos diferentes servicios relacionados con la protección de datos y la ciberseguridad, puedes solicitar presupuesto sobre la implantación de la ISO 27001 aquí.
Julio César Miguel Pérez
CEO de Grupo CFI
Delegado de Protección de Datos Certificado.
Experto en la gestión de la seguridad de la información, la ciberseguridad y la protección de datos personales.