Todo el personal de la organización recibirá una formación básica para que conozcan lo que deben o no deben hacer para evitar fugas de datos, infección de equipos, etc.En el caso de que la organización sufra una Brecha de Seguridad esta debe informarse a la AEPD en plazo y forma correcta. Recibirá un asesoramiento de cómo debe hacerlo para evitar una sanción de la AEPD.El 95% de los programas actualmente son en la nube, (SaaS, Cloud, etc.) en los que alojamos infinidad de datos, este tratamiento debe regularse por ley y debe hacerse de forma correcta para evitar fuga de datos y tratamiento incorrectos.Para la realización de campañas de marketing y Redes Sociales y el uso de imágenes tan habitual, dispone de un servicio de asesoramiento para que lo ejecute sin incumplir la normativa y evitar sanciones.En caso de que la AEPD inspeccione a la organización tendrá a su disposición un abogado con experiencia en la normativa para interponer el recurso en la AEPD.Disponemos de un seguro de responsabilidad civil para cubrir sanciones de la Agencia Española de Protección de Datos.Dispone de una línea directa de asistencia con su consultor asignado para resolver dudas sobre la aplicación de la normativa en su organización.Todos los meses recibe en su correo un Boletín con noticias relevantes e importantes que hayan ocurrido dentro del mes anterior.Al finalizar la implantación y tras una comprobación se hará entrega de un certificado de implantaciónRecibirá el sello de organización adaptada a la LOPD y/o LSSI en formato digital para incluir en documentos y una pegatina para pegar en el establecimiento.Conectará con un consultor que recabará la información necesaria para elaborar la documentación y diseñar la hoja de ruta para adecuar su actividad a la normativa.

En el momento en que decidimos implantar un Sistema de Gestión de la Seguridad de la Información (SGSI) en nuestra organización, da igual el tamaño de esta, comienza un proceso que nos obliga a tomar decisiones que van a repercutir de forma positiva o negativa en toda la evolución del proyecto.

 

¿Qué Norma implantamos?

 

Una de las primeras decisiones se refiere a qué Norma implantamos de todas las existentes. La más extendida hoy por hoy es la ISO 27001, se ha convertido en un estándar ampliamente aceptado y esto debería ayudarnos a decidir. El problema viene con la segunda elección; ¿lo hacemos contando con el personal de la propia organización?, o, por el contrario, ¿contratamos una consultora externa?

Hagamos lo que hagamos, tardaremos unos meses en darnos cuenta si ha sido la decisión correcta. Tenemos que tener presente que, en todo caso, va a ser una entidad de certificación la que valide todo el trabajo realizado, esto ya de por sí supone un coste que debemos asumir, y equivocarnos en la primera decisión puede salir más caro de lo que pensamos.

 

¿Quién debe realizar la implantación?

 

Vamos a suponer que decidimos autogestionar nuestra implantación. Debemos contar con alguien dentro de nuestra entidad que dirija el proceso y que tenga los conocimientos adecuados, o en su defecto formar a esa persona. Además, debemos contar con el resto de personal para llevar a cabo todo el proyecto y su seguimiento, aunque esta implicación del personal y la dirección es necesaria en cualquier caso. Solo sabremos si lo hemos hecho bien cuando nos audite la certificadora.

A pesar de la gran cantidad de información que podemos encontrar, nada de lo que nos puede ayudar es esencialmente gratuito, toda la información relevante desde la propia norma, hasta la formación para implantarla tiene un coste en tiempo y dinero.

 

Ventajas y desventajas

 

La ventaja de este método radica en que el personal interno ya estará concienciado y preparado para mantener el sistema en funcionamiento y madurarlo a lo largo del tiempo. Esto nos permitirá pasar con soltura las diferentes revisiones y recertificaciones. La parte negativa es que va a ser difícil valorar el coste y la duración, hemos de derivar tiempo y recursos a este proyecto, que no es pequeño. Y tenemos que tener muy claro que esto va a repercutir en el resto de las ocupaciones que habitualmente tenga el personal interno. Por supuesto debemos asumir que este personal permanezca en la entidad durante todo el proyecto, y su posterior seguimiento.

Si nos decidimos por contratar una consultora externa, partimos con ciertas ventajas, pero también hay inconvenientes. Para empezar debemos buscar la consultora adecuada. Debemos hacer un análisis del mercado y buscar aquellas que tengan más efectividad, experiencia y nos amparen durante todo el proyecto, implantación, certificación y posterior seguimiento.

La ventaja de esta decisión es que el coste está controlado, y que con toda seguridad reduciremos los tiempos del proyecto. Quizá el personal de la organización no se sienta tan implicado, pero al tratarse de un sistema de gestión adecuado a los procesos de nuestra organización, este inconveniente no es relevante. Si elegimos la consultora adecuada, la que nos ofrezca más confianza, el éxito del proyecto está asegurado.

 

En Grupo CFI ofrecemos diferentes servicios relacionados con la protección de datos y la ciberseguridad, puedes solicitar presupuesto sobre la implantación de la ISO 27001 aquí.

Julio César Miguel Pérez

CEO de Grupo CFI
Delegado de Protección de Datos Certificado.
Experto en la gestión de la seguridad de la información, la ciberseguridad y la protección de datos personales.