Podemos encontrar multitud de razones para implementar en nuestra empresa el estándar internacional o norma ISO 27001 de Sistema de Gestión de la Seguridad de la Información. Entre ellas, que en él se describen las mejores prácticas para mantener segura la información de una empresa u organización pero, además, sirve de referencia y ayuda para que las organizaciones mejoren su seguridad, y a la vez cumplan con toda la legislación referente a seguridad cibernética, mejorando y protegiendo la imagen de la empresa.

Si bien es cierto, implementar la norma ISO 27001, así como cualquier otra de estas características, requiere invertir gran cantidad de tiempo y esfuerzo, y en función de la madurez de la empresa.

A continuación, se describirán los nueve pasos esenciales para llevar a cabo la implementación de la norma ISO 27001 para cualquier empresa u organización, siempre considerando las circunstancias particulares y el sector al que pertenece la empresa.

1 – Director del proyecto

Antes de comenzar con la implementación de la norma ISO 27001, es evidente que debe nombrarse un líder para el mismo, el cual trabajará con el resto de miembros y con el personal para inicialmente, generar un mandato de proyecto.

Por tanto, reunirse y generar un responsable o director del proyecto de implantación de la norma ISO 27001. Para ello se tiene que dar respuesta a preguntas como:

• ¿Qué esperamos lograr?
• ¿Cuánto tiempo tardará?
• ¿Cuánto costará?
• ¿Tiene soporte de gestión?

2 – Inicio del proyecto

A través del mandato de proyecto previamente definido para el proyecto de implantación de la norma ISO27001, se comienza a definir una estructura más detallada, especificando cuáles van a ser los objetivos de seguridad de la información, cuál va a ser el equipo, la planificación y realizar un registro de los riesgos inherentes al proyecto.

3 – Iniciación del Sistema de Gestión de Seguridad de la Información

Y es aquí, donde se elige qué metodología va a seguirse para implementar el Sistema de Gestión de Seguridad de la Información basado en la norma ISO 27001. Concretamente, en dicha norma sugiere adoptar un enfoque a procesos para la mejora continua, lo cual resulta en la actualidad de lo más efectivo para lograr la mejora continua. No obstante, no especifica qué metodología adoptar, permitiendo a las organizaciones utilizar aquel que mejor se adapte a su organización.

4 – Marco de gestión

Debe identificarse el marco en el cual va a implementarse el SGSI según la norma ISO 27001. Es decir, definir el alcance del sistema y su contexto, considerando todos los dispositivos móviles y teletrabajadores.

5 – Criterios básicos de seguridad

Como es obvio, a continuación, deben identificarse las necesidades básicas de seguridad que tiene la empresa. Son, por tanto, aquellos requisitos, medidas y/o controles necesarios en las negociaciones o procesos

6 – Gestión de riesgos

A través de la norma ISO 27001, las organizaciones definen todos y cada uno de los procesos involucrados en la gestión de riesgos, estableciendo su propia gestión de riesgos. Para ellos no hay una metodología concreta, pero independientemente de cuál se elija, se deben considerar cinco aspectos:

• Establecer un marco para la evaluación de riesgos.
• Identificación de los riesgos.
• Análisis de los riesgos.
• Evaluación de los riesgos.
• Selección de formas de gestionar los riesgos.

7 – Planificación de la Gestión de Riesgos

Consiste en el establecimiento de los controles de seguridad. Evidentemente, se procede con la verificación de su efectividad y del correcto conocimiento que sobre dichos controles tiene el personal, conociendo sus obligaciones de seguridad y sabiendo operar con ellos.

Para ello, hay que establecer el nivel de competencia que será necesario, por lo que se aconseja realizar un análisis de competencias, y desarrollar un proceso para determinar, revisar y mantenerlas, para que se cumplan los objetivos del SG-SI según la norma ISO 27001.

8 – Medir, controlar y revisar

Como en todos los Sistemas de Gestión, existe una etapa en la cual se tiene que medir, controlar y revisar el desempeño del sistema, y su alineación con los objetivos previsto en la anterior etapa.

9 – Certificación

La certificación de la norma ISO 27001, al igual que todas las de esta familia de normas ISO, no es obligatoria. Si bien es cierto, que carecería de sentido llegar a este punto sin procurar la certificación y mejorar la imagen de la organización.