¿Cuánto se tarda en implementar ISO 27000 / BS 25999?
Esta es probablemente la segunda pregunta más común que escucho acerca de la norma ISO 27001 y BS 25999 (la primera es ¿Cuánto cuesta?). Pues bien, la respuesta no es muy alentadora. La mayoría de las personas esperaran que sea unos meses pero esto no es realista y la realidad se acerca más a un año.
Por supuesto, siempre se puede producir 50 documentos en cuestión de días, afirmando que cumplen con la norma ISO 27001, pero no se trata de esto. Yo estoy describiendo un proceso que tenga sentido, es decir, que produzca resultado: menor número de incidentes, mayor eficiencia, ahorro de costos, etc.
Tiempo necesario para las fases "Plan" y "Do":
El esfuerzo principal debe ser invertido en las fases "Planear y "Hacer", es decir, las dos primeras etapas obligatorias en las que se realiza la evaluación del riesgo, el análisis de impacto en el negocio y en el que todos los controles (incluyendo los planes de continuidad del negocio) se están aplicando.
La duración de la ejecución de estas dos fases depende principalmente del tamaño de la organización:
Al hablar sobre el tiempo de implementación, vale la pena mencionar aquí que el trabajo sobre ISO 27001 / BS 25999 no se detiene en las etapas de plan y hacer porque los sistemas de gestión deben mantenerse y mejorarse (fases "Verificar" y "Actuar"), lo que significa que el trabajo sobre seguridad de la información y la continuidad del negocio, continúa. Sin embargo, el esfuerzo para mantener y mejorar el sistema no es tan grande como en las dos primeras fases.
Lo que acelerará la implantación
La duración se mencionó anteriormente, por supuesto, depende de muchos factores, pero en general los siguientes factores pueden acelerar la aplicación de la norma:
Y, por supuesto, usted puede disminuir el tiempo de ejecución si planea su proyecto con cuidado.
Traducción: Cristian Borghello - Segu-Info
Autor: Dejan Kosutic
Fuente: ISO 27000 y BS 25999
Por supuesto, siempre se puede producir 50 documentos en cuestión de días, afirmando que cumplen con la norma ISO 27001, pero no se trata de esto. Yo estoy describiendo un proceso que tenga sentido, es decir, que produzca resultado: menor número de incidentes, mayor eficiencia, ahorro de costos, etc.
Tiempo necesario para las fases "Plan" y "Do":
El esfuerzo principal debe ser invertido en las fases "Planear y "Hacer", es decir, las dos primeras etapas obligatorias en las que se realiza la evaluación del riesgo, el análisis de impacto en el negocio y en el que todos los controles (incluyendo los planes de continuidad del negocio) se están aplicando.
La duración de la ejecución de estas dos fases depende principalmente del tamaño de la organización:
- Las organizaciones más pequeñas (hasta 50 empleados) por lo general pueden ser hasta 8 meses
- Organizaciones de tamaño medio (hasta 500 empleados), de 8 a 12 meses
- Las organizaciones grandes (500 empleados y más), la aplicación puede durar de 12 a 15 meses
Al hablar sobre el tiempo de implementación, vale la pena mencionar aquí que el trabajo sobre ISO 27001 / BS 25999 no se detiene en las etapas de plan y hacer porque los sistemas de gestión deben mantenerse y mejorarse (fases "Verificar" y "Actuar"), lo que significa que el trabajo sobre seguridad de la información y la continuidad del negocio, continúa. Sin embargo, el esfuerzo para mantener y mejorar el sistema no es tan grande como en las dos primeras fases.
Lo que acelerará la implantación
La duración se mencionó anteriormente, por supuesto, depende de muchos factores, pero en general los siguientes factores pueden acelerar la aplicación de la norma:
- Ejecutar la aplicación del plan como un proyecto: si usted conoce exactamente cuáles son los objetivos, conoce los responsables de cada cosa, sabe cuáles son los resultados esperados y si los recursos están disponibles, no sólo acelerará el proceso, también incrementarán las posibilidades de un resultado exitoso.
- Si ya dispone de la ISO 9001 o algún otro sistema de gestión: ISO 27001 y BS 25999-2 no son tan diferentes de otros sistemas de gestión, así que si puede utilizar algunos de los mecanismos y procedimientos existentes puede ahorrar probablemente del 20% al 30% de su tiempo.
- Si ya existen medidas de seguridad, políticas de negocio y procedimientos de continuidad: hay posibilidades de que la documentación existente sea aceptable para la ISO 27001 y la BS 25999 y por lo tanto se reducirá el tiempo de ejecución. Además Ud. ya tendrá un conocimiento de su organización, acerca de la importancia de la seguridad de la información de seguridad y de la continuidad del negocio.
- Tener las plantillas de la documentación apropiada: aquí me refiero a las plantillas en su idioma y apropiadas para el tamaño de su empresa, y creados específicamente para el propósito de las normas. Una nota aquí: las plantillas gratuitas descargadas de Internet no van a acelerar el proceso, ya que habrá un tiempo considerable para su personalización.
- Tener el conocimiento: se puede obtener el conocimiento, bien a través de la literatura, en persona, cursos en línea, o mediante la contratación de un consultor. Sin el conocimiento no sólo tardará más, sino que probablemente nunca lo termine.
- Por último, pero ciertamente no menos importante: el apoyo de su gestión. Si usted no recibe su apoyo en términos de dinero y recursos humanos, en realidad su proyecto tendrá una duración bastante corta: terminará antes de que comience.
Y, por supuesto, usted puede disminuir el tiempo de ejecución si planea su proyecto con cuidado.
Traducción: Cristian Borghello - Segu-Info
Autor: Dejan Kosutic
Fuente: ISO 27000 y BS 25999
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!