ISO 27001, previo a una certificación
He implementado varios sistemas de gestión de seguridad de la información (SGSI) "alineados" con ISO 27001, pero es la primera vez que realizo un proyecto de implementación con miras a certificación (completo y express además; en menos de 1 año).
La prueba de fuego para el proyecto es la certificación en sí, la cual esperamos se lleve a cabo a finales de este 2010, pero hoy que estamos en la fase 3 (Check) del Ciclo de Deming ("Plan","Do","Check","Act"), les puedo adelantar algunas conclusiones y resultados generales.
Expectativas del proyecto
En mi caso, la Institución Financiera para la que trabajo espera que este proyecto resuelva de origen muchos de los vicios que derivan en riesgos de seguridad. El apoyo es grande, desde las más altas esferas (afortunadamente), y por lo mismo la presión por alcanzar resultados rápidamente también es muy grande.
La expectativa en cuanto a tiempo es lograr la implementación y certificación de todos los servicios de TI que soportan los procesos centrales de la Institución en el lapso de un año (luego retomo el tema en el apartado de recomendaciones), y esta expectativa a nivel de negocio estaba pactada antes de que entrara a trabajar en la Institución (Ups. letras pequeñas del contrato), así que no había de otra.
Personalmente me había resistido a buscar la certificación en otros lugares donde había trabajado, porque me gustan las cuestiones prácticas y tangibles, más que las medallas y los manuales de pisapapeles para administrar la seguridad de la información. Así que confieso que me sentía un poco escéptico con respecto a los beneficios reales en un principio.
Contenido completo en el Blog de Omar Herrera
La prueba de fuego para el proyecto es la certificación en sí, la cual esperamos se lleve a cabo a finales de este 2010, pero hoy que estamos en la fase 3 (Check) del Ciclo de Deming ("Plan","Do","Check","Act"), les puedo adelantar algunas conclusiones y resultados generales.
Expectativas del proyecto
En mi caso, la Institución Financiera para la que trabajo espera que este proyecto resuelva de origen muchos de los vicios que derivan en riesgos de seguridad. El apoyo es grande, desde las más altas esferas (afortunadamente), y por lo mismo la presión por alcanzar resultados rápidamente también es muy grande.
La expectativa en cuanto a tiempo es lograr la implementación y certificación de todos los servicios de TI que soportan los procesos centrales de la Institución en el lapso de un año (luego retomo el tema en el apartado de recomendaciones), y esta expectativa a nivel de negocio estaba pactada antes de que entrara a trabajar en la Institución (Ups. letras pequeñas del contrato), así que no había de otra.
Personalmente me había resistido a buscar la certificación en otros lugares donde había trabajado, porque me gustan las cuestiones prácticas y tangibles, más que las medallas y los manuales de pisapapeles para administrar la seguridad de la información. Así que confieso que me sentía un poco escéptico con respecto a los beneficios reales en un principio.
Contenido completo en el Blog de Omar Herrera
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!