Los profesionales que inician el proyecto de implementar ISO 27001 y un Sistema de Gestión de Seguridad de la Información siguen un camino para acometer la tarea que empieza por obtener el apoyo de la Alta Dirección.
Para este primer paso es necesario presentar un plan de trabajo en el que se determinan los recursos que demandará el proyecto y los objetivos que se pretende alcanzar. Se trata de un principio elemental de coste-beneficio. La Alta Dirección necesita apreciar con claridad cuánto costará y qué beneficios aportará implementar ISO 27001.
Establecer los costes de la implementación requiere considerar el tiempo que llevará la tarea, los recursos humanos y técnicos necesarios, los roles específicos que se asignarán y el esfuerzo que requerirá por parte de cada uno de los profesionales que puedan contribuir con la implementación.
El tamaño de la organización y su número de empleados son factores que determinan los recursos requeridos. Exponemos, a continuación, una concisa guía para establecer los recursos iniciales requeridos para implementar ISO 27001.
Implementar ISO 27001 – Recursos necesarios
El coste total del proyecto incluye variables como las necesidades de capacitación y formación, la eventual contratación de consultores externos y los requerimientos tecnológicos que demande la implementación del Sistema de Gestión basado en ISO 27001.
Del grado de avance de la organización en sus procesos de transformación digital, así como de su capacidad para automatizar y digitalizar sus Sistemas de Gestión, dependerá el coste final del proyecto, así como la eficacia del nuevo Sistema y la facilidad para mantenerlo en el futuro.
El primer factor para determinar el coste del proyecto será el tiempo que lleva la implementación.
¿Cuánto tiempo será necesario para implementar ISO 27001?
En la práctica, el trabajo de implementación inicia con alcanzar la conformidad con lo solicitado en las cláusulas 6 (Planificación) y 7 (Soporte y Recursos). Son las etapas en las que se realizan las evaluaciones de riesgos y se definen los controles, entre los 114 que propone la norma, que será preciso implementar.
Estimar el tiempo que llevará la implementación dependerá del tamaño y el número de empleados así:
| Número de empleados | Tiempo estimado |
| Hasta 20 empleados | Tres meses, aproximadamente |
| De 20 a 50 empleados | 3 a 5 meses |
| 50 a 200 empleados | Entre 5 y 8 meses |
| Más de 200 empleados | 8 a 20 meses |
Estos tiempos suponen contar con profesionales capacitados, el soporte tecnológico anotado en la introducción de este apartado y el liderazgo y apoyo de la Alta Dirección.
Conoce los recursos humanos y de tiempo necesarios para implementar #ISO27001, así como los roles que será preciso asignar para alcanzar el objetivo #SeguridadInformación Clic para tuitear¿Cuáles son los roles a asignar para la implementación de ISO 27001?
En pequeñas organizaciones un solo profesional asume varios roles. En organizaciones de mayor tamaño, las funciones se separarán y serán asumidas por diferentes profesionales.
Los roles mínimos a considerar serán: gerente o director del proyecto, oficial de seguridad, miembros del equipo, directores de área o departamento y Alta Dirección.
El equipo, así conformado, no es un requisito de ISO 27001. Pero la experiencia demuestra que este sería el recurso humano necesario para una implementación en los tiempos propuestos en el ítem anterior.
En organizaciones de todos los tamaños, es preciso contar con personal destinado a apoyar tareas como:
- Evaluaciones de riesgos: inspecciones físicas, encuestas, entrevistas, completar formularios…
- Gestión de riesgos: investigar y documentar opciones de tratamiento de los riesgos, para mitigar, eliminar, compartir o tolerar las amenazas.
- Revisión de políticas y procedimientos, verificando que no entren en conflicto con estrategias de negocio.
- Aprobar los objetivos de seguridad, las políticas y el suministro de los recursos solicitados, verificando que se ajusten a las necesidades de la organización y que no obstaculicen el cumplimiento de los objetivos estratégicos.
Estas son tareas que cumplen los directores del proyecto, directores de área, personal de apoyo, y algunas, entre ellas las descritas en el último punto, la Alta Dirección.
¿Qué proporción de tiempo de trabajo requiere la implementación en cada rol?
La proporción del tiempo que destinan los profesionales al proyecto, entendiendo que se trata de empleados que cumplen funciones específicas para las que fueron contratadas, aumenta en la misma medida que crece el número de empleados.
En organizaciones con más de 200 empleados, la proporción de tiempo que dedicará el profesional que asume la responsabilidad de dirigir el proyecto, se estima que será del 20%. Esto, en otras palabras, representa un día a la semana.
Implementar ISO 27001 será una tarea que demande igual proporción de tiempo para el encargado del rol de oficial de seguridad de la información. La siguiente tabla resultará muy útil para comprender cuál será el aporte en tiempo y esfuerzo estimado de cada uno de los profesionales que asumirán responsabilidades en el proyecto de implementar ISO 27001:
| Rol | 200 empleados + | De 200 a 2000 | + de 2000 |
| Gerente o director del proyecto | 20% (un día a la semana). | 50% (2.5 días a la semana). | 100%. Todos los días de la semana. |
| Oficial de seguridad | 20% (un día a la semana). | 50% (2.5 días a la semana). | 100% Todos los días de la semana. |
| Personal de apoyo | No son requeridos, o el tiempo no es estimable. | 15 horas, durante todo el proyecto. | 30 horas, durante todo el proyecto. |
| Directores de área | 7 horas, durante todo el proyecto. | 15 horas, durante todo el proyecto. | 30 horas, durante todo el proyecto. |
| Alta Dirección | 5 horas, durante todo el proyecto. | 10 horas, durante todo el proyecto. | 15 horas, durante todo el proyecto. |
Los anteriores datos son aproximaciones del esfuerzo necesario para implementar ISO 27001. Una vez implementado, el sistema demandará esfuerzos y recursos para su mantenimiento, pero estos se estiman apenas en la cuarta parte de lo destinado a la implementación.
Implementar ISO 27001 será una tarea mucho más ágil y eficiente y, por tanto, más asequible si se cuenta con profesionales formados para acometer un proyecto de estas dimensiones.
Diplomado en Seguridad de la Información – ISO 27001
ISO 27001 es el estándar tomado como punto de referencia para la implementación de Sistemas de Gestión de Seguridad de la Información en todo el mundo. El Diplomado en Seguridad de la Información ISO/IEC 27001 es un programa diseñado por profesionales expertos en el área, que gozan de reconocimiento a nivel internacional.
Los alumnos de este programa se preparan para asumir los retos que plantea la seguridad de la información, en un escenario de exposición a riesgos cada vez más alto y dentro de un marco regulatorio igualmente exigente.
El Diplomado entrega certificado de experto en Seguridad de la Información basado en ISO 27001, pero también de auditor interno a Sistemas de Gestión de Seguridad de la Información. Al mismo tiempo, allana el camino para la obtención del Certificado del Registro Europeo de Auditores Certificados (ERCA).
¿Quieres tomar el liderazgo para implementar ISO 27001 en tu organización? Este es el primer paso.
