Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Lista de Apoyo para Implementación
Lista de Apoyo para Implementación
ListadeapoyoparaimplementacindeISO27001|27001Academy
1.Obtenerelapoyodeladireccin
Estopuedepareceruntantoobvioy,generalmente,noestomadoconlaseriedadquemerece.Pero,de
acuerdoconmiexperiencia,eselprincipalmotivoenelfracasodelosproyectosparalaimplementacin
delanormaISO27001yaqueladireccinnodestinasuficientesrecursoshumanosparaquetrabajenen
elproyectonisuficientedinero.(LeaCuatrobeneficiosclavedelaimplementacindelanormaISO
27001parapresentarleeltemaaladireccin)
2.Tomarlocomounproyecto
Comoyasehadicho,laimplementacindelanormaISO27001esuntemacomplejoqueinvolucra
diversasactividades,amuchaspersonasypuededemandarvariosmeses(omsdeunao).Sinodefine
claramentequesloquesehar,quinloharyenquperododetiempo(porej.,aplicarlagestindel
proyecto),esprobablequenuncatermineeltrabajo.
3.Definirelalcance
Sisetratadeunagranorganizacin,probablementetengasentidoimplementarlanormaISO27001
solamenteenunapartedelamisma,reduciendosignificativamentedeestaforma,losriesgosdel
proyecto.(ProblemasparadefinirelalcancedelanormaISO27001)
Requestcallback
4.RedactarunaPolticadeSGSI
LaPolticadeSGSIeseldocumentomsimportanteensuSGSI:nodebeserdemasiadodetalladopero
debedefiniralgunostemasbsicossobrelaseguridaddelainformacinensuorganizacin.Perocules
suobjetivosinoesminucioso?Elobjetivoesqueladireccindefinaqudesealograrycmo
controlarlo.(PolticadeSeguridaddelaInformacin:quniveldedetalledeberatener?)
5.DefinirlametodologadeEvaluacinderiesgos
LaevaluacinderiesgoseslatareamscomplejadelproyectoparalanormaISO27001suobjetivoes
definirlasreglasparaidentificarlosactivos,lasvulnerabilidades,lasamenazas,lasconsecuenciasylas
probabilidades,comotambindefinirelnivelaceptablederiesgo.Siesasreglasnoestndefinidas
claramente,ustedpodraencontrarseenunasituacinenlaqueobtendraresultadosinservibles.
(Consejossobrelaevaluacinderiesgosparaempresaspequeas)
6.Realizarlaevaluacinyeltratamientoderiesgos
Aqu,ustedtienequeimplementarloquedefinienelpasoanterior.Enorganizacionesmsgrandes
puededemandarvariosmeses,porlotanto,debecoordinarestatareaconmuchocuidado.Loimportante
http://www.iso27001standard.com/es/blog/2010/09/28/listadeapoyoparaimplementaciondeiso27001/
3/12
5/6/2015
ListadeapoyoparaimplementacindeISO27001|27001Academy
esobtenerunavisinintegraldelospeligrossobrelainformacindesuorganizacin.
Elobjetivodelprocesodetratamientoderiesgosesreducirlosriesgosnoaceptables(generalmentese
haceplanificandoelusodecontrolesdelAnexoA).
Enestepaso,sedeberedactarunInformesobrelaevaluacinderiesgosquedocumentetodoslospasos
tomadosduranteelprocesodeevaluacinytratamientoderiesgos.Tambinesnecesarioconseguirla
aprobacindelosriesgosresidualesyaseaenundocumentoseparadoocomopartedelaDeclaracinde
aplicabilidad.
7.RedactarlaDeclaracindeaplicabilidad
Luegodefinalizarsuprocesodetratamientoderiesgos,sabrexactamentequcontrolesdelAnexo
necesita(hayuntotalde133controlespero,probablemente,nolosnecesiteatodos).Elobjetivodeeste
documento(generalmentedenominadoDdA)esenumerartodosloscontroles,definirculesson
aplicablesyculesno,definirlosmotivosdeesadecisin,losobjetivosqueselograrnconloscontroles
ydescribircmoseimplementarn.
LaDeclaracindeaplicabilidadtambineseldocumentomsapropiadoparaobtenerlaautorizacinde
ladireccinparaimplementarelSGSI.
8.RedactarelPlandetratamientodelriesgo
Justocuandopensabaquehabaresueltotodoslosdocumentosrelacionadosconelriesgo,aquaparece
otro.ElobjetivodelPlandetratamientodelriesgoesdefinirclaramentecmoseimplementarnlos
controlesdelaDdA,quinlohar,cundo,conqupresupuesto,etc.Estedocumentoes,enrealidad,un
plandeimplementacinenfocadosobresuscontrolessinelcual,ustednopodracoordinarlospasos
siguientesdelproyecto.
9.Determinarcmomedirlaeficaciadeloscontroles
Otratareaque,generalmente,essubestimada.Eltemaaques,siustednopuedemedirloquehahecho,
cmopuedeestarsegurodequehalogradoelobjetivo?Porlotanto,asegresededeterminarcmo
medirellogrodelosobjetivosestablecidostantoparatodoelSGSIcomoparacadacontrolaplicablede
laDeclaracindeaplicabilidad.
10.Implementacindecontrolesyprocedimientosobligatorios
Esmsfcildecirloquehacerlo.Aquescuandodebeimplementarloscuatroprocedimientos
obligatoriosyloscontrolescorrespondientesdelAnexoA.
Estaes,habitualmente,latareamsriesgosadesuproyectoyaque,generalmente,implicalaaplicacin
denuevastecnologaspero,sobretodo,laimplementacindenuevasconductasensuorganizacin.
Muchasveceslasnuevaspolticasyprocedimientossonnecesarios(enelsentidoqueelcambioes
http://www.iso27001standard.com/es/blog/2010/09/28/listadeapoyoparaimplementaciondeiso27001/
4/12
5/6/2015
ListadeapoyoparaimplementacindeISO27001|27001Academy
necesario)ylaspersonas,generalmente,seresistenalcambioesporelloquelasiguientetarea
(capacitacinyconcienciacin)esvitalparaprevenireseriesgo.
11.Implementarprogramasdecapacitacinyconcienciacin
Siquierequesusempleadosimplemententodaslasnuevaspolticasyprocedimientos,primerodebe
explicarlesporqusonnecesariosydebecapacitarlosparaquepuedanactuarsegnloesperado.Lafalta
deestasactividadeseselsegundomotivoprincipalporelfracasodelproyectoparalaimplementacinde
lanormaISO27001.
12.HacerfuncionarelSGSI
EstaeslaparteenqueISO27001setransformaenunarutinadiariadentrodesuorganizacin.La
palabramsimportanteaques:registros.Alosauditoreslesencantanlosregistrossinregistrosle
resultarmuydifcilprobarqueunaactividadsehayarealizadorealmente.Pero,antetodo,losregistros
deberanayudarle.Conellos,ustedpuedesupervisarquestsucediendo,sabrrealmentesisus
empleados(yproveedores)estnrealizandosustareassegnlorequerido.
13.SupervisindelSGSI
QuestsucediendoensuSGSI?Cuntosincidentestiene?Dequtipo?Todoslosprocedimientos
seefectancorrectamente?
Aquesdondesecruzanlosobjetivosdeloscontrolesconlametodologademedicindebeverificarsi
losresultadosqueobtienecumplenconloqueseestablecienlosobjetivos.Sinosecumplen,es
evidentequealgoestmalydebeaplicarmedidascorrectivasy/opreventivas.
14.Auditorainterna
Muchasveceslaspersonasnosonconscientesdequeestnhaciendoalgomal(porotrolado,avecess
losabenperonoquierenquenadielodescubra).Peronoserconscientedelosproblemasexistenteso
potencialespuededaarasuorganizacin,poresodeberealizarauditorasinternasparadescubrireste
tipodecosas.Loimportanteaqunoesactivarmedidasdisciplinarias,sinoaplicarmedidascorrectivas
y/opreventivas.(DilemasconlosauditoresinternosdelasnormasISO27001yBS259992)
15.Revisinporpartedeladireccin
Ladireccinnotienequeconfigurarelcortafuegos,perosdebesaberquestsucediendoenelSGSI
esdecir,sitodoelmundoejecutsustareas,sielSGSIobtienelosresultadosdeseados,etc.Enbasea
estosaspectos,ladireccindebetomaralgunasdecisionesimportantes.
http://www.iso27001standard.com/es/blog/2010/09/28/listadeapoyoparaimplementaciondeiso27001/
5/12
5/6/2015
ListadeapoyoparaimplementacindeISO27001|27001Academy
16.Medidascorrectivasypreventivas
Elobjetivodelsistemadegestinesgarantizarquetodoloqueestmal(lasdenominadasno
conformidades)seacorregidoo,conalgodesuerte,evitado.Porlotanto,lanormaISO27001requiere
quelasmedidascorrectivasypreventivasseapliquensistemticamenteesdecir,queseidentifiquela
razdeunanoconformidadysesolucioneysecontrole.
Talvez,esteartculohayaaclaradoquesnecesariohacer.AunqueimplementarlanormaISO27001no
seaunatareasencilla,nonecesariamentetienequesertancomplicado.Solamentedebeplanificar
detalladamentecadapaso,ynosepreocupeobtendrsucertificado.
AqupuededescargareldiagramadelprocesodeimplementacindelanormaISO27001quemuestra
todosestospasosjuntoconladocumentacinrequerida.
Silegustesteartculo,suscrbasepararecibiractualizaciones
AmplesuconocimientoconnuestrosrecursosgratuitossobrelasnormasISO27001/ISO22301.
Sucorreoelectrnico
Recibiractualizacionesporemail
Respetamosenun100%suprivacidadCancelesususcripcinencualquiermomentoconunsimpleclic.
0Comentarios
Recomendar
27001Academy
Compartir
Acceder
Ordenarporlosmejores
Iniciaeldebate...
Selprimeroencomentar.
Suscrbete
AadeDisqusatusitioweb
Privacidad
DescargasgratuitassobreISO27001&ISO22301
VERMAS
http://www.iso27001standard.com/es/blog/2010/09/28/listadeapoyoparaimplementaciondeiso27001/
6/12