5/6/2015

ListadeapoyoparaimplementacindeISO27001|27001Academy

1.Obtenerelapoyodeladireccin
Estopuedepareceruntantoobvioy,generalmente,noestomadoconlaseriedadquemerece.Pero,de
acuerdoconmiexperiencia,eselprincipalmotivoenelfracasodelosproyectosparalaimplementacin
delanormaISO27001yaqueladireccinnodestinasuficientesrecursoshumanosparaquetrabajenen
elproyectonisuficientedinero.(LeaCuatrobeneficiosclavedelaimplementacindelanormaISO
27001parapresentarleeltemaaladireccin)

2.Tomarlocomounproyecto
Comoyasehadicho,laimplementacindelanormaISO27001esuntemacomplejoqueinvolucra
diversasactividades,amuchaspersonasypuededemandarvariosmeses(omsdeunao).Sinodefine
claramentequesloquesehar,quinloharyenquperododetiempo(porej.,aplicarlagestindel
proyecto),esprobablequenuncatermineeltrabajo.

3.Definirelalcance
Sisetratadeunagranorganizacin,probablementetengasentidoimplementarlanormaISO27001
solamenteenunapartedelamisma,reduciendosignificativamentedeestaforma,losriesgosdel
proyecto.(ProblemasparadefinirelalcancedelanormaISO27001)
Requestcallback

4.RedactarunaPolticadeSGSI
LaPolticadeSGSIeseldocumentomsimportanteensuSGSI:nodebeserdemasiadodetalladopero
debedefiniralgunostemasbsicossobrelaseguridaddelainformacinensuorganizacin.Perocules
suobjetivosinoesminucioso?Elobjetivoesqueladireccindefinaqudesealograrycmo
controlarlo.(PolticadeSeguridaddelaInformacin:quniveldedetalledeberatener?)

5.DefinirlametodologadeEvaluacinderiesgos
LaevaluacinderiesgoseslatareamscomplejadelproyectoparalanormaISO27001suobjetivoes
definirlasreglasparaidentificarlosactivos,lasvulnerabilidades,lasamenazas,lasconsecuenciasylas
probabilidades,comotambindefinirelnivelaceptablederiesgo.Siesasreglasnoestndefinidas
claramente,ustedpodraencontrarseenunasituacinenlaqueobtendraresultadosinservibles.
(Consejossobrelaevaluacinderiesgosparaempresaspequeas)

6.Realizarlaevaluacinyeltratamientoderiesgos
Aqu,ustedtienequeimplementarloquedefinienelpasoanterior.Enorganizacionesmsgrandes
puededemandarvariosmeses,porlotanto,debecoordinarestatareaconmuchocuidado.Loimportante
http://www.iso27001standard.com/es/blog/2010/09/28/listadeapoyoparaimplementaciondeiso27001/

3/12

5/6/2015

ListadeapoyoparaimplementacindeISO27001|27001Academy

esobtenerunavisinintegraldelospeligrossobrelainformacindesuorganizacin.
Elobjetivodelprocesodetratamientoderiesgosesreducirlosriesgosnoaceptables(generalmentese
haceplanificandoelusodecontrolesdelAnexoA).
Enestepaso,sedeberedactarunInformesobrelaevaluacinderiesgosquedocumentetodoslospasos
tomadosduranteelprocesodeevaluacinytratamientoderiesgos.Tambinesnecesarioconseguirla
aprobacindelosriesgosresidualesyaseaenundocumentoseparadoocomopartedelaDeclaracinde
aplicabilidad.

7.RedactarlaDeclaracindeaplicabilidad
Luegodefinalizarsuprocesodetratamientoderiesgos,sabrexactamentequcontrolesdelAnexo
necesita(hayuntotalde133controlespero,probablemente,nolosnecesiteatodos).Elobjetivodeeste
documento(generalmentedenominadoDdA)esenumerartodosloscontroles,definirculesson
aplicablesyculesno,definirlosmotivosdeesadecisin,losobjetivosqueselograrnconloscontroles
ydescribircmoseimplementarn.
LaDeclaracindeaplicabilidadtambineseldocumentomsapropiadoparaobtenerlaautorizacinde
ladireccinparaimplementarelSGSI.

8.RedactarelPlandetratamientodelriesgo
Justocuandopensabaquehabaresueltotodoslosdocumentosrelacionadosconelriesgo,aquaparece
otro.ElobjetivodelPlandetratamientodelriesgoesdefinirclaramentecmoseimplementarnlos
controlesdelaDdA,quinlohar,cundo,conqupresupuesto,etc.Estedocumentoes,enrealidad,un
plandeimplementacinenfocadosobresuscontrolessinelcual,ustednopodracoordinarlospasos
siguientesdelproyecto.

9.Determinarcmomedirlaeficaciadeloscontroles
Otratareaque,generalmente,essubestimada.Eltemaaques,siustednopuedemedirloquehahecho,
cmopuedeestarsegurodequehalogradoelobjetivo?Porlotanto,asegresededeterminarcmo
medirellogrodelosobjetivosestablecidostantoparatodoelSGSIcomoparacadacontrolaplicablede
laDeclaracindeaplicabilidad.

10.Implementacindecontrolesyprocedimientosobligatorios
Esmsfcildecirloquehacerlo.Aquescuandodebeimplementarloscuatroprocedimientos
obligatoriosyloscontrolescorrespondientesdelAnexoA.
Estaes,habitualmente,latareamsriesgosadesuproyectoyaque,generalmente,implicalaaplicacin
denuevastecnologaspero,sobretodo,laimplementacindenuevasconductasensuorganizacin.
Muchasveceslasnuevaspolticasyprocedimientossonnecesarios(enelsentidoqueelcambioes
http://www.iso27001standard.com/es/blog/2010/09/28/listadeapoyoparaimplementaciondeiso27001/

4/12

5/6/2015

ListadeapoyoparaimplementacindeISO27001|27001Academy

necesario)ylaspersonas,generalmente,seresistenalcambioesporelloquelasiguientetarea
(capacitacinyconcienciacin)esvitalparaprevenireseriesgo.

11.Implementarprogramasdecapacitacinyconcienciacin
Siquierequesusempleadosimplemententodaslasnuevaspolticasyprocedimientos,primerodebe
explicarlesporqusonnecesariosydebecapacitarlosparaquepuedanactuarsegnloesperado.Lafalta
deestasactividadeseselsegundomotivoprincipalporelfracasodelproyectoparalaimplementacinde
lanormaISO27001.

12.HacerfuncionarelSGSI
EstaeslaparteenqueISO27001setransformaenunarutinadiariadentrodesuorganizacin.La
palabramsimportanteaques:registros.Alosauditoreslesencantanlosregistrossinregistrosle
resultarmuydifcilprobarqueunaactividadsehayarealizadorealmente.Pero,antetodo,losregistros
deberanayudarle.Conellos,ustedpuedesupervisarquestsucediendo,sabrrealmentesisus
empleados(yproveedores)estnrealizandosustareassegnlorequerido.

13.SupervisindelSGSI
QuestsucediendoensuSGSI?Cuntosincidentestiene?Dequtipo?Todoslosprocedimientos
seefectancorrectamente?
Aquesdondesecruzanlosobjetivosdeloscontrolesconlametodologademedicindebeverificarsi
losresultadosqueobtienecumplenconloqueseestablecienlosobjetivos.Sinosecumplen,es
evidentequealgoestmalydebeaplicarmedidascorrectivasy/opreventivas.

14.Auditorainterna
Muchasveceslaspersonasnosonconscientesdequeestnhaciendoalgomal(porotrolado,avecess
losabenperonoquierenquenadielodescubra).Peronoserconscientedelosproblemasexistenteso
potencialespuededaarasuorganizacin,poresodeberealizarauditorasinternasparadescubrireste
tipodecosas.Loimportanteaqunoesactivarmedidasdisciplinarias,sinoaplicarmedidascorrectivas
y/opreventivas.(DilemasconlosauditoresinternosdelasnormasISO27001yBS259992)

15.Revisinporpartedeladireccin
Ladireccinnotienequeconfigurarelcortafuegos,perosdebesaberquestsucediendoenelSGSI
esdecir,sitodoelmundoejecutsustareas,sielSGSIobtienelosresultadosdeseados,etc.Enbasea
estosaspectos,ladireccindebetomaralgunasdecisionesimportantes.

http://www.iso27001standard.com/es/blog/2010/09/28/listadeapoyoparaimplementaciondeiso27001/

5/12

5/6/2015

ListadeapoyoparaimplementacindeISO27001|27001Academy

16.Medidascorrectivasypreventivas
Elobjetivodelsistemadegestinesgarantizarquetodoloqueestmal(lasdenominadasno
conformidades)seacorregidoo,conalgodesuerte,evitado.Porlotanto,lanormaISO27001requiere
quelasmedidascorrectivasypreventivasseapliquensistemticamenteesdecir,queseidentifiquela
razdeunanoconformidadysesolucioneysecontrole.
Talvez,esteartculohayaaclaradoquesnecesariohacer.AunqueimplementarlanormaISO27001no
seaunatareasencilla,nonecesariamentetienequesertancomplicado.Solamentedebeplanificar
detalladamentecadapaso,ynosepreocupeobtendrsucertificado.
AqupuededescargareldiagramadelprocesodeimplementacindelanormaISO27001quemuestra
todosestospasosjuntoconladocumentacinrequerida.

Silegustesteartculo,suscrbasepararecibiractualizaciones
AmplesuconocimientoconnuestrosrecursosgratuitossobrelasnormasISO27001/ISO22301.
Sucorreoelectrnico
Recibiractualizacionesporemail

Respetamosenun100%suprivacidadCancelesususcripcinencualquiermomentoconunsimpleclic.
0Comentarios
Recomendar

27001Academy

Compartir

Acceder

Ordenarporlosmejores

Iniciaeldebate...

Selprimeroencomentar.

Suscrbete

AadeDisqusatusitioweb

Privacidad

DescargasgratuitassobreISO27001&ISO22301
VERMAS

http://www.iso27001standard.com/es/blog/2010/09/28/listadeapoyoparaimplementaciondeiso27001/

6/12