Nueve pasos para el éxito
eBook - ePub

Nueve pasos para el éxito

Una visión de conjunto para la aplicación de la ISO 27001:2013

  1. 139 páginas
  2. Spanish
  3. ePUB (apto para móviles)
  4. Disponible en iOS y Android
eBook - ePub

Nueve pasos para el éxito

Una visión de conjunto para la aplicación de la ISO 27001:2013

Detalles del libro
Vista previa del libro
Índice
Citas

Información del libro

Orientación paso a paso sobre la implementación de la ISO 27001 con éxito

En lenguaje sencillo y nada técnico, esta guía le llevará por los pasos clave de un proyecto de la ISO 27001 para asegurar su éxito, desde el comienzo a la certificación:

  • Encargo del proyecto
  • Inicio del proyecto
  • Inicio del SGSI
  • Marco de la gestión
  • Criterios de seguridad de referencia
  • Gestión del riesgo
  • Implementación
  • Medición, monitorización y revisión
  • Certificación

Ahora en esta tercera edición y alineada con la ISO 27001: 2013, esta guía es ideal para cualquiera que emprenda la norma por primera vez.

"Es como tener un consultor de $300/h codo con codo mientras considera los aspectos de obtener apoyo de la gerencia, la planificación, el alcance, la comunicación, etc."

Thomas F. Witwicki

Con este libro, averiguará cómo:

  • Conseguir apoyo de la gerencia y mantener la atención del consejo;
  • Crear un marco de gestión y realizar un análisis de las deficiencias, para que pueda entender claramente los controles que ya tiene implantados e identificar dónde tiene que centrar sus esfuerzos;
  • Estructurar y conseguir recursos para su proyecto, incluido le asesoramiento sobre si utilizar consultores o hacerlo usted mismo, y un examen de las herramientas y recursos disponibles que harán su trabajo más fácil;
  • Llevar a cabo una evaluación del riesgo en cinco pasos, y crear una Declaración de aplicabilidad y un plan de tratamiento del riesgo;
  • Integrar su SGSI de la ISO 27001 con un SGC de la ISO 9001 y otros sistemas de calidad;
  • Abordar los retos de la documentación que afrontará cuando cree políticas empresariales, procedimientos, instrucciones de trabajo y registros, incluidas alternativas viables para un enfoque de prueba y error costoso;
  • Mejorar continuamente su SGSI, incluida la auditoría y prueba internas, y la revisión gerencial;

Este título le dará la orientación que necesita para entender los requisitos de la norma y asegurarse de que su proyecto de implementación sea un éxito, lo cual incluye los seis secretos para un éxito de certificación.

Experiencia

Lograr y mantener una certificación acreditada con la ISO 27001, la norma internacional que expone los requisitos de un SGSI, puede ser una tarea complicada, especialmente para los implementadores que sean nuevos con la norma.

El autor, Alan Calder, conoce la ISO 27001 al derecho y al revés: es el fundador y presidente ejecutivo de IT Governance, y dirigió la implementación del primer sistema de gestión en lograr una certificación acreditada con la BS 7799, la precursora de la ISO 27001, y ha estado trabajando con la norma y sus sucesoras desde entonces.

Cientos de organizaciones en todo el mundo han logrado una certificación acreditada con la ISO 27001 con la orientación de IT Governance, que está condensada en este libro.

Compre este libro hoy y aprenda los nueve pasos esenciales para una implementación con éxito del SGSI de la ISO 27001.

Preguntas frecuentes

Simplemente, dirígete a la sección ajustes de la cuenta y haz clic en «Cancelar suscripción». Así de sencillo. Después de cancelar tu suscripción, esta permanecerá activa el tiempo restante que hayas pagado. Obtén más información aquí.
Por el momento, todos nuestros libros ePub adaptables a dispositivos móviles se pueden descargar a través de la aplicación. La mayor parte de nuestros PDF también se puede descargar y ya estamos trabajando para que el resto también sea descargable. Obtén más información aquí.
Ambos planes te permiten acceder por completo a la biblioteca y a todas las funciones de Perlego. Las únicas diferencias son el precio y el período de suscripción: con el plan anual ahorrarás en torno a un 30 % en comparación con 12 meses de un plan mensual.
Somos un servicio de suscripción de libros de texto en línea que te permite acceder a toda una biblioteca en línea por menos de lo que cuesta un libro al mes. Con más de un millón de libros sobre más de 1000 categorías, ¡tenemos todo lo que necesitas! Obtén más información aquí.
Busca el símbolo de lectura en voz alta en tu próximo libro para ver si puedes escucharlo. La herramienta de lectura en voz alta lee el texto en voz alta por ti, resaltando el texto a medida que se lee. Puedes pausarla, acelerarla y ralentizarla. Obtén más información aquí.
Sí, puedes acceder a Nueve pasos para el éxito de Alan Calder en formato PDF o ePUB, así como a otros libros populares de Ciencia de la computación y Ciberseguridad. Tenemos más de un millón de libros disponibles en nuestro catálogo para que explores.

Información

Editorial
ITGP
Año
2017
ISBN
9781849289306
Categoría
Ciencia de la computación
Categoría
Ciberseguridad

CAPÍTULO 1: ENCARGO DEL PROYECTO

Puede sonar un poco a cliché pero, para los proyectos del sistema de gestión de la seguridad de la información (SGSI), es desde luego cierto que “empezar bien es tener la mitad hecha”. La persona encargada de liderar un proyecto de SGSI de la ISO/IEC 27001:2013 tiene que reducir que parece potencialmente complejo, difícil y caro en cuanto a tiempo y recursos, a algo que todos creen que se puede lograr en el marco de tiempo asignado y con los recursos permitidos. ¡Y entonces tiene que asegurarse de que se entrega realmente!
Lo que esto significa en realidad es que el líder del proyecto de SGSI tiene que crear el proyecto de tal manera que cuente con los fondos adecuados, que hay tiempo suficiente (incluyendo para todo lo que puede salir mal) y que todos entiendan los riesgos en el proyecto y acepten los controles que se están utilizando para minimizarlos.
A casi todo el mundo le desagrada el cambio. Muy pocas personas disfrutan tratando lo desconocido. La mayoría de las personas ven un proyecto de SGSI como algo que trae tanto cambio como lo desconocido a su vida laboral, y no todos se alegrarán. Eso es normal; lo asimilarán al final.
El líder del proyecto, en la primera fase del proyecto, es la persona al que todos los demás en la organización acuden en busca de conocimientos, consuelo y apoyo. Tiene que ser la persona que ofrezca entusiasmo, certeza y entendimiento de lo que implica.
Esto significa que el aprendizaje en el puesto de trabajo de manera transparente no es aconsejable. No quiero decir que tiene que saber todas las respuestas al comienzo, porque eso no es realista. Mientras tenga un claro entendimiento de los problemas estratégicos y el conocimiento práctico de dónde acudir para conseguir asesoramiento y orientación, puede ser eficaz, incluso si solo está un día o dos por delante de todos los demás en el conocimiento detallado necesario para el proyecto.
Se sorprendería con la cantidad de veces que alguien ha iniciado un proyecto de SGSI sin preparación adecuada, ha fallado al responder una serie de preguntas o retos sobre problemas específicos adecuadamente y entonces se ha sorprendido de que el proyecto haya perdido credibilidad bastante rápido.
El apoyo de su director ejecutivo para el proyecto es incluso más importante que su propio entendimiento de lo que está intentando lograr. La seguridad de la información es tanto una cuestión de gestión como de gobierno. La implementación con éxito de un SGSI depende absolutamente de que el proyecto tenga apoyo verdadero de la cúpula de la organización. Con este, tiene una oportunidad verdadera de éxito; sin él, nada de nada. Asegurar el apoyo verdadero de la alta gerencia, no aceptar meramente de boquilla, es clave para el éxito de la ISO 27001. En este contexto, no estoy hablando necesariamente sobre el director ejecutivo de una gran organización con múltiples filiales; estoy hablando de la persona que es responsable del éxito o fracaso empresarial de la entidad comercial que esté considerando la ISO 27001. Esto podría ser una división comercial, una empresa filial, una unidad independiente o una organización virtual.
Es importante ser claro acerca del significado de “responsable” en este contexto. Estoy hablando de la persona cuyo trabajo y carrera depende en última instancia del éxito de la entidad empresarial que esté considerando la ISO 27001; esta persona no siempre ocupa la función que es formalmente “donde recae la responsabilidad”. Todas las organizaciones saben exactamente dónde recae la responsabilidad realmente, y esta es la persona a la que me refiero como el director ejecutivo en este capítulo.

Alineamiento estratégico

La primera razón de por qué el director ejecutivo tiene que apoyarle totalmente y el proyecto de SGSI es que es un proyecto empresarial y no un proyecto informático. Tiene que estar completamente en línea con el modelo empresarial, la estrategia empresarial y las metas y tiene que priorizarse para la empresa y asignarse un nivel adecuado de recursos. Aunque es improbable que el director ejecutivo sea el líder del proyecto de SGSI, la única persona que puede priorizar eficazmente la seguridad cibernética es el director ejecutivo. Ningún simple líder de proyecto está en una posición para tener claro las metas y necesidades estratégicas de la organización pero, como este es un proyecto estratégico que afecta a todos, tiene que estar “al tanto” para que pueda personalizar sus propios planes para cumplir las prioridades empresariales de la organización.
Además, tiene que saber qué riesgos estratégicos son afrontados por la organización y cómo estos se reflejan y priorizan en los riesgos de la seguridad de la información. Hay muchas preguntas posibles, cuyas respuestas serán cruciales para su enfoque y plan detallado. Por ejemplo, ¿es el riesgo de robo de propiedad intelectual más significativo, con un potencial de impacto mayor, que el riesgo, por ejemplo, de cierre del negocio durante tres días? ¿Es el cumplimiento reglamentario más, o menos, importante que reducir el coste de las ventas? ¿Van a ser la seguridad de la información y el cumplimiento reglamentario importantes en las soluciones de subcontratación (o, cuando se afronte una elección entre una opción de subcontratación con un coste más bajo, pero menos segura, y uno más segura pero más cara, cuál elegirá la organización)? ¿Cómo se debería resolver el conflicto entre los requisitos reglamentarios de dos jurisdicciones distintas en las que la organización comercia? ¿Cuál es la compensación entre la flexibilidad operativa que se permite a las organizaciones filiales y la implementación de un nivel mínimo y sistemático de seguridad de la información y la fiabilidad de los servicios informáticos? ¿Cuáles son los planes a largo plazo para los servicios de apoyo específicos (si se van a subcontratar, entonces va a enfocar la implementación del SGSI de manera diferente que si se quedan en la organización)? Hay muchas preguntas así, cuyas respuestas tiene que saber antes de que pueda incluso empezar a planificar; hay muchas otras que surgirán en el curso del proyecto.

Priorización y respaldo

La segunda razón de que necesite este tipo de apoyo es que, sin él, el proyecto simplemente no ocurrirá. No es suficiente que el director ejecutivo y la gerencia ejecutiva simplemente reconozcan que el proyecto es importante. No es suficiente que meramente hablen de él. No es suficiente que usted sepa las prioridades estratégicas de la organización y que sea capaz de alinear el proyecto con el plan empresarial.
Si va a suceder de verdad, la alta gerencia tiene que comprometerse, determinados realmente a lograrlo. El compromiso de la alta gerencia significa que el proyecto consiga los recursos humanos y financieros que necesita. Consigue la supervisión, “tiempo dedicado a la comunicación personal” y los plazos de comunicación interna que necesita. A menos que tenga esta clase de compromiso, van a haber muchas cosas que las personas en toda la organización verán como con mayores prioridades que su proyecto. Por supuesto, van a haber algunas prioridades mayores; lo que necesita es una clara priorización que se entienda en toda la empresa y que se respalde continuamente por el director ejecutivo.
La priorización relativa de las necesidades de su proyecto tienen que ser entendida claramente. Dentro de este contexto, tiene que tener el respaldo firme y absoluto del director ejecutivo. Por “respaldo” quiero decir que, cuando aparezcan ocasionalmente esas barreras internas innecesarias, las palabras: “Este es un proyecto respaldado/ordenado por el director ejecutivo” deberían contribuir a superarlas.

Gestión del cambio

La tercera razón por la que necesita el apoyo del director ejecutivo es que un proyecto de SGSI es probable que sea un proyecto de gestión de cambio. La implementación de un SGSI no es una actividad de impacto bajo. Puede requerir cambios sobre cómo los usuarios de los ordenadores hacen una serie de cosas y también afecta a aspectos de las actividades cotidianas de los gerentes. Un proyecto de SGSI con éxito es, en otras palabras, un perfil bajo, pero no obstante un proyecto de gestión del cambio de gran alcance y la manera de enfocarlo tiene que aprender de la experiencia de programas de gestión del cambio con éxito.
Han habido muchos libros escritos acerca de la gestión del cambio. Muchos de estos proyectos no dan los beneficios que se han utilizado para justificar el gasto de empezarlos y llevarlos a cabo. La implementación con éxito de un SGSI no requiere un programa de gestión del cambio estratégico y detallado, concretamente no uno concebido e impulsado por consultores externos. Lo que necesita es una claridad completa entre la alta gerencia, aquellos encargados con impulsar el proyecto hacia delante y aquellos cuyas prácticas de trabajo se verán afectadas, en cuanto a por qué es necesario el cambio, cómo será el resultado final y por qué este resultado es esencial. Los aspectos de la gestión del cambio de esto son la tercera razón de por qué el apoyo y el respaldo del director ejecutivo son esenciales: quiere que él dé ejemplo, haciendo todas las cosas que va a querer que alguien más haga.
El hecho es que la norma misma exige este nivel de apoyo. No permitirá que ningún organismo de certificación certifique un SGSI sin conseguir pruebas firmes de que la alta gerencia está comprometida. La razón para esto es sencilla: si falta compromiso, el SGSI no será adecuado; los riesgos para la organización no se reconocerán propiamente ni se abordarán totalmente; y es improbable que se hayan considerado las metas empresariales estratégicas y los consiguientes requisitos futuros de la seguridad de la información.

La función del director ejecutivo

Idealmente, el director ejecutivo debería ser la fuerza impulsora detrás del programa y el logro de la certificación de la ISO 27001 debería ser una meta indicada claramente en el plan empresarial actual. El director ejecutivo tiene que entender completamente los problemas estratégicos acerca del gobierno de TI y la seguridad de la información y el valor para la empresa de la certificación con éxito. El director ejecutivo tiene que ser capaz de expresar esto al consejo y la alta gerencia, y abordar las objeciones y problemas que surjan. Sobre todo, tiene que tener suficientemente al cargo de esta parte del plan empresarial para ser capaz de mantenerlo enfocado frente a las metas estratégicas.
El presidente y el consejo deberían prestar tanta atención al progreso de la monitorización frente al plan de implementación de la ISO 27001 como lo hacen con la monitorización de todas las demás metas empresariales clave. La cláusula 5.1 de la norma requiere específicamente pruebas de este compromiso desde la cúpula: “La alta gerencia demostrará liderazgo y compromiso con respecto al sistema de gestión de la seguridad de la información”. Si el director ejecutivo y el consejo no están detrás de este proyecto no tiene mucho sentido seguir; la certificación no ocurrirá sin pruebas claras de dicho compromiso. Este principio de liderazgo de la cúpula es, por supuesto, también fundamental para todos los proyectos de cambio importantes.
Si usted ya es el director ejecutivo de la organización, entonces está haciendo exactamente lo correcto leyendo este libro y preparándose para impulsar el proyecto de la seguridad de la información usted mismo. Si usted no es el director ejecutivo, entonces tiene que asegurarse la clase de compromiso y apoyo que describí anteriormente.
El líder ideal de un proyecto de SGSI es un líder empresarial, un COO (director de operaciones) o una línea de líder empresarial; adoptar un SGSI es un proyecto empresarial y por tanto el liderazgo empresarial es fundamental para su éxito. A menudo es el caso que un proyecto de SGSI falla porque se ha creado como un proyecto de tecnología y por tanto se ve y trata como un proyecto limitado que no merece el compromiso total de la empresa. “Simplemente otro proyecto informático” es el mensaje equivocado para impulsar un SGSI en la cultura de la organización.
Hay, por supuesto, organizaciones en las que el director de informática es un miembro del equipo de alta gerencia, es responsable de una función integrada que incluye la seguridad de la información y ya tiene la confianza y apoyo plenos del director ejecutivo y el consejo. En dicha organización, el director de informática podría ser el impulsor del proyecto, pero todavía necesitará el compromiso y el apoyo del director ejecutivo, por lo menos para que todos en la organización entienda que asegurar el reconocimiento es una prioridad empresarial. El director de informática también necesitará urgentemente establecer un equipo del proyecto interempresarial; volveré sobre esto más tarde.

El encargo del proyecto

El encargo del proyecto es donde captura la prueba inicial de este compromiso en un formato utilizable. Un encargo de proyecto (o PID por sus siglas en inglés) es un documento que se utiliza ampliamente para capturar los elementos clave de cualquier proyecto complejo. Asegura que haya un punto de referencia único y original que exponga los tres puntos clave para el éxito del proyecto: productos finales, plazo y presupuesto.
Los proyectos complejos fallan porque uno o más de estos tres variables del proyecto se identifican y/o gestionan deficientemente. Los “requerimientos imprevistos” son una de las causas más comunes del fallo de un proyecto. Los encargos de proyecto, por tanto, buscan identificar claramente el alcance del proyecto y precisar las tres variables con el fin de apoyar un proceso de gobierno del proyecto eficaz.
Su encargo de proyecto debe abordar estos cuatro puntos:
1. Productos finales: identifique el objetivo como el logro de la certificación ISO 27001 para una parte específica o el conjunto de la organización y, si es posible, identifique por qué la seguridad de la información es tan importante para su organización.
2. Plazo: cree un plan del proyecto resumido y fecha de finalización del objetivo basándose en los nueve pasos para el éxito.
3. Presupuesto: identifique los recursos, tanto internos como externos, así como la formación, el software y las herramientas que va a necesitar para el proyecto.
4. Autorización para continuar: el encargo debería contener el respaldo de la gerencia del proyecto y la autorización para continuar, para lograr los objetivos identificados utilizando los recursos presupuestados.

Productos finales y el objetivo del proyecto

Aunque el producto final del proyecto es relativamente fácil de definir (por ejemplo, lograr la certificación ISO 27001 en el plazo de cuatro meses), todavía tendrá que ser claro sobre las razones de buscar ese objetivo así como aclarar la diferencia entre objetivo del proyecto y objetivos de la seguridad de la información.
El propósito de un sistema de gestión de la seguridad de la información es, por supuesto, reducir y controlar los riesgos en su información. El objetivo real (u objetivos) de su proyecto de SGSI puede ser diferente a los propósito del SGSI mismo, y debería ser claro sobre estas diferencias si se va a centrar adecuadamente tanto en el proyecto como el SGSI. El objetivo del proyecto puede ser, por ejemplo, para asegurar la certificación de la ISO 27001 dentro de un marco de tiempo dado con el fin de cumplir un requisito reglamentario o contractual, para mejorar la competitividad comercial o reducir el coste y la complejidad de las respuestas de ventas y marketing a las invitaciones de licitación. Los objetivos del proyecto, en otras palabras, se vinculan específicamente a beneficios empresariales que se van a derivar de su logro. Los objetivos del proyecto normalmente serán de alto nivel y rendim...

Índice

  1. Cubrir
  2. Título
  3. Derechos De Autor
  4. Acerca Del Autor
  5. Índice
  6. Introducción
  7. Capítulo 1: Encargo del proyecto
  8. Capítulo 2: Inicio del proyecto
  9. Capítulo 3: Inicio del SGSI
  10. Capítulo 4: Marco de la gestión
  11. Capítulo 5: Criterios de seguridad de referencia
  12. Capítulo 6: Gestión del riesgo
  13. Capítulo 7: Implementación
  14. Capítulo 8: Medición, monitorización y revisión
  15. Capítulo 9: Certificación
  16. Recursos para ISO 27001
  17. Recursos de ITG