Este documento describe los errores más comunes en la implantación de la norma ISO 27001 de gestión de seguridad de la información. Estos errores incluyen una mala adaptación de los objetivos corporativos, una dependencia excesiva de consultoras externas y una falta de conocimientos o dedicación por parte de la organización. Además, la norma puede fallar si no es asumida por los trabajadores o si no se le dedica el tiempo suficiente para su mantenimiento a largo plazo.
3. 1. Introducción
La información es un activo vital y estratégico para las organizaciones,
por lo que se hace necesario un buen SGSI que garantice la seguridad
de la información.
Es una tarea ardua para la organización, llevando en ocasiones a
cometer ciertos errores que pueden poner en peligro dicha seguridad.
Estos errores pueden suceder en alguna o varias etapas del proceso de
implantación del SGSI.
ISOTools ISO 27001
3
4. 2. Errores
1. Mala adaptación de los objetivos corporativos
• En la fase de planificación del proceso de implantación, puede
suceder una mala adaptación de los objetivos corporativos.
• Está motivado por una actitud muy positiva a la hora de
diseñarlos, que puede posicionarlos por encima de las posibilidades o
las necesidades de la propia organización.
ISOTools ISO 27001
4
5. 2. Errores
2. Dependencia de consultora externa
• La implantación y, sobre todo, el mantenimiento de la ISO 27001,
puede verse perjudicado por una dependencia excesiva de la
consultora externa que ha apoyado en el proceso.
• Al desaparecer o disminuir la atención en nuestro sistema puede
llevarnos al fracaso.
ISOTools ISO 27001
5
6. 2. Errores
3. Escasez de conocimientos o tiempo
• Puede suceder que la propia organización se ocupe cien por cien del
proceso y no tenga los conocimientos, tiempo o dedicación necesaria
para una buena a implantación y mantenimiento.
ISOTools ISO 27001
6
7. 2. Errores
4. Falta de asunción del sistema por parte de los trabajadores
• El sistema de gestión debe de estar perfectamente integrado en la
vida diaria y actividades de la organización para que los miembros
participantes interactúen con el mismo.
• Toda la organización debe tener claro el papel que desempeña dentro
del sistema. La implantación y el mantenimiento de la ISO 27001, no
sólo es asunto del departamento de TI.
ISOTools ISO 27001
7
8. 2. Errores
5. Falta de dedicación
• Otro de los fallos comunes es pensar en la implantación como algo a
realizar rápido y sin dedicación por el hecho de obtener el certificado.
•
Un Sistema de Gestión de Seguridad de la Información debe de
mantenerse en el tiempo y debe de aportar valor a la organización.
ISOTools ISO 27001
8
9. Para evitar los riesgos que pueden provocar estos fallos por una
inadecuada implantación y mantenimiento de su SGSI, ISOTools
facilita las tareas de implantación, gestión y mantenimiento de
Sistemas de Gestión de Seguridad de la Información conforme a la
norma ISO 27001.
ISOTools ISO 27001
9