Get best of the week

5 etapas de inevitabilidad de la adopción de la certificación ISO / IEC 27001. Enfado

La segunda etapa de una respuesta emocional al cambio es la ira. Esto corresponde a nuestra etapa de lucha con las dificultades de la preparación inicial para la certificación, que es de lo que trata nuestra historia de hoy.

imagen

Comenzamos la ruta al certificado con los siguientes datos iniciales:

  • términos de certificación: lo antes posible;
  • presupuesto: cuanto más pequeño, mejor (pero para que todo sea decente);
  • equipo: 1.5-2 personas (gerente de proyecto + personal y gerencia del departamento de TI conectado periódicamente);
  • conocimiento del equipo en el campo de la seguridad de la información: más o menos.

imagen

No se ve muy impresionante, ¿verdad? Ni siquiera imaginamos cuántas dificultades encontraríamos en el proceso de trabajo y qué cantidad de decisiones serias tuvimos que tomar.

¡No sabemos nada en absoluto!


Una de las principales dificultades fue que nadie en nuestra empresa tenía experiencia suficiente en el campo de la seguridad de la información. Ninguno de los empleados tenía certificados profesionales o experiencia profesional en la implementación de un sistema de gestión de seguridad de la información. Esto causó una gran preocupación: ¿vamos a hacer frente a esto? Tal vez necesitamos algo de entrenamiento primero? ¿O es necesario contratar a una persona que ya tenga esa experiencia?

Revelación:
, 70 .

De hecho, puede contratar a un consultor, pero ¿cómo podemos evaluar su profesionalidad si nosotros mismos no entendemos nada al respecto?

Mirando hacia el futuro, podemos decir: incluso con tales datos iniciales, el problema resultó ser bastante solucionable. Lo principal es que el equipo tiene lógica, sentido común y una clara comprensión de por qué la empresa necesita certificación.

Tal vez solo googlealo?


Realmente no teníamos experiencia, pero en la era de la tecnología moderna, casi cualquier información está disponible para nosotros, de forma gratuita o por muy poco dinero. Por lo tanto, al comienzo del proyecto, pensamos que con facilidad encontraríamos toda la información necesaria para una preparación exitosa para la certificación en Internet, así como para descargar fácilmente muestras de todos los documentos necesarios.

En realidad, todo resultó estar completamente equivocado: en

primer lugar , en principio, no entendíamos exactamente qué necesitábamos específicamente para "googlear".

En segundo lugar , todo lo que encontramos en el dominio público estaba muy borroso, sin detalles, sin casos reales.

En tercer lugar, todas las muestras de documentos que encontramos en Internet eran completamente irrelevantes para nuestra empresa. E incluso en inglés prácticamente no había instrucciones paso a paso fáciles de entender y casos de empresas que aprobaron con éxito la certificación. Por lo tanto, tuvimos que buscar el camino del certificado nosotros mismos.

¿Con qué fin comenzar a desenredar la pelota?


Después de una búsqueda intensiva de información en Internet, nos dimos cuenta de que, para empezar, deberíamos decidir sobre:

  • autoridad de certificación;
  • consultor de certificación (porque realmente no tenemos experiencia, y necesita encontrar a alguien que ya la tenga);
  • herramientas tecnológicas para el desarrollo y mantenimiento del sistema (en artículos posteriores abriremos este importante punto con más detalle).

Las dos primeras son contrapartes clave durante la certificación; su elección debe tomarse con mucho cuidado (lo cual hicimos nosotros). Por lo tanto, lo primero en lo que decidimos centrarnos es en realizar dos licitaciones para seleccionar estas contrapartes clave.

¿Cómo elegir una autoridad de certificación?


Por supuesto, la elección de un organismo de certificación depende de los motivos que lo llevaron a prepararse para la certificación. Si llegaste a este lugar en el artículo, entonces probablemente necesites un certificado no solo para mostrar, de lo contrario habrías utilizado los servicios de compañías que ofrecen hacer un certificado en una hora y 10 mil rublos. En consecuencia, debe centrarse en los organismos de certificación que tienen una amplia práctica internacional y están acreditados en los países que le interesan.

No hay tantas empresas listas para certificarlo en Rusia de acuerdo con la norma ISO 27001: seleccionamos a unos 10 participantes decentes para la licitación. Los criterios clave para la selección fueron:

  • disponibilidad de acreditaciones internacionales,
  • cartera de clientes y sus recomendaciones,
  • precio.

¡Es sorprendente que en el último punto tengamos una extensión de casi 10 veces ! Sin embargo, algunos de los licitadores dijeron que solo pueden proporcionarnos un auditor extranjero. Esto automáticamente significó pasar una auditoría de certificación en inglés, lo que, en principio, no fue un gran problema para nosotros, ya que todos los empleados clave lo saben a un alto nivel, pero para alguien definitivamente puede convertirse en un problema.

Más tarde supimos que hay muy pocos especialistas que puedan realizar auditorías de certificación de acuerdo con este estándar en nuestro país. Casi todos trabajan para varios organismos de certificación y están familiarizados entre sí.

¿Cómo elegir un consultor de preparación de certificación?


Hay muchas compañías que ofrecen sus servicios en preparación para la certificación. Sin embargo, no todos pueden ayudar realmente; algunos de ellos, de hecho, simplemente le envían plantillas de políticas donde necesita insertar el nombre de su empresa, sin profundizar en sus procesos comerciales. Naturalmente, este enfoque lo ayudará un poco con la certificación.

Conceptualmente, hay 2 soluciones al problema:

  • Preparación por el consultor de todos los documentos llave en mano . Este enfoque indudablemente le permitirá no sobrecargar a sus empleados con la preparación para la certificación. Sin embargo, existe el riesgo de que sus procesos y procedimientos no estén debidamente documentados.
  • Consultor que verifica los documentos preparados por sus empleados. Aquí, probablemente, la calidad de la documentación será mejor, ya que será preparada por aquellos empleados que estén familiarizados con los procesos.

En preparación para la certificación, actuamos en el segundo escenario. Según nuestra experiencia, puede dar algunos consejos para elegir un consultor para la certificación:

imagen

  • Solicite recomendaciones de empresas consultoras de las autoridades de certificación, entre las cuales está realizando una licitación, así es como encontramos la nuestra.
  • Negocie y fije de antemano el alcance y el alcance del trabajo, así como la responsabilidad de cada parte.
  • Manténgase en contacto con un consultor regularmente durante todo el período de preparación para la certificación; esto ahorrará tiempo y evitará la necesidad de rehacer grandes piezas de documentación.

Está bien, pero ¿está todo bien ahora?


En el proceso de recopilación de los materiales necesarios para prepararse para la certificación, resultaron cosas sorprendentes. Por ejemplo, el hecho de que ISO 27001 está vinculado a una serie de normas relacionadas (que deben leerse al menos superficialmente).

Estos son, por ejemplo, estándares como:

  • ISO 19011 - Directrices para auditar sistemas de gestión
  • ISO 22301 - Sistemas de gestión de continuidad del negocio
  • ISO 31000 - Gestión de riesgos. Principios y pautas
  • ISO 27003 - Métodos y medios de seguridad. Sistemas de gestión de seguridad de la información

La lista anterior es fundamental, pero no exhaustiva. Cada empresa lo forma en función de sus propias necesidades. Elegimos no "reinventar la rueda" y, por ejemplo, en materia de gestión de riesgos y auditoría de sistemas de gestión, confiamos en ISO 31000 e ISO 19011, respectivamente. El estándar de soporte ISO 27003 nos ayudó con la información que lo acompaña sobre la implementación del 27001. Pero, sobre todo, trabajamos con ISO 22301, que es necesario para describir la parte de las políticas responsables del plan de continuidad del negocio (BCP).

Revelación:
, .

La "guinda" del pastel fue la falta de textos relevantes de estas normas en el dominio público. Si desea familiarizarse con el contenido, compre el texto oficial en el sitio web de ISO por ~ 10 mil rublos.

¿Y cuánto costará?


En preparación para el inicio del proyecto, naturalmente decidimos calcular cuánto nos costaría la certificación.

Revelación
100 3 1 ( – ).
La estructura general de los costos de certificación en nuestro caso fue la siguiente:

- tarifas por una tarifa a un organismo de certificación,
- costos para un consultor para la preparación de la certificación,
- gastos de viaje de un auditor,
- gastos de hospitalidad,
- costos por marcar documentos (para todas las carpetas con documentos hay una cantidad increíble en la empresa de contabilidad, tuve que pegar calcomanías de diferentes colores),
el costo de comprar los textos oficiales de las normas,
el costo de equipar todas las salas que van al área común de centros de negocios, ACS (sistemas de control y gestión de acceso),
el costo del software ( Sistema DLP, implementación de autorización de dos factores, etc.),
- modernización del hardware de la empresa (tanto de servidor como operativo),
- costos adicionales para los centros de datos,
- horas hombre de empleados involucrados en la certificación.

imagen

Le recomendamos encarecidamente que ponga una reserva en el presupuesto, ya que es extremadamente difícil predecir todos los costos necesarios antes de comenzar el proyecto.

Por lo tanto, al comienzo del proyecto de certificación, experimentamos una gran cantidad de ira; afortunadamente, al final logramos hacer frente a esto. :)

Lea también:

5 etapas de inevitabilidad de la adopción de la certificación ISO / IEC 27001. Negación : conceptos erróneos sobre la certificación de ISO 27001: 2013, la conveniencia de obtener un certificado /
5 etapas de la inevitabilidad de la aceptación de la certificación ISO / IEC 27001. Ira: ¿por dónde empezar? Datos iniciales. Gastos. La elección del proveedor.

More articles:


All Articles