\u201cLa norma requiere que se cambien las claves cada 3 meses\u201d. \u201cLa norma requiere que se contraten a diversos proveedores\u201d. \u00abLa norma requiere que la ubicaci\u00f3n alternativa de recuperaci\u00f3n ante desastres se encuentre, como m\u00ednimo, a 50km de distancia de la ubicaci\u00f3n principal\u00bb. \u00bfEs as\u00ed? La norma no dice nada de todo esto. Desgraciadamente, esta es la clase de informaci\u00f3n falsa que escucho habitualmente. Muchas veces, la gente confunde mejores pr\u00e1cticas con requerimientos de la norma, pero el problema es que no todas las reglas de seguridad son aplicables para todos los tipos de organizaciones. Y quienes sostienen que esto est\u00e1 establecido en la norma, dif\u00edcilmente la hayan le\u00eddo alguna vez.<\/p>\n
Esta es la preferida de la direcci\u00f3n: \u201cLa seguridad de la informaci\u00f3n tiene que ver con tecnolog\u00eda de la informaci\u00f3n, \u00bfno?\u201d Bueno, no exactamente. Los aspectos m\u00e1s importantes de la seguridad de la informaci\u00f3n no s\u00f3lo incluyen medidas de TI, sino tambi\u00e9n temas organizacionales y gesti\u00f3n de recursos humanos, que, en general, se encuentran fuera del \u00e1mbito del departamento de TI. Ver tambi\u00e9n Seguridad de la informaci\u00f3n o seguridad de TI<\/a>.<\/p>\n Podr\u00eda ser posible que usted implemente la norma ISO 27001<\/a> en dos o tres meses, pero no funcionar\u00e1; solamente obtendr\u00e1 un mont\u00f3n de pol\u00edticas y procedimientos que nadie tendr\u00e1 en cuenta. La implementaci\u00f3n de la seguridad de la informaci\u00f3n quiere decir que tiene que implementar cambios, y esto lleva tiempo.<\/p>\n Ni qu\u00e9 decir que usted debe implementar solamente los controles de seguridad que realmente necesita, y el an\u00e1lisis de qu\u00e9 es necesario lleva tiempo; se llama evaluaci\u00f3n y tratamiento de riesgos.<\/p>\n La documentaci\u00f3n<\/a> es una parte importante en la implementaci\u00f3n de ISO 27001, pero no es un fin en s\u00ed misma. Lo m\u00e1s importante es que usted realice sus actividades de forma segura, y la documentaci\u00f3n est\u00e1 all\u00ed precisamente para ayudarle. Adem\u00e1s, los registros que genere le ayudar\u00e1n a medir si alcanz\u00f3 sus objetivos de seguridad de la informaci\u00f3n y le permitir\u00e1n corregir aquellas actividades que no lo han logrado.<\/p>\n \u201cEstamos haciendo esto solamente para obtener el certificado, \u00bfno es cierto?\u201d Bueno, esta es (desafortunadamente) la forma en la que piensa el 80 por ciento de las empresas. No estoy intentando discutir aqu\u00ed si se debe, o no, utilizar a la norma ISO 27001 con fines de promoci\u00f3n y ventas, pero tambi\u00e9n puede obtener otros beneficios muy importantes; como evitar que le ocurra lo de WikiLeaks. Ver tambi\u00e9n Cuatro beneficios clave de la implementaci\u00f3n de la norma ISO 27001<\/a> y Lecciones aprendidas a partir de WikiLeaks: \u00bfQu\u00e9 es exactamente la seguridad de la informaci\u00f3n?<\/a>.<\/p>\n Lo importante aqu\u00ed es que primero hay que leer la norma ISO 27001 para poder dar una opini\u00f3n sobre la misma, o, si le resulta demasiado aburrida (admito que lo es) como para leerla, consulte a alguien que la conozca de verdad. Y trate de ver otras ventajas, adem\u00e1s de la publicidad. Es decir, aumente sus posibilidades de realizar una inversi\u00f3n rentable en seguridad de la informaci\u00f3n.<\/p>\n\u201cLo implementaremos en unos pocos meses\u201d<\/h2>\n
\u201cEsta norma no es nada m\u00e1s que documentaci\u00f3n\u201d<\/h2>\n
\u201cEl \u00fanico beneficio de la norma es obtener una ventaja de comercializaci\u00f3n\u201d<\/h2>\n