Costes en la Implementación de la ISO 27001

En el artículo de hoy, vamos a hacer un recorrido a través de cada una de las facetas de implementación de la ISO 27001 que entrañan algún tipo de coste cuando se pretende hacer una implementación de la norma en una organización, de forma que podamos tener una idea bien clara de cuáles pueden ser los costes de implementación de la ISO 27001.

Aunque algunos autores estiman que la implementación de la norma puede estar sobre los 30.000.000 y  40.000.000 pesos chilenos (coste medio para una empresa de 70 empleados), emitir una cifra certera sobre cuánto costaría la implementación de la ISO 27001 a una organización es arriesgado. Decimos que resulta arriesgado porque hablamos de que no todas las organizaciones son iguales, así como tampoco lo es la información que se pretende proteger, ni la criticidad de la misma.

Ahondando un poco más sobre esta estimación aportada por algunos expertos, tenemos que, cerca de un 80% del coste de la implementación de la ISO 27001 se genera durante la fase de pre-certificación, y sólo el 20% restante durante la fase de auditoría o certificación.

 

Pero como mencionaba en la parte superior de esta entrada, es complejo trasladar una cifra como ésta a todas las organizaciones en general, ya que existen una gran variedad de factores que determinan los costes de implementación de la ISO 27001. Se conocen casos de empresas, por ejemplo, que consiguen su certificación por menos de 8.000.000 pesos chilenos. De cualquier modo, algunos de estos factores que van a afectar los costes de implementación de la ISO 27001 son:

• El tamaño de la organización.
• El alcance definido de la implementación.
• La madurez del sistema de seguridad de la compañía.
• El nivel de criticidad de la información.
• La rapidez con la que se pretenda conseguir la certificación.
• Los recursos internos que podemos dedicar al proceso.
• La infraestructura tecnológica de la organización.
• La legislación que afecte al sector de la compañía en una determinada región.

Creemos que lo más sensato al hablar de costes, es que antes de plantearnos la implantación de la norma ISO 27001, cada organización –con sus condiciones particulares- realice un análisis de los distintos costes derivados de la implementación, y que analice cómo le afectan cada uno de los factores descritos en el párrafo anterior.

De cualquier manera, habrán de tener en cuenta en su análisis los siguientes costes:

Costes de Formación o Capacitación

Naturalmente, para certificarse en algo, primero necesitamos aprender cómo hacerlo. Ya sea que contemos con una consultora que nos ayude y asesore, es necesario que nuestros recursos internos sean conscientes de lo que vamos a hacer, que sean capaces de identificar el estado actual del sistema de información y que adquieran las habilidades necesarias para subsanar las carencias actuales de dicho sistema.

Tendremos que comprar la norma y formar a nuestros empleados. Para la formación, existe una gran variedad de recursos y programas que podemos utilizar. Un buen lugar para encontrar cursos para certificaciones de calidad es la Escuela Europea de Excelencia.

Los costes en formación se verán afectados por el alcance de la certificación que pretendemos emprender, por el tamaño de nuestra empresa, etc.

Ayuda Externa

Aunque nuestros empleados se formen de forma autónoma, normalmente ha de necesitarse el asesoramiento de expertos en la ISO. Un consultor externo nos va a guiar para que nuestro equipo se centre en aquellas actividades y debilidades que debemos subsanar, y a que no nos perdamos en tareas que puedan incluso dar lugar a costes mayores.

El precio de la ayuda externa va a depender de la complejidad del alcance la certificación que queremos emprender y de las características de nuestra empresa (tamaño, estado del sistema de información, sector, etc.).

Tecnología

Existen herramientas para dar cumplimiento a los requisitos de la norma ISO 27001. Por ejemplo, con la plataforma ISOTools Excellence se da cumplimiento a los requisitos basados en el ciclo PHVA (Planear – Hacer – Verificar – Actuar) para establecer, implementar, mantener y mejorar el Sistema de Gestión de la Seguridad en la Información y, al mismo tiempo, se da cumplimiento de manera complementaria a las buenas prácticas o controles establecidos en la ISO 27002.

La inversión en tecnología, nos ayudará a alcanzar la certificación y reducirá a su vez costes que se generan cuando el proceso de gestiona de forma tradicional.

Tiempo

El tiempo suele ser el recurso al que nunca le prestamos la suficiente atención, y en ocasiones, incluso obviamos sus costes. Lo cierto es que para implementar la ISO 27001, nuestro equipo va a tener que invertir tiempo en formarse, identificar y mitigar riesgos, implementar nuevos procedimientos y políticas, o mejorar las actuales. Debemos pues, tener en cuenta como un coste el que nuestros recursos internos estén dedicados a estas labores.

El tiempo que nuestros empleados dediquen a la implementación se va a ver afectado por la madurez del sistema actual, el número de personas que decidamos dedicar y el alcance de la implementación.

Certificación

Como habíamos mencionado en párrafos anteriores, la certificación en sí misma entraña un coste que hemos de asumir. Este coste, aunque varía según la región o país, es alrededor de un 20% de los costes totales de la implementación.

Para cerrar este artículo, podemos quedarnos con la idea de que para saber si los costes de implementación de la ISO 27001 para nuestra empresa van a ser 4.000.000 o 40.000.000 pesos chilenos, debemos analizar los diversos factores que afectan los distintos elementos de coste.

Un equipo de expertos

Tras más de 15 años asesorando a empresas a gestionar sus Sistemas de Gestión Normalizados, nuestro equipo de consultores expertos puede ayudarte a certificarte y agilizar la gestión de la norma ISO 27001.

Además, en nuestra sección de Recursos y Descargas para la ISO 27001 puedes encontrar vídeos y descargables que te pueden ser de utilidad.