TALLER ISO 27000

1


Implicaciones financieras de la implantacin de ISO/IEC 27001 &
27002: modelo genrico de coste-beneficio

Introduccin
Las organizaciones que intentan adoptar la norma ISO/IEC 27002 (estndar
internacional de cdigo de buenas prcticas para la gestin de seguridad de la
informacin) e ISO/IEC 27001 (estndar para la certificacin del sistema de gestin de
seguridad de la informacin) suelen organizar el trabajo asociado como un proyecto de
implementacin. Este modelo financiero genrico descrito en este documento explica
las consecuencias financieras de la aplicacin de las normas ISO/IEC 27001 y 27002
como un conjunto de beneficios tpicos y categoras de los costes. El modelo puede ser
utilizado tanto como base para justificar el proyecto a la alta direccin como un caso de
negocio, como para marco para medir y optimizar el valor neto de la inversin a largo
plazo.

Documentar los siguientes tems para los cuales aplique la norma ISO 27000.

Indique los Beneficios de implementar ISO 27000?

- Reduce los riesgos de seguridad de la informacin.
Al establecer polticas y controles a la seguridad de la informacin mediante un SGSI se
reduce de manera directa el riesgo, creando as una estructura slida de gestin que
permite eliminar, disminuir o transferir los riesgos.
- Beneficios de la estandarizacin.
La estandarizacin es de vital importancia ya que beneficia los procesos de la
organizacin lo cual se traduce en ahorro de costes y optimizacin de recursos. El uso
de un estndar genera una gua definida, certificada y aceptada la cual puede ser
reutilizada en diferentes sistemas y procesos lo que permite dedicar dichos recursos
en otras actividades.
- Beneficios de disponer de un enfoque estructurado.
Al aplicar una norma internacional consistente y reconocida se tiene una estructura gua
que permite la optimizar la gestin de la seguridad de la informacin mediante la
optimizacin de procesos y los mecanismos de medicin y control.
Tambin proporciona unos controles y polticas claras, entendibles y de fcil aplicacin
por parte del personal de la organizacin.
- Beneficios de la certificacin.
Por la competitividad y el posicionamiento en el mercado es de gran beneficio la
certificacin debido a que garantiza a todos los involucrados con la organizacin de que
est comprometida activamente en la gestin de la seguridad de la informacin y la
reduccin del riesgo, esto genera confianza y profesionalismo en la organizacin.
- Evitar Costes
Debido a exigencias gubernamentales o comerciales (por ejemplo la ley 1581 de 2012)
se hace obligatoria la implementacin de la norma para evitar sanciones econmicas o
la perdida de negocios por no cumplir con estos requisitos.
TALLER ISO 27000
2


Indique los beneficios sobre los Costes?

- Costes relacionados con los cambios organizacionales.
Es necesario la informacin del personal administrativo en el tema y realizar
adaptaciones necesarias para la gestin de la seguridad de la informacin, esto podra
generar que se deje de contar con cierto personal por la no adopcin de las polticas.
- Costes de diseo & desarrollo.
Preparar, disear y revisar los controles, procedimientos, polticas establecidas y
nuevas generan costos.
- Costes de la implementacin.
Son las modificaciones y adecuaciones de los controles ya establecidos para que se
adapten a la norma, adems la capacitacin del personal sobre la nueva normatividad.
- Costes de certificacin.
Quizs la de costos ms elevados debido al alto valor de certificacin por parte de las entidades
acreditadas, tambin cabe la posibilidad de no alcanzar la certificacin en la primera visita lo
cual incrementa el costo. Tambin se debe tener en cuenta el tiempo invertido para la
certificacin y las recertificaciones.
- Costes de Mantenimiento del SGSI en curso
Costos anuales de mantenimiento donde se efectan tareas de revisin de polticas,
directrices, procedimientos etc. Esto con el fin de asegurar que se siga cumpliendo la
norma atreves del tiempo.