PLANIFICAR (Plan): en esta fase se analizará el entorno de actividad de la compañía. La información tratada por la misma, las directivas corporativas establecidas y los requisitos legales aplicables a cada compañía. Durante esta etapa la empresa deberá diseñar un procedimiento formal para la continua identificación y evaluación de los riesgos y la selección de los objetivos de control, así como los controles que le permitan gestionar estos riesgos.
IMPLEMENTAR (Do): en esta fase habrá que centrarse en el desarrollo e implementación de un plan efectivo a medio y largo plazo que evite o atenúe los posibles riesgos para la seguridad de la información. En esta fase, se iniciará también la formación e información del personal de la empresa, de forma que se garantice la correcta implementación del SGSI.
REVISAR (Check): la implantación del SGSI exige el seguimiento y revisión de los controles y medidas implantadas. Por ello es imprescindible, la realización de auditorías tanto internas como externas que revisen la eficacia y eficiencia del SGSI, y que identifiquen las posibles amenazas, vulnerabilidades y riesgos del sistema.
ACTUAR (Act): la implantación de un SGSI exige actuar, mantener y mejorar constantemente el SGSI. Cuando en la revisión (check) del SGSI se detecten amenazas, vulnerabilidades y riesgos, es necesario llevar a cabo medidas correctoras y preventivas adecuadas, que garanticen en todo momento la seguridad y protección de la información de la empresa. Las fases de las que consta el proyecto para la implantación y posterior certificación de su SGSI son: Delimitación del Alcance. Análisis y Gestión de Riesgos. Declaración de Aplicabilidad. Políticas y Procedimientos. Plan Director de Seguridad. Plan de Continuidad de Negocio. Plan de Formación. Gestión de Incidencias. Desarrollo del SGSI. Auditoría Interna. Certificación por entidad acreditada (en su caso). Nuestra función consiste en la preparación de su empresa para implantar el sistema. Una vez que el sistema se consigue en su compañía es su decisión el certificarlo o no. Esta labor requiere de especialistas con amplios conocimientos de organización, gestión de los sistemas de información y de la tecnología actual relativa a la seguridad de la información. Sin duda, para obtener la certificación, la opción más económica, práctica y rápida es contratar una consultora especializada para llevar a cabo esta preparación.