Barrapunto

Hombre, yo la estoy implantando para conseguir la certificación y te digo que si de verdad cumpliéramos todo lo que pone en la norma sería la rehostia.

Principalmente porque no se queda en requisitos técnicos, sino que involucra a todo el mundo, especialmente a la dirección. Obliga a documentar todo, a llevar registros de todos los activos y todas las intervenciones que se efectúan sobre ellos, a establecer procedimientos de aceptación y dimensionamiento antes de implantar o actualizar sistemas, a formar al personal en materia de seguridad y hacérle firmar compromisos de confidencialidad y buen uso... Bueno habrás visto los controles de la norma, son la leche.

En fin, algo completamente inabarcable tal y como funcionan las empresas españolas, en lo que algo tiene que estar para mañana, tienes decenas de proyectos por delante y sistemas por mantener. En nuestro caso va a suponer que vamos a poder dedicar horas de proyecto "útiles" a documentar y procedimentar (que como bien sabrás eso no es percibido como "trabajo útil" por la dirección), pero llevar a cabo de continuo todo lo que dice nos es imposible con el personal que somos.

Así que resumiendo, sí, principalmente vale para que las consultoras se lleven la pasta.

Por cierto que si alguien quiere conocer los controles para poder opinar, son más o menos estos [miami.edu]