Blog B-SECURE

¿Vale la pena certificarse ISO 27001?

Tanto yo como el resto del equipo de B-SECURE que enfrento el proceso (proyecto) de certificación en ISO 27001:2013 estamos muy contentos por el logro de lo conseguido y por estos días no queremos hablar de otra cosa. Todo este proceso nos dejó muchas enseñanzas que estaremos compartiendo con ustedes próximamente; pero hoy más que enfocarme en lo aprendido quiero compartirles lo que consideramos significa para una organización el desarrollo del sistema de gestión en seguridad de la información (SGSI) y como, desde nuestra propia experiencia observamos y encontramos ciertas ventajas de este proceso y de la obtención de la certificación (que no es necesariamente el objetivo fundamental), para las empresas.

shutterstock_191885294

Muchas organizaciones en el afán de certificarse, establecen como su única prioridad el cumplir con requerimientos normativos, controles de TI, entre otras, con el objetivo a veces no bien planeado o pensado de hacer más competitivo su negocio o mejorar su reputación. Y por supuesto buscar este tipo de objetivos es claramente beneficioso, pero es necesario aprovechar las demás ventajas que un proyecto como este entrega de inicio a fin, es decir, ‘sacarle el jugo’ a todo el proceso.

Puntualmente, puedo decir que el beneficio general y más importante de una implementación consciente y planeada es apoyar los objetivos estratégicos del negocio organizando el mismo a través de la gestión efectiva de la seguridad de la información, como dicen coloquialmente: "tener las reglas claras y la casa en orden", ya que se definen procesos, responsables y actividades a seguir dentro de la organización, lo cual implica que cada quien sepa lo que debe hacer en cada situación. Esto aunado al desarrollo de una gestión efectiva del riesgo asegura la permanencia de la compañía en el tiempo.A continuación les presento algunos otros beneficios que junto al equipo de trabajo hemos identificado:

1.Ventaja competitiva:

Los mercados cada día son más competitivos y las empresas que establecen un SGSI y aquellas que por su foco o decisión estratégica obtienen la certificación ISO 27001, sin duda tienen una ventaja sobre las que no la han implementado, ya que unas y otras pueden demostrar que se rigen bajo estrictos estándares internacionales y que todos sus procesos funcionan de acuerdo a las mejores prácticas. Eventualmente, como pasó con la norma ISO 9001, se llegará a un punto en el que todas las organizaciones deberán tenerla y se convertirá en un requisito global no únicamente para poder competir sino para permanecer.

2.

Cumplimiento: 

Con la cantidad de leyes, requerimientos y normativas que existen alrededor de la seguridad de la información, la norma ISO 27001 proporciona la metodología necesaria para un caminar adecuado y más sencillo, en busca del cumplimiento. Sin embargo como anteriormente mencioné, el cumplimiento no debe ser considerado como el único objetivo de tener la certificación.  

3

Confianza y credibilidad:

Toda certificación en este caso la ISO 27001 genera confianza y credibilidad, pues genera el voto, promesa o demostración a clientes y proveedores acerca del correcto aseguramiento y tratamiento de su información durante toda la cadena de suministro, y en general la organización materializa su promesa de valor al tomar en serio la seguridad de la información empleando buenas prácticas aprobadas a nivel internacional.

4

Disminución de costos imprevistos:

Sean o no de gran tamaño, los incidentes de seguridad implican costos y desgaste operativo para las organizaciones. Tener implementados controles apoyados en la norma ayuda en gran medida a prevenirlos y/o tratarlos de manera proactiva evitando que se repitan las causas que los originaron, de esta forma se logra disminuir los costos asociados.


La era digital le ha impuesto nuevos retos a las organizaciones incluyendo el aseguramiento de su información e infraestructura. Para nadie es un secreto que las amenazas avanzan de forma exponencial y si no se establecen marcos estructurados para gestionar la seguridad se hace más difícil que las empresas las combatan efectivamente.  En un futuro no tan lejano, mejores prácticas como  ISO 27001 seguramente se convertirán en un estándar obligatorio para todas las instituciones.

¿Su empresa ya está lista para dar el siguiente paso y alinearse o certificarse con los requerimientos de la ISO 27001?, Lo invito a pensarlo, decidirlo, planearlo y sobre todo llevarlo a cabo. 

Topics: Cumplimiento