Me encontraba el otro día charlando distendidamente con un amigo cuando salió a colación el tema de las certificaciones ISO. Cuando le mencioné mi experiencia con la ISO 27001 me miró con cara extrañada. No conocía la existencia de dicha certificación. Su empresa está certificada en la ISO 9001 y conocía otras más específicas, pero nada sobre aquel estándar. Intenté explicar brevemente en qué consistía dicha norma, pero me resultó complicado debido al amplio ámbito que abarca, así que le pregunté: ¿Cuál es la razón por la que tu empresa está certificada en la ISO 9001? Tras unos instantes de titubeo inicial su respuesta fue clara: “Porque todas las empresas están certificadas y es necesario tenerlo”. Ante tal implacable argumento sólo pude comenzar con la siguiente exposición.
La ISO 27001 es un estándar internacional certificable que ayuda a gestionar la seguridad de la información. Dicho así puede parecer una norma muy técnica (que lo es), pero tal y como toda norma ISO está orientada a procesos. Y los procesos no sólo tienen que ver con aspectos técnicos como la seguridad en las redes, las copias de seguridad, el uso de criptografía o la regulación de los dispositivos móviles, sino que también afectan a otros aspectos organizativos que van a ayudar a mejorar la empresa internamente. Por ejemplo la relación con los proveedores, la gestión de los recursos humanos o la seguridad física. La seguridad de la información depende de llevar una buena gestión en los aspectos previamente mencionados. El implantar un buen proceso, y que dicho proceso se siga, y medir su efectividad va a ayudar a la mayoría de las empresas a mejorar su organización interna.
Al tratarse de un sistema de gestión, se basa en la mejora continua. Mediante la definición de objetivos e indicadores, la organización adquiere el compromiso de intentar cumplir unas metas previamente marcadas. Esto, unido a la evaluación de los riesgos de la seguridad de la información, hará que se establezcan unos planes de acción con el objeto de mejorar continuamente. ¿Significa esto que si me certifico mi empresa será más segura que otra que no tenga dicha certificación? Para nada. Tu empresa será todo lo segura que quieras que sea, pero notarás que disminuyen los incidentes de seguridad y que prestarás un mejor servicio. Con esto generarás confianza y credibilidad ante tus clientes.
Un punto clave sobre la seguridad de la información, en lo relativo a la disponibilidad, es la necesidad de tener un plan de continuidad de negocio. La implantación del presente estándar plantea dicho aspecto. No tener una alternativa para ofrecer servicio puede repercutir en las organizaciones no sólo en pérdidas económicas, sino también en imagen o incumplimiento normativo. La implantación de la ISO 27001 ayudará a la empresa a definir unos planes de continuidad y recuperación de negocio, los recursos necesarios para ponerlos en marcha, así como la realización de verificaciones periódicas para comprobar que los planes definidos son eficaces y efectivos. La definición de un buen plan de continuidad hará que podamos garantizar un buen servicio, independientemente de las incidencias que podamos afrontar.
La ISO 27001 vela también por el cumplimiento normativo y legal. Todas las organizaciones están expuestas a una serie de leyes de obligado cumplimiento según su ámbito. La Ley Orgánica de Protección de Datos (LOPD), la Ley de los Servicios de la Sociedad de la Información (LSSI) o los de Derechos de Propiedad Intelectual (DPI) son regulaciones que deben cumplir las organizaciones. La implantación de esta ISO está orientada a velar por el cumplimiento de dichas obligaciones, con el objetivo primordial de evitar sanciones.
Terminada esta exposición, mi amigo comprendió parte de las ventajas que puede aportar la implantación de la ISO 27001 a su empresa, a lo que añadió: «Pero si obtienes la certificación vas a tener mejor imagen y más posibilidades de conseguir negocio». Indudablemente, mi amigo tiene razón. Ésa es la ventaja más visible. La posibilidad de ir presumiendo de un sello que puedo lucir. Pero por el camino voy a ir obteniendo todos los beneficios mencionados previamente. Por estas razones y tras mis años de experiencia en la materia creo, sinceramente, que la implantación de la ISO 27001 es una gran inversión a medio plazo para la mayoría de las empresas.
Artículo redactado por Miguel Ibáñez
Deja una respuesta
Lo siento, debes estar conectado para publicar un comentario.