ISO 27001
La principal razón que motiva a los ejecutivos de una organización son las ganancias. Para llevar a cabo la implementación de un Sistema de Gestión de Seguridad de la Información basado en la ISO 27001 debe conocerse cómo el proyecto puede aumentar la rentabilidad de la empresa.
La implantación del Sistema de Gestión de Seguridad de la Información puede ofrecer un impacto positivo financiero en la empresa.
¿Cómo se relaciona la seguridad de la información con los beneficios?
El beneficio se puede obtener de dos maneras:
- Por el incremento de los ingresos
- Por la reducción de costos
Numerosas empresas acuden a la certificación de la ISO 27001 puesto necesitan obtener el certificado. El objetivo es lograr nuevos clientes a través de licitaciones o convencerlos de que sus datos se encuentran totalmente protegidos. Partiendo desde esta base, muchas empresas creen necesitar la implementar de un Sistema de Gestión de Seguridad de la Información basado en ISO 27001 para llegar a nuevos clientes o para mantener los que ya tienen.
A continuación vamos a examinar ambas cosas desde la perspectiva de la norma ISO 27001.
Como bien conocemos, cada nuevo cliente genera más ingresos adicionales. La cuestión sería si el aporte económico que proporciona un nuevo cliente es superior a la inversión en ISO 27001. La filosofía de la norma ISO 27001 es preventiva. Es decir, persigue la idea principal de evitar que ocurran incidentes. O si llegan a suceder se debe minimizar el impacto al mínimo nivel.
Esto significa que los costos que se generan después de que se produzca un incidente no deben suceder en absoluto. O al menos, en una cantidad muy inferior a la anterior. Por ello, podemos afirmar que el ahorro es más grande que la inversión en la norma ISO 27001.
Esto no significa que una empresa pueda permitirse invertir una gran parte de su capital en seguridad de la información. Pues debe asegurarse de que mantener la certificación en ISO 27001 supone un costo. Y en el caso de no mantenerse dicha certificación, la inversión habrá sido en vano.
La gestión de riesgos
Cuando hacemos referencia a la filosofía preventiva de la ISO 27001, en realidad estamos hablando de la gestión del riesgo. Dicha gestión de riesgo se utiliza para evitar que sucedan incidentes. En primer lugar debemos conocer qué cosas malas pueden suceder llevando a cabo la evaluación de riesgos. En el momento que se tenga una lista de posibles incidentes se puede comenzar a pensar en cómo mitigarlos. Para conseguirlo utilizaremos el Sistema de Gestión de Seguridad de la Información basado en la norma ISO 27001. Pues ésta trata los riesgos a través de distintas medidas de seguridad de la información.
El concepto de gestión de riesgos apareció en las empresas hace muchísimo tiempo. Los altos cargos de todo el mundo aseguran sus edificios, vehículos y otros activos de elevado valor contra cualquier posible amenaza que pudiese llegar a afectarles. Además, es recomendable diversificar los productos y los mercados. De esta forma se reduciría el riesgo a depender de un solo producto o mercado único.
En las empresas de pequeño tamaño la gestión de riesgos es informal, es decir, es algo más banal. Mientras que en las grandes empresas, la gestión de riesgos es mucho más explícita y formal. Pero los gerentes de las empresas utilizan el término gestión de riesgos sin llegar a comprenderlo del todo.
Es cierto que los altos cargos normalmente no ven la seguridad de la información con la perspectiva de gestión de los riesgos. Además, si desean tener éxito deben hablar con cada uno de los empleados, para así conocer qué necesitan para garantizar la seguridad de la información. Esta es otra posible forma de gestionar los riesgos de la empresa. Es una cuestión muy novedosa presentar un proyecto de seguridad, aunque también resulta muy eficaz en lugar de utilizar firewalls y sitios de recuperación de desastres.
Ahora que conocemos un poco más las posibilidades acerca de la ISO 27001 podemos plantearnos la cuestión sobre qué hacer. Es muy recomendable seguir los siguientes pasos:
- Definir el potencial de los beneficios de la empresa que se pueden alcanzar a través de la implantación de la norma ISO 27001.
- Tratar de calcular el beneficio obtenido por los beneficios.
- Calcular la inversión total necesaria para implementar el Sistema de Gestión de Seguridad de la Información según la norma ISO 27001.
- Presentar el caso a los altos cargos de la empresa.
Software ISO 27001
El Software ISOTools Excellence para la norma ISO 27001 en la cual se basa la Seguridad de la Información, se encuentra compuesto por diferentes aplicaciones que, al unirlas, trabajan para que la información que manejan las organizaciones no pierda ninguna de sus propiedades principales: disponibilidad, integridad y confidencialidad.
¿Desea saber más?
Entradas relacionadas
Compliance La ley 30424, ha sido modificada por el D. Leg. 1352, que exige la implantación de un…
Proveedores Hoy en día pocos fabricantes dan la importancia que tiene a auditar sus proveedores sin darse cuenta…
Ley 29783 Durante este artículo hablaremos sobre cómo se puede automatizar los requisitos establecidos en la ley 29783.…
Gestión del rendimiento La gestión del rendimiento es uno de los siete subsistemas que componen el Sistema Administrativo…