ISO 27001
La implementación del Sistema de Gestión de Seguridad de la Información bajo los requisitos de la norma ISO 27001 puede provocar un aumento considerable de la rentabilidad de la organización, lo cual resulta muy atractivo para la parte ejecutiva de la empresa.
Podemos decir, que la implantación de un Sistema de Gestión de Seguridad de la Información puede ofrecer a la organización un impacto financiero positivo.
Relación entre seguridad de la información y beneficios
El beneficio puede alcanzarse de dos formas:
- Mediante el incremento de los ingresos
- Mediante la reducción de costos
Son multitud de organizaciones las que acuden o recurren a la certificación de la norma ISO 27001, bien porque necesitan su certificado para lograr conseguir un nuevo cliente a través de una licitación o bien porque desean convencer a su cartera de clientes de que sus datos se hallan perfectamente protegidos gracias a su Sistema de Gestión. Partiendo de este punto, un gran número de empresas y organizaciones creen en la necesidad de implementar un Sistema de Gestión de Seguridad de la Información para conseguir nuevos clientes o para conservar los que ya poseen.
Como ya se sabe, un nuevo cliente supone nuevos ingresos adicionales, por ello, lo que habría que preguntarse es si dicho aporte económico por la captación de un nuevo cliente es superior a la inversión que se realiza en la norma ISO 27001. La filosofía de la norma ISO 27001 puede definirse como preventiva, puesto que persigue la forma de reducir y evitar cualquier tipo de incidente, y en el caso de llegados a suceder, reducir al máximo el impacto que este pudiera ocasionar.
Esto supone que el costo que se produce tras la aparición de un incidente no debe volver a sucederse, o dado el caso, en una cantidad mínima. Por ello, ante la pregunta acerca de si el ahorro es mayor que la inversión que se lleva a cabo en la norma ISO 27001, la respuesta que encontramos es afirmativa.
Todo ello no conlleva que la empresa pueda realizar grandes inversiones de capital en seguridad de la información, puesto que se debe garantizar que conservar o mantener la certificación en la norma ISO 27001 conlleva un determinado costo, y si dicha inversión no se mantiene, todo habrá sido en vano.
La gestión de riesgos
Cuando hacemos referencia a la filosofía preventiva de la ISO 27001, estamos haciendo mención a la gestión del riesgo que se usa para evitar que tenga lugar cualquier tipo de incidente, puesto que en primer lugar deben conocerse qué tipo de cosas nocivas pueden aparecer durante la evaluación de riesgos. En el momento que se obtenga la relación de los posibles incidentes es el momento a partir del cual se pueden comenzar a tratar a través del Sistema de Gestión de Seguridad de la Información bajo la ISO 27001, puesto que los riesgos se tratan usando distintas medidas de seguridad de la información. Todo esto es lo que se conoce como gestión de riesgos.
La idea de gestión de riesgos se encuentra en las organizaciones desde hace infinidad de tiempo, por ello, actualmente los altos cargos de cualquier empresa aseguran sus edificios, vehículos, o cualquier otro activo de considerable valor, contra cualquier tipo de amenaza que pudiera afectarles. Además, es recomendable diversificar los productos y los mercados, puesto que al no colocarlo todos junto disminuye el riesgo a depender de un único producto o un solo mercado.
Al contrario que en las grandes organizaciones, la gestión de riesgos es más informal que en las pequeñas organizaciones. En las grandes organizaciones la gestión de riesgos es mucho más formal, por ello se entiende que existe un error por parte de los gerentes de las organizaciones al utilizar el concepto de gestión de riesgos.
Los altos cargos de las organizaciones no contemplan la seguridad de la información desde la perspectiva de gestión de riesgos, por lo que si realmente desean tener éxito deberían hablar con todos y cada uno de los empleados de la empresa, para así conocer que se requiere para conseguir asegurar la seguridad de la información. Un nuevo método de gran novedad consiste en presentar un proyecto de seguridad, lo cual resulta muy eficaz puesto que en lugar de usar firewalls y sitios de recuperación de desastres, puede empezar a tratar sobre dinero y lenguaje comprensible.
Cuando por fin nos encontramos en el punto donde aparece la cuestión, ¿qué debemos hacer? Es recomendable seguir los siguientes pasos:
- Definir el potencial de los beneficios de la empresa que se pueden alcanzar a través de la implantación de la norma ISO 27001.
- Calcular o realizar una estimación aproximada del beneficio obtenido.
- Calcular o estimar la inversión total requerida para implementar el Sistema de Gestión de Seguridad de la Información bajo la norma ISO 27001.
- Presentar el caso a los altos cargos de la empresa.
Software ISO 27001
El Software ISOTools Excellence para implantar un Sistema de Gestión de la Seguridad de la Información bajo la norma ISO 27001 se encuentra compuesto por distintas aplicaciones que, al unirlas, trabajan para que la información que manejan las empresas no pierda ninguna de sus propiedades más importantes. Esta útil herramienta facilita el cumplimiento de los requisitos legales que les repercuten.
¿Desea saber más?
Entradas relacionadas
Compliance La ley 30424, ha sido modificada por el D. Leg. 1352, que exige la implantación de un…
Proveedores Hoy en día pocos fabricantes dan la importancia que tiene a auditar sus proveedores sin darse cuenta…
Ley 29783 Durante este artículo hablaremos sobre cómo se puede automatizar los requisitos establecidos en la ley 29783.…
Gestión del rendimiento La gestión del rendimiento es uno de los siete subsistemas que componen el Sistema Administrativo…