¿Debo cumplir con la norma ISO 27001?

La norma ISO/IEC 27001 establece buenas prácticas para la implementación de un Sistema de Gestión de Seguridad de la Información (SGSI) en las organizaciones con el fin de ayudar a proteger los activos más importantes y generar confianza hacia sus clientes. 

 

Todo esto suena muy bonito y es verdad, pero lo que no te dicen es que cumplir con los controles de la norma puede ser un proceso tardado y costoso (tiempo, dinero, esfuerzo, etc.) ya que no cualquier empresa se encuentra preparada para hacerlo.

 

Normalmente las empresas buscan el cumplimiento por dos vertientes, la primera es que se la solicita algún cliente o socio para poder establecer una relación de colaboración/negocio, y la segunda es cuando la organización se encuentra comprometida con la seguridad y es consciente de su importancia.

 

La segunda opción que menos se ve pero realmente existe, yo fui incrédulo durante mucho tiempo pero últimamente he tenido la fortuna de colaborar con organizaciones que realmente se encuentran comprometidas, y por lo tanto, realizan una planeación a mediano-largo plazo, donde el objetivo es cumplir los controles que aplican al negocio.

 

¿Realmente necesito cumplir con la norma ISO 27001?

 

Como siempre te lo digo, depende mucho de los objetivos del negocio, que si bien es cierto, la normativa puede aplicarse e implementar un SGSI, no es necesario cumplir todos los puntos si es que no aplican para tu negocio, y eso se define a través de un análisis de riesgos y un documento que normalmente es conocido como la declaración de aplicabilidad o SoA, para saber cuales son los puntos que si se deben cumplir y los que no, justificando los motivos de la decisión.

 

Como ves, es importante primero saber y conocer cómo es que la organización trabaja, cuáles son sus procesos y con eso, puedes hacer tu análisis de riesgos para después generar tu SoA y comenzar a trabajar con ello.

 

Las empresas que quieren cumplir todos los puntos, normalmente lo hacen enfocados en un proceso de negocio (el más importante) para poder asegurar sus activos y disminuir el impacto de un incidente de seguridad que podría costarles mucho dinero.

 

¿Qué se debe tener en cuenta para aplicar la norma ISO 27001 en una empresa?

Si quieres implementar la normativa por voluntad propia, te recomiendo que generes un plan a corto-mediano-largo plazo donde se indiquen los pasos a seguir para su implantación, y te aseguro que poco a poco tu SGSI irá ‘madurando’ como se dice, pero simplemente es que irá mejorando.

 

Ahora bien, si tienes un requerimiento que urge para poder seguir laborando con un cliente, ofreciendo servicios, etc., será necesario que evalúes el proceso de negocio que quieres apegar a la norma y comiences por él, ya que puedes llevarte una gran sorpresa en cuanto al costo de la adquisición de herramientas y el tiempo que requiere de tu personal para poder hacerlo, donde tendrás que evaluar si el dinero que te deja el cliente/servicio que requiere la norma es congruente con el gasto.

 

Por ejemplo, si eres una organización que factura 500,000 USD al año y el costo de implementar la normativa y mantenerla es de 550,000 USD, no será para nada viable.

 

El punto del costo-beneficio económico es algo que muy pocas veces te dicen cuando se trata de contratar servicios de una consultoría, al final, te das cuenta cuando ya estás a mitad del proceso, y por tal motivo, la mayoría de las veces, no prosiguen con el plan debido al gasto elevado, el cual no se tenía contemplado desde un principio.

 

Como recomendación, si quieres apegarte a la norma ISO 27001 evalúa el costo-beneficio de su implantación en la empresa, y si no es viable aplicarlo en pocos meses, genera un plan a mediano-largo plazo donde puedas hacerlo de forma escalonada para reducir el costo de la inversión.

#ciberseguridad #ISO27001 #blogdeciberseguridad #normativa #seguridaddelainformación