02 diciembre 2009

El valor de una certificacion ISO 27001

Cada día es más habitual encontrarse con organizaciones certificadas en ISO 27001 o con intenciones de hacerlo. Y ya no son sólo las pequeñas o medianas empresas que quieren incrementar el valor de su marca con una certificación de este tipo, sino que inmensas organizaciones cuyo nombre prácticamente eclipsa el brillo de cualquier certificado también están empezando a ver su valor. O al menos es lo que parece al leer la noticia de que Microsoft quiere certificar su plataforma Business Productivity Online Suite bajo ISO 27001. Visto lo visto, parece que cada vez hay más organizaciones que aprecian el valor de una certificación de este tipo.

No obstante, hace unos días tenía una conversación acerca del valor de esta certificación con una persona cuya organización acaba de certificarse en ISO 27001 (en realidad, todavía ni siquiera es oficial la concesión del certificado) en la que se cuestionaba el valor real que el SGSI había aportado a su organización. No se ponía en duda el valor comercial y de negocio que aporta "el sello", pero sin embargo sí que se cuestionaba, al menos en parte, la utilidad real del SGSI en una organización madura en términos de seguridad. ¿Qué aporta un SGSI a una compañía cuyo "nivel de seguridad" es elevado?

Desde mi punto de vista, el principal argumento de un SGSI para empresas maduras tanto en gestión como en seguridad se centra en la utilidad del análisis y gestión de riesgos como herramienta para racionalizar las inversiones en materia de seguridad. No obstante, también es cierto que en muchas ocasiones si las medidas de seguridad ya están implantadas y se determina que son excesivas, como puede pasar, su eliminación puede ser más costosa que su mantenimiento, de modo que los ajustes asociados pueden no ser tan rentables a la hora de la verdad. También existe una serie de elementos clave que aporta un SGSI que pueden suponer un salto cualitativo diferencial en la gestión de la seguridad de una organización, aunque ese diferencial se verá atenuado en función de los elementos que la organización ya posea debido a su madurez.

En definitiva, creo que el valor de un certificado ISO 27001 no está sólo en su reconocimiento comercial, sino que existe una buena cantidad de factores clave de un SGSI que aportan valor a la organización por sí mismos, más allá del valor del certificado. No obstante, cuanto mayor sea el nivel de madurez de la organización en relación a la gestión de la seguridad menor valor diferencial aportará el SGSI, ya que ciertas prácticas ya estarán interiorizadas. ¿Puede ser este un argumento válido para que una organización madura en seguridad descarte una certificación de este tipo? ¿Qué prima en las organizaciones, el valor comercial aportado por un "sello" o los beneficios internos que proporciona? Y por último... ¿Se os ocurren más elementos que proporcionen valor a una certificación ISO 27001?

5 comentarios:

Luis Esteban dijo...

Si una empresa es madura en cuanto a seguridad, seguro que el análisis y gestión de riesgos es una pieza clave.

Por otro lado si una empresa ya es madura, la implantación de un SGSI estaría justificado en los términos que sólo necesita hacer un pequeño esfuerzo de documentación y organización del Sistema de Gestión para de ese modo acreditarlo por un tercero... y poder aprovecharlo el sello a nivel comercial o a nivel interno.

Javier Cao Avellaneda dijo...

Otro de los elementos que aporta valor es la seguridad basada en indicadores y objetivos. No es lo mismo creerse seguro o pensar que se está seguro que demostrarlo con estadísticas y datos. La medición es un punto clave tanto para la gestión como para la mejora de la madurez. A veces creemos unas cosas que la realidad no demuestra. También permite verificar que los objetivos se consolidan y por tanto llevan a pensar en nuevos objetivos o en otro escalón más en la reducción del riesgo. El SGSI debe tratar, ciclo tras ciclo, en bajar los niveles detectados. No hay que conformarse con estabilizar la situación, hay que ser ambicioso.

Miguel Ángel Hernández Ruiz dijo...

Acojámonos al supuesto; "Una empresa es madura en términos de seguridad", Demuéstrenmelo, su empresa es madura en referencia a ¿qué?. El poner una empresa bajo una norma internacional nos da una forma estándar de valorarla en términos de seguridad en este caso o en otros términos según la norma internacional. Esto no solo nos da a los que como yo nos ocupamos de consultoría y auditoría 27001 una referencia de cumplimiento de requerimientos sino también a cualquier tercero implicado en la organización que obtiene la certificación una certeza de gestión continua de la seguridad de la información certificada por un tercero independiente. No es lo mismo si digo que soy el mejor gestionando la seguridad en mi organización, aunque lo sea, que si me someto a unos requerimientos y bajo los mismos, alguien sin influencia certifica que lo soy y en qué términos. Todo esto es partiendo del mejor supuesto posible y es que la empresa aborde la certificación preocupada realmente por la seguridad, que haya apoyo de la gerencia y que realmente sea madura y así lo demuestre tras la implantación del SGSI. Si este supuesto es más o menos común es ya... otro cantar.

Sorani dijo...

IMHO lo que ocurre es que las certificaciones "solo" acreditan que una organización ha superado el listón que se establece para obtenerlas pero no proporciona información si es por mucho o por poco.

Me explico, es como si te dijeran APTO o NO APTO, lo cual es útil en muchas ocasiones, pero hay otras en la que esa información es suficiente y necesitas saber si es un PROGRESA ADECUADAMENTE o un SUFICIENTE. Y esto, la certificación no lo aporta...

Joseba Enjuto dijo...

Vaya, no hay nada como plantear preguntas polémicas para que la gente se anime a contestar... La verdad es que me gustan vuestras respuestas, pero me voy a meter un poco con las entidades certificadoras. Si yo ya tengo un SGSI que cumple con los requisitos de ISO 27001, evaluados por un auditor interno subcontratado con todas las cualificaciones necesarias, realmente necesito que venga una entidad certificadora a decirme lo mismo? Como dice Sorani, yo ya sé que tengo el aprobado, pero la entidad de certificación no me va a dar la nota. ¿Es cierto eso que suelen decir algunas entidades de certificación de que el prestigio lo da la "dureza" del profesor que te aprueba?