martes, 2 de julio de 2019

POR QUÉ UNA ORGANIZACIÓN DEBERÍA OBTENER LA CERTIFICACIÓN EN ISO 27001?

Actualizada en 2013, ISO 27001 es la norma internacional que trata de la seguridad de la información. Sin embargo, no todos saben que la certificación en ISO 27001 no es obligatoria. 

El objetivo primordial de la norma es contribuir a la protección de la confidencialidad, integridad y disponibilidad de la información de una organización, antes que disponer de un alto número de certificados.

Así, si una organización implementa el estándar, aunque no considere obtener la certificación en ISO 27001, ganará los beneficios de la norma, entre los cuales podemos mencionar:

  • Identificación de riesgos y definición de controles para gestionarlos o eliminarlos.
  • Flexibilidad para adaptar controles en todas las áreas seleccionadas de una organización.
  • Atender las expectativas de los clientes y proveedores, en cuanto al tratamiento de su información.
Entonces, ¿qué razones puede tener una organización para obtener la certificación en ISO 27001?

Por qué obtener la certificación en ISO 27001

Muchas organizaciones del sector financiero encontraron en la norma una herramienta valiosa para dar cumplimiento a estrictas regulaciones gubernamentales sobre la seguridad y la confidencialidad de la información. En efecto, al final del proceso de implementación, consideraron que no obtenían un beneficio adicional obteniendo la certificación en ISO 27001.

Sin duda, los bancos y otras organizaciones del sector financiero, en virtud del alto reconocimiento de sus marcas y, atendiendo prioridades específicas propias del mercado, concluyen que pueden pasar sin la certificación en ISO 27001, sin que esto afecte de forma sensible su estrategia de negocios.

Otro tipo de organizaciones pueden encontrar, sin embargo, importantes razones para obtener la certificación. Veamos algunas de ellas:
  • Obtener nuevos clientes: la certificación en ISO 27001, puede marcar la diferencia cuando una organización está considerando incluir nuevos proveedores. De hecho, en algunos procesos de selección de proveedores, la organización que pretende tal posición, encontrará como requisito la certificación en este estándar.
  • Cumplimiento de normativas gubernamentales: mencionamos que, en algunos casos, organizaciones han implementado el sistema de gestión de seguridad de la información basado en la norma ISO 27001 como una forma de cumplir con exigencias gubernamentales locales. Pero, en algunos no basta con cumplir. Es necesario demostrar ese cumplimiento con el certificado. Aunque no sea el caso de su país, es muy probable que, en algún momento, deba responder ante la normativa de un país en el exterior en cuyo mercado desee incursionar.
  • Motivación para que los empleados contribuyan a culminar la implementación: en ciertas organizaciones, el proyecto de implementación de la norma ISO 27001 no concluye o se dilata indefinidamente, porque no existe una fecha límite; o también porque los empleados, sobre todo en niveles bajos, no encuentran una motivación para implementar un sistema que no va a ser certificado. Así, obtener la certificación en ISO 27001 generará un sentido de urgencia que repercutirá en todas las áreas de la organización.
  • Garantizar el cumplimiento con la auditoría de certificación en ISO 27001: implementar la norma y cumplir con los requisitos nos lleva a un grado de tranquilidad muy elevado con respecto a la seguridad y la confidencialidad de nuestra información. Pero, solo la auditoría de certificación nos asegura el cumplimiento total y la conformidad con ISO 27001.


Tomado de: https://www.escuelaeuropeaexcelencia.com

No hay comentarios.: