Ventajas y desventajas de las normas ISO 27001

Diana Caterine Veru Romero*

Cuando se quiere organizar una empresa por muy pequeña que sea, esta empresa dependerá especialmente de una logística fundamentada en la seguridad de la información que allí se va a manejar. Mirar los posibles riesgos que ello requiera para su excelente funcionamiento, y que estos a su vez, se les puedan dar soluciones oportunamente y no, cuando ya es demasiado tarde.

Las Normas de seguridad ISO 27001, se publicaron por primera vez en año 2005, con el objetivo de generar seguridad en la información de alguna empresa, sin distinción alguna, ya que su servicio se puede implantar en empresas públicas como privadas, con el aval internacional, que se basaba en las normas norma británica BS 7799-2. En si lo que se pretende con la aplicación de estas normas, es garantizar la legalidad de una empresa, no importando el tamaño de la mismas, además de ser normas internacionales que certifican la calidad de la información de una empresa. La evaluación más cercana de estas normas 27001, fue para el año 2013.

La información de una entidad o empresa, demanda que se proteja ante cualquier amenaza que pueda poner en peligro las empresas tanto públicas como privadas, pues en otro caso podría perjudicar la salud de dichas empresas. La realidad nos muestra que las estructuras empresariales se enfrentan en la actualidad con un alto número de compromisos e incertidumbres procedentes de una amplia variedad de fuentes.

Se puede presentar el siguiente ejemplo como referencia para interpretar mejor esta explicación: si en la empresa donde laboras o alguna que conozcas, llegara a suceder un incidente de perdida de información, por cualquier efecto o daño ajeno a la normalidad, ¿Cuánto puede costar la recuperación de esa información, si lograra recuperar?, es difícil calcularlo, sin embargo, esta normas presentan un costo muy bajo y garantizado para proteger esa información valiosa que requiere una empresa o entidad, bien sea privada o pública.

Dentro de las ventajas que se pueden generar en este sistema integrado en una organización ISO 27001, es que está orientado con proyecciones a futuro, porque cada vez en el sistema de las TIC se implementan nuevas herramientas de negocio, estas normas exigen y a su vez garantizan que se actualicen como precaución favorable para la empresa, así mismo aminorar los riesgos de forma responsable.

Otro aspecto favorable, es la manera personal al sistema, de exponer de manera legal todos los aspectos de carácter legislativo vigentes, y garantizar la continuidad del negocio, en ese aspecto, Colombia ocupa los primeros puestos en la clasificación a nivel mundial, junto a España; según la [revista retorno sobre seguridad de normas ISO 27001, escrita por Carlos Manuel Fernández coordinador de las TIC, en España]

Entre otros beneficios se pueden mencionar los siguientes:

• Establecimiento de una metodología de gestión de la seguridad clara y estructurada.
• Reducción del riesgo de pérdida, robo o corrupción de información.
• Los riesgos y sus controles son continuamente revisados.
• Los clientes tienen acceso a la información a través medidas de seguridad.
• Confianza de clientes y socios estratégicos por la garantía de calidad y confidencialidad comercial.
• Aumento de la seguridad en base a la gestión de procesos en vez de en la compra sistemática de productos y tecnologías.
• Confianza y reglas claras para las personas de la organización.
• De igual manera, hay que tener en cuenta que la seguridad no es un producto más, sencillamente es un proceso, es una actividad continua de protección que requiere estar actualizada y soportada, para garantizar el buen manejo de la organización empresarial. 

De no llevarse a cabo este proceso en una empresa, de las normas ISO 27001, esto puede acarrear riesgos de índole grave para la organización, dentro de los cuales se pueden mencionar los siguientes: 

• Delegación de todas las responsabilidades en departamentos técnicos.
• Temor ante el cambio: resistencia de las personas.
• Discrepancias en los comités de dirección.
• No asumir que la seguridad de la información es inherente a los procesos de negocio.
• Falta de comunicación de los progresos al personal de la organización.

De tal manera que es aconsejable tener en cuenta las siguientes recomendaciones, mantener la sencillez con un centro de trabajo práctico, para que exista efectividad y confianza en la información obtenida en las sucesivas etapas de las normas, como también adquirir experiencia en implantaciones del programa, asistir a cursos de actualización sobre estos temas.

Finalmente el objetivo primordial es garantizar que la información de una organización o empresa cuente con precauciones para el éxito y desarrollo de ellas mismas.