Como hacer rentable tu inversión en el Sistema de Gestión de Seguridad de la Información
Sistema de Gestión de Seguridad de la Información
No hay nada que motive más a los ejecutivos que las ganancias, por lo que si propone la implementación del Sistema de Gestión de Seguridad de la Información según ISO 27001 en su organización, debe conocer cómo este proyecto puede incrementar la rentabilidad de su organización.
La implantación de un Sistema de Gestión de Seguridad de la Información puede ofrecer un impacto positivo financiero en tu organización.
¿Cómo se relaciona la seguridad de la información con los beneficios?
El beneficio se puede obtener de dos formas:
- Por el aumento de los ingresos
- Por la disminución de costos
Durante este artículo vamos a examinar ambas cosas que ofrece el Sistema de Gestión de Seguridad de la Información.
Muchas organizaciones acuden a la certificación ISO 27001, ya que necesitan dicho certificado para conseguir un nuevo cliente mediante una licitación o porque quieren convencer a sus clientes de que sus datos se encuentran perfectamente protegidos. Si partimos desde este punto, muchas organizaciones piensan que necesitan implementar un Sistema de Gestión de Seguridad de la Información para llegar a nuevos clientes o para mantener los que ya tienen.
Vamos a examinar ambas cosas desde la perspectiva de la norma ISO 27001.
Como bien sabemos, cada nuevo cliente genera más ingresos adicionales, la pregunta sería si dicho aporte económico que nos proporciona uno cliente es superior a la inversión en la norma ISO 27001. La filosofía de la norma ISO 27001 es preventiva, es decir, persigue la idea principal de evitar que ocurran incidentes o si llegan a suceder se debe disminuir el impacto al mínimo nivel.
Esto significa que los costos que se generan después de que se produzca un incidente no deben suceder en absoluto, o en una cantidad mucho menos. Una vez más, a la pregunta sobre si el ahorro es más grande que la inversión en la norma ISO 27001 la respuesta es sí.
Esto no significa que una organización pueda permitirse el lujo de invertir grandes cantidades de dinero en seguridad de la información, ya que se debe asegurar de que mantener la certificación en ISO 27001 supone un costo, y si no se mantiene la inversión habrá sido en vano.
La gestión de riesgos
Cuando se menciona la filosofía preventiva de la norma ISO 27001, en realidad estamos hablando de la gestión del riesgo que se utiliza para evitar que sucedan incidentes, primero debe conocer qué cosas malas pueden suceder realizando la evaluación de riesgos. una vez que tenga una lista de posibles incidentes se puede comenzar a pensar en cómo mitigarlos utilizando el Sistema de Gestión de Seguridad de la Información ISO 27001, ya que trata los riesgos utilizando diferentes medias de seguridad de la información. Todo lo que hemos explicado junto es la gestión de riesgos.
El concepto de gestión de riesgos existe en las organizaciones desde hace muchísimo tiempo, los altos cargos de todo el mundo aseguran sus edificios, vehículos y otros activos de elevado valor contra todas las amenazas que los puedan afectar, además se deben diversificar los productos y los mercados, ya que no tienen que poner todo junto, por lo que se reduce el riesgo a depender de un solo producto o mercado único.
En las organizaciones más pequeñas la gestión de riesgos es informal, es decir, es algo más banal mientas que en las grandes organizaciones la gestión de riesgos es mucho más explícita y formal, pero los gerentes de las organizaciones utilizan el término gestión de riesgos sin entenderlo muy bien.
Es cierto que los altos cargos normalmente no ven la seguridad de la información con la perspectiva de gestión de los riesgos, además que si quieren tener éxito deben hablar con todos los trabajadores y conocer que necesitan para asegurar la seguridad de la información, siendo otra forma de gestionar los riesgos de su organización. Es muy novedoso presentar un proyecto de seguridad, aunque también resulta muy eficaz ya que en lugar de utilizar firewalls y sitios de recuperación de desastres, además puede comenzar a hablar sobre el dinero y el lenguaje que ellos entienden.
Ya que conocemos todo llega la pregunta ¿qué se debe hacer?. Es muy aconsejable seguir los siguientes pasos:
- Definir el potencial de los beneficios de la organización que se pueden conseguir mediante la implantación de la norma ISO 27001.
- Tratar de calcular el beneficio obtenido por los beneficios.
- Calcular la inversión total necesaria para implementar el Sistema de Gestión de Seguridad de la Información según la norma ISO 27001.
- Presentar el caso a los altos cargos de la organización.
Software ISO 27001
El Software ISOTools Excellence ISO 27001 para la Seguridad de la Información se encuentra compuesta por diferentes aplicaciones que, al unirlas, trabajan para que la información que manejan las organizaciones no pierda ninguna de sus propiedades más importantes. Facilita el cumplimiento de los requisitos legales que les repercuten.