Actualmente los activos de información representan más del 80% del valor de una compañía. Por ello, el funcionamiento efectivo de controles de seguridad para proteger la información es un aspecto fundamental en las organizaciones.
Existen numerosos estándares en materia de Seguridad de la Información que proporcionan u orientan respecto de cuáles son las mejores prácticas. La mayoría provienen precisamente de la recopilación de las principales experiencias exitosas previas.
El estandar ISO 27001: 2005 proporciona los lineamientos mínimos para que cualquier organización pueda diseñar un Sistema de Gestión de Seguridad de la Información (SGSI), en acompañando los objetivos de negocio de forma sostenible. Allí se encuentra su diferencial.
La consistencia con el negocio proviene de la necesidad de efectuar un análisis de riesgos previo que determine qué activos son los de vital importancia para el desenvolvimiento de la organización y a partir de allí, establecer los controles a implementar, en su modalidad y alcance. Pensar en un SGSI desde ISO 27001 no implica necesariamente prever inversiones cuantiosas en infraestructura y tecnología. Muchos controles se pueden implementar optimizando recursos previamente disponibles desde los propios usuarios y los activos existentes. ISO 27001 está diseñado para que cualquier organización privada o pública, pequeña, mediana o grande tenga las directrices para el establecimiento de su SGSI.
La aproximación a ISO 27001 logra que la organización sea proactiva en la resolución de incidentes de seguridad y que los usuarios estén integrados en un mismo compromiso con la Alta Dirección.
ISO 27001 representa al momento el mejor instrumento para conjugar la protección de los activos de información, acompañando el logro de objetivos de negocio y aunando esfuerzos de los usuarios y la Dirección, con todo ello se favorece el intercambio de productos, sistemas y servicios entre proveedores, clientes, contratistas y otros socios de negocio.
Asimismo, ISO 27001 otorga gran importancia además a la trazabilidad , a la estandarización de procesos de negocio , a la formalidad de políticas y procedimientos de seguridad documentados , a la continuidad del negocio y al cumplimiento legal.
