¿Alguna vez ha intentado convencer a los directores de su empresa de que financien la implementación de la seguridad de la información? Si lo ha hecho, probablemente sepa qué se siente: le preguntarán cuánto cuesta y, si les parece muy caro, le dirán que no.
En realidad, no debería culparlos; después de todo, su principal responsabilidad es la rentabilidad de la empresa. Esto quiere decir que cada decisión que tomen se basará en la relación entre inversión y beneficio; o, para expresarlo en el lenguaje de gestión, tendrá en cuenta el ROI (rendimiento de la inversión).
Esto significa que debe hacer un trabajo previo antes de proponer una inversión de este tipo: piense detenidamente cómo presentar los beneficios utilizando un idioma que los directivos comprendan y apoyen.
Intentaré ayudarle. Los beneficios de la seguridad de la información, especialmente la implementación de la norma ISO 27001, son muchos. Pero, por experiencia, creo que estos cuatro son los más importantes:
1. Cumplimiento
Puede resultar extraño mencionar este beneficio en primer lugar, pero, generalmente, es el que demuestra el «rendimiento de la inversión» más rápidamente. Si una organización debe cumplir con diversas normas sobre protección de datos, privacidad y control de TI (especialmente si se trata de una organización financiera, de salud o gubernamental), la norma ISO 27001 puede aportar la metodología que permita hacerlo de la manera más eficiente.
2. Ventaja de comercialización
En un mercado cada vez más competitivo, a veces es muy difícil encontrar algo que lo diferencie ante la percepción de sus clientes. La norma ISO 27001 puede ser un verdadero punto a favor, especialmente si usted administra información sensible de sus clientes.
3. Disminución de gastos
Generalmente, se considera a la seguridad de la información como un costo sin una ganancia financiera evidente. Sin embargo, hay una ganancia financiera si usted disminuye los gastos ocasionados por incidentes. Probablemente sí se produzcan en su empresa interrupciones de servicio o esporádicos filtrados de datos, o tengan empleados descontentos. O ex empleados descontentos.
La verdad es que aún no existe una metodología ni tecnología que pueda calcular cuánto dinero se puede ahorrar si evita ese tipo de incidentes. Pero siempre es oportuno alertar a la dirección sobre estos casos.
4. Ordenamiento de su negocio
Probablemente, éste sea el beneficio más subestimado; pero si su empresa ha tenido un crecimiento continuo durante los últimos años, es posible que tenga problemas para determinar quién decide qué cosas, quién es responsable de determinados activos de la información, quién debe autorizar el acceso a los sistemas de información, etc.
La norma ISO 27001 es especialmente útil para resolver estas cuestiones: le obligará a definir de forma muy precisa tanto las responsabilidades como las obligaciones y, de esta forma, ayudará a reforzar su organización interna.
Para finalizar, la norma ISO 27001 puede aportar muchos beneficios, además de ser sólo otro certificado colgado en su pared. En la mayoría de los casos, si usted presenta esos beneficios de forma clara, los directores comenzarán a prestarle atención.
Haga clic aquí para participar de forma gratuita al ISO 27001 Lead Implementer course, en el que podrá aprender todo lo que necesita saber sobre la implementación de ISO 27001.