Las organizaciones de mayor tamaño cuentan con abundantes recursos humanos, técnicos y económicos que le permiten afrontar el mantenimiento de la seguridad en sus sistemas de información. La PYME, a falta de esos recursos necesita de una herramienta sencilla y de bajo coste que dé respuesta a los riesgos existentes.

Por ello, partiendo de la base que la seguridad al 100% no existe, la adopción de un Sistema de Gestión de la Seguridad de la Información (SGSI) es una alternativa adecuada para que la PYME pueda establecer una metodología y una serie de medidas con las que ordenar, sintetizar y simplificar de manera continua el esfuerzo que ya se hace o que ya se debería hacer en seguridad de la información.

Esta mejora en la seguridad se ve reflejada en una serie de ventajas que se describen a continuación.

Reducción de riesgos

Partiendo del Análisis de Riesgos que impone la norma, hasta la implementación de los controles, el conjunto de acciones adoptadas reducirá los riesgos hasta un nivel asumible por la PYME, siempre en relación a los objetivos de negocio de la organización.

Ahorro Económico

Como cualquier otro sistema de gestión, la implementación de la norma permite una racionalización de recursos, lo que repercute en un ahorro de costes. Poder tomar decisiones basadas en datos cuantitativos y no solo cualitativos, permite gestionar mejor el gasto en TI. De esta manera las inversiones en tecnología se ajusten a las prioridades que se han impuesto a través del Análisis de Riesgos, evitando los gastos innecesarios, inesperados, y sobredimensionados.

Calidad a la seguridad

La implementación de un SGSI transforma la seguridad en una actividad de gestión. Este concepto es importante ya que deja de lado un conjunto de actividades técnicas más o menos organizadas, para transformarse en un ciclo de vida metódico y controlado. En el que al participar toda la organización, se crea conciencia y compromiso de seguridad en todos los niveles de la empresa.

Cumplimiento Legal

Es necesario el cumplimiento de la legislación vigente. Todos los aspectos de conformidades legales de la norma deben responder a la legislación del país, y se verifica su adecuación y cumplimiento. Por lo tanto la certificación garantiza este hecho y a su vez seguramente crea un marco legal que protegerá a la empresa en aspectos que seguramente no se habían tenido en cuenta hasta entonces.

Competitividad en el mercado

Esta norma es tan importante como lo es hoy ISO 9000. Poco a poco las grandes empresas, los clientes y partners comenzarán a exigir esta certificación para abrir y compartir sus sistemas con cualquier PyME. Es el único modo que puede garantizar un equilibrio en las medidas de seguridad entre esas partes. Lo que la convierte en un importante factor diferenciador con la competencia, por las ventajas derivadas de la mejora de imagen y ventaja competitiva en el mercado.

En definitiva, la UNE-ISO/IEC 27001 es un elemento de gestión que se irá generalizando en las empresas, distinguiéndose claramente quienes se anticipen en su implantación.