Frecuentemente tengo que explicar qué es y qué supone ISO 27001 respecto a la seguridad de la información, lo voy a contar en dos formatos breves: Twitter y elevator pitch:

Tweet:

«ISO 27001 pone la seguridad de la información bajo el control de la dirección, a partir de entonces da la base para su mejora incremental»

Tres tweets adicionales para mayor información:

«El certificado de ISO 27001 afirma el cumplimiento del sistema de gestión implementado y que eventualmente conseguirá una seguridad adecuada»

«El certificado de ISO 27001 no certifica que la seguridad es actualmente adecuada ni que cumple con buenas practicas»

«El certificado ISO 27001 supone que la adecuación de la seguridad está autodeterminada por la organización basada en su evaluación de riesgo»

Elevator pitch:

ISO 27001 pone la seguridad de la información bajo el control de la dirección de la organización, y a partir de ese momento proporciona la base para su mejora incremental. El certificado de ISO 27001 afirma el cumplimiento del sistema de gestión implementado y que eventualmente conseguirá una seguridad adecuada; no certifica que la seguridad es actualmente adecuada ni que cumple con buenas practicas. La adecuación está autodeterminada por la organización basada en su evaluación de riesgos.

 

Carlos Sánchez-Sicilia
Socio Director de Talentia