Debido a la importancia que representa la protección de los activos más importantes para las organizaciones y la relevancia que adquiere la ciberseguridad, en la actualidad cada vez más empresas han optado por comenzar a alinearse a las recomendaciones descritas en el estándar ISO 27001, como se pronosticó en nuestro informe "Tendencias 2016: (In) Security Everywhere".

A diferencia de otros documentos de la serie 27000, el estándar internacionalmente utilizado para gestionar la seguridad de la información, es certificable para las organizaciones que desean mostrar su compromiso con la protección de la información y otros activos, que resultan indispensables para su operación cotidiana. En un informe reciente se observa esta tendencia hacia la normalización y la creación de una cultura de ciberseguridad en el ámbito organizacional.

Adopción, adaptación y aplicación de buenas prácticas de seguridad

El proceso de normalización se aplica en distintos ámbitos, donde la seguridad de la información no es la excepción. Consiste en la adopción, adaptación y aplicación de directrices para realizar actividades que buscan generar un beneficio y la cooperación dentro de una organización.

Aunque se trata de buenas prácticas recomendadas, se puede aplicar el término de normalización ya que, una vez que son implementadas, se convierten en normas que deben ser cumplidas si se buscan alcanzar los objetivos de seguridad planteados. Esta práctica ha resultado conveniente para un conjunto amplio de empresas que buscan aumentar y mejorar sus niveles de protección de la información y demás bienes.

En este contexto, la normalización a partir de la implementación de buenas prácticas descritas en el estándar ISO 27001 puede ser utilizada como una estrategia para minimizar los riesgos hasta un nivel aceptable, además de operar en un proceso de mejora permanente, ya que los riesgos son dinámicos y deben ser tratados de manera continua.

Aumento en la cantidad de certificaciones ISO 27001 alrededor del mundo

Aunque por sí misma una certificación no garantiza que todas las amenazas y ataques puedan ser evadidas, sí representa la aproximación constante hacia un nivel de protección deseado. Por ello, año a año, cada vez más organizaciones han comenzado a utilizar las recomendaciones y a certificarse para obtener la acreditación de su compromiso con la protección de la información y sus activos.

El estudio de ISO Survey muestra las estadísticas sobre certificaciones en materia de normas de sistemas de gestión a nivel mundial. En el caso de ISO 27001, desde la publicación de la primera versión en 2005, se observa un incremento contante del número de certificaciones emitidas para las organizaciones, que continuó después de la actualización del estándar en 2013.

Durante 2015 se registraron 27.536 certificaciones para organizaciones que han adoptado el estándar de seguridad, lo que representa un incremento del 20% respecto a 2014. Es importante mencionar que, durante el análisis de este año realizado por ISO Survey, se identificaron algunos errores en datos de años previos, por lo que los datos correspondientes a 2013 han sido modificados, pasando de 19.620 a 21.604 y 23.972 a 23.005 durante 2014.

normalizacion ISO

Cantidad de certificados ISO 27001 por año

Por otro lado, destaca que Japón lidera la tabla de posiciones como el país con el mayor número de certificados ISO 27001 emitidos durante 2015, con un total de 8.240, seguido de Reino Unido con 2.790 e India con 2.490, durante el mismo periodo. En la siguiente tabla se muestran las diez primeras posiciones:

tabla paises iso 27001 en 2015

Top 10 de países con más certificados ISO 27001 durante 2015

Los datos anteriores muestran la razón por la cual el mayor porcentaje de certificaciones durante el año pasado corresponde a Asia Oriental y el Pacífico con el 44%, seguido de Europa con el 38% de la distribución mundial, así como Asia Central y del Sur en la tercera posición con el 9%, como se muestra en el siguiente gráfico:

Porcentaje de distribución de certificados ISO 27001 durante 2015 a nivel mundial

Hacia una cultura de ciberseguridad organizacional

De manera general, las organizaciones adoptan, adaptan y aplican las buenas prácticas de los estándares y marcos de trabajo de seguridad, para mejorar distintos aspectos de la protección de sus bienes. La referencia internacionalmente utilizada es ISO 27001.

El propósito y contenido del estándar tiene la intención de gestionar la seguridad, a través de un adecuado tratamiento de riesgos, es decir, tomar decisiones que nos conducen hacia un propósito básico: la protección de la información y de otros activos, que resultan relevantes para las organizaciones, al tiempo de alcanzar los beneficios de alinearse con los estándares.

De forma directa, lo anterior se traduce en un objetivo de mayor alcance: la protección del negocio, es decir, que las organizaciones puedan continuar sus operaciones, cumplir sus objetivos, alcanzar sus metas y lograr su misión, al tiempo que se genera una cultura de ciberseguridad organizacional.