¿Vale la pena certificar nuestro SGSI?

De un tiempo a esta parte le he estado dando vueltas a la utilidad de certificarse en ISO27001. Conozco el estándar desde hace muchos años, tanto desde el punto de vista de consultor como de auditor interno, de implantador y de operador/administrador del SGSI (Sistema de Gestión de la Seguridad de la Información). La teoría está clara; estar certificado te permite contar con la confirmación de un tercero “independiente” que garantiza que el sistema de gestión de la información de tu organización cumple con los requisitos del estándar. Esto se supone que ha de ser una ventaja competitiva frente a otros competidores no certificados debido al aumento de confianza que el sello debería proporcionar en clientes y proveedores.

Y aunque puede que esto sea cierto en algunos casos, pero en mi opinión, no lo es en la mayoría. La ISO27001 sigue siendo una gran desconocida fuera del sector de TI y en muchos casos también dentro del propio sector. Así mismo, es muy raro el caso en el que un pliego o una RFP exijan que los proveedores estén certificados e incluso son raros los casos en los que se indica que la certificación será tenida en cuenta en la adjudicación del proyecto o servicio.

Estoy de acuerdo en que hoy en día es indispensable para toda empresa contar con un SGSI si se desean mitigar los riesgos que afectan a su información de una forma eficiente, y la ISO27001 es una excelente opción (aunque no la única) en la que basarlo. La ISO permite racionalizar los esfuerzos que se dedican a la seguridad, de manera que se optimiza la reducción de riesgo para una determinada inversión en seguridad. Además, establece un ciclo de mejora continua que también es indispensable para mantener unos niveles de seguridad aceptables a lo largo del tiempo.

Sin embargo, debería ponderarse con cuidado la decisión de abordar un proceso de certificación, teniendo en cuenta los beneficios y los esfuerzos que de ello se derivará. Dado que los auditores de certificación se focalizan en formalismos (no puede ser de otra manera en una auditoría de pocos días), puede ocurrir que los mayores esfuerzos en la implantación del SGSI no se dediquen estrictamente a montar el Sistema de Gestión más adecuado a nuestra organización, si no que es frecuente que los mayores esfuerzos se dediquen a cumplir con todos los formalismos documentales que exige la norma. Esto significa además, que nuestro SGSI perderá flexibilidad, ya que una vez adquirida la certificación no querremos arriesgarnos a perderla.

También hay que tener en cuenta que todo el tinglado de la certificación y los certificadores puede resultar en sí mismo perjudicial para el cumplimiento efectivo del estándar. Por un lado tenemos empresas certificadoras que se ganan la vida acreditando a las organizaciones y, especialmente, recertificándolas año tras año. Además, son competencias unas de las otras, por lo que cada una toma su rol. Tenemos las empresas en las que todo el mundo sabe que es fácil certificarse, y las empresas en las que se supone que es más difícil hacerlo. En cualquier caso, todas comparten el mismo objetivo (y no es mejorar la seguridad de sus clientes); certificar a tantas empresas como sea posible y fidelizarlas para continuar recertificándolas año tras año. Por otro lado, tenemos a los auditores, autónomos subcontratados por las certificadoras, que en muchas ocasiones realizan una interpretación extremadamente subjetiva del estándar llegando a establecer no conformidades u observaciones que en nada ayudan a mejorar la seguridad de la Organización. Sin embargo, deben ser acometidas si se quiere mantener la certificación. Creo que coincidiréis conmigo en que no es el ecosistema más propicio para la mejora

En conclusión, aunque puede ser muy beneficioso en determinadas circunstancias o para determinadas organizaciones, pienso que se debe considerar detalladamente hasta que punto los esfuerzos destinados a implantar o mantener un SGSI certificable merecen la pena en la mayoría de los casos. Si no tenemos claro que el hecho de certificar nuestro SGSI vaya a tener un ROI aceptable, pienso que es mejor dedicar los principales esfuerzos a tener un SGSI lo más eficaz y alineado con nuestra organización posible aunque no cumpla todos los requisitos necesarios para que la empresa certificadora de turno nos conceda su sello.