01 diciembre 2010

ISO 27001 en España - 2009

Como todos los años, a finales de Octubre ISO publicó su informe anual sobre certificaciones a nivel mundial, su ya famoso ISO Survey of Certifications, correspondiente al año 2009. En él se analiza la evolución mundial de los principales certificados ISO, y de dicho análisis se extrae un resumen general que se puede consultar en abierto. Por su parte, también AENOR como representante español en ISO ha publicado una nota de prensa al respecto, y puede servir para complementar las principales conclusiones del estudio si no se tiene acceso a él.

Las principales conclusiones que se pueden sacar de dicho estudio en torno al estado de las certificaciones ISO 27001 en España son las siguientes:
  • De los 12934 certificados ISO 27001 que había a nivel mundial en 2009, 483 (un 3,7%) estaban emitidos en España, convirtiéndose en el 5º país del mundo y 2º en Europa (después de Reino Unido, el país en el que se gestó el estándar, con 946) con mayor número de certificados.
  • En el año 2009 se emitieron en España 280 certificados ISO 27001, lo que le convierte en el primer país europeo y tercero del mundo con mayor crecimiento en números absolutos.
  • A nivel mundial la certificación ISO 27001 creció en el año 2009 un 40%, mientras que el incremento anual que se produjo en España en el número de certificados emitidos fue del 72,5%.
En resumidas cuentas, creo que la conclusión que se puede extraer de este informe es que el negocio de la certificación ISO 27001 goza de muy buena salud en todo el mundo, y en España avanza viento en popa a toda vela. No obstante, después de ver estos números tan grandilocuentes no puedo evitar que me surja siempre la misma pregunta: ¿Cuantos de todos estos certificados han servido para que las organizaciones que los poseen hayan visto mejorada la seguridad de su información? ¿Cuántos de todos estos certificados han impactado de forma positiva en el negocio de las respectivas organizaciones? Porque no olvidemos que el objetivo último es ése...

5 comentarios:

Miguel Ángel Hernández Ruiz dijo...

Hola Joseba,

El otro día, rubalcaba decía que en las encuestas habían puesto una nueva opción:

d) sabe pero no contesta

esa es la mía

Un saludo

Anónimo dijo...

En mi opinion, en España hay tantos certificados porque las empresas certificadoras, con tal de pillar nuevos clientes y a partir de ahi sacarles un goteo de dinero (en las recertificaciones y demás), certifican autenticas basuras de SGSI.

Lo he visto.

Joseba Enjuto dijo...

No se puede negar que la certificación es un negocio como otro cualquiera, y que las certificadoras, como cualquier otra organización, seguro que quieren tener cada vez más clientes, y además clientes fidelizados. De todas formas, tampoco creo que se puedan permitir el lujo de certificar "cualquier cosa", ya que su negocio está basado en la credibilidad, y la acabarían perdiendo si fuera así.

Sinceramente, por lo que conozco he llegado a la conclusión de que depende mucho más del auditor en cuestión que de la empresa certificadora. Hay buenos auditores y malos auditores, y ninguna certificadora se libra de estos últimos. Y tampoco pensemos, como pasa muy a menudo en España, que en otros países de Europa los auditores son más exigentes que aquí, porque os aseguro que no es así. La clave es el auditor, no su nacionalidad ni su organización.

Javier Cao Avellaneda dijo...

La otra clave es la perversión del sistema. El que certifica no lo hace de forma objetiva puesto que parte de su modelo de negocio se basa en la supervisión y mantenimiento de esa certificación. Por tanto, hay un desequilibrio en la balanza frente a juzgar con criterio y el resultado del juicio que hace que caiga hacia la certificación.

Creeme cuando te digo que tanto Miguel Ángel Hernandez (compañero mio en Firma-e) como yo hemos presenciado cosas que sólo pueden caer en la opción d)Sabe pero no contesta.

Además, la evolución en el proceso de certificación ha sido significativa. Al principio, cuando todos pensabamos que se certificaba la "seguridad" la preocupación principal es que los controles estuviran implantados de acuerdo con el criterio de gestión de riesgo de la organización. Las últimas certificaciones que he presenciado a finales de este 2010 solo insisten en la "importancia de la gestión" porque a los sistemas hay que dejarlos madurar, sin considerar unos mínimos básicos de gestión efectiva del riesgo ya cubiertos. Se aprueba más por la intención que por la realidad...con lo que la certificación ya sólo significa gestión y no por ello, tiene como consecuencia la seguridad.
coincido contigo en que el problema son los auditores, pero también es verdad que las Entidades de Certificación tienen responsabilidad porque eso también es debido a que nos encontramos a demasiados audidores migrados desde la 9000 hacia la 27001. Y viendo lo que cobra realmente el auditor (Y no la empresa certificadora) por una jornada de auditoría, sólo pueden tener personal no muy especializado.

Joseba Enjuto dijo...

Personalmente no me parece una buena idea aceptar planes de tratamiento de riesgos sin ejecutar, pero tampoco estoy de acuerdo con planteamientos en los que sobra la declaración de aplicabilidad porque todo es aplicable. El Anexo A es para seleccionar los controles que son aplicables a tu organización en función de los riesgos que tienes. Porque si no, pasa lo de siempre: el que mucho abarca poco aprieta. Y claro, de fondo siempre tenemos la misma perversión: ¿Cuánta seguridad necesita realmente una empresa? Todo no vale, ni por defecto ni por exceso. Y aunque no sea políticamente correcto, ese debería ser el punto de partida de un auditor. Aunque la solución sería muy sencilla: bastaría con poner nota al certificado, y poder diferenciar los "suficientes" de los "notables" o "sobresalientes".