ISO - 27001 Nos permite elegir la protección adecuada

Entonces, podría preguntarse: "¿Por qué necesitaría un estándar que no me diga nada en concreto?"

Debido a que ISO 27001 le ofrece un marco para que usted decida sobre la protección adecuada. De la misma manera, por ejemplo, no puede copiar una campaña de marketing de otra empresa a la suya, este mismo principio es válido para la seguridad de la información: debe adaptarlo a sus necesidades específicas.

Y la forma en que ISO 27001 le indica que debe lograr este traje a medida es realizar una evaluación de riesgos y un tratamiento de riesgos. Esto no es más que una descripción sistemática de las cosas malas que pueden sucederle (evaluar los riesgos), y luego decidir qué medidas de seguridad implementar para evitar que sucedan esas cosas malas (tratar los riesgos).

La idea general aquí es que debe implementar solo las salvaguardas (controles) que se requieren debido a los riesgos, no aquellos que alguien cree que son sofisticados; pero, esta lógica también significa que debe implementar todos los controles que se requieren debido a los riesgos, y que no puede excluir algunos simplemente porque no le gustan.