Le pregunté a mi cliente (un banco) por qué no se certifican contra las normas ISO 27000. La respuesta fue que si se certificaban, aumentaría el riesgo de ser atacados.
¿Eso tiene algún sentido? ¿Pueden los piratas informáticos saber que alguna empresa en particular está certificada? En mi opinión, si la empresa no lo declara públicamente, nadie lo sabría ... Además, dado que se trata de un banco, ya posee un cierto nivel de riesgo.