Le pregunté a mi cliente (un banco) por qué no se certifican contra las normas ISO 27000. La respuesta fue que si se certificaban, aumentaría el riesgo de ser atacados.
¿Eso tiene algún sentido? ¿Pueden los piratas informáticos saber que alguna empresa en particular está certificada? En mi opinión, si la empresa no lo declara públicamente, nadie lo sabría ... Además, dado que se trata de un banco, ya posee un cierto nivel de riesgo.
No veo un mayor riesgo de ataque por ser una organización con certificación ISO.
ANSI (el cuerpo de estándares rectores) no publica nombres comerciales de organizaciones con certificación ISO. Hay organizaciones que le ofrecen la posibilidad de buscar una organización certificada ISO 27001, pero esas organizaciones han elegido registrarse voluntariamente.
Sospecho que otro controlador (alto costo, gran espacio de tiempo, implementación de flujo de trabajo operativo) está detrás de la falta de deseo de certificarse.