Breaking

21/5/15

Como empezar a pensar en la Seguridad Corporativa - Negocio, reglamentaciones y buenas prácticas

Seguridad Corporativa y Sistemas de Gestión son palabras que suenan “grandilocuentes” pero en realidad representan una responsabilidad importante sobre la información en todo tipo de empresas o entidades privadas y gubernamentales, ya sean PyMES o Corporaciones.
Cada Organización es responsable por sus activos de información y principalmente por la de terceros. Proveedores, Clientes, Personas Físicas o Jurídicas confían habitualmente sus datos (de negocio, personal, sensible y confidencial) a nuestros sistemas y procesos de tratamiento de información, ya sea en forma electrónica o a través de correspondencia, documentos impresos, etc.

Pensar en Seguridad Corporativa implica establecer los principios de protección y concientización organizacional en materia de Seguridad de la Información, que nos lleva a plantear una estrategia de comunicación y control adecuado en cada uno de los diferentes niveles de nuestra Organización. Para cada uno de estos niveles se tienen en cuenta diferentes estrategias, que tienen que ver con el aporte de soluciones como soporte de seguridad a la gestión de cada Gerencia y al aseguramiento de Confidencialidad, Integridad y Disponibilidad de la información que manejan.
De esta forma observaremos y ayudaremos a descubrir que la Seguridad de la Información involucra a todos los integrantes de una Organización cualquiera sea su industria, y así empezar a hablar de SEGURIDAD CORPORATIVA.
La comunicación e implementación de un Plan de Seguridad, ya sea como respuesta a necesidades del negocio, por motivos regulatorios o bien por razones de mejores prácticas, comienza con la concientización organizacional que nos lleva a plantear una estrategia de comunicación en tres diferentes niveles: Dirección - Gerencia – Usuarios, y cada uno de estos niveles va a tener un "lenguaje o idioma" referente al interés de grupo de cada uno, ya sea relacionado a lo económico como a los resultados o intereses. Por ello, es necesario realizar un estudio inicial referente a dos puntos de vista importantes de la Cultura de la Organización: 
  • La cultura operativa/funcional: Puede verse a través de los documentos generados por la Organización (organigrama, procedimientos funcionales, certificaciones adquiridas, registros de cumplimiento de las mismas, métodos de registración de operaciones y funciones, etc.). Estos documentos suelen ser la radiografía de la situación actual, donde se representan los “caminos” sobre los cuales se está gestionando actualmente cada proceso mostrándonos el estado de maduración de la Organización.
  • La cultura de los recursos humanos: A mi entender es la más importante para saber cómo iniciar un proyecto de Seguridad Corporativa, es la de analizar como tratan y cumplen las personas con cada uno de los documentos arriba mencionados, nivel de compromiso, enfoque de interés (según los niveles que mencionamos), y primordialmente la toma de conciencia sobre la información confiada y la cual tratan editándola, modificándola, transmitiéndola por correo, fax o correspondencia, dándola a conocer verbalmente ya sea en forma personal o telefónica. 
Teniendo en cuenta estas pautas, este estudio debe comenzar bajo el apoyo de la Dirección y dando a conocer a toda la Organización lo importante de la colaboración de cada uno en este camino emprendido hacia la Seguridad Corporativa. Clasificación de información, análisis de riesgos, inventarios de activos, administración de accesos e identidades, seguridad física y lógica, etc. son distintas etapas que van armando este rompecabezas y deben desarrollarse desde el principio bajo los siguientes conceptos:
  • Deben servir para CAPACITAR al personal y CREAR CONCIENCIA
  • Brindar herramientas a los usuarios para PROTEGER la información propia y de terceros
  • Establecer una gestión COLABORATIVA, creando vínculos comunicacionales que sean efectivos a los objetivos de seguridad
  • Disponer a la Organización en PENSAR en la Seguridad Corporativa
Para quienes integramos los Departamentos de Seguridad Corporativa, pensar de esta forma nos permite construir un modelo de comunicación para poder obtener el apoyo de la Dirección y Alta Gerencia, y la colaboración de los Usuarios y su compromiso con el proyecto, responsabilidad con la información brindada y eficiencia en su efectiva implementación.
El modelo de comunicación es una herramienta que se debe diseñar "a medida" en función de saber y analizar la información que antes mencionamos referente a la Organización. De por sí, ya sabemos que dentro de esos grandes grupos que hemos definido como Dirección, Gerencias y Usuarios, los intereses de cada uno son diferentes:
  • Dirección: Objetivos e imagen de la empresa, y resultados económicos (no olvidemos que son quienes deben responder ante los Accionistas en resultados económicos y ante la Sociedad como imagen corporativa) 
  • Gerencias: Objetivos funcionales y resultados operativos, que en caso de surgir un problema impactan directamente sobre los resultados esperados por los Directores, lo que hace que su foco esté orientado más sobre el proceso del negocio y el aseguramiento de su continuidad, disponibilidad e integridad.
  • Usuarios: Componentes operativos que hacen que una función cumpla con todos sus procesos de negocio y con los objetivos esperados por Gerencias y Directores.  
Si tenemos claro esto, nos sería fácil definir como comunicarnos y establecer la forma de comunicar la necesidad del Sistema de Gestión de Seguridad a cada grupo de la Organización:
  • Dirección: Asegurar objetivos corporativos, ya sea tangible (económico) como intangible (imagen en el mercado)
  • Gerencias: Asegurar objetivos funcionales y resguardo de los activos de la Organización
  • Usuarios: Tomar conocimiento y conciencia de la importancia de sus tareas y conocimientos, del trato que tienen sobre los activos de la empresa, y fomentarle el valor de su información sobre la compañía, funciones y cada uno de los procesos en los que participa.
Una vez hecho el análisis anterior, el "Modelo de Comunicación" se va a completar con encuestas, presentaciones, reuniones de inducción, etc. para cada uno de los grupos mencionados, en forma independiente teniendo en cuenta que se debe iniciar con los niveles superiores primero, solapando aquellas reuniones en las cuales se presenten avances sobre el tema.  
Esta comunicación va a permitir introducir vocablos y definiciones sobre el tema que, luego de haber hecho un trabajo constante, se va a establecer en algo común dentro de la Organización... como Lenguaje y como Cultura.
Dirección y Alta Gerencia
La dirección debe reconocer que lo que se plantea con la Seguridad Corporativa es la implementación de un esquema de seguridad orientada al negocio, y que cuenta con diversas herramientas que le brindan el marco normativo necesario para implantar su política y objetivo de cumplimiento a sus requerimientos.
El reconocimiento de cada uno de sus activos de información y en función de ello descubrir no solo los riesgos que enfrenta a diario (los 365 días del año) sino también el INTERES de aquellos agentes internos y externos en violarla, ya sea en su Integridad, como Confidencialidad y Disponibilidad ayudarán a tomar las medidas necesarias para establecer una gestión preventiva y correctiva sobre cada una de las actividades de la Organización.
La Dirección y Alta Gerencia impulsan el PENSAR en Seguridad Corporativa en la Organización cuando reconocen sus exposiciones y la probabilidad que éstas alcancen a sus objetivos de Negocio, afectando el cumplimiento de: 
  • Normas regulatorias: Las comunicaciones del BCRA para la industria financiera, Habeas Data / LOPD para empresas que tratan bases de datos personales.
  • Certificaciones de negocio: PCI DDS para entidades financieras que emiten tarjetas de crédito, ISO/9001 para quienes certificaron un SGC (Sistema de Gestión de Calidad), ISO/20000 como Gestión de Servicios de IT, o ISO/27001 para quienes certificaron un SGS (Sistema de Gestión de Seguridad), generalmente necesarias para cubrir expectativas de Clientes y como herramientas de posicionamiento en el mercado.
  • Frameworks de Mejores Prácticas: Magerit, CoBIT, ISO 38500, ITIL son algunas de las herramientas que le permiten a las empresas contar con un marco de referencia para establecer una “contención” a nivel de Seguridad, Calidad y Governance IT.
Por mínimas que sean las acciones que emprendamos, siempre es un paso hacia la mejora continua. Pensar en Seguridad no solo es cumplimentar objetivos relacionados con la “protección”. Establecer un entorno seguro nos aporta un aseguramiento de la Calidad de nuestros servicios, ya sean tecnológicos a través de servicios de IT o procedimentales desde cualquier sector de la Organización.
El mensaje de la Dirección y Alta Gerencia bajo estos aspectos es claro, concreto y certifica para la Organización el inicio o continuación de un camino de integración que les permita:
Con respecto al Negocio:
  • Integrar la gestión de la seguridad de la información con otras modalidades de gestión empresarial
  • Mejorar la imagen confianza y competitividad empresarial. La organización que desarrolle un SGSI según la norma, tendrá ventajas de reconocimiento por los organismos que certifican los sistemas.
  • Comprobar su compromiso con el cumplimiento de la legislación: protección de datos de carácter personal, servicios sociedad de información, comercio electrónico, propiedad intelectual, etc...
  • Dar satisfacción a accionistas y demostrar el valor añadido de las actividades de seguridad de la información en la empresa
Para los Sistemas de Información:
  • Sistematizar las actividades del Sistema de Gestión de Seguridad en colaboración con el sistema de Gestión de Calidad
  • Ahorro de recursos en las actividades de Seguridad de la Información, mejorando la motivación e implicación de los empleados
  • Analizar riesgos y establecer objetivos y metas que permitan aumentar el nivel de confianza en la seguridad
  • Planificar, organizar y estructurar los recursos asignados a seguridad de la información
  • Seleccionar controles y dispositivos físicos y lógicos adecuados a la estructura de la organización que aseguren el nivel necesario de disponibilidad, integridad, y confidencialidad de la información
  • Establecer procesos y actividades de revisión, mejora continua y auditoría de la gestión y tratamiento de la información
Pensar para luego actuar...
Ya acompañamos a la Organización a concientizarse, creamos un “lenguaje común” para comunicarnos, conocemos las herramientas, identificamos nuestras necesidades, ya “pensamos seguridad”... Ahora estamos en el momento de iniciar este camino para crear una experiencia propia, es el momento de trabajar.
Cada integrante de una Organización sin importar a que sector pertenezca o cual sea su función, tiene una responsabilidad sobre el tratamiento de la información, más allá del medio en que esté contenida y sin importar el ambiente en el que se encuentre. Un SGS Corporativo debe ser un punto de encuentro entre cada uno de los Sectores o Gerencias que componen a la Organización, donde cada uno conozca las necesidades de cumplimiento de Normativas de otras áreas y pueda expresar las propias, planteando soluciones y colaborando en este espacio compartiendo experiencias y conocimientos, proponiendo soluciones de trabajo en equipo.
Fabián Descalzo
https://ar.linkedin.com/in/fabiandescalzo

No hay comentarios.:

Publicar un comentario

Instagram @SchmitzOscar