Información útil para Profesionales y Empresas
En el marco de la semana de la Seguridad Informatica participaremos en los encuentros de concientización de:
Ministerio de Trabajo, Empleo y Seguridad Social
https://seguridadinformatica.sgp.gob.ar/?p=716
Consorcio de Universidades Nacionales, área de Auditores Internos
En ambos casos se abrdará el Tema de la Ley de Protección de Datos Personales
Iniciamos con esta entrega una serie notas para desarrollar la integración de la Seguridad de la Información con otras normativas de Gestión.
Estas notas se distribuyen en el Newsletter Perspectivas Informáticas, pero para aquellos que no acceden podrán tomarlas de este blog
Por la Dra. Silvia Iglesias
Las organizaciones enfrentan la necesidad de ganar mercados cada vez más selectivos a la hora de elegir. Cuando la economía mundial está estable optan por los mercados menos exigentes sacrificando la posibilidad de crecer. En momentos de crisis esos son los primeros mercados en sufrir bajas importantes en el consumo y rápidamente las organizaciones sienten el impacto en sus operaciones económicas. Los mercados más exigentes en periodos de crisis restringen el consumo y se tornan más exigentes en sus requerimientos.
Las normas de Calidad en la última década se tornó una barrera infranqueable para el comercio con los mercados formados por los países más ricos y desde los últimos cinco años comenzó a serlo la Responsabilidad Social.
Las empresas que operan el mercado nacional también enfrentan la necesidad de adherir a estas normas, porque es requisito para ser proveedor de organizaciones internacionales que operan en el país, o bien porque el propio Estado lo exige mediante normas legales , como ocurre con la Responsabilidad Social tanto a nivel nacional (Ley 25.877 Art 25) como a nivel de la ciudad de Buenos Aires (Ley 2.494)
Sin embargo estos requerimientos son para las empresas que saben como implementar correctamente estos sistemas de gestión, una ventaja competitiva frente a las que implantan los sistemas solo para obtener un certificado que mostrar a sus clientes y proveedores, incluyendo los potenciales. Claro esta que el consumidor si bien puede verse muy entusiasmado al ver estas constancias expuestas en las publicidades de las organizaciones, al verificar la gestión rápidamente puede evaluar si el sistema de Calidad o el de Responsabilidad Social cumple con sus expectativas. En este punto cabe aclarar que el elemento que caracteriza cualquier sistema de gestión es la mejora continua y que las expectativas de las partes interesadas (stakeholders) son elementos importantes más en los que tienen implementadas política de Responsabilidad Social que en los que cumplen normas de Calidad. Como ejemplo puedo decir que si una empresa se dice Socialmente Responsable y yo como cliente no logro comunicarme por ninguno de los medios puestos a mi disposición para efectuar un reclamo, más a allá de si la empresa incumple con la Ley del Consumidor vulnera mucho más su imagen como empresa Socialmente Responsable.
Los sistemas antes mencionados pueden tener fallas en su implantación y/o en su diseño pero todos se sustentan en la información. La información por si misma es uno de los bienes más preciados en cualquier organización. Imprescindible a la hora de la toma de decisiones por los responsables de la gestión de las entidades, es además el elemento fundamental para que toda organización pueda desarrollar las tareas que conduzcan a los objetivos de la misma. No importa si esta soportada en sistemas informatizados o no, si se pierde el archivo maestro de clientes o se mojan las fichas Nro.3 con la cuenta corriente del cliente, el desastre es igual: la empresa no podrá gestionar cobranza y tal vez facturar hasta que no recupere la información siniestrada.
Es por eso que la columna vertebral de cualquier sistema de Calidad o de Responsabilidad Social es que la información cuente con atributos de confidencialidad, integridad y disponibilidad.
Decimos que la información es confidencial cuando el acceso a la misma está limitado a las personas autorizadas. Como ejemplo la nómina de sueldos siempre ha sido información restringida dentro de las organizaciones; la pugna de los sindicatos por acceder a los resultados de las compañías es histórico, y al hablar de resultados me refiero no al resultado técnico de la valuación que figura en cualquier balance sino al flujo de ingresos y egresos.
La integridad es el atributo que nos permite confiar en la información que se nos brinda. Si la información no es íntegra tal vez falte la actualización del domicilio del cliente y por lo tanto no pueda gestionar la cobranza o la facturación. Si la información no refleja las operaciones tal como suceden la toma de decisiones puede ser errada. Alguien se imagina tomando decisiones comerciales sobre una cartera de clientes cuya información se corrompió y carece del atributo de antigüedad de deuda, morosidad e incobrabilidad.
La disponibilidad es uno de los atributos que más se traslucen cuando hablamos de Gestión de Calidad. Cuantas veces llamamos a una organización y escuchamos del otro lado una frase del tipo: “en estos momento estamos sin sistemas, porque no nos llama más tarde”. Con o sin sistema de información cualquier Banco debe atender los requerimientos de depósitos, retiros y transferencias de sus clientes y como organización deberá encontrar la forma de operar cuando el sistema informatizado no funciona.
Ante todo lo dicho hasta este punto, esta claro la necesidad de contar con una herramienta que nos permita gestionar la información para que los atributos puedan cumplirse, esa norma es la ISO/IEC 27002 (ex 17799) de Seguridad de la Información.
Esta norma establece que “La seguridad de la información se logra implementando un conjunto adecuado de controles, que incluye políticas, procesos, procedimientos, estructuras organizacionales y funciones del software y del hardware. Estos controles se deben establecer, implementar, supervisar, revisar y mejorar, cuando sea necesario, para garantizar que se alcancen los objetivos específicos de seguridad y los objetivos de negocio de la organización. Esto debe realizarse en conjunto con los otros procesos de la gestión del negocio.”
Con esta definición deja en claro que debe integrarse a todos los sistemas de gestión y no ser un sistema aparte. Esta integración es la que trataremos de explicar en las entregas posteriores
Ultimos Comentarios