jueves, 8 de agosto de 2019

BUSINESS INTELLIGENCE: UNA REVOLUCIÓN EN LAS ORGANIZACIONES


No es difícil encontrarnos hoy en día, términos como Business Intelligence o Big Data, todo ello como consecuencia de los grandes avances en cuanto a la gestión de la información y los datos.

Estos términos, surgen, en gran parte, por la llegada de la cuarta revolución industrial (Industria 4.0) de la que ya hemos hablado en algunos de nuestros artículos anteriores.



No obstante, es preciso comenzar este artículo, aclarando la diferencia entre ellos, para proceder, posteriormente, a conocer la repercusión del Business Intelligence en las organizaciones de todo el mundo.

Digamos que, el Big Data, permite dar tratamiento a un volumen inmenso de datos y a una gran velocidad y son las herramientas del Business Intelligence, las que nos permiten analizar todos esos datos, para generar modelos predictivos que ayuden a tomar decisiones estratégicas dentro de la empresa.

Por consiguiente, el aporte que el Business Intellligence tiene en cualquier organización, es evidente.

En definitiva, el mundo que nos ha tocado vivir, gira en torno a la disponibilidad de la información y la gestión que hagas de ella. Estamos totalmente interconectados.

Origen del Business Intelligence

Puede que los lectores piensen que el término de Business Intelligence es de origen reciente, pero nada más lejos de la realidad.

Originalmente, Hans Peter Luhn, como investigador de IBM, escribió en 1958 un artículo denominado “A Business Intelligence System”, en el cual describía el Business Intelligence de una forma muy básica. Traducido, dice así:
“La habilidad de aprender las relaciones de hechos presentados de forma que guíen las acciones hacia una meta deseada”.
No obstante, fue Howard Dresner en 1989 quien introdujo con fuerza este concepto, dados los avances informáticos que se sucedieron durante aquellos años, como:
  • Bases de datos muy básicas (1969).
  • Primeras aplicaciones para empresas (SAP, Siebel, etc.), años 70.
  • Datawarehouse o base de datos corporativa y los primeros sistemas de reporte (1980).
Desde ese entonces y hasta el día de hoy, la actividad económica de las empresas gira en torno a estos sistemas, siendo la explotación de datos y manejo de la información, las principales armas para montar estrategias.

Tanto es así, que el tráfico de información es una de las prácticas más extendidas, y por ello, es preciso utilizar soluciones tecnológicas que nos ayuden a mantener toda nuestra información a salvo, segura y accesible.



Revolución del Businesss Intelligence en las empresas

En este punto, la definición de Business Intelligence está clara. El Business Intelligence aporta las herramientas necesarias para poder tratar todos los datos procedentes de diferentes fuentes, ya sea de sus clientes, competencia o del entorno en general.

De esta manera, ayuda a las organizaciones a generar información que será utilizada para diseñar estratégicas determinantes y con enfoques muy específicos.

Es decir, los datos y la información son el activo más importante que puede tener cualquier empresa, institución u organismo, ya sea público o privado. Además, en la mayoría de las ocasiones, es determinante para el éxito o fracaso.

A pesar de que el Business Intelligence no es tan reciente, en la actualidad ha adquirido un desarrollo tal que, a un solo clic, se pueda clasificar la información según diferentes características, ya sea edad, intereses, sexo, etc.

Así, el objetivo principal de todo este sistema es saber qué quieren los clientes, para crear un producto adaptado a sus necesidades y expectativas, y sea atractivo para su compra.

La mayor ventaja radica en la fluidez en la toma de decisiones durante los comités de dirección, gracias, a herramientas como el Dashboard para presentar los datos.

Obtención de información

Cualquiera que quiera mantenerse exitoso en el mercado cambiante y en constante evolución, debe innovar.

Antiguamente, para conseguir información se tenía que investigar durante años para generar informes de contenido relevante. Y no siempre era de fiable o precisa.

En la actualidad, y con todos los desarrollos antes mencionados, arruinar una empresa u obtener información a golpe de clic es un hecho.

La revolución generada por el Business Intelligence, ha supuesto un cambio enorme para las organizaciones de todo el mundo, ya que es más fácil conocer el mercado y afinar en sus productos o servicios ofrecidos.

Una consecuencia de ello, es un hecho cotidiano que le ocurre cada día a cualquier persona que busca un producto o servicio por internet. Al instante de realizar la búsqueda, hay sugerencias, en forma de anuncios, de cientos de productos similares con diferentes ofertas.

Tomado de: https://www.isotools.org

ISO 27001 ¿CÓMO GESTIONAR LA FINALIZACIÓN O CAMBIO DE TRABAJO DE UN EMPLEADO?


Con el paso del tiempo las relaciones existentes entre las personas y las organizaciones cambian. Es un proceso natural, por lo que las condiciones laborales cambian también. 

Los contratos finalizados conducen a la terminación de las relaciones laborales, y las nuevas oportunidades hacen que las personas se reubiquen en nuevos puestos de trabajo.

Las empresas normalmente tienen procesos para acomodar a las personas en estas nuevas situaciones, aunque a menudo se descuida cual es el nivel de conocimiento e información que maneja el empleado en cuestión para poder realizar sus tareas, lo que puede representar riesgos inaceptables para la organización.

La norma ISO 27001 Sistema de Gestión de Seguridad de la Información, aborda las alteraciones en el estado laboral de los trabajadores y sus prácticas pueden ayudar a las empresas a proteger su información en estas situaciones.

¿Por qué preocuparse por las personas que abandonan su organización o cambian de puesto?

Cuando una persona deja la empresa, ésta ya no se encuentra bajo su control, por lo que cualquier activo o información que esté bajo su posesión que no puede identificarse ni recuperarse puede ser utilizado para su beneficio propio y la organización no podría tomar medidas.

También se puede dar el caso de que una persona cambie de posición o rol dentro de la organización.

Cuando alguien deja la empresa, a menudo es más difícil, si no imposible, que tenga acceso a nueva información. Por otro lado, cuando alguien cambia su posición o rol dentro de la organización, puede comenzar a acumular privilegios de la posiciones o roles antiguos y nuevos.

Los privilegios que se acumulan pueden permitir que el empleado vea información confidencial que no deba ver o pueda realizar acciones que normalmente no están disponibles para él o que requieran la acción de dos personas.

Manejo de terminación y cambio de empleo con ISO 27001

Para los posibles riesgos de seguridad de la información que puedan traer impactos significativos a la empresa, la norma ISO 27001 control A.7.3.1 “Terminación o cambio de responsabilidades laborales” requiere la aplicación de diferentes prácticas como pueden ser:
  • Definición de responsabilidades y deberes que permanecerán después de terminar el trabajo, y por cuánto tiempo deberá permanecer.
  • Con respecto al cambio de empleo, se deberá definir el acceso y los privilegios que se deben mantener o revocar considerando la nueva posición o rol y la política de control de acceso. Estos ajustes se pueden realizar antes de que la persona comience a trabajar en la nueva posición.
  • Es importante mantener una buena comunicación, no solo con la propia persona, sino también con los demás empleados, clientes, proveedores y otras partes interesadas, sobre la terminación o cambio que se ha producido en el trabajador. En algunos casos, incluso los competidos deben estar informados, por lo que pueden ser conscientes de que la información facilitada por una persona que abandonó la organización puede ser delicada y la empresa puede tomar acciones legales en el caso de que obtengan algún beneficio de la utilización de dicha información.
  • Aplicación de responsabilidades y deberes definidos mediante el uso de acuerdos de confidencialidad y cláusulas sobre contratos de trabajo, así como mediante sesiones periódicas de concienciación. En la mayoría de los casos, estas acciones preventivas son muy efectivas para minimizar los posibles riesgos.
Es importante señalar que las practicas se deben aplicar no solo en los empleados propios de la empresa, sino también a los contratistas. Las prácticas que se aplicarán, y su nivel de detalle o complejidad, deben estar respaldadas por los resultados de una evaluación de riesgos o los requisitos legales aplicables. Es necesario tener en cuenta la sensibilidad de la información involucrada.

Para la empresa, la función de recursos humanos, junto con los gerentes directos, deberá garantizar que las prácticas se implementen de forma efectiva. Es una responsabilidad de dos personas, porque los trabajadores de recursos humanos son responsables de las políticas y procedimientos que involucran a los empleados, los gerentes directos saben qué información deberá protegerse para cada rol.

En el caso de que el personal sea subcontratado, estas prácticas deben ser aplicadas por las partes externas, mediante contratos o acuerdos de servicio firmados entre la empresa y las partes externas.

Cuando las personas se van, no dejen las puertas abiertas

Los casos en los que se ha podido identificar qué información confidencial ha sido revelada por ex empleados que comenzaron a trabajar para competidores, o que los trabajadores con ciertos privilegios han sido sorprendidos cometiendo fraude, ya que no es difícil de encontrar información por internet.

La falta de control sobre cómo las personas deben manejar la información cuando salen de la empresa, o cuando se mueven de un puesto para comenzar uno nuevo, generalmente es la causa raíz de estos casos, y las empresas deben comenzar a prestar atención para evitar que sucedan dichos incidentes. Al adoptar las prácticas que establece el Sistema de Gestión de Seguridad de la Información basado en la norma ISO 27001 se puede terminar de forma adecuada con las relaciones laborales y cambiar las funciones de los empleados de forma muy organizada. Las empresas pueden implantar acciones preventivas sólidas que minimizan los riegos de comprometer información valiosa, además de proporcionar una base para disminuir los impactos ocasionados.


Tomado de: https://www.pmg-ssi.com

¿CUÁLES SON LOS TIPOS DE SEGURIDAD QUE EXISTEN EN ISO 27001?


A través de las directrices que aporta la norma ISO 27001, cualquier empresa puede obtener una protección de sus datos e información más sólida, gracias a la ayuda que supone frente a la evaluación y la ejecución de controles de seguridad de la información.

Esto indica que, los ataques a cualquier tipo de software, robos de propiedad intelectual o, incluso, sabotajes son diferentes formas de atentar contra la seguridad de la información, por lo que representan un serio riesgo para las organizaciones.

En este sentido, la norma ISO 27001 sobre sistemas de gestión de seguridad de la información es una gran opción frente a la protección de sus datos, ya que las consecuencias derivadas de los riesgos de seguridad pueden ser muy graves.

Así, la norma ISO 27001, le ayuda a generar y mantener los controles suficientes y necesarios para mantener protegida a su empresa.

Familia ISO 27000 para la seguridad de la información

Cualquier organización, quiere que su información permanezca segura y accesible, ya que se trata de uno de sus activos de mayor valor, por lo que cualquier violación a sus datos, supone, en términos de pérdidas, un coste muy alto.

Por consiguiente, los controles que se establezcan, tiene que ser lo suficientemente estrictos como para que aseguren la protección y la monitorización regular, para tener la capacidad de mantenerse actualizados y protegidos frente a riesgos cambiantes.

Especificación técnica ISO / IEC TS 27008

Así, la norma ISO 27008 sobre Tecnologia de la información, técnicas de seguridad, nos indica las directrices para la evaluación de los controles de seguridad de la información.

De esta manera, nos proporciona la orientación necesaria para realizar la evaluación de todos y cada uno de los controles implantados, de manera que se pueda garantizar que sean los más adecuados para su propósito, además de efectivos y eficientes.

Importante es, además, que se encuentren alineados con los obejtivos identificados por la empresa.

Ahora bien, la especificación técnica (TS en inglés), ha sido actualizada no hace mucho, con objeto de alinearla con las nuevas ediciones de otras normas internacionales, que son complementarias, y también destinadas a la seguridad de la información.

Así tenemos:

  • ISO / IEC 27000: sobre descripción general y vocabulario.
  • ISO / IEC 27001: sobre requisitos.
  • ISO / IEC 27002: sobre código de práctica para los controles de seguridad de la información.

En definitiva, la ISO / IEC TS 27008 será la norma internacional que ayudará a las empresas a evaluar y revisar sus controles a través de la implementación de la norma ISO 27001 de sistemas de gestión de seguridad de la información.

La norma ISO 27001 frente a los ataques cibernéticos

En definitiva, en un mundo en el que cada vez tienen lugar mayor número de ciberataques y, que estos, son cada vez más difíciles de detectar y prevenir, la evaluación y revisión de los controles de seguridad existentes, tiene que llevarse a cabo de una forma periódica y considerarse como un aspecto fundamental y propio de los procesos de negocio de cualquier empresa.

Además, con la ayuda de la norma ISO / IEC TS 27008, las empresas podrán confiar en que sus controles serán mucho más efectivos, adecuados y apropiados para mitigar los riegos de seguridad de la información a los que tiene que enfrentarse la empresa.

Por otro lado, la ISO / IEC TS 27008 beneficia a organizaciones de todos los tipos y tamaños, como el resto de normas internacionales.

Es decir, independientemente de que sean públicas, privadas o sin fines de lucro, del tamaño, de la actividad, etc., pueden implementarla y complementarla con el sistema de gestión de seguridad de la información definido en ISO / IEC 27001.

Formas de procurar la seguridad de la información

A pesar de que la norma ISO 27001 aporta la forma en la que gestionar la seguridad la información y establecer los controles necesarios, mantener unas buenas prácticas en cuanto a la seguridad de la información es fundamental.

Entre ellas, no está de más conocer los diferentes tipos de seguridad con la que podemos encontrarnos:

Seguridad en la red

Conocida como network security, es la encargada de proteger en sí, la red de cualquier organización, tanto nivel de hardware como de software.

Ciberseguridad

También llamada cybersecurity o internet security, tiene como objeto prevenir y proteger de los ataques de origen cibernéticos, por lo que se centra especialmente en la información que se envía y recibe en los navegadores.

Seguridad en la nube

También denominada Cloud Security es una de las que está adquiriendo mayor importancia y relevancia en la actualidad. Se trata de trabajar desde la nube con las diferentes herramientas y servicios de los que dispone la empresa.


Tomado de: https://www.isotools.org