LAS 11 MEJORES PRÁCTICAS DE PROTECCIÓN EN SEGURIDAD DE LA INFORMACIÓN

Los riesgos de seguridad de la información son numerosos y muy reales, dice Dejan Kosutic, experto en ciberseguridad. 

Por eso proteger nuestros activos es un deber y un derecho que requiere una dirección y un compromiso claros desde arriba, la asignación de recursos adecuados, arreglos para promover buenas prácticas de seguridad de la información en toda la organización y el establecimiento de un entorno seguro. 

Pero ¿cuáles deben ser esas prácticas que garantizaran la preservación de la confidencialidad, integridad y disponibilidad de la información en la organización? Hicimos un compendio y te contamos todo sobre las 11 más importantes.

• Investigar sobre la legislación y demás requisitos aplicables y cumplirlos: Antes de que la seguridad de la información fuese una preocupación tuya, en tu país seguramente hicieron algunas gestiones para lograr la protección, mediante leyes y reglamentos que abarcan desde la constitución nacional, el código penal y leyes de protección de datos. Por lo tanto, podrías empezar por consultar cuáles son esas leyes, cuáles de ellas aplican a tu negocio y a qué sanciones te enfrentas en caso de incumplir. No solo el Estado tiene requisitos, muchos proveedores, clientes y partes interesadas también cuentan con políticas que debes atender. En este sentido, también es necesario revisar las obligaciones contractuales, códigos, licencias, cláusulas, reglas de control de acceso, acuerdos de confidencialidad, derechos de autor, entre otros.
• Definir los beneficios de la SI para conseguir el apoyo de la alta gerencia: aunque seamos muy bienintencionados, nuestros planes no prosperarán sin el compromiso ni los recursos emanados por la alta gerencia. A ellos les compete tomar las mejores decisiones para la empresa y cuidar todo lo concerniente a la organización. Y esto puede lograrse si los directivos están bien informados y protegen la información al implementar controles eficaces. Si aún la gerencia no está convencida, puedes argumentar que si la organización se involucra en un proyecto de seguridad de la información (SI). Podrán cumplir con las leyes y requisitos en materia de SI y así evitarán multas y sanciones. Además, proteger la información es una ventaja competitiva capaz de generar confianza en clientes actuales y potenciales. ¿Aún no los has convencido? Cuéntales que los incidentes de SI son costosísimos a nivel económico, reputacional, financiero, administrativo y operativo. Un proyecto de SI puede salvarlos de la debacle gracias a controles preventivos y a la optimización de los procesos.
• Establecer los objetivos para la ciberseguridad: Sabemos que tu meta es la seguridad de la información, pero esto es demasiado amplio como para llevarlo a cabo de forma ordenada y medible. Cuando plantees tus objetivos deberías establecer qué se va a hacer, qué recursos se requerirán, quién será responsable, cuándo se finalizará y cómo se evaluarán los resultados, incluidos los indicadores de seguimiento de los avances. Estos podrían ser algunos ejemplos: Mitigar los riesgos en al menos 10% para finales del año 2022 o mejorar el desempeño de los controles en al menos 5% para finales del año 2022.
• Asignar responsabilidades y responsables: ¿Quién se encargará de qué? Parece sencillo, pero muchas veces el personal no tiene claro cuáles son sus obligaciones en materia de SI. Por eso debemos encargarnos de que no haya lugar a dudas. ¿Cómo empezamos? Una buena forma sería informar que todos los trabajadores de la organización deben involucrarse y todos tienen responsabilidades en cuanto a SI. Y todos deben ceñirse a la política de SI. Un documento que establece cuál es la posición de la empresa e identifica las funciones y responsabilidades de todos los empleados. Los proveedores, personal externo y terceros también deben cumplir con la política y procedimientos de la empresa. Lo adecuado sería proporcionar una estructura de gestión de arriba hacia abajo y un mecanismo práctico para coordinar los esfuerzos relacionados con la SI.
• ¿Cuál será el marco referencial para alcanzar la SI?: Existen diferentes métodos para implementar proyectos de seguridad de la información. Algunos de ellos son particularmente eficaces, como la norma ISO/IEC 27001. El estándar ofrece controles (solo debemos escoger los aplicables al negocio), ayuda a tratar riesgos e identificar oportunidades, entre otros. Podemos optar por otros marcos de referencia, todo dependerá de nuestros objetivos de SI, beneficios que deseemos obtener, obligaciones legales y contractuales.
• Hacer que la SI sea rentable: Vale la pena ser precavidos y eficientes, pero no es válido. Implementar controles innecesarios, que malbaratarán los recursos. Necesitamos crear controles para atender riesgos reales y significativos.
• Entender que la SI va más allá de la seguridad informática: una seguridad de la información eficaz requiere un enfoque integral y considerar todas las áreas de la empresa. Debe ir más allá del alcance estrecho de TI y abordar los problemas de la organización. Si los controles de seguridad fallan, la totalidad de la compañía puede verse comprometida para seguir laborando, por ejemplo. Y eso atentaría contra la continuidad del negocio.
• Organizar la implementación: No te queremos engañar, un proyecto de SI es complejo y hay que estructurarlo de manera ordenada. Para eso te pediremos que concretes: qué quieres lograr, quién será el responsable del proyecto, qué persona de la alta gerencia se involucrará, cuáles serán los pasos a seguir y en qué tiempo deberán lograrse los objetivos y cuáles serán estos. También será fundamental determinar qué recursos se necesitarán. Si se requerirán servicios de consultores externos o se formará al personal existente, decidir si se implementará un sistema de gestión y se certificará este y qué equipos de tecnología debemos adquirir.
• Implementar las medidas de protección, evaluación y mitigación de riesgos: parte de un proyecto de SI es saber cuáles son los riesgos que acechan a la organización y cuáles son las formas más directas, económicas y efectivas para mitigarlos. Con esa base estableceremos controles, medidas y un plan de acción.
• Capacitación y concienciación: Asegurar la protección de la información es difícil. Hay que conducirse con mayor cuidado, memorizar contraseñas largas que hay que cambiar cada cierto tiempo, prestar mayor atención a leyes y reglas, aprender… Esto hace que haya que explicar a los empleados por qué es importante preservar la SI, por qué estos esfuerzos valen la pena, qué ganan con la protección de datos y cómo podemos lograr nuestros objetivos. Las inducciones, videos explicativos, charlas y entrega de material didáctico nunca estarán de más.
• Esto nunca termina: La seguridad de la información debe reevaluarse periódicamente. Como ocurre con todo, las necesidades, obligaciones, procesos, empleados, objetivos y leyes cambian. Un buen programa de seguridad de la información debe ser reevaluado al menos una vez al año. Las revisiones por la dirección y auditorías pueden ser de gran ayuda para revisar los resultados de mediciones, de auditorías internas, qué incidentes se han presentado, nuevas amenazas identificadas, inversiones necesarias, propuestas de cambio en la política, entre otros.

Tomado de: https://www.isotools.org/

ISO 27002. LA IMPORTANCIA DE LAS BUENAS PRÁCTICAS EN LOS SISTEMAS DE SEGURIDAD DE LA INFORMACIÓN

El objetivo que persigue la norma ISO 27002 es que la organización conozca de forma precisa todos los activos que posee. 

Esta información es una parte muy importante de la administración de riesgos.

Algunos ejemplos de activos son:

• Recursos de información: bases de datos y archivos, la documentación de los sistemas, los manuales de usuario, el material utilizado durante la capacitación, los procedimientos operativos, los planes de continuidad y contingencia, etc.
• Recursos de software: software de aplicaciones, sistemas operativos, herramienta utilizadas para llevar a cabo los desarrollos, etc.
• Activos físicos: equipamiento informático, equipos de comunicación, mobiliario, etc.
• Servicios: los servicios informáticos y de comunicaciones.

Los activos de información tienen que estar clasificados según la sensibilidad y criticidad de la información que contienen o que se dedican a cumplir con el objetivo de establecer como se debe tratar y proteger la información.

Las pautas de clasificación deben prever y contemplar el hecho de que la clasificación de un ítem de información determinado no necesariamente tiene que mantenerse de forma invariable por siempre, y que se puede cambiar según la política determinada por la propia organización. Es necesario que se considere la cantidad de categorías a la hora de definir toda la clasificación según los esquemas que se pueden llevar a cabo de forma compleja en la organización y pueden resultar muy poco prácticos.

La responsabilidad sobre los activos

Según establece la norma ISO 27002 es necesario justificar los activos y que cuenten con un propietario que debe estar correctamente identificado. Los propietarios de los activos tendrán la responsabilidad de mantener los controles necesarios.

La implantación de los controles específicos se puede delegar por parte del propietario de forma conveniente. No obstante, el propietario será el responsable de la adecuada protección de todos los activos.

La persona o entidad que será la responsable de un activo, debe contar con la aprobación del órgano de dirección, para establecer el control de la producción, el desarrollo, el mantenimiento, la utilización y la seguridad de todos los activos. 

El término propietario no significa que la persona responsable disponga de los derechos de propiedad reales del activo, simplemente se dedica a proteger que no le suceda nada.

Será necesario realizar y mantener un inventario de activos de información, que debe ser mostrado a los propietarios de los activos y los detalles relevantes.

Utilizar un código de barras facilita las tareas que se deben realizar a la hora de hacer inventario y vincular los equipos de TI que entran y salen de las instalaciones.

¿Cuáles son las actividades de control del riesgo que se llevan a cabo?

Las actividades de control de riesgos que se tienen que llevar a cabo son:

• Realizar un inventario de activos. Todos los activos deben encontrase claramente identificados, confeccionados y mantenidos en un inventario.
• Proteger la propiedad de los activos. Todos los activos del inventario deben estar asociados a un responsable designado por la organización.
• Uso aceptable de los activos. Se tendrá que identificar, documentar e implementar la regulación para el uso adecuado de la información y los activos que se encuentran asociados a recursos de tratamiento de la información.
• Devolución de los activos. Una vez que finalice el acuerdo, los responsables deberán devolver todos los activos a la organización, por este motivo es necesario que cuenten con un contrato de prestación de servicios. 

El objetivo de ISO 27002 es que la organización conozca todos los activos que posee, ya que es un parte muy importante de la administración de riesgos.

Clasificar la información

Es necesario que se realice una clasificación de la información en la que se indica la necesidad, las prioridades. También habrá que clasificar el nivel de protección que se necesite para llevar a cabo el tratamiento.

La información tiene diversos grados de sensibilidad y criticidad. En algunos casos se pueden requerir niveles de protección que resulten adicionales o de un tratamiento especial. Tiene que utilizarse un esquema de clasificación de la información con el que se definirán de forma adecuada los niveles de protección. También se comunicará la necesidad de las medidas especiales para llevar a cabo el tratamiento adecuado.

Es necesario que se distingan todos los requisitos de seguridad, según el acuerdo alcanzado con el riesgo. Es necesario que se comience por controlar la confidencialidad, pero no olvide los requisitos de integridad y disponibilidad.

Las actividades que se realizan para establecer el control del riesgo

• Clasificación. La información se tendrá que clasificar en relación al valor que tenga, los requisitos legales, la sensibilidad del documento y lo crítico que sea para la empresa.
• Etiquetado y manipulado de la información. Se tendrán que llevar a cabo una serie de procedimientos para establecer un etiquetado y tratamiento de la información según el esquema de clasificación que se ha realizado por la empresa.
• Manipulación de los activos. Se tienen que desarrollar e implementar procedimientos para la manipulación de todos los activos según el esquema de clasificación que se ha generado por la propia empresa.

Tomado de: https://www.isotools.org/

CONDICIONANTES ESTRATÉGICOS DE LA RENTABILIDAD DE UN NEGOCIO

Desde su publicación, el libro de Michael Porter sobre las estrategias competitivas, ha sido motivo de estudio en la práctica totalidad de las universidades de económicas y negocios.

Hasta su publicación la definición de una estrategia competitiva era algo que pasaba desapercibido y pocas organizaciones hacían este planteamiento, al menos de forma consciente y de forma metodológica.

Posteriormente han llegado otras teorías para la estrategia competitiva como la de Océano Azul, que se orienta a la generación de espacios competitivos en nuevos mercados sin ocupar, o enfoques alternativos como el propuesto por Martin Reeves, Knut Haanaes, Janmejaya Sinha en el que, al considerar que algunas variables son predecibles y estables y otras no, define cuatro escenarios estratégicos permitiendo una visión más amplia (y para muchos real) del mercado competitivo, ayudando así a tomar decisiones más acertadas. 

El mercado ha evolucionado desde la publicación en la década de los 80, está claro, pero la forma de competir entre las organizaciones es muy similar, con lo que el modelo sigue siendo de aplicación.

Para la determinación de la estrategia competitiva a emplear, Michael Porter sugiere el análisis de lo que denomina las cinco fuerzas competitivas o barreras de entrada que pueden existir en un mercado concreto. Aunque actualmente podríamos añadir algunas más, estas son las que sugiere el modelo:

Amenaza de entrada de competidores

Antes de entrar en un mercado se deberán analizar las barreras de entrada de nuevos competidores y nuestra posición o capacidades para afrontar estas barreras de entrada. Si son pocas o fáciles de superar y el mercado puede llegar a ser interesante, otros competidores podrían acceder fácilmente haciendo que la cuota de mercado disponible fuera menor para cada actor.

En caso de existir pocas barreras de entrada deberíamos analizar la capacidad de diferenciación y liderazgo en el mercado que podríamos ejercer.

Poder de negociación con proveedores

En mercados muy especializados o en los que existen pocos proveedores (ya sea de servicios tecnológicos, maquinaria o materias primas), el poder de negociación de los mismos suele ser alto y estar condicionados por los actores que ya se encuentran operando con ellos. Si el acceso a este tipo de proveedores es complejo o su poder de negociación demasiado alto como para permitir una entrada rentable en el mercado, se deberán buscar alternativas o plantear estrategias de diferenciación en las que la influencia de ciertos proveedores quede mermada.

Poder de negociación con clientes

Existen mercados muy regulados o en los que los consumidores actúan en asociación unos con otros. Un sector en el que la mayor parte de los clientes compren a través de centrales de compra, con altos volúmenes (y por tanto capacidad de negociación), puede hacer que los precios de venta no sean los esperados y con esto la rentabilidad se vea mermada respecto a las expectativas iniciales. Esto también supondrá una barrera de entrada al mercado y, en función de su importancia, se deberá escoger una estrategia competitiva que permita aumentar el poder de negociación de la organización con el consumidor o la asociación de estos.

Amenaza de productos sustitutivos

En mercados excesivamente dominados por las modas, con demandas cambiantes y productos poco especializados, la amenaza de entrada de que un nuevo producto que atiende a las mismas necesidades básicas que el que ya se encuentra en el mercado impacte de forma negativa en la rentabilidad de la organización, es elevada. En este sentido la organización deberá estar prevista y reaccionar rápidamente, necesitando por tanto una estrategia competitiva que le permita la movilidad y una alta capacidad de respuesta.

Rivalidad en la industria

Esta rivalidad dependerá en gran medida de la posición competitiva que tengan los distintos actores del mercado. Para determinarla se suele utilizar la matriz de posicionamiento en el mercado, que nos ayudará a visualizar como están compitiendo quienes ya se encuentran operando. Si esta rivalidad es alta será necesaria una estrategia que permita, o bien entrar con fuerza en el mercado liderando los costes y arrebatando clientes a los competidores actuales, o bien una estrategia que permita la diferenciación clara para hacerse con un hueco en el mercado sí que la alta competitividad afecte negativamente a un negocio incipiente y, por tanto, frágil.

Para cada uno de estos condicionantes será necesario un análisis pormenorizado y un sistema que nos permita ver todo este análisis en su conjunto para, así, determinar la estrategia que puede llevar a la organización al éxito en el mercado.

Tomado de: https://www.isotools.org/

HOSHIN KANRI: MÉTODO PARA DIRIGIR Y MOTIVAR A LAS ORGANIZACIONES

Hoshin Kanri es un enfoque sistemático aplicado en la década de 1950 como parte del enfoque del modelo Toyota para la gestión, y se convirtió en uno de los elementos fundamentales en la cultura de las organizaciones japonesas.

El término Hoshin Kanri tiene cuatro componentes:

• Ho: significa Dirección.
• Shin: se refiere a Foco.
• Kan: se refiere a la Alineación.
• Ri: significa Razón.

También es conocido como metodología de “despliegue de políticas” y está orientado a alinear los objetivos de alto nivel en cascada con cada función de la organización, usando de manera efectiva y sistemática las herramientas para la mejora continua.

Uno de los errores más comunes en las organizaciones, es la disrupción de la estrategia con la operación, en efecto, hoy por hoy es un factor diferenciador en el éxito, la capacidad que tiene la organización de alinear los objetivos a todos sus colaboradores hacia metas comunes.

Es un reto, incluso para las grandes empresas, conseguir el compromiso de todos con la mejora continua, de manera que, la suma de los esfuerzos individuales en el cierre efectivo de las acciones planificadas, permita el logro de las metas del equipo, y en conjunto que las sumas de las metas de los equipos permitan lograr los objetivos y las estrategias gerenciales.

Es importante entender que el corazón de esta metodología se basa simplemente ir fijando objetivos específicos, medibles y exigentes en cada equipo, de forma que el solo hecho de medir el progreso es muy motivador, pues implica un reconocimiento implícito a la labor, tanto grupal como individúala, aun cuando no haya siempre premios tangibles asociados al éxito, es como si fuese una sana competencia perenne.

7 pasos Hoshin Kanri para ir de la estrategia a la acción

El término abarca 7 pasos clave de la gestión empresarial, en los que deriva su poder para transformar negocios en competidores exitosos, de la siguiente manera:

• Definir una Visión compartida: Establecer la misión, la visión y documentar el estado actual. Las metas, objetivos futuros de la organización se derivan de la Visión, y a su vez deben estar alineados con su misión y sus valores en una estratégica objetiva.
• Desarrollar la estrategia: Determinar la estrategia y los objetivos crucialmente importantes, es un factor clave, direccionar los esfuerzos de manera efectiva, esto implicar definir claramente las estrategias, objetivos y metas a lograr en un umbral a largo plazo. El modelo Hoshin Kanri propone alcanzar metas grandes y significativas que cambien positivamente la organización
• Desarrollar los objetivos: Determinar objetivos. El modelo Hoshin Kanri se caracteriza porque los grandes objetivos de largo plazo, se dividen en metas más pequeñas en plazos más pequeños, usualmente anuales, por consiguiente al responder a la pregunta ¿Qué tendremos que alcanzar al final de cada año para que después de x años lleguemos al objetivo deseado? Se identifica las necesidades de distribución de metas en los diferentes responsables de procesos involucrados con el resultado esperado. 

Es importante saber que Hoshin Kanri se basa en fijar objetivos específicos, medibles y exigentes en cada equipo. 

• Implementación de Objetivos en forma de cascada: El despliegue de los objetivos debe realizarse en todos y cada uno de los niveles de gestión mediante un proceso en cascada, arriba hacia abajo. En este proceso se debe tener en cuenta la comunicación constante entre los niveles estratégicos, tácticos y operativos para informar el desempeño y las deviaciones importantes en los resultados alcanzados.
• Seguimiento de los objetivos anuales: Es primordial medir el avance y realizar seguimiento a los resultados de la consecución o no de los objetivos anuales, para ello realizan las mediciones de los indicadores definidos, se pueden utilizar herramientas automatizadas u otros mecanismos, que optimicen este proceso.
• Control de los objetivos: Debe haber un ciclo de retroalimentación de resultados para completar el control de los resultados, de modo que se pueda analizar las variaciones en los resultados y sus relaciones de causa – efecto, se pueden hacer revisiones en periodos inferiores (mes, trimestre, cuatrimestre o semestre) y en función de los mismos, se debe definir Planes de Acción, Medidas correctivas y Controles preventivos.
• Revisión Integral y Mejora: El enfoque de la mejora del Hoshin Kanri se incluye a todos los niveles y colaboradores de la organización, no solo a los procesos de realización del producto o servicio que se entrega al cliente, en efecto se deben realizar auditorías y/o evaluaciones anuales, para verificar el cumplimento de los objetivos del último año, el progreso hacia los objetivos finales, evaluar el estado actual y establecer los objetivos para el próximo año.

¿Cuáles son los beneficios de la metodología de Hoshin Kanri?

Algunos de los beneficios principales del Hoshin Kanri como método de direccionamiento estratégico son:

• Convertir los objetivos de alto-nivel, a nivel-ejecutivo y finalmente a acciones factibles y cuantificables.
• Implanta un sistema que motiva a los colaboradores a participar activamente en los resultados, analizando las situaciones, creando planes de mejora, dirigiendo controles de logro y tomando las acciones apropiadas.
• Resume las medidas más importantes para aprender y seguir el progreso hacia metas de mejora más exigentes.
• Integra metodologías de gestión como Calidad Total (TQM) y el ciclo PHVA (Planificar-Hacer-Verificar-Actuar), también conocido como ciclo PDCA, (Plan-Do-Check-Act). 

Tomado de: https://www.nueva-iso-9001-2015.com/