jueves, 6 de julio de 2017

ES EMPRESARIO Y NO SABE CÓMO POSICIONAR SUS PRODUCTOS Y SERVICIOS? CONTÁCTENOS..!


Cel: 3118116991 

LA SEGURIDAD DE LA INFORMACIÓN EN LAS EMPRESAS

Disponer de información es esencial para la correcta realización de las actividades diarias en las organizaciones, por lo que contar con un correcto sistema de seguridad sobre ella es esencial para el futuro y el éxito de la empresa.
Actualmente, las empresas comprenden y conciben que la seguridad de la información de que disponen es esencial para garantizar su éxito empresarial y su futuro en el mercado, sin embargo, en muchas ocasiones, hay un gran camino que recorrer entre este reconocimiento y la aplicación de las distintas medidas que garantizan esta seguridad. 

Además también se suma y hay que tener en cuenta la cada vez más específica, detallada y  amplia legislación que se aplica a la gestión de la información como la Ley Orgánica de Protección de Datos o LOPD que también influye en la relación de las empresas con la información que utilizan para llevar a cabo correctamente sus gestiones.

El camino entre el reconocimiento y la aplicación en la seguridad de la información.
Hay un gran camino que recorrer entre el reconocimiento y la aplicación de las distintas medidas que garantizan la seguridad de la información en las empresas.
En el momento actual se ha potenciado en muchos medios de comunicación la importancia de la seguridad de la información y las leyes aprobadas en los últimos tiempos solo vienen a aumentar más su relevancia. Sin embargo, se ha producido un doble contrasentido ya que a la vez que se da importancia a la información, se produce un desconocimiento de las medidas necesarias y los pasos que hay que dar y establecer para protegerla, así como de su carácter esencial en la empresa y de las implicaciones posibles de no llevar a cabo estas medidas de protección.

Por ejemplo, se ha hecho habitual que se mencione cada vez más la LOPD o Ley Orgánica de Protección de Datos, pero de la misma forma que se conoce el nombre de la ley se desconocen los puntos que abarcan, así como el hecho de que el incumplimiento de las medidas en ella indicadas puede suponer para la empresa, en algunos casos, unas multas de una considerable cuantía, mayor en relación al riesgo de la información que la empresa dispone.

Por lo que debemos preguntarnos: ¿Las organizaciones protegen adecuadamente la información de que disponen o simplemente han adaptado esto como una burocracia más?

Lamentablemente nos encontramos con que muchas pequeñas empresas desconocen la importancia de la información de que disponen y la necesidad de establecer unas correctas medidas de seguridad. Muchas piensan que esto “no va con ellos”, pero eso no es verdad. La información es poder y aunque sea una información básica como nombres, direcciones, teléfonos y DNI, puede hacer mucho daño en malas manos. Todos hemos oído noticias de robos de identidad y de su uso en actos delictivos.

Entonces, si la información puede ser usada incorrectamente, ¿Por qué las empresas no ponen especial cuidado en que esta información no caiga en malas manos? ¿Por qué traicionan la confianza del cliente no cuidando los datos que les han proporcionado?

Conclusión:
No debemos quedarnos solamente en el conocimiento de la importancia de la seguridad de la información sino que hay que establecer las medidas adecuadas para alcanzarla.
Las empresas no solo deben cumplir con la legislación vigente aplicable sino que deben conocer los riesgos inherentes a su negocio y a la información que posee. Esto es un hecho y es que debemos tener claro que entre mayor sea la información que la empresa dispone,  o más personal o relevante, mayor será su necesidad de disponer de un Sistema de Gestión de Seguridad de la Información para proteger de forma adecuada y en todos los campos posibles la información de que disponen.

Por ejemplo, si se trata de una empresa de alimentación o una empresa de sanidad se hace indispensable implantar un Sistema de seguridad de la Información mayor que si se trata de una empresa de comercio, como una zapatería.

De cualquiera de las formas podemos concluir, que sea cual sea la empresa que dispongamos, el sector en que nos situemos o la localización geográfica de esta, debemos tener un especial cuidado con la información de que disponemos e implantar un Sistema de Gestión de Seguridad de la Información según la Norma ISO 27001 es una buena forma de proteger la información de que dispone la empresa.

Para llevar a cabo correctamente su implantación confía en profesionales que, como SBQ Consultores, te faciliten el camino y te implanten las medidas adecuadas para que disfrutes de los beneficios y las ventajas que la Norma ISO 27001, Sistema de Gestión de la Seguridad de la Información, aportan a tu empresa y a su futuro éxito.
Para proteger la información de que dispone la empresa no se puede quedar en la intención, sino que hay que establecer un correcto y efectivo sistema de seguridad.
Tomado de: http://www.sbqconsultores.es/ 

10 PASOS PARA IMPLEMENTAR UN PLAN DE GESTIÓN DE RIESGOS DE ACUERDO A ISO 31000

Los profesionales que trabajamos con Sistemas de Gestión basados en normas ISO, debemos acostumbrarnos al término Gestión de Riesgos. 
ISO 31000, tiene una importancia especial en este tema: en primera instancia, por ser la norma de referencia para la implementación de un plan de Gestión de Riesgos y luego, por que esta norma – ISO 31000 – ha sido la base para la revisión de 2015 de ISO 9001.

Importancia de contar con un plan de Gestión de Riesgos basado en ISO 31000

ISO 31000 es un estándar de carácter internacional, que contiene los principios y directrices que permiten gestionar el riesgo al interior de la organización. ISO 31000 se adapta a cualquier tipo de organización, pública o privada, ya que no existe ninguna que no esté expuesta a riesgo alguno.

La implementación de un plan de Gestión de Riesgos, produce, entre otros, los siguientes beneficios:
  • La organización aumenta sus probabilidades de alcanzar las metas propuestas.
  • Permite el cumplimiento de requisitos legales en varias áreas.
  • Mejora el conocimiento en administración.
  • Protege los recursos de la organización.
  • Aumenta la eficacia y la eficiencia operativa de la organización.
  • Establece una base de datos confiable para la toma de decisiones.
  • Hace que la Alta Dirección de la organización, sea consciente de la importancia de controlar e identificar y gestionar los riesgos.
La importancia del plan de Gestión de Riesgos es evidente. Pero la pregunta es ¿Cómo implementarlo? Veamos 10 pasos para hacerlo:

10 pasos para implementar un plan de Gestión de Riesgos de acuerdo a ISO 31000

Establecer el contexto

En esta etapa, calificamos los riesgos y establecemos si son de contexto interno o externo. Se entiende por contexto externo, aquel riesgo que se deriva de factores culturales, sociales, políticos, jurídicos, reglamentarios, financieros, tecnológicos, económicos, o relativos a la competencia.

El riesgo de control interno, está relacionado con el capital, el tiempo, el recurso humano, los procesos, la estructura organizativa, las responsabilidades, las funciones, la estrategia, los procesos de toma de decisiones, etc..

El enfoque

Delimitar el contexto, ayuda a mejorar el enfoque en la definición de los riesgos en su organización, sincronizándolo con los objetivos que se desea alcanzar. Esto es de vital importancia, porque si se comete un error aquí, se perderá el trabajo en el resto de los pasos subsiguientes. Es el enfoque del contexto, el que define las metas, los objetivos, las actividades, las responsabilidades y los métodos.

Identificación de Riesgos

En este paso, tomamos los riesgos específicos, los reconocemos, describimos y obtenemos una lista completa de ellos y de los eventos que los pueden generar, aumentar, acelerar, o, por el contrario, reducir o retardar.

Sobre algunos de esos eventos, la organización puede o no tener control, de sus causas y sus consecuencias. Lo importante es contar con un registro detallado de estos riesgos, sobre los que ya conocemos su contexto y el enfoque con que debemos gestionarlos.

Análisis de riesgos

En este punto, evaluamos las causas y las fuentes de riesgos, sus consecuencias, negativas y positivas – pueden existir -, y las probabilidades de que se produzcan tales consecuencias. El análisis tiene como objetivo fundamental, entender la probabilidad real de que el riesgo ocurra, y el impacto que tendrá en caso de suceder.

Evaluación de riesgos

La evaluación ayuda a tomar decisiones, sobre la base obtenida del análisis. Si el análisis nos arroja una probabilidad de un 90%, por ejemplo, definitivamente el riesgo es inminente y de alto impacto. Es preciso generar acciones inmediatas para prevenir ese riesgo o minimizar su impacto. Esto nos conduce al siguiente paso.

Tratamiento de los riesgos

Este es el paso en el que se toman decisiones. Es el momento de actuar, y emprender acciones que modifiquen el riesgo. ¿Qué es modificar un riesgo?: Aliviarlo, prevenirlo, eliminarlo, cambiar su rumbo…

Comunicación y consulta

Este paso tiene una característica especial. Es continuo e iterativo. Resulta de la obtención de información, mediante la participación en diferentes espacios – diálogo, foros, debates – con las partes interesadas.

Monitoreo

Se trata de un proceso continuo de verificación, supervisión y observación crítica, que pretende identificar cambios en la situación que pudiesen generar nuevos riesgos, o afectar la eficacia del plan de Gestión de Riesgos.

Cuando las condiciones cambian, las probabilidades de los riesgos, y los mismos riesgos, también cambian. Imaginemos que estoy en la oficina, escribiendo este artículo. ¿Cuál es la probabilidad de ser asaltado o golpeado?: Probablemente extremadamente baja. Tanto como para no considerarla y no tomar acciones frente a ese riesgo.

Pero sí, por un cambio de condiciones – un sismo, una amenaza terrorista – debo abandonar la oficina y tomar mi ordenador portátil, para trabajar en la calle, dada la premura de la obligación laboral actual, la probabilidad de ser golpeado o asaltado, aumenta en forma sensible.

Análisis crítico

El análisis crítico es la actividad llevada a cabo para determinar la idoneidad, adecuación y eficacia del plan de Gestión de Riesgos. Más que una evaluación de resultados, es una evaluación al plan en sí mismo, señalando las mejoras sucesivas o, por el contrario, sus falencias.

Auditoría

El siguiente paso de cualquier proceso de implementación de un estándar de ISO, siempre será la auditoría de certificación. La auditoría, aunque creamos que es el final, en realidad es un nuevo comienzo.

El plan de Gestión de Riesgo, debe alimentarse, monitorearse, supervisarse y analizarse en forma continua, ya que los riesgos son dinámicos. Tanto sus causas como sus consecuencias pueden variar, y afectar la probabilidad y el impacto de ellos.

Tomado de: https://www.isotools.org/