viernes, 5 de enero de 2018

APRENDA A MOTIVAR A SUS EMPLEADOS SEGÚN SU GENERACIÓN

Muchas empresas optan por crear un programa de incentivos general, sin embargo esto no trae buenos resultados.
En la actualidad en la gran mayoría de empresas confluyen varias generaciones en un mismo lugar. Por ejemplo, en una sola organización fácilmente nos podemos encontrar con los ‘Baby Boomers’ (hasta 1965), la generación X (1965-1980) y la generación Y o ‘Millennials’ (1980-1995). 

Tener esta diversidad de generaciones en las compañías no es malo si se sabe manejar a cada uno de ellos según sus comportamientos, gustos y habilidades. Sin embargo, muchas empresas optan por crear un programa de incentivos general para los empleados y esto no trae buenos resultados. 

Por ello, aquí le daremos algunos tips que recomienda Sodexo en su último reporte titulado ‘Tendencias mundiales en el lugar de trabajo’, que le permitirá saber qué hacer para brindarles un buen ambiente laboral. 

Para la generación Millennial: 
Los millennials trabajan mejor en plazos y objetivos más pequeños pero frecuentes puesto que los ayuda a mantener su atención.
Cree espacios de retroalimentación: tienen una fuerte necesidad de retroalimentación y responden bien a esta práctica. Por ello es necesario guiarlos y ayudarlos a mejorar cada día. 

• Ponga metas alcanzables: los millennials trabajan mejor en plazos y objetivos más pequeños pero frecuentes puesto que los ayuda a mantener su atención. 

• Tenga en cuenta el entorno laboral: intente usar redes sociales o plataformas donde ellos se comunican, se informan y se entretienen. Un programa de reconocimiento a sus colaboradores más jóvenes a través de estos medios puede funcionarle muy bien. 

Para la generación X:

 Apueste a formarlos: demostrar interés en capacitarlos representa una motivación, y sobre todo un gran compromiso para esta generación.

• Bríndeles espacios para liderar: las personas de esta generación son líderes y colaboradores por naturaleza. Por ello, asigne tareas o proyectos en los que ellos pueda liderar. Esto les dará satisfacción y la oportunidad de demostrar sus habilidades al enfrentar un nuevo reto. 

Para la generación Baby Boomers: 

• De estabilidad: esta generación suele mantenerse muchos años en sus puestos de trabajo y están comprometidos con los valores de la empresa, por ello la mayor motivación para estas personas es la estabilidad y no darles cambios muy drásticos. 

• Reconozca su antigüedad: estas personas les gusta ser reconocidas por su experiencia y tiempo en la compañía. Cree espacios y detalles en los que pueda demostrar su gratitud con el empleado de esta generación.

Tomado de: http://www.portafolio.co

LOS RIESGOS, OPORTUNIDADES Y LA MEJORA EN LA NORMA ISO 27001:2014

La gestión de los distintos riesgos y oportunidades y la utilización de las herramientas eficaces para la mejora continua son esenciales para garantizar que la Norma ISO 27001 funciona correctamente.
En anteriores artículos he hablado del papel que ocupan en la Norma ISO 27001:2014 aspectos como el contexto, alcance, política, responsabilidades, comunicación y gestión de recursos, sin embargo falta por tratar brevemente dos conceptos esenciales, como son:
  • los riesgos y las oportunidades;
  • la mejora continua, y las herramientas para conseguirla.

Para ello voy a tomar como referencia la publicación “ISO 27001:2014. Protegiendo su activo más valioso: la información”.

La gestión de los distintos riesgos y oportunidades en la Norma ISO 27001

En materia de seguridad de la información, determinar los riesgos, los criterios de aceptación de estos y las medidas de tratamiento y prioridad que permitirán que todos ellos se eliminen o se reduzcan a niveles aceptables que previamente hemos determinado, es esencial.

Sin embargo no debemos olvidar que no solamente existen riesgos sino también oportunidades, que la empresa puede aprovechar si las tiene en cuenta de forma correcta.

Este es uno de los puntos clave de la Norma ISO 27001:2014, el punto fuerte podríamos decir, y para ayudarle en su labor cuenta con los controles indicados en la Norma ISO 27002:2015. Si quieres aumentar información sobre esta norma te recomiendo que leas el artículo “ISO 27002: la aliada perfecta de la ISO 27001”.

De forma resumida se puede decir que, para tratar de forma adecuada los riesgos y oportunidades, hay que definir un proceso que estará marcado por las siguientes etapas y que garantizará, si se realiza de forma correcta, su eficacia y contribución a la correcta gestión de la Norma ISO 27001 implantada en la empresa:


La mejora y dos herramientas esenciales: auditoría interna y revisión por la dirección.

Inicialmente, tenemos que dejar claro que la mejora continua, más allá de un pilar sobre el que se sustenta la Norma ISO 27001:2014, es un eje trasversal que se encuentra presente en cada uno de los capítulos, requisitos y puntos de esta.

Para ello, el Sistema de Gestión de la Seguridad de la Información tiene que permanecer en constante evolución, adaptándose a los cambios de su entorno, a las necesidades en el negocio, a las nuevas tecnologías, a las amenazas que se produzcan o aparezcan, etc., para mantener los riesgos controlados en todo momento, aprovechar las oportunidades que se produzcan y gestionarse de forma cada vez más eficaz.

Parece una tarea titánica, pero el propio sistema de gestión de la seguridad de la información, al igual que ocurre con otras normas, nos aporta dos herramientas para facilitar las tareas de la empresa en relación con la mejora continua: la auditoría interna y la revisión por la dirección.

Al fin y al cabo, no debemos olvidar que se trata de dos de las herramientas más poderosas para la mejora si se realizan de forma correcta. Para ello es necesario:
  • establecer una periodicidad de, al menos, una vez al año,
  • estar planificada
  • y en el caso de la revisión por la dirección incluir unas entradas concretas que deben considerarse.

Por una parte, si se realizan adecuadamente, por personal competente y no como un mero trámite las auditorías internas nos aportarán:
  • las evidencias recogidas y los aspectos comprobados.
  • las deficiencias detectadas a corregir.
  • las desviaciones a tener en cuenta para que en un futuro no se conviertan en deficiencias.
  • y las valiosas oportunidades de mejora.

Por su parte, del Informe de la Revisión por la Dirección saldrán como resultado decisiones sobre las necesidades de cambios en el sistema de gestión de la seguridad de la información y la identificación de los recursos necesarios para llevarlos a cabo, entre otros aspectos.
Breve apunte sobre la Información documentada: derribando un mito.

Para finalizar, no quiero terminar estos apuntes sin derribar un mito. Y es que tradicionalmente se viene pensando que un sistema de gestión viene unido a un gran número de documentación que se generará en cada uno de los pasos y que, por ello, cargará de trabajo a la empresa. Sin embargo, esto no es así.

El sistema de gestión de la seguridad de la información nos aporta una gran flexibilidad al no exigir un formato concreto en el que esta información documentada sea recogida. A la vez que permite, a parte de algunos documentos mínimos necesarios, que la empresa determine aquellos procesos y evidencias de cumplimiento que es necesario conservar como información documentada con el fin de que tenga constancia de que se ha llevado a cabo según lo planificado y que han resultado eficaces.

Todo ello para lograr que el sistema de gestión de la seguridad de la información según la Norma ISO 27001 se convierta en un aliado estratégico de la empresa que sentará parte de las bases de su crecimiento y ayudará a su mejora en el campo de la gestión del activo de la información.

Tomado de: http://www.sbqconsultores.es/

CÓMO ELABORAR UNA MATRIZ DE RIESGOS


La matriz de riesgos es una herramienta que aporta de manera rápida y sencilla una visión de los riesgos que afectan a la empresa. 
En este instrumento se detallan la posibilidad de que estos eventos terminen sucediendo.

La matriz de riesgos se caracteriza por:
  • Su sencillez.
  • Su flexibilidad.
  • Su capacidad para establecer diagnósticos de los factores de riesgo.

Esta herramienta viene representada mediante tablas. Estas tablas están compuestas de los riesgos, la probabilidad de que terminen sucediendo, su gravedad, así como posibles soluciones. Esta herramienta de control y gestión permite diferenciar y clasificar los riesgos, según su tipología, nivel y factores.


Pasos para elaborar una matriz de riesgos


Los risk managers han de seguir los siguientes pasos para la elaboración de una matriz de riesgos:

Identificar los riesgos.
Esta etapa se caracteriza por la identificación de los riesgos inherentes a las actividades que desempeña la empresa. Como resultado se obtienen aquellos riesgos que ponen en peligro el cumplimiento de los objetivos que se plantea la organización.

Evaluar la probabilidad.
Se trata de determinar la probabilidad de que los riesgos terminen sucediendo, así como sus consecuencias en los resultados de la compañía. Para evaluar la probabilidad se utiliza un análisis cuantitativo y cualitativo, para la posterior toma de decisiones.

Representación de la matriz de riesgos.
La matriz de riesgos representada aporta información rápida y sencilla sobre aquellos riesgos que afectan a la empresa y su probabilidad de ocurrencia.

La gestión del sistema de gestión de riesgos se beneficia de herramientas y técnicas de la calidad y de la norma internacional ISO 31000. Los profesionales del Risk Management han de conocer las características de este instrumento. La matriz facilita el control sobre aquellos riesgos más críticos y la correcta gestión de los recursos con los que disponen las empresas.


Si lo desea, IDEA CONSULTORES & ASESORES S.A.S. puede ayudarle en el proceso de transición o en la implementación, control, medición, mejora  y todos los temas de su Sistema de Gestión (ISO 9001:2015, ISO 14001:2015, ISO 45001 -OHSAS 18001, y otras normas). Coctáctenos, uno de nuestros profesionales lo visitará.

Tomado de: http://www.ealde.es

¿CUÁLES SON LAS CONSIDERACIONES PREVIAS A LA IMPLANTACIÓN DEL SGSI?


Es necesario tener en cuenta los aspectos importantes, de forma previa a la implementación de la norma ISO 27001, ya que resulta muy útil durante las fases de planificación y operación del SGSI dentro de la empresa. 

Puede convertirse en un factor primordial en el éxito o fracaso de la implantación del SGSI, debido a las actividades cotidianas de la empresa y a los recursos requeridos para la operación del sistema.


¿Qué se debe considerar para la planificación del SGSI?

No existe un procedimiento que describa paso a paso cómo implantar el SGSI, existen diferentes factores que resultan fundamentales para tener una mejor proyección de los esfuerzos necesarios, y para la obtención de resultados aceptables.

Respaldo y patrocinio

El principal elemento que se debe tener en cuenta antes de la implantación es el respaldo de la alta dirección, con relación a las actividades de seguridad de la información, de forma específica con la iniciativa de comenzar a operar con un SGSI.

La idea puede surgir en cualquier nivel dentro de la empresa, pero requiere del patrocinio de los niveles jerárquicos más elevados.

El soporte y compromiso de la alta dirección refleja un esfuerzo compuesto, no solo un proyecto aislado y administrado por un subordinado. De la misma forma, resulta muy útil la formación de estructuras dentro de las empresas, que faciliten la colaboración y cooperación de los representantes de las diferentes partes con roles y funciones relevantes.

Una buena práctica consiste en desarrollar la estructura adecuada para la toma de decisiones en el SGSI, mediante la realización de un foro o un comité de seguridad, que permite llevar a la práctica lo que se ha denominado gobierno de seguridad de la información, es decir, de las responsabilidades y acciones que ejerce la alta dirección en cuanto a la seguridad.

Estructura para la toma de decisiones

Para las actividades de gestión de seguridad, el comité será un grupo interdisciplinar que se encarga de tomar decisiones referentes a la implantación y operación del sistema de gestión, además de mantener el control administrativo del marco de trabajo de seguridad.

El objetivo se integra a miembros de la dirección, para proporcionar una visión de negocio a las decisiones que competen a este comité, además de la generación de consensos en torno a las necesidades e iniciativas de seguridad, alineadas con los objetivos de la empresa.

De esta forma, se pueden agrupar las necesidades y los puntos de vista de los integrantes de la empresa como usuarios, administradores, auditores, especialistas en seguridad y de otras áreas como la parte jurídica, recursos humanos, TI o gestión de riesgos.

Otros miembros que pueden conformar este foro son los responsables del sistema de gestión, jefes de áreas funcionales de la empresa y un rol de auditor para realizar la evaluación objetiva e imparcial del SGSI.

Análisis de brecha (GAP)

El GAP Análisis es un estudio preliminar que permite conocer la manera en la que se desempeña una empresa en materia de seguridad de la información, con relación a las mejores prácticas reconocidas en la industria, para esto se utilizan criterios establecidos en normas o estándares.
Una buena práctica consiste en desarrollar la estructura para la toma de decisiones en el SGSI

El análisis establece las diferencias entre el desempeño actual y el deseado. Este análisis se puede aplicar a cualquier estándar certificable, lo normal es que se lleve a cabo para nuevos esquemas de certificación.



Análisis de Impacto al Negocio

El análisis de impacto al negocio es un elemento utilizado para estimar de que forma afecta a una empresa la ocurrencia de algún incidente o desastre.

Existen dos objetivos principales, el primero de ellos consiste en proveer una base para identificar los procesos críticos para la operación de una empresa y la priorización del conjunto de procesos, siguiendo el criterio de cuanto mayor sea el impacto, mayor será la prioridad.

El análisis de impacto al negocio se encuentra relacionado con los procesos que poseen un tiempo crítico para su operación, ya que todos los procesos se encuentran sujetos a un tiempo crítico siendo la misión crítica, no todos los procesos de misión crítica se encuentran relacionados con un tiempo crítico para su ejecución.

Recursos: tiempo, dinero y personal

Según los resultados del análisis de brecha y el impacto del negocio, es posible estimar elementos necesarios para la implantación de la norma ISO 27001. En el caso de que se realice el primer ciclo de operación, el momento sugerido para la implantación del SGSI es un periodo con una carga de trabajo menor, que permita una planificación adecuada o contratar nuevo personal enfocado a esta tarea.

El análisis permite estimar los recursos financieros necesarios para conseguir el estado deseado en materia de seguridad de la información, conforme a la norma ISO 27001. Se tiene en mente que durante la implementación se deberán destinar recursos para implantar controles técnicos, físicos o administrativos, conforme a los resultados de la evaluación de riesgos.

La empresa tiene que contar con personal idóneo para llevar a cabo las actividades técnicas y administrativas que se relacionan con el sistema de gestión, por esto se puede optar por capacitar a miembros de la empresa o contratar los servicios de personal externo que colabore para los objetivos planificados en el SGSI.

Revisión de los estándares de seguridad

Otra de las actividades que se realizan para la implantación del SGSI se encuentra relacionado con conocer el contenido y la estructura del estándar en la norma ISO 27001, además de los estándares que conforman la serie 27000.

IDEA CONSULTORES & ASESORES S.A.S. puede ayudarle en el proceso de transición o en la implementación, control, medición, mejora y todos los temas de su Sistema de Gestión (ISO 9001:2015, ISO 14001:2015, OHSAS 18001 (ISO 45001), ISO 31000 y otras normas). Coctáctenos, uno de nuestros profesionales lo visitará.

Tomado de: http://www.pmg-ssi.com