jueves, 31 de octubre de 2019

¿CUÁNDO SOMOS MÁS COMPETITIVOS QUE OTRAS EMPRESAS EN EL EXTRANJERO?

Podemos llevar meses o años vendiendo un producto o servicio de forma estable o creciente, pero inevitablemente va a llegar un punto en que, sin avances significativos a nivel tecnológico, ese producto va a entrar en un estancamiento progresivo y posteriormente en declive. 

¿Qué hacer cuando detectamos este cambio de tendencia?

Las fases de del ciclo de madurez de un producto pasan por un periodo de introducción en que los geeks tecnológicos o del sector va a ser quienes se conviertan en nuestros principales clientes. Capaces de pagar precios más elevados por no esperar, supondrán la fase de testeo más importante de todo el ciclo, con una competencia menor y unas posibilidades de mejora amplias.

¿En qué momento pensar en una estrategia de internacionalización como solución a los problemas de estancamiento posteriores a la fase de difusión y crecimiento de ese producto o servicio?

Bien, esta reflexión debe hacerse sobre tres premisas:

La primera es a nivel interno, y debe responder a qué medios tenemos para abrirnos al exterior. Previamente a definir la estrategia de internacionalización, deberemos analizar la capacidad productiva de la empresa, los conocimientos de otros mercados, y la forma o canal de venta que adoptaremos en el extranjero (franquicia, distribuidor, marca blanca, marca propia…)

Una segunda reflexión viene a través de la competencia nacional. ¿Ha aumentado hasta tal nivel que acelera la decisión de abrirse a una estrategia de internacionalización? Puede suceder que no haga falta llegar a la etapa de estancamiento del ciclo de madurez del producto para abordar una estrategia de internacionalización y empezar a posicionarse en el extranjero. La saturación de la oferta nacional puede precipitar estos hechos y adelantar una salida prematura a otros mercados con tal de poder mantener unos ingresos esperados y necesarios.

Finalmente, una tercera reflexión a hacer y que puede resultar clave es analizar en qué punto del ciclo de madurez se encuentran nuestros productos en el extranjero. En otras palabras, ¿podemos anticiparnos a la competencia extranjera? ¿Podemos hacernos un hueco en la cuota de mercado?

Y es que de ser así, tenemos algo más a nuestro favor en la estrategia de internacionalización como es el know-how de todo lo que conlleva la producción y entrega de nuestros productos o la implementación y calidad de nuestros servicios si fuera el caso.

Entender estas tres variantes puede determinar el éxito o fracaso de toda estrategia de internacionalización, por lo que realizar un estudio detallado sobre cada una de ellas resultará imprescindible para la viabilidad de la empresa en el corto y medio plazo.

Si estáis pensando en lanzaros a la internacionalización, en tal caso os dejo aquí una guía gratuita con los principales métodos de entrada en mercados extranjeros y así conocer si es una situación apta para vuestro caso particular.

Tomado de: http://www.five365.com

QUÉ INCLUIR EN UNA POLÍTICA DE ACCESO REMOTO ISO 27001


El acceso remoto representa un verdadero reto para los directores de TI, que ven en ello un riesgo latente de seguridad y hacia el cumplimiento de ISO 27001. 


La política de acceso remoto ISO 27001 es la que protege de ese riesgo y cobra así especial importancia. Por ello, analizamos este documento y a detallamos los elementos que deben estar presentes en él.


El reto que implica la política de acceso remoto ISO 27001

Cada vez son más los trabajadores que deben acceder de forma remota a la información de sus organizaciones. Los trabajos que realizan algunos empleados durante un viaje de negocios, o cuando están en casa, sumados a las diferentes modalidades de teletrabajo implican necesariamente la necesidad de conceder permisos para acceso remoto.

Se trata de modalidades de trabajo convenientes para la empresa y sus trabajadores. Pero no por ello se debe descuidar la seguridad y la protección de la información y los datos de la organización. Así, se vuelve cada vez más necesaria una política de acceso remoto ISO 27001.

¿Qué se debe considerar en la política de acceso remoto ISO 27001?

Hasta el momento tenemos claro que las organizaciones necesitan una política de acceso remoto ISO 27001. En este documento, se establecen las condiciones, restricciones, procedimientos y mecanismos operativos necesarios para permitir el acceso remoto con seguridad.

Para ello, la política de acceso remoto ISO 27001 debe tener en cuenta:
  • La seguridad física de las instalaciones, edificios y su entorno.
  • La concienciación de los teletrabajadores sobre la necesidad de proteger sus contraseñas de acceso, y no compartirlas con nadie, ni siquiera con los miembros de su familia.
  • El compromiso de los empleados de no realizar actividades ilícitas ni vulnerar las políticas de la organización o utilizar el acceso remoto suministrado para obtener lucro comercial.
  • Los teletrabajadores, o cualquier empleado al que se le autorice el acceso remoto, deben comprometerse a configurar sus dispositivos de tal forma que, al terminar la sesión, se deshabiliten las opciones de acceso remoto.
  • Debe justificarse la necesidad de acceder a los datos internos o al sistema. Asimismo debe definirse el tipo de trabajo y la sensibilidad y clasificación de la información.
  • Los datos transmitidos durante una sesión de acceso remoto deben encriptarse y el acceso debe autorizarse por autenticación multifactor. Es necesario prohibir el almacenamiento y procesamiento de los datos a los que se accede.
  • La capacidad de los usuarios de acceso remoto debe limitarse a ciertas operaciones y debe existir una política sobre la eliminación de la autorización, devolución de equipos o cambio de contraseñas, cuando las actividades de teletrabajo finalizan o dejan de realizarse.
  • Cada conexión debe registrarse para asegurar la trazabilidad en caso de un incidente. El acceso no autorizado a estos registros debe ser investigado y atendido. El registro a prueba de manipulaciones de firewall y dispositivos VPN mejora la confiabilidad de la pista de auditoría.
  • Debe existir una política de aceptación y rechazo en el firewall. Esta debe ser planificada y configurada.
  • El modo de operación del cortafuegos debe configurarse como “stateful”, para tener los registros completos.

Los controles de seguridad necesarios para cumplir con la política de acceso remoto ISO 27001

Como venimos diciendo, aunque el acceso remoto supone riesgos, constituye una forma de conectividad esencial para el funcionamiento de las organizaciones en este siglo. En aras de mitigar esos riesgos, la política de acceso remoto ISO 27001 define reglas para eliminar la exposición potencial derivada del uso no autorizado; propone controles de seguridad que consisten en:
  • Asegurar, controlar y encriptar mediante el uso de firewalls y redes virtuales VPN seguras.
  • Si la organización define dentro de su política el uso de un dispositivo BYOD, el host debe cumplir con los requisitos definidos en la política de configuración de software y hardware de la organización.
  • Los host que se utilicen para conectarse a la red de la organización deben ser actualizados y enviados con la firma de antivirus.
  • La VPN dividida debe evitarse en tanto que la política lo permita.
  • Los usuarios deben aceptar la política de la organización al momento de acceder.
  • Asegurar que más de un dispositivo esté configurado en modo “alta disponibilidad”.

Tomado de: https://www.escuelaeuropeaexcelencia.com

¿QUÉ FUNCIÓN TIENE EL LIDERAZGO Y EL COMPROMISO EN LA ISO 37001?


La Organización Internacional de Estandarización (ISO) publicó la norma ISO 37001 “Sistemas de Gestión Anti-sobornos” en la que se establece todos los requisitos necesarios para implementar un Sistema de Gestión Anti-soborno en las empresas ayudándolas a prevenir, detectar y gestionar de forma adecua posibles conductas delictivas.

Dentro del contexto de la norma ISO 37001, el soborno se entiende como oferta, promesa, entrega, aceptación o solicitud de una ventaja indebida de cualquier valor, ya sea de forma directa o indirecta, e independientemente de su ubicación, en violación de ley aplicable, como incentivo o recompensa para que una persona actúe o deje de actuar en relación con el desempeño de las obligaciones de esa persona.



La norma ISO 37001 trata el liderazgo y el compromiso o para la gestión anti-soborno. Esta norma para la gestión de riesgos expone que cuando la empresa cuente con un órgano de gobierno, dicho órgano debe demostrar su liderazgo y compromiso con respecto al sistema de gestión anti-soborno mediante:
  • Aprobación de la política anti-soborno de la organización.
  • Asegurar que la estrategia de la organización y la política anti-soborno se encuentran alineadas.
  • Recibir y revisar la información sobre el contenido y el funcionamiento del sistema de gestión anti-soborno de la empresa.
  • Requerir que los recursos adecuados y apropiados, necesarios para el funcionamiento eficaz del sistema de gestión anti-soborno, sean asignados y distribuidos.
  • Ejercer una supervisión razonable sobre la implementación del sistema de gestión anti-soborno de la empresa por la alta dirección y su eficacia.
Las actividades deben llevarse a cabo por la alta dirección, si la empresa no tiene un órgano de gobierno. La dirección de la organización tiene que demostrar el liderazgo y el compromiso con respecto al sistema de gestión anti-soborno:
  • Asegurándose de que el sistema de gestión anti-soborno, incluyendo la política y los objetivos, se establezca, se implante, se mantenga y se revise para abordar de forma adecuada los riesgos que pueden surgir de los sobornos de la organización.
  • Asegurarse de la integración de los requisitos del sistema de gestión anti-soborno en los procesos de la empresa.
  • Desplegar recursos suficientes y adecuados para el funcionamiento eficaz del sistema de gestión anti-soborno.
  • Comunicar interna y externamente lo relacionado con la política anti-soborno.
  • Comunicar de forma internamente la importancia de la gestión eficaz anti-soborno y la conformidad con los requisitos del sistema de gestión anti-soborno.
  • Asegurar que el sistema de gestión anti-soborno esté diseñado de forma adecuada para conseguir sus objetivos.
  • Dirigir y apoyando al personal para contribuir a la eficacia del sistema de gestión anti-soborno.
  • Promoviendo una cultura anti-soborno apropiada dentro de la empresa.
  • Promover la mejora continua.
  • Apoyar a otros roles pertinentes de la dirección, para demostrar su liderazgo en la prevención y detección de soborno en la medida en la que se aplique a sus áreas de responsabilidad.
  • Fomentar el uso de los procedimientos para reportar la sospecha de soborno y el soborno real.
  • Asegurarse de que ningún miembro del personal sufrirá represalias, discriminación o medidas disciplinarias o por informes hechos de buena fe o sobre la base de una creencia razonable de violación o sospecha de violación a la política anti-soborno de la empresa, o por negarse a participar en el soborno, incluso si tal negativa puede dar lugar a la pérdida de negocios para la organización, excepto cuando el individuo participó en la violación.
  • Reportar en intervalos planificados, al órgano de gobierno, si existe, sobre el contenido y el funcionamiento del sistema de gestión anti-soborno y de las denuncias de soborno graves y/o sistemáticas.
Cómo adaptar los sistemas de cumplimiento pena establecidos a la norma ISO 37001

Para realizar la adaptación y cumplir con lo que establece la norma ISO 37001 se deben seguir los siguientes pasos:
  • Adaptar el mapa de riesgos que se encuentre implementado en la sociedad.
  • Definir el ámbito de aplicación, es decir, si afecta a toda la organización en sectores determinados.
  • Archivo de la documentación acreditativa que demuestre que el riesgo de soborno se encuentra siendo un objetivo o mecanismo para designar e implementar el sistema anti-soborno.
  • Fijar los contactos de información socios comerciales, proveedores, clientes, suministradores, sector público.
  • Establecer todos los controles necesarios como puede ser la auditoría previa.
  • Especial consideración a los pagos de facilitación o trámite.


Tomado de: https://www.isotools.org/

MAPA DE PROCESOS DE LOS SISTEMAS DE GESTIÓN INTEGRADOS

De manera general, la integración significa llevar a cabo una combinación, es decir, poner todas las prácticas de gestión interna dentro de un sistema, de tal manera que los componentes de dicho sistema no estén separados, sino vinculados para formar una parte integral del sistema de gestión de la empresa, es lo que se denomina “enfoque de gestión basado en procesos".

Partiendo de este enfoque de gestión como base para la integración, se puede afirmar que un sistema integrado de gestión puede definirse a través de un conjunto de procesos, interrelacionados entre sí, orientados hacia el cumplimiento de una política de gestión y unos objetivos, relativos a las áreas de gestión que se integran.

Uno de los instrumentos más utilizados en el diseño de sistemas de gestión es la elaboración del mapa de procesos. Un mapa de procesos es una representación gráfica que nos ayuda a visualizar todos los procesos que existen en una empresa y su interrelación entre ellos. Antes de realizar el mapa de procesos habrá que identificar todos los procesos.

Así pues, hay que determinar el grado de integración del mismo a partir del grado de integración de cada uno de los procesos que lo forman; esto quiere decir que se evalúa a través de la valoración del comportamiento individual de cada proceso de conjunto, esto sirve para identificar que procesos están integrados y cuáles no lo están.

https://www.isotools.org/2014/08/18/mapa-de-procesos-de-los-sistemas-de-gestion-integrados/