GESTIÓN POR PROCESOS (VIDEO)

 

¿QUÉ ES LA ISO 27001 Y PARA QUÉ SIRVE A LAS ORGANIZACIONES?

La ISO 27001 es una norma internacional que permite el aseguramiento, la confidencialidad e integridad de los datos y de la información, así como de los sistemas que la procesan.

El estándar ISO 27001:2022 para los Sistemas Gestión de la Seguridad de la Información permite a las organizaciones la evaluación del riesgo y la aplicación de los controles necesarios para mitigarlos o eliminarlos.

La aplicación de ISO-27001 significa una diferenciación respecto al resto, que mejora la competitividad y la imagen de una organización.

La Gestión de la Seguridad de la Información se complementa con las buenas prácticas o controles establecidos en la norma ISO 27002.

¿Para qué sirve la ISO/IEC 27001?

La norma ISO/IEC 27001 establece los requisitos para poner en marcha, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SG-SI). El objetivo fundamental es ayudar a las compañías a preservar su confidencialidad e integridad, así como la disponibilidad de la información y los activos relacionados con ella.

La norma ISO 27001:2022 proporciona un marco que permite la gestión de los riesgos de seguridad de la información. Ayuda a todas las empresas a identificar y evaluar los posibles riesgos sobre la seguridad de la información. También permite implementar controles y medidas de seguridad necesarias para su mitigación y gestión de manera efectiva.

Además, la ISO 27001 mejora la confianza de los stakeholders, como clientes, socios comerciales y reguladores, al demostrar el compromiso de la empresa con la seguridad de la información. Con la certificación ISO/IEC 27001:2022, las empresas demuestran su cumplimiento con los estándares internacionales  en materia de seguridad de la información, ayudándoles a diferenciarse en el mercado y así mejorar su reputación.

Cabe destacar que la ISO 27001 2022 fomenta una cultura de seguridad de la información en el interior de la compañía. Establece procesos y procedimientos claros para la gestión de la seguridad de la información. De este modo la norma ayuda a crear conciencia y formar a los trabajadores acerca de las mejores prácticas de seguridad y su papel en la protección de la información.

No puede perderse de vista que la ISO/IEC 27001 mejora la resiliencia y la capacidad de recuperación de la empresa ante a incidentes de seguridad de la información. Su enfoque proactivo para la gestión de la seguridad, permite detectar y responder rápido a posibles amenazas y vulnerabilidades, reduciendo el impacto de los incidentes y garantizando la continuidad del negocio.

Estructura de la norma ISO 27001

Al igual que las normas revisadas o publicadas desde noviembre de 2014, esta norma también adopta la estructura de alto nivel del anezo SL de la ISO:

1. Objeto y campo de aplicación: La norma comienza aportando unas orientaciones sobre el uso, finalidad y modo de aplicación de este estándar.
2. Referencias Normativas: Recomienda la consulta de ciertos documentos indispensables para la aplicación de ISO27001.
3. Términos y Definiciones: Describe la terminología aplicable a este estándar.
4. Contexto de la Organización: Este es el primer requisito de la norma, el cual recoge indicaciones sobre el conocimiento de la organización y su contexto, la comprensión de las necesidades y expectativas de las partes interesadas y la determinación del alcance del SGSI.
5. Liderazgo: Este apartado destaca la necesidad de que todos los empleados de la organización han de contribuir al establecimiento de la norma. Para ello la alta dirección ha de demostrar su liderazgo y compromiso, ha de elaborar una política de seguridad que conozca toda la organización y ha de asignar roles, responsabilidades y autoridades dentro de la misma.
6. Planificación: Esta es una sección que pone de manifiesto la importancia de la determinación de riesgos y oportunidades a la hora de planificar un Sistema de Gestión de Seguridad de la Información, así como de establecer objetivos de Seguridad de la Información y el modo de lograrlos.
7. Soporte: En esta cláusula la norma señala que para el buen funcionamiento del SGSI la organización debe contar con los recursos, competencias, conciencia, comunicación e información documentada pertinente en cada caso.
8. Operación: Para cumplir con los requisitos de Seguridad de la Información, esta parte de la norma indica que se debe planificar, implementar y controlar los procesos de la organización, hacer una valoración de los riesgos de la Seguridad de la Información y un tratamiento de ellos.
9. Evaluación del Desempeño: En este punto se establece la necesidad y forma de llevar a cabo el seguimiento, la medición, el análisis, la evaluación, la auditoría interna y la revisión por la dirección del Sistema de Gestión de Seguridad de la Información, para asegurar que funciona según lo planificado.
10. Mejora: Por último, en la sección décima vamos a encontrar las obligaciones que tendrá una organización cuando encuentre una no conformidad y la importancia de mejorar continuamente la conveniencia, adecuación y eficacia del SGSI.

Certificación ISO 27001

La certificación ISO 27001 es un reconocimiento que confirma que una organización cumple con los requisitos de la norma ISO 27001, garantizando así la implementación de un Sistema de Gestión de Seguridad de la Información (SGSI) efectivo. Esta certificación demuestra el compromiso de la organización con la seguridad de la información y puede mejorar su reputación y relaciones comerciales.

Cómo implementar la ISO 27001

Implantar la ISO 27001 implica seguir un proceso estructurado que garantice la efectividad y la adecuada gestión de la seguridad de la información en una organización. Podemos establecer 7 pasos para lograr la solidez de un sistema SGSI:

1. Definir la Política: Se establece una política de seguridad de la información que refleje el compromiso de la alta dirección con la protección de los activos de información.
2. Definir el Alcance del SGSI: Se determina el alcance del Sistema de Gestión de Seguridad de la Información (SGSI), especificando los límites y las aplicaciones que estarán cubiertos por la certificación ISO 27001.
3. Análisis de Riesgos: Se realiza una evaluación exhaustiva de los riesgos de seguridad de la información, identificando las amenazas, vulnerabilidades y activos relevantes.
4. Gestión del Riesgo: Se desarrollan estrategias para gestionar y tratar los riesgos identificados, priorizando aquellos que requieren medidas de mitigación o aceptación.
5. Selección de Controles a Implementar: Se seleccionan los controles de seguridad adecuados de la norma ISO 27001 y otros marcos de referencia relevantes para abordar los riesgos identificados.
6. Declaración de Aplicabilidad: Se elabora la Declaración de Aplicabilidad (DoA) para documentar los controles seleccionados y justificar cualquier exclusión basada en criterios como la viabilidad técnica o la aceptación del riesgo.
7. Revisión del Sistema: Se lleva a cabo una revisión continua del SGSI para garantizar su eficacia y su alineación con los objetivos organizacionales, mediante auditorías internas y revisiones periódicas.

Novedades de la ISO 27001:2022

Esta norma fue publicada a finales de 2022, aportó una serie de cambios con respecto a su antecesora, la ISO 27001:2013 que los usuarios de los SGSI tienen que asimilar para continuar gestionando de forma eficaz la Seguridad de la Información. Las novedades que manifiesta son:

• No aparece la sección “Enfoque a procesos” con su respectiva metodología basada en el ciclo PHVA, ahora ofrece mayor flexibilidad.
• Se elimina la obligatoriedad de algunos documentos, conservando únicamente la declaración de aplicabilidad.
• Se han revisado los requisitos y controles.
• Se apuesta por un enfoque del análisis del riesgo en la fase de planificación y operación.

Cambios en los controles de la nueva versión de ISO 27001

Nueva agrupación de los controles de Seguridad de la Información: En esta nueva versión, en lugar de contar con 14 dominios, se agrupan en 4 temas para conformar el total de los controles, incluyendo aquellos nuevos que son novedad en la ISO 27001:2022. En esta nueva versión encontramos

Controles organizacionales, con 37 controles enfocados en la seguridad administrativa y las políticas de seguridad de la información.

Controles de personas, que agrupa a 8 controles orientados a la protección de la Seguridad de la Información en lo que respecta capital humano de la organización.

Controles físicos, con 14 controles orientados a la instalación e infraestructura IT de la empresa.

Controles tecnológicos, con 34 controles enfocados en aspectos como autentificación, cifrado y otras materias tecnológicas no relacionadas con las instalaciones físicas o la infraestructura.

Además de la agrupación de los controles, la nueva versión implica la eliminación de uno de ellos, la fusión, algunos existentes en la versión 2013 y la creación de 11 nuevos controles de seguridad de la información para adaptar la norma a los tiempos actuales.

Cambios en los atributos de la nueva versión 2022

Para los controles también se han implementado atributos, siendo los que aplican a la nueva norma: Tipo de control, Propiedad del SI, Concepto de Ciberseguridad, Capacidad Operacional y Dominio de Seguridad, cada uno de ellos orientado, de nuevo, a adaptar los controles a los nuevos tiempos.

Tomado de: https://www.isotools.us/

ISO 27001 GESTIÓN INTEGRAL DE LA SEGURIDAD DE LA INFORMACIÓN -SGSI

En este artículo se presenta una propuesta para que las organizaciones puedan controlar y dirigir sus acciones y decisiones con respecto a la mejora de la seguridad de su información, para llegar a obtener un modelo coherente con la naturaleza del negocio, y alineado con sus objetivos.

Se presenta un conjunto de gestiones que deberían definir e implementar las empresas para ir avanzando en el nivel de madurez de su modelo de seguridad de la información, teniendo como base:

• Los activos de información.
• Los riesgos de seguridad de la información.
• Los incidentes de seguridad de la información.
• El cumplimiento.
• La continuidad del Negocio.
• El cambio y cultura para la seguridad de la información.
• La Estrategia de seguridad de la información.

Para cada una de las gestiones se presenta su definición, la relación con cada una de las etapas del ciclo de mejora continua PHVA (Planear, Hacer, Verificar, Actuar) y la relaciones y dependencias que existen entre cada una deestas.

I. INTRODUCCIÓN

Los esfuerzos realizados por las organizaciones para afrontar la problemática de la seguridad de la información, con relación a los riesgos que conlleva la pérdida de su confidencialidad, integridad o disponibilidad, ha llevado a que las mismas aumenten cada año sus inversiones para minimizar el nivel de su exposición al riesgo. Estas inversiones se traducen en proyectos que van desde una implementación tecnológica, que constituye un control de seguridad específico para la información, hasta proyectos tendientes a definir e implementar modelos de seguridad que permitan hacer una gestión continua de una estrategia de seguridad de la información, que debe implementarse y mejorase a través del tiempo.

La norma internacional ISO/IEC 27001 ha sido presentada como un modelo para el establecimiento, implementación, operación, seguimiento, revisión, mantenimiento y mejora de un sistema de gestión de seguridad de la información, lo cual a priori nos indica que se puede generar un marco formal a través del cual se gestiona la seguridad de la información en las organizaciones. Es interesante ir a lo básico y preguntar: ¿Qué es la seguridad de la información? ¿Qué significa gestionar seguridad de la información?.

La seguridad de la información es definida por la norma ISO/IEC 27001 como: “La Preservación de la confidencialidad, la integridad y la disponibilidad de la información; además puede involucrar otras propiedades tales como: autenticidad, trazabilidad, no repudio y fiabilidad”, de otra forma, y en un sentido práctico, como elemento de valor al negocio, puede definirse como: “La protección de la información contra una serie de amenazas para reducir el daño al negocio y maximizar las oportunidades y utilidades del mismo”. Esta última definición nos sugiere con más fuerza que la seguridad de la información es un tema estratégico y de negocio que debe ser atendido desde la alta dirección.

En este sentido gestionar es coordinar y dirigir una serie de actividades, con uno recursos disponibles, para conseguir determinados objetivos, lo cual implica amplias y fuertes interacciones fundamentalmente entre el entorno, las estructuras, los procesos y los productos que se deseen obtener1.

Teniendo en cuenta lo anterior, debemos reconocer que la gestión de la seguridad de la información requiere de una estrategia alineada con el negocio y sus objetivos, requiere de unos recursos y de un conjunto de actividades dirigidas y coordinadas por una organización de la seguridad que se extienda a través de toda la organización, desde la alta dirección hasta los usuarios finales.

En el desarrollo de este artículo se presenta cual es ese conjunto de actividades principales que deben llevarse a cabo dentro de una gestión de seguridad de la información, en un ciclo de mejora continua PHVA, bajo el cual se orquestan varias gestiones que alineadas completan y soportan los objetivos de seguridad de la información que normalmente se buscan satisfacer en las organizaciones.

En este sentido es importante ir más allá de tener unos requisitos normativos y de conformidad con un estándar internacional y presentar los elementos prácticos que permitan que las organizaciones comprendan y dimensionen los esfuerzos que hay que llevar a cabo para gestionar la seguridad de la información de manera sistemática.

II. GESTIONES DE SEGURIDAD DE LA INFORMACIÓN

A. Gestión de Activos de Información

Definición

En esta gestión se requiere identificar, valorar y clasificar los activos de información más importantes del negocio. Un activo de información en el contexto de un SGSI y con base en la norma ISO/IEC 27001 es: “algo a lo que una organización directamente le asigna un valor y por lo tanto la organización debe proteger”.

Para las organizaciones esta definición de activo de información puede resultar muy amplia, por lo cual es necesario establecer unos criterios qué permitan identificar lo que es un activo de información y definir las distintas formas en las cuales se pueden reconocer estos en la organización.

Se debe considerar como un activo de información principalmente a cualquier conjunto de datos creado o utilizado por un proceso de la organización., así como el hardware y el software utilizado para su procesamiento o almacenamiento, los servicios utilizados para su transmisión o recepción y las herramientas y/o utilidades para el desarrollo y soporte de sistemas de información. En casos particulares, se puede considerar como un activo de información a personas que manejen datos, transacciones, o un conocimiento específico muy importante para la organización (Por ejemplo: secretos industriales, manejo de claves importantes, “know how”).

Bajo esta gestión se persigue dar cumplimiento a tres puntos principales:

1) Inventario de Activos: Todos los activos deben estar claramente identificados y se debe elaborar y mantener un inventario de todos los activos de información importantes de la organización.

Este inventario debe tener la valoración de cada activo, indicando bajo una escala definida por la organización, por ejemplo, si es de alto, medio, o bajo valor. Adicionalmente es importante que se indique cuáles son las propiedades más importantes de proteger para cada activo en términos de su Confidencialidad, Integridad y Disponibilidad, valorando cada propiedad. Se debe indicar cual es la ubicación del activo de información y cuales son los procesos que lo utilizan.

2) Propiedad de los Activos: Toda la información y los activos asociados con los servicios de procesamiento de información deben ser “propiedad” de una parte designada de la organización. En este sentido se puede determinar algunos entes que interactúan con los activos de información como lo son:

• Propietario de la Información: El cual es una parte designada de la organización, un cargo, proceso, o grupo de trabajo que tiene la responsabilidad de definir quienes tienen acceso, que pueden hacer con la información, y de determinar cuales son los requisitos para que la misma se salvaguarde ante accesos no autorizados, modificación, pérdida de la confidencialidad o destrucción deliberada y al mismo tiempo de definir que se hace con la información una vez ya no sea requerida, así como los tiempos de retención asociados a la misma.
• Custodio Técnico: Es una parte designada de la organización, un cargo, proceso, o grupo de trabajo encargado de administrar y hacer efectivos los controles de seguridad (Toma de copias de seguridad, asignar privilegios de: Acceso, Modificaciones, Borrado) que el propietario de la información haya definido, con base en los controles de seguridad y recursos disponibles en la organización.
• Usuario: Cualquier persona que genere, obtenga, transforme, conserve o utilice información de la organización en papel o en medio digital, físicamente o a través de las redes de datos y los sistemas de información de la organización. Son las personas que utilizan la información para propósitos propios de su labor, y que tendrán el derecho manifiesto de su uso dentro del inventario de información. Para cada usuario se debería definir los derechos y niveles de acceso al activo de información (lectura, escritura, borrado, entre otros).

 

3) Directrices de Clasificación: La información debe clasificarse en términos de su valor, de los requisitos legales, de su sensibilidad y la importancia para la organización.

Los niveles de clasificación de la información para cada organización pueden variar de alguna forma, y normalmente se establecen en términos de su confidencialidad, aunque puede establecerse un esquema tan completo que abarque niveles de clasificación por características de disponibilidad e integridad. Un esquema sencillo de clasificación, en términos de confidencialidad, puede manejar dos niveles, por ejemplo, información pública e información confidencial. Para otras organizaciones dos niveles pueden ser no suficientes y en cambio puede existir información: pública, de uso interno, confidencial y altamente confidencial.

En cualquier caso la organización deberá definir que significa cada uno de esos niveles y los grados de discreción necesarios para traducirlos a que se implemente un tratamiento y manejo seguro de la misma para cada uno de los niveles de clasificación definidos, esto por ejemplo, en cuanto:

• Los niveles de acceso permitidos.
• Los métodos de distribución y/o transmisión.
• Condiciones de almacenamiento.
• Condiciones de entrega de terceros.
• Destrucción.

En este punto, el tema de manejo y tratamiento se establece con base en mejores prácticas de seguridad, que pueden ser aplicadas para cada nivel de clasificación de manera general para todos los activos de dicho nivel. Si se requiere un nivel de tratamiento y manejo particular para un activo de información, esto deberá responder y justificarse a través de la identificación de un riesgo específico sobre dicho activo, en la Gestión de Riesgos.

Principales Actividades en el Ciclo de Mejora Continua PHVA

Planear:

• 
  
• Definir que es un activo de información para la organización.
• Establecer un método de identificación y valoración de activos de información.
• Definir un esquema de clasificación.
• Establecer el tratamiento y manejo para los activos de información en cada nivel de clasificación establecido.

Hacer:

• Levantar la información de los activos de información utilizados en los procesos de la organización.
• dentificar y valorar los activos de información.
• Clasificar los activos de información.
• Hacer parte de las actividades del día a día, en los procesos de la organización, el tratamiento y manejo definido para cada nivel de clasificación.

Verificar:

• Revisar las valoraciones realizadas a los activos de información si ocurren cambios en el negocio o en la tecnología.
• Hacer una revisión de la calidad de la información consignada en el inventario.
• Realizar auditorías de cumplimiento del tratamiento y manejo de acuerdo a los niveles de clasificación estipulados.

Actuar:

• Realizar actualizaciones en la información del inventario de activos.
• Adelantar las recomendaciones producto de las auditorías realizadas.

Algunas Relaciones y/o Dependencias

• La gestión de activos de información es un prerrequisito para la gestión de riesgos de seguridad de la información.
• Cada vez que se reconozca un nuevo activo de información o se genere un cambio en alguno existente se deberá realizar una revisión del riesgo para dicho activo.
• Los incidentes de seguridad de la información se generan sobre uno o más activos de información del negocio.
• Los activos de mucho valor para el negocio, que posean necesidad de un alto grado de disponibilidad, normalmente están en el alcance de la gestión de la continuidad del negocio.

B. Gestión de Riesgos de Seguridad de la Información

Definición

Esta gestión es un conjunto de actividades para controlar y dirigir la identificación y administración de los riesgos de seguridad de la información, para así poder alcanzar los objetivos del negocio. El riesgo es una característica de la vida de los negocios por lo cual hay que tener un control sobre los mismos.

La gestión de riesgos de seguridad de la información debe garantizar que el impacto de las amenazas que podrían explotar las vulnerabilidades de la organización, en cuanto a la seguridad de su información, estén dentro de los límites y costos aceptables.

Independiente de la metodología de identificación, evaluación y tratamiento de riesgos que seleccione, tenga en cuenta el manejo de los siguientes elementos para la gestión de riesgos de seguridad de la información:

Vulnerabilidad: Es una falencia o debilidad que puede estar presente en la tecnología, las personas o en las políticas y procedimientos de una organización.

Amenaza: Es un ente o escenario interno o externo que puede hacer uso de una vulnerabilidad para generar un perjuicio o impacto negativo en la organización.

Riesgo: Es la definición de un escenario bajo el cual una amenaza puede explotar una vulnerabilidad, generando un impacto negativo al negocio (por ejemplo, pérdida de la continuidad, incumplimiento, pérdida de ingresos, entre otros).

Probabilidad: Es una cuantificación para determinar en que nivel un evento de riesgo pueda producirse. En este caso aplicado a la probabilidad de que una amenaza explote una vulnerabilidad para que se produzca o se materialice un riesgo.

Impacto: Es un efecto que ocurre a causa de la materialización de un riesgo y que va en detrimento de uno o más de los recursos importantes del negocio (Recursos: Financiero, Imagen, Ambiental, Humano, entre otros).

Tratamiento: Es el conjunto de acciones que debe desarrollar la organización para poder bajar el nivel de exposición al riesgo, a través de la disminución de la probabilidad o del impacto, o por ejemplo, cesar la actividad que de origen al riesgo en un caso muy extremo. Comúnmente el tratamiento se realiza a través de la implementación de controles o contramedidas de seguridad de la información.

Riesgo Puro: Es el nivel de impacto ante el riesgo que existe antes de aplicar cualquier acción de tratamiento.

Riesgo Residual: Es el nivel de impacto ante el riesgo que persiste después de aplicar cualquier acción de tratamiento. Se espera que el riesgo residual sea menor que el riesgo puro una vez se hayan aplicado un tratamiento al riesgo.

La gestión de riesgos de seguridad de la información representa una de las labores más dispendiosas, pero al mismo tiempo más importantes, dentro del modelo de implementación de un SGSI. Lo anterior se indica dado que las actividades recomendadas a realizar como mínimo son:

• Identificación: Identificar vulnerabilidades y amenazas para cada activo de información y describir el riesgo inherente.
• Evaluación: Establecer la probabilidad de ocurrencia del riesgo e identificar el impacto sobre los recursos del negocio, en términos de CID para cada recurso si es posible.
• Tratamiento: Identificar los controles de seguridad a nivel tecnológico, procedimiental o del talento humano existentes, o los nuevos que sean necesarios, para llevar los riesgos a los niveles residuales aceptables para el negocio, teniendo en cuenta una priorización de los riesgos que generan un mayor impacto. Para este tratamiento se utiliza como referencia la norma ISO/IEC 17799:2005, de la cual se pueden seleccionar los objetivos de control y los controles de seguridad a implementar, los cuales están debidamente tipificados en 11 dominios o áreas de trabajo.
• Monitoreo: Revisar periódicamente si las condiciones cambiantes de la organización pueden sugerir cambios en la información definida para la identificación y evaluación de los riesgos.
• Comunicación: Informar a los diferentes niveles de la organización y a los interesados en la gestión de riesgos, acerca de las acciones realizadas y los planes de tratamiento a ejecutar para asegurar los recursos necesarios para las tareas a llevar a cabo.

En el proceso de gestión de riesgos las decisiones más importantes tienen que ver con el tratamiento que se determine para cada riesgo, mediante un esfuerzo continuo de llevar los riesgos a unos niveles aceptables, bajo un esquema de costo-beneficio para la organización.

Principales Actividades en el Ciclo de Mejora Continua PHVA

Planear:

• Definir la metodología para la identificación, evaluación y tratamiento del riesgo.
• Establecer los recursos del negocio sobre los cuales de medirán los impactos.
• Establecer los criterios para definir los niveles de riesgos aceptables.
• Identificar la manera como se desplegarán y ejecutaran los planes para la implementación de controles para el tratamiento de los riesgos.

Hacer:

• Identificar vulnerabilidades, amenazas y riesgos de seguridad de la información.
• Determinar la probabilidad de ocurrencia del riesgo.
• Determinar el impacto al negocio sobre sus recursos del mismo.
• Definir los planes de tratamiento de riesgo.

Verificar:

• Monitorear si se realizan nuevas evaluaciones de riesgos con base en los cambios en el negocio.
• Hacer seguimiento a la implementación de los planes para el tratamiento de los riesgos.
• Revisar si los niveles de riesgos son aceptables o no.

Actuar:

• Realizar actualizaciones en la evaluación de riesgos existentes.
• Determinar acciones de mejora para las desviaciones que se presenten en el despliegue de los planes para el tratamiento de los riesgos.

Algunas Relaciones y/o Dependencias

• La gestión de activos de información es uno de los principales insumos de esta gestión. Adicionalmente, aunque no se presentan como gestiones sino como actividades de seguridad de la información, las pruebas de vulnerabilidades e intrusión lógica y física, los diagnósticos de capacidad de la infraestructura de TI y los diagnósticos de cumplimiento con normas y estándares de seguridad, son insumos para determinar amenazas, vulnerabilidades e impactos para la gestión de riesgos.
• Cada vez que se suscite un incidente de seguridad de la información se debe revisar y evaluar las amenazas y vulnerabilidades de los activos de información que estuvieron involucrados, para verificar si se tienen ya evaluados o no los elementos que se identificaron y analizaron como causas del incidente de seguridad de la información.
• Algunos riesgos de seguridad identificados generan la necesidad de tratamiento a través de planes de continuidad del negocio (entrada a la gestión de a continuidad del negocio).
• La gestión del cambio y la cultura de seguridad de la información debe ser un instrumento a través de cual se comunique a la organización la importancia de la seguridad de la información para mitigar los riesgos identificados e esta gestión.
• La gestión de riesgo, en su etapa de tratamiento, genera una serie de planes y proyectos a corto, mediano y largo plazo y a diferentes niveles, a los cuales se les debe hacer seguimiento a través de la gestión de la estrategia de seguridad de la información.

C. Gestión de Incidentes de Seguridad de la Información

Definición

Para comprender el objetivo de esta gestión hay que recurrir a las siguientes definiciones base:

Evento de seguridad de la información: un evento de seguridad de la información es la presencia identificada de un estado que indica un incumplimiento posible de la política de seguridad de la información, una falla de los controles de seguridad, o una situación desconocida que puede ser pertinente para la seguridad de la información.

Incidente de seguridad de la información: un incidente de seguridad de la información está indicado por un solo evento o una serie de eventos inesperados o no deseados de seguridad de la información, que tienen una probabilidad significativa de comprometer las operaciones del negocio y amenazar la seguridad de los activos de información. Los incidentes de seguridad de la información son hechos inevitables sobre cualquier ambiente de información, y estos pueden ser bastante notorios e involucrar un impacto fuerte sobre la información de la organización.

Existe una gran cantidad de métodos para afrontar los incidentes, pero si no se está preparado adecuadamente para la gestión de los mismos es muy probable que no se manejen correctamente y dentro de los tiempos necesarios, impidiendo adicionalmente que se pueda aprender de la ocurrencia y la atención de los mismos.

El objetivo principal de la Gestión de incidentes es definir un proceso que permita manejar adecuadamente los incidentes a través de un esquema que involucra las siguientes actividades:

• Preparación para la gestión de Incidentes: En la preparación se debe procurar por obtener los recursos y las herramientas necesarias. Se deben validar los procedimientos existentes, programas de capacitación y propender por la mejora de los mismos de ser necesario. La preparación también involucra un componente de prevención de Incidentes.
• Detección y análisis: La fase de detección y análisis se puede descomponer en dos elementos:
• Clasificación de incidentes de acuerdo a la política y a las revisiones de esta clasificación con base en la experiencia generada por los incidentes ocurridos.

Identificación y gestión de elementos Indicadores de un incidente, los indicadores son los eventos que nos señalan que posiblemente un incidente ha ocurrido.

• Contención, Erradicación y Recuperación: Se deben establecer mecanismos para evitar que el incidente se propague y pueda generar más daños a través de toda la infraestructura, para lograr esto se debe definir una estrategia de contención. En este proceso se elimina cualquier rastro dejado pro el incidente, por ejemplo código malicioso, y posteriormente se procede a la recuperación a través de la restauración de los servicios afectados usando procedimientos de recuperación y quizás de continuidad.
• Actividades post incidente: Las actividades Post-Incidente básicamente se componen del reporte apropiado del incidente, de la generación de lecciones aprendidas, del establecimiento de medidas disciplinarias y penales de ser necesarias y el registro en la base de conocimiento para alimentar indicadores de gestión del SGSI.

Adicionalmente la organización debe reconocer cuales son los tipos de incidentes que con mayor prioridad debe identificar y manejar, determinando los diferentes niveles de severidad para así determinar el tratamiento adecuado a cada uno de estos en cada una de las actividades antes descritas.

La ISO 27001 plantea los siguientes puntos a desarrollar sobre la gestión de incidentes:

• Reporte sobre los eventos y las debilidades de la seguridad de la información.
• Reporte sobre los eventos de seguridad de la información
• Reporte sobre las debilidades en la seguridad
• Gestión de los incidentes y las mejoras en la seguridad de la información
• Responsabilidades y procedimientos
• Aprendizaje debido a los incidentes de seguridad de la información
• Recolección de evidencias.

Principales Actividades en el Ciclo de Mejora Continua PHVA

Planear:

• Preparación para la gestión de incidentes.
• Definición de los procedimientos de detección y análisis, contención, erradicación y recuperación.
• Clasificación de los incidentes y su grado de severidad.
• Definición de los elementos indicadores de un incidente.

Hacer:

• Detectar y analizar incidentes.
• Comunicar y escalar los incidentes.
• Contener, erradicar y recuperarse de un incidente
• Documentar los incidentes de seguridad.

Verificar:

• Pruebas y auditorías a los procedimientos de atención de incidentes.

Actuar:

• Definir acciones preventivas y correctivas con base en los incidentes ocurridos.

Algunas Relaciones y/o Dependencias

• Un incidente de seguridad de la información debe ser analizado adicionalmente para determinar su connotación de responsabilidad penal y civil, para que de esta forma la disminución de los nuevos riesgos identificados y las actuaciones requeridas se administren en la gestión del cumplimiento.
• Los incidentes de seguridad deben comunicarse para que la organización aprenda de los mismos y no vuelvan a ocurrir. En este sentido debe incluirse el manejo de lecciones aprendidas en las comunicaciones y capacitaciones realizadas en la gestión del cambio y cultura en seguridad de la información.
• Un incidente de seguridad puede dar lugar a la identificación de nuevos riesgos de seguridad de la información.
• Los procedimientos de contención, erradicación y recuperación ante incidentes deben estar alineados con los planes de continuidad del negocio.
• Ciertos incidentes de seguridad deben estar formalmente tipificados, de tal forma que cuando se presenten sean el elemento disparador de la declaración formal de la ejecución de un plan de continuidad de negocio.

D. Gestión del Cumplimiento

Definición

Esta gestión permite identificar y administrar los riesgos de carácter jurídico que puede afrontar la organización, con respecto a incidentes presentados sobre sus activos de información, que se puede generar sobre diferentes componentes como son: comercio electrónico, protección de datos, habeas data, los incidentes informáticos y su connotación en términos de responsabilidad penal y civil, contratación informática y telemática, contratación laboral, contratación con terceros, derecho a la intimidad, la legislación propia del sector o industria, entre otros.

Lo que se busca es que se identifiquen los posibles riesgos que no han sido atendidos en las áreas legales antes mencionadas y para lo cual la empresa se podría encontrar vulnerable y a través de esta gestión atenderlos.

Esta gestión aunque es muy parecida a la gestión de riesgos de seguridad de la información, en algunas ocasiones puede no tener la misma naturaleza ni atenderse a través de los mismos métodos para la identificación y evaluación de los riesgos.

Con esta gestión se aborda la seguridad de la información desde el ámbito jurídico, y por ende el tratamiento se realiza a través de controles jurídicos con base en la ley del país, o los que apliquen a nivel internacional, o en un caso específico al negocio por parte de un ente regulador o de control, y los reglamentos internos disciplinarios y de trabajo.

Principales Actividades en el Ciclo de Mejora Continua PHVA

Planear:

• Estudiar las áreas legales que apliquen y que puedan generar riesgos a la organización y determinar como se abordaría su identificación, evaluación y tratamiento.

Hacer:

• Identificar y evaluar los riesgos de cumplimiento y definir su tratamiento.
• Implementar los controles jurídicos indicados en el tratamiento.

Verificar:

• Revisar los controles jurídicos establecidos para determinar si siguen siendo suficientes de acuerdo a cambios que se susciten en el negocio o el entorno jurídico nacional e internacional.

Actuar:

• Realizar las acciones de cambio o mejora a los controles jurídicos establecidos.

Algunas Relaciones y/o Dependencias

• La gestión de riesgos de seguridad de la información puede ser utilizada como una entrada para la gestión de cumplimiento, en cuanto a identificar ciertos activos de información que presenten riesgos que puedan generar impactos importantes sobre las áreas legales.
• La clasificación de los incidentes permite identificar las actuaciones que a nivel legal se tendrían que llevar a cabo al momento de presentarse un incidente de seguridad de la información.
• Los controles jurídicos a implementar para el tratamiento de riesgos de incumplimiento generan cambios o proyectos a los cuales se les tiene que hacer seguimiento en la gestión de la estrategia de seguridad de la información.

E. Gestión de la Continuidad del Negocio

Definición

Esta gestión desarrolla y administra una capacidad para responder ante incidentes destructivos y perjudiciales relacionados con la seguridad de la información que impidan continuar con las funciones y operaciones críticas del negocio, además debe tender por la recuperación de estos escenarios tan rápida y eficazmente como se requiera. Esta gestión debe permitir reducir el riesgo operacional de la organización.

Esta gestión tiene como actividades principales las siguientes:

• Realizar un análisis de impacto al negocio (BIA).
• Identificar y priorizar los recursos que soportan la actividad de los procesos de la organización.
• Elegir las estrategias apropiadas de recuperación.
• Elaborar planes de recuperación (DRP).
• Desarrollar planes de continuidad para las funciones críticas del negocio (BCP).
• Capacitar al personal en la ejecución y mantenimiento de los planes.
• Revisar y mantener los planes por cambio en el negocio o en la tecnología.
• Almacenar de manera segura los planes y contar con medios alternos de comunicación.
• Probar y auditar los planes.

Dentro de esta gestión se tiene que tener en cuenta que los objetivos principales son: Mantener las funciones críticas del negocio en los niveles aceptables que generen las menores pérdidas posibles, recuperarse rápida y eficazmente, minimizar el impacto generado por la pérdida de la continuidad, responder en forma sistemática, aprender y ajustar los planes para reducir la probabilidad de que el incidente vuelva a ocurrir, resolver posibles problemas legales y operativos que se puedan suscitar y que no hayan sido previstos en el BIA.

De los elementos mínimos a tener en cuenta en las estrategias de recuperación y continuidad están:

• Los objetivos de tiempo de recuperación (RTO, tiempo máximo tolerado para la recuperación).
• Objetivos de punto de recuperación (RPO, máxima antigüedad de los datos tolerada una vez recuperada la continuidad).
• Objetivos de entrega de servicio (SDO, niveles de servicio que se tienen que soportar mientras persiste la eventualidad).
• El máximo tiempo de funcionamiento en modo alterno o de contingencia.

Esta gestión debe responder a la necesidad de continuidad para riesgos de seguridad identificados que impacten principalmente la disponibilidad de los activos de información, y además que de respuesta a la protección ante incumplimientos de niveles de servicios y cláusulas contractuales, que puedan generar un detrimento principalmente en los recursos financieros y de imagen en las relaciones con socios de negocio, proveedores y clientes.

Principales Actividades en el Ciclo de Mejora Continua PHVA

Planear:

• Definir la metodología y los recursos del negocio que van a ser analizados en el BIA.
• Definir los objetivos de continuidad y recuperación.

Hacer:

• Desarrollar e implementar los planes de continuidad y recuperación.
• Capacitar al personal en la ejecución y mantenimiento de los planes.
• Diseñar e implementar la infraestructura de TI y de procesos que dará soporte a la ejecución de los planes.

Verificar:

• Revisar y mantener los planes por cambio en el negocio o en la infraestructura.
• Realizar pruebas y auditorías a los planes de continuidad y recuperación.

Actuar:

• Actualizar los planes de continuidad y recuperación.
• Reforzar debilidades detectadas en las pruebas y auditorias.

Algunas Relaciones y/o Dependencias

• La gestión de la continuidad del negocio debe responder a la necesidad de mitigación de varios riesgos de seguridad de la información que pueden afectar la disponibilidad varios activos de información críticos del negocio.
• Algunos riesgos identificados en la gestión del cumplimiento generan la necesidad de contar con planes de continuidad sobre ciertas funciones críticas del negocio que los entes reguladores del sector exigen.
• La gestión de riesgos de seguridad de la información puede ser utilizado como un insumo muy importante para identificar los riesgos asociados con la pérdida de la continuidad del negocio y así establecer un panorama más completo de perdida de continuidad en el BIA.

F. Gestión del Cambio y Cultura para la seguridad de la información

Definición

Esta gestión se enfoca a lograr un nivel alto de compromiso y actuación de todos los integrantes de la organización como parte fundamental del modelo de seguridad de la información. Esta gestión se convierte en un medio de vital importancia para difundir la estrategia de seguridad de la información a los diferentes niveles de la organización, para generar un cambio positivo hacia los nuevos papeles que entrarán a jugar las personas en la protección de los activos de información del negocio. El hecho de no tener un nivel adecuado de sensibilización en seguridad de la información deja en una situación de riesgo a la organización.

Como parte de esta gestión se realizan las siguientes actividades básicas:

• Establecer los diferentes grupos objetivos y definir una estrategia para las actividades de gestión del cambio y la comunicación que debe llegar a cada grupo, si es posible, con base en los niveles de resistencia al cambio observados históricamente y utilizando a los líderes y stakeholders que puedan influenciar de manera positiva el desarrollo de las actividades planteadas.[3]
• Definir las herramientas y medios a través de los cuales se desplegará la estrategia de gestión de cambio.
• Comunicar la estrategia de seguridad de la información y las mejores prácticas y hábitos de comportamiento que son importantes para poder obtener un nivel adecuado de protección de los activos de información.
• Definir los planes de capacitación requeridos para generar las competencias necesarias en el personal, para que lleven a cabo las actividades de seguridad de la información que sean desplegadas hacia sus procesos y que se interiorice la importancia de la seguridad de la información.
• Realizar una medición periódica de la efectividad de los planes desarrollados y de los niveles de aprendizaje y comportamiento de las personas, para en caso de falencias establecer cambios y mejoras en la estrategia.

Principales Actividades en el Ciclo de Mejora Continua PHVA

Planear:

• Establecer una estrategia de gestión de cambio y formación de cultura de seguridad de la información.

Hacer:

• Desarrollar los planes y programas de gestión de cambio y sensibilización en seguridad de la información.
• Desarrollar los planes de capacitación.

Verificar:

• Revisar y medir periódicamente la efectividad de los planes implementados.

Actuar:

• Realizar las acciones de cambio o mejora a los planes de gestión de cambio y capacitación.

Algunas Relaciones y/o Dependencias

• La gestión del cambio debe comunicar de la mejor manera a la organización la estrategia de seguridad de la información y el panorama de riesgos de seguridad de la información y sus impactos a la organización y principalmente sobre el recurso humano.
• Los planes de capacitación definidos en esta gestión deben estar alineados con los planes y proyectos de tratamiento de riesgos para que las personas estén preparadas para hacer uso de nuevas tecnologías, procedimientos o tener nuevas actuaciones con respecto a la seguridad de la información.
• La gestión del cambio y cultura en seguridad debe ser una de las primeras en realizarse y debe ser lo suficientemente exitosa para que todas las demás gestiones se soporten en la buena actuación y compromiso del recurso humano, con respecto a las actividades que hay que desplegar a través de toda la organización.

G. Gestión de la Estrategia de seguridad de la información

Definición

Para poder controlar y dirigir todas estas gestiones se hace necesario que la organización despliegue las mismas desde el más alto nivel de la organización, a través de:

Declaraciones Formales de Intención y Compromiso: Estas se materializan a través de políticas organizacionales que la alta dirección presenta a la organización (Por ejemplo: Política de seguridad de la información, o de la Información). Todos los demás niveles de documentación relacionados con la seguridad de la información a través de la organización, (Normas, Procedimientos, guías, etc) deben estar alineados y deben apoyar estas declaraciones de alto nivel, para que las mismas sean operativas y coherentes a través de las diferentes gestiones de seguridad.

Definición de Roles, Responsabilidades y Recursos: Se debe definir quien y con que recursos se ejecutarán las diferentes actividades del ciclo PHVA de cada una de las gestiones. Más que preocuparse inicialmente por una estructura organizacional (Unidad, Área o Dirección) lo que se debe definir es a través de la organización quien tiene que responsabilidades en los diferentes niveles, desde la alta dirección hasta los usuarios finales. Una estructura organizacional específica puede quedar muy limitada al momento de asignársele algunas responsabilidades que en realidad deben estar sobre las personas que ejecutan los procesos de la organización, para que las actividades de seguridad hagan parte del día a día y se desplieguen y se apropien en las personas.

Una dirección de seguridad de la información deberá estar orientada a orquestar y dirigir la implementación y mejora continua del modelo de seguridad de la información de manera integral.

Medición y Control: Los resultados de los esfuerzos realizados y el estado de la seguridad de la información debe incluirse en los mecanismos y herramientas de apoyo a la toma de decisiones de la organización. Por esta razón es importante que cada gestión posea indicadores de desempeño de sus actividades más representativas, y que estos a su vez representen un nivel de indicadores que están alineados con los indicadores de mayor nivel, que hacen posible el logro de los objetivos organizacionales. Es necesario que se utilicen herramientas de medición y control mediante cuadros de mando gerenciales y metodologías para su despliegue y organización (por ejemplo: Un BSC – Balanced Scorecard).

Modelo de gobierno de la Seguridad de la Información: Se busca que la estrategia de seguridad de la información tenga un marco de gestión formal, lo cual puede establecerse a través de la decisión organizacional de estar en conformidad o cumplimiento con uno o más modelos ampliamente aceptados mundialmente. La escogencia de dicho marco dependerá del tipo de organización, su tamaño, sus objetivos de seguridad y el nivel de madurez que quieran alcanzar en la gestión de seguridad de la información. Algunos de estos marcos o modelos que apoyan la gestión y que en la mayoría de los casos se complementan y comparten recursos son: COBIT, ISO/IEC 27001, ISM3, ITIL, Series del NIST, SABSA, TOGAF, entre otros.

Finalmente estos marcos o modelos influenciarán la manera como se desplieguen las diferentes gestiones aquí presentadas.

Principales Actividades en el Ciclo de Mejora Continua PHVA

Planear:

• Definir la estrategia y la política de seguridad de la información.
• Definir la organización de la seguridad.
• Definir los objetivos de la seguridad de la información.
• Definir los indicadores de gestión y la metodología de despliegue y medición.
• Definir el alcance del modelo de seguridad de la información.

Hacer:

• Comunicar y establecer la estrategia de seguridad de la información.
• Medir los indicadores definidos.
• Implementar las acciones que conlleven a desplegar las diferentes gestiones de seguridad de la información.

Verificar:

• Hacer seguimiento a los planes de implementación de las diferentes gestiones de seguridad de la información.
• Revisar los productos y resultado de las pruebas y auditorías que deben generarse.
• Revisar el cumplimiento de los objetivos de seguridad de la información con base en los indicadores definidos.

Actuar:

• Ejecutar las acciones preventivas y correctivas generadas en las diferentes gestiones de seguridad.

Es importante que no se pierda de vista que una gestión puede haber realizado el cierre del ciclo PHVA una o más veces, mientras que una gestión “más joven” apenas esté en la mitad de su primer ciclo (gestión planeada y en implementación), lo cual nos ayuda a entender precisamente el concepto de mejora continua, en el sentido en que las diferentes gestiones van madurando y completándose a través del tiempo, hasta que el modelo de seguridad es más “fácil” de operar y mantener.

III. CONCLUSIONES

La gestión de la seguridad representa un reto en cuanto a la implementación para las organizaciones, las cuales deben entender las implicaciones y el nivel de esfuerzo requerido, para lo cual se debe planificar muy bien para llegar a tener una estrategia de implementación exitosa.

Las normas o marcos de referencia de seguridad de la información nos indican comúnmente los elementos del “que hacer” o el “debe hacer”, pero en su gran mayoría no es de su alcance el “cómo hacerlo” o el “así se hace”. A pesar de que se están haciendo esfuerzos por acompañar estas normas con guías de implementación, para nuestras organizaciones generará mayor valor el compartir las experiencias reales de implementación de las compañías y el “cómo” de vencer ciertos retos en la definición e implementación de un modelo de seguridad de la información.

La implementación de modelos de Seguridad de la Información debe ser una iniciativa de debida diligencia de la alta dirección de las organizaciones, bajo el cual se gestionará la seguridad de la información para convivir de la mejor manera con los riesgos inherentes a la naturaleza de cualquier negocio.

REFERENCIAS

[1] Calder. Alan, Nueve Claves para el Éxito, una visión de la implementación de la norma NTC-ISO/IEC 27001, ICONTEC, 2006, pp. 13-38.

[2] Glosario Institucional, Policía Nacional de Colombia. "http://www.policia.gov.co/inicio/portal/portal.nsf/paginas/GlosarioInstitucional".

[3] Jones. John. 10 Principles of Change Management, tools and techniques to help companies transform quickly, 2004, pp. 1-4.

[4] Marecos. Edgardo, Conceptos Claves Acerca de la Salud, Revista de Postgrado de la Cátedra VIa Medicina, 2001, pp. 17-19.

[5] ISACA, Manual de Preparación del Examen CISM, 2005, pp. 53-82, 186-225.

Autor

Fabián Alberto Cárdenas Varela

https://www.linkedin.com/in/fabiancardenas/

@_fabiancardenas

NovaSec S.A.S

Tomado de: https://www.novasec.co/

CONTROLES OPERACIONALES EFICACES DENTRO DE LA ISO 14001

La norma ISO 14001 establece un sistema de gestión ambiental (SGA) que ayuda a las organizaciones a gestionar sus responsabilidades ambientales de manera eficaz. Uno de los elementos clave de este estándar son los controles operacionales. 

Estos controles son fundamentales para garantizar que las actividades, productos y servicios de una organización no solo cumplen con las regulaciones ambientales, sino que también contribuyen a la mejora continua en la gestión de impactos ambientales.

¿Qué son los controles operacionales?

Los controles operacionales son procedimientos y medidas establecidos para gestionar y controlar los aspectos ambientales significativos de una organización, es decir, aquellos que tienen o pueden tener un impacto ambiental negativo. Estos controles garantizan que las operaciones diarias se lleven a cabo de manera que se minimicen los riesgos para el medio ambiente.

Características de controles operacionales eficaces:

Identificación de aspectos ambientales: La primera etapa es identificar los aspectos ambientales significativos relacionados con las actividades, productos y servicios de la organización. Esto incluye evaluar qué operaciones podrían tener un impacto en el agua, el aire, la tierra, la biodiversidad, etc.

Establecimiento de procedimientos claros: Para que los controles operacionales sean eficaces, deben existir procedimientos documentados que indiquen cómo gestionar esos aspectos significativos. Estos procedimientos deben ser claros, fáciles de seguir y adaptarse a las operaciones diarias.

Asignación de responsabilidades: Es importante que se asigne personal responsable de llevar a cabo cada control operacional. Esto asegura que haya una persona o equipo a cargo del cumplimiento y seguimiento de estos controles.

Monitoreo y medición: Un control eficaz implica el monitoreo constante. Es necesario medir regularmente los resultados para asegurarse de que los procedimientos están funcionando como se espera y realizar ajustes si es necesario.

Capacitación del personal: Los empleados deben ser conscientes de los controles operacionales aplicables a sus tareas. La capacitación adecuada y continua es fundamental para garantizar que los procedimientos se sigan correctamente.

Evaluación y revisión periódica: La efectividad de los controles operacionales debe revisarse regularmente para garantizar que siguen siendo adecuados para minimizar los impactos ambientales, especialmente si hay cambios en los procesos o en la legislación aplicable.

Preparación ante emergencias: Los controles operacionales deben incluir planes de contingencia para emergencias ambientales, como derrames de sustancias químicas o emisiones no controladas. Estos planes permiten una respuesta rápida y eficaz ante incidentes que puedan afectar al medio ambiente.

Ejemplos de controles operacionales:

Gestión de residuos: Procedimientos para la segregación, almacenamiento y disposición de residuos peligrosos y no peligrosos.

Control de emisiones: Uso de tecnologías para reducir las emisiones de gases contaminantes en procesos industriales.

Conservación de recursos: Procedimientos para el uso eficiente del agua, energía y otros recursos naturales, como la implementación de sistemas de riego eficientes en agricultura o la reducción de consumo de energía en la industria.

Mantenimiento de equipos: Garantizar que los equipos que pueden tener un impacto ambiental (por ejemplo, maquinaria que emite gases) se mantengan adecuadamente para reducir el riesgo de fallos y emisiones no controladas.

En resumen, los controles operacionales eficaces dentro de la ISO 14001 son aquellos que permiten a la organización gestionar sus impactos ambientales de manera proactiva, asegurando el cumplimiento de las normativas y contribuyendo a la mejora continua de su desempeño ambiental.

Tomado de: https://isotools.org/

 

NUEVA ISO 37009. CONFLICTO DE INTERESES EN LAS ORGANIZACIONES

La ISO 37009, aún en desarrollo o de reciente publicación, está centrada en la gobernanza organizacional y establece directrices para mejorar la gobernanza en organizaciones públicas y privadas. 

Un tema clave que aborda esta norma es el conflicto de intereses dentro de las organizaciones. 

La Nueva ISO 37009. Conflicto de intereses en las organizaciones

El conflicto de intereses surge cuando una persona o entidad tiene intereses personales que podrían influir, de manera inapropiada, en sus decisiones o acciones en el ámbito profesional. En este sentido, la ISO 37009 establece mecanismos y recomendaciones para identificar, gestionar y mitigar estos conflictos dentro de las organizaciones. Aquí se detallan algunos puntos relevantes sobre cómo la norma aborda este asunto:

 1. Identificación y evaluación de conflictos de intereses

La norma promueve que las organizaciones adopten políticas claras para identificar los posibles conflictos de intereses. Esto incluye el mapeo de riesgos en las diferentes áreas de la organización donde podrían surgir estos conflictos, ya sea en la toma de decisiones, adjudicación de contratos o selección de personal.

2. Transparencia en la toma de decisiones

La ISO 37009 subraya la importancia de la transparencia como una herramienta clave para prevenir y gestionar conflictos de intereses. Esto implica que todas las decisiones importantes, especialmente las que involucran recursos, deben estar claramente documentadas y ser accesibles a las partes interesadas, lo que disminuye la posibilidad de decisiones sesgadas.

3. Declaración de intereses personales

Una de las recomendaciones clave es que las organizaciones soliciten a sus empleados o directivos que declaren sus intereses personales y financieros que puedan entrar en conflicto con sus responsabilidades. Esta práctica preventiva ayuda a las organizaciones a conocer posibles riesgos y actuar de manera anticipada.

4. Mecanismos de gestión y mitigación

La norma recomienda establecer mecanismos para gestionar los conflictos de intereses una vez identificados. Esto puede incluir desde la exclusión de una persona de determinadas decisiones hasta la creación de comités independientes que evalúen las situaciones que podrían generar conflictos.

5. Capacitación y sensibilización

Para que las políticas de conflicto de intereses sean efectivas, la ISO 37009 también promueve la formación y sensibilización del personal. Esto implica educar a los empleados y directivos sobre cómo identificar y manejar los conflictos, así como las consecuencias de no gestionarlos adecuadamente.

6. Responsabilidad y rendición de cuentas

Una organización que implementa la ISO 37009 busca asegurar que haya una responsabilidad clara y rendición de cuentas en caso de que surjan conflictos de intereses. Se establece un sistema en el que los responsables de la toma de decisiones deben justificar sus acciones y garantizar que no están influenciadas por intereses personales.

En resumen, la ISO 37009 establece un marco sólido para que las organizaciones gestionen eficazmente los conflictos de intereses, fomentando la integridad, la transparencia y la ética en sus actividades. 

Al seguir estas directrices, las organizaciones no solo protegen su reputación, sino que también mejoran su gobernanza y su capacidad de tomar decisiones imparciales y justas.

Tomado de: https://isotools.org/