0 27001 Comunicando A La Organizacion

423 views
349 views

Published on

SGSI - Introducción en la Organización

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
423
On SlideShare
0
From Embeds
0
Number of Embeds
17
Actions
Shares
0
Downloads
4
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

0 27001 Comunicando A La Organizacion

  1. 1. http://ar.linkedin.com/pub/fabian-descalzo/a/a15/8a627001 - Comunicar a la OrganizaciónComo generalmente pasa con todo, lo más difícil es el principio... la concientizaciónorganizacional nos lleva a plantear una estrategia de comunicación en tres diferentesniveles (Dirección - Gerencia - Usuarios) y cada uno de estos niveles va a tener un"lenguaje o idioma" referente al interés de grupo de cada uno, ya sea relacionado a loeconómico/resultados como a los intereses personales.Por ello, es necesario realizar un estudio inicial referente a dos puntos de vistaimportantes de la Cultura de la Organización:La cultura operativa/funcional Puede verse a través de documentos (organigrama, procedimientos funcionales, certificaciones adquiridas, registros de cumplimiento de las mismas, métodos de registración de operaciones y funciones, etc.)La cultura de los recursos humanos A mi entender es la más importante para saber como iniciar un proyecto de Seguridad de la Información, es la de analizar como tratan y cumplen las personas con cada uno de los documentos arriba mencionados, nivel de compromiso, enfoque de interés (según los niveles que mencionamos)De esa forma podremos construir un modelo de comunicación para poder obtener el Seguridad de la Información – Auditoría de Sistemasapoyo de la Dirección y Alta Gerencia, y la colaboración de los Usuarios y su compromisocon el proyecto, responsabilidad con la información brindada y eficiencia en su efectivaimplementación.El modelo de comunicación es una herramienta se debe diseñar "a medida" en función desaber y analizar la información que antes mencionamos referente a la Organización. Depor sí, ya sabemos que dentro de esos grandes grupos que hemos definido comoDirección, Gerencias y Usuarios, los intereses de cada uno son diferentes: • Dirección: Objetivos e imagen de la empresa, y resultados económicos (no olvidemos que son quienes deben responder ante los Accionistas en resultados económicos y ante la Sociedad como imagen corporativa) • Gerencias: Objetivos funcionales y resultados operativos, que en caso de surgir un problema impactan directamente sobre los resultados esperados por los Directores, 1
  2. 2. http://ar.linkedin.com/pub/fabian-descalzo/a/a15/8a6 lo que hace que su foco esté orientado más sobre el proceso del negocio y el aseguramiento de su continuidad, disponibilidad e integridad. • Usuarios: Componentes operativos que hacen que una función cumpla con todos sus procesos de negocio y con los objetivos esperados por Gerencias y Directores.Si tenemos claro esto, nos sería fácil definir como comunicarnos y establecer la forma decomunicar la necesidad del SGSI a cada grupo de la Organización: • Dirección: Asegurar objetivos corporativos, ya sea tangible (ecnómico) como intangible (imagen en el mercado) • Gerencias: Asegurar objetivos funcionales y resguardo de los activos de la Organización • Usuarios: Tomar conocimiento y conciencia de la importancia de sus tareas y conocimientos, del trato que tienen sobre los activos de la empresa, y fomentarle el valor de su información sobre la compañía, funciones y cada uno de los procesos en los que participa.Una vez hecho el análisis anterior, el "Modelo de Comunicación" se va a completar conencuestas, presentaciones, reuniones de inducción, etc. para cada uno de los gruposmencionados, en forma independiente teniendo en cuenta que se debe iniciar con losniveles superiores primero, solapando aquellas reuniones en las cuales se presentenavances sobre el tema. Seguridad de la Información – Auditoría de SistemasEsta comunicación va a permitir introducir vocablos y definiciones sobre el tema que,luego de haber hecho un trabajo constante, se va a establecer en algo común dentro de laOrganización... como lenguaje y como cultura.Dirección y Alta GerenciaLo primero que debe reconocer la Organización es la importancia de uno de susprincipales activos: LA INFORMACIÓN, y en función de ello podrá descubrir no solo losriesgos que enfrenta a diario (los 365 días del año) sino también el INTERES de aquellosagentes internos y externos en violarla, ya sea en su Integridad, como Confidencialidad yDisponibilidad.La dirección debe reconocer que lo que se plantea es la implementación de un esquemade seguridad orientada al negocio, y la ISO 27001 es la herramienta de que dispone 2
  3. 3. http://ar.linkedin.com/pub/fabian-descalzo/a/a15/8a6(como marco normativo) para implantar su política y objetivo de Seguridad de laInformación.Este Sistema proporciona mecanismos para la salvaguarda: • De los Activos de Información. • De los Sistemas que los procesan.Ventajas de certificar la Seguridad de la InformaciónCon respecto al Negocio: • Integrar la gestión de la seguridad de la información con otras modalidades de gestión empresarial • Mejorar la imagen confianza y competitividad empresarial. La organización que desarrolle un SGSI según la norma, tendrá ventajas de reconocimiento por los organismos que certifican los sistemas. • Comprobar su compromiso con el cumplimiento de la legislación: protección de datos de carácter personal, servicios sociedad de información, comercio electrónico, propiedad intelectual, etc... • Dar satisfacción a accionistas y demostrar el valor añadido de las actividades de seguridad de la información en la empresaPara los Sistemas de Información: • Sistematizar las actividades de SI • Ahorro de recursos en las actividades de SI, mejorando la motivación e implicación de los empleados • Analizar riesgos: identificar amenazas, vulnerabilidades e impactos en la actividad Seguridad de la Información – Auditoría de Sistemas empresarial • Establecer objetivos y metas que permitan aumentar el nivel de confianza en la seguridad • Planificar, organizar y estructurar los recursos asignados a seguridad de la información • Identificar y clasificar los activos de información • Seleccionar controles y dispositivos físicos y lógicos adecuados a la estructura de la organización • Asegurar el nivel necesario de disponibilidad, integridad, y confidencialidad de la información • Establecer planes para adecuada gestión de la continuidad del negocio • Establecer procesos y actividades de revisión, mejora continua y auditoría de la gestión y tratamiento de la información 3

×