Disponibilidad y Continuidad (El Factor Humano) en la Organización | ISO 27001

Basados en la gráfica anterior, nos damos cuenta inmediatamente que un plan integral de seguridad de información con foco en la continuidad y la disponibilidad de sistemas, tiene tres elementos críticos que requieren un alto grado de análisis para poder lograr los objetivos de disponibilidad de operaciones y de regreso exitoso a operar un ambiente TIC después de un evento catastrófico, a saber:

  1. Personas. Una adecuada gestión y tratamiento
  2. Procesos. Al menos para actividades sustantivas/críticas
  3. Tecnología. Administración formal de la infraestructura y servicios necesarios para uso óptimo y mejores prácticas.

Los elementos fundamentales a considerar

ISO 27001 es la Norma encargada de la Gestión de la Información

En este capítulo vamos a analizar el primero de ellos, las personas de nuestra organización, que bien ha sido denominado el capital humano, y es sobre este recurso que un buen plan debe basarse para lograr el éxito esperado a través de la consecución de los objetivos planteados de disponibilidad y reiniciar las operaciones TIC al menos para las áreas críticas del negocio. Por eso se describe que la gestión y el tratamiento adecuado de este recurso ES CRUCIAL para obtener dichos objetivos. Iniciemos.

Bajo el marco regulatorio de la norma ISO 27001, relativa a la seguridad de la información, es que se definen estos tres elementos críticos que de manejarse y administrarse adecuadamente dentro de un plan integral y FORMAL, nos permitirá, además de alinearnos a la norma, especificar de una manera ordenada y metodológica las gestiones necesarias encaminadas a mantener, o reanudar, en este caso particular, las operaciones de nuestros sistemas informáticos, por lo que esta norma, como muchas otras, coloca al recurso humano como el elemento esencial en el logro de dichos objetivos, definiendo claramente que el involucramiento y responsabilidad está EN LOS NIVELES DE LA ALTA DIRECCIÓN, de donde debe permear esta iniciativa a todos los niveles inferiores de la organización, y bajo este contexto, es simple concluir el por qué el recurso humano es vital para la implementación exitosa de un plan orientado a maximizar la disponibilidad y seguridad de nuestros sistemas informáticos.

La debida gestión y tratamiento del capital humano, orienta sus objetivos hacia el sentido de pertenencia, de involucramiento y de cooperación en la implementación de los planes y métodos particulares para la organización.

Iniciemos con un elemento clave de pertenencia, y definamos que el adecuado entrenamiento que deberán recibir TODOS los usuarios clave, el personal técnico, los directivos, algunos proveedores, etc…en materia de la adecuada aplicación y uso de las políticas que sean definidas para proteger el acceso, el uso, la administración de los sistemas así como el adecuado tratamiento que se debe de dar a la información a la cual cada uno de ellos tiene acceso y que por lo tanto es responsable de su uso y protección, nuevamente, basado en las políticas que para tal efecto se dictaminen, nos dará dicha pertenencia al plan. En estricta teoría, este entrenamiento completo, se ejecuta “sólo” para un subconjunto preseleccionado de empleados, normalmente aquellos que tienen relación directa con la TIC, los procesos críticos y la adecuada “administración” del capital humano en general.

Un plan integral de comunicación formal es otro elemento indispensable de pertenencia e involucramiento, nos ayuda en la adecuada gestión de seguridad a través de empleados y directivos, estos planes pueden ser eventos formales, videos informativos, sesiones teórico-prácticas o cualquier apoyo y elemento audiovisual que ayude a que TODOS los empleados estén debidamente comunicados y sepan qué hacer en tales o cuales circunstancias, no olvidando que dentro de la “cadena de suministro” deben ser considerados los proveedores, socios, personal de nuevo ingreso, etc… en el plan integral de comunicación.

Control y medición de resultados es en sí mismo un sistema de mejora continua y auditoría, que permite evaluar el grado de asimilación cultural que está teniendo en los empleados y personal relacionado con la organización, la implementación y uso adecuado de las políticas establecidas,

Como se ha descrito en párrafos anteriores, el involucramiento humano DEBE ser ejecutado en todos y cada uno de los niveles de la organización, por lo que ante este escenario que se complica en función del tamaño de la empresa,la definición de Roles y Responsabilidades es otro elemento crucial que nos permite “segmentar” las políticas generales en casos más “especializados” y además, definir y nombrar a quienes serán los responsables de que la ejecución de las políticas de seguridad de información y disponibilidad se lleve realmente a cabo.

En este ejemplo, dicha “segmentación” está enfocada a maximizar la disponibilidad de los sistemas y además a tener todo un plan documentado para un regreso lo más rápido posible y seguro a la reanudación de las operaciones esenciales, por lo que el responsable de estos dos casos “especializados” debe tener dentro de su rol en la empresa el cumplimiento de estos objetivos de negocio a través del conocimiento, comunicación, control y medición y entrenamiento en las políticas específicas aplicables a estos dos particulares objetivos bajo el marco regulatorio y las políticas organizacionales respectivas.

En resumen, para alinear nuestra TIC a cumplir diferentes objetivos de negocio, y en este caso particular el de maximizar la disponibilidad y lograr una recuperación exitosa y expedita de nuestros sistemas, es INDISPENSABLE que todo el personal de nuestra empresa sea CORRESPONSABLE en la definición, ejecución, cumplimiento
y MEJORA CONTINUA del plan de seguridad de la información, pues de ella, la información, “vive” nuestra empresa y sin ella estamos a merced de nuestros competidores y de las leyes del mercado.

CLARO, SIMPLE, CONTUNDENTE Y CONGRUENTE.

En SERVICES4iT estamos genuinamente comprometidos en desarrollar soluciones tecnológicas que permitan que las organizaciones como la tuya logren sus objetivos de Negocio utilizando la tecnología correcta.

¿Cómo te Apoyaremos durante esta cuarentena?

Te daremos las mejores recomendaciones para poder llevar la operación de TI de tu Oficina a casa de manera segura:

  • Conexiones VPN Seguras y Telefonía IP (En tu Smartphone o Laptop).
  • Ciberseguridad (Ver artículo “Ciberseguridad en Casa”)
  • Soporte Técnico Remoto (Ver Sitio de Soporte)
  • Servicios de Nube para llevar tus aplicaciones a Nube Pública (IaaS y SaaS)
  • Servicios de Protección en Nube con Servicios de BaaS (Backup as a Service) y Disaster Recovery as a Service (DRaaS). (Ver artículo “¿Que es BaaS y DRaaS?”) y Nuestro Servicio sin costo por 30 días de PROTEGER.MX. Presiona Aquí. 
  • Presiona la siguiente imagen para mayor Información.

Deseándoles Salud y que sus Organizaciones sigan Productivas ayudando a que nuestra economía siga moviéndose.

RELATED ARTICLESMORE FROM AUTHOR

LEAVE A REPLY

Please enter your comment!
Please enter your name here