UNIDAD 5: LA SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN
El análisis de riesgos
También conocido como evaluación de riesgo o PHA por sus siglas en inglés Process Hazards Analysis, es el estudio de las causas de las posibles amenazas, y los daños y consecuencias que éstas puedan producir.
Este tipo de análisis es ampliamente utilizado como herramienta de gestión en estudios financieros y de seguridad para identificar riesgos (métodos cualitativos) y otras para evaluar riesgos (generalmente de naturaleza cuantitativa).
El primer paso del análisis es identificar los activos a proteger o evaluar. La evaluación de riesgos involucra comparar el nivel de riesgo detectado durante el proceso de análisis con criterios de riesgo establecidos previamente.
La función de la evaluación consiste en ayudar a alcanzar un nivel razonable de consenso en torno a los objetivos en cuestión, y asegurar un nivel mínimo que permita desarrollar indicadores operacionales a partir de los cuales medir y evaluar.
Los resultados obtenidos del análisis, van a permitir aplicar alguno de los métodos para el tratamiento de los riesgos, que involucra identificar el conjunto de opciones que existen para tratar los riesgos, evaluarlas, preparar planes para este tratamiento y ejecutarlos.
El sistema de gestión de seguridad de la información
Un Sistema de Gestión de la seguridad de la Información (SGSI) es, como el nombre lo sugiere, un conjunto de políticas de administración de la información. El término es utilizado principalmente por la ISO/IEC 27001.
El término se denomina en inglés "Information Security Management System" (ISMS).
El concepto clave de un SGSI es para una organización del diseño, implantación, mantenimiento de un conjunto de procesos para gestionar eficientemente la accesibilidad de la información, buscando asegurar la confidencialidad, integridad y disponibilidad de los activos de información minimizando a la vez los riesgos de seguridad de la información.
Como todo proceso de gestión, un SGSI debe seguir siendo eficiente durante un largo tiempo adaptándose a los cambios internos de la organización así como los externos del entorno.
5.5 La auditoría y control del sistema de gestión
La Auditoría de Gestión aunque no tan desarrollada como la Financiera, es si se quiere de igual o mayor importancia que esta última, pues sus efectos tienen consecuencias que mejoran en forma apreciable el desempeño de la organización. La denominación auditoría de gestión funde en una, dos clasificaciones que tradicionalmente se tenían: auditoría administrativa y auditoría operacional.
Definir el concepto de control de gestión implica considerar el desarrollo del mismo en su ámbito administrativo, distintos autores ha definido el concepto de acuerdo a sus propias posiciones e interpretaciones. Sin embargo la mayoría coincide en que es un sistema dinámico e importante para el logro de metas organizacionales, dichas metas provienen inicialmente del proceso de planeación como requisito básico para el diseño y aplicación del mismo, dentro de ciertas condiciones culturales y organizacionales.
Dentro de la descripcióny valoración del control de gestión se especifican dos concepciones comunes aceptadas en el ámbito administrativo, por un lado se tiene al control como necesidad inherente al proceso de dirección (enfoque racional) y por el otro, en un paradigma mas integral vinculado no sólo a la dirección formal, sino a factores claves como la cultura, el entorno, la estrategia, lo psicológico, lo social y la calidad, representados por los llamados enfoques psicosociales, culturales, macro sociales y de calidad.
No basta con decir claramente a donde queremos llegar con nuestros esfuerzos y como lo vamos a realizar, es imprescindible establecer cuáles son para la organización aquellos factores críticos que hay que cuidar para tener éxito (FCE), muchos de los cuales están íntimamente ligados con las estrategias que se van a desarrollar. De ahí que, si queremos tener dominio (control) sobre lo que esta ocurriendo, el control debe estar enfocado a evaluar el comportamiento de los factores críticos que inciden en el cumplimiento de las estrategias. Así, el control debe ser flexible, ajustándose permanentemente a las cambiantes estrategias de la organización.
El concepto de control bajo la perspectiva de calidad, incluye un conjunto de herramientas y técnicas de control de los procesos básicos de la organización; entre ellas se tienen al control estadístico de procesos, control de la calidad total y la gestión de la calidad total.
Sus principios se centran en la formación y preparación de los empleados, la unión entre directivos y empleados para la formulación de estándares, el papel de la inspección por parte de los propios empleados de los resultados durante el proceso productivo y la revisión de los errores o desviaciones bajo la premisa de mejora continua.
1.- Diagnóstico Institucional: todo proceso de control de gestión comienza con el estudio propio del sistema a controlar. El diagnóstico tiene como objetivo, según Abad , identificar posibles obstáculos que puedan interferir en la eficacia del sistema, del mismo modo establecer si están dadas las condiciones para la ejecución del sistema propuesto e identificar los procesos claves para que el sistema opere sobre ellos y sus variables claves, a fin de garantizar en lo posible el éxito organizacional. Generalmente los análisis institucionales se orientan hacia el estudio estratégico de la organización, es decir identificando fortalezas y debilidades internas con su relación al entorno amenazante o facilitador de resultados productivos, de igual manera analiza normas, sistemas financieros, cultura organizacional, estructura, capacidad estratégica, desempeño institucional de recursos humanos, entre otros.
2.-Identificación de procesos Claves: luego de conocer como se encuentra el sistema a controlar, es necesario identificar los procesos claves para el éxito empresarial, el control de gestión no actúa sobre todos los procesos internos de la organización, sino por el contrario se centra en aquellos suficientemente importantes en el desempeño eficaz del sistema a controlar, van desde la situación financiera, pasando por la situación comercial, producción, productividad, personal, servicios al cliente, relaciones con otros entes, eficacia, eficiencia, calidad, pertenencia, entre otros.
3.- Diseño del sistema de indicadores: De la identificación de las áreas claves, se originan los indicadores que van a permitir medir atributos de dichos procesos y tomar las decisiones pertinentes para su corrección. Un indicador se define como la relación entre variables cuantitativas o cualitativas que permiten observar la situación y las tendencias de cambio generadas en el objeto o fenómeno observado, respecto a los objetivos y metas previstas e influencias esperadas.
· El entorno: este puede ser estable o dinámico, variante cíclicamente o completamente atípico. Una buena adaptación del entorno facilitada en desarrollo en la empresa.
· Los objetivos de la empresa: ya sean de rentabilidad, de crecimiento, sociales y ambientales.
· La estructura de la organización: según sea, funcional o divisional, implica establecer variables distintas, y por ende objetivos y sistemas de control también distintos.
· El tamaño de la empresa: esta condición está relacionada con la centralización, mientras más grande la empresa es necesario descentralizarla, porque afecta la toma de decisiones debido a la gran cantidad de información que se maneja.
· La cultura de la empresa: las relaciones humanas son muy importantes, y se debe incentivar y motivar al personal que labora en la empresa.
No hay comentarios:
Publicar un comentario