ISO 30300 e ISO 30301: Estandares para el Sistema de Gestion de Registros

Teniendo como fundamento las fallas actuales del Gobierno Corporativo, dos nuevos estandares ISO respaldaran a las Organizaciones a revelar la informacion corporativa con rapidez y eficacia.  El aumento creciente de la presión por parte de los entes reguladores obliga a las compañías a suministrar esta información debido a que las irregularidades en gestión financiera, conflictos de interés y la transparencia en la toma de decisiones se han vuelto demasiado comunes para las Organizaciones.

Para cubrir esta necesidad, nace la ISO 30300:2011 Sistema de Gestión de Registros Fundamentos y Vocabulario, y la ISO 30301:2011 Sistema de Gestión de Registros Requerimientos, las cuales contaron en su desarrollo con la participación de expertos de 27 países en los 5 continentes.

Estos estándares fueron desarrollados para ser compatibles y complementarios con otros sistemas de gestión, tales como ISO 9001 (Gestión de Calidad), ISO 14001 (Gestión Ambiental) e ISO 27001 (Gestión de Seguridad de la Información)

ISO 30300 es el estándar fundamental que incluye los fundamentos y el vocabulario general para toda la serie, mientras que la ISO 30301 especifica los requerimientos para un sistema de gestión de registros. Estándares adicionales para la serie ISO 30300 continúan aun bajo desarrollo.

De acuerdo a Judith Ellis y Carlota Bustelo, quienes fueron lideres de los equipos de trabajo que desarrollaron estos estandares, resaltan que la serie ISO 30300 ofrece la metodología para una aproximación sistemática para la creación y gestión de registros, alineándose con los objetivos y estrategias organizacionales. La Gestión de Registros a través de un Sistema de Gestión de Registros rentabiliza procesos operacionales como almacenamiento, recuperación de información, reutilización de la información, litigios y elaboración de Due Dilligence.

El costo de la implementacion de un SGR (Sistema de Gestion de Registros) depende del alcance de la implementacion dentro de cada organizacion, y esta determinado por las necesidades del negocio y analisis de riesgos, y puede generar retornos de la inversion a corto y/o largo periodo, asi como una reducción de costos.

Los factores globales obligan a las organizaciones, sean o no con animo de lucro, privadas o estatales, grandes o pequeñas, a reducir sus costos y a aumentar su responsabilidad ambiental para que implementen un SGR. Dentro de estos factores encontramos:

•  Intensa competicion comercial
• Cambios tecnológicos intensos enfocados hacia el e-commerce y el e-government.
• La velocidad de las comunicaciones y la diseminacion de informacion a traves de Internet. 
• Incremento en la complejidad de regulaciones ambientales a nivel local, nacional e internacional.
• Expectativas crecientes de los ciudadanos para ver organizaciones que trabajen de manera responsable, transparente y con responsabilidad social. 
•  El incremento de los riesgos externos, incluyendo amenazas de seguridad y desastres naturales.

La creación de registros es esencial para las actividades de toda organización, proceso y sistema. Un SGR respalda la eficiencia organizacional, la rendición de cuentas, gestión de riesgos, y continuidad de negocios; y le permite a las organizaciones capitalizar el valor de sus registros de información como negocios, activos comerciales y conocimiento. Al mismo tiempo, el SGR contribuye a la preservación de la memoria corporativa, en respuesta a los desafíos del medio ambiente global y digital.

Dentro de los sectores a los cuales va orientado este nuevo estándar incluye el sector estatal, educativo y de manufactura (especialmente farmacéuticas y mineras). Compañias involucradas en programas de responsabilidad social, así como los sectores con una fuerte necesidad de demostrar el cumplimiento, como la energía nuclear y las telecomunicaciones, se espera que se beneficien a partir de su aplicación efectiva.

La versión en español de este estandar esta aun por ser anunciado, y opino que seria fantástico se convirtiera en una obligatoriedad a nivel estatal en Colombia. 

Publicada la ISO 27035:2011 Gestion de Incidentes de Seguridad

Desde piratas informáticos tratando de irrumpir en las redes de seguridad, a personal interno usando sus conocimientos y derechos internos de acceso al uso de datos de la empresa para su beneficio personal, el impacto de una amplia variedad de amenazas de seguridad de la información puede ser reducida usando la nueva Norma Internacional ISO / IEC 27035:2011 de gestión de incidentes de seguridad de la información.

 

La violación de la seguridad de la información puede poner en peligro sus sistemas de negocio y causar perturbaciones en las operaciones comerciales. El estar preparados y responder de una manera eficaz y oportuna puede significar la diferencia entre un incidente menor y un desastre en el negocio. El uso de un sistema de gestión de incidentes de seguridad de la información permite a las organizaciones los controles y procedimientos para gestionar una amplia variedad de incidentes de seguridad y vulnerabilidades. 

ISO / IEC 27035:2011, Tecnología de la información - Técnicas de seguridad – Gestión de Incidentes de Seguridad de la Información, es una orientación sobre  "cómo hacer" para la detección, notificación y evaluación de incidentes de seguridad de la información y las vulnerabilidades. La norma ayudará a las organizaciones a responder ante incidentes de seguridad informática, incluyendo la activación de los controles adecuados para la prevención y la reducción de, y la recuperación de los impactos, y, al hacerlo, aprender y mejorar su enfoque global.

La integración del sistema de gestión de incidentes de seguridad de la información ofrece varias ventajas:

• Mejorar la seguridad de la información general
• Reducir los impactos adversos en los negocios
• Reforzar el enfoque de prevención, establecimiento de prioridades y la evidencia de incidentes de seguridad de la información.
• Contribuir a las justificaciones presupuestarias y de recursos
• Mejorar cambios en la evaluación de riesgos de seguridad de información y los resultados de la gestión
• Proporcionar una mayor conciencia en seguridad de la información y en el material del programa de formación
• Proporcionar información en su política de seguridad de la información y comentarios relacionados con la documentación.

Edward Humphreys, cuyo equipo desarrolló la versión original de la norma, ISO / IEC TR 18044:2004, comentó: "el manejo eficaz y oportuno de los incidentes importantes puede marcar la diferencia entre la supervivencia o la" muerte "de una organización. La nueva norma ISO / IEC 27035 proporciona consejos de probada eficacia en los procesos y métodos que deben implementarse para garantizar una gestión eficaz de los incidentes de seguridad de la información.

"Los incidentes pueden variar de los menores, que pueden tener un impacto en el negocio de manera aislada, a un incidente grave, que afecta a todos los sistemas empresariales. Algunos de los incidentes tienen el efecto de perturbar a la organización y al uso de los recursos de su negocio de 24 a 72 horas o más, por una gran pérdida y / o destrucción de datos y otros pueden ser delitos graves. ISO / IEC 27035:2011 ofrece una solución. "

ISO / IEC 27035:2011, que sustituye al informe técnico ISO / IEC TR 18044:2004, es compatible con los conceptos generales especificados en la norma ISO / IEC 27001:2005, Tecnología de la información - Técnicas de seguridad - Sistemas de gestión de seguridad - 

Requisitos.

La nueva norma es aplicable a cualquier organización, independientemente de su tamaño. Cubre una amplia gama de incidentes de seguridad de la información, ya sean deliberados o accidentales, y ya sea causada por medios técnicos o físicos.

ISO / IEC 27035:2011, Tecnología de la información - Técnicas de seguridad – Gestión de Riesgos de Seguridad de la Información, fue desarrollada por el Comité Técnico Conjunto ISO / IEC JTC 1, Tecnología de la Información, subcomité SC 27, Técnicas de seguridad de TI. La norma está disponible en los institutos nacionales miembros de ISO. También se puede obtener a través de la web de ISO.

*Fuente iso.org

Desafíos En Seguridad De La Información: La amenaza latente de empleados inconformes y/o exempleados

En cualquier organización mantener la información segura es todo un reto, especialmente si el clima laboral es adverso o si se presentó una situación que termino con el despido de uno o varios empleados. Actualmente la situación laboral multiplica dicha dificultad pues muchas empresas han tenido que hacer reducciones de personal para tratar de sobrevivir y mantenerse operativas, generando así exempleados altamente inconformes dispuestos a revelar información sensible a la competencia como “venganza” por haber sido víctimas de dichas restructuraciones. Ante esta situación, ¿Estan sus Empresas protegidas adecuadamente para proteger la información sensible de empleados molestos o exempleados con algún resentimiento?

Si la respuesta es NO, o inclusive un si, aquí algunas consideraciones a tener en cuenta:

El Poder de una política
Hay que contar con una política escrita. Esta política puede incluir leyes y regulaciones aplicables a su incumplimiento, pero también debe incluir medidas de seguridad relacionadas a los diferentes procesos de la Organización.
Incluyan las consecuencias de filtrar información. Enfatice que cualquier fuga de información sensible de la Compañía por un empleado o exempleado no será tolerada.
Defina los permisos de acceso para cada uno de los miembros de su Organización.
Limite la cantidad de información a la que pueda acceder cada uno de los empleados de su Organización, actividad que contribuye a disminuir la cantidad de información que pueda filtrarse fuera de la Organización.
Como ocurre con cualquier política corporativa, entrene a los empleados en su aplicación y cumplimiento.
Actualice las políticas frecuentemente, dependiendo principalmente de los nuevos riesgos que sean detectados.
Rapidez y permisos son claves para proteger sus Organizaciones de fugas de información. Una vez se finalice un contrato de trabajo, haga que recursos humanos informe a sistemas para que elimine todos los permisos que tenia ese empleado y restrinja el acceso de esas personas a la Organización. Muchos empleados copian información en sus teléfonos móviles, equipos portátiles, memorias USB, etc. asi que solicite la inmediata devolución de todas esos archivos. Conozco casos de primera mano en lo que a un empleado que se le finalice el contrato laboral son escoltados fuera de las instalaciones de la Organización y un superior le hace entrega posteriormente de todas las pertenencias que dejo en su puesto de trabajo., una medida sumamente extrema pero altamente efectiva pues minimiza al máximo la posibilidad de fugas de información reciente.

Lista de Chequeo en Seguridad
Es una gran idea tener una lista de chequeo con las actividades a realizar una vez que sale un empleado de la Compañía. Cada vez que esot ocurra, hay que actuar rápidamente bloqueando todos los accesos que tuviera dicho empleado a la información de la Compañía, y puede tener muchos accesos principal razón para tener una lista de chequeo con tal fin. Una vez preparada la lista, asignen responsables diferentes para la realización de las tareas incluidas, lo cual acelerara el bloqueo al acceso de la información. Una lista básica debe incluir las siguientes categorías:

1. Asegurarse de que el exempleado no pueda reingresar a las instalaciones de la Organizacion.
2. Eliminación de los permisos de entrada a las instalaciones de la Compañía: tarjetas de acceso, cambiar contraseñas de sistemas, eliminación de permisos de red, desactivar accesos remotos, eliminar su cuenta de email, cancelación de tarjetas de crédito, etc.
3. Monitorear el equipo del exempleado para detectar posibles intrusiones.
4. Minimizar cualquier atractivo existente las posibilidades de que el exempleado intente acceder a la información que manejaba en la Organización.

Para mas detalles en la definición de la lista de chequeo los pueden encontrar en este LINK.

ISC2 - Estudio sobre Profesionales en Seguridad de la Información (Global Information Security Workforce Study)

Comparto con Ustedes el informe desarrollado por Frost & Sullivan titulado The 2011 (ISC)²® Global Information Security Workforce Study sobre la fuerza de trabajo en seguridad de la información. Algunos de los resultados:

• Las vulnerabilidades a las aplicaciones son la amenaza numero uno en todas las organizaciones. Mas del 20% de los profesionales en seguridad de la información reportan desarrollos de software para controlar esta amenaza.
• Los dispositivos moviles son la segunda preocupacion para las Organizaciones, aun cuando se hayan desarrollado politicas y aplicaciones para defenderse de amenazas moviles. 
• Los profesionales aun no se encuentran listos para amenazas que se originan en las redes sociales. Los participantes en este estudio manifestaron la existencia de políticas inconsistentes y medidas insuficientes de control para el acceso a este tipo de sitios; y un poco menos del 30% reporta que no existe ningún tipo de bloqueo para el acceso a estos sitios.  
• Debido a la velocidad con la que surgen y se implementan nuevas tecnologías, los profesionales en seguridad de la información requieren continuamente  de nuevas habilidades. Este estudio repetidamente muestra que el desarrollo y aplicación de nuevas tecnologías es compensada con una mayor demanda en capacitación en estas nuevas tecnologías.
• Los profesionales en seguridad de la información superaron la recesión económica: 3 de 5 encuestados reportaron un incremento salarial en el 2010. En términos generales los salarios  de los profesionales en seguridad de la información se incrementaron, siendo la región asiática la que mostró el incremento mas alto con un18%. ¿Como estará Colombia en este aspecto?
• El manejo de "la computación en la nube" marca la diferencia mas alta entre implementación y capacidad de defensa real. Mas del 50% de los profesionales en seguridad de la información reportan la creación de nubes privadas, y mas del 40% reportaron el uso de software de seguridad; pero mas del 70% de los profesionales reportaron la necesidad de adquirir nuevos conocimientos para brindar una adecuada seguridad en el uso de esta tecnología.
• Los países en desarrollo muestran oportunidades de crecimiento con profesionales en seguridad de la información con mas educación y experiencia. En promedio, los profesionales de países en desarrollo tienen poco mas de dos años de experiencia adicional sobre profesionales de países en desarrollo; Adicionalmente invierten mas tiempo en gestión de la seguridad y menos tiempo en asuntos internos que los profesionales de países en desarrollo.
• La fuerza de trabajo relacionada con seguridad de la información continua mostrando fuertes señales de crecimiento. Para el 2010, se estima que habrán 2,28 millones de profesionales en seguridad de la información a nivel mundial, cifra que se espera crezca hasta los 4,2 millones para el 2015.

El link al informe es el siguiente: Informe (En Ingles)

Roban y luego "aparece" USB con información CONFIDENCIAL de restitución de tierras

No deja aun de impactarme el alcance de una noticia que en otros países no dejaría de ser mas que una anécdota, pero que tristemente en el nuestro se interpreta de inmediato como la condena a muerte de los representantes de las miles de victimas existentes por el tema (y drama?) de la restitución de tierras. ¿Como es posible que esa información se manipule en una USB facilitando así su robo? Quizás no sea mas que un delincuente común que la robo, la formateo y hasta ahí llegue la noticia, pero por otro lado, ¿Que tal no sea así?

Denuncian robo de USB con información confidencial de restitución de tierras

Representantes de víctimas en Apartadó (Antioquia) temen por su seguridad. El Ministerio de Agricultura pidió al director de la Policía, general Óscar Naranjo, que investigue los hechos.
Jueves 20 Enero 2011

El proceso de restitución de tierras tiene muchos enemigos “legales e ilegales” ha dicho el investigador especialista en temas sociales Luis Jorge Garay. Por esta razón es previsible que las iniciativas del Gobierno, no sólo de hacer una ley que garantice la reparación de las víctimas, sino también de restituir por la vía administrativa a los campesinos despojados, se enfrenten a la reacción violenta de los grupos ilegales. Este jueves se conoció una carta dirigida al director de la Policía, el general Óscar Naranjo, en la que el Ministro de Agricultura, Juan Camilo Restrepo, da cuenta de esa preocupación.

En la carta Restrepo advierte que el pasado 17 de enero en Apartadó fue asaltada la sede de la Asociación de Víctimas para la Restitución y el Acceso a Tierras: tierra y vida. “Del lugar fue robada una memoria USB que contenía información confidencial del proceso de restitución de tierras”, informó la cartera de Agricultura a través de un comunicado.

Según la denuncia allegada al Ministerio: “un hombre irrumpió en las instalaciones de la Asociación de Víctimas para la Restitución y el Acceso a Tierra: tierra y vida, con sede en el municipio de Apartadó, y después de preguntar por la abogada de la Asociación, aprovechó que la secretaria se encontraba sola y le arrebató una memoria USB que contenía información confidencial del proceso de restitución de tierras”.

La denuncia fue presentada ante las autoridades. Sin embargo, los representantes de las víctimas temen por su seguridad. Algunos expresan que han sido amenazados. La ONG al servicio de las víctimas teme que la información contenida en la USB, datos personales, entre otros, pueda ser utilizada en contra de las víctimas.

El Ministerio recordó que “durante el 2010 fueron asesinados dos líderes de la Asociación de Víctimas para la Restitución de Tierras del Urabá: Alberto Valdez Martínez en mayo y Hernando Torres en septiembre”.

“Adicionalmente, otro líder, Fernando León Enamorado fue víctima de un serio atentado en la misma región en donde también fue asesinado Óscar Mausa, otro dirigente campesino”, agregó. 

 Por el bien de las victimas y sus representantes, esperemos que este fallo de seguridad de la información no haya sido mas que un robo de una memoria USB y no la condena a muerte de estas personas. 

LINKS A LA NOTICIA:

• Denuncian robo de USB con información confidencial de restitución de tierras
• Asaltan ONG y roban USB con lista de campesinos postulados a restitución de tierras
• Preocupación por ataque a líderes del programa de restitución de tierras 

UPDATE: La memoria USB apareció:

Encuentran USB robada con información sobre víctimas de 'paras'

La memoria fue encontrada en la casa de la secretaría de la ONG de donde fue hurtada.

Según el coronel Jaime Ávila Ramírez, comandante de la policía de Urabá, la memoria USB apareció en la casa de la secretaria de la Asociación de Víctimas para la Restitución y el Acceso a Tierras: Tierra y Vida, Apartadó (Antioquia), Ayineth Pérez Galán.

El oficial relató que Pérez Galán realizó una llamada este sábado a las 11:30 a.m. a funcionarios del CTI de Apartadó para que se dirigieran al barrio Los Fundadores, donde se encuentra la sede de la asociación, de donde robaron la memoria, el pasado 17 de enero.

Ávila dice que cuando comenzaron las pesquisas, la secretaria había mencionado que no podía reconocer, ni hacer un retrato hablado del agresor.

Cuando los funcionarios del CTI llegaron a Los Fundadores se encontraron con Carmen Palencia, directora de la asociación, en compañía de la  secretaria Ayineth. Informaron que el hijo de la secretaria encontró la USB abandonada en las escaleras de la casa.

La Fiscalía evalúa qué información fue sustraída o alterada en la USB, cuyo hallazgo era considerado una prioridad por el Gobierno y la Policía.

El hurto fue denunciado por el ministro de Agricultura, Juan Camilio Restrepo,  a través de una carta enviada al director de la Policía Nacional, general Oscar Naranjo.

Del lugar fue robada una memoria USB que contenía información confidencial del proceso de restitución de tierras y la identidad de todas las víctimas de los paramilitares que aspiran a recuperar sus parcelas.

El general Naranjo respondió que era "una altísima prioridad para las autoridades, capturar a los autores del hurto de la USB" y señaló que no permitiría que el proceso de restitución de tierras fuera obstruido por miembros de mafias y ex paramilitares.

Links a la noticia de la aparición:

• Encuentran USB robada con información sobre víctimas de 'paras'
• Hallan memoria USB con datos de beneficiarios de restitución de tierras

En una sola palabra: patético!!! Igual, solo el tiempo dirá si esa información cayo en manos de quien no debía y empiezan a aparecer las consecuencias de esta perdida: una lista de campesinos sin tierras y sin vida...

ADVERTENCIA: Extra precaución al usar cajeros automaticos

Les comparto una experiencia que tuve hoy en el centro comercial Santafe.

Estaba por sacar dinero de uno de los cajeros, pero había un empleado del aseo sacando la basura del cajero que iba a utilizar (3 piso cerca a la plazoleta de comidas). Hasta  allí nada raro, una persona haciendo aseo por que la caneca efectivamente estaba repleta. La sorpresa fue ver que el tipo sacaba manotadas de recibos, los revisaba y separaba un grupo de pocos recibos, y hacia esto una y otra vez hasta que desocupo la canequita del cajero. Una vez la termino, la cerro y se sentó al lado a seguir revisando los recibos del cajero.

¿Para que hace una persona eso? Sinceramente no se me ocurre ninguna idea aparte de planear algún robo, guardar los recibos con mayores saldos e intentar averiguar los números de la cuenta de esas personas. ¿O ustedes tienen alguna otra idea de por que una persona va a revisar los recibos de cajero que encuentra en la basura?

Intente grabar un vídeo pero mi celular resulto ser un desastre para ello, pero quedo grabado claramente el nombre de la empresa al a que supuestamente pertenece este sujeto: PROGRAMA DE SERVICIOS 333 8890

Esta foto es de uno de los momentos en los que el sujeto esta revisando y separando recibos, y lo mas curioso del asunto es que la gente desaprobaba la acción pero nadie decía nada. Una vez el sujeto se alejo del cajero, yo le comente el hecho a uno de los vigilantes quien me comento que ese personaje estaba autorizado por el centro comercial para entrar, a lo que le dije que si la autorización también le permitía escoger los recibos de cajero que mas le gustaran, por que eso solo lo hace un ladrón. Ahí llamo por radio a alguien mas, y realmente hasta ahí llegue yo, ¿Que mas podía hacer?

Por si les interesa el vídeo: http://www.youtube.com/watch?v=bgJh7Pejx6Y con mala calidad pero aun así se puede apreciar que el sujeto revisa y separa algunos de los recibos que saca de la basura.

Ahora, para salir completamente de dudas llame a la Compañía PROGRAMA DE SERVICIOS y pregunte por esa situación y esta fue la respuesta que me dieron:  Es normal que los empleados revisen UNO de los recibos ya que en estos sale impreso el código del cajero donde hicieron la limpieza, pero revisarlo en mas de uno ya no es normal. Gracias por su informe. Una respuesta razonable pero que igual deja abierta la duda de por que revisar y separar un buen numero de recibos de los demás,estaré siendo ya demasiado prevenido?

Paranoia o no, de todo esto solo sale una recomendación para quien no lo haga: JAMAS boten los recibos de sus retiros en las mismas canecas de los cajeros, quien sabe que nueva modalidad de robo se están inventando los delincuentes.