sábado, noviembre 19, 2011

ISO 30300 e ISO 30301: Estandares para el Sistema de Gestion de Registros



Teniendo como fundamento las fallas actuales del Gobierno Corporativo, dos nuevos estandares ISO respaldaran a las Organizaciones a revelar la informacion corporativa con rapidez y eficacia.  El aumento creciente de la presión por parte de los entes reguladores obliga a las compañías a suministrar esta información debido a que las irregularidades en gestión financiera, conflictos de interés y la transparencia en la toma de decisiones se han vuelto demasiado comunes para las Organizaciones.

Para cubrir esta necesidad, nace la ISO 30300:2011 Sistema de Gestión de Registros Fundamentos y Vocabulario, y la ISO 30301:2011 Sistema de Gestión de Registros Requerimientos, las cuales contaron en su desarrollo con la participación de expertos de 27 países en los 5 continentes.

Estos estándares fueron desarrollados para ser compatibles y complementarios con otros sistemas de gestión, tales como ISO 9001 (Gestión de Calidad), ISO 14001 (Gestión Ambiental) e ISO 27001 (Gestión de Seguridad de la Información)

ISO 30300 es el estándar fundamental que incluye los fundamentos y el vocabulario general para toda la serie, mientras que la ISO 30301 especifica los requerimientos para un sistema de gestión de registros. Estándares adicionales para la serie ISO 30300 continúan aun bajo desarrollo.

De acuerdo a Judith Ellis y Carlota Bustelo, quienes fueron lideres de los equipos de trabajo que desarrollaron estos estandares, resaltan que la serie ISO 30300 ofrece la metodología para una aproximación sistemática para la creación y gestión de registros, alineándose con los objetivos y estrategias organizacionales. La Gestión de Registros a través de un Sistema de Gestión de Registros rentabiliza procesos operacionales como almacenamiento, recuperación de información, reutilización de la información, litigios y elaboración de Due Dilligence.

El costo de la implementacion de un SGR (Sistema de Gestion de Registros) depende del alcance de la implementacion dentro de cada organizacion, y esta determinado por las necesidades del negocio y analisis de riesgos, y puede generar retornos de la inversion a corto y/o largo periodo, asi como una reducción de costos.

Los factores globales obligan a las organizaciones, sean o no con animo de lucro, privadas o estatales, grandes o pequeñas, a reducir sus costos y a aumentar su responsabilidad ambiental para que implementen un SGR. Dentro de estos factores encontramos:
  •  Intensa competicion comercial
  • Cambios tecnológicos intensos enfocados hacia el e-commerce y el e-government.
  • La velocidad de las comunicaciones y la diseminacion de informacion a traves de Internet. 
  • Incremento en la complejidad de regulaciones ambientales a nivel local, nacional e internacional.
  • Expectativas crecientes de los ciudadanos para ver organizaciones que trabajen de manera responsable, transparente y con responsabilidad social. 
  •  El incremento de los riesgos externos, incluyendo amenazas de seguridad y desastres naturales.
La creación de registros es esencial para las actividades de toda organización, proceso y sistema. Un SGR respalda la eficiencia organizacional, la rendición de cuentas, gestión de riesgos, y continuidad de negocios; y le permite a las organizaciones capitalizar el valor de sus registros de información como negocios, activos comerciales y conocimiento. Al mismo tiempo, el SGR contribuye a la preservación de la memoria corporativa, en respuesta a los desafíos del medio ambiente global y digital.

Dentro de los sectores a los cuales va orientado este nuevo estándar incluye el sector estatal, educativo y de manufactura (especialmente farmacéuticas y mineras). Compañias involucradas en programas de responsabilidad social, así como los sectores con una fuerte necesidad de demostrar el cumplimiento, como la energía nuclear y las telecomunicaciones, se espera que se beneficien a partir de su aplicación efectiva.

La versión en español de este estandar esta aun por ser anunciado, y opino que seria fantástico se convirtiera en una obligatoriedad a nivel estatal en Colombia. 

martes, noviembre 08, 2011

Publicada la ISO 27035:2011 Gestion de Incidentes de Seguridad



Desde piratas informáticos tratando de irrumpir en las redes de seguridad, a personal interno usando sus conocimientos y derechos internos de acceso al uso de datos de la empresa para su beneficio personal, el impacto de una amplia variedad de amenazas de seguridad de la información puede ser reducida usando la nueva Norma Internacional ISO / IEC 27035:2011 de gestión de incidentes de seguridad de la información.
 
La violación de la seguridad de la información puede poner en peligro sus sistemas de negocio y causar perturbaciones en las operaciones comerciales. El estar preparados y responder de una manera eficaz y oportuna puede significar la diferencia entre un incidente menor y un desastre en el negocio. El uso de un sistema de gestión de incidentes de seguridad de la información permite a las organizaciones los controles y procedimientos para gestionar una amplia variedad de incidentes de seguridad y vulnerabilidades. 

ISO / IEC 27035:2011, Tecnología de la información - Técnicas de seguridad – Gestión de Incidentes de Seguridad de la Información, es una orientación sobre  "cómo hacer" para la detección, notificación y evaluación de incidentes de seguridad de la información y las vulnerabilidades. La norma ayudará a las organizaciones a responder ante incidentes de seguridad informática, incluyendo la activación de los controles adecuados para la prevención y la reducción de, y la recuperación de los impactos, y, al hacerlo, aprender y mejorar su enfoque global.

La integración del sistema de gestión de incidentes de seguridad de la información ofrece varias ventajas:
  • Mejorar la seguridad de la información general
  • Reducir los impactos adversos en los negocios
  • Reforzar el enfoque de prevención, establecimiento de prioridades y la evidencia de incidentes de seguridad de la información.
  • Contribuir a las justificaciones presupuestarias y de recursos
  • Mejorar cambios en la evaluación de riesgos de seguridad de información y los resultados de la gestión
  • Proporcionar una mayor conciencia en seguridad de la información y en el material del programa de formación
  • Proporcionar información en su política de seguridad de la información y comentarios relacionados con la documentación.
Edward Humphreys, cuyo equipo desarrolló la versión original de la norma, ISO / IEC TR 18044:2004, comentó: "el manejo eficaz y oportuno de los incidentes importantes puede marcar la diferencia entre la supervivencia o la" muerte "de una organización. La nueva norma ISO / IEC 27035 proporciona consejos de probada eficacia en los procesos y métodos que deben implementarse para garantizar una gestión eficaz de los incidentes de seguridad de la información.

"Los incidentes pueden variar de los menores, que pueden tener un impacto en el negocio de manera aislada, a un incidente grave, que afecta a todos los sistemas empresariales. Algunos de los incidentes tienen el efecto de perturbar a la organización y al uso de los recursos de su negocio de 24 a 72 horas o más, por una gran pérdida y / o destrucción de datos y otros pueden ser delitos graves. ISO / IEC 27035:2011 ofrece una solución. "

ISO / IEC 27035:2011, que sustituye al informe técnico ISO / IEC TR 18044:2004, es compatible con los conceptos generales especificados en la norma ISO / IEC 27001:2005, Tecnología de la información - Técnicas de seguridad - Sistemas de gestión de seguridad - 

Requisitos.
La nueva norma es aplicable a cualquier organización, independientemente de su tamaño. Cubre una amplia gama de incidentes de seguridad de la información, ya sean deliberados o accidentales, y ya sea causada por medios técnicos o físicos.

ISO / IEC 27035:2011, Tecnología de la información - Técnicas de seguridad – Gestión de Riesgos de Seguridad de la Información, fue desarrollada por el Comité Técnico Conjunto ISO / IEC JTC 1, Tecnología de la Información, subcomité SC 27, Técnicas de seguridad de TI. La norma está disponible en los institutos nacionales miembros de ISO. También se puede obtener a través de la web de ISO.

*Fuente iso.org