La política de gestión de activos es un documento esencial en un Sistema de Gestión de Seguridad de la Información basado en el estándar ISO 27001. Lo es porque los activos de información, que pueden ser financieros, humanos, tangibles e intangibles, son el objeto de varios controles incluidos en el Anexo A de la norma.
La construcción de una verdadera y sostenible cultura ética es tema de muchos escenarios en los que se habla de cumplimiento normativo y corporativo. La repetición de la expresión, sin embargo, podría generar un desgaste del concepto.
Una forma de evitarlo es ubicando la construcción de la cultura ética en un lugar prioritario en la agenda del Oficial de Cumplimiento, de la Alta Dirección y en la de los empleados con funciones clave dentro del Sistema de Compliance.
Utilizar el análisis DAFO en ISO 45001 es una forma de ahorrar tiempo y obtener resultados productivos, en poco tiempo, al realizar evaluaciones y análisis de riesgos.
Muchas organizaciones utilizan análisis DAFO en ISO 45001, pero también en otras actividades y áreas. Lo hacen porque este modelo de análisis entrega una visión esquemática, de fácil comprensión, sobre la real exposición a riesgos o las oportunidades que pueden afectar a una organización o a un proyecto.
Cuando una organización planea implementar un Sistema de Gestión Ambiental, los beneficios de ISO 14001 son mencionados por muchas personas involucradas en el proyecto.
Hay una razón para que esto suceda: los beneficios de ISO 14001 son los mejores argumentos para vender el proyecto a la Alta Dirección. Hay un beneficio general y apenas natural. Mejorar la relación de la organización y su actividad con el medio ambiente.
La matriz de riesgos aparece en cualquier charla, tratado o texto sobre Gestión de Riesgos. Es sin duda una metodología que cuenta con amplia aceptación debido a la visión gráfica que entrega sobre la verdadera magnitud de las amenazas consideradas.
La matriz de riesgos, para un profesional en esta área, equivale al escalpelo para un cirujano o el telescopio para un astrónomo. El experto en riesgos lleva su matriz siempre bajo el brazo, porque es la herramienta que le permite obtener información inmediata para tomar decisiones informadas ante la incertidumbre generada por amenazas aún no evaluadas.
La política de cumplimiento de TI es ante todo un documento hecho para promover, impulsar y expresar la importancia de respetar y acatar las exigencias regulatorias sobre protección de datos e información de clientes, proveedores u otros terceros de la organización.
El incumplimiento de las diversas regulaciones sobre protección de datos y de información privada, cada vez más estrictas, impacta a las organizaciones en sus finanzas. Multas y sanciones se producen en todas las industrias a diario. En Europa, muchas organizaciones aún encuentran dificultades para cumplir con las regulaciones contenidas en el Reglamento General de Protección de Datos.
Identificar y evaluar aspectos ambientales significativos es una de las tareas iniciales, necesaria para la implementación de un Sistema de Gestión basado en el estándar internacional ISO 14001.
La percepción de riesgo empresarial ha cambiado en la última década. A pesar de que el concepto es relativamente moderno, se puede hablar desde ya de un enfoque moderno y otro tradicional sobre la forma de tratar este tipo de amenazas.
El Cumplimiento de Seguridad de la Información se revisa cada año. Periodos de tiempo más extensos supone permitir que problemas susceptibles de ser corregidos a tiempo avancen hasta convertirse en graves afectaciones. Revisar el Cumplimiento de Seguridad de la Información dos o tres veces en el año implica un desgaste innecesario para las personas encargadas y para los propietarios de procesos que deben enfrentar la revisión.
La revisión, por otra parte, no sustituye la auditoría. Por el contrario, se hace porque es un requisito de ISO 27001 y el auditor verificará la conformidad. Con un año para preparar el examen no deberían existir dudas sobre lo que se pretende revisar.
NEWSLETTER
Suscríbete a la newsletter y recibe semanalmente, además de artículos de interés sobre los sistemas de gestión ISO y habilidades directivas, descuentos especiales en nuestros cursos.
* Todos los campos requeridos
