top of page
Esta página web se diseñó con la plataforma
.com
. Crea tu página web hoy.Comienza ya

Marco Normativo y documentación de sistemas, hacia una visión práctica

El cumplir con la existencia de un Marco Normativo no contempla únicamente actividades relacionadas con la creación y publicación de documentos requeridos por auditorías o entes certificadores. Un Marco Normativo es la biblioteca de referencia que representa los diferentes procesos de una organización y establecen una guía operativa para el desarrollo de los mismos, y que debe estar adecuado a la cultura de la organización, tanto en los aspectos de los recursos humanos (comportamiento, cumplimiento, entendimiento) como en lo referente a los procesos y como la organización los gestiona (madurez organizacional)

Obviamente, esta visión al respecto está mucho más interiorizada en empresas relacionadas con industrias como las metalúrgicas, petroleras, automotriz, etc., en donde la documentación relacionada con Normas y Procedimientos claramente refleja la necesidad de guiar hacia un resultado, el producto final. ¿Pero en el caso de la industria bancaria o financiera? ¿O para empresas de servicios?

Para quienes hayan optado por certificar alguno de sus procesos, o para quienes les interese tener una referencia rápida de qué hace falta para gestionar sus documentos normativos, tienen la facilidad de contar con una referencia sobre la cual apoyarse: el punto 4.2 de requisitos de la documentación de la ISO 9001.

La 9001 nos indica que debe establecerse un procedimiento documentado para definir los siguientes controles:

  • Aprobación de los documentos

  • Revisión y actualización de los documentos

  • Asegurarse de que estén identificados los cambios y el estado de revisión actual de los documentos

  • Asegurarse de que las respectivas versiones de los documentos estén disponibles en el punto de uso

  • Asegurarse de que los documentos se mantengan legibles, identificables y fácilmente recuperables

  • Asegurarse de que los documentos de origen externo estén identificados y su distribución esté controlada

  • Impedir el uso involuntario de documentos obsoletos

Ahora bien, según la Norma cuando hablamos de un “procedimiento documentado” significa que el procedimiento sea establecido, documentado, implementado y mantenido, y para ello contamos con:

La Norma ISO 30301 de requerimientos para la implementación de un sistema de gestión documental, que marca las pautas necesarias para el gobierno de la documentación.

La Norma ISO 15489, que establece las pautas de buenas prácticas para la creación y mantenimiento de los documentos

La visión de conseguir implementar un Marco Normativo práctico y acorde a la organización y sus diferentes procesos no solo nos garantiza un buen nivel de cumplimiento ante certificaciones o regulaciones, sino que además nos asegura que los procesos se desarrollan tal como fueron pensados y que su resultado en productos o servicios cuentan con la calidad esperada a través de los objetivos estratégicos del negocio.

Les dejo algunas recomendaciones sobre lo que se espera encontrar particularmente en documentación asociada a procesos de IT o Seguridad de la Información:

Se debe establecer una documentación estandarizada aun cuando las normas de documentación varíen de una instalación a otra, para proporcionar la base de una comunicación clara y rápida, adiestramiento menos costoso del personal dentro y fuera de la Gerencia de Sistemas y brindar una herramienta útil para el personal que tenga la responsabilidad del mantenimiento de los sistemas.

La documentación se hará disponible a todos los usuarios de acuerdo a sus necesidades, por ello se debe asegurar que:

Los estándares sean completos, actualizados, documentados y legibles.

Auditar permanentemente para que se cumplan los estándares.

Evaluar si los estándares establecidos son los requeridos y hacer los cambios necesarios para que dichos estándares sean los apropiados.

Manual de Sistemas - Proyecto

El manual tiene como finalidad el tener la información necesaria y suficiente sobre un sistema en particular: Nombre del sistema, Descripción, Equipo encargado del liderazgo del proyecto, Nombre del personal encargado del análisis y diseño del sistema, Resumen Administrativo, Diagrama general del sistema, Fechas correspondientes, Objetivos del Sistema, Entradas del Sistema (información a captar), Salidas del sistema (resultados a obtener)

Manual de usuario

Exponer los procesos que el usuario puede realizar con el sistema implantado: Que el usuario conozca cómo preparar los datos de entrada, Que el usuario aprenda a obtener los resultados y los datos de salida, Servir como manual de aprendizaje, Servir como manual de referencia, Definir las funciones que debe realizar el usuario, Informar al usuario de la respuesta a cada mensaje de error, Pasos a seguir para definir como desarrollar el manual de usuario, Identificar los usuarios del sistema: personal que se relacionará con el sistema, Definir los diferentes tipos de usuarios, Definir los módulos en que cada tipo de usuario participará

Manual de operaciones

Este documento debe proporcionar al personal de administración y soporte de los sistemas la información que le permita la operación de los mismos: Iniciarse en el sistema y cómo se pueden utilizar sus cualidades comunes, Salir de un problema cuando las cosas funcionan mal, Obtener informes de error generados y las situaciones en que surgen esos errores, Diagrama general del sistema, Diagrama general del flujo del proceso electrónico, Diagramas De Pantalla, Explicación genérica de las fases del sistema, Cronograma con fechas y horarios para la obtención de resultados, Instrucciones sobre el mantenimiento y actualización del sistema

Manual de capacitación

Para el entrenamiento del Software de la aplicación, tanto a nivel técnico como para el usuario final: Explicación del software utilizado en complemento al sistema, Sectores/usuarios vinculados al sistema, Niveles de habilitación y facultades de cada uno, Normas de calidad que deben considerarse, Pautas de seguridad específicas de la aplicación, Referencias de mensajes que se emiten al momento de la captura de los datos o cualquier condición fuera de lo normal

Fabián Descalzo

Certificado en Dirección de Seguridad de la Información (Universidad CAECE)

Analista de Seguridad Informática - Auditoria y Control de Información

ITIL V3 Certified - ISO 20000 Internal Audit Certified

Sobre Fabián

ISACA Member ID: 319287 - Posee 28 años de experiencia en el área de gestión e implementación de Gobierno de Seguridad de la Información, Gobierno de TI, Compliance y Auditoría de TI en Argentina y Latinoamérica, y asesoramiento para el cumplimiento de Leyes y Normativas Nacionales e Internacionales en compañías de primer nivel de diferentes áreas de negocio.

Docente del módulo 27001 de la “Diplomatura en Gobierno y Gestión de Servicios de IT” del ITBA; Docente en “Sistemas de Gestión IT” y “Seguridad de la Información” en TÜV Rheinland Arg, Docente del módulo Auditoría y Control en Seguridad de la Información en la Universidad Nacional de Rio Negro.

Miembro del Comité Directivo para Qatalys Global, Comité Científico ARGENCON del IEEE (Institute of Electrical and Electronics Engineers), Comité Organizador ADACSI/ISACA. Columnista especializado en áreas de Gobierno, Seguridad y Auditoría, Informática en Salud y Compliance en las revistas CISALUD, PERCEPCIONES (ISACA Montevideo Chapter), El Derecho Informático, CXO-Community, EXIN Newsletter y MAGAZCITUM; y disertante para CXO-COMMUNITY, Consejo Profesional de Ciencias Informáticas, ISACA Buenos Aires Chapter, ISACA Montevideo Chapter.

CERTIFICACIONES:

  • COBIT5 Foundation (Certificate Number 02363587-01-2EVV - APMG International)

  • Lead Auditor ISO/IEC 20000:2011 (Certificate Number 17-6510 - TÜV Rheinland)

  • ISMS Auditor / Lead Auditor ISO/IEC 27001 (Certificate Number IT2566710 - IRCA / TÜV Rheinland)

  • Dirección de seguridad de la información (Universidad CAECE)

  • ITIL® version 3:2011, Certification for Information Management (EXIN License EXN4396338)

  • ITIL® version 3:2011, Certification for Accredited Trainer (EXIN Accreditation)

  • Foundation ISO/IEC 20000-1:2011, Implementación de SGSIT (LSQA - LATU)

  • Internal Audit ISO/IEC 20000:2011, Auditor Interno en SGSIT (LSQA - LATU)

Más de Fabián en la WEB

http://fabiandescalzo.wix.com/seguridadinformacion

https://www.linkedin.com/in/fabiandescalzo

http://www.slideshare.net/fabiandescalzo

https://twitter.com/fabiandescalzo

Sigueme
  • Etiqueta de Twitter
  • LinkedIn Sticker
bottom of page