top of page

La importancia del factor humano


¿Todo se resuelve con la tecnología? ¿Por qué los directivos deben hablar más con sus empleados sobre seguridad?


Según una investigación global de fraude, encargada por la consultora internacional Kroll y realizada por The Economist Intelligence Unit, se encuestaron a 768 altos ejecutivos de todo el mundo representando una amplia gama de industrias y funciones, cuya observación general es que el fraude sigue en aumento, donde tres cuartas partes (75 %) de las compañías informan que han sido víctimas de un incidente de fraude en el último año.


El resultado de la investigación revela que para el 81 % de las compañías encuestadas la mayor amenaza de fraude proviene de sus áreas internas, perpetrado por algún miembro de la propia organización. Este hecho representa un importante incremento frente al 72 % registrado en la encuesta anterior.


Las empresas encuestadas representan a una amplia gama de industrias, incluyendo Servicios Financieros y Servicios Profesionales, Comercio, Tecnología de la Información, Telecomunicaciones, Salud, Farmacéuticos y Biotecnología, Transporte, Ocio y Turismo, Bienes de Consumo, Construcción, Ingeniería e Infraestructura, Recursos Naturales y Manufactura, lo que indica que esta problemática no es privativa de una industria o pocas empresas.


Cuando hablamos de fraude la primera relación que hacemos está asociada a la estafa o robo económico, pero también debemos incluir aspectos relacionados con el robo a través de la pérdida de confidencialidad y privacidad de la información, y la coincidencia entre ambos aspectos es la necesidad de proporcionar directrices para la selección y especificación de controles de seguridad relacionados con el factor humano que sirvan para ser aplicados a cualquier proceso y sistema de información que deseemos sean más seguros y con una gestión de riesgos efectiva a través de facilitar un enfoque más coherente, comparable y repetible para la selección y especificación de los controles de seguridad de los sistemas y organizaciones de información y proporcionar un catálogo estable, pero flexible, de controles de seguridad para satisfacer las necesidades de protección de información actuales y las demandas de las necesidades de protección futuros basados en el cambio de las amenazas, los requisitos y las tecnologías.


Tengamos en cuenta que la pérdida de confidencialidad y privacidad de la información además de tener como consecuencia aspectos económicos adversos para la organización, también le crea expuestos legales y de imagen ante la comunidad, por lo que la creación de una base para el desarrollo de métodos y procedimientos para determinar la efectividad de los controles requiere que se discutan conceptos de gestión de riesgos asociados a los recursos humanos de toda la organización. Según lo mencionado por el Ministerio de Trabajo y Asuntos Sociales de España en el documento “NTP 537: Gestión integral de riesgos y factor humano”, la gestión de estos riesgos sobre la operación y funciones corporativas debe facilitar un efectivo control de todo tipo de pérdidas y a través de la cual, las personas, asumiendo que son debidamente respetadas por la estructura de la que forman parte, contribuirán notoriamente al logro de los objetivos empresariales.


Tal como lo sabemos, cada uno de los estándares aplicables a los sistemas de gestión contemplan el factor humano, tanto en aspectos relacionados con su capacitación y aptitudes técnicas como en su propia gestión del entorno de trabajo y sus responsabilidades en el cumplimiento legal y regulatorio. Las pautas determinantes para conseguirlo son la formación continua y la motivación del personal, que son elementos esenciales para conseguir un buen nivel de competencia profesional, crear pertenencia con la organización y en consecuencia comprometerse con los objetivos de la misma.


Es precisamente a partir de esta concepción que una gestión adecuada de los riesgos ayudará a modelar una metodología para detectar cuáles son los aspectos esenciales en los que la mejora es más necesaria u oportuna sobre aquellos aspectos que pueden tener serias implicaciones en el éxito de una estrategia empresarial basada en las personas. La NTP mencionada puede ser tomada como guía para analizar la problemática que planteamos en este artículo, ya que establece que deben ser evaluados seis aspectos relevantes, que desde mi punto de vista pueden despertar potenciales riesgos a la organización, al igual que cualquier otro aspecto tecnológico o funcional:

  • LIDERAZGO Y ESTRATEGIA, evaluado como factor clave para el potenciamiento y apoyo al desarrollo de competencias; revisión del método en la delegación de tareas, responsabilidades y autoridad; revisión de la definición de intereses estratégicos para la organización en prevención de riesgos.


  • COOPERACIÓN, evaluando el desempeño del trabajo en equipo y la integración de los objetivos de grupo en los objetivos generales; así como la participación activa a todos los niveles y la facilidad en las relaciones funcionales e interdepartamentales.


  • COMUNICACIÓN, revisando cada uno de sus canales (vertical bidireccional y horizontal), sus formas y la oportunidad de aplicación de nuevas tecnologías; evaluar los medios de transmisión de la información, sus tiempos y actualización.


  • ORGANIZACIÓN Y CULTURA, evaluando su flexibilidad y adaptabilidad al cambio; revisando la estrategia de la gestión por procesos frente a la gestión por funciones, para evitar que se solapen competencias decisionales ni funcionales; análisis del sistema de desarrollo y promoción de las personas en la organización; mejora continua y la toma de decisiones por la persona más próxima (autonomía decisional)


  • FORMACIÓN, evaluando las actividades facilitan el compartir conocimientos; los programas de aprendizaje continuo y estratégica de aprendizaje


  • TECNOLOGÍA, revisando la gestión de aplicación de nuevas tecnologías de la información y su aprovechamiento para la generación y gestión del conocimiento de los recursos humanos, y el cumplimiento legal y regulatorio desde sus funciones laborales.


Las definiciones antes expuestas, y la problemática entorno a los riesgos del factor humano, nos indican que el 2016 profundiza el desplazamiento en el enfoque adoptado por las diferentes regulaciones y estándares, cambiando su estrategia de revisión haciendo centro en la evaluación de la cultura de cumplimiento de las empresas y no simplemente en la evaluación técnica o funcional disociada de la gestión de sus recursos humanos.



Las entidades regulatorias han puesto sus ojos en la cultura corporativa y su relación con las prácticas de cumplimiento ampliando su enfoque en áreas tales como los controles internos y la gestión de riesgos evaluando entre otras cosas, qué tan bien las empresas han implementado procedimientos adecuados para minimiza los riesgos relacionados con toda gestión llevada a cabo por su personal.


Para todos los casos y ante cualquier situación, el riesgo del factor humano está siempre presente, por ello es necesario establecer una metodología cuantitativa en función de datos que representen el nivel de cumplimiento interno, representados en un proceso de medición que refleje en forma periódica el alineamiento a las políticas internas de la organización y sus desvíos. También puede hacerse mediante encuestas internas a usuarios finales, con preguntas referentes a puntos vitales de las normas, para evaluar el nivel de conocimiento como instancia previa a evaluar el cumplimiento en los procesos. Con respecto a los indicadores, los mismos deben ser dinámicos en función de nuevas regulaciones o cambios en los procesos (lo que los hacen variables en el tiempo); además que también puedo establecer distintos niveles de indicadores en función del nivel de madurez de la organización, lo que también hace que puedan variar en el tiempo teniendo en cuenta el crecimiento futuro en el nivel de cumplimiento de la misma.


Como conclusión, no importa para que proceso usted esté implementando una gestión de riesgos. Lo importante es tener en cuenta en ella a las personas y sus funciones dentro del proceso, con el fin de determinar en forma temprana los controles y la metodología en que los va a llevar adelante y medirlos.


Fabián Descalzo


Sobre Fabián

ISACA Member ID: 319287 - Posee 28 años de experiencia en el área de gestión e implementación de Gobierno de Seguridad de la Información, Gobierno de TI, Compliance y Auditoría de TI en Argentina y Latinoamérica, y asesoramiento para el cumplimiento de Leyes y Normativas Nacionales e Internacionales en compañías de primer nivel de diferentes áreas de negocio.

Docente del módulo 27001 de la “Diplomatura en Gobierno y Gestión de Servicios de IT” del ITBA; Docente en “Sistemas de Gestión IT” y “Seguridad de la Información” en TÜV Rheinland Arg, Docente del módulo Auditoría y Control en Seguridad de la Información en la Universidad Nacional de Rio Negro.

Miembro del Comité Directivo para Qatalys Global, Comité Científico ARGENCON del IEEE (Institute of Electrical and Electronics Engineers), Comité Organizador ADACSI/ISACA. Columnista especializado en áreas de Gobierno, Seguridad y Auditoría, Informática en Salud y Compliance en las revistas CISALUD, PERCEPCIONES (ISACA Montevideo Chapter), El Derecho Informático, CXO-Community, EXIN Newsletter y MAGAZCITUM; y disertante para CXO-COMMUNITY, Consejo Profesional de Ciencias Informáticas, ISACA Buenos Aires Chapter, ISACA Montevideo Chapter.

CERTIFICACIONES:

  • COBIT5 Foundation (Certificate Number 02363587-01-2EVV - APMG International)

  • Lead Auditor ISO/IEC 20000:2011 (Certificate Number 17-6510 - TÜV Rheinland)

  • ISMS Auditor / Lead Auditor ISO/IEC 27001 (Certificate Number IT2566710 - IRCA / TÜV Rheinland)

  • Dirección de seguridad de la información (Universidad CAECE)

  • ITIL® version 3:2011, Certification for Information Management (EXIN License EXN4396338)

  • ITIL® version 3:2011, Certification for Accredited Trainer (EXIN Accreditation)

  • Foundation ISO/IEC 20000-1:2011, Implementación de SGSIT (LSQA - LATU)

  • Internal Audit ISO/IEC 20000:2011, Auditor Interno en SGSIT (LSQA - LATU)

Más de Fabián en la WEB

http://fabiandescalzo.wix.com/seguridadinformacion

https://www.linkedin.com/in/fabiandescalzo

http://www.slideshare.net/fabiandescalzo

https://twitter.com/fabiandescalzo

Sigueme
  • Etiqueta de Twitter
  • LinkedIn Sticker
bottom of page