ISO 22301
Actualmente se genera un gran volumen de información. Ante esta situación es recomendable establecer pautas para saber qué información conservar y cuál debe ser eliminada. La ISO 22301 puede ser de gran ayuda, sobre todo ante la duda de conservar ciertos documentos de manera temporal en base a distintos requisitos legales. La mayor parte de las empresas se inclinan por conservar la mayor parte de la información. En muchas ocasiones, parte de la documentación almacenada no es realmente necesaria.
Una evidencia es que la eliminación de información provoca cierto estrés. Ante esto la tendencia es continuar conservando información indistintamente de la importancia de la misma. Esta actuación se refuerza debido al avance de la tecnología. Por ello, es fundamental contar hoy en día con una cantidad considerable de espacio donde conservar dicha información.
La conservación innecesaria de información puede llegar a suponer un gran problema para una organización. Esto provoca que las actividades informáticas diarias se vean perjudicadas. No sólo se conserva la información, sino que deben de realizarse distintas copias de seguridad.
Posibles soluciones
Es indiscutible que las posibles soluciones a este tipo de problemas incumben tanto al campo tecnológico como al humano. De esta manera y ante esta problemática, la ISO 22301 favorece un mantenimiento de la información generada de manera eficiente.
En primer lugar, podemos establecer una norma y una política que obligue a eliminar todos aquellos correos electrónicos que no resulte necesario conservar. Un ejemplo de esto son los correos en copia, los cuales es muchas ocasiones no necesitamos de forma directa.
Otra posible alternativa es la categorización de datos. Sería muy útil desarrollar algún tipo de sistema que permitiese clasificar y organizar la información intercambiada con los clientes. Este sistema puede facilitar en gran medida la toma de decisión en el momento de eliminar o conservar cualquier tipo de información.
El factor humano es muy importante. Este tiene presencia en todo el proceso, pues se guía por la política previamente definida en la organización. De esta manera, los empleados poseen una herramienta de actuación para seleccionar qué información conservar y cual eliminar. Esta cuestión es esencial para desarrollar una cultura de responsabilidad ante este tipo de conflicto y modificar la filosofía de la organización de conservar prácticamente toda la información generada.
Amenazas internas
Podemos encontrar una serie de amenazas que principalmente suelen situarse dentro de la propia organización:
- Empleados y contratistas. Cualquier empleado o contratista que haya sido despedido de la compañía recientemente y que desee hacer algún daño a la infraestructura de tecnologías de la información o a la propia información crítica de la organización. Los empleados deshonestos abusan de sus privilegios para su propio beneficio.
- Comportamientos accidentales o infracciones causadas por empleados. Las acciones que ponen en peligro la infraestructura de la tecnología de la información y la información crítica. Bien puede ser por la instalación de un software que no se encuentre autorizado, abrir archivos adjuntos que contengan virus, accidentes fortuitos, divulgar información sensible de la organización o cualquier otra causa.
- Espionaje corporativo. Existen piratas informáticos que a veces pagan a los empleados para robar información de carácter relevante. Normalmente el tipo de empleados que llevan a cabo estas actuaciones son empleados de bajo perfil o contratistas eventuales.
Consejos
La ISO 22301 ofrece una serie de consejos para tratar de eliminar la mayor parte de estos problemas:
- Llevar a cabo un estricto control de las contraseñas y las políticas de cuentas de acceso
- Comprobar el cumplimiento de la separación de funciones y privilegios para asignar el acceso a la información sensible
- Aumentar la exigencia a la hora de seleccionar y formar a los empleados acerca de la administración del sistema
- Proporcionar formación de sensibilización de seguridad cada cierto tiempo para todo el personal
- Realizar una evaluación de riesgo en toda la organización con regularidad
- Luchar de forma activa por defender a la organización de los códigos maliciosos
- Desactivar el acceso a los sistemas inmediatamente después de la finalización de los contratos de los empleados y contratistas
- Garantizar que los datos y los procesos críticos se encuentran en el lugar adecuado y que funcionen según las necesidades requeridas
- Supervisar y dar respuesta inmediata a todas las acciones sospechosas en los sistemas y comportamientos de los empleados, especialmente si son administradores o personal de apoyo de sistemas
- Verificar los antecedentes de todos los trabajadores que operan dentro de la organización
Software ISO 22301
Con el fin de llevar a cabo de una forma fácil y eficaz la automatización del Sistema de Gestión de la Continuidad de Negocio basado en la norma ISO 22301, las diferentes empresas y organizaciones hacen uso del Software ISOTools Excellence, herramienta que facilita y garantiza la aplicación de la misma.
¿Desea saber más?
Entradas relacionadas
IATF 16949:2016 La IATF 16949:2016 es la norma de Sistemas de Gestión de Calidad (SGC) específica para la…
Normas ISO La ISO (Organización Internacional para la Estandarización) es una organización no gubernamental independiente y el mayor…
ISO 9001 Las empresas que desean automatizar la gestión de la calidad ISO 9001, deben tener en cuenta…
OHSAS 18001 En los diferentes negocios se establece que la obtención de la certificación en OHSAS 18001 puede…