Si tu intención es implementar un Sistema de Gestión, nosotros te damos más …
Cuando la dirección de una empresa pretende evaluar, dirigir e impulsar el uso de las tecnologías de la información, la norma ISO/IEC 38500 será indudablemente su “libro de cabecera” y guía para el buen gobierno de los procesos, las decisiones de las áreas TI, las del resto de las áreas que conforman la empresa e inclusive contemplando los proveedores externos de la misma.
La correcta aplicación de sus directrices, proporciona la información necesaria para que la dirección pueda evaluar objetivamente el gobierno de TI. Lógicamente, ello ocurrirá, si los involucrados participan adecuadamente en lo que a la aplicación de sus lineamientos se refiere.
Adicionalmente a ello, son fundamentales las normas ISO/IEC 20000-1 e ISO/IEC 27001, ya que permiten consolidar el modelo de gobernanza.
ISO/IEC 38500 nos asegura la alineación de las TI con las necesidades reales del negocio, asignando una asignación eficiente de los recursos y la innovación en mercados, servicios y negocios, con una reducción de costos que se traduce en la materialización de los beneficios deseados en la inversión en TI. Mientras tanto, ISO/IEC 20000-1 e ISO/IEC 27001 colaboran con la primera en lo que refiere a facilitar la evaluación objetiva del gobierno de TI, asegurar el cumplimiento de la legislación vigente y permitir una apropiada implementación y operación de los recursos de TI, así como la identificación de responsabilidades, la medición de los logros y objetivos de la organización y asegurando la continuidad y sostenibilidad del negocio.
La importancia que ha tomado hoy en día para las empresas, el hecho de contar con un gobierno de las Tecnologías de la Información y a través de ello lograr la satisfacción de los clientes, gestionar la inversión en el área de TI (alineada con el plan estratégico) y garantizar las buenas prácticas en la seguridad de la información, hacen que la implementación de estas dos normas sea un complemento indispensable para acompañar, sustentar y reforzar el Gobierno de TI.
Con ello se podrá consolidar el liderazgo, las estructuras organizacionales y los procesos que aseguran que TI soporta y extiende las estrategias y los objetivos de la empresa y asimismo controlar la alineación entre TI y las estrategias del negocio, las decisiones estratégicas de inversión en TI, y la creación de valor corporativo por el uso de TI en el negocio.
When the management of a company intends to evaluate, direct and promote the use of information technologies, the ISO/IEC 38500 standard will undoubtedly be its “bedside book” and guide for the good governance of processes, decisions of the IT areas, those of the rest of the areas that make up the company and even considering its external suppliers.
The correct application of its guidelines provides the information necessary for the management to objectively evaluate the governance of IT. Logically, this will happen, if those involved participate adequately in the application of their guidelines.
In addition to this, the ISO / IEC 20000-1 and ISO / IEC 27001 standards are essential, since they allow consolidating the governance model.
ISO/IEC 38500 ensures the alignment of IT with the real needs of the business, assigning an efficient allocation of resources and innovation in markets, services and businesses, with a reduction in costs that translates into the materialization of the desired benefits in the investment in IT. Meanwhile, ISO / IEC 20000-1 and ISO / IEC 27001 collaborate with the former in terms of facilitating the objective assessment of IT governance, ensuring compliance with current legislation, and enabling proper implementation and operation of IT resources. IT, as well as the identification of responsibilities, the measurement of the achievements and objectives of the organization and ensuring the continuity and sustainability of the business.
The importance that it has taken on today for companies, the fact of having an Information Technology government and through this achieve customer satisfaction, manage investment in the IT area (aligned with the strategic plan ) and guaranteeing good practices in information security, make the implementation of these two standards an indispensable complement to accompany, support and reinforce IT Governance.
With this, it will be possible to consolidate the leadership, organizational structures and processes that ensure that IT supports and extends the strategies and objectives of the company and also control the alignment between IT and business strategies, strategic investment decisions in IT, and the creation of corporate value through the use of IT in the business.
Una mirada comercial a la Seguridad de la Información
En las siguientes líneas no voy a ocuparme de las innumerables ventajas que a nivel empresa puede brindarnos el contar con un SGSI (Sistema de Gestión de Seguridad de la Información), ya que las mismas son ampliamente conocidas y además no dan lugar a duda alguna acerca de su importancia.
Sí es mi intención aportarles una mirada desde el punto de vista netamente comercial.
Es perentorio que se implante la cultura de la Seguridad de la Información en las empresas, de otra forma – si no les ha sucedido aún – en el corto o mediano plazo (dependiendo ello de a quién se le brinden servicios o se le suministren productos), no contar con ella representará una barrera comercial.
Dado que esa carencia no puede ser subsanada de manera inmediata (ya que el proceso de implementación no puede llevarse a cabo de un día para el otro), puede ocasionar una seria pérdida de oportunidades comerciales (no poder participar de compulsas, licitaciones, etc.), como así también pueden llevar a la pérdida de clientes preexistentes, cuando estos, conscientes de su importancia, procedan a exigir por ejemplo una certificación según ISO/IEC 27001 para poder formar parte de su listado de proveedores. Cosa que día a día ocurre con mayor frecuencia.
Las últimas estadísticas disponibles, demuestran que internacionalmente (y a pesar que falte mucho camino por recorrer), a la certificación de la Seguridad de la Información se le ha dado relevancia.
“ISO/IEC 27001 es la 4ta norma ISO con más certificados vigentes en el mundo”
Por otra parte, en Sudamérica, la cantidad de empresas certificadas bajo esta norma, representa solamente poco más que el 1,5% de la totalidad de certificaciones ISO/IEC 27001 que se encuentran vigentes en el mundo.
De allí la importancia de que las empresas de la región que aún no se han subido a esta ola, tomen consciencia.
Las mismas no pueden tener una corta visión que solo abarque su mercado local, en el cual posiblemente no se encuentre aún ampliamente difundida la exigencia de contar con un sistema de gestión de Seguridad de la Información, pensando que ello nunca va a ocurrir.
Las empresas deben tener en cuenta que hoy, el comercio es global, por lo que en mayor o menor medida sus clientes pueden provenir de las más diversas regiones del mundo. Regiones en las que las realidades (y por ende sus exigencias) pueden ser muy disímiles a las de Sudamérica.
Por ello, para aquellas empresas que a la fecha no han avanzado en este sentido, es recomendable considerar en su planificación a corto plazo, un proyecto que implique instaurar la cultura de la Seguridad de la Información, a través de un proceso de la implementación de un SGSI.
Claudio Costa
(CEO) COSTA Management Consulting
A commercial view of Information Security
In the following lines I am not going to deal with the innumerable advantages that at the company level having an ISMS (Information Security Management System) can offer us, since they are widely known and are of great importance.
Yes, it is my intention to give you a idea from a purely commercial point of view.
The culture of Information Security must be implemented in companies, otherwise -if it hasn’t happened to you yet- in the short or medium term (depending to whom services or products are provided to), not having such culture will represent a commercial barrier.
Due to the fact that this deficiency cannot be corrected immediately (since the implementation process cannot be carried out overnight), it can cause a serious loss of business opportunities (not being able to participate in compulsory contracts, tenders, etc.), apart from that, they can also lead to the loss of pre-existing clients, when they become aware of the importance of information security, they proceed to demand for example a certification according to ISO/IEC 27001 in order to be part of their list of suppliers. Which is happening more frequently every day.
The latest statistics available show, on the one hand, that internationally (and despite the fact that there is still a long way to go), the Information Security certification has been given great relevance.
“ISO/IEC 27001 is the 4th ISO standard with the most current certificates in the world”
On the other hand, in South America, the number of ISO/IEC 27001 certified companies represents only slightly more than 1.5% of all current certifications on this standard in the world.
Hence it is important that the companies in this region which have not yet followed this stream, should become aware of it.
They cannot have a short vision that only covers their local market, in which the demand for an Information Security management system may not yet be widely disseminated, thinking that this will never happen.
Companies must bear in mind that today, trade is global, so that to a greater or lesser extent their customers may come from the most diverse regions of the world. Regions in which the realities (and therefore their demands) can be very different from those of South America.
Therefore, for those companies that have not yet made progress in this regard, it is advisable to consider, in their short-term planning, a project that involves establishing the culture of Information Security, through a process of implementing on ISMS.
Claudio Costa
(CEO) COSTA Management Consulting
Uno sguardo commerciale alla sicurezza delle informazioni
Nelle righe seguenti non tratterò gli innumerevoli vantaggi che a livello aziendale può offrirci avere un ISMS (Information Security Management System), poiché sono ampiamente conosciuti e inoltre non danno adito a dubbi sulla sua importanza.
Sì, è mia intenzione darvi uno sguardo da un punto di vista puramente commerciale.
È imperativo che la cultura della Sicurezza delle Informazioni venga impiantata nelle aziende, altrimenti – se non è ancora successo – nel breve o medio termine (a seconda di chi vengono venduti i servizi o i prodotti ), non averla rappresenterà una barriera commerciale.
Dato che questa carenza non può essere corretta immediatamente (poiché il processo di implementazione non può essere svolto dall’oggi al domani), può causare una grave perdita di opportunità di business (non essere in grado di partecipare a confronto prezzi, gare d’appalto, ecc.), Così come può portare anche alla perdita di clienti preesistenti, quando questi, consapevoli della importanza, procedono a richiedere, ad esempio, una certificazione secondo ISO/IEC 27001 per entrare a far parte del loro elenco di fornitori. Cosa che accade ogni giorno più frequentemente.
Le ultime statistiche disponibili mostrano che a livello internazionale (e nonostante la strada da percorrere sia ancora lunga), è stata data rilevanza alla certificazione della sicurezza delle informazioni.
“ISO / IEC 27001 è il quarto standard ISO con più certificati in vigore nel mondo”
D’altro canto, in Sud America, il numero di aziende certificate in questo standard rappresenta solo poco più dell’1,5% di tutte le certificazioni ISO/IEC 27001 in vigore nel mondo.
Da qui l’importanza che le aziende della regione che non sono ancora salite a questa ondata, prendano coscienza.
Non possono avere una visione breve che copra solo il loro mercato locale, in cui la richiesta di un sistema di gestione della sicurezza delle informazioni potrebbe non essere ancora ampiamente diffusa, pensando che ciò non accadrà mai.
Le aziende devono tenere presente che oggi il commercio è globale, così che in misura maggiore o minore i loro clienti possono provenire dalle più diverse regioni del mondo. Regioni in cui le realtà (e quindi le loro richieste) possono essere molto dissimili da quelle del Sud America.
Pertanto, per quelle aziende che fino ad oggi non hanno compiuto progressi in tal senso, è opportuno considerare nella loro pianificazione a breve termine, un progetto che preveda l’instaurazione della cultura della Sicurezza delle Informazioni, attraverso un processo di implementazione di un ISMS.
Claudio Costa
(CEO) COSTA Management Consulting
Capacitación Internacional brindada por nuestro CEO
“Buenas Prácticas y Seguridad de la Información en Auditorías Remotas”
Según IAF (International Accreditation Forum), APG (Auditing Practices Group)
ISOGlobal – FNI (Facultad Nacional de Ingeniería) – Campo Ferial 3 de julio (UTO-Unidad extendida de la Universidad Técnica de Oruro)
Acompañarte es nuestra tarea…
COSTA Management Consulting
www.claudiocosta.com.ar
Supporting Information Security from all its aspects
ISOGlobal – FNI (Facultad Nacional de Ingeniería) – Campo Ferial 3 de julio (UTO-Unidad extendida de la Universidad Técnica de Oruro)
Buon Natale e un 2021 diverso, vi auguriamo da …
División COACHING
Interpretación de la Norma ISO/IEC 20000-1 e Implementación y Mantenimiento del Sistema de Gestión de Servicios
Desde Buenos Aires
Durante la pandemia
15 Expositores – 7 Países – 7 Días
Desde Buenos Aires para ISOGlobal srl
Durante la pandemia
6 Instructores – 5 Países – 6 Meses
Desde Buenos Aires para INDECARH
AIPSICC – Universidad Loyola
Durante la pandemia
Véalo aquí: Parte 1 – Parte 2 – Parte 3
