13 minute read
Gestión
Implementar un GSI sin morir en el intento
“Siempre debemos recordar que el éxito deriva de la planeación”.
¿Qué es un SGSI?
Como sus siglas lo indican, SGSI hace referencia al Sistema de Gestión de Seguridad de la Información o ISMS de sus siglas en inglés (Information Security Management System). Es un Sistema de Gestión que ayuda a proteger tres propiedades principales de la información.
Por: Víctor Díaz, Socio Fundador de Ramdia Security. Auditor Líder ISO 9001, 20000, 27001 por BSI®, CRISC por ISACA®, IBM Certified Professional, Instructor Galardonado por IBM®. victor.diaz@ramdia.com @ramdiasecurity • Confidencialidad: Propiedad de la información de no ponerse a disposición o ser revelada a individuos, entidades o procesos no autorizados.
• Integridad: Propiedad de la información relativa a su exactitud y completitud.
• Disponibilidad: Propiedad de la información de estar accesible y utilizable cuando lo requiera una entidad o proceso autorizado.
La norma internacional que certifica este Sistema de Gestión es la ISO/IEC 27001:2013.
¿Por qué debería implementarlo?
Cabe mencionar que implementar un Sistema de Gestión de Seguridad de la Información, ayudará a las empresas a tener una mejora competitiva en el mercado y un orden organizacional, ya que estas normas se basan en procesos de negocio y soporte, es por ello que el aspecto socio cultural es definitivo para poder lograr una correcta implementación.
Hoy, contar con un Sistema de Gestión de Seguridad de la Información, puede brindar mucha certidumbre y seguridad a nuestros clientes y a los terceros con los que lleguemos a tener relación.
¿Debo ser empresa grande para implementarlo?
No, la realidad es que cualquier empresa sin importar el tamaño puede implementar un SGSI, la norma ISO/IEC 27001:2013 está diseñada para ser implementada, basándose en procesos de negocio y así analizar la exposición al riesgo de los activos de información, cabe mencionar que un activo de información es todo aquel que almacena, transmite o procesa información.
Gestión
Cinco cosas que debes hacer
1. Siempre buscar el apoyo de la alta dirección, sin ese apoyo, no será posible implementarlo.
2. Mantener simples y apegados a la realidad de su empresa los controles que implemente.
3. Documente de forma correcta y ordenada los documentos mandatorios, controles, políticas, procedimientos, guías y apéndices.
4. Informar los riesgos a la alta dirección para que se pueda determinar el apetito de riesgo y, con base en ello, tomar decisiones para dar respuesta al mismo.
5. Realice auditorías internas de forma objetiva, no deje pasar cosas por alto, recuerde que un auditor debe ser imparcial.
Cinco cosas que no debes hacer
1. Tomar decisiones que no le correspondan, siempre tenga claro su lugar y responsabilidades en el alcance del Sistema de Gestión.
2. Documentar actividades que no pueda comprobar de forma tangible, por ejemplo, si usted no respalda su información diariamente, no establezca una política en la que mencione que lo ejecuta diariamente, siempre debe basarse en la realidad tangible.
3. No todas las soluciones o controles deben significar un alto costo para la organización, se pueden usar diversas herramientas de opensource para mitigar los riesgos asociados.
4. No aplique controles que su empresa no necesite, por ejemplo, si usted no permite el uso de dispositivos móviles, no defina una política sobre estos.
5. No intente certificar su Sistema de Gestión sin haber realizado varias auditorías internas satisfactorias.
Tema de Portada
La consultoría socio-ambiental
Por: Luis R. Vera Morales, Socio Director de Vera & Asociados, Ambiental y Social, S.C. Doctor en ciencias ambientales, maestro en energía y ambiente, abogado postulante. Lrvera@valegal.com.mx www.valegal.com.mx
Consultoría interdisciplinaria
La necesidad de una visión interdisciplinaria que pudiera atender la complejidad de los asuntos encomendados (energía, minería, vías de comunicación, turismo, industria, y la necesaria interacción de los proyectos con las comunidades en el territorio), ha llevado a distintas empresas de consultoría ambiental, a integrar especialistas de otras áreas del conocimiento como: ingenieros ambientales, forestales, agrónomos, biólogos, sociólogos, antropólogos, entre otros.
Una rápida transformación en la empresa, permite que te vean como asesor de proyectos (no como un área más de servicio, como la de cualquier despacho), desde su concepción y a lo largo de su desarrollo. Esto consolida reconocimiento a empresas como la que represento en México, y en el exterior; permitiendo la diversificación de los servicios ofertados. A los servicios estrictamente legales se añadieron estudios técnicos de todo tipo, así como análisis e investigaciones sociales fundamentales para llevar a buen puerto cualquier tipo de proyecto.
Esta diversificación probaría ser fundamental para la buena marcha de los diferentes negocios en épocas difíciles. Aunque hoy, dirigimos la atención y reclamos a la emergencia sanitaria ocasionada por la pandemia, lo cierto es que el país ha sido objeto de crisis recurrentes y los prestadores de servicios de consultoría, -particularmente los que trabajan en proyectos de inversión directa en el país-, son los que resienten más estas crisis. Si no hay proyectos no hay negocios.
Existen servicios que resultan necesarios al inicio y durante la ejecución, operación y mantenimiento de un determinado proyecto, por ende, es importante añadir variedad de los mismos, asegurando con esto, que las distintas áreas de negocios obtengan ingresos o que puedan ser apoyados por otras con mejor desempeño temporal. Al igual que la diversidad ecológica permite la resiliencia de un ecosistema, la diversidad en el servicio permite mantener un sano equilibrio en épocas de estrés o tensión.
Servicios especializados
A pesar de lo anterior, la oferta de servicios evidentemente no lo es todo. Una consultora socioambiental gana de la constante interacción de especialistas que resuelven los problemas a los que se enfrentan sus clientes: legales, técnicos y sociales.
La sinergia que se logra en la discusión abierta entre especialistas de diversas disciplinas del conocimiento, difícilmente puede duplicarse de forma remota. La interacción que se obtiene en un centro laboral, que depende de la comunicación constante de sus grupos y subgrupos de trabajo, pierde cuando la comunicación depende de la duración de un zoom.
Si a eso añadimos la frecuente comunicación que debe haber entre los especialistas en campo con los de gabinete, una mala señal o intermitente, puede significar en indebidas decisiones en campo o en la puesta en peligro de colaboradores.
Proyectos complejos como planes maestros turístico-residenciales o lineales como el tendido de gasoductos o de carreteras, exigen de una alta colaboración entre especialistas: los sociólogos requieren saber de ingenieros forestales o edafólogos, el alcance en la remoción de cubiertas vegetales requeridas por un proyecto y, por tanto, determinar si puede afectar a una comunidad. Si la comunidad es además de pueblos originarios, los antropólogos pueden ayudar a establecer medidas de mitigación aceptables culturalmente. Los biólogos entienden la complejidad de la trama ecosistémica y su participación es esencial para determinar las consecuencias de una acción en el medio. En ocasiones para las consultoras ambientales, matemáticos ayudan a generar algoritmos que permiten saber la aceptabilidad social de un proyecto, así como las diferentes opciones para su desarrollo. Sin embargo, todo ello requiere, primero, de contacto con las comunidades y de estudios en sitio para que las acciones estén basadas en la realidad y, segundo, de la comprensión e intervención interdisciplinaria para la elaboración de diagnósticos, planes y programas de mitigación y compensación ambiental.
Lo anterior no solo es necesario, sino que es esperado por la propia autoridad: una vez que se ingresa, por ejemplo, una manifestación de impacto ambiental para su evaluación, la autoridad encargada (en el caso de proyectos federales sería la Secretaría de Medio Ambiente y Recursos Naturales, SEMARNAT), interviene con especialistas que revisan interdisciplinariamente la información proporcionada.
Tanto consultores como autoridades, lo que hacen es tratar de entender cómo funciona la naturaleza -y el ser humano como parte de ella-, y a partir de ello tomar decisiones de desarrollo, siempre basados en la realidad.
Como se ha mencionado, la materia socio-ambiental requiere necesariamente de trabajo de campo seguido de análisis a nivel gabinete. Eso no es solo imperativo, para tener un mejor conocimiento del entorno en el que un proyecto debe sembrarse para asegurar su aceptación en los sistemas social y ambiental, sino que la naturaleza misma de las autorizaciones ambientales hace imprescindible la interrelación comunitaria y el trabajo técnico en campo.
A mayor claridad, todo proyecto de desarrollo requiere por ley de la obtención de autorizaciones, permisos y concesiones de carácter ambiental como lo son el impacto ambiental, cambio de uso de suelo forestal, licencias en materia de atmosfera, concesiones para el aprovechamiento de bienes de la nación como agua y zonas ribereñas, zona federal marítimo terrestre, entre otros.
Los instrumentos de política ambiental son eminentemente participativos, esto es, requieren de la aportación de los saberes comunitarios, o de la intervención de miembros individuales de la comunidad, posiblemente afectados por un proyecto para su perfeccionamiento.
Cada instrumento requiere de diferentes niveles de participación ciudadana; y también cada uno le da un valor distinto a dicha participación. Me explico: para la elaboración de un plan parcial de desarrollo o de un ordenamiento ecológico del territorio, se requiere prácticamente de la intervención de la totalidad de la población posiblemente afectada, ya que un ordenamiento generalmente implica la imposición de modalidades (o restricciones) a la propiedad, que en algunos casos es equivalente a una expropiación de hecho
En cambio, en el procedimiento de evaluación de impacto ambiental, la participación se restringe a miembros de la comunidad afectada, y su opinión les permite el acceso a los tribunales, siempre y cuando la opinión expresada tenga que ver con el proyecto evaluado, no es un ejercicio democrático. Poco importa que haya oposición, y esta se exprese mediante las vías establecidas al efecto; lo importante es que la oposición se base en comentarios u observaciones pertinentes al proyecto. En ambos casos existen procedimientos muy claros de consulta que, de no ser seguidos al pie de la letra, pueden ocasionar la eventual nulidad del ordenamiento o de la resolución de impacto correspondiente.
En épocas de pandemia, ¿esto qué significa?
Primero, hay que dejar claro que las actuales leyes en México fueron redactadas y puestas en vigor hace cuando menos 20 años. Los medios electrónicos no tenían el alcance que ahora tienen y, por tanto, los esfuerzos para hacer públicos proyectos y tratar de asegurar su conocimiento por parte de la comunidad y su participación en procesos de consulta, se basan todavía en la publicación de extractos o resúmenes en “periódicos de alta circulación” en la zona.
Es un hecho que desde hace ya varios años, se viene advirtiendo del cada vez menor tiraje de publicaciones impresas en general, aunado al hecho de que las mismas no se sostienen de lectores, sino de publicidad pagada. Esta situación solo viene a ser exacerbada por la pandemia. La información se toma ahora de internet, lo que no está contemplado en ley. Mientras que no se cambie la legislación y se dé por válida la difusión de información por vías electrónicas, la participación social será no solo cada vez menor, sino que será menos efectiva.
Ahora bien, la legitimidad de los instrumentos ambientales descansa en la efectiva participación social para lo cual se prevén métodos de consulta directa, como lo son las Reuniones Públicas de Información en materia de impacto ambiental
Estas reuniones son la oportunidad que tiene el promovente de un proyecto de interactuar directamente con la comunidad en la que el mismo se pretende realizar. Los riesgos sanitarios de llevar a cabo este tipo de concentraciones sociales, han orillado a la autoridad a proponer sustituirla con reuniones virtuales, aun cuando estas carecen de sustento y de reglas, lo que eventualmente permitiría que cualquier persona pudiera participar, aun sin tener interés legítimo o jurídico.
Sin reglas de conexión, o de cómo se ordenaría la participación de los interesados, existen riesgos de incurrir en fallas en el procedimiento, y por tanto en causales de nulidad son elevados. No conozco a consultor o inversionista que esté dispuesto a asumir un riesgo de anulación de permisos, con la pérdida financiera consecuente por fallas absolutamente evitables.
El no socializar proyectos también conlleva riesgos, es labor del asesor evaluar caso por caso y saber cuál es el riesgo menor. Este es el escenario actual: menos participación, menor legitimación, lejanía de proyectos con su entorno social-ambiental y riesgos, si, bien diferenciados, dependiendo el caso para los inversionistas.
Adaptación
Diversas encuestas de manera interna (socios y empleados), más de 100 al inicio de la pandemia, han dejado claro que no solo la creatividad en la solución de problemas se ve alterada, sino que las horas de trabajo remoto o virtual han aumentado sin que necesariamente el ingreso por servicios hubiere incrementado proporcionalmente.
Tema de Portada
Quienes soliciten este servicio, ahora saben que pueden contar con la posibilidad de que se atiendan sus solicitudes de llamadas o reuniones virtuales desde temprana hora y hasta entrada la noche. Los horarios habituales de trabajo se han desdibujado, probablemente de modo irreversible. La no presencia en un lugar de trabajo no ha permitido tiempos muertos como podría suponerse. Por el contrario, la constante sucesión de reuniones, llamadas, y el incremento de trabajo resultante es fundamental.
El talento del equipo es lo que interesa a quien necesita de la consultoría, no el número de memorándums que se produzcan al día. La idea tal vez errónea de que la pandemia terminaría pronto, y que eventualmente todo regresaría a la normalidad, ha influido en el retraso de la toma de acciones efectivas y permanentes de adaptación. Eso cambió para la empresa en el pasado agosto.
El orden del día de la empresa que ofrece el servicio, está siempre dirigido a la atención de problemas que requieren de opiniones diversas. No se discuten asuntos monotemáticos o unidisciplinares. Se promueve que los acuerdos de acciones futuras incorporen el mayor número de colaboradores en el área, a fin de asegurar que adquieran experiencia y que la curva de aprendizaje sea lo más corta posible.
Las salidas a campo que se lleven a cabo, -como lo hacen muchas empresas de consultoría ambiental en el país-, son más organizadas, de forma tal que la movilidad y estancia sean lo más seguras para el personal como sea posible. Esto ha hecho que los costos se hayan incrementado; pero los inversionistas serios y sofisticados asumen que no existe alternativa. De cualquier forma, también en campo -como otras empresas-, se aumentan eficiencias con nuevas metodologías y formas de recopilación y análisis de datos de última generación, creando ahorros y compartiendo riesgos con los que contratan el servicio.
El resultado es un incremento en productividad y eficiencia, pero sobre todo en el bienestar emocional de sus socios y colaboradores. Adaptémonos al nuevo entorno de forma dinámica. Cada consultor debe hacer lo mismo, ¡Ya!
