La importancia del factor humano

Conexiones¿Todo se resuelve con la tecnología? ¿Por qué los directivos deben hablar más con sus empleados sobre seguridad? En una investigación global de fraude, encargada por la consultora internacional Kroll y realizada por The Economist Intelligence Unit, se encuestó a 768 altos ejecutivos de todo el mundo, que representaban una amplia gama de industrias y funciones, cuya observación general fue que el fraude sigue en aumento; se determinó que tres cuartas partes (75%) de las compañías informaron que habían sido víctimas de un incidente de fraude en el último año.

El resultado de la investigación revela que para 81% de las compañías encuestadas, la mayor amenaza de fraude proviene de sus áreas internas, y había sido perpetrado por algún miembro de la propia organización. Este hecho representa un importante incremento frente al 72% registrado en la encuesta anterior.

Las empresas encuestadas representan a una amplia gama de industrias, incluyendo servicios financieros, servicios profesionales, comercio, tecnología de la información, telecomunicaciones, salud, farmacéuticas, biotecnología, transporte, ocio, turismo, bienes de consumo, construcción, ingeniería, infraestructura, recursos naturales y manufactura, lo que indica que esta problemática no es privativa de una industria o pocas empresas.

Cuando hablamos de fraude, la primera relación que hacemos está asociada a la estafa o robo económico, pero también debemos incluir aspectos relacionados con la pérdida de confidencialidad y privacidad de la información, y en la coincidencia entre ambos aspectos está la necesidad de proporcionar directrices para la selección y especificación de controles de seguridad que tienen que ver con el factor humano, que sirvan para ser aplicados a cualquier proceso y sistema de información que deseemos fortalecer, con una gestión de riesgos efectiva mediante un enfoque coherente, comparable y repetible para la selección y especificación de los controles de seguridad, proporcionando además un catálogo estable, pero flexible, de controles de seguridad para satisfacer las necesidades de protección de información actuales y futuras, de acuerdo a los cambios en las amenazas, los requisitos y las tecnologías.

Tengamos en cuenta que la pérdida de confidencialidad y privacidad de la información, además de traer como consecuencia aspectos económicos adversos para la organización, también le crea riesgos legales y de imagen ante la comunidad, por lo que la creación de una base para el desarrollo de métodos y procedimientos para determinar la efectividad de los controles requiere que se discutan conceptos de gestión de riesgos asociados a los recursos humanos de toda la organización. Según lo mencionado por el Ministerio de Trabajo y Asuntos Sociales de España en el documento “NTP 537: Gestión integral de riesgos y factor humano”, la gestión de estos riesgos sobre la operación y funciones corporativas debe facilitar un efectivo control de todo tipo de pérdidas, a través del cual las personas, asumiendo que son debidamente respetadas por la estructura de la que forman parte, contribuirán notoriamente al logro de los objetivos empresariales.

Tal como lo sabemos, cada uno de los estándares aplicables a los sistemas de gestión contempla el factor humano, tanto en aspectos relacionados con su capacitación y aptitudes técnicas como en su propia gestión del entorno de trabajo y sus responsabilidades en el cumplimiento legal y regulatorio. Las pautas determinantes para conseguirlo son la formación continua y la motivación del personal, que son elementos esenciales para conseguir un buen nivel de competencia profesional, crear pertenencia a la organización y, en consecuencia, compromiso con los objetivos de la misma.

Es a partir de esta concepción que una gestión adecuada de los riesgos ayudará a modelar una metodología para detectar cuáles son los aspectos esenciales en los que la mejora es más necesaria u oportuna para el éxito de una estrategia empresarial basada en las personas. La NTP mencionada puede ser tomada como guía para analizar la problemática que planteamos en este artículo, ya que establece que deben ser evaluados seis aspectos relevantes, que desde mi punto de vista pueden despertar potenciales riesgos a la organización, al igual que cualquier otro aspecto tecnológico o funcional:

 

  • Liderazgo y estrategia, evaluado como factor clave para el potenciamiento y apoyo al desarrollo de competencias; revisión del método en la delegación de tareas, responsabilidades y autoridad; revisión de la definición de intereses estratégicos para la organización en prevención de riesgos.
  • Cooperación, evaluando el desempeño del trabajo en equipo y la integración de los objetivos de grupo en los objetivos generales; así como la participación activa a todos los niveles y la facilidad en las relaciones funcionales e interdepartamentales.
  • Comunicación, revisando cada uno de sus canales (vertical bidireccional y horizontal), sus formas y la oportunidad de aplicación de nuevas tecnologías; evaluar los medios de transmisión de la información, sus tiempos y actualización.
  • Organización y cultura, evaluando su flexibilidad y adaptabilidad al cambio; revisando la estrategia de la gestión por procesos frente a la gestión por funciones, para evitar que se solapen competencias decisionales o funcionales; análisis del sistema de desarrollo y promoción de las personas en la organización; mejora continua y toma de decisiones por la persona más próxima (autonomía decisional).
  • Formación, evaluando las actividades se facilita el compartir conocimientos; los programas de aprendizaje continuo y estratégica de aprendizaje.
  • Tecnología, revisando la gestión de aplicación de nuevas tecnologías de la información y su aprovechamiento para la generación y gestión del conocimiento de los recursos humanos, y el cumplimiento legal y regulatorio desde sus funciones laborales.

.

Las definiciones antes expuestas, y la problemática en torno a los riesgos del factor humano, nos indican que el año 2016 profundiza el desplazamiento en el enfoque adoptado por las diferentes regulaciones y estándares, cambiando su estrategia de revisión para que el foco esté en la evaluación de la cultura de cumplimiento de las empresas y no simplemente en la evaluación técnica o funcional disociada de la gestión de sus recursos humanos.

Las entidades regulatorias han puesto sus ojos en la cultura corporativa y su relación con las prácticas de cumplimiento, ampliando su enfoque en áreas tales como los controles internos y la gestión de riesgos, evaluando, entre otras cosas, qué tan bien las empresas han implementado procedimientos adecuados para minimizar los riesgos relacionados con toda gestión llevada a cabo por su personal.

Para todos los casos y ante cualquier situación, el riesgo del factor humano está siempre presente, por ello es necesario establecer una metodología cuantitativa en función de datos que representen el nivel de cumplimiento interno, representados en un proceso de medición que refleje en forma periódica el alineamiento a las políticas internas y sus desvíos. También puede hacerse mediante encuestas internas a usuarios finales, con preguntas referentes a puntos vitales de las normas, para evaluar el nivel de conocimiento como instancia previa a evaluar el cumplimiento en los procesos.

Con respecto a los indicadores, estos deben ser dinámicos en función de nuevas regulaciones o cambios en los procesos (lo que los hace variables en el tiempo); además de que también se puede establecer distintos niveles de indicadores en función del nivel de madurez de la organización, lo que a su vez hace posible que varíen en el tiempo, teniendo en cuenta el crecimiento futuro en el nivel de cumplimiento de la empresa.

Como conclusión, no importa para qué proceso usted esté implementando una gestión de riesgos. Lo relevante es tener en cuenta en ella a las personas y sus funciones dentro del proceso, con el fin de determinar en forma temprana los controles y la metodología con los que los va a llevar adelante y los va a medir.

.

[email protected]

 

Fabián Descalzo

Gerente de Servicios y Soluciones en el área de Gobierno, Riesgo y Cumplimiento en Cybsec Security Systems S.A., certificado en Dirección de Seguridad de la Información (Universidad CAECE), instructor certificado ITIL Fundation v3-2011 (EXIN) y auditor interno ISO 20000 (LSQA-Latu). Con amplia experiencia en la implementación y cumplimiento de leyes y normativas nacionales e Internacionales en compañías de primer nivel de diferentes áreas de negocio en la optimización y cumplimiento de la seguridad en sistemas de información, gobierno de TI y gobierno de seguridad de la información. Columnista especializado en áreas de gobierno, seguridad y auditoría, informática en salud y compliance en las revistas CISALUD, PERCEPCIONES (ISACA Montevideo Chapter), El Derecho Informático, CXO-Community y Magazcitum; y disertante para CXO-COMMUNITY, Consejo Profesional de Ciencias Informáticas, ISACA Buenos Aires Chapter, ISACA Montevideo Chapter. Profesor del módulo 27001 del curso de IT Governance, Uso eficiente de Frameworks y la Diplomatura en Gobierno y Gestión de Servicios de IT del Instituto Tecnológico Buenos Aires (ITBA). 

Tags:

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*