Skip to content
map-marker-alt icon

👋 Guadalajara | Ciudad de México

1

Blog de Innevo

Cultura de Seguridad de la Información en las Empresas ISO 27001

¿Qué es la Cultura de Seguridad de la Información? [Incluye Test]

Al hablar de cultura no hablamos del conocimiento que posee una persona de su entorno o de la historia. Hablamos de las creencias que tiene un individuo o grupo de ellos. Actuamos como pensamos, no al revés.

 

Una empresa es lo que su cultura es

Pongamos un ejemplo: si un individuo tiene la idea de convivir con el medio ambiente respetándolo y cuidándolo, si ve a otro que maltrata a los animales, destruye bosques, contamina agua y demás, actuará para evitar que lo siga haciendo. En cambio, si ese mismo individuo no tiene una cultura de respeto a todo lo vivo, al ver que otro no respeta el medio ambiente, no reaccionará, simplemente dejará pasar el evento. Esto es lo que hace la cultura de cada uno de nosotros: interpretar la realidad de acuerdo con nuestros valores y creencias, y en consecuencia reaccionar en función de ellas.

Así que, si se tiene un grupo humano con determinados valores y creencias compartidas, reaccionará a su entorno en función de ellas, por lo tanto, podemos concluir que una empresa es lo que su cultura es.

Los valores de la empresa empiezan con los de la dirección general. Por ejemplo, si el director cree que una empresa está solamente para obtener utilidades, considerará lo demás secundario. Entonces su proceso de venta estará dedicado solamente a vender y todo lo demás, como experiencia de compra, soporte post venta, asesoría al cliente, comprensión cabal de los requerimientos de este y demás actividades, no serán prioritarias y se atenderán con el menor esfuerzo posible, lo único que importa es vender.

Abundan ejemplos de este tipo de empresas: todos hemos pasado por experiencias de compra de algún producto o servicio donde, al surgir un problema posterior, fue muy complicado, si no imposible, tener una respuesta del proveedor para solucionar la situación, porque lo único que le importaba era la facturación, los ingresos.  

La excelencia es hacer que algo común sea poco común.
Enzo Ferrari

Por todo lo anterior, la cultura, es decir en lo que realmente cree la empresa, es el factor fundamental que la lleva al éxito o al fracaso. Aspectos como innovación, tecnología o producto único, pueden ser impulsores temporales, pero sin una verdadera cultura de excelencia que no esté presente en cada actividad y valores de todos los colaboradores, finalmente la empresa no permanecerá en el tiempo.

La Cultura de Seguridad de la Información no es la excepción. En la medida que una empresa tenga esta cultura, será mas o menos segura.

 Cultura de Seguridad de la Información

La Cultura de Seguridad de la Información en la empresa es el conjunto de creencias, conductas y costumbres que tienen sus miembros sobre el manejo de la información. Es que esté plenamente consciente de que la información que posee de sus clientes y asociados es solamente para mejorar la operación entre ambos y que, por no ser de ella, debe estar plenamente comprometida en resguardarla para evitar que llegue a terceros.

Para que esta cultura esté presente en la empresa, se requiere que desde la dirección general exista el pleno entendimiento de esto, y de que la empresa no puede fallar al compromiso teniendo políticas, procesos y procedimientos incompletos o descuidados que impidan cumplir el objetivo de seguridad. Esto también implicará que cada colaborador esté convencido de que debe cumplir con las políticas, procesos y procedimientos de la organización, no porque pueda ser sancionado, sino porque su propio criterio de excelencia le indica que no debe hacer lo que no quisiera que le hicieran a él y su información.

Un vendedor recibiendo información de sus clientes.

Ya sea mediante la certificación en ISO 27001 o con algún otro método, lo importante es que la empresa esté genuinamente preocupada por su cliente y la conservación de su información; si sólo busca certificarse para que sus clientes estén tranquilos, se notará tarde o temprano. Constantemente podemos ver ejemplos de empresas certificadas con graves fallas de seguridad, y es precisamente porque no se ha construido sobre la convicción de los colaboradores acerca del cumplimiento de la norma.

¿Tu empresa tiene Cultura de Seguridad de la Información?

Hagamos un diagnóstico rápido de qué tanta Cultura de Seguridad de la Información hay dentro de tu empresa. Con este test rápido identificarás si hay políticas y costumbres positivas o negativas en relación al manejo de la información por parte del personal.

Instrucciones: Lee cada par de afirmación y elige la que sea más similar a la realidad en tu empresa.

 

A
B
1
Se utilizan correos personales.
Se utilizan correos institucionales.
2
Se comparten documentos por mensajería instantánea.
Se almacenan y comparten documentos exclusivamente en los medios de comunicación permitidos por la compañía.
3
Se dejan notas con información importante a la vista de otros.
La seguridad de los clientes está a salvo de ser compartida por sus colaboradores.
4
Se mencionan asuntos del trabajo con familiares y amigos.
Se cuenta con contratos de confidencialidad que refuerzan el compromiso de la empresa con la seguridad.
5
Se accede a páginas web de servicios personales mientras se trabaja.
Se limita el uso de servicios personales a través de los dispositivos de la empresa.
6
Una persona utiliza el usuario de otro o se asignan usuarios “genéricos”
Cada persona cuenta con un usuario con los permisos adecuados para sus labores.
7
Se descargan archivos y programas no autorizados.
Se implementan lineamientos y sistemas que evitan la descarga de archivos y programas no autorizados.
8
Se permite el trabajo y acceso a sistemas y archivos de la empresa desde dispositivos personales.
Se utilizan usuarios o equipos exclusivos para el trabajo.
9
Las redes wi-fi se encuentran desprotegidas contra usuarios no autorizados.
Nadie usa la red wi-fi sin autorización.
10
Se almacena la información en muchos lugares y sin estructura ni control. Es decir, no está definido dónde debe ir la información, no se sabe dónde está la información o incluso no se sabe si la información está en otros lugares.
Se cuenta con un sistema organizado para el almacenamiento, gestión y acceso a la información.
11
Se utilizan dispositivos de almacenamiento (USB) extraíbles sin control alguno.
Se controla el uso de dispositivos de almacenamiento (USB) extraíbles.
12
Los clientes sufren de problemas de pérdida de información.
Los clientes saben que la información está bien resguardada.
13
Se puede acceder libremente a programas, documentos y cuentas de usuarios.
Cada persona cuenta con un usuario con los permisos adecuados para sus labores.
14
Se utilizan contraseñas inseguras (o simplemente no se utilizan contraseñas).
Se utilizan contraseñas seguras y en cada punto de control.
15
No están preparados para un incidente de seguridad.
Cuentan con un plan de acción en caso de que surja un incidente de seguridad.

 Contabiliza tus resultados

¿Cuántas afirmaciones de la columna B elegiste?

15-10 Buena Cultura de Seguridad, ¡va por buen camino!
Te recomendamos implementar las acciones faltantes para cuidar aún más la información de tu empresa y de tus clientes, así como verificar de manera periódica si hay nuevos riesgos de fugas de información. Nunca hay suficiente seguridad en una empresa.

9-5 Nociones de Cultura de Seguridad, existe área de oportunidad.
Si obtuviste este resultado, busca identificar y priorizar las áreas más problemáticas. Verifica tus procesos y toma medidas para mejorar la seguridad de la información en la empresa.

0-4 ¡Atención! Tu información y la de tus clientes puede estar en serio peligro.
Es muy probable que la información de tu negocio y de tus clientes sea muy vulnerable a ataques, a la mano de personas que hagan mal uso de ella y con un alto riesgo de perderse, pudiendo ocasionar problemas operativos y legales a la empresa. Te recomendamos que identifiques cuál es y dónde está ubicada la información de más alto valor en tu empresa y tomes medidas para protegerla.

También puede interesarte este recurso gratuito:

Nueva llamada a la acción

Adolfo Navarro

Adolfo Navarro | Sobre el autor

Director de Operaciones y Consultoría en Innevo.

¿Qué te pareció el contenido?