BLOG ESCAE

Cargando

Categoría SISTEMAS DE GESTIÓN NORMALIZADOS

GOBERNANZA DE LAS TIC , Privacidad de la información ISO IEC 27701 , Seguridad de la información ISO IEC 27001 , SEGURIDAD, CIBERSEGURIDAD Y PROTECCIÓN DE DATOS , SISTEMAS DE GESTIÓN NORMALIZADOS

Importancia de los SGSI ISO 27 001: 2022

Introducción

Durante el año 2016, el 55,51% de los sistemas informáticos fueron víctimas de códigos maliciosos y virus, lo que supuso una amenaza importante para numerosas organizaciones (G & Suroso, 2022). El aumento de la frecuencia y la complejidad en los últimos años de las ciberamenazas, junto con las estrictas exigencias regulatorias, destacan la necesidad crucial de un enfoque sólido y estandarizado de la seguridad de la información. La ISO 27001: 2022 ofrece un marco integral que permite a las organizaciones, identificar, evaluar y controlar metódicamente los riesgos de seguridad de la información. 

La ISO 27001: 2022 se destaca por ser un marco que se puede adecuar y ajustar para adaptarse a los requisitos y circunstancias específicos únicos de cada sector industrial. Además, se puede integrar con otros sistemas de gestión, como los de calidad, riesgo o continuidad empresarial. La ISO 27001: 2022 goza de reconocimiento mundial como norma que proporciona un enfoque metódico y global para gestionar la seguridad de la información (Ewuga et al., 2023).

Según la investigación realizada por Chavez et al., (2024), la implementación de la norma ISO 27001: 2022 mejora la seguridad de la información al aumentar los controles de confidencialidad, integridad y disponibilidad, reducir los incidentes, proteger los datos, garantizar la confianza y cumplir con las regulaciones del sector de servicios de Internet. Además, el aumento de los controles de confidencialidad, integridad y disponibilidad después de la implementación, reduce los incidentes de seguridad en las diferentes categorías. No obstante emprender el proceso de obtención de la certificación ISO 27001:2022 requiere un compromiso profundo por parte de toda la organización.

La gestión de riesgos de seguridad de la información y la ISO 27001: 2022

Los riesgos son inherentes a todas las facetas de las operaciones de una organización, incluida la información. Para gestionar los mismos de manera eficaz, una organización debe identificarlos inicialmente, analizar sus implicaciones y determinar la necesidad de mitigar los riesgos para alinearlos con los criterios de riesgo de la organización. La norma ISO 27001:2022 desempeña un papel crucial en los sistemas de gestión de la seguridad de la información (SGSI) dentro de las organizaciones, ya que establece un marco sistemático para proteger la información crítica y gestionar los riesgos asociados (Perez, 2023a).

La investigación realizada por G & Suroso, (2022) plantea que el riesgo derivado de un error humano que ponga en peligro la seguridad de la información de una organización puede mitigarse mediante el establecimiento de una cultura sólida de seguridad de la información, que reduzca así los incidentes o las filtraciones de datos. 

Un componente fundamental de una cultura de seguridad de la información eficaz, es contar con una fuerza laboral bien informada y vigilante, que demuestre una conducta cuidadosa y prudente en cumplimiento de las políticas estipuladas por la administración. Las amenazas a los sistemas de información se ciernen de manera inquietante y trascienden las fronteras geográficas, de ahí que se hace necesaria su aplicación, aunque esta adopción también impone desafíos.

Retos en la aplicación de la ISO 27001:2022

La aplicación de esta norma es ideal para garantizar la seguridad de la información, pero puede ser compleja debido a la necesidad de mejoras en los procesos, adaptaciones de roles y un largo proceso de implementación. Las organizaciones más pequeñas, como las pequeñas y medianas empresas, a menudo luchan por pagar los gastos asociados. El cambio hacia una mentalidad de seguridad de la información, requiere una transformación en la forma en que se percibe la seguridad dentro de la cultura organizacional (Mera-Amores & Roa, 2024).

La seguridad no debe verse simplemente como un requisito obligatorio, sino como un facilitador de los negocios, que mejora la confianza de los clientes y proveedores. Este cambio cultural es imprescindible para garantizar que todos los empleados adopten medidas de seguridad proactivas en sus actividades diarias. La resistencia de los empleados al cambio, puede representar un obstáculo formidable, ya que los miembros del personal pueden percibir la introducción de nuevas políticas y procedimientos de seguridad, como una carga adicional (Perez, 2023b).

 Es esencial involucrar a los empleados de todos los niveles de la organización durante la fase de implementación para minimizar la resistencia y fomentar una transición más fluida a los nuevos protocolos de seguridad.

La norma aboga por la mejora continua, por lo que las organizaciones deben revisar y mejorar periódicamente sus políticas y procedimientos. Este proceso continuo puede ser un desafío, ya que requiere un compromiso y una asignación de recursos sostenidos para mantener la eficacia del SGSI a lo largo del tiempo (Baena et al., 2019). A pesar de estos importantes desafíos, pueden superarse mediante una planificación minuciosa, la asignación de recursos y un compromiso dedicado con la seguridad de la información ya que estos esfuerzos pueden verse recompensados con múltiples beneficios. 

Importancia y beneficios de adoptar la norma ISO 27000 

Adoptar la norma ISO 27001: 2022 no solo ayuda a mitigar los riesgos, sino que también mejora la confianza de los clientes y la eficiencia operativa a largo plazo. Puede ser una herramienta valiosa para gestionar la seguridad de la información sin incurrir en costes sustanciales (Mera-Amores & Roa, 2024). 

Ofrece una metodología bien estructurada para reconocer, evaluar y controlar los riesgos de seguridad de la información. Esto permite a las organizaciones implementar las medidas adecuadas para mitigar las posibles amenazas, lo que es particularmente vital en un entorno cada vez más digitalizado. Ayuda a cumplir con diversas normativas y mandatos legales, relacionados con la protección de datos, como el Reglamento General de Protección de Datos (GDPR). Esto es especialmente pertinente para las entidades que operan en sectores muy regulados, como el financiero y el sanitario, donde el incumplimiento puede conllevar sanciones severas.

También fomenta una cultura de mejora continua en la gestión de la seguridad de la información, lo que permite a las organizaciones adaptarse a los nuevos riesgos y a las tecnologías emergentes. Esta postura proactiva contribuye a reforzar la postura de seguridad de forma gradual con el tiempo. Como consecuencia, al mostrar la dedicación de una organización a la seguridad de la información, se mejora la confianza de los clientes, los socios comerciales y otras partes interesadas; por lo que se puede generar notables ventajas competitivas en el mercado. 

Entre otros beneficios, se pueden agilizar los procesos internos, reducir los costos relacionados con los incidentes de seguridad y aumentar la productividad al delinear las funciones y responsabilidades en la gestión de los riesgos de la información. Identificar y proteger sus activos de información más valiosos, garantizando la confidencialidad, la integridad y la disponibilidad de los datos, que son vitales para mantener las operaciones comerciales.

Conclusiones y reflexiones finales

La implementación de la norma ISO 27001: 2022, no solo mejora la seguridad de la información al aumentar los controles de confidencialidad, integridad y disponibilidad, sino que también reduce los incidentes de seguridad y ayuda a cumplir con regulaciones sectoriales. Sin embargo, su adopción requiere un compromiso organizacional profundo y un cambio cultural que valore la seguridad como un facilitador del negocio, en lugar de un mero requisito. Los retos asociados a la implementación de la norma, como la resistencia al cambio y los recursos limitados, pueden ser superados mediante una planificación adecuada y la participación activa de todos los niveles de la organización. Esta norma no solo mitiga riesgos, sino que también fortalece la confianza de clientes y socios, mejora la eficiencia operativa y proporciona una ventaja competitiva en un entorno empresarial cada vez más digitalizado y regulado.

Referencias bibliográficas

Chavez, S., Anahue, J., & Ticona, W. (2024). Implementation of an ISMS Based on ISO/IEC

27001:2022 to Improve Information Security in the Internet Services Sector. 2024 14th

International Conference on Cloud Computing, Data Science & Engineering (Confluence), 184-189. https://doi.org/10.1109/Confluence60223.2024.10463392

Ewuga, S. K., Egieya, Z. E., Omotosho, A., & Adegbite, A. O. (2023). ISO 27001 IN BANKING: AN EVALUATION OF ITS IMPLEMENTATION AND EFFECTIVENESS IN

ENHANCING INFORMATION SECURITY. Finance & Accounting Research Journal,

5(12), Article 12. https://doi.org/10.51594/farj.v5i12.684

G, K. W. N., & Suroso, J. S. (2022). Analysis of Risk Management Information System

Applications Using Iso/Iec 27001:2022. Syntax Literate ; Jurnal Ilmiah Indonesia, 7(11),

18372-18391. https://doi.org/10.36418/syntax-literate.v7i11.15426

Mera-Amores, F., & Roa, H. N. (2024). Enhancing Information Security Management in Small and Medium Enterprises (SMEs) Through ISO 27001 Compliance. En K. Arai (Ed.),

Advances in Information and Communication (pp. 197-207). Springer Nature

Switzerland. https://doi.org/10.1007/978-3-031-53963-3_14

Perez, P. (2023a, junio 29). Gestión de riesgos y seguridad de la información. PMG SSI – ISO 27001. https://www.pmg-ssi.com/2023/06/gestion-de-riesgos-y-seguridad-de-lainformacion/

Perez, P. (2023b, septiembre 7). Contexto general de la ISO 27000. PMG SSI – ISO 27001. https://www.pmg-ssi.com/2023/09/contexto-general-de-la-iso-27000/

Regina Baena, G., Mendoza Mendez, R. V., & Joel Coronado, E. dorantes. (2019). Importancia de la norma ISO/EIC 27000 en la implementación de un sistema de gestión de la seguridad de la información. contribuciones a la Economía, junio.

https://www.eumed.net/rev/ce/2019/2/norma-iso-eic.html
Calidad ISO 9001 , GESTIÓN INTEGRADA POR PROCESOS , SISTEMAS DE GESTIÓN NORMALIZADOS , TRANSFORMACIÓN DIGITAL ORGANIZACIONAL

Transformación digital: visión de Mckinsey

Introducción 

La transformación digital se ha convertido en un tema crítico para las organizaciones que quieren seguir siendo competitivas en la era digital. El uso generalizado de las tecnologías digitales, ha traído cambios significativos en la forma en que existen, operan e interactúan con los clientes. Están pasando por un proceso de remodelación y reorganización de procesos y operaciones, así como de repensar y redefinir el papel humano en el proceso de creación de valor (Mihu et al., 2023)

En la investigación realizada por Alport, (2022) se analiza que en 2018, el 24% de los ejecutivos tenía las capacidades necesarias para una transformación digital exitosa. En 2020, esta cifra ya había subido al 60%, lo que demuestra su rápida asimilación. Una vez adoptada, el 76% de las empresas reportan costos reducidos después de completar un proyecto de transformación digital, y el 31% de ellos dicen que las reducciones de costes fueron significativas. 

Así cada día se demuestra la necesidad de que las organizaciones se muevan al entorno digital en cada una de sus esferas, pero lograrlo no es una tarea sencilla. Existen múltiples factores a considerar y aspectos que se deben gestionar, por esta razón el interés de la comunidad científica y empresarial se ha volcado en la identificación de factores críticos que faciliten el tránsito a la era digital, entre ellas Mckinsey

¿Quién es Mckinsey?

McKinsey & Company, que es ampliamente considerada como una de las firmas de consultoría estratégica más prestigiosas y estimadas del panorama empresarial mundial, se estableció en el año 1926 gracias a los esfuerzos de colaboración de sus fundadores, James O. McKinsey y Marvin Bower, cuya visión y previsión sentaron las bases del éxito futuro de la empresa. 

 El objetivo general de McKinsey es capacitar a sus clientes para que logren mejoras sustanciales y duraderas en su desempeño general y eficacia operativa, lo cual es un testimonio del compromiso de la empresa de fomentar el éxito de aquellos a quienes presta servicios. Se ha establecido firmemente como una autoridad preeminente en el tema de la transformación digital, un estatus que ha alcanzado por varios motivos fundamentales que subrayan su experiencia en esta área. Ha facilitado con éxito la transformación digital de más de doscientos clientes, acumulando así un amplio acervo de experiencia práctica que sirve de base para sus prácticas de consultoría (McDonald, 2014).

Además de su experiencia práctica, McKinsey lleva a cabo encuestas globales periódicas y rigurosas que se centran en varios aspectos de las transformaciones digitales, lo que les otorga una perspectiva única e inestimable sobre las mejores prácticas y los desafíos a los que se enfrentan las organizaciones a lo largo de este proceso de transformación. La firma ha documentado y publicado ampliamente hallazgos que identifican los factores cruciales que contribuyen al éxito de las transformaciones digitales (Lamarre et al., 2023).

Impulsores de la transformación digital según Mckinsey 

La transformación digital es el cableado de una organización, con el objetivo de crear valor mediante el despliegue continuo de tecnología a escala. Una clara estrategia de transformación digital centrada en ámbitos específicos y habilitada por un conjunto de capacidades específicas es fundamental para que las organizaciones no sólo compitan, sino que sobrevivan. Las transformaciones digitales no son un proyecto de una sola carrera; la mayoría de los ejecutivos estarán en este viaje por el resto de sus carreras (McKinsey, 2024). 

Según McKinsey, las capacidades principales que debe poseer una empresa para la asimilación de la transformación digital abarcan varios factores interrelacionados. En primer lugar, el compromiso del liderazgo es crucial, ya que marca la pauta de la cultura organizacional y prioriza las iniciativas digitales (de la Boutetire et al., 2018).

Remarca la necesidad de una reconfiguración organizacional. Este proceso no es un evento único, sino un esfuerzo prolongado que exige una reestructuración sustancial del funcionamiento de una organización. Implica adoptar tecnologías digitales emergentes y maduras e implementar nuevas estrategias que estén alineadas con los objetivos empresariales (Vasquez-McCall et al., 2020), como la incorporación de inteligencia artificial y el análisis de datos para mejorar la eficiencia operativa y la participación de los clientes.

Además, se hace hincapié en un enfoque centrado en el cliente, en el que comprender y responder a las necesidades del cliente impulsa la innovación y la prestación de servicios (Desmet et al., 2015). La agilidad organizacional también se destaca como un componente vital, que permite a las empresas adaptarse rápidamente a los cambios del mercado y a los avances tecnológicos (de la Boutetire et al., 2018). Por último, fomentar una cultura de aprendizaje continuo y colaboración entre los empleados es esencial para mantener las iniciativas digitales y lograr el éxito a largo plazo. 

La junta directiva desempeña un papel crucial en el impulso de la transformación digital, como lo destacan varios estudios. Según la perspectiva de McKinsey, una gobernanza eficaz es esencial para guiar a las organizaciones a través de los cambios digitales. Las juntas directivas son responsables de establecer la visión estratégica y garantizar que las iniciativas digitales se alineen con los objetivos empresariales generales, lo cual es fundamental para el éxito de los esfuerzos de transformación.

La participación del consejo en la estrategia digital, fomenta una cultura de innovación y agilidad dentro de la organización, lo que permite responder más rápidamente a los cambios del mercado. Las investigaciones indican que las juntas directivas que dan prioridad a la alfabetización digital y se dedican al aprendizaje continuo, están mejor preparadas para supervisar las iniciativas digitales, lo que mejora su eficacia a la hora de guiar la transformación (Desmet et al., 2015; de la Boutetire et al., 2018).

Principales desafíos 

Sin embargo, persisten desafíos, como la necesidad de que las juntas directivas equilibren la supervisión tradicional con la naturaleza dinámica de los entornos digitales, lo que a veces puede generar conflictos en los procesos de toma de decisiones. En última instancia, una junta directiva proactiva e informada puede influir significativamente en el éxito de las iniciativas de transformación digital (McKinsey, 2024).

Además, se enfatiza en que las transformaciones digitales son más complejas de ejecutar en comparación con las transformaciones tradicionales, con tasas de éxito notablemente bajas. Superar obstáculos como la resistencia al cambio, el liderazgo digital insuficiente y fomentar una cultura organizacional que valore la innovación, son cruciales para superar estos desafíos pues las organizaciones que se centran en transformar la cultura y desarrollar capacidades durante una transformación tienen 2,5 veces más probabilidades de tener éxito (McKinsey, 2024).

McKinsey destaca seis capacidades críticas que son fundamentales para la ejecución exitosa de las iniciativas de transformación digital como se describe en el artículo de Vasquez-McCall et al., (2020):

  1. En primer lugar, es imprescindible una estrategia clara centrada en el valor empresarial, en la que las organizaciones deben delinear un enfoque coherente que priorice las áreas que generan un valor sustancial.
  2. En segundo lugar, el talento interno es crucial, ya que requiere un equipo de ingenieros y especialistas en tecnología que colaboren armoniosamente con otros departamentos.
  3. En tercer lugar, un modelo operativo escalable es esencial para las transformaciones digitales, ya que requiere equipos multifuncionales capaces de escalar y adaptarse a los requisitos cambiantes.
  4. Además, se hace hincapié en la tecnología distribuida para permitir la innovación continua al proporcionar a los equipos acceso a herramientas y datos.
  5. El acceso a datos confiables es otra capacidad fundamental, por lo que la arquitectura de datos debe permitir a los equipos acceder sin esfuerzo a la información esencial.
  6. Por último, se destaca que la gestión eficaz del cambio es indispensable, haciendo énfasis en la importancia de adoptar y supervisar el cambio para el éxito de cualquier esfuerzo de transformación.

Conclusiones y reflexiones finales

Según McKinsey, la transformación digital no es solo un medio para que las organizaciones mantengan su competitividad, sino también un requisito previo para sobrevivir en un mundo cada vez más digitalizado. Exige una perspectiva estratégica, una dedicación a la mejora continua y la agilidad para adaptarse rápidamente a las nuevas tecnologías y dinámicas del mercado. La clave del éxito reside en la habilidad de las organizaciones para integrar la tecnología en todas las facetas de sus operaciones y su cultura.

Referencias bibliográficas

Alport, R. (2022, febrero 15). The Main Drivers of Digital Transformation. BlueOptima. https://www.blueoptima.com/the-main-drivers-of-digital-transformation/

de la Boutetire, H., Montagner, A., & Angelika, R. (2018). The keys to a successful digital transformation | McKinsey. McKinsey Company.

https://www.mckinsey.com/capabilities/people-and-organizational-performance/ourinsights/unlocking-success-in-digital-transformations

Desmet, D., Duncan, E., Scanlan, J., & Singer, M. (2015). Six building blocks for creating a highperforming digital enterprise. McKinsey Digital. https://www.mckinsey.com/~/media/McKinsey/Business%20Functions/McKinsey%20Digital/O ur%20Insights/Six%20building%20blocks%20for%20creating%20a%20high%20performing%20 digital%20enterprise/Six%20building%20blocks%20for%20creating%20a%20high%20performi ng%20digital%20enterprise.pdf

McKinsey. (2024). Cultura y capacidades digitales—Digital—McKinsey & Company. McKinsey Digital. https://www.mckinsey.com/capabilities/mckinsey-digital/how-we-help-clients/digitalculture-and-capabilities

Mihu, C., Pitic, A., & Bayraktar, D. (2023). Drivers of Digital Transformation and their Impact on Organizational Management. Studies in Business and Economics, 18, 149-170. https://doi.org/10.2478/sbe-2023-0009

Qué es la transformación digital? McKinsey. (s. f.). Recuperado 14 de agosto de 2024, de https://www.mckinsey.com/featured-insights/mckinsey-explainers/what-is-digitaltransformation

Lamarre, E., Smaje, K., & Zemmel, R. (2023). Rewired: The McKinsey Guide to Outcompeting in the Age of Digital and AI. John Wiley & Sons.

McDonald, D. (2014). The Firm: The Story of McKinsey and Its Secret Influence on American Business. Simon and Schuster.

Vasquez-McCall, B., Hyo, Y., Brian, M., Marusic, I., Chui, M., & Maria, O. (2020). Six capabilities to sustain digital transformations. McKinsey Digital. https://www.mckinsey.com/about-us/newat-mckinsey-blog/digital-capabilities-to-sustain-transformation