Doctorando: Clareth M. Urdaneta R. Facilitador: Dr. Alfonso Carrillo
Barquisimeto, Julio 2014
UNIVERSIDAD YACAMB VICERRECTORADO DE INVESTIGACIN Y POSTGRADO PROGRAMA DOCTORADO EN GERENCIA MDULO: SIMULACIN COMO HERRAMIENTA GERENCIAL
INDICE
RESUMEN 1 INTRODUCCIN 1 DESARROLLO TEMTICO Acciones administrativas para los sistemas de informacin: Un Cdigo de tica Corporativo. La responsabilidad empresarial y los sistemas de informacin. Norma ISO/IEC 27001:2005 Sistema de Gestin de la Seguridad de la informacin. 2 CONCLUSIONES 4 FUENTES DE INVESTIGACIN DOCUMENTAL 5
RESUMEN
Los Sistemas de Informacin (SIG) son en la actualidad una herramienta que bien implementada se convierte en un arma competitiva en los negocios, en nuestros das es importantsimo que las organizaciones empresariales integren este tipo de tecnologa a travs de plataformas que con un solo movimiento repercuten en otros departamentos de la empresa. Al hacer referencia a los SIG, pensamos en sistemas seguros y confiables, es la imagen vendida, s, es una solucin para pasar del sistema de informacin en la organizacin, a esta ltima como sistema de informacin, considerando la versatilidad de estos sistemas, y la facilidad brindada para el manejo de gran cantidad de datos, los cuales exigen largo tiempo de procesamiento en condiciones normales. Ante esta realidad, en la implantacin de estos sistemas, existen amenazas y riesgos que ponen en peligro la integridad de la informacin y con ello la viabilidad del negocio, debiendo diferenciarse la seguridad informtica, referida a la proteccin de infraestructura de las tecnologas de informacin y comunicacin que soportan el negocio, la cual es una variable externa que no ser abordada en este ensayo; y la seguridad de la informacin, relacionada con la proteccin de activos de informacin fundamentales para el xito de cualquier organizacin, variable interna sujeta a revisin. Al identificar los activos entre los cuales se hace referencia a correos electrnicos, bases de datos, faxes, contratos, entre otros, estos pueden proceder de diferentes fuentes de informacin dentro de la empresa y presentarse en diferentes soportes, como papel y medios digitales, rea que debe ser gestionada con el debido cuidado, por tanto la Seguridad debe velar por que la informacin sea correcta y completa, est siempre a disposicin del negocio y sea utilizada slo por aquellos que tienen autorizacin para hacerlo, lo que puede lograrse a travs de la implantacin de un Sistema de Gestin de la Seguridad de la Informacin (SGSI), siguiendo lo establecido por la Norma ISO/IEC 27001:2005.
INTRODUCCIN
Las organizaciones desarrolladas en un mundo cada vez ms competitivo, global y desafiante, enfrentan un cambio de paradigmas, donde la tecnologa de la informacin juega sin lugar a duda un papel importante, son innovaciones plenas que abarcan desde economas cerradas a mercados globales, desde organizaciones jerrquicas a nuevos estilos de estructuras organizacionales, que traen como consecuencia novedosos impactos en la sociedad, por un lado, crean los cimientos de la nueva era de la informacin, y por otro, afectan el estilo de vida de las personas ocasionando complejos dilemas morales y ticos. Al abordar la dimensin moral en la era de la informacin, nos encontramos con un complejo cmulo de aspectos, que deben ser considerados por las organizaciones empresariales, al momento de tomar la decisin de adherir sus actividades a sistemas de informacin, la misma trae consigo adems de numerosas ventajas, la responsabilidad y legalidad exigida para asegurar que su uso sea el ms apropiado y para esto cada pas establece sus propias reglas.
DESARROLLO TEMTICO
Los sistemas de informacin gerencial en su implantacin aportan a las organizaciones numerosas ventajas, entre stas se tienen: el acceso rpido a la informacin mejorando la atencin a los usuarios; mayor motivacin en los mandos medios para anticipar los requerimientos de las directivas; generacin de informes e indicadores, que permiten corregir fallas difciles de detectar y controlar con un sistema manual; posibilidad de planear y generar proyectos institucionales soportados en sistemas de informacin que presentan elementos claros y sustentados; evitar prdida de tiempo recopilando informacin que ya est almacenada en bases de datos que se pueden compartir; impulso a la creacin de grupos de trabajo e investigacin debido a la facilidad para encontrar y manipular la informacin; soluciona el problema de falta de comunicacin entre las diferentes instancias. A nivel directivo se hace ms efectiva la comunicacin; se mantiene la organizacin en el manejo de archivos e informacin clasificada por temas de inters general y particular; generacin de nuevas dinmicas, utilizando medios informticos; acceso a programas y convenios e intercambios institucionales; aumento de la productividad gracias a la liberacin de tiempos en bsqueda y generacin de informacin repetida, ventajas que pueden verse afectadas al conocer la vulnerabilidad de los sistemas de informacin. La tecnologa y los sistemas de informacin hacen que surjan nuevas cuestiones de tica, tanto para los individuos como para las sociedades, porque crean oportunidades de intenso cambio social el hacer ms accesible la circulacin de la informacin, puede ser fuente de muchos beneficios, pero al mismo tiempo esta crea nuevas oportunidades para violentar la privacidad, lo que amenaza la distribucin vigente de poder, riqueza, derechos y obligaciones, es as que la proteccin de esta se ha convertido en un gran problema tico, por tanto se deben tener presentes los siguientes retos gerenciales; por una parte el entendimiento de los riesgos morales de la nueva tecnologa, debido a la rapidez de los cambios tecnolgicos; y por el otro, la necesidad de establecer polticas de tica corporativa que incluyan cuestiones de sistemas de informacin. Es evidente que las corporaciones deben contar con una poltica de tica en el rea de sistemas de informacin que contenga aspectos como privacidad, propiedad, responsabilidad formal, calidad de sistemas y calidad de vida, y para ser garantizado, deben existir mecanismos de control que faciliten el seguimiento respectivo.
Acciones administrativas para los sistemas de informacin: Un Cdigo de tica Corporativo
Un cdigo de tica corporativo; consiste en desarrollar un conjunto de normas ticas especficas para sistemas de informacin en cada una de las 5 dimensiones morales. Algunas corporaciones, como FedEx, IBM, American Express y Merck & Co., han desarrollado cdigos de tica corporativos de largo alcance relacionados con sus sistemas de informacin. Sin embargo, la mayora de las empresas no han desarrollado estos cdigos de tica, dejando a sus empleados en la incertidumbre de cul debe ser la conducta correcta. Hay algunas controversias sobre crear un cdigo general de tica o bien un cdigo especifico de tica para los sistemas de informacin. Por tanto un gerente, debe esforzarse por desarrollar estndares de tica considerando: Derechos y obligaciones de la informacin. Un cdigo debe cubrir temas como privacidad del empleado en relacin con el correo electrnico y el acceso a Internet, supervisin del sitio de trabajo, manejo de la informacin corporativa y poltica sobre la informacin de los clientes. Derechos y obligaciones de la propiedad. Un cdigo debe cubrir temas como licencias de software, propiedad de los datos e instalaciones de la empresa, propiedad del software creado por los empleados en el hardware de la compaa y los derechos de autor del software. Incluso tambin se deben cubrir directrices para las relaciones contractuales con terceros. Responsabilidad formal y control. El cdigo debe especificar a un solo individuo como responsable personal de todos los sistemas de informacin y reportndole a l debe haber otros que sean responsables de derechos individuales, de la proteccin de los derechos de la propiedad, de la calidad del sistema y de la calidad de vida. Se deben definir claramente las responsabilidades del control de los sistemas, auditorias y administracin. Se deben detallar en un documento por separado las posibles responsabilidades legales de los funcionarios de sistemas de la corporacin. Calidad del sistema. El cdigo debe describir los niveles generales de la calidad de los datos y los errores del sistema que se pueden tolerar dejando las especificaciones detalladas para los proyectos especficos. El cdigo debe exigir que todos los sistemas trates de estimar la clida de los latos y las probabilidades de error del sistema. Calidad de vida. El cdigo debe establecer que el propsito de los sistemas es mejorar la calidad de vida de clientes y empleados al alcanzar altos niveles de calidad del producto, satisfaccin como empleado y dignidad humana mediana ergonomas adecuadas, diseo de flujo de puestos y de la actividad laboral apropiada y un correcto desarrollo de los recursos humanos.
La responsabilidad empresarial y los sistemas de informacin
No hay una definicin que haya sido universalmente aceptada para definir a la Responsabilidad Social Empresarial; segn la Organizacin para el Desarrollo de la Responsabilidad Social (DERES), es "una visin de negocios que integra a la gestin de la empresa, el respeto por: los valores y principios ticos, los trabajadores, la comunidad y el medio ambiente".(DERES, s/f), Esto quiere decir que es un inters propio e inteligente de la empresa que produce beneficios a la comunidad y a la propia empresa. La responsabilidad social no tiene que ver solamente con una forma de realizar trabajos sociales en la comunidad, sino que se trata ms bien de una estrategia de la empresa, que junto a su gestin de negocios y reflejando sus valores, debe ser tratada como un caso de negocios ms. La responsabilidad social empresarial, para ser exitosa, debe involucrar adems distintos grupos de inters como los trabajadores, los clientes, el Estado Medio, entre otros, que trabajando coordinadamente para crear valor, puedan lograr mejores resultados para la comunidad y para la misma empresa. Al referirnos a la responsabilidad empresarial, no se puede dejar de lado la tica, es una preocupacin de las personas que tienen libertad de eleccin. De esta manera, se desglosan algunos conceptos que tambin son aplicables al uso de los SIG. como: Responsabilidad personal: Aceptar posibles costos, deberes y obligaciones de las decisiones que uno toma. Responsabilidad formal: Los mecanismos para evaluar la responsabilidad de las decisiones tomadas y las acciones realizadas. Responsabilidad legal: es una caracterstica de los sistemas polticos en los que hay leyes que permiten a los individuos ser compensados por los perjuicios infligidos en ellos por otros actores, sistemas u organizaciones. Debido proceso: Proceso en el que las leyes se conocen y son bien entendidas, y en el que existe la posibilidad de apelar a autoridades ms altas para asegurar que las leyes se apliquen correctamente.
Norma ISO/IEC 27001:2005 Sistema de Gestin de la Seguridad de la informacin
La informacin es sin lugar a dudas uno de los activos ms importantes de cualquier organizacin y requiere de una proteccin adecuada. La seguridad de la informacin protege a la organizacin de una amplia gama de amenazas y riesgos, busca garantizar la confidencialidad, disponibilidad e integridad de su informacin, reduciendo los daos potenciales y maximizando el retorno de la inversin y las oportunidades de negocio. La informacin es la columna vertebral de la que dependen las organizaciones y existe en muchas formas y medios. Est impresa escrita en papel, se almacena, enva y transmite en medios electrnicos y redes de comunicaciones (como internet), se tiene en video audio y se maneja en nuestras conversaciones diarias. En un ambiente tan competido es un activo muy valioso y est expuesta constantemente a distintas amenazas, las cuales pueden ser internas, externas, accidentales deliberadas. Al utilizar cada vez ms tecnologa, se han abierto las puertas al nmero y tipos de amenazas. La creciente exposicin a violaciones de seguridad y el valor creciente de la informacin para la organizacin, determinan la necesidad de que las empresas protejan de manera sistemtica su activo ms importante: La Informacin. Un Sistema de Gestin de la Seguridad de la Informacin es una forma sistemtica de manejar y administrar la informacin sensible de una compaa para reducir los riesgos de acceso no autorizado, alteracin y prdida de la informacin. Abarca a las personas, los procesos, las tecnologas de la informacin y toda la informacin de la empresa sin importar en qu forma se encuentre. Las organizaciones que utilizan sistemas de informacin, tiene la oportunidad de establecer un Sistema de Gestin de la Seguridad de la Informacin, que le permita asegurar la confidencialidad, disponibilidad e integridad de la informacin Corporativa, de sus Clientes y Proveedores. La norma ISO/IEC 27001:2005 provee un modelo para establecer, implementar, operar, monitorear, revisar, mantener y mejorar un Sistema de Gestin de la Seguridad de la Informacin. En esta norma se define la seguridad de la informacin como la preservacin de la confidencialidad, donde acceden a la informacin nicamente quienes estn autorizados, trtese de personas, entidades o procesos; integridad, la informacin es precisa, confiable y completa y; la disponibilidad de la informacin, cuando la necesitan quienes estn autorizados a acceder a ella. La norma ISO/IEC 27001:2005 parte de una adecuada Gestin de Riesgos, podemos decir entonces que se trata de un Sistema de Gestin de la Seguridad de la informacin que contiene dentro de l, y como parte total y fundamental, a un Sistema de Gestin de Riesgos. La Gestin de Riesgos de la Seguridad de la informacin parte de una adecuada valoracin de los riesgos, la cual incluye la definicin de una metodologa para llevarla cabo, la definicin del criterio de aceptacin de riesgos, la adecuada identificacin de: activos, amenazas, vulnerabilidades, impactos (por la prdida de de confidencialidad, integridad y disponibilidad) y la evaluacin del riesgo, para de esta forma identificar las opciones de tratamiento de riesgos, seleccionar controles cuando sea aplicable (utilizando como base el Anexo A de la norma, en primera instancia, ms los controles adicionales que se consideren necesarios), determinar los riesgos residuales, documentar todo el proceso (en particular el Documento de Aplicabilidad) y una vez obtenida la aprobacin de la alta direccin se estar en condiciones de formular el Plan de Tratamiento de Riesgos e implementarlo. Por supuesto se debe: implementar, mantener, monitorear, revisar y mejorar, para completar el ciclo de la Gestin de Riesgos.
Beneficios de la Norma ISO/IEC 27001:2005 Sistema de Gestin de la Seguridad de la informacin
Entre los beneficios de la implementacin de la Norma ISO/IEC 27001:2005, se tienen: Establecimiento de una metodologa de gestin de la seguridad clara y estructurada. Reduccin del riesgo de prdida, robo o corrupcin de informacin. Los clientes tienen acceso a la informacin a travs medidas de seguridad. Los riesgos y sus controles son continuamente revisados. Confianza de clientes y socios estratgicos por la garanta de calidad y confidencialidad comercial. Las auditoras externas ayudan cclicamente a identificar las debilidades del sistema y las reas a mejorar. Posibilidad de integrarse con otros sistemas de gestin (ISO 9001, ISO 14001, OHSAS 18001). Continuidad de las operaciones necesarias de negocio tras incidentes de gravedad. Conformidad con la legislacin vigente sobre informacin personal, propiedad intelectual y otras. Imagen de empresa a nivel internacional y elemento diferenciador de la competencia. Confianza y reglas claras para las personas de la organizacin. Reduccin de costes y mejora de los procesos y servicio. Aumento de la motivacin y satisfaccin del personal. Aumento de la seguridad en base a la gestin de procesos en vez de en la compra sistemtica de productos y tecnologas. Las principales ventajas de un sistema como este son: Reduccin de riesgos: nos ayudar a reducir nuestro nivel de riesgo hasta un valor asumible para las organizaciones. Ahorro econmico: es consecuencia del anterior, se tendr una mayor continuidad de negocio, lo que redundar en un mayor beneficio. Adems al abordar de forma integral la seguridad, permitir a las empresas gestionar mejor el gasto en tecnologas de la informacin. Calidad a la seguridad: este mtodo convierte el modelo de seguridad en un ciclo de vida metdico y controlado. Al participar toda la organizacin se crea un compromiso de seguridad que nos involucra a todos. Cumplimiento legal: la certificacin nos ofrece una garanta en este aspecto. Competitividad en el mercado: es una norma que ha nacido para quedarse, al hilo de los procesos de interoperabilidad. Lo normal es que grandes empresas y socios de negocio exijan cumplir con esta normativa para abrir y compartir sus sistemas.
CONCLUSIONES
La Responsabilidad Social Empresarial es una forma de gestionar la empresa teniendo en cuenta los objetivos econmicos de la misma compatibilizando los mismos con los impactos sociales y medioambientales. Al aplicar la Responsabilidad Social Empresarial se obtienen muy buenos beneficios en la sociedad, debido a que se tiene en cuenta las necesidades de la comunidad y sobre todo se cuida mucho el impacto social y ambiental. Los cambios que hoy se han producido en las comunicaciones suponen, ms que una simple revolucin tcnica, la completa transformacin a travs de lo cual, existe un constante ofrecimiento de imgenes e ideas, as como su rpida transmisin, realizada de un continente a otro, tienen consecuencias, positivas y negativas al mismo tiempo sobre el desarrollo psicolgico, moral y social de las personas, la estructura y el funcionamiento de las sociedades, el intercambio de una cultura con otra, la percepcin y la transmisin de los valores, las ideas del mundo, las ideologas y las convicciones religiosas. La informacin es uno de los activos ms importantes de cualquier organizacin. En este mbito, se necesita, no slo proteger los sistemas, sino tambin la informacin. La herramienta que ayuda a realizar esta tarea es un Sistema de Gestin de la Seguridad de la Informacin (SGSI). El SGSI es una herramienta que ofrece una visin global sobre el estado de los sistemas de informacin, las medidas de seguridad que se estn aplicando y los resultados que se estn obteniendo de dicha aplicacin. Todos estos datos permitirn tomar decisiones sobre la estrategia a seguir.
FUENTES DE INVESTIGACIN DOCUMENTAL
Amat J.(2000), El control de gestin: Una perspectiva de Direccin, Gestin 2000.
CORNELLA, Alfons (2000). La empresa descubre el valor de la informacin (Cap.4). En: Infonoma.com. La empresa es informacin. Bilbao: Deusto, 2000, p. 184-232.
DERES(s/f). Manual de Auto evaluacin - Responsabilidad Social Empresarial. www.deres.org.uy/manuales_pdf/Manual_Autoevaluacion.pdf www.deres.org.
ESCORSA, Pere y MASPONS, Ramn(2001). De la Vigilancia tecnolgica a la inteligencia competitiva. Madrid: Financial Times-Prentice Hall.
NORMAS ISO/IEC 27001:2005 - Sistemas de Gestin de la Seguridad de la Informacin