Sistema de gestión de la seguridad unificada, ¿realidad o ficción?

prl¿Se han preguntado alguna vez cual es el activo más importante de una organización?

Creo que estaremos de acuerdo que el primero y más estratégico son las personas (sin ellas una organización no funcionaría), pero el segundo y unido a ellas de forma indivisible, es su conocimiento y experiencia, ya que sin ésta, la persona carece de valor estratégico y por lo tanto no es un activo crítico (duro pero real como la vida misma). ¿Qué es el conocimiento y la experiencia sino el conjunto de sucesos e información aprendidos y procesados por una persona a lo largo de su vida/carrera? Por algún motivo extraño, tanto los sistemas de la gestión de prevención de la seguridad y salud en el trabajo (SST), OHSAS 18002:2002, como el sistema de gestión de la seguridad de la información (ISO 27001:2005) contemplan de forma disociada esta realidad, siendo éstas disciplinas las únicas que velan por la seguridad en aras de minimizar los riesgo que afectan a la integridad de las personas y la información.

La OHSAS 18002 intenta controlar y evitar que las personas tengan accidentes laborales y de salud, mejorando su desempeño y de esta forma proteger su integridad, preservar su disponibilidad (bajas laborales), siempre en un entorno de información confidencial (¿nos suena, no?). La ISO 27001 intenta también que la información (como activo estratégico) sea en todo momento íntegra, que esté disponible en todo momento y sea confidencial. Pero, ¿quién se encarga de analizar y establecer las medidas de protección adecuadas enfocadas a proteger al conocimiento que reside en esas personas y que pueden tener comprometida, en un momento dado, su integridad, disponibilidad o confidencialidad? ¿Cómo afecta un incidente laboral al proceso y conocimiento que gestiona la persona afectada? ¿Qué procesos/Entorno Tecnológico/Sistemas/Equipos físicos se ven afectados? ¿Cómo podemos minorar el impacto en la seguridad de la información velando al mismo tiempo por la salud de la persona afectada?

¿No debería haber una gestión coordinada en estos puntos en los que el activo común a las dos normas queda comprometido?

En próximas entradas, revisaremos las incidencias que se producen en el contexto de la norma OHSAS 18002 y que comprometen al activo relacionado en la norma ISO 27001, e intentaré establecer puntos de unión en los que debería de existir una gestión coordinada así como propuestas de procedimiento.

Comments

  1. supongo que es un error… ISO 27001, no 2… el sistema de gestion se define en 27001.. el 2 es un codigo de buenas practicas…

    es un gran problema medir las amenazas de no disponibilidad de informacion critica que puede estar solo “almacenada” en el coco de algunos, sobre todo, directivos de alto nivel que no se fian de nada ni de nadie…
    hay contramedidas (sueldo apropiado, condiciones laborales,…) que pueden ser medidas y objetivadas,pero eso no quita para que en un momento dado, a alguien le caiga una oferta mejor, se largue con viento fresco y te deje sin ese conocimiento.

  2. Cierto, gracias Patxi. Corregido.