Diez buenas prácticas en el manejo de información empresarial
La adecuada custodia de la información es uno de los puntos más sensibles para las organizaciones, dado que la divulgación inadecuada de secretos profesionales, proyecciones financieras, estrategias de crecimiento o pérdida de información de sus archivos, puede afectar su competividad y credibilidad en el mercado e incluso involucrarla en litigios.
A continuación presento 10 puntos claves para el manejo de información empresarial que considero deben ser tenidos en cuenta por todo tipo de organización sin importar, su sector o tamaño
Esta lista está dirigida a gerentes, contralores y auditores y no pretende abarcar la totalidad de buenas prácticas, es necesario que la Gerencia y/o el Auditor realicen su análisis y determinen las mejores prácticas de acuerdo a la naturaleza del negocio
1. Se tiene definida una estrategia de seguridad para el manejo de la información, y la misma está alineada con los objetivos de la organización e incluye una política que define los parámetros para su manejo.
2. La organización ha realizado estudios sobre los niveles de seguridad que tiene para la información, así como ha tomado acciones correctivas sobre las debilidades identificadas.
3. Se desarrollan campañas de concientización sobre el uso adecuado de la información y las medidas de seguridad que deben tener los funcionarios tales como, Asegurar los equipos portátiles, Mantener los escritorios sin documentos, Bloquear y/o cerrar las cesiones de trabajo en los equipos cuando no se utilicen, etc.
4. Se tienen definidos los parámetros que clasifican los niveles de acceso a la información de la compañía, de acuerdo al contenido de la misma, tales como información sensible, privada y/o pública
5. Se realiza un seguimiento periódico, que permite validar los funcionarios que acceden a la información sensible.
6. La información de los empleados, clientes y proveedores, se encuentra adecuadamente custodiada, su acceso es restringido, así como se tiene un registro de los funcionarios responsables de la administración y acceso a dicha información.
7. Los funcionarios han suscrito declaraciones de confidencialidad previamente avalados por el Área Jurídica, con relación a la información a la cual tienen acceso.
8. Los contratos laborales de los empleados, cuentan con cláusulas sobre la cesión de los derechos de propiedad intelectual a la compañía sobre toda creación o desarrollo realizado como resultado de su trabajo.
9. Se cuenta con registros de los usuarios asignados de acuerdo al perfil asignado, validando periódicamente que no se tienen problemas de segregación de funciones o accesos inadecuados de acuerdo a sus funciones.
10. Se cuenta con copias de seguridad en centros externos a la organización.
Hasta pronto,
Vladimir Martínez R.
Director de www.auditool.org
Red de Conocimientos en Auditoría y Control Interno
Bogotá D.C. / Colombia
vladimir.martinez@auditool.org
Comentarios