Guía para elaborar un plan de difusión de políticas de seguridad de la información

Un enfoque PMI para diseñarlo

La difusión de las políticas es importante pues es el primer documento a nivel directivo que declara la búsqueda de la seguridad de la información de la empresa requiriendo la participación activa de todos los colaboradores. Por ello, con tus políticas de seguridad de la información listas el paso inmediato es comunicarlas al personal.

¿Tienes ya definido cómo realizar una difusión adecuada, efectiva y no intrusiva para no afectar la productividad de tu empresa?

Estoy seguro que a ti como a mí nos agradaría descargar un plan y aplicarlo tan pronto como sea posible o que al menos sirva como base para adaptarlo a tu organización. Pero déjame antes platicarte mi experiencia al respecto.

En algún momento intenté encontrar un plan y adaptarlo a las necesidades de mi empresa, pero solo lograba acumular mas y más políticas, no su plan de difusión. En el mejor de los casos la difusión estaba mezclada en la redacción de las políticas.

La frustración incrementó cuando encontré un plan mas o menos aceptable pero terminé siguiendo instrucciones que alguien más hizo, sin saber porqué ni para que, y al intentar adaptarlo a mi empresa surgieron más dudas: ¿Qué cosas dejar, cuales cambiar, qué añadir o qué quitar?

Con esto en mente, con gusto te comparto el guión con el cual podrás ahorrarte algunos esfuerzos para empezar a redactar tu plan o bien para que evalúes el que ya tienes.

1.- ¿Qué es un Plan?

Primero veamos qué es un plan.
Bueno, encontré una gran variedad de definiciones. Ninguna me gustó.
Hasta que llegué a la definición de Plan de Proyecto del PMI (Project Management Institute). Para el PMI:

Un plan de proyecto es un documento formal (o un conjunto) diseñado para guiar tanto el control como la ejecución de un proyecto.

El plan de proyecto es la clave para un proyecto exitoso y es el documento más importante que necesita ser creado cuando se inicia cualquier proyecto de negocio.

Escogí esta definición pues mi enfoque para implementar un Sistema de Gestión de Seguridad es precisamente verlo como un proyecto que a su vez incluye otros proyectos mas pequeños como el de Difundir las políticas de seguridad de la información.

2.- ¿Cómo es mi empresa?

La cultura, estilo y estructura de una organización influyen en la forma en que se llevan a cabo sus proyectos.

La comprensión de este contexto contribuye a asegurar que tu proyecto de comunicación de las PSI haga match con los objetivos de la organización y se gestione de conformidad con las prácticas establecidas en tu organización.

En palabras del PMBOK: necesitamos entender los Factores Ambientales de la Empresa, Culturas y Estilos de Organización para adecuar nuestro plan a la realidad de la empresa.

Es esta la razón por la que tomar un plan de otra empresa e intentar adaptarlo a la tuya puede no ser la mejor respuesta.

3.- ¿Qué tan madura es su comunicación interna?

Analizar la situación comunicativa de tu empresa antes de siquiera reflexionar sobre objetivos y público objetivo:

  • ¿Existen mecanismos establecidos formalmente para la comunicación interna?
  • ¿Cuales son los recursos con los que se cuentan?
  • Incluye materiales, equipos informáticos, RH, formación de los comunicadores, herramientas utilizadas en comunicaciones previas etc.
  • ¿Cuáles han sido los resultados de otras campañas de comunicación? Motivos de éxito o fracaso, etc.

4.- ¿Cual será tu objetivo?

Tu objetivo será aquello que esperas conseguir con las actividades de comunicación.

Con el objetivo claramente definido podrás diseñar guiar y controlar que las actividades posteriores así como evaluar después el éxito de la campaña.

Tal objetivo debe estar cuantificado para poder efectuar controles y saber en qué medida se han alcanzado. También ha de ser realista y alcanzable.

Por ejemplo, mi objetivo de difundir el primer documento de Políticas de Seguridad de la Información sería:

Concienciar al 80% del personal sobre la importancia de la seguridad de la información y darles a conocer la política desarrollada con la finalidad de que su labor diaria quede enmarcada dentro de tales lineamientos.

Ahora, intenta elaborar el tuyo (hazlo sencillo).

5.- ¿Cuánto quiero abarcar? es decir, el alcance

El alcance del proyecto describe y limita el trabajo requerido para conseguir nuestro objetivo. Debemos definir hasta donde vamos o cuanto va a abarcar nuestro proyecto de difusión y plasmarlo en nuestro plan. Posteriormente durante la ejecución de las actividades tendremos que validar y controlar que se cumpla con el alcance establecido.

Cabe aclarar que ste alcance corresponde a las actividades de difusión, no de las políticas. Explico las diferencias con estos ejemplos:

Ejemplos de alcances de la política de seguridad de la información:
– La presente política es de de alcance institucional, por lo que debe ser conocida y cumplida por todo el personal así como por terceros que celebren algún tipo de contrato de prestación de servicios.
– Esta Política se aplica a sus recursos y a la totalidad de los procesos, internos y externos.

Ejemplos de alcances de nuestro Plan de difusión:
– El presente plan de difusión está dirigido a todo el personal que labora en la empresa.
– Lo conforman 125 personas, ambos sexos, incluye todas las áreas (contabilidad, facturación, tesorería, tecnologías de información, Recursos humanos, etc).

6.- Lista de tareas

Al principio establecimos que Un plan de proyecto es un documento formal diseñado para guiar el control y la ejecución de un proyecto. Las tareas a las que nos referimos nos permitan alcanzar nuestro objetivo de difusión. Por ejemplo, podemos tener un grupo de tareas para la presentación de las políticas de seguridad a nuestros colaboradores, otro grupo de tareas para difundirlas al nuevo personal mediante una Plática de Inducción. En ambos casos deberás generar material, calendarizar y realizar las pláticas.

7.- Lista de Hitos

Un hito es una marca, un punto de referencia, algún evento importante alcanzado en nuestro proyecto. Es lo mismo que haces cuando utilizas un mapa para trazar la ruta y luego vas marcando los lugares que ya alcanzaste (hitos) hasta llegar a un destino.

De igual forma para alcanzar nuestro objetivo, añade una lista de hitos incluyendo fechas para cada uno.

8.- Responsabilidad

PMI declara que en todo proyecto hay un grupo de personas involucradas, con distintos intereses y responsabilidades dentro del proyecto. Podemos encontrar al equipo del proyecto, el Administrador del proyecto y los interesados del proyecto: cualquier persona relacionada cuyos intereses se vean o se consideren afectados tanto negativa como positivamente.

Con lo anterior puedes notar 3 cosas:
1.- Que nuestro proyecto requiere de equipo de trabajo.
2.- Al tener un equipo, hay que delimitar roles y responsabilidades.
3.- Hay que enumerar todas las entidades (personas o áreas) que tendrán alguna relación con el proyecto.

Entonces tu plan debe integrar un listado de las personas, así como sus roles y sus responsabilidades relacionados con del proyecto.

Casi llegamos al final.

Esto del tener un plan parece bastante laborioso… imagínate si no lo tuvieras.

El esfuerzo de hacer un plan siempre será menor a la cantidad de recursos que invertirás si intentas comenzar sin tenerlo. ¿Te imaginas a un arquitecto intentando construir un edificio sin planos?

Ya tengo mi plan… qué mas sigue.

¿Seguro ya tienes un plan?

Bueno, pues el plan de difusión es una pieza que compone un ciclo más grande denominado PDCA (del inglés plan-do-check-act, esto es, planificar-hacer-verificar-actuar).

Es la planificación (generar nuestro plan), ejecutar las actividades de acuerdo al plan, dar seguimiento a los resultados y realizar los ajustes necesarios lo que finalmente te llevará a determinar el éxito de la difusión.

¡Claro que hablaremos sobre eso en próximas entradas!

Por lo pronto solo me resta invitarte a compartir tu experiencia o dudas dejando un comentario. Saludos!

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s