Listar partes interesadas y sus relaciones en un Banco Colombiano El banco XYZ es un banco con 800 empleados, ubicado en Colombia, cuenta con 30 sucursales y una sede principal en Bogotá. Proporcionan servicio de banca a clientes privados y pequeñas empresas. Darío es el CISO, a cargo de la implementación del ISO 27001. Cuando el ente regulador de Colombia presionó a los bancos para reforzar la seguridad de la información, Darío estaba emocionado, pero al mismo tiempo un poco preocupado ya que durante el tiempo que él estaba en la empresa, no lograba aún entablar una relación con los cargos que toman decisiones en la empresa. Anteriormente Darío era encargado de seguridad de TI, y ahora enfrentaba un nuevo problema, en vez de tratar con computadoras, de repente tuvo que tratar con personas y de organizar reuniones, y las personas son menos predecibles que las computadoras. Darío eligió la ISO 27001 como marco de trabajo para cumplir con las nuevas regulaciones, y una de las primeras tareas que tenía Darío era la de identificar las partes interesadas. Darío en un inicio intento hacerlo por sí mismo, pero dada las diferentes leyes y reglamentos que existen, no pudo averiguar cuáles serían relevantes para el banco; intento reunirse con el Gerente General del Banco, pero siempre le anulaban las reuniones porque el Gerente pensaba que esto era una pérdida de tiempo. Darío al ver que no podía conseguir las reuniones que se había planteado, decidió pedir ayuda a un amigo que ya tenía experiencia como consultor de seguridad. Este amigo le dio varios consejos. Le dijo “en primer lugar tienes que identificar a todas las partes interesadas, para ello debes pensar quiénes serían los afectados por la paralización o vulnerabilidad de algún proceso. Seguramente los clientes, pero quizás también los socios del banco”. También debes pensar quienes influyen en la seguridad de la información del banco, como por ejemplo las agencias del gobierno, proveedores, empleados, sus familias, etc. Una vez que tengas esta lista, el segundo paso es fácil, simplemente tienes que preguntarte qué es lo que requieren estas partes interesadas del banco. Darío ya sabía por dónde empezar, tenía que hablar con los mando medios es decir con los jefes de departamentos, y preguntarles sobre las partes interesadas relevantes para su línea de trabajo. Luego se dio cuenta que no solo la autoridad bancaria estaba interesada, sino también la autoridad fiscal (control del flujo de dinero), los clientes (información de sus cuentas deben estar protegidas), la empresa que desarrollaba el software del banco, necesitaba más presupuesto para implementar seguridad, los empleados querían instrucciones claras, y capacitación sobre el manejo de información sensible, etc. Darío realizó el listado, y las necesidades de cada una de las partes interesadas y recomendó además poder contar con un procedimiento que permita al banco poder realizar este proceso de forma periódica. Presento el informe a su Jefe y el vio que había mucha información de interés que luego fue vista por la alta Dirección del Banco. Es allí donde el Gerente General se dio cuenta de que nunca fueron conscientes de muchos requisitos y necesidades, y que ahora pueden conocer y poder tratarlos de forma temprana, antes de que estos causen un daño mayor.