Si la pantalla de visualización de los Videotutoriales se te queda un poco pequeña, puedes visualizarlos a tamaño completo pulsando el botón derecho sobre el videotutorial y seleccionando "Abrir video en una pestaña nueva".
En la versión de 2015, la norma ISO 9001 se centra en reflexionar sobre el contexto en el que vive la organización: su entorno y sus partes interesadas, el análisis de debilidades y fortalezas, la continuidad de la empresa en el tiempo, el liderazgo de la Dirección... son conceptos más de Excelencia, que ahora se integran en la norma.
Uno de los cambios más importantes de la versión de 2015, es la inclusión dentro del Sistema de Gestión de la Calidad a un elevado grupo de partes interesadas. En versiones anteriores sólo se centraba en los clientes y los proveedores, pero en la actual entran en juego los accionistas, los distribuidores, los trabajadores de la organización, el entorno, la sociedad... lo que puede suponer grandes cambios estructurales y sistemáticos para tener en cuenta a todos estos nuevos grupos de interés.
Uno de los handicaps de esta norma a la hora de implantarla en las empresas, ha sido su clara orientación a procesos productivos de fabricación de carácter industrial. Esto hacía que para empresas de servicios, asociaciones
La norma pide evaluar los riesgos a los que está sometida la organización, y por lo tanto su Sistema de Gestión. Este análisis debe identificar las amenazas del entorno y las vulnerabilidades de la empresa, para la toma de decisiones.
Se da un paso más en la gestión del conocimiento dentro de la organización. Ya no es suficiente con garantizar que las personas están capacitadas para desarrollar su trabajo, sino que se deben tomar medidas que garanticen que estos conocimientos se mantengan y se protejan dentro de la empresa.
ISO ha creado a través de su Anexo SL una estructura básica para sus normas de gestión, que favorezca su integración. La nueva ISO 9001:2015 adopta este nueva forma, lo que reordena los requisitos de una forma diferente.
El Manual de Calidad, y los procedimientos y registros escritos obligatorios en la norma anterior dejan de serlo, dando opción a la empresa a utilizar medios que considere para garantizar el cumplimiento de los requisitos. También se eliminan las limitaciones de exclusión de puntos de la norma que no apliquen por las características intrínsecas del negocio.
Otro punto que se trata de potenciar en esta nueva revisíón de la norma, es la Comunicación. Tanto la comunicación transversal interna dentro de la organización como la externa con las partes interesadas. Como la puesta a disposición de la Política de Calidad a estos grupos de interés.
En muchas empresas, se incluía en la Dirección de la organización al Técnico de Calidad para que asumiese dicho rol obligatorio por la norma. Su desaparación, abre un grán número de posibilidades organizacionales a la hora de gestionar el Sistema de Gestión de la Calidad.
La nueva versión ha subido de precio, pero contra esto poco vamos a poder hacer. ;)
El primer paso va a ser solicitar información a los diferentes departamentos de la empresa que necesitarás para implementar tu Sistema de Gestión de la Calidad. Ya que mientras éstos te la preparan, tú podrás avanzar con otros temas.
La información básica para poder empezar, será:
Mientras el resto de departamentos nos van preparando la información básica solicitada, nos reuniremos con Dirección. En este primer encuentro, necesitamos perfilar el contenido de la Política de Calidad y el Mapa de Procesos. Asi como los Objetivos que Dirección espera conseguir con la implantación del Sistema de Gestión, y la Planificación para la implementación del SGC con tareas, fechas y responsables.
Es muy importante no llegar a esta reunión con las manos vacías, así que necesitarás preparar un borrador de cada documento para utilizarlo como base.
También es crítico, a la hora de elaborar el Mapa de Procesos, que Dirección no se conforme con indicar cómo se está trabajando en ese momento, sino cómo se deberá trabajar en el futuro para ser coherente con la nueva Política de la Calidad y lograr los objetivos fijados. Esto obliga a designar Propietarios de cada proceso, definir lo que se espera de cada proceso (su misión), y asignar recursos suficientes para lograrlo.
Tener también en cuenta, que proceso va a tener que cumplir cada uno de los requisitos de la norma ISO 9001. Ya que todos los requisitos deben quedar incluidos en algún proceso. Por lo que es fácil que tengamos que crear algún proceso específico para cumplir algún requisito concreto, como puede ser el requisito de auditorías. Actividades que hasta ahora no se realizaban.
Lo primero va a ser definir como vamos a gestionar la información de nuestro Sistema de Gestión. Sobre todo la información documentada: documentos y registros.
Para ello crearemos nuestro primer documento, donde detallaremos el procedimiento desde que un nuevo documento del SGC se crea, se revisa y aprueba, se distribuye, hasta que se obsoletiza. Para ello crearemos los formatos para los documentos y registros, determinaremos quien y cuando debe elaborar, revisar y aprobar la documentación, cómo y a quién distribuiremos cada documento, como controlaremos las versiones y los obsoletos de cada documento...
Dedica tiempo a crear un buen formato de Ficha de Proceso. Ya que es vital, que cada Propietario/Responsable de proceso, tenga clara la Misión del mismo fijada por Dirección. Y a partir de ahí, definir que recursos necesita, que inputs requiere, que indicadores le ayudarán a controlar el proceso, etc.
En estos momentos, ya deberíamos tener definido: el Mapa de Procesos, La Política y los Objetivos de Calidad, y como gestionar la documentación relacionada con nuestro SGC. Es el momento de sentarnos con cada uno de los Propietarios de cada proceso, para definir su proceso.
A partir de tener definida la ficha del proceso, se generará la documentación y registros necesarios que garanticen su buen funcionamiento. Asi como los indicadores que nos ayuden a determinarlo de manera objetiva.
En este momento nuestro Sistema de Gestión de la Calidad está comenzando a andar, y comenzando a generar evidencias de su buen o mal funcionamiento. La detección de No Conformidades y la realización de Acciones Correctivas para corregir las desviaciones es clave en esta fase.
Ya llevamos unos meses con los procesos en marcha, ahora toda chequear dos cosas: que los procesos funcionan correctamente, y que se están alcanzando los objetivos esperados.
Para chequear que los procesos funcionan correctamente, realizaremos una Auditoría interna previa a la auditoría externa de certificación. Para ello necesitaremos audítores preparados, independientes de los procesos que auditen.
Una vez tengamos los resultados de la auditoría, es el momento de preparar un informe previo para la revisión del Sistema de Gestión de la Calidad por Dirección. Con los resultados de cada proceso, las no conformidades y acciones correctivas llevadas a cabo, los resultados de la auditorías previas, reclamaciones de cliente, logro de objetivos, etc. Esta información será evaluada por Dirección, que tomará las acciones pertinentes para corregir las desviaciones, ver si la Política de Calidad sigue siendo adecuada, o definir nuevos objetivos para el nuevo ciclo. De todo esto quedará evidencia en el Informe de Revisión del SGC por Dirección, y en la nueva planificación del SGC.
Pues bien, ya estamos listos para certificarnos.¡Suerte!
La norma ISO 9001 de 2008 obliga a todo Sistema de Gestión de la Calidad certificado, disponer de un Manual de calidad. Y además nos fija el contenido mínimo que debe tener:
Dependiendo del uso que vayamos a darle, este puede cambiar bastante. Por ejemplo, hay empresas que únicamente lo tiene para cumplir el requisito de norma, por lo que su contenido será el mínimo e imprescindible para cumplir. Otras lo utilizan como un documento clave, y le dan un mayor contenido para que sirva como guía de todo el SGC. Otras en cambio los distribuyen entre sus clientes, incluso lo publican en su pagina web, por lo que su contendo es un poco más comercial.
Pulsando el siguiente link te puedes descargar un formato básico con el contenido imprescindible que pide la norma ISO 9001:2008. El cual lo podrás ampliar hasta donde quieras. Pero ten siempre presente, que contra más información contenga, más mantenimento necesitará. Asi que te recomentamos que evites meter "paja".
En principio podremos excluir cualquier requisito del punto 7 de la norma, siempre que seamos capaces de justificar que dicho requisito no nos aplica debido a nuestra actividad.
Uno de los puntos que en más ocasiones se excluye es el 7.3 de Diseño. Debido a que muchas empresas dedicadas exclusivamente a la comercialización de productos de terceros, no tienen ningún tipo de influencia sobre el producto final que venden a sus clientes.
Recordar que dichas exclusiones, así como la justificación de cada una de ellas, debe ser indicada en el Manual de Calidad.
Lo primero es entender que es la Política de Calidad y para que sirve. Ya que muchas empresas certificadas piensan que es un mero papel que se hace para enseñarselo al auditor.
La Política de Calidad fija el marco de actuación de la organización, y marca unos compromisos fundamentales para su evolución. De tal manera que todas las actividades que se realicen en la empresa, deberán ser coherentes con la Política de Calidad vigente.
La norma ISO 9001 marca dos compromisos mínimos que deben aparecen en la Pólitica, y por tanto que la organización debe hacer suyos:
La Política de Calidad debe revisarse periódicamente, y adaptarse en cada momento a la situación de la organización. Debe de servir de guía a la hora de fijar los Objetivos del SGC, y ser comunicada y entendida dentro de la empresa.
Sigue estos sencillos pasos, y tendrás configurado Isowin para empezar a trabajar:
Y recuerda que cada uno de estos pasos está explicado dentro de Isowin por medio de videotutoriales.
Uno de los problemas más comunes la primera vez que se implanta un Sistema de Gestión de la Calidad, es definir los Objetivos de Calidad para ese año. Debido a la falta de experiencia, y de no disponer de datos históricos que nos ayuden a detectar carecias donde actuar.
El más utilizado que no debería faltar, ya que es fácil que tengamos un historico sobre el que comparar, es el "Reducir el número de Reclamaciones de Cliente". Otros que podemos utilizar deberán tener relación con: mejorar el servicio, reducir los plazos de entrega, ofrecer ventajas de pago o productos nuevos, mejorar la fidelización de los clientes actuales, automatizar o simplificar la entrada de pedidos (internet), optimizar o aumentar los canales de comunicación con los clientes, etc.
Evita poner Objetivos que mejoren el SGC pero no tengan incidencia directa sobre los clientes. Cómo por ejemplo, "Reducir el número de No Conformidades" o "Mejorar la gestión interna de la documentación". Es muy habitual también marcar como objetivo la primera vez el "Certificar el Sistema de Gestión de la Calidad" recien implantado, mejor no hacerlo. Y sobre todo, jamás y bajo ningúna circunstancia, marca Objetivos de Calidad económicos. Cómo "Incrementar las ventas", "Mejorar la rentabilidad" o "Minimizar los costes", aunque podamos justificar la relación que tienen dichos objetivos con la satisfacción de nuestros clientes.
Al principio, lo habitual es fijar Objetivos para un periodo de tiempo corto (1 año). Ya que es fácil que con un poco más experiencia, queramos cambiarlos y definir otros a medio o largo plazo. ISO 9001 no fija plazos ni mínimos ni máximos, pero recuerda realizar una revisión de los mismos al menos una vez al año.
Una No Conformidad se define como: "El incumplimiento de un requisito". Es decir, que siempre que identifiquemos un error en un producto, en un trabajo, en la ejecución de una tarea, etc. será una No Conformidad y la deberemos registrar como tal.
Por ejemplo, si todos los pedidos recibidos deben ser aprobados mediante una firma por el Director Comercial, y encontramos uno sin su firma que ha llegado a Producción. Estaremos ante una No Conformidad.
Toda No Conformidad deberá tener una "Corrección". Es decir, una solución al problema puntual y concreto que ha generado la No Conformidad. En nuestro ejemplo, podría ser únicamente que el Director Comercial firme dicho pedido.
Dependiendo de la gravedad y de la naturaleza de la No Conformidad, podrá llevar asociada un Acción Correctiva que evite que dicha No conformidad pueda volver a reproducirse. En el ejemplo, deberíamos investigar cómo ese pedido ha llegado a fabricarse sin firmar, y realizar los cambios necesarios en el procedimiento de trabajo que garanticen que esto no pueda volver a suceder. Como podría ser que el Director de Producción revise todos los pedidos antes de que estos pasen a sus subordinados.
Hay que diferenciar entre "No Conformidad" y "Producto No Conforme". Un producto que no cumple las especificaciones definidas para él, se denomina "Producto No Conforme". Se puede decir que se trata de un producto con una o varias No Conformidades.
Entenderemos como requisitos:
Todos ellos son requisitos de nuestro Sistema de Gestión de la Calidad, siempre que tengan influencia directa en nuestra relación con los clientes. Por ejemplo, un acuerdo de colaboración con un colegio para hacer visitas periódicas, no se entiende como requisito. Ya que su influencia es nula. Pero suscribirse a los principios del "Pacto Mundial de Naciones Unidas", pasa a ser requisito en el momento que publicitamos dicho hecho a nuestros clientes o en nuestra web.
La nueva versión de la norma ISO 14001:2015 presenta algún cambio respecto a su versión anterior. No son cambios muy significativos, y bastante esperables después de conocer la nueva ISO 9001:2015. Estas novedades las podemos agrupar en cuatro grandes bloques:
En la nueva ISO 14001, se ha includo la Estrategia como punto de partida para el Sistema de Gestión. Dejamos el "Compromiso de la Dirección" atrás, para incluir la gestión ambiental en la Planificación Estratégica de la organización. Nuevos conceptos como: el contexto, el entorno, las partes interesadas, el liderazgo, responsabilidad social... se han incluido en esta nueva versión.
Otro punto a destacar es la vuelta de tuerca que se ha dado a otros requisitos ya existentes, para aumentar su nivel de exigencia en puntos como: la gestión del riesgo, los aspectos ambientales, el cumplimiento legal y otros requisitos, el ciclo de vida del producto, comunicación externa, los indicadores, la toma de conciencia... así como la efectividad de las acciones y en la evidencia de los resultados.
El formato de la norma se ha adecuado al Anexo SL. Que fija una estructura básica de la norma para facilitar su integración en Sistemas de Gestión con otras normas certificadas. Se han reordenado los requisitos en 10 bloques, cumpliendo la estructura de alto nivel fijada por ISO para sus nuevas normas.
Es común en todas las nuevas versiones de normas ISO, el cambio de dos conceptos clásicos: por un lado desaparece la idea de "Acción Preventiva" integrandolas en la Gestión de Riesgos, y la integración de Documentos y Registros en el concepto de "Información documentada", lo que elimina restricciones a nivel de formato y soporte de la documentación del Sistema de Gestión.
En la norma ISO 14001 uno de los puntos más críticos es la identificación y evaluación de aspectos ambientales. Ya que es el punto de partida, para fijar objetivos y poder así realizar acciones que reduzcan el impacto de nuestra empresa en el medioambiente. Para ello tenemos que tener muy claro que es un Aspecto ambiental, y saber diferenciarlo de su Impacto ambiental. Terminos que con frecuencia se confunden.
El Aspecto ambiental es la acción o actividad que se desarrolla en la organización que genera un cambio, en la mayoría de casos adverso, en el medioambiente que la rodea. Es decir es la causa o el motivo del Impacto ambiental, por lo que será el punto sobre el que deberemos actuar para reducir dicho impacto.
El Impacto ambiental es el efecto que tiene el Aspecto ambiental en el medioambiente. En algunos casos puede ser beneficioso, pero la mayoría de veces suele ser perjudicial.
Algunos ejemplos clásicos que aplican en casi cualquier organización, son:
| Aspecto Ambiental | Impacto ambiental |
| Consumo de agua | Agotamiento de recursos hídricos |
| Consumo de gasolina | Agotamiento de recursos |
| Emisión de CO | Contaminación de la atmósfera |
| Emisión de ruido al exterior | Contaminación acústica |
| Vertido de aguas sanitarias | Contaminación de ríos y acuíferos |
| Generación de residuos | Contaminación del medioambiente |
| Derrame de sustancias peligrosas | Contaminación de suelos |
IMPORTANTE: No tenemos que olvidar de identificar todos aquellos Aspectos ambientales que se pueden llegar a producir de manera accidental. Como pueden ser derrames involuntarios, escape de gases por averías, etc.
Uno de los problemas a los que se enfrenta una empresa en la implantación inicial del Sistema de Gestión Ambiental, es la definición de objetivos y metas para el primer periodo. Ya que en ocasiones no dispone de mucha información histórica de sus consumos y de su generación de residuos.
Teniendo en cuenta que nos vamos a certificar por primera vez, con dos o tres objetivos y cuatro o cinco metas asociadas a dichos objetivos será suficiente. Lo importante no es marcarse muchos Objetivos y Metas, sino que sean apropiados para nuestra empresa, que sean alcanzables no utópicos, y sobre todo que sean medibles periódicamente para poder así seguir su evolución.
Los Objetivos Ambientales serían los anhelos a los que la empresa aspira alcanzar a nivel medioambiental: Contaminar menos, reducir consumos de combustibles fósiles, mejorar la eficiencia energética, eliminar determinados productos contaminantes de su proceso productivo... Los objetivos suelen definirse a medio o largo plazo, y marcan la directriz a seguir en las acciones de mejora que vayamos a realizar en ese tiempo. Es importante recordar que deben ser coherentes con la Política Ambiental, ya que ésta fija el marco de referencia de todo el Sistema de Gestión Ambiental.
Las Metas Ambientales son los pasos intermedios que tenemos que completar para alcanzar el Objetivo Ambiental. Tienen que tener relación directa con uno o varios Objetivos, y ser cuantificables para poder determinar objetivamente si se ha alcanzado o no.
Un objetivo muy común en todas las organizaciones, es la "Reducción del consumo energético" o "mejorar su eficiencia energética". Si por ejemplo nuestro objetivo es "Reducir el consumo de agua", podemos fijar como Metas: "La reducción de un 20% el gasto en las oficinas" y "Eliminar el consumo del agua en el proceso productivo". Y dentro del programa de acciones, incluiremos "Campañas para la concienciación del personal" y "Sustitución de equipos de refrigeración de agua por equipos de aire".
Son objetivos muy comunes en todas las organizaciones:
Dos Objetivos que las empresas suelen incluir el primer año que se certifican, y no son válidos:
Una de las novedades que trajo en su día la ISO 14001, fue hablar de la "toma de conciencia" de los trabajadores. Ya no sólo se queda en la formación y capacitación de los mismos, sino que pide dar un paso más. También hay que tener en cuenta que no trata a todos los trabajadores por igual, sino que se centra en aquellos que pueden causar impactos ambientales significativos. Lo que simplifica mucho el requisito.
Algunas acciones para la toma de conciencia de los trabajadores serán:
La Política Ambiental fija el marco de actuación del Sistema de Gestión Ambiental dentro de la organización, y marca unos compromisos fundamentales por la Dirección. De tal manera que todas las actividades que se realicen en la empresa, deberán ser coherentes con la Política de Ambiental vigente.
La norma ISO 14001 marca unos compromisos mínimos por parte de la Dirección que deben aparecen en la Política Ambiental, que son:
La Política Ambiental debe revisarse periódicamente, y adaptarse en cada momento a la situación de la empresa. En ella deberá aparecer el alcance que tiene dentro de la organización. Debe de servir de guía a la hora de fijar los Objetivos y Metas del Sistema de Gestión Ambiental. Y ser comunicada y entendida por todos los empleados.
Un error habitual en la creación de una Política, es crear un documento incomprensible para gran parte de los trabajadores. Por lo que antes de su aprobación y publicación, se recomienda que trabajadores de distintos niveles de educación la lean.
Si ya estás certificado en otras normas como puede ser ISO 9001, se recomienda integrar ambas políticas en una única. Reduciendo a la mitad el tiempo de gestión de las mismas, ya que requiere de una única aprobación de Dirección, una única publicación y distribución. Evitando además posibles contradicciones entre ellas.
Uno de los requisitos en los que más departamentos de la empresa participan, y por tanto más complicados son de coordinar, es el proceso de Auditoría Interna.
Dentro de la norma ISO 14001, no hay muchos requisitos que esta tarea interna deba cumplir. Los requisitos se centran en garantizar la independencia del auditor respecto al área auditada, garantizando además que está capacitado para ello. Esto nos obligará a tener al menos dos auditores con casi toda seguridad, ya que es muy complicado encontrar en la organización una persona totalmente ajena a todos los procesos del Sistema de Gestión Ambiental. Aunque si no está integrado con otras normas, será más sencillo.
El proceso de auditoría es bastante estándar para este tipo de normas. Es más, se puede consultar la norma ISO 19011 si que quieren obtener un mayor número de directrices de cómo realizar correctamente una auditoría. Los pasos para la realización de una auditoría interna ambiental, serán los siguientes:
RECOMEDACIÓN 1: En las auditorías internas, a excepción de la previa a la primera certificación, se recomienda no centrarse en chequear que los procedimientos cumple los requisitos de la norma, sino que garantizar que se cumplen dichos procedimientos. Ya que si estamos certificados, nuestros procedimientos cumplen los requisitos de la norma. Pero lo que no está tan claro es que dichos procedimientos se cumplan. Esto facilita además la selección de auditores internos, ya que no necesitan conocer la norma y sus requisitos, sino chequear que "se hace lo que se dice".
RECOMEDACIÓN 2: Lo ideal es que el proceso de auditoría interna se asemeje lo máximo posible a la auditoría de certificación. En cuanto a tiempo, planificación previa, tipos de pregunta, redacción del informe, presentación de los resultados a la Dirección... con el fin de que todos "entrenemos" para ese día. Evitando nervios innecesarios y prisas.
La nueva norma ISO/IEC 27001:2014 ha traido cambios poco significativos, pero muy interesantes en algunos puntos clave:
La gestión del riesgo es una de las novedades que se ha incluido en las últimas revisiones de las normas de gestión publicadas. Ésta va desde el conocimiento del contexto de la organización (su entorno, sus partes intersadas...) como punto de partida, hasta el análisis y evaluación de riesgos y toma de acciones propia de la ISO 31000. Es tal la importancia que se quiere dar a la Gestión de Riesgos, que aparece la figura del "Propietario del riesgo", casi al nivel de lo que sería un responsable de un proceso.
Pasamos de tener 11 categorías a 14 en el Anexo A, pero se reducen tanto los objetivos de control, de 39 a 35, y los controles que pasan de 133 a 114. Los nuevos controles más destacados son: la necesidad de crear políticas para el uso de dispositivos móviles y para la seguridad de la cadena de suministro.
ISO está adaptando todas sus normas por medio de nuevas revisiones a su estructura de alto nivel o HLS (High Level Structure). Con la idea de facilitar su integración en Sistemas de Gestión certificados con tras normas, evitando así duplicidades y burocracia en las organizaciones.
La norma ISO/IEC 27001 define un activo como "cualquier bien que tiene valor para la organización". Una definición genérica y muy abierta a interpretaciones, que vamos a agrupar en tres categorías de "bienes" para poder tratar:
Son los más importantes de la organización, y quizás los más complicados de identificar y de no dejarse ninguno. Se trata del conocimiento interno de la organización acumulado durante años en base a la experiencia y los conocimientos técnicos del producto. Los principales que nunca deberíamos olvidar son:
Quizás sean los más fáciles de enumerar, y los primeros que se listan a la hora de identificar activos en la organización. Se trata de todos aquellos que soportan los activos intangibles, y que muchas veces se confunden con ellos. Servidores informáticos, redes de comunicación, ordenadores, teléfonos móviles, archivadores, cámaras de fotos, documentos en papel... son los más frecuentes que encontramos en cualquier organización.
Es de vital importancia entender que todos ellos son mero soporte de la información que contienen, que es el activo real. Cuando hablamos de proteger un plano de un nuevo diseño, tendemos a pensar en proteger el papel A3 que tenemos en papel guardado en el archivador, cuando ese papel es un mero soporte. Ya que el archivo original de la aplicación informática con el que fue creado estarán en el servidor, posiblemente haya copias en pdf de ese plano en algún pendrive de algún ingeniero, y posiblemente se haya enviado adjuntado en algún mail.
Otro ejemplo que nos puede ayudar a entender este concepto, es el siguiente: La pérdida de un teléfono móvil recién comprado sin sacar de la caja, supone la pérdida de un activo tangible de unos 200 euros, pero poco más. Es un activo despreciable, del que poco nos tendremos que preocupar. Pero la pérdida de un teléfono móvil de un comercial con su lista de clientes, con acceso a su cuenta de correo, y con documentos descargados... es otra cosa muy diferente.
El problema es que dado que los activos intangibles no son protegibles como tal, nos tendremos que centrar en proteger dichos activos tangibles que los soportan, por muy poco dinero que valgan. Sobre los cuales si podremos actuar, reduciendo sus riesgos y protegiendo sus vulnerabilidades.
Si que los activos tangibles como tal, serán críticos cuando elaboremos un plan de continuidad del negocio. Ya que por ejemplo, la perdida de una nave de producción en un incendio, pese a suponer que no hemos perdido ninguna información en él contenida, puede suponer un hándicap económico que la empresa no pueda soportar.
Quizás sea el punto mas complicado de tratar, pero es realmente el gran soporte de información de nuestra empresa, los trabajadores. Que un trabajador deje la empresa y se vaya a la competencia, supone una fuga de información brutal. No sólo por los documentos que se pueda llevar, y que podremos poner medidas para limitar, sino por todo lo que lleva en su cabeza y que no tenemos forma de proteger.
Para este punto sólo hay una solución: la creación de políticas de Recursos Humanos adecuadas. No sólo trabajar en los procesos de selección de nuevos empleados, sino en garantizar que los actuales no se vayan. Poniendo mayor hincapié en aquellos con acceso a información más vital y crítica.
A la hora de valorar el riesgo que tienen nuestros activos, hay tres criterios fundamentales que nunca podemos olvidar: La Confidencialidad, la Integridad y la Disponibilidad. A continuación explicaremos cada uno de ellos:
La confidencialidad valora las consecuencias de que una determinada información llegue a manos de personas que no deberían llegar. Por ejemplo, activos de elevada confidencialidad son todos los que tengan que ver con la parte comercial de la organización: ofertas, precios, pedidos, contactos... otro ejemplo claro es la información que tenga que ver nuestros productos y que marquen la diferencia con nuestros competidores: planos, instrucciones, bocetos, prototipos...
En muchas ocasiones un activo de información está compuesto por varios documentos en diferentes soportes y que se encuentran en diversos lugares. Por ejemplo, la documentación relativa a la fabricación de nuestros productos. Habitualmente la pérdida de uno o varios de esos documentos no es crítico, y la empresa podría trabajar con normalidad. No ocurre lo mismo con otros, donde la pérdida de un sólo folio lo convierten en inservible. Como puede ser un contrato de suministro con un cliente importante.
La falta de disponibilidad es posiblemente uno de esos problemas invisibles en las empresas, que reducen su productividad generando sobrecostes que en la mayoría de veces pasan desapercibidos. El no disponer de un activo de información en el momento que se necesita, posiblemente suponga un retraso que será recuperado posteriormente con horas extra, o que simplemente retrasará la entrega del producto. Por ejemplo, que el servidor de la empresa deje de funcionar, y por tanto todo la información en él contenida pase a ser inaccesible, puede suponer la paralización de varios departamentos o de la cadena de producción durante varias horas.
La Declaración de Aplicabilidad o SoA (Statement of Applicability), es uno de esos documentos que siempre te va a pedir el auditor, y que en la implantación de la norma por primera vez nos traen un poco de cabeza. Pero quizás sea el requisito más sencillo de cumplir, si tenemos las cosas claras.
La Declaración de Aplicabilidad, no es más que un documento interno de la organización, donde se evalúa la aplicabilidad de cada uno de los controles definidos en el Anexo I de la norma ISO 27001. Y aunque es suficiente con disponer de un checklist indicando cuales aplican y cuáles no, se recomienda disponer de un documento un poco más elaborado donde indicar las causas de inclusión y exclusión de cada control. En la auditoría nos facilitará mucho la vida.
Pese a lo que muchos piensan, es un documento vivo. Que nunca deberemos olvidar en un cajón, ya que con el paso del tiempo, la empresa se adapta al entorno y a las nuevas circunstancias, y controles que hace unos meses no aplicaban hoy si que lo hacen.
Llevar un control adecuado de versiones es necesario. Así que tendremos que guardar copias de los documentos obsoletos, ya que nos los pueden solicitar durante la auditoría. No requiere de firma de Dirección, pero si es conveniente disponer de un procedimiento (escrito o no) donde se marquen plazos de revisión periódica y la persona responsable de dicha tarea.
Una vez identificados los activos, analizado como les afectan las amenazas, y evaluados los riesgos, y determinados los controles que tenemos que aplicar... toca tomar las medidas adecuadas que reduzcan estos niveles de riesgo. El conjunto de acciones a implantar en la organización para reducir los riesgos intolerables, forman el llamado "Plan de tratamiento de riesgos". Las acciones contenidas en este plan, pueden ir desde la sustitución de equipos informáticos por modelos más modernos y seguros, a formar trabajadores en cuestiones relacionadas con la seguridad, o implementar nuevos procedimientos internos para realizar determinadas tareas de manera más segura.
Las posibles soluciones a la hora de tratar un riesgo son:
Eliminar el 100% del riesgo es imposible en la mayoría de ocasiones, por lo que un cierto "riesgo residual" siempre tendremos en todos los activos. Es imprescindible que los "Propietarios de los riesgos" conozcan y acepten dichos riesgos residuales, y los considere tolerables.
El Plan de tratamiento de riesgos debe de estar documentado, deberá ser revisado periódicamente para asegurar que se realizan las acciones que en él se indican.
Una de las principales diferencias entre las nuevas versiones de las nuevas normas ISO adaptadas al Anexo SL, es el cambio de concepto respecto a la estructura documental. Una de las diferencias que más llama la atención es que en versiones anteriores se diferenciaba entre "Documentos y Registros", mientras que en la actual todo entra en un único concepto de "Información documentada".
La desaparición de estos dos términos de la norma, no implica que pasen a ser incorrectos. Únicamente que se abren las posibilidades a otros formatos como puede ser: nuevos formatos de texto digitales, bases de datos, plataformas informáticas, archivos de audio o video, o a cualquier otra manera que la organización considere adecuada para documentar sus procedimientos, o guardar evidencias de su cumplimiento.
Los requisitos de la Información documentada es muy similar a los requisitos antes exigidos para los Documentos y los Registros. Entre los que se encuentran:
También es significativa la reducción de documentos obligatorios, evitando la generación de documentación no útil en determinadas organizaciones. Como puede ser el Manual de Calidad en la ISO 9001. Reduciendo de esta manera la burocracia en los Sistemas de Gestión, y simplificando por tanto su carga documental. Que para muchos es uno de sus mayores hándicaps.
Los trabajadores de la organización que participen en los procesos del Sistemas de Gestión de Seguridad de la Información, deberán tener la competencia necesaria para desarrollar las tareas que su puesto exijan. Para ello, varios son aspectos que debemos tener en cuenta:
Uno de los roles que se tiende de olvidar, tanto en la definición de puestos de trabajo como en la programación de cursos de formación, es el de "Auditor Interno". Es además uno de los más complicados de cubrir por la falta de personal con los conocimientos suficientes, y suele ser uno de los roles que más consultan los auditores de certificación en las auditorías.
Entre los controles contenidos en el Anexo 1, hay uno muy diferente al resto. Al no tratarse de un requisito técnico asociado a alguna tecnología, sino por ser un requisito más de gestión como los contenidos en la propia norma ISO 27001. Se trata del "Plan de Continuidad de Negocio" o BCP (Business Continuity Plan), y está orientado a preparar a la empresa para resolver situaciones de crisis, donde la pérdida de activos de información pueden tener consecuencias catastróficas. Para implementar este control en la organización, deberemos seguir los siguientes pasos:
El primer paso será identificar todas las situaciones de crisis que se puedan dar en la empresa en un momento determinado. Situaciones debidas a problemas internos o circunstancias externas. Algunos ejemplos serían: el incendio de uno de los edificios de la empresa, la caída de las comunicaciones externas durante un largo periodo de tiempo, o la rotura del servidor principal de la red de la organización.
Ante estas circunstancias la empresa debe tener definidos protocolos de actuación, que garanticen una recuperación de la actividad normal en un breve espacio de tiempo. Grupos de personal de emergencias preparados, equipos informáticos de sustitución, contratación de servicios externos de rescate, son algunas de las cosas de las que deberemos disponer para poder atender dichas situaciones.
Estos procedimientos y protocolos de actuación deberán ser testeados periódicamente para garantizar su correcto funcionamiento por medio de simulacros. Además de mejorados y perfeccionados de manera continua, mejorando los tiempos de recuperación y corrigiendo los errores detectados en los simulacros realizados. No será necesario chequear todos los protocolos anualmente, pero si es importante probar alguno de ellos en las condiciones más reales posibles.
En la norma ISO 27001 se diferencian dos tipos de políticas: la contenida en la propia norma como un requisito más, que hace referencia a la Política del SGSI, y las contenidas en el Anexo I como posibles controles. Las diferencias entre ellas son las siguientes:
La Política del SGSI es similar a las políticas exigidas por otras normas de gestión, y sirve para definir el marco de referencia sobre el que se sustentará el Sistema de Gestión y toda su actividad. Los requisitos de debe cumplir dicha política están claramente definidos en la norma, y son entre otros:
Las Políticas de Seguridad incluidas como control en el anexo I, hacen referencia a políticas definidas para solucionar problemas concretos de seguridad. Sirven para marcar una líneas de actuación concretas para un determinado problema. Un ejemplo sería la "Política de uso de internet", donde se especifica cuando debe utilizarse y para qué internet. Limitando dicho uso a cuestiones profesionales, evitando su uso para temas personales, ilegales, o poco éticas.
Ambas políticas deberán ser tratadas como Información documentada dentro de la organización. Además de revisadas y adaptadas cuando sea necesario, para que permanezcan vigentes y sean convenientes en todo momento. Además de comunicadas, conocidas y entendidas por todas los trabajadores de la empresa a los que les resulte de aplicación.
El presente sitio web tiene como objetivo dar a conocer y promocionar comercialmente los servicios de Isowin. Al navegar por este web ser convierte en usuario del mismo, y su navegación queda sujeta a las presentes condiciones de uso, en la versión de las mismas que se encuentre publicada en este web en el momento en el que Isowin podrá, cuando lo considere conveniente y sin aviso previo, modificar las presentes condiciones de uso, los contenidos o el diseño del sitio web.
En cumplimiento del artículo 10 de la ley 34/2002, de Servicios de la Sociedad de la Información y del Comercio Electrónico, le informamos que la empresa titular de los sitios web: isowin.es, isowin.org e isowin.win es ISOwin S.L., con domicilio en C/ Sobrarbe 4 planta 6, Zaragoza, España; con CIF B99507626 e inscrita en el Registro Mercantil de Zaragoza (Tomo: 4293, libro: 0, folio: 103, hoja: Z-62961). Nuestro correo electrónico de contacto es: isowin@isowin.es
ISOwin S.L. con CIF B99507626. Con domicilio en C/ Sobrarbe 4, Planta 6ª Oficina A. 50015. Zaragoza.
Sus datos personales recogidos a través de nuestros sitios web, son utilizados para ponernos en comunicación con ustedes y poder así ofrecerles y explicarles nuestros servicios.
Sus datos personales, serán conservados mientras se considere necesario para dar respuesta a su comunicación. Siempre cumpliendo los plazos máximos que marque la legislación vigente, o hasta que el interesado nos solicite su eliminación.
Se podrán llegar a comunicar sus datos a terceros, cuando el servicio demandado por el cliente requiera de la participación de otra entidad o persona, para dar respuesta a dicha necesidad.
Sus datos han sido recogidos a través de los diversos formularios web disponibles en nuestros sitios web: isowin.es; isowin.org e isowin.win. O a través de una comunicación directa por el correo electrónico: isowin@isowin.es.
ISOwin S.L. estamos legitimados a realizar el tratamiento de sus datos personales, debido a que el usuario ha comunicado sus datos personales a través de los diferentes formularios de nuestros sitios web, conociendo el uso y tratamiento de que va a realizar de ellos. A través de esta misma política de privacidad y la política de cookies.
Cualquier persona o usuario de nuestros sitios web, tiene derecho a ser informado de si en ISOwin S.L. estamos tratando sus datos personales. Cualquier usuario podrá solicitar en cualquier momento la rectificación, la supresión, o oposición al uso de dichos datos personales, cuando estos no sean necesarios para el fin para el que fueron recogidos.
ISOwin S.L. dejará de tratar dichos datos de forma inmediata, a no ser que por motivos justificados y en defensa de posibles reclamaciones o consecuencias legales, considere que no sea posible.
Cualquiera de los derechos antes mencionados se podrá ejercer a través del correo electrónico: isowin@isowin.es. O en la dirección C/ Sobrarbe 4, Planta 6ª Oficina A. 50015. Zaragoza (España).
Isowin informa a sus usuarios de la existencia de un fichero creado con la finalidad de promocionar sus servicios entre aquellas personas que manifiesten su interés, inscribiéndose en el fichero. El mencionado fichero ha sido inscrito en el Registro de la Agencia Española de protección de Datos. Isowin se compromete a tratar lo mencionados datos de acuerdo con lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (LOPD) y normativa de desarrollo y, en particular, cumpliendo su obligación de secreto sobre los datos y su deber de conservarlos y custodiarlo aplicando las correspondientes medidas de seguridad, que eviten su alteración, pérdida, tratamiento o acceso no autorizado.
Isowin le informa asimismo sobre la posibilidad de ejercitar los derechos de acceso, rectificación y cancelación mediante petición escrita dirigida a Isowin, por correo ordinario o electrónico (isowin@isowin.es).
Isowin no comunicará sus datos personales a terceros, salvo que el titular de los datos preste su consentimiento, o cuando así lo permita o lo exija una ley.
La totalidad de los contenidos de este sitio web son propiedad de Isowin, incluidos su diseño y programación, correspondiéndole todos los derechos reconocidos por la legislación de propiedad intelectual que tengan carácter patrimonial o de explotación y que atribuyen al autor la plena disposición y el derecho exclusivo a la explotación de la obra para cualquier finalidad y para cualquier modalidad de uso.
En consecuencia, se prohíbe expresamente toda reproducción, copia, transmisión, distribución o manipulación de los contenidos de este web en todo o en parte, para propósitos públicos o comerciales sin permiso previo y por escrito por parte de su titular. En ningún caso se entenderá que el acceso del usuario a la web y la navegación por la misma implica la renuncia de dichos derechos por parte de Ecosistemas Digitales de Negocio S.L., ni que supone cualquier forma de transmisión, licencia o cesión total ni parcial de los mismos.
Isowin es titular de los derechos de propiedad industrial sobre sus signos distintivos, que se encuentran protegidos por la normativa aplicable. Queda estrictamente prohibida la utilización de todos los elementos objeto de propiedad industrial presentes en este sitio web, así como su distribución, modificación o alteración, sin autorización expresa y por escrito.
Cookie es un fichero que se descarga en su ordenador al acceder a determinadas páginas web. Las cookies permiten a una página web, entre otras cosas, almacenar y recuperar información sobre los hábitos de navegación de un usuario o de su equipo y, dependiendo de la información que contengan y de la forma en que utilice su equipo, pueden utilizarse para reconocer al usuario.. El navegador del usuario memoriza cookies en el disco duro solamente durante la sesión actual ocupando un espacio de memoria mínimo y no perjudicando al ordenador. Las cookies no contienen ninguna clase de información personal específica, y la mayoría de las mismas se borran del disco duro al finalizar la sesión de navegador (las denominadas cookies de sesión).
La mayoría de los navegadores aceptan como estándar a las cookies y, con independencia de las mismas, permiten o impiden en los ajustes de seguridad las cookies temporales o memorizadas.
Sin su expreso consentimiento mediante la activación de las cookies en su navegador no enlazará en las cookies los datos memorizados con sus datos personales proporcionados en el momento del registro o la compra..
Cookies técnicas: Son aquéllas que permiten al usuario la navegación a través de una página web, plataforma o aplicación y la utilización de las diferentes opciones o servicios que en ella existan como, por ejemplo, controlar el tráfico y la comunicación de datos, identificar la sesión, acceder a partes de acceso restringido, recordar los elementos que integran un pedido, realizar el proceso de compra de un pedido, realizar la solicitud de inscripción o participación en un evento, utilizar elementos de seguridad durante la navegación, almacenar contenidos para la difusión de videos o sonido o compartir contenidos a través de redes sociales.
Cookies de personalización: Son aquéllas que permiten al usuario acceder al servicio con algunas características de carácter general predefinidas en función de una serie de criterios en el terminal del usuario como por ejemplo serian el idioma, el tipo de navegador a través del cual accede al servicio, la configuración regional desde donde accede al servicio, etc.
Cookies de análisis: Son aquéllas que bien tratadas por nosotros o por terceros, nos permiten cuantificar el número de usuarios y así realizar la medición y análisis estadístico de la utilización que hacen los usuarios del servicio ofertado. Para ello se analiza su navegación en nuestra página web con el fin de mejorar la oferta de productos o servicios que le ofrecemos.
Cookies publicitarias: Son aquéllas que, bien tratadas por nosotros o por terceros, nos permiten gestionar de la forma más eficaz posible la oferta de los espacios publicitarios que hay en la página web, adecuando el contenido del anuncio al contenido del servicio solicitado o al uso que realice de nuestra página web. Para ello podemos analizar sus hábitos de navegación en Internet y podemos mostrarle publicidad relacionada con su perfil de navegación.
Cookies de publicidad comportamental: Son aquéllas que permiten la gestión, de la forma más eficaz posible, de los espacios publicitarios que, en su caso, el editor haya incluido en una página web, aplicación o plataforma desde la que presta el servicio solicitado. Estas cookies almacenan información del comportamiento de los usuarios obtenida a través de la observación continuada de sus hábitos de navegación, lo que permite desarrollar un perfil específico para mostrar publicidad en función del mismo.
Cookies de terceros: La Web de Isowin puede utilizar servicios de terceros que, por cuenta de XXXXX, recopilaran información con fines estadísticos, de uso del Site por parte del usuario y para la prestacion de otros servicios relacionados con la actividad del Website y otros servicios de Internet.
En particular, este sitio Web utiliza Google Analytics, un servicio analítico de web prestado por Google, Inc. con domicilio en los Estados Unidos con sede central en 1600 Amphitheatre Parkway, Mountain View, California 94043. Para la prestación de estos servicios, estos utilizan cookies que recopilan la información, incluida la dirección IP del usuario, que será transmitida, tratada y almacenada por Google en los términos fijados en la Web Google.com. Incluyendo la posible transmisión de dicha información a terceros por razones de exigencia legal o cuando dichos terceros procesen la información por cuenta de Google.
El Usuario acepta expresamente, por la utilización de este Site, el tratamiento de la información recabada en la forma y con los fines anteriormente mencionados. Y asimismo reconoce conocer la posibilidad de rechazar el tratamiento de tales datos o información rechazando el uso de Cookies mediante la selección de la configuración apropiada a tal fin en su navegador. Si bien esta opción de bloqueo de Cookies en su navegador puede no permitirle el uso pleno de todas las funcionalidades del Website.
Puede usted permitir, bloquear o eliminar las cookies instaladas en su equipo mediante la configuración de las opciones del navegador instalado en su ordenador:
Si tiene dudas sobre esta política de cookies, puede contactar con Isowin en isowin@isowin.es