Académique Documents
Professionnel Documents
Culture Documents
Excelente
Los mejores artculos publicados
por ISOTools Excellence en
enero de 2015
ISO 14001
El camino hacia
la Excelencia
NDICE DE CONTENIDOS
LA PLATAFORMA TECNOLGICA
12
14
OHSAS 18001: Idoneidad, eficacia y adecuacin para una Revisin por la Direccin
16
18
20
22
24
27
29
31
33
ISO 9001:2015, los principios de la ISO 31000 para adecuar la Gestin de Riesgos
35
ISO 14001: Cmo controlar riesgos, hacer una auditora interna y una revisin por la direccin
37
39
41
Consultora Estratgica
Innovacin Tecnolgica
SISTEMAS DE GESTIN
NORMALIZADOS
MODELOS DE GESTIN
Y EXCELENCIA
MDULO BASE
Cmo es ISOTools?
ISO 14001:
Planificacin estratgica
El elemento esencial de un Sistema de Gestin Ambiental
basado en la norma ISO 14001 es, sin obtener ninguna
duda, la identificacin y evaluacin de los aspectos ambientales. Incluso, este requisito de la norma nos facilitar sentar las bases para distintos requisitos, entre los
que se encuentra la propia poltica ambiental, metas y
programas, el establecimiento de objetivos, competencia, formacin y toma de conciencia, control operacional,
preparacin y respuesta ante emergencias, seguimiento y
medicin, y evaluacin del cumplimiento legal.
Emisiones atmosfricas
Uso de agua
Uso de energa
Utilizacin de productos qumicos
Uso de materias primas y empleo de recursos naturales
Almacenaje
Vertidos
Generacin de residuos
Contaminacin y degradacin del suelo
Riesgo de accidentes
Otros (vibraciones, ruido, olores, etc.)
Para implantar un Sistema de Gestin Medioambiental
una organizacin deber disponer de uno o varios procedimientos para identificar y evaluar sus aspectos ambientales.
Una forma sencilla de cumplir con este requisito de la norma es la conocida como el mtodo de los procesos de
flujo, en el cual cada actividad, proceso, producto o servicio de una organizacin es analizado individualmente para
determinar cules son sus aspectos ambientales. El mto-
La organizacin
debe identificar
los aspectos
ambientales
significativos
Reglamentos, directivas, decisiones, recomendaciones y
dictmenes procedentes de la Unin Europea.
Leyes, reales decretos legislativos, reales decretos ley,
reales decretos, rdenes ministeriales y resoluciones
procedentes del Estado espaol.
Las leyes y decretos procedentes de las distintas comunidades autnomas.
Las ordenanzas municipales.
Autorizaciones, permisos, declaraciones administrativas, etc. relacionado con el medio ambiente.
Con el trmino otros requisitos se pretende ampliar este
punto de la norma ISO-14001 a todos aquellos requisitos
de carcter no legal que sean de aplicacin en la organizacin.
En consecuencia, para que el Sistema de Gestin Ambiental sea efectivo ser necesario incluir la identificacin
de todas las regulaciones y acuerdos vinculantes de carcter no legal, incluyendo:
Requisitos o especificaciones de clientes, accionistas,
etc.
Cdigos de buenas prcticas ambientales.
Para poder implementar un Sistema de Gestin Medioambiental, una organizacin debe asegurar que ha identificado y tiene acceso a los requisitos legales y otros requisitos
que pueda suscribir en relacin con sus aspectos ambientales.
La organizacin que ha identificado adecuadamente todos los requisitos, deber adems establecer una sistemtica para actualizar de forma peridica toda la informacin relacionada con ellos.
Ser necesario describir la manera en la que la organizacin accede a los requisitos de carcter legal que le son
de aplicacin, relacionados con sus aspectos ambientales
considerando todas las figuras legales posibles:
Un listado de las autorizaciones y licencias administrativas, indicando la referencia legal, el organismo encargado de su concesin, fecha y periodo de validez, as como
observaciones en las que se incluya la documentacin
necesaria u otros requisitos para su concesin.
Una vez identificados los aspectos e impactos ambientales significativos de la organizacin, es necesario establecer unas lneas de actuacin para llevar a cabo un proceso
de mejora continua de carcter ambiental.
Los objetivos permiten a la organizacin marcar el nivel de
mejora de la gestin ambiental para un periodo de tiempo
determinado, proporcionando un marco para definir las
actuaciones asociadas a la mejora del sistema.
Las organizaciones debern tener en cuenta a la hora de
establecer sus objetivos respecto al SGA los siguientes
puntos:
VERSIN ONLINE
http://www.isotools.org/2015/01/01/iso-14001-planificacion-estrategica/
ISO 27001:
Seguridad informtica
y Seguridad de la informacin
Seguridad informtica
Amenazas: rango de 3 a 5.
Si encontramos riesgos con caractersticas tcnicas, el enfoque ms eficaz es llevar a cabo un anlisis gracias a los
estndares tcnicos o bien gracias a las normas internacionales, como la ISO 27002, en la que se realizan todos los
controles necesarios y se determina el nivel en que se tiene
que implantar para minimizar los riesgos que se encuentren a niveles aceptables.
Hasta llegado este punto hablamos de seguridad informtica. Este trmino es una traduccin del ingls, information
security, el sentido que recoge dicha problemtica se aproxima ms a trminos como pueden ser computer security
o network security.
Seguridad de la informacin
Estamos ante un proceso en que se est produciendo modificaciones, por lo que el trmino Seguridad de la Informacin est tomando una traduccin ms acertada sobre
information security. Aunque an hay muchos especialistas
que siguen nombrndolo segn el enfoque tcnico que hemos comentado anteriormente.
Seguridad de la Informacin y
Seguridad Informtica
En el caso de no involucrarse las unidades activas y los lderes de negocio, como podran ser, ejecutivos, directivos,
etc. de las entidades, no podr existir un plan de Seguridad
de la Informacin, a partir de todos los riesgos determinados. Todo ello se lleva a cabo en el seno del sistema de
direccin y control propio del gobierno corporativo.
Se tiene que considerar los sujetos, los procesos y las funciones de negocio, adems de la proteccin de todos los
activos/recursos de la entidad impulsora, propietaria y beneficiaria de la Seguridad de la Informacin, dentro de un
marco de responsabilidades compartidas.
Amenazas
Se tienen que considerar la totalidad de los riesgos tcnicos de TIC, adems de que la seguridad se desarrolle por
toda la empresa, es decir, son riesgos organizacionales,
operacionales y fsicos.
Los riesgos operacionales son hoy en da ms cruciales en
lo referente a Seguridad de la Informacin. Las vulnerabilidades de este tipo de riesgo se expanden durante una
amplia gama de grises, en conexin con el comportamiento
humano y los juicios subjetivos de las personas, la resistencia al cambio, la cultura empresarial, la forma de comunicarse, etc.
Establecer las distintas vulnerabilidades de una empresa es
un proceso muy distinto a las mediciones o lecturas tomadas con los ordenadores, servidores, rters, etc. como normalmente no se disponen de datos histricos suficientes,
realizar un anlisis exacto se hace muy complicado. El an-
10
Activos
Vulnerabilidades
Los riesgos de negocio que incluyen los riesgos organizacionales, operacionales, fsicos y de sistemas TIC.
Podemos conseguir un enfoque completo de seguridad
de la informacin en la parte en la cual se considera los
recursos necesarios para minimizar los riesgos dentro de
un plan de seguridad, no se puede considerar un gasto
sino una inversin para la empresa. Solicita de un anlisis
y determinar de una manera cuantificable el retorno de las
inversiones en seguridad.
Sistema de Gestin de Seguridad de la Informacin
La implantacin de un Sistema de Gestin de Seguridad de
la Informacin en las empresas supone un paso ms para
garantizar a los usuarios que la informacin manipulada
por dicha empresa se realiza bajo la mxima seguridad.
VERSIN ONLINE
http://www.isotools.org/2015/01/05/iso-27001-seguridad-informatica-seguridad-informacion/
Se imagina un software
capaz de convertir su sistema
o modelo de gestin en algo
sumamente gil y sencillo?
11
Este apartado lo podemos traducir en que cualquier entidad tendr que concentrarse en sus factores estratgicos
internos y externos, en aquello que es relevante para su
propsito y tienen que deshacerse de cualquier barrera
que no permita alcanzar los resultados requeridos.
12
Qu factores se deben
considerar en el desarrollo e implementacin de la estrategia?
Proveedores.
Inversionistas.
Medios de comunicacin.
Competidores.
En cuanto al anlisis de contexto que propone ISO
9001:2015, supone una ayuda para tomar las decisiones
estratgicas en la empresa con respecto al Sistema de
Gestin de la Calidad.
El proceso de trazado de la estrategia del Sistema de Gestin de Calidad engloba dos fases: desarrollo e implementacin de la estrategia.
Si nos centramos en el desarrollo de la estrategia tenemos que tener en cuenta estos cuatro elementos:
Qu vamos a hacer, qu productos y servicios vamos a
ofrecer.
Para quin lo vamos a hacer, a qu clientes y mercados
serviremos.
Por qu los usuarios nos comprarn, qu ventajas competitivas tendremos.
Dnde incidiremos, cules sern nuestros mercados
prioritarios.
Respecto a la implantacin de la estrategia tenemos que
tener en cuenta:
Cmo vamos a conseguir lo anterior, es decir el qu, el
para quin, el por qu y el dnde.
En el momento de tomar en cuenta decisiones estratgicas podemos plantear una serie de cuestiones que nos
posibiliten este proceso, dichas cuestiones pueden ser:
Qu factores externos sustentan nuestra estrategia
y nuestro Sistema de Gestin de la Calidad segn ISO
9001?
Cmo nos vemos en el futuro?
Qu medidas tendremos que emplear para evaluar
VERSIN ONLINE
http://www.isotools.org/2015/01/06/iso-9001-2015-desarrollo-implementacion-estrategia/
13
14
Se considera muy significativo que, aparte de definir adecuadamente las responsabilidades y funciones clave del
SGA, la alta direccin comunique esto a la totalidad de sujetos que trabajen en la empresa o en su nombre.
Por otro lado, la entidad tiene que realizar las acciones de
sensibilizacin y formacin necesarias con el fin de que
todo el personal asuma sus funciones en el desarrollo del
Sistema de Gestin Ambiental.
Los trabajadores o cualquier sujeto que realice tareas
para la empresa tienen que poseer los conocimientos necesarios sobre los impactos ambientales que puedan ocasionar, para poder actuar adecuadamente en cualquier
momento. Para ello, es necesario que el personal haya
recibido formacin adecuada.
Todos los trabajadores de la entidad tienen que ser conscientes de la importancia de cumplir todas las obligaciones del Sistema de Gestin Ambiental, de los beneficios
para el medio ambiente derivados de sus actuaciones, de
los inconvenientes de no hacerlo, as como su papel como
elemento integrante del sistema.
Todos los puestos de trabajo no son iguales, existen unos
puestos de trabajo llamados puestos clave. Segn el nivel
de responsabilidad en las decisiones a tomar o las actividades que puedan generar en relacin con los impactos
ambientales la entidad identificar esos puestos clave,
cuya formacin ser ms especfica.
Se considera necesario identificar cualquier necesidad de
formacin relacionada con los aspectos ambientales y el
propio SGA, y analizar si los sujetos necesitan conocimientos y experiencia especfica para llevar a cabo sus puestos.
La entidad tiene que posibilitar la formacin que identifique como necesaria para eliminar los impactos ambientales eludibles y tiene que mantener los registros asociados.
La entidad, en el desarrollo de este apartado de la norma,
ha de contar con una sistemtica documentada que d
respuestas a:
La manera de identificar las necesidades de formacin
del personal.
La manera de documentar los mtodos de formacin
seleccionados para cumplir con las necesidades detectadas y su alcance.
La entidad se ocupar, aparte de definir los requisitos de
formacin y experiencia requerida para la realizacin de
funciones que puedan influir en la gestin ambiental, asegurndose de que el personal que ocupa esos puestos
cumple efectivamente con los requisitos necesarios.
A los trabajadores o sujetos que trabajen en nombre de la
entidad, se les tiene que comunicar:
La poltica ambiental y la importancia de mantener una
conformidad con ella y con los procedimientos y requisitos del Sistema de Gestin Ambiental.
Los aspectos ambientales significativos, los impactos
reales o potenciales asociados con su trabajo y las ventajas ambientales derivadas de su comportamiento,
Su responsabilidad en el seno del SGA.
Las consecuencias derivadas de la falta de cumplimiento de los procedimientos.
De esta manera, cada sujeto sabr en cualquier momento
qu tiene que hacer en conexin con la gestin ambiental
de la empresa, pudiendo verificarlo, comprobarlo e incluso corregirlo.
La empresa, con el fin de poner en prctica los contenidos
de este apartado de la norma, puede realizar un plan de
formacin que le ayude a llevar un control de las actividades formativas indicando los objetivos, tipos de formacin, los plazos de consecucin, el seguimiento, las fechas
de control, colectivo receptos, recursos y la periodicidad
de la actuacin.
La formacin puede provenir de distintas fuentes. Entre
los mtodos de formacin ms destacados se encuentran
los relacionados con el puesto de trabajo (formacin directa por un superior o a travs de rotacin de oficios de
igual nivel y responsabilidad) o con los externos (sustitu-
La entidad dar
formacin a
los empleados
para mitigar o
eliminar impactos
ambientales
cin temporal y conferencias, seminarios, cursos, etc.).
La entidad tiene que establecer las vas de comunicacin
necesarias para garantizar que toda la informacin relacionada con sus aspectos ambientales y con el propio Sistema de Gestin Ambiental se transmite correctamente a
todas las partes interesadas.
En este punto hay dos tipos de comunicacin en la empresa: la interna y la externa. Estos dos tipos de comunicacin
tendrn que quedar plasmados en uno o varios procedimientos, teniendo en cuenta la comunicacin interna
entre las distintas reas, accionistas, departamentos, etc.
de la empresa y la externa entre las partes interesadas
(administracin, sociedad, etc.), reparando en el alcance
de sta.
Para que la informacin de naturaleza ambiental llegue a
quien la precisa a fin de decidir o actuar en el seno de la
empresa, se tienen que prever y hacer funcionar mtodos
de comunicacin interna.
El procedimiento o los procedimientos, en el caso que
sean varios, que la empresa desarrolle para alcanzar con
este objetivo tendrn que incluir el mecanismo por el que
la empresa comunica internamente, a cualquier nivel, la
informacin relativa a los aspectos ambientales y el Sistema de Gestin Ambiental. Tambin, se tendr que indicar
cmo se conservarn evidencias de dicha comunicacin,
las que pasarn a ser registros del sistema.
VERSIN ONLINE
http://www.isotools.org/2015/01/07/iso-14001-planes-formacion-sistema-gestion-ambiental/
15
16
Resultado de auditoras
El resultado de auditoras es uno de los elementos de
entrada, tanto internas como externas. Estas auditoras
ofrecen una serie de resultados que tendremos que analizar, sin limitarnos solamente a las No Conformidades. Los
aspectos a analizar seran:
Causas.
Acciones repetitivas.
Gravedad de las no conformidades y sus efectos.
reas en las que se produjeron.
La importancia
de la Revisin
por la Direccin
en los Sistemas
de Gestin de
Seguridad y Salud.
Propuestas de mejora.
Anlisis de cambios
Resultado de auditoras.
Comunicaciones externas.
Anlisis de objetivos de Seguridad y Salud Ocupacional.
Resulta fundamental la identificacin de las modificaciones previstas con el fin de planificar la implementacin de
los mismos.
Los resultados de una revisin por la direccin, tienen
que ser afines con el compromiso de mejora continua de
la empresa e incluso aadir la totalidad de decisiones y
acciones relativas a cambios en el desempeo de la Seguridad y Salud Ocupacional, los objetivos de poltica de
Seguridad y Salud Laboral y los recursos y otros elementos distintos del propio Sistema de Gestin de Seguridad
y Salud en el Trabajo.
Toda revisin tendra que centrarse en la idoneidad, eficacia y adecuacin del Sistema de Gestin.
VERSIN ONLINE
http://www.isotools.org/2015/01/08/ohsas-18001-idoneidad-eficacia-adecuacion-revision-direccion/
17
Actividades de control.
Se basa en la identificacin y anlisis de los riesgos fundamentales en la consecucin de objetivos. Es necesario para
poder determinar el efecto que podran tener, de materializarse, en la consecucin de objetivos. Se llevaran a cabo
tcnicas cuantitativas y cualitativas. La evaluacin del riesgo
primero se centrar en el riesgo inherente y, a continuacin
de ste, en el riesgo residual.
Informacin y comunicacin.
Supervisin.
18
conocemos como Marco Integrado de Riesgos, el que extendi el concepto de control interno de COSO I a la gestin
de riesgos en la que se implica a la totalidad de la plantilla
de la entidad.
Actividades de control
Informacin y comunicacin
La informacin tiene que estar disponible para la totalidad
de niveles de la empresa, para no cometer errores en la
identificacin, evaluacin al riesgo y no comprometa la consecucin de objetivos.
Supervisin
La supervisin consiste en el seguimiento de la metodologa con el fin de garantizar que funciona adecuadamente y
que est ofreciendo datos de calidad.
COSO II es una metodologa capaz de abordar la gestin
de riesgos en las empresas desde un enfoque integrador y
que signifique una gran oportunidad para crear valor para
sus partes interesadas o stakeholders.
COSO II define la gestin de riesgos corporativos de la siguiente manera: La gestin de riesgos corporativos es un
proceso efectuado por el consejo de administracin de una
entidad, su direccin y restante personal, aplicable a la definicin de estrategias en toda la organizacin y diseado
para identificar eventos potenciales que puedan perjudicar
a sta, gestionar sus riesgos dentro del riesgo aceptado y
proporcionar una seguridad razonable sobre el logro de los
objetivos.
Proporciona seguridad.
Objetivos operativos
Los objetivos operativos son aquellos relacionados con la
eficacia y eficiencia de las operaciones de la entidad, sin olvidar los relativos al desempeo y la rentabilidad.
VERSIN ONLINE
http://www.isotools.org/2015/01/12/iso-90012015-coso-como-metodologia-gestion-riesgo/
19
ISO 27001:
Pilares fundamentales de un SGSI
El estndar ISO 27001 establece todos los requisitos necesarios a la hora de implementar un Sistema de Gestin
de Seguridad de la Informacin (SGSI) en cualquier tipo
de empresa.
La parte ms importante de una empresa es la informacin. Evidentemente, la empresa contar con otro tipo de
activos que tambin tendrn una destacada importancia,
pero si la organizacin tiene algn problema en la Seguridad de la Informacin, sta no podr recuperarla. Esa es
la principal razn por la que las empresas deben dedicar
parte de su esfuerzo en garantizar la seguridad de la informacin corporativa.
Habitualmente, la gestin de la Seguridad de la Informacin en una empresa se encuentra desorganizada, por
lo que no cuenta con un criterio comn, es decir, cada
departamento de la organizacin cuenta con sus propios
procedimientos y polticas, que han sido constituidas sin
contar con las necesidades generales de la empresa e incluso podemos hablar de que se encuentran alejadas de
los objetivos del negocio.
Implementar un Sistema de Gestin de Seguridad de la
Informacin basado en la norma ISO 27001 es la manera
ms eficiente de poder conseguir la coordinacin y gestin necesaria para alcanzar los objetivos de la organizacin y adems puede conseguir que la organizacin salga
mucho ms reforzada.
20
Un Sistema de Gestin de Seguridad de la Informacin segn la ISO27001 genera una garanta con la que sabemos
que poder realizar una adecuada gestin de la seguridad
de la informacin en la organizacin. Para ello, se debe
realizar un tratamiento segn los diferentes niveles de
riesgos cosechados como consecuencia de considerar los
distintos efectos que se pueden producir sobre la informacin de la organizacin.
El Sistema de Gestin de Seguridad de la Informacin segn la norma ISO-27001 genera un proceso de mejora
continua y de gran flexibilidad frente a los cambios que se
pueden producir en la empresa refirindonos a los procesos de negocio y a la tecnologa, ya que sta avanza a una
gran velocidad.
El SGSI se basa en tres pilares fundamentales:
Confidencialidad: es la garanta de acceso a la informacin de los usuarios que se encuentran autorizados
para tal fin.
Integridad: es la preservacin de la informacin completa y exacta.
Disponibilidad: es la garanta de que el usuario accede
a la informacin que necesita en ese preciso momento.
El Sistema de Gestin de Seguridad de la Informacin
tiene que tener en cuenta los tres pilares fundamentales
para realizar el tratamiento de los riesgos de la organiza-
cin ya que la implementacin de los controles de seguridad son los activos de la organizacin.
Sistema de Gestin de Seguridad de la Informacin
Implantar un Sistema de Gestin de Seguridad de la Informacin se encuentra basado en la norma ISO-27001. Este
estndar internacional presenta un sistema de gestin
basado en el ciclo de Deming: Planificar, Hacer, Verificar y
Actuar, cuyas siglas en ingls son PHVA. El ciclo Deming o
ciclo PHVA, supone la implementacin de un Sistema de
Gestin que se centra en la mejora continua que requiere
de una constate evolucin para adaptarse a los cambios
que se producen en la organizacin e intentar conseguir
el mayor nivel de eficacia operativa.
Procedemos a describir todas las actividades que realizan
en cada una de las cuatro fases del ciclo Deming (PHVA):
1. Planificar: durante esta fase tiene lugar la creacin de
un Sistema de Gestin de Seguridad de la Informacin,
con la definicin del alcance y la poltica de seguridad. Para
comenzar debemos realizar una anlisis de riesgos que
refleje la situacin actual de la entidad. Una vez realizado
el anlisis obtendremos unos resultados que definirn el
plan de tratamiento de riesgos que conlleva la implementacin en la empresa de unos controles de seguridad con
el objetivo de mitigar los diferentes riesgos no asumidos
por la direccin.
2. Hacer: durante esta fase de la implementacin nos
centramos en el plan de tratamiento de riesgos, es decir,
su ejecucin. Se debe incluir la formacin y la conciencias
de los trabajadores de la organizacin en materia de seguridad y deben conocer la definicin de mtricas e indicadores que se utilizarn para evaluar la eficacia de los
diferentes controles implementados.
3. Verificar: esta fase conlleva la realizacin de diferentes
tipos de revisin en los que se comprobarn la correcta implementacin del Sistema de Gestin de Seguridad
de la Informacin segn ISO 27001. Para ello, se deben
realizar auditoras internas independientes y objetivas,
adems de llevar a cabo una revisin global del Sistema
de Gestin de Seguridad de la Informacin por la alta direccin de la empresa, persiguiendo el fin de marcarse
nuevas metas a cumplir durante el prximo ciclo del SGSI.
4. Actuar: El resultado obtenido de las revisiones debe
quedar reflejado en la definicin e implementacin de las
diferentes acciones correctivas, preventivas o de mejora
con las que se consigue avanzar en la consecucin del Sistema de Gestin de Seguridad de la Informacin siendo
un sistema eficaz y eficiente.
El ciclo PHVA
en un Sistema
de Gestin de
Seguridad de la
Informacin
Para implementar un Sistema de Gestin de Seguridad de
la Informacin que se deben utilizar las dos normas, es
decir, la ISO 27001 en la que se describe el ciclo PHVA de
gestin de sistemas y el estndar internacional ISO27002
en la que encontramos la gua de implantacin de los diferentes tipos de controles de seguridad.
La norma tiene 11 dominios diferentes de controles que
pretenden cubrir todos los mbitos de una entidad donde
debe existir la seguridad de la informacin. Los dominios
se encuentran divididos en 39 objetivos de control que, a
su vez, abarcan 133 controles de seguridad.
Se deben seleccionar los diferentes controles que se deben llevar a cabo para definir el plan de tratamiento de
riesgos, se debe nutrir de los 133 controles que encontramos en la norma ISO 27002. El anexo A del estndar
internacional ISO27001 engloba una lista con los diferentes controles que sirven de unin entre ambas normas
internacionales.
SGSI
La Seguridad de la Informacin en las organizaciones se
ha convertido en un motivo de preocupacin y compromiso.
VERSIN ONLINE
http://www.isotools.org/2015/01/13/iso-27001-pilares-fundamentales-sgsi/
21
22
En algunos casos, el archivo del documento ya antiguo sirve para satisfacer un requisito legal. En dicho caso, este
texto tiene que identificarse de una manera adecuada.
La organizacin tiene el deber de explicar los procedimientos a seguir para saber cmo se efectuar la distribucin, revisin y aprobacin, identificacin y retirada de los
documentos obsoletos. Un sujeto tiene que encargarse
de esta gestin documental para revisar los textos y garantizar que no se contradicen con algn requisito o requerimiento de la norma y, posteriormente, llevar a cabo
su aprobacin. El archivo de los documentos se mantendr, a lo largo de al menos tres aos de vigencia del certificado ISO 14001, aunque alguno de ellos se quede en
situacin de desuso.
Cualquier documentacin que se produzca y genere
como consecuencia de la aplicacin de los procedimientos del Sistema de Gestin Ambiental que no establezca
registros del sistema y aquella documentacin externa
que perjudique a la gestin ambiental, sern controlados,
as como analizados.
El fin que se persigue en el control de la documentacin
es determinar los controles necesarios para garantizar
que los aspectos ambientales se trabajan correctamente, minimizando los impactos ambientales relacionados,
identificando las actividades que pueda n ocasionar colisin con el medio ambiente tanto en los servicios como en
los procesos de produccin.
La organizacin tendr que determinar las actividades y
operaciones que se encuentren ligadas con los aspectos
ambientales representativos para llevar a cabo un correcto control, de acuerdo con su poltica ambiental, objetivos
y fines. Para contribuir a ello, la entidad podr hacer uso
Almacenaje.
Vertidos.
Uso de energa.
Riesgos de accidentes.
Uso de agua.
Generacin de residuos.
Uso de materias primas y empleo de recursos naturales.
Emisiones atmosfricas.
Contaminacin y degradacin del suelo.
Otros (ruido, olores, vibraciones, impacto visual, biodiversidad, etc.).
Continuamente, se tendrn que describir la manera en la
que llevarn a cabo estas actividades y actuaciones para
que los impactos ambientales que produzcan se pudieran considerar controlados o no lleguen a generarse. Para
ello, se debera realizar una planificacin, elaborar los criterios necesarios para decidir si se estn desenvolviendo
en base a lo planeado y determinar mtodos de correccin.
El control de las operaciones tiene que englobar a las
operaciones de mantenimiento, as como a proveedores
y subcontratistas en sus actividades ligadas a la organizacin en particular. Adems, es importante que los procedimientos de control operacional se informen a cualquier
proveedor y subcontratista, as como el mantenimiento de
un registro de tal comunicacin.
Asimismo, si la organizacin ve necesario incluir a los
proveedores y subcontratistas ambientales en el procedimiento de evaluacin, tendr que establecer los criterios
medioambientales que se exigen y tener control del anlisis y de su mantenimiento.
Algunas actividades en las que se requiere un control operacional pueden ser: los vertidos, las emisiones atmosfricas, proveedores, subcontratistas, la gestin de residuos,
el almacenamiento de productos qumicos, etc.
VERSIN ONLINE
http://www.isotools.org/2015/01/14/iso-14001-estructura-documentacion-sistema-gestion-ambiental/
23
Auditores internos, son los auditores que forman parte de la organizacin que va a ser auditada. Se trata de
empleados que, independientemente de las funciones
que desarrollan en su empresa, asumen el cargo de auditores internos respecto de aquellas reas, funciones y
departamentos en los cuales no tienen responsabilidad
alguna.
24
Auditores externos, son los auditores que no pertenecen a la entidad del auditado. Nos estamos refiriendo
a entidades o a individuos que son contratados por el
usuario para que realicen una auditoria en su misma
entidad, o bien en la entidad de uno de sus subcontratistas o proveedores en su representacin.
Imparcialidad e independencia.
Cuestiones culturales.
Disponibilidad.
Capacidad de trabajo en equipo.
Formacin necesaria.
Conoces las
responsabilidades
de un auditor lder
OHSAS 18001?
25
Dialogante.
Formado.
Autocrtico.
Honesto.
Analtico.
A los auditores de OHSAS18001, se le pueden sumar
otros colaboradores, como: auditores en prcticas, traductores e intrpretes, o incluso, observadores. Estos ltimos habitualmente suelen ser:
Personal de la entidad auditora cuya intencin es evaluar al auditor con vistas a su registro y cualificacin.
Personas de la misma organizacin auditada que han
manifestado su deseo de participar en la auditora para
su formacin personal y profesional.
Personas representantes de algn comprador.
Estos observadores tienen que mantenerse imparciales
en lo que se refiere al desarrollo de la auditora y no interferir en su ejecucin. Su presencia tiene que estar autorizada por la direccin de la entidad auditada.
VERSIN ONLINE
http://www.isotools.org/2015/01/15/ohsas-18001-auditoria-sistemas-gestion-seguridad-salud-trabajo/
26
ISO 9001:2015,
metodologa COSO III para la
gestin de riesgos
La nueva norma ISO 9001:2015 habla especialmente acerca de la gestin de riesgos, que es una de las novedades
ms destacadas en los crculos profesionales de la calidad.
Entorno de control
Se aclaran las relaciones entre los elementos que componen el control interno para subrayar la relevancia del
entorno de control.
Se incrementa la informacin sobre el gobierno corporativo de una entidad, apreciando diferencias en estructuras, requisitos, sectores y tipos de entidades.
Evaluacin de riesgos
- Se ampla la categora de objetivos de reporte.
- Se seala que la evaluacin de riesgos incluye: identificacin, anlisis y respuesta a los riesgos.
27
Actividades de control
Se seala que las actividades de control vienen determinadas por procedimientos y polticas.
Establecimiento de objetivos.
Identificacin de eventos.
Respuesta a los riesgos.
Informacin y comunicacin
Anlisis de riesgos.
Asimismo, como elemento novedoso, se da protagonismo
a conceptos como puede ser la tolerancia al riesgo en la
evaluacin de niveles aceptables de riesgo, y se incluyen
otros como la velocidad y persistencia de los riesgos, siendo motivos para evaluar la criticidad de los mismos.
Por otra parte, cuando se hablan de mejoras de este Marco
actualizado, se manifiesta que se encuentra acompaado
de dos nuevos documentos: el relativo al control interno
de la informacin financiera externa (ICEFR) y los mecanismos de evaluacin a utilizar para poder valorar la eficacia
del control interno.
Esto ltimo parece olvidar que en 2006 COSO public el
documento Control Interno para la informacin financiera
para pequeas y medianas empresas cotizadas, as como
en 2009, la Gua para la Supervisin de Sistemas de Control Interno.
Las empresas que se encuentren trabajando con COSO
tienen que saber que esta versin de la metodologa de
gestin de riesgos es la vigente en la actualidad, quedando
derogadas las versiones anteriores, del mismo modo que
las entidades al implementar ISO 9001:2015 quieran utilizar este mecanismo para aplicar la gestin de riesgos que
exige la norma.
VERSIN ONLINE
http://www.isotools.org/2015/01/19/iso-90012015-metodologia-coso-iii-gestion-riesgos/
28
En este texto vamos a hablar sobre el procedimiento desarrollado por la empresa para realizar la verificacin de
la norma ISO 14001 a la hora de implantar un Sistema de
Gestin Ambiental.
Seguimiento y medicin
El objetivo que se persigue con la verificacin en la norma
ISO14001 a la hora de implementar un Sistema de Gestin
Ambiental es la instauracin de todos los procedimientos
necesarios para poder medir, de forma segura y regular,
todas las caractersticas que existen en las actividades y
operaciones que puedan generar un impacto negativo sobre el medio ambiente. Adems, se intenta fijar las normas
que tienen que cumplirse para llevar a cabo la calibracin y
el mantenimiento de los distintos equipos de medicin con
los que cuenta la empresa.
La entidad o empresa es la encargada de elaborar los documentos que controlen el proceso de calibracin y mantenimiento de los equipos de medida relacionados con las
actividades que estn sujetas a los procesos de seguimiento y medicin. Los documentos especifican la periodicidad
de los seguimientos, las mediciones y las calibraciones, adems de la metodologa empleada para llevarlas a cabo y los
responsables de dichos procedimientos que debern realizar un informe final. El periodo de tiempo en que se deben
realizar los seguimientos y las mediciones debe ser coherente con los requisitos legales que se les pueden aplicar.
29
Cmo hacer el
seguimiento y medicin
de un Sistema de
Gestin Ambiental
ceso de seguimiento y medicin de la norma ISO14001
deben incluir siempre el resultado de las mediciones y de
las calibraciones que, en su caso, debern contener como
mnimo la calibracin del equipo, la incertidumbre de las
medidas realizadas y la identificacin inequvoca del equipo
utilizado para llevar a cabo la medicin.
Cuando la empresa utiliza sus propios medios para llevar a
cabo la medida y el registro debe contener, adems, todos
los datos de su trazabilidad y los patrones aceptados.
Si las medidas se realizan por parte de las entidades acreditadas tiene que obtenerse una evidencia de la acreditacin
para poder realizar anlisis contrastados en todo momento. Por lo que en este caso, se toma por bueno el procedimiento de calibracin y la trazabilidad de todos los patrones para llevar a cabo el anlisis para lo que est acreditada
la empresa.
Los registros que se obtienen se utilizarn en la empresa
para poder identificar los diferentes indicadores de comportamiento y usarlos a la hora de implementar las acciones correctivas y preventivas impuestas por la norma ISO14001, estimando el cumplimiento de los objetivos y las
metas del Sistema de Gestin Ambiental. Adems podrn
conocer si est mejorando el desempeo ambiental de la
organizacin.
30
cada procedimiento para cada requisito que puede encontrarse documentado o no.
Cuando los procedimientos de seguimiento y medicin de
la ISO 14001, se encuentran relacionados con los requisitos
legales u otros requisitos, la empresa tendr que poner especial atencin en demostrar que cumplen todos los requisitos. Para ellos, se puede editar un formato que contenga
toda la lista de requisitos legales y otros requisitos y contemplar todos los indicadores que te dicen cundo, dnde
y quin los ha verificado.
VERSIN ONLINE
http://www.isotools.org/2015/01/20/iso-14001-verificacion-sistema-gestion-ambiental/
La Organizacin Internacional de Estandarizacin (ISO) recoge un extenso nmero de normas dentro de la familia de
ISO 27000.
Cada norma tiene reservado una nmero dentro de una serie que van desde 27000 hasta 27019 y de 27030 a 27044.
Vamos a realizar un repaso por todas las normas de la serie:
Esta estandarizacin contiene las definiciones y los trminos que se utilizarn durante toda la serie 27000. Para aplicar cualquier normativa necesita conocer un vocabulario
perfectamente definido, por lo que as evitaremos cualquier
mala interpretacin de conceptos tcnicos y gestin. Esta
norma es gratuita a diferencia de las dems de la serie de
normas que s que suponen un coste para su implementacin.
ISO 27001
La ltima versin de esta norma fue publicada en el ao
2013. Es la norma principal de toda la serie ya que incluye
todos los requisitos del Sistema de Gestin de Seguridad de
la Informacin en las organizaciones. La ISO 27001 sustituye
a la BS 7799-2 estableciendo unas condiciones de adaptacin para aquellas empresas que se encuentren certificadas
bajo esta ltima. En el Anexo A se enumeran los objetivos
de control y los anlisis que desarrolla la norma ISO27001
para que se puedan seleccionar las empresas durante el
progreso de sus Sistemas de Gestin de Seguridad de la
Informacin. La empresa podr argumentar el hecho de no
aplicar los controles que no se encuentren implementados
ya que no es obligatorio.
ISO 27002
ISO 27003
Es un manual para implementar un Sistema de Gestin de
Seguridad de la Informacin y adems, nos da la informacin necesaria para la utilizacin del ciclo PHVA (viene de las
siglas Planificar, Hacer, Verificar y Actuar, en ingls Plan, Do,
Check, Act) y todos los requerimientos de sus diferentes fases. El origen de esta norma se encuentra en el Anexo B de
la norma BS7799-2 y en la serie de documentos publicados
a lo largo de diferentes aos con recomendaciones y gua
de implementacin.
ISO 27004
En este estndar se especifican las tcnicas de medida y las
mtricas que son aplicables a la determinacin de la eficacia
de un Sistema de Gestin de Seguridad de la Informacin y
los controles relacionados. Las mtricas se utilizan para la
medicin de los componentes de las fases implementar y
utilizar del ciclo deming.
ISO 27005
Esta normativa establece las diferentes directrices para la
gestin de los Riesgos en la Seguridad de la Informacin. Se
31
ISO 27032
Es un texto relativo a la ciber-seguridad. Se trata de un estndar que garantiza directrices de seguridad que desde la
organizacin ISO han asegurado que proporcionar una
colaboracin general entre las mltiples partes interesadas
para reducir riesgos en Internet. Ms concretamente, ISO/
IEC 27032 proporciona un marco seguro para el intercambio de informacin, el manejo de incidentes y la coordinacin para hacer ms seguros los procesos.
ISO 27006
ISO 27033
ISO 27007
Es un manual de auditora de un Sistema de Gestin de
Seguridad de la Informacin. Es un estndar Internacional
el cual ha sido creado para proporcionar un modelo para
establecer, implementar, operar, monitorear, revisar, mantener y mejorar un Sistema de Gestin de Seguridad de la
Informacin (SGSI).
ISO 27011
Es una gua de gestin de seguridad de la informacin especfica para telecomunicaciones Ha sido elaborada conjuntamente con la Unin Internacional de Telecomunicaciones
(ITU).
ISO 27031
Es una gua de continuidad de negocio basada en las tecnologas de la informacin y las comunicaciones. Explica los
principios y conceptos de la tecnologa de informacin y comunicacin (TIC), la preparacin para que contine el negocio, y la descripcin de los procesos y mtodos necesarios
para sealar e identificar todos los aspectos que sirvan para
mejorar la preparacin de las TIC de una empresa con la
32
Consiste en 7 partes:
Gestin de seguridad de redes
Arquitectura de seguridad de redes
Marcos de redes de referencia
Aseguramiento de las comunicaciones entre redes mediante gateways
Acceso remoto
Salvaguardia de comunicaciones en redes mediante VPNs
Diseo e implementacin de seguridad en redes.
ISO 37034
Es una gua de seguridad en aplicaciones.
ISO 27799
Se trata de un estndar de Gestin de Seguridad de la Informacin dentro del sector sanitario aplicado a la norma ISO
17799 (actual ISO 27002). Dicha norma no es desarrollada
por el subcomit JTC1/SC27 sino que la lleva a cabo el comit tcnico TC 215. Esta normativa define las directrices
necesarias para apoyar la interpretacin y la aplicacin en
la salud informtica de la norma ISO 27002 y es un complemento a dicha norma. Esta especifica un conjunto detallado
de controles y directrices de buenas prcticas para la gestin de la seguridad de la informacin por las empresas del
sector sanitario.
VERSIN ONLINE
http://www.isotools.org/2015/01/21/familia-normas-iso-27000/
OHSAS 18001:
Tipos de auditoria para las organizaciones
33
Por otro lado, OHSAS 18001 tambin indica que es necesario contar con uno o varios procedimientos de auditora
que traten sobre:
Requisitos, responsabilidades y competencias para proyectar y ejecutar estas auditoras, comunicar los resultados y
mantener los registros ligados a dichas auditoras.
La especificacin de los criterios de auditora, el alcance de
la misma, la frecuencia y los mtodos empleados.
Este tipo de auditoras son planificadas para trabajar, como
hemos citado arriba, sobre la base de un programa establecido en los distintos departamentos de la entidad. El
objetivo de todo esto es garantizar que se respetan las actividades del Sistema de Gestin de Seguridad y Salud en el
Trabajo y los requisitos de la norma OHSAS-18001. Como
ltimo fin es promover la mejora continua del sistema.
34
VERSIN ONLINE
http://www.isotools.org/2015/01/22/ohsas-18001-tipos-de-auditoria-para-las-organizaciones/
35
de la empresa.
Tener en cuenta factores humanos y culturales.
Ser una normativa transparente e inclusiva.
Tratarse de un estndar dinmico, interactivo y sensible
al cambio.
Facilidad para llevar a cabo la mejora continua.
Marco de trabajo para la gestin de riesgos con ISO
31000
Este segundo elemento fundamental podemos llamarlo
marco de trabajo o marco de referencia, cuyo fin es incluir el proceso de gestin de riesgos en el corazn de la
empresa.
Segn la norma, se recomienda implementar, desarrollar
y mejorar de forma continuada este marco de referencia, para poder incluir y adaptar el proceso de gestin de
riesgos en la alta direccin, gestin, informes de procesos,
polticas, en la estrategia organizacional, en la planificacin,
cultura de la empresa y valores de la misma.
Este marco de trabajo sigue las directrices del ciclo PHVA,
precedido de una etapa de mandato y compromiso de la
direccin.
La norma cuenta con una serie de mandatos que la alta
gerencia debe cumplir para asegurar la eficacia en la gestin de riesgos. Para ello es fundamental que la gerencia
se comprometa y lleve a cabo una planificacin estratgica
rigurosa.
El tercer elemento clave de ISO 31000 es el proceso de gestin de riesgos. Este proceso cuenta con tres etapas: anlisis y evaluacin de riesgos, establecimiento del contexto,
evaluacin de riesgos, constituida por la identificacin y el
tratamiento de los riesgos.
La base fundamental en la que se sustenta la norma es el
establecimiento del contexto en el que opera la organizacin.
Hablamos de contexto tanto interno como externo. En este
sentido, se trata de los entornos correspondientes en los
que la entidad quiere alcanzar sus objetivos, establecer el
proceso de gestin de riesgos y definir los criterios de evaluacin de los mismos.
A la hora de seleccionar la opcin de tratamiento de riesgos, la norma ISO 31000 ofrece una lista de posibles elecciones, que se pueden aplicar de forma individual o concurrente. Se trata de:
Evitar el riesgo, tomando la decisin de no comenzar o
no continuar la actividad que desemboca en el riesgo en
cuestin.
Aceptar o aumentar el riesgo para poder concretar una
oportunidad.
Remover la fuente del riesgo.
Cambiar la probabilidad.
Cambiar las consecuencias o impactos.
Constituir unos indicadores de desarrollo que vayan alineados con los de la empresa en cuestin.
36
La norma ISO 14001 proporciona todos los requisitos necesarios con el fin de implantar un Sistema de Gestin
Ambiental de manera satisfactoria, entre ellos podemos
encontrar, la auditora interna, la revisin por la direccin y
el control de riesgos.
Control de riesgos
La sistemtica general es que los registros tienen que mantenerse a lo largo de un periodo de tiempo no inferior a
tres aos, como requisito para la certificacin ISO 14001,
o a lo largo de un periodo superior a estos tres aos en
el supuesto de que haya algn requisito legal aplicable ha
dicho registro (por ejemplo, los documentos ligados con el
control y el seguimiento de los residuos peligrosos tiene
que estar archivados durante cinco aos).
Auditora interna
La organizacin debe disear distintos programas que evalen de manera peridica el funcionamiento, la eficacia en
el seno del Sistema de Gestin Ambiental y la adecuacin
de los requisitos producidos por la norma ISO 14001.
La auditora interna es un proceso independiente, documentado y sistmico con el que se obtienen evidencias y
se evalan de una manera objetiva para determinar as el
nivel de cumplimiento de todos los criterios en los que se
fundamenta el Sistema de Gestin Ambiental obtenido por
la entidad.
37
La empresa es la encargad de garantizar las auditoras peridicamente, debe definir cul ser el alcance y el mtodo
de auditora que ser el conveniente para determinar si
el SGA cumple con todos los requisitos de la norma ISO14001 y se encuentra adecuadamente implantado, incluso
tiene que informar, en todo momento, acerca de los resultados obtenidos tras la auditora a la alta direccin de la
empresa.
El Sistema de Gestin Ambiental, para llevar a cabo las auditoras, se tiene que encontrar en un grado avanzado en
la implantacin, esto es, que haya superado la fase de diseo, siendo capaz la organizacin de utilizar o requerir listas
de comparacin, entrevistas personales con los distintos
trabajadores de la entidad, cuente con documentacin del
SGA, poltica ambiental, registros de datos, etc.
La entidad tiene que elaborar distintos procedimientos
de auditora en el que se tienen que determinar de forma
clara todos los requerimientos necesarios para la cualificacin del auditor o auditores, las personas responsables, la
planificacin, preparacin y realizacin de las auditoras, as
como de su conservacin y comunicacin de los resultados obtenidos de dichas auditoras.
El Sistema de Gestin Medioambiental fundamentado en la
norma ISO14001 tiene que ser objeto de la auditora en su
totalidad, aunque se puede llevar a cabo por partes, esto
es, dividiendo la empresa en distintas parcelas y auditando
por separado los diferentes aspectos y la gestin.
En el momento en el que se define el alcance de la auditora, la entidad puede determinar cules sern los emplazamientos, los elementos del sistema o las actividades que
considere oportunas.
Como mnimo ha de realizarse una auditora al ao, aunque no hay una frecuencia fija para llevarla a cabo, debiendo encontrarse perfectamente definida por la entidad
en funcin a los resultados de auditoras anteriores o del
grado de control existente acerca de los distintos aspectos
ambientales y el grado de implantacin de la totalidad del
Sistema de Gestin Ambiental.
A lo largo del proceso de seleccin de los auditores, la entidad tiene que optar por llevar a cabo la auditora con el
personal de la misma empresa, por lo que para garantizar
la objetividad y la imparcialidad a lo largo de todo el proceso, este tiene que estar libre de responsabilidades a lo
largo de su actividad como auditor. Sin embargo, si la empresa decide optar por contratar a personal de fuera de
la entidad, auditores externos, estos tendrn que tener las
competencias oportunas y poder llevar a cabo la auditora
38
VERSIN ONLINE
http://www.isotools.org/2015/01/27/iso-14001-como-controlar-riesgos-hacer-auditoria-interna-y-revision-direccion/
narla correctamente, hacer una utilizacin del proceso sistemtico, documentado y conocido por toda la organizacin desde un enfoque de riesgo empresarial. Este proceso
es el que constituye un Sistema de Gestin de Seguridad de
la Informacin basada en la norma ISO-27001.
La informacin, los procesos y los sistemas que hacen uso
del Sistema de Gestin de Seguridad de la Informacin, son
unos activos muy importantes de la empresa. La confidencialidad, integridad y disponibilidad de la informacin son
esenciales para mantener a un alto nivel la rentabilidad,
competitividad, conformidad legal e imagen empresarial
necesarios para alcanzar los fines marcados por la entidad
y asegurar el beneficio econmico.
La empresa y sus Sistemas de Gestin de Seguridad de la
Informacin estn expuestos continuamente a un elevado
nmero de amenazas. Aprovechndose alguna de estas
vulnerabilidades, la empresa puede sufrir violaciones de la
informacin mediante espionaje, fraude, sabotaje o vandalismo.
Algunos ejemplos de estos casos son: los virus informticos, el hacking o los ataques de denegacin de servicio,
pero tambin consideramos riesgos el hecho de sufrir incidentes de seguridad de la informacin causados voluntaria
o involuntariamente por parte de la propia organizacin.
La adaptacin dinmica y puntual de las variaciones en las
39
condiciones del entorno, cumplir con la legalidad, la proteccin de los objetivos de negocio con el que poder asegurar el mximo beneficio o el aprovechamiento de nuevas
oportunidades de negocio, son algunos de los aspectos
fundamentales del Sistema de Gestin de Seguridad de la
Informacin segn la norma ISO 27001 que son de gran
ayuda durante la gestin de las empresas.
La seguridad alcanzada mediante los medios tcnicos es
insuficiente e ilimitada por s misma. La gestin de la seguridad tiene que contar con la presencia y participacin de
toda la organizacin, la alta direccin debe estar al frente
del proyecto teniendo en cuenta a los clientes y a los proveedores de bienes y servicios. En el modelo de gestin de
la seguridad de la informacin se deben contemplar unos
recursos adecuados y la implementacin y la planificacin
de controles de seguridad basada en una evaluacin de
riesgos y la medicin de la eficiencia de los mismos.
El Sistema de Gestin de Seguridad de la Informacin basado en la norma ISO 27001 establece todos los procedimientos y las polticas en relacin a los objetivos de negocio
de la organizacin con el fin de mantener a la organizacin
en el mnimo nivel de riesgo de exposicin.
En este sentido, en el SGSI, la organizacin conoce todos
los riesgos a los que se encuentra sometida su informacin,
las debe asumir e intentar reducir los riesgos manteniendo
y controlando la sistemtica definida, documentada y conocida por todos los componentes de la empresa. Adems, se
debe revidar y mejorar continuamente.
Podemos trasladar el modelo de pirmide de cuatro niveles desde el mbito de la Gestin de la Calidad segn la
norma ISO 9001, al modelo de Seguridad de la Informacin
basado en la norma ISO 27001 de la siguiente forma:
Nivel 2 Procedimientos
Son documentos a nivel operativo que aseguran que se lleve a cabo eficazmente la planificacin, operacin y el control de todos los procesos de seguridad de la informacin.
Nivel 4 Registros
Son los documentos que proporcionan una evidencia objetiva del cumplimiento de los requisitos del Sistema de Gestin de Seguridad de la Informacin ya que se encuentran
relacionados a los documentos de los tres niveles anteriores.
Algunos conceptos bsicos que debemos conocer:
Alcance del SGSI: entorno de la empresa que queda sometido al Sistema de Gestin de Seguridad de la Informacin en que se incluye la identificacin de todas las
dependencias, lmites y relaciones que existen entre el
alcance y aquellas partes que no se hayan tenido en
cuenta.
Poltica y objetivos de seguridad de la informacin: hablamos de un documento con el contenido genrico que establece el compromiso de la direccin y el enfoque de la
empresa en la gestin de la Seguridad de la Informacin.
Procedimientos y mecanismos de control que soportan
el SGSI: son procedimientos que regulan el propio funcionamiento del SGSI.
Enfoque de evaluacin de riesgos: se describe la metodologa que se va a emplear.
Informe de evaluacin de riesgos: estudio proporcionado
de la aplicacin de la metodologa de evaluacin anteriormente mencionada a los activos de informacin de la
empresa.
Plan de tratamiento de riesgos: se trata del documento
en el que se identifican las acciones que tiene que llevar
a cabo la direccin, los RRHH, los responsables y las prioridades para gestionar los riesgos.
VERSIN ONLINE
http://www.isotools.org/2015/01/28/iso-27001-gestion-seguridad-informacion-mediante-modelo-piramide/
40
El estndar OHSAS 18001 es una de las normativas ms extendida por todo el mundo. Aunque se trata de un estndar
britnico, numerosos pases la han aplicado. La empresa
que implanta y certifica la OHSAS 18001 obtiene una buena
reputacin e imagen, entre otros aspectos destacables.
Igualmente, estamos hablando de un Sistema de Gestin
de la Seguridad y la Salud en el Trabajo (SST) que:
Posibilita la gestin preventiva en entidades localizadas
en distintos mbitos geogrficos.
Reduce el nmero de accidentes.
Aminora las sanciones, materiales perdidos y control de
riesgos en el trabajo.
Promueve una actitud proactiva y responsable.
Favorece y motiva la participacin de los miembros en
tareas preventivas.
Sostiene a la empresa viva y productiva en el anlisis de
riesgos.
Estos aspectos caractersticos suponen que la normativa
OHSAS 18001 sea sometida a una auditora y se certifique.
La planificacin del tipo que sea es un factor clave para
conseguir los objetivos previstos y deseados. Cuando hablamos de auditoras, si no existe una buena planificacin
puede que no se consigan resultados satisfactorios, ni lo-
41
Objetivos de la auditora.
Adems del manual, los auditores solicitan tambin los procedimientos o documentos de las reas que van a auditar y
los informes de auditoras anteriores.
42
VERSIN ONLINE
http://www.isotools.org/2015/01/29/ohsas-18001-planificacion-auditorias/
Espaa
Mxico
Panam
Per
Portugal
Uruguay
Venezuela
Ecuador
www.isotools.org
(+34) 902 361 231
Argentina
Bolivia
Brasil
Chile
Colombia
Costa Rica
Rep. Dominicana
Estados Unidos
Presencia Global
Apoyo Local