BLOG

Artículos Técnicos

Auditoría de certificación ISO 45001: qué buscarán los auditores

El ambiente en una organización que se alista para una auditoría de certificación ISO 45001 puede ser de tensión y nerviosismo. Pero esto no tiene por qué ser así. De hecho, la auditoría en ISO 45001 puede ser una experiencia constructiva para la organización y gratificante para los empleados que intervienen en ella.

Gran parte del secreto está en entender la mente de los auditores. Pero, ¿qué es lo que buscan en una auditoría de certificación ISO 45001?

ISO 9001: cómo auditar en enfoque basado en riesgo

Auditar el enfoque basado en riesgo es un reto para los auditores internos y para los organismos de certificación especializados en ISO 9001:2015. Tanto unos como otros tienen que dejar de usar técnicas tradicionales de gestión de riesgos e imponer métodos creativos e innovadores a sus clientes si desean demostrar la conformidad con el requisito de la norma.

Este punto consiste en comprobar que la organización ha tenido en mente en todo momento el riesgo y no necesariamente han de existir documentos que lo demuestren.

Cómo alinear la seguridad de la información con la dirección estratégica en ISO 27001

Alinear la seguridad de la información con la dirección estratégica en ISO 27001 es un requisito de la norma, y como tal, se debe alcanzar la conformidad con él. Y es así porque representa una gran oportunidad para alcanzar la sostenibilidad del sistema de gestión de la seguridad de la información en el tiempo. Sin embargo no se habla mucho de este requisito.

Cómo diseñar y construir un sistema integrado de gestión de riesgos

Un sistema integrado de gestión de riesgos es una herramienta esencial para abordar la inevitable incertidumbre asociada con los negocios y proyectos en todos los niveles ya que muestra una visión global de los riesgos y oportunidades. Para que este sistema integrado de gestión de riesgos cumpla con las expectativas con buen rendimiento y aporte los beneficios esperados, es preciso que presente una conexión entre la visión estratégica y la implementación táctica del proyecto a través de los objetivos adecuados.

Cómo presupuestar un proyecto de implementación de ISO 45001

Cualquier sistema de gestión tiene un coste. Presupuestar un proyecto de implementación de ISO 45001 ayuda a la organización a conocer el valor económico estimado que representa dicho proyecto y que permite obtener los beneficios de un sistema para la seguridad y salud en el trabajo.

Presupuestar un proyecto de implementación de ISO 45001 implica considerar recursos organizacionales, horas de trabajo de muchas personas, recursos físicos, capacitación… Cuanto mayor conocimiento se tenga de la fuente y el valor de cada uno de estos recursos, mayores son las posibilidades de ajustarse en el presupuesto y alcanzar el éxito en el proyecto. De ahí la importancia de realizar un presupuesto de modo adecuado.

Plan para cerrar las brechas en el sistema de calidad

Cerrar las brechas en el sistema de calidad es parecido a emprender un viaje. Se sabe a dónde se quiere ir, pero se necesita un plan que muestre los pasos que hay que seguir para llegar a destino. A veces, cerrar esas brechas es fácil, y ese itinerario del que hablamos, se escribe solo. Otras veces, sin embargo, las brechas apuntan a problemas muy complejos de calidad, que requieren de trabajo adicional para resolverlos.

Análisis de riesgos en ISO 27001: evaluar consecuencias y probabilidades

Cuando se implementa el análisis de riesgos en ISO 27001, la identificación de activos, amenazas y vulnerabilidades que atañen a la seguridad de la información es tan solo la primera parte del trabajo. La segunda fase, tan importante como la primera y no menos difícil, implica evaluar las consecuencias y probabilidades de cada riesgo. En otras palabras, la probabilidad de que ocurra y el impacto negativo que supone su ocurrencia.

El tipo de análisis de riesgos en ISO 27001 no está prescrito dentro del cuerpo de la norma. ISO 27001 requiere que la organización evalúe las consecuencias y la probabilidad de cada riesgo, pero no dice cómo hacerlo. Depende de los encargados del sistema decidirlo.

Especificaciones técnicas para auditores ISO 45001

Tras la publicación en febrero de 2018 de ISO 45001, aparece un documento que contiene una especificación técnica sobre el trabajo de los auditores ISO 45001, que complementa la norma, con el fin de ofrecer un enfoque armonizado para la acreditación de una certificación en este estándar de Seguridad y Salud en el Trabajo.

Se trata de ISO/IEC TS 17021-10 publicada recientemente, y que hace referencia a la “evaluación de la conformidad: requisitos para los organismos que realizan auditorías y certificación de sistemas de gestión”. Este documento define los requisitos de competencia para los auditores ISO 45001, entre otros.

Certificación ISO 27001 acreditada vs no acreditada

Implementar un Sistema de Gestión de Seguridad de la Información es una cosa. Obtener una certificación ISO 27001 acreditada, es otra, y otra muy diferente es obtener una certificación no acreditada.

Se trata de tres estados diferentes de un mismo proceso, pero que, en la práctica, presentan notables diferencias. ¿Qué diferencia la certificación ISO acreditada de las otras dos opciones? Lo analizamos a continuación.

BLOG

Artículos Técnicos

Categorías