Identificar riesgos es tan importante como implementar controles de riesgo en ISO 9001. Se trata de un paso crítico dentro del pensamiento basado en el riesgo propuesto por la norma.
Y es que los controles de riesgo en ISO 9001, se diseñan e implementan, de acuerdo con la importancia del riesgo, determinada por la gravedad, la probabilidad de ocurrencia y la facilidad o dificultad que entrañe su detección.
Si está leyendo este texto, es porque probablemente su organización ha de afrontar la auditoría de certificación en ISO 27001. Los profesionales en seguridad de la información, pueden formularse muchas preguntas y presentar ciertas dudas.
Esto es normal. El trabajo de planificación e implementación ha sido arduo y la auditoría de certificación en ISO 27001 representa el colofón para este proyecto de especial importancia para la organización.
Con la implementación de una norma ISO, la organización demuestra a sus empleados, a sus proveedores, a sus clientes, que piensa en el futuro. Pone en evidencia que sus opiniones le interesan. Este es uno de los beneficios de una certificación ISO, pero no es el único.
La Gestión de Incidentes de Trabajo es una de las mayores responsabilidades que llevan a sus espaldas los profesionales en seguridad y salud laboral. Nunca será demasiado el entrenamiento para evitar estos inconvenientes y es preciso conocer los pasos a seguir en el momento en que se presente un incidente de trabajo.
La auditoría interna es la herramienta más eficaz para verificar la conformidad del SGC con los requisitos solicitados por la norma ISO, y, así, definir acciones de mejora. Debido a ello, estructurar un equipo de auditoría interna es una tarea que requiere considerar factores de evaluación muy precisos.
Al conformar un equipo de auditoría interna, es necesario establecer el número ideal de auditores, que, sin importar el tamaño de la organización, debe ser por lo menos de dos personas. Esto resulta imprescindible si pensamos que las normas de auditoría generalmente aceptadas nos indican que “un auditor no puede auditar su propio trabajo”.
Son muchos los riesgos que pueden amenazar el éxito de los objetivos de una organización en materia de calidad, gestión ambiental o seguridad y salud en el trabajo, entre otros. Pero las aplicaciones de la gestión de riesgos se encuentran también en la operación, los procesos, los proyectos actuales y futuros de la organización y sus iniciativas estratégicas.
Son tan diversas las aplicaciones de la gestión de riesgos dentro de las organizaciones, que sus efectos se ven reflejados en áreas sociales, financieras, económicas, e incluso, en la reputación e imagen de marca de la organización.
La revisión 2015 de ISO 9001, que incorpora el “pensamiento basado en el riesgo” ha generado ciertas dudas sobre la forma apropiada de identificar la importancia del riesgo en ISO 9001:2015. Son muchas las organizaciones que utilizan herramientas como FODA o FMEA para identificar los riesgos. Estas, si bien resultan muy útiles en ese propósito, no permiten abordar los riesgos una vez se conocen.
Identificar la importancia del riesgo en ISO 9001:2015 requiere determinar criterios específicos para evaluar su impacto, severidad y probabilidad de ocurrencia. Hoy explicamos cómo llevar a cabo esta tarea de la gestión de riesgos.
Los requisitos de mejora continua en ISO 45001 se describen en la sección 10 de la norma. Ellos hacen referencia a los procesos de investigación de incidentes y no conformidades que involucran los temas de seguridad y salud en el trabajo y las acciones correctivas necesarias para la mejora continua según el estándar.
Quienes tenemos alguna formación en contabilidad, pensamos, en primera instancia, que el inventario de activos según ISO 27001 puede llegar a ser una lista pormenorizada de los ordenadores y dispositivos que la organización dispone para el tratamiento, consulta o registro de la información dentro del sistema de seguridad de la información.
Pero sucede que, en seguridad de la información, el inventario de activos según ISO 27001 es bastante diferente. ¿Qué son los activos para ISO 27001? ¿Por qué son importantes y cómo debemos registrarlos? Este es nuestro tema de hoy.
Si iniciamos una búsqueda a través de las diferentes ediciones de la norma sobre gestión de la seguridad de la información, notaremos que en ninguna de ellas se encuentra una definición concreta de lo que significa un activo dentro de un SGSI.
La definición más cercana se encuentra en la revisión de 2005, en donde nos dice que un activo es “cualquier cosa que tenga valor para la organización”. De acuerdo con esto, tendríamos que pensar que un activo, según ISO 27001, es “todo lo que tenga valor para la gestión de la seguridad de la organización”.
Así, podríamos mencionar los siguientes ejemplos de activos para construir un inventario de activos según ISO 27001:
Nos damos cuenta de que existe una diferencia grande entre el concepto contable de activo y el concepto que maneja ISO 27001. Pero, ¿cuál es la importancia de los activos y por qué es necesario registrarlos y gestionarlos?
La primera razón es que cuando pensamos en la forma de preservar la seguridad de esos activos como una forma de asegurar la integridad de la información, nos damos cuenta de que es la mejor forma de iniciar una evaluación de riesgos. Y aunque ISO 27001 no la solicita como requisito, en la práctica resulta indispensable.
Los inventarios de activos son un elemento clave para la identificación del riesgo. Solo así podremos establecer las amenazas y vulnerabilidades reales a las que está expuesto el sistema.
Otra razón de gran importancia, es que, gracias al registro del inventario de activos según ISO 27001, podemos identificar quién es el responsable del activo y asignar responsabilidades. De esta forma, logramos proteger la confidencialidad, la integridad y la disponibilidad de la información.
¿Cómo construir el #InventarioActivos según #ISO27001. Hoy explicamos cómo hacerlo y la importancia que tiene para el SGSI. Share on XLa mejor forma de hacerlo es recorriendo las instalaciones de la organización y entrevistando a los directores de cada área o departamento. En este proceso, la lista que hemos mencionado en el primer apartado de este texto puede convertirse en una checklist de gran ayuda. Los informes contables y de recursos humanos pueden igualmente ser de gran utilidad en esta primera etapa.
Es importante que la construcción del inventario de activos según ISO 27001 sea liderada por la persona que dirige la implementación de la norma en la organización. También debe ir de la mano del director de seguridad de la información en aquellas organizaciones en las que por su tamaño y complejidad existe tal cargo.
La forma adecuada de gestionar el inventario de activos según ISO 27001, es solo uno de los conocimientos que aprenderán los alumnos del Diplomado Implementador de Sistemas de Gestión de Seguridad de la Información con la ISO/IEC 27001:2013.
Al cursar y aprobar este programa de formación de alta calidad, los estudiantes tendrán a su disposición todas las herramientas, habilidades y competencias, para implementar, pero también para auditar un SGSI, basado en la norma ISO 27001. No se quede fuera de este diplomado, inscríbase aquí.
NEWSLETTER
Suscríbete a la newsletter y recibe semanalmente, además de artículos de interés sobre los sistemas de gestión ISO y habilidades directivas, descuentos especiales en nuestros cursos.
* Todos los campos requeridos
