Como era de esperar, la entrada en vigor del GDPR – Reglamento General de Protección de Datos – ha creado la demanda de un puesto específico: el oficial de protección de datos GDPR, conocido también como DPO por sus siglas en inglés. Como también era de esperar, para cumplir sus funciones una de las opciones más habituales es recurrir al profesional en seguridad de la información.
Los sistemas de gestión son tan fuertes como eficaces sean los programas de formación ISO para empleados. Cuando se capacita de forma adecuada a los trabajadores, se forja una relación simbiótica con la organización, fortaleciendo los procesos e incrementando la eficiencia.
Los programas formativos, para que puedan alcanzar su objetivo, deben construirse siguiendo un proceso sistemático paso a paso. Describimos los ochos pasos necesarios para crear planes de formación ISO para empleados efectivos, que generen un impacto en los indicadores de los sistemas de gestión.
En cuanto a la documentación obligatoria en ISO 45001, lo primero que debemos anotar es que el estándar publicado en febrero de 2018 elimina la distinción entre documentos y registros. Ambos, ahora, se denominan “información documentada”.
Además, actualmente ISO 45001 también permite flexibilidad en cómo, qué y cuándo documentar un proceso. Esto no es solo para acercarse a formas más modernas de comunicación, como vídeo, audio y otros registros electrónicos, sino para permitir a la organización la facilidad de reutilizar información adecuada, mantener versiones actuales con mayor facilidad y proporcionar capacidad de acceso y distribución más amplia, reduciendo los costes asociados a la documentación obligatoria en ISO 45001.
Tras determinar brechas de cumplimiento en el sistema de gestión, debemos subsanar las brechas de calidad. Para ello es preciso dimensionar los recursos que demanda el proyecto y planificar la tarea de acuerdo con ellos.
La asignación de recursos humanos ha de tener en cuenta factores tan importantes como la disponibilidad, el tiempo o las competencias, factores que no se observan al asignar otro tipo de recursos. Por ello, nos centramos en la planificación de los mismos.
El conocimiento del estado del sistema de gestión de riesgos es, sin duda, el primer paso en el camino hacia una buena gestión de riesgos empresariales. Esta cuestión ha sido abordada de modo general por el reciente estudio de la Universidad Estatal de Carolina del Norte, titulado “Estado de la supervisión del riesgo: una visión general de las prácticas de gestión de riesgos empresariales”.
En el estudio fueron encuestados más de 445 ejecutivos para obtener información al detalle sobre el tema que nos ocupa. Hemos considerado importante compartir las conclusiones del estudio y las hemos agrupado en 7 ideas clave para una buena gestión de riesgos empresariales.
No todas las organizaciones pueden disponer una plaza exclusiva para un responsable de gestión ISO. Pero ello no significa que no puedan contar con uno. Por supuesto, la solución es la formación en el interior de la organización.
Para convertirse en un profesional de la gestión ISO efectivo, la persona elegida debe seguir un recorrido. Este camino se puede simplificar en siete pasos que lo llevarán a asumir un rol de liderazgo, pero también de grandes responsabilidades.
Los requisitos de las partes interesadas en ISO 27001 aparecen en la cláusula 4.2 de la norma. En ella se señala que la organización debe identificar y comprender los requisitos de las partes interesadas en el sistema de gestión de seguridad de la información, tanto internas como externas, que puedan afectar la capacidad del sistema para alcanzar los resultados previstos, o aquellas que puedan influir en la dirección estratégica de la organización.
Además, la identificación de los requisitos de las partes interesadas en ISO 27001 está estrechamente vinculada a la definición del contexto interno y externo de la organización, tema abordado en la cláusula 4.1. de la norma. Sin embargo, tanto en un caso como en el otro, no se ofrece mucha orientación. Por ello, resulta de interés desglosar esta cuestión, para disponer de bases sólidas desde las que construir un SGSI que realmente satisfaga las necesidades de las partes interesadas en ISO 27001.
La gestión de la seguridad y la salud en el trabajo es una labor marcada por el cambio. La gestión del cambio en ISO 45001 está definida por lo solicitado en la cláusula 8.1.3 del estándar. De la lectura de los requisitos entendemos que se trata de una tarea que requiere administrar cambios, actualizar procesos y adaptarse a condiciones internas y externas siempre volubles.
La gestión del cambio en ISO 45001 hace que la implementación de un sistema de gestión de seguridad y salud en el trabajo se convierta en un proyecto continuo siempre susceptible de ser mejorado y con necesidades constantes de mantenimiento. Veamos entonces cuáles son esos requisitos para la gestión del cambio en ISO 45001 y cómo implementarlos en la práctica.
El proceso de auditoría de calidad necesita que la organización destine recursos humanos, tecnológicos y financieros. En respuesta, se espera que este proceso de auditoría de calidad agregue valor real a la gestión y a la marca. Aunque por definición, toda auditoría debería ofrecer valor, sabemos por experiencia que este no es siempre el caso.
Pero, ¿qué se entiende por valor agregado? Es importante entender con precisión este concepto. Por supuesto, a lo que nos referimos con él es a obtener la mejora del sistema de gestión de la calidad de modo evidente y sostenible.
NEWSLETTER
Suscríbete a la newsletter y recibe semanalmente, además de artículos de interés sobre los sistemas de gestión ISO y habilidades directivas, descuentos especiales en nuestros cursos.
* Todos los campos requeridos
