Publicado el

webinar – La nueva norma ISO 27002, grandes cambios en Seguridad


Publicado el

Dos guías prácticas para usar MS Excel y hacer presentaciones más efectivas.

Dos guías prácticas para usar MS Excel y hacer presentaciones más efectivas.
En inglés, pero muy comprensible.
Puede encontrarlos después de las últimas noticias de Edirama.it en la parte inferior de la página.

Effective Presentations Quick Reference_new
Microsoft_Excel_Step_by_Step_Guide_

Publicado el

Nueva guía sobre herramientas para mejorar los sistemas de gestión de calidad ISO 9001 disponible

Nueva guía sobre herramientas para mejorar los sistemas de gestión de calidad ISO 9001 disponible
Español – Herramientas para la mejora de la calidad
English – Tools_for_Quality_Improvement_1651143862

Publicado el

PROCESO DE DETECCIÓN DE SATISFACCIÓN DEL CLIENTE SEGÚN ISO 9001:2015 – DISEÑAR E IMPLEMENTARLO A LO MEJOR

PROCESO DE DETECCIÓN DE SATISFACCIÓN DEL CLIENTE SEGÚN ISO 9001:2015 – DISEÑAR E IMPLEMENTARLO A LO MEJOR

¿Cuáles son las entradas, salidas, actividades, propietario del proceso y objetivos del proceso de gestión de la encuesta de satisfacción del cliente en la norma ISO 9001:2015?

La satisfacción del cliente es un indicador que determina qué tan bien los productos o servicios de una empresa cumplen con las expectativas del cliente. Es una de las medidas más importantes de adquisición de pedidos y retención de clientes, además de predecir el crecimiento de la organización. Por esta razón, el objetivo principal de una organización debe ser satisfacer a sus clientes. La satisfacción del cliente a menudo debe medirse porque no puede mejorar la satisfacción del cliente si no sabe en qué nivel está comenzando.
Un alto nivel de satisfacción del cliente garantiza clientes a largo plazo y diferencia a la empresa de la competencia. Recuerda que se necesitan hasta 12 experiencias positivas de clientes para compensar una negativa, por eso es más fácil y económico hacer feliz a un cliente que tratar de recuperarlo después de decepcionarlo. Toda empresa debe considerar la satisfacción del cliente como un factor esencial para la solidez de su negocio y trabajar para mejorarla. Las organizaciones también deben tomar decisiones relacionadas con el desarrollo de productos, campañas de marketing, mejora del servicio al cliente solo después de analizar los datos de satisfacción del cliente porque cualquier acción será inútil si no impacta a los clientes. Por ejemplo, si sus clientes siguen quejándose de cierto defecto en un producto, es mejor arreglarlo antes de comenzar a expandir su oferta para tratar de ganar nuevos clientes. Después de todo, es precisamente la satisfacción del cliente lo que puede ofrecerle una ventaja competitiva sobre la competencia porque es poco probable que su producto sea único o que no encuentre pronto un feroz competidor.


En este artículo explicaremos cómo desarrollar un proceso proactivo de encuestas de satisfacción del cliente según la norma ISO 9001:2015.

Antes de comenzar a diseñar cualquier proceso de encuesta de satisfacción del cliente, es importante hacerse dos preguntas:

“¿Quiénes son nuestros clientes?” – La cuestión no es baladí porque cualquier entidad a la que la organización proporciona productos o servicios puede definirse como “cliente”. Podemos tener, por tanto, clientes individuales, organizaciones, revendedores, pacientes (es el caso de los hospitales, por ejemplo), departamentos internos (en este caso serán clientes internos)
“¿Qué debemos hacer para satisfacerlos?” – Nuevamente la pregunta está lejos de ser trivial. Las empresas no deben partir del principio de que saben lo que necesitan sus clientes, sino que deben esforzarse por centrarse en la “voz del cliente”, la VOC – “Voice of Customer”, utilizando herramientas como cuestionarios o grupos focales. Con estas herramientas, las organizaciones pueden obtener información sobre lo que quieren sus clientes y personalizar mejor sus servicios o productos para cumplir o superar las expectativas de los clientes.
Entre los factores a evaluar podemos incluir:

la tasa de fidelidad de los clientes;
el porcentaje de compras repetidas;
satisfacción con productos y servicios;
la facilidad de hacer una compra;
conveniencia;
la competencia del servicio de atención al cliente;
la posibilidad de que los clientes recomienden su organización a amigos, familiares y conocidos;
la facilidad de interacción con la empresa por parte del cliente;
rapidez en la resolución de problemas;
coherencia en la prestación de un determinado nivel de productos y servicios;
en general, cualquier comentario de los clientes (reseñas, comentarios en redes sociales, chat informal durante una feria comercial, etc.)


¿Qué actividades deben incluirse en el proceso de la encuesta de satisfacción del cliente?
En un proceso que recoge todas las encuestas de satisfacción de clientes, se deben considerar al menos las siguientes actividades:

recopilación de comentarios de los clientes a través de encuestas telefónicas, cuestionarios en papel o por correo electrónico, visitas al cliente, ferias, lectura de reseñas e interacciones en las redes sociales, intervenciones de garantía, informes del personal en contacto con los clientes, informes directos del cliente, quejas, reuniones y grupos focales, etc.
mantener todos estos registros;
evaluación de la retroalimentación recopilada;
decidir qué acciones tomar para mejorar la satisfacción del cliente;
implementación de acciones;
evaluación de los resultados obtenidos a través de las acciones implementadas;
decisión relativa a necesidad de nuevas acciones

Las entradas del proceso de la encuesta de satisfacción del cliente
Las entradas de este proceso son:

llamadas telefónicas de clientes;
correos electrónicos de los clientes;
correspondencia en papel;
informes del personal en contacto con los clientes;
reseñas;
interacciones en el sitio web de la empresa o en las redes sociales;
informes de clientes;
quejas;
actas de reuniones;
datos de fidelidad;
intervenciones de datos bajo garantía;
otro

Los resultados del proceso de la encuesta de satisfacción del cliente
Como salida de este proceso tendremos:

acciones decididas siguiendo la retroalimentación para mejorar el desempeño;
entrada para el proceso de gestión de riesgos y oportunidades;
entrada para la revisión de la dirección
Cuáles son los objetivos e indicadores del proceso de encuesta de satisfacción del cliente
Los objetivos de la recogida de datos relativos a la satisfacción del cliente son:

mejorar la satisfacción del cliente;
reducir las quejas;
mejorar productos y servicios
Los indicadores son:

número de denuncias;
puntajes bajos en las encuestas;
pérdida de clientes;
reclamos de garantia;

Publicado el

Cómo ISO 27001 puede aumentar la seguridad en la nube

Las organizaciones utilizan cada vez más los servicios en la nube. Según una encuesta reciente, el 92% de las organizaciones utilizan más de una, en promedio 2,6 nubes en organismos gubernamentales y 2,7 ​​en empresas privadas.

Los principales beneficios de la nube son una mayor accesibilidad a la automatización y una sincronización superior de datos e información.

Sin embargo, muchas personas creen que usar un proveedor de almacenamiento en la nube aumenta la ciberseguridad. Esto es parcialmente cierto.

De hecho, la información almacenada en la Nube se almacena en un lugar físico y, si es accesible para usted, significa que también podría ser accesible para los ciberdelincuentes.

Para proteger realmente los datos almacenados en la nube, debe tomar las mismas precauciones que tomaría con la información almacenada en otro lugar. Esto significa implementar controles adecuados basados ​​en el marco descrito en ISO 27001, el estándar internacional que describe las mejores prácticas para un SGSI (Sistema de Gestión de Seguridad de la Información).

En este artículo, analizamos tres formas en que ISO 27001 puede ayudar a proteger la información almacenada en la nube.

software antivirus
La Nube, como cualquier base de datos accesible a través de Internet, es susceptible a ataques de malware.

Estos pueden venir en cualquier forma, incluidos gusanos, adware, keyloggers y ransomware. La única forma de detectarlos constantemente es con tecnología antivirus y antimalware.

El Anexo A.12.2 de ISO 27001 trata sobre la prevención de malware y el punto de partida obvio es el software antimalware.

Estas son algunas de las herramientas de ciberseguridad más comunes en el mercado, por lo que no debería tener problemas para encontrar un paquete adecuado. Compañías como Norton, Bitdefender y Kaspersky ofrecen servicios y se diferencian por funciones adicionales.

Bitdefender, por ejemplo, destaca por su capacidad para detectar ransomware, mientras que F-Secure es uno de los pocos servicios que se pueden utilizar en dispositivos Apple.

Concienciación del personal
Prevenir el malware es más importante que detectar sus amenazas. El Anexo A.12.2 indica otras acciones que las organizaciones pueden tomar para garantizar que las vulnerabilidades se aborden de inmediato y que los empleados no cometan errores que puedan permitir que el malware ingrese a los sistemas de la organización.

Una forma de hacer esto es implementar un programa de parches de vulnerabilidad para garantizar que las actualizaciones se apliquen rápidamente.

Las organizaciones también deben probar la eficacia de estos parches para garantizar la disponibilidad continua y la integridad de la información al tiempo que minimizan las incompatibilidades.

La formación de conciencia del personal juega un papel crucial en este proceso. Se debe educar a los empleados sobre la importancia de la gestión de parches y se les deben dar pautas sobre los pasos a seguir.

Además, consideramos que la infección de malware ocurre más comúnmente a través de correos electrónicos de phishing. Por lo tanto, las organizaciones deben realizar capacitaciones periódicas de concientización del personal para ayudar a los empleados a detectar correos electrónicos sospechosos y denunciarlos de inmediato.

Copia de seguridad de la información
Otro control que ayuda con la seguridad en la Nube se puede encontrar en el Anexo A.12.3, donde se indica que las organizaciones deben respaldar la información confidencial.

Las organizaciones a menudo piensan erróneamente que la nube en sí misma es una copia de seguridad, porque estará segura en caso de que algo le suceda a los servidores propiedad de la organización.

Sin embargo, los servidores en la nube también son vulnerables al compromiso, por lo que las organizaciones deben mantener copias de información valiosa en múltiples ubicaciones.

Los esquemas de respaldo deben diseñarse de acuerdo con los requisitos de cada organización y de acuerdo con los niveles de riesgo relacionados con la disponibilidad de la información. Las organizaciones también deben probar sus copias de seguridad con regularidad para garantizar que la información se pueda restaurar por completo y sin corrupción.

Trabajo remoto
El desarrollo del trabajo remoto tras la pandemia es una de las principales causas del aumento del almacenamiento en la nube. Con empleados repartidos por todo el país o, en algunos casos, por todo el mundo, las organizaciones necesitan una ubicación central que permita a los empleados acceder a la información.

Sin embargo, el trabajo remoto presenta riesgos de seguridad asociados con el acceso a la información. El Anexo A.6.2.2 de ISO 27001 contiene pautas para abordar estos riesgos, centrándose en los dispositivos móviles y el teletrabajo.

Al crear políticas en torno a estos temas, las organizaciones pueden no hay reglas establecidas sobre quién puede acceder, almacenar y procesar información en la nube mientras trabaja de forma remota.

La mayoría de las organizaciones deberían tener controles de acceso en sus sistemas internos para garantizar que la información solo sea visible para ciertos miembros del personal. Esto reduce el riesgo de amenazas internas y mitiga el daño en caso de que un ciberdelincuente comprometa la cuenta de un empleado.

Se deben aplicar medidas similares a los sistemas en la nube. A veces, esto es solo un acceso limitado a las bases de datos en la nube, pero es posible que haya información dentro de esos sistemas que deba limitarse aún más.

Fuente: it.governance.eu – Luke Irwin

Publicado el

¿Cuáles son los requisitos de la certificación SA8000?

¿Cuáles son los requisitos de la certificación SA8000? Algunos ejemplos y claves de cómo implantar SA8000 en España.

  1. Trabajo infantil:

El primero de todos los requisitos de la certificación SA8000 es que la organización no debe participar ni defender el uso de mano de obra infantil. Además, debe contar con un protocolo de remediación de mano de obra infantil para los casos en los que se detecte tanto en su organización como en su cadena de suministro. En España, este protocolo debe tenerse siempre, independientemente de que se tenga el riesgo o no de mano de obra infantil.

2. Trabajo forzoso u obligatorio:

La organización no debe emplear ni fomentar el uso de mano de obra forzosa u obligatoria. Así como, retener cualquier parte del salario, ni prestaciones, propiedad o documentos del personal con el fin de forzar al personal a continuar trabajando.

Todo el personal de la organización tiene derecho a abandonar el puesto de trabajo una vez finalizado el día de trabajo estándar, así como a ser libre a renunciar al empleo, siempre que sea notificado previamente.

En España, las auditorías de SA8000 pueden centrar la implantación de este requisito en los procesos de baja voluntaria de personas empleadas que quieren abandonar su puesto de trabajo. Se evalúa el proceso, la iniciativa del trabajador y la respuesta de la empresa.

  1. Salud y seguridad:

La organización tiene que facilitar un ambiente de trabajo saludable y seguro con medidas efectivas para evitar incidentes perjudiciales para la salud y seguridad. Para ello se establece un comité de salud y seguridad encargado de realizar una evaluación de riesgos del lugar de trabajo de forma periódica, así como de mantener los registros de la evaluación y acciones correctivas y preventivas establecidas.

En España, el cumplimiento de la Ley 31/1995, de 8 de noviembre, de Prevención de Riesgos Laborales y resto de reglamentaciones que la complementan, son la base del cumplimiento del este punto de norma SA8000. Sin embargo, hay detalles que nos pide el anexo de la norma SA8000 que deben tenerse en cuenta más allá del cumplimiento de la legislación española en materia preventiva.

 

  1. Libertad sindical y derecho de negociación colectiva:

Todo el personal de la organización tiene derecho a formar, unirse y organizar sindicatos, así como negociar un contrato colectivo. La organización debe respetar dicho derecho e informar al personal a que posee el derecho de unirse a un sindicato sin sufrir ningún castigo o represalia. En los casos que este derecho esté restringido por Ley, la organización permitirá a los trabajadores elegir a sus propios representantes.

En España, la Libertad Sindical es un derecho fundamental de los trabajadores para agruparse y defender sus intereses comunes, esto viene reflejado en la Ley 11/1985, de 2 agosto, de Libertad Sindical. Los convenios colectivos y convenios propios recogen dicho derecho y establecen las bases y representantes se los sindicatos. En los casos que no se dispone de convenios colectivos y/o propios, la Ley Estatuto de los Trabajadores se encarga de regularlos.

  1. Discriminación:

Otro de los requisitos de la certificación SA8000 es que la organización no debe permitir la discriminación en la contratación, remuneración, acceso a capacitación, ascenso, cese o retiro independientemente de cuál sea su raza, origen nacional, territorial o socia, casta, nacimiento, religión, discapacidad, género, orientación sexual, responsabilidades familiares, estado civil, membresía sindical, opiniones políticas, edad o cualquier otra condición que pueda dar lugar a discriminación.

Además, la organización no debe permitir ningún comportamiento amenazante, abusivo, explotador, o sexualmente coercitivo, incluyendo gestos, lenguaje y contacto físico. Tampoco debe someterse al personal a pruebas de embarazo o virginidad.

En España, para el rasgo de género contamos con la Ley Orgánica 3/2007, de 22 de marzo, para la igualdad efectiva de mujeres y hombres.

  1. Medidas disciplinarias:

La organización debe tratar a todo el personal con dignidad y respeto y no tolerar el uso de castigos corporales, coerción mental o física o abuso verbal al personal.

En España, los convenios colectivos y propios establecen una serie de medidas disciplinarias, así como las consecuencias al no seguirlas. Cuando no existen los convenios mencionados anteriormente, la Ley Estatuto de los Trabajadores se encarga de establecer dichas medidas.

  1. Horario de trabajo:

Todo el personal de la organización debe disponer de un día de descanso después de trabajar durante seis días consecutivos, excepto cuando la legislación nacional o un contrato colectivo de trabajo negociado lo permita.

El tiempo extraordinario de trabajo debe ser voluntario y no exceder las 12 horas semanales, y sin ser solicitado frecuentemente. En casos concretos y puntuales, la organización puede necesitar que el personal realice un tiempo extraordinario para cumplir ciertas demandas de negocio. En este caso, se elabora un contrato colectivo negociado libremente.

En España, los horarios de trabajo están regulados por los convenios colectivos que han sido resultado de la negociación entre los representantes de los trabajadores y empresarios. La duración máxima de una jornada estándar de trabajo es de 40 horas semanales y el tiempo extraordinario máximo que un trabajador puede hacer a lo largo del año son un total de 80 horas, según los Artículos 34 y 35 de la Ley del Estatuto de los Trabajadores.

 

  1. Remuneración:

La organización debe respetar el salario digno del personal. El tiempo extraordinario debe ser compensado con una prima definida por la ley o el contrato colectivo.

Además, no se debe hacer deducciones de los salarios como medida disciplinaria, excepto cuando la medida disciplinaria este permitida por la ley o esté en vigor un contrato colectivo.

En España, el salario mínimo interprofesional para el año 2020 es de 13.300 € brutos/año, es decir, un salario de 14 pagas anuales son 950 € brutos/mes. Sin embargo, para implantar la norma SA 8000 se debe calcular el salario digno que es diferente del salario mínimo legal o el salario mínimo recogido en un convenio colectivo.

  1. Sistemas de gestión:

El último de los requisitos de la certificación SA8000 es que la organización cuente con un sistema de gestión de responsabilidad social que contenga como mínimo los siguientes puntos:

  • Política, procedimientos, registros.
  • Equipo de desempeño social.
  • Identificación y evaluación de riesgos.
  • Involucramiento y comunicación interna.
  • Gestión y resolución de quejas.
  • Verificación externa e involucramiento de las partes interesadas.
  • Acciones correctivas y preventivas.
  • Entrenamiento y capacitación.
  • Gestión de proveedores y contratistas.Referencia:www.cavala.es
Publicado el

¿Cómo se aplica la norma ISO 27001?

¿Cómo se aplica la norma ISO 27001?

¿Cuáles son los primeros pasos que debes tomar para saber cómo implementar la ISO 27001 en una empresa? Resolvemos tus dudas a continuación ofreciéndote un desglose paso a paso de cómo llevar a cabo el proyecto.

1.      Definir los objetivos y redactar una Política de Seguridad

Para comenzar lo que es cómo implementar la ISO 27001, es importante tener los objetivos definidos y saber qué expectativas debe cumplir en todo momento la empresa para obtener dicha certificación.

En esta debemos saber lo siguiente:

  • cuáles serán las metas de seguridad de la información,
  • el marco de gestión en el que se define el alcance (en qué parte de la empresa se implementará),
  • cuáles son los requisitos legales que se deben cumplir,
  • cuál será la metodología de evaluación de riesgos, en ellas se deben tratar las posibles amenazas, los puntos débiles de la empresa o el nivel aceptable de riesgo.

Tras definir la Política de Seguridad, esta deberá pasarse a la dirección para que pueda ser aprobada y estudie los recursos humanos y materiales necesarios para llevar a cabo su implementación.

2.      Definir los riesgos

Una vez tenemos ya pensada una Política de Seguridad, el siguiente paso que debemos dar será identificar los riesgos a los que se puede enfrentar la empresa, quién se encargará de gestionarlos, cuáles son las vulnerabilidades de la compañía.

3.      Evaluar y analizar los riesgos

Una vez se han identificado los riesgos a los que se expone la empresa, se debe analizar el impacto que podrían generar dichas amenazas sobre la compañía y con cuánta frecuencia podrían producirse.

A continuación, se debe realizar un tratamiento de riesgos, es decir, ver qué riesgos se pueden reducir y eliminar. De la misma forma, debemos buscar cuáles serán los métodos para gestionar dichos riesgos en caso de que ocurran. Durante esta fase del proceso, es ideal contar con  un servicio de auditoría que te ofrezca servicios de control y supervisión que cuenten con una mirada experta.

4.      Realizar la declaración de la aplicabilidad

Una vez ya se ha realizado el tratamiento de riesgos, se deben definir los objetivos de control, ver cuáles se pueden aplicar y cuáles no, cómo se hará y por qué se hará. Todo esto deberá quedar recogido en un documento llamado “Declaración de Aplicabilidad”.

5.      Poner en marcha la implementación del Sistema de Gestión de Seguridad de la Información

Una vez que se ha pasado la fase de planificación, es el momento de implementar el SGSI, y, por tanto, el plan de tratamiento del riesgo previsto. Se deberán introducir nuevas tecnologías y prácticas que  ayuden a alcanzar los objetivos marcados y realizar controles de seguridad.

6.      Capacitación y concienciación

Una empresa no es nada sin las personas que la conforman. La puesta en marcha no se podrá llevar a cabo correctamente si no se forma a los empleados para que puedan actuar siguiendo las nuevas medidas impuestas. En este paso, es primordial la formación del personal en cuanto a las nuevas tecnologías aplicadas y los nuevos protocolos que se hayan establecido.

7.      Monitoreo

Es importante que, antes de obtener la certificación, nos aseguremos de la efectividad de los procesos que se han implementado en la compañía. Por ello, se debe dedicar un periodo de tiempo a medir, controlar y revisar cómo funciona el sistema y si está permitiendo que se alcancen los objetivos establecidos.

En esta fase final de evaluación, lo ideal es contratar una organización externa que se encargue de realizar una consultoría empresarial de negocio para que aporte una evaluación profesional y objetiva que detecte tanto los errores como los puntos fuertes que se deberían seguir trabajando.

Rif. – ctmaconsultores.com

Publicado el

Qué es la certificación ISO 27001 y cómo conseguirla

Qué es la certificación ISO 27001 y cómo conseguirla

 

La norma internacional ISO 27001 regula la seguridad de la información en organizaciones privadas, públicas o sin fines de lucro. Describe los requisitos para configurar, construir, gestionar y optimizar un sistema de gestión de la seguridad de la información.

Ver ejemplos de documentación y acceder al Manual Documentation Kit, procedimientos ISO 27001

Estructura de la norma ISO 27001

4.0 CONTEXTO DE LA ORGANIZACIÓN

La Organización debe determinar los factores internos y externos relevantes para sus propósitos que afectan su capacidad para lograr los resultados esperados para su sistema de gestión de seguridad de la información.

 

5. LIDERAZGO

La alta dirección debe demostrar su liderazgo y compromiso con el sistema de gestión de seguridad de la información mediante:

Asegurar que la política y los objetivos de seguridad de la información estén establecidos y sean compatibles con los lineamientos estratégicos de la Organización;
Asegurar la integración de los requisitos del sistema de gestión de seguridad de la información en los procesos comerciales;
Asegurar la disponibilidad de los recursos necesarios para el sistema de gestión de seguridad de la información;
Comunicar la importancia de una gestión eficaz de la seguridad de la información y el cumplimiento de los requisitos del sistema de gestión de la seguridad de la información;
Asegurar que el sistema de gestión de seguridad de la información logre los resultados esperados;
Proporcionar orientación y apoyo a las personas para contribuir a la eficacia del sistema de gestión de seguridad de la información;
Promover la mejora continua;
Apoyar a otros roles gerenciales relevantes para que demuestren liderazgo según corresponda en sus respectivas áreas de responsabilidad.
6. PLANIFICACIÓN

Al planificar el sistema de gestión de la seguridad de la información según ISO 27001, la Organización debe considerar los factores mencionados en el punto 4.1 y los requisitos mencionados en el punto 4.2 y determinar los riesgos y oportunidades que deben abordarse para:

Asegurar que el sistema de gestión de seguridad de la información pueda lograr los resultados esperados;
Prevenir o reducir los efectos no deseados;
Llevar a cabo la mejora continua;

La Organización debe planificar:

Acciones para abordar estos riesgos y oportunidades;
Las modalidades para:
integrar e implementar acciones en los procesos de su sistema de gestión de seguridad de la información;
evaluar la efectividad de estas acciones.

7. SOPORTE

La Organización debe determinar y poner a disposición los recursos necesarios para establecer, implementar, mantener y mejorar continuamente el sistema de gestión de seguridad de la información.

Necesita:

Determine las habilidades necesarias para las personas que realizan actividades bajo su control y que afectan su desempeño en seguridad de la información.
Asegurarse de que estas personas sean competentes en función de la educación, capacitación, capacitación o experiencia adecuadas;
En su caso, tomar acciones para adquirir las habilidades necesarias y evaluar la efectividad de las acciones tomadas;
Mantener información documentada apropiada como evidencia de habilidades.

 

8. ACTIVIDADES OPERATIVAS

La Organización debe planificar, implementar y monitorear los procesos necesarios para cumplir con los requisitos de seguridad de la información y para implementar las acciones determinadas en el punto 6.1.

También debe implementar los planes para lograr los objetivos de seguridad de la información establecidos en 6.2; conservar la información documentada en la medida necesaria para tener confianza en que los procesos se llevaron a cabo según lo planeado; monitorear los cambios planificados y revisar las consecuencias de los cambios involuntarios, tomando medidas para mitigar cualquier efecto negativo según sea necesario y garantizar que los procesos subcontratados se determinen y mantengan bajo control

9. EVALUACIÓN DEL DESEMPEÑO

La Organización debe evaluar el desempeño de la seguridad de la información y la efectividad del sistema de gestión de seguridad de la información y debe terminar:

Qué debe monitorearse y medirse, incluidos los procesos y controles relacionados con la seguridad de la información;
Los métodos de seguimiento, medición, análisis y evaluación, según corresponda, para asegurar resultados válidos;
Cuándo se llevarán a cabo el seguimiento y las mediciones;
Quién debe monitorear y medir;
Cuando deban analizarse y evaluarse los resultados del seguimiento y las mediciones;
Quién debe analizar y evaluar estos resultados.
La Organización debe mantener información documentada adecuada como evidencia de los resultados del seguimiento y las mediciones.

10. MEJORA

La organización debe:

Reaccionar con prontitud ante accidentes o NC (acciones para controlarlos y corregirlos; hacer frente a las consecuencias).
Evaluar, acciones correctivas para eliminar las causas del accidente o la NC
Revisar las evaluaciones de riesgo existentes para SGSI y otros riesgos.
Determinar e implementar cualquier acción necesaria, incluidas las acciones correctivas y la gestión del cambio.
Evaluar los riesgos para el SGSI relacionados con peligros nuevos o modificados.
Revisar la efectividad de cualquier acción tomada, incluidas las acciones correctivas.
Realice cambios en el SGSI.


ANEXO A

De fundamental importancia es el Anexo A de la norma ISO 27001 que contiene los 114 “controles” (o contramedidas) que debe cumplir la organización que pretenda aplicar la norma.

Se refieren al otro:
la politica y organizacion de la seguridad de la informacion
la seguridad de los recursos humanos
gestión de activos
el control de accesos lógicos
cifrado
seguridad fisica y ambiental
la seguridad de las actividades operativas
la seguridad de las comunicaciones
gestión de seguridad de aplicaciones
la relación con los proveedores que intervienen en la gestión de la seguridad de la información
el manejo de incidentes (relacionados con la seguridad de la información)
la gestión de la Continuidad del Negocio
cumplimiento de las regulaciones

¿Cómo obtener la certificación ISO 27001?

La auditoría de certificación la realiza un organismo acreditado que verifica la conformidad del sistema documental con los requisitos de la norma. Todo finaliza con la emisión del certificado (válido por 3 años), el cual debe ser renovado anualmente a través de una primera y segunda auditoría de vigilancia para confirmar o no el mantenimiento efectivo del sistema ISO 27001.
Al final del tercer año, se realiza una auditoría para cualquier nueva confirmación de tres años.
La certificación garantiza a todas las partes interesadas (clientes, autoridades de control, consumidores, ciudadanos) que la organización opera de acuerdo con los requisitos establecidos en la norma de referencia.

¿Cuánto tiempo lleva completar la certificación ISO 27001 y cuánto cuesta?

El tiempo requerido para lograr la certificación depende de la complejidad de los procesos de negocio y de la “participación activa” de la empresa.
En promedio se tarda aprox. 4-6 meses.
En cuanto a los costos, estos pueden variar según el tipo de empresa.

Publicado el

ISO 50001: qué es, cómo se elabora el manual y los procedimientos

ISO 50001: qué es, cómo se elabora el manual y los procedimientos

La norma ISO 50001 “Sistemas de gestión energética – Requisitos y directrices de uso” especifica los requisitos para crear, poner en marcha, mantener y mejorar un sistema de gestión energética, cuyo objetivo es iniciar un enfoque sistemático para la mejora continua del rendimiento energético de la empresa, incluyendo la eficiencia energética, así como el consumo y uso de la energía.

La documentación requerida para obtener la certificación ISO 50001 consta de un manual, procedimientos y módulos específicos.

Estructura de la norma ISO 50001:2018

4.1 Requisitos generales
4.2 Responsabilidades de la dirección
4.3 Política energética
4.4.2 Requisitos legales y otros
4.4.3 Análisis energético
4.4.4 Línea Base de Energía (Consumo de Referencia)
4.4.5 Indicadores de desempeño energético
4.4.6 Objetivos, metas y programas
4.5.2 Competencia, formación y sensibilización
4.5.3 Comunicación
4.5.4 Documentación
4.5.5 Control operativo
4.5.6 Diseño
4.5.7 Compras
4.6.1 Vigilancia y mediciones
4.6.2 Cumplimiento de los requisitos
4.6.3 Auditoría interna
4.6.4 No conformidades, Acciones Correctivas y Acciones Preventivas
4.6.5 Control de registros
4.7 Revisión

Cómo obtener la certificación ISO 50001

La auditoría de certificación la realiza un organismo acreditado que verifica el cumplimiento del sistema documental con los requisitos de la norma. Todo finaliza con la emisión del certificado (válido por 3 años), el cual debe ser renovado anualmente mediante una primera y segunda auditoría de vigilancia para confirmar o no el mantenimiento efectivo del sistema ISO 50001.
Al final del tercer año, se realiza una auditoría para cualquier nueva confirmación de tres años.
La certificación garantiza a todas las partes interesadas (clientes, autoridades de control, consumidores, ciudadanos) que la organización opera de acuerdo con los requisitos establecidos en la norma de referencia.

¿Cuánto tiempo lleva completar la certificación ISO 50001 y cuánto cuesta?
El tiempo requerido para lograr la certificación depende de la complejidad de los procesos de negocio y de la “participación activa” de la empresa.
En promedio se tarda aprox. 4-6 meses.
En cuanto a los costos, estos pueden variar según el tipo de empresa.

Publicado el

Qué es la certificación ISO 13485 y cómo crear el manual, procedimientos y formularios

Qué es la certificación ISO 13485 y cómo crear el manual, procedimientos y formularios

La norma ISO 13485 “Dispositivos médicos – Sistemas de gestión de la calidad – Requisitos con fines regulatorios” constituye la norma del sistema de gestión de la calidad específico para las empresas del sector médico, que incluye tanto los requisitos de la ISO 9001 como los requisitos específicos para el sector de dispositivos médicos.
La documentación requerida para obtener la certificación ISO 13485 consta de un manual, procedimientos y módulos específicos.

Sigue leyendo Qué es la certificación ISO 13485 y cómo crear el manual, procedimientos y formularios