Publicado el

ISO 27001:2022 – Esta semana hablamos de este control: A.5.30 Preparación de las TIC para la continuidad del negocio

A.5.30 Preparación de las TIC para la continuidad del negocio

Descripción: Este control requiere que su tecnología de la información y comunicación esté preparada para posibles interrupciones, de modo que la información y los activos necesarios estén disponibles cuando se requieran. Esto incluye la planificación, implementación, mantenimiento y pruebas de preparación.

Tecnología: Si no ha invertido en soluciones que permitan la resiliencia y redundancia de sus sistemas, es posible que necesite introducir tecnología de este tipo, que puede ir desde la copia de seguridad de datos hasta enlaces de comunicación redundantes. Estas soluciones deben planificarse en función de su evaluación de riesgos y de la rapidez con la que necesita recuperar sus datos y sistemas.

Organización/procesos: Además del proceso de planificación, que debe tener en cuenta los riesgos y las necesidades comerciales de recuperación, también debe establecer el proceso de mantenimiento para su tecnología y el proceso de pruebas para sus planes de recuperación ante desastres y/o continuidad del negocio.

Personal: Haga que los empleados sean conscientes de las posibles interrupciones que podrían ocurrir y capacítelos sobre cómo mantener la tecnología de TI y comunicación para que esté lista para una interrupción.

Documentación: La norma ISO 27001 no requiere documentación específica; sin embargo, si es una empresa más pequeña, puede incluir la preparación de las TIC en los siguientes documentos:

Plan de recuperación ante desastres: planificación, implementación y mantenimiento
Informe de auditoría interna: pruebas de preparación
Si es una organización más grande o si ha implementado la norma ISO 22301, entonces debe documentar la preparación a través del análisis de impacto en el negocio, la estrategia de continuidad del negocio, el plan de continuidad del negocio y el plan y el informe de pruebas de continuidad del negocio.

Publicado el

Esta semana hablamos de control: A.5.23 Seguridad de la información para el uso de servicios en la nube

Seguimos con el análisis de los 11 nuevos controles incluidos en la nueva ISO 27001:2022.
Esta semana hablamos de control: A.5.23 Seguridad de la información para el uso de servicios en la nube

Descripción. Esta verificación requiere que establezca requisitos de seguridad para los servicios en la nube a fin de lograr una mejor protección de la información en la nube. Esto incluye la compra, el uso, la gestión y la finalización del uso de los servicios en la nube.

Tecnología. En la mayoría de los casos, no se necesitará nueva tecnología, porque la mayoría de los servicios en la nube ya cuentan con funciones de seguridad. En algunos casos, es posible que deba actualizar su servicio a uno más seguro, mientras que en algunos casos excepcionales deberá cambiar su proveedor de nube si carece de funciones de seguridad. En su mayor parte, el único cambio requerido será utilizar las funciones de seguridad en la nube existentes con mayor profundidad.

Organización/procesos. Se debe establecer un proceso para determinar los requisitos de seguridad para los servicios en la nube y para determinar los criterios para seleccionar un proveedor de la nube; Además, se debe establecer un proceso para determinar el uso aceptable de la nube y también los requisitos de seguridad al interrumpir el uso de un servicio en la nube.

Esta semana hablamos de control: A.5.23 Seguridad de la información para el uso de servicios en la nube

Gente. Concientice a los empleados sobre los riesgos de seguridad del uso de servicios en la nube y edúquelos sobre cómo usar las características de seguridad de los servicios en la nube.

Documentación. ISO 27001 no requiere documentación; sin embargo, si es una empresa más pequeña, puede incluir reglas de servicio en la nube en las políticas de seguridad de su proveedor. Las empresas más grandes podrían desarrollar una política separada que se centre específicamente en la seguridad de los servicios en la nube.

Publicado el

Elige los kits documentales para los sistemas de gestión: una guía prácticaElige los kits documentales para los sistemas de gestión: una guía práctica

 

La implementación de un sistema de gestión según las normas ISO requiere una documentación precisa y bien estructurada. Los kits documentales son herramientas valiosas que ofrecen todo lo que necesitas para comenzar o mejorar tu sistema de gestión. Pero, ¿cómo elegir el kit más adecuado para tus necesidades? En este breve artículo, te proporcionaremos algunos consejos prácticos para facilitar tu elección.

ÚLTIMAS NOVEDADES

 

  1. Identifica tus necesidades específicas: Antes de elegir un kit documental, es importante identificar las necesidades específicas de tu organización. Considera las normas ISO relevantes para tu sector e identifica los procesos y procedimientos clave que deben documentarse. De esta manera, podrás seleccionar un kit que satisfaga tus necesidades específicas.
  2. Verifica la completitud del kit: Un kit documental completo debe incluir un manual detallado, procedimientos estándar operativos (SOP) y formularios editables. Asegúrate de que el kit contenga todos los documentos necesarios para la implementación y gestión efectiva de tu sistema ISO.
  3. Evalúa la calidad de los documentos: La calidad de los documentos incluidos en el kit es fundamental. Asegúrate de que estén redactados de manera clara, coherente y en cumplimiento con las normas ISO. Busca también documentos que sean fácilmente personalizables para adaptarse a las necesidades específicas de tu organización.
  4. Considera la adición de software profesional: Algunos kits documentales incluyen software profesional que facilita la gestión de auditorías y listas de verificación. Estas herramientas pueden simplificar considerablemente el proceso de monitoreo y mejorar la eficiencia general del sistema de gestión. Evalúa si el kit que estás considerando también ofrece esta valiosa adición.
  5. Descuentos y opciones de pago: Examina las ofertas promocionales disponibles, como descuentos adicionales u opciones de pago en cuotas sin intereses. Estas oportunidades pueden hacer que la compra de un kit documental sea más conveniente y accesible para tu organización.

Conclusión: Elegir el kit documental adecuado para tu sistema de gestión ISO es un paso importante hacia el éxito. Siguiendo los consejos mencionados anteriormente, podrás encontrar un kit completo, de alta calidad y personalizable para satisfacer tus necesidades. No olvides evaluar también las ofertas promocionales disponibles para optimizar tu inversión. Tómate el tiempo necesario para tomar una decisión informada y prepárate para simplificar la gestión de tu sistema ISO

Publicado el

Análisis de los nuevos controles ISO 27001:2022

A partir de esta semana publicaremos el análisis en profundidad sobre los nuevos 11 controles exigidos por la norma ISO 27001:2022.

A.5.7 Información sobre amenazas
A.5.23 Seguridad de la información para el uso de servicios en la nube
A.5.30 Preparación TIC para la continuidad del negocio
A.7.4 Vigilancia de la seguridad física
A.8.9 Gestión de la configuración
A.8.10 Eliminación de información
A.8.11 Enmascaramiento de datos
A.8.12 Prevención de pérdida de datos
A.8.16 Actividades de seguimiento
A.8.23 Filtrado de la Web
A.8.28 Codificación segura

Estos controles no son obligatorios: ISO 27001 le permite excluir un control si (1) no ha identificado los riesgos relacionados y (2) no existen requisitos legales/reglamentarios/contractuales para implementar ese control en particular.

A.5.7 Información sobre amenazas
Descripción. Este control requiere que recopiles información sobre las amenazas y las analices para poder tomar las medidas de mitigación adecuadas. Esta información puede estar relacionada con ataques, métodos y tecnologías particulares utilizados por los atacantes y/o tendencias de ataques. Necesitamos recopilar esta información internamente, así como de fuentes externas, como informes de proveedores, anuncios de agencias gubernamentales, etc.

Tecnología. Las empresas más pequeñas probablemente no necesiten ninguna tecnología nueva relacionada con este control; Más bien, deberán descubrir cómo extraer inteligencia de amenazas de sus sistemas existentes. Si aún no tienen uno, las empresas más grandes deberán adquirir un sistema que les avise de nuevas amenazas (así como de vulnerabilidades e incidentes). Las empresas de todos los tamaños necesitarán usar inteligencia de amenazas para fortalecer sus sistemas.

Organización/procesos. Debe configurar procesos en torno a la recopilación y el uso de inteligencia de amenazas para introducir controles preventivos en los sistemas de TI, mejorar la evaluación de riesgos e introducir nuevos métodos para las pruebas de seguridad.

Gente. Concientice a los empleados sobre la importancia de enviar notificaciones de amenazas y capacítelos sobre cómo y a quién deben comunicarse estas amenazas.

Documentación. ISO 27001 no requiere documentación; Sin embargo, puede incluir reglas de inteligencia de amenazas en los siguientes documentos:

Política de seguridad del proveedor: defina cómo se comunica la información sobre amenazas entre la empresa y sus proveedores y socios.
Proceso de gestión de incidentes: defina cómo se comunica internamente la información sobre amenazas dentro de la empresa.
Procedimientos operativos de seguridad: defina cómo recopilar y procesar información sobre amenazas.

Publicado el

¿Cuánto cuesta obtener la certificación ISO 27001?

¿Cuánto cuesta obtener la certificación ISO 27001?

Introducción:
La certificación ISO 27001 es reconocida internacionalmente como el estándar para la gestión de la seguridad de la información en las organizaciones. Obtener esta certificación demuestra el compromiso de una empresa con la seguridad de sus activos de información y proporciona confianza a los clientes y socios comerciales. Sin embargo, es natural que las organizaciones se pregunten sobre el costo asociado con la obtención de esta certificación. En este artículo, exploraremos los diferentes factores que pueden influir en el costo de obtener la certificación ISO 27001.

1. Tamaño y complejidad de la organización:
El costo de la certificación ISO 27001 puede variar significativamente dependiendo del tamaño y la complejidad de la organización. Las empresas más grandes y complejas pueden tener múltiples ubicaciones, sistemas de información interconectados y un mayor número de empleados. Esto requerirá un esfuerzo adicional para implementar los controles de seguridad necesarios y realizar auditorías internas, lo que puede aumentar el costo total.

2. Recursos internos:
Otro factor importante a considerar es la disponibilidad de recursos internos en la organización. Si la empresa cuenta con personal experimentado y capacitado en la implementación de sistemas de gestión de seguridad de la información, es posible reducir los costos al realizar gran parte del trabajo en casa. Sin embargo, si la organización carece de recursos internos especializados, puede ser necesario contratar consultores externos, lo que aumentaría los costos.

3. Alcance del sistema de gestión de seguridad de la información:
El alcance del sistema de gestión de seguridad de la información también puede afectar el costo. Si una organización decide implementar la certificación solo para una parte específica de sus operaciones, el costo será menor en comparación con una implementación en toda la organización. Sin embargo, es importante tener en cuenta que limitar el alcance puede disminuir la efectividad de la certificación y la protección general de la información.

4. Preparación y auditorías:
El proceso de obtención de la certificación ISO 27001 implica la realización de auditorías internas y externas. Estas auditorías son necesarias para verificar el cumplimiento de los requisitos establecidos por la norma. Es posible que se necesite contratar un auditor externo certificado para realizar la auditoría de certificación. El costo de las auditorías puede variar dependiendo del tamaño de la organización y la complejidad del sistema de gestión de seguridad de la información.

5. Mantenimiento y mejora continua:
La certificación ISO 27001 no es un evento único, sino un proceso continuo. Una vez obtenida la certificación, la organización debe realizar actividades de mantenimiento y mejora continua para cumplir con los requisitos de la norma a lo largo del tiempo. Esto implica la realización de auditorías de seguimiento periódicas y la implementación de medidas correctivas y preventivas. Estas actividades también tienen costos asociados que deben tenerse en cuenta.

Conclusión:
El costo de obtener la certificación ISO 27001 puede variar según varios factores, como el tamaño y la complejidad de la organización, los recursos internos disponibles, el alcance del sistema de gestión de seguridad de la información y las auditorías requeridas. Es importante que las organizaciones evalúen cuidadosamente estos fact.

Aquí tienes un ejemplo de cómo los costos pueden variar en función del número de empleados:

– Para una pequeña empresa con menos de 50 empleados, los costos iniciales para obtener la certificación ISO 27001 pueden oscilar entre los 5,000 y los 10,000 dólares. Esto incluiría la contratación de un consultor externo para asistir en la implementación y realizar auditorías internas.

– Para una empresa mediana con alrededor de 100 empleados, los costos iniciales podrían aumentar a entre 10,000 y 20,000 dólares. Esto se debe a que la implementación de los controles de seguridad requeridos puede ser más compleja, y puede ser necesario contratar recursos adicionales o invertir en herramientas y tecnologías de seguridad.

– Para una gran empresa con más de 500 empleados, los costos iniciales pueden superar los 50,000 dólares o incluso más. Esto se debe a que la implementación de la certificación en una organización de gran escala requiere un esfuerzo considerable en términos de recursos humanos y técnicos, así como auditorías más complejas.

Es importante destacar que estos son solo ejemplos y los costos pueden variar significativamente dependiendo de la ubicación geográfica, la industria y otros factores específicos de cada organización. Además de los costos iniciales, las organizaciones también deben considerar los costos continuos de mantenimiento y mejora continua del sistema de gestión de seguridad de la información.

Publicado el

5 pasos para actualizar un Sistema de Gestión de Seguridad de la Información (SGSI) a la nueva versión de la norma, con los errores a evitar

Si su organización necesita cumplir con la normativa de seguridad de la información, es importante que actualice su SGSI a la nueva versión de la norma. En este artículo, le proporcionaremos los cinco pasos esenciales para realizar esta actualización de manera efectiva, así como consejos sobre los errores a evitar.

Paso 1: Conocer la nueva versión de la norma
Es importante que comprenda los requisitos de la nueva versión de la norma y cómo se diferencian de la versión anterior. De esta manera, podrá determinar los cambios necesarios en su SGSI.

Paso 2: Realizar una evaluación de riesgos
Debe evaluar los riesgos para la seguridad de la información de su organización, teniendo en cuenta los requisitos de la nueva versión de la norma. De esta manera, podrá determinar qué medidas de seguridad son necesarias.

Paso 3: Actualizar la política de seguridad de la información
Es importante que revise y actualice la política de seguridad de la información de su organización para que se ajuste a los requisitos de la nueva versión de la norma.

Paso 4: Implementar medidas de seguridad adicionales
Es posible que necesite implementar medidas de seguridad adicionales para cumplir con los requisitos de la nueva versión de la norma. Esto podría incluir medidas como el cifrado de datos o la implementación de controles de acceso.

Paso 5: Capacitar al personal en seguridad de la información
Finalmente, es importante que capacite a su personal en seguridad de la información para garantizar que comprendan los requisitos de la nueva versión de la norma y cómo implementar las medidas de seguridad necesarias.

Al seguir estos cinco pasos, podrá actualizar su SGSI a la nueva versión de la norma de manera efectiva y evitar errores costosos. Si necesita ayuda con la actualización de su SGSI, no dude en comunicarse con nuestros expertos en seguridad de la información.

Esperamos que este artículo haya sido útil para su organización. Si desea obtener más información, no dude en visitar nuestro sitio web o ponerse en contacto con nosotros.

¡Gracias por leer!

Publicado el

Bienvenue à la collection de politiques ISO 27001:2022Bienvenue à la collection de politiques ISO 27001:2022

Bienvenue à la collection de politiques ISO 27001:2022 – un ensemble complet de 29 politiques qui couvrent toutes les exigences de sécurité de l’information de la norme ISO 27001:2022. Chaque politique est accompagnée des contrôles associés de l’Annexe A de la norme, garantissant que votre entreprise sera en conformité avec les normes de sécurité de l’information les plus récentes.

Cette collection est essentielle pour toute entreprise qui souhaite améliorer la sécurité de ses informations, protéger sa propriété intellectuelle et assurer la confidentialité des données sensibles. Les politiques couvrent tous les aspects de la sécurité de l’information, y compris la gestion des actifs, la gestion des risques, la sécurité physique, la sécurité des réseaux et des systèmes, ainsi que la sécurité des tiers et des fournisseurs.

Chaque politique est fournie au format MS Word éditable, ce qui vous permet de personnaliser chaque politique en fonction des besoins spécifiques de votre entreprise. Avec cette collection, vous pouvez être sûr que votre entreprise est en conformité avec les normes les plus élevées de sécurité de l’information, ce qui garantit une protection optimale des informations de votre entreprise.

N’attendez plus pour protéger vos informations sensibles et améliorer la sécurité de votre entreprise. Achetez dès maintenant la collection de politiques ISO 27001:2022 et bénéficiez d’une sécurité de l’information fiable et conforme aux normes internationales.

Publicado el

Tres errores a evitar al establecer el alcance de ISO 27001

Tres errores a evitar al establecer el alcance de ISO 27001


La definición del alcance de ISO 27001 es un paso crucial en la planificación de la implementación de su sistema de gestión de seguridad de la información (SGSI). Aquí hay tres errores comunes que se deben evitar durante este proceso:

1) Alcance demasiado amplio: Definir un alcance demasiado amplio puede conducir a una planificación e implementación de un SGSI compleja y costosa. Además, puede ser difícil lograr el cumplimiento y mantener la eficacia del sistema.

2) Alcance demasiado estrecho: Establecer el alcance demasiado estrecho puede comprometer la eficacia del sistema, ya que se pueden pasar por alto algunos riesgos significativos. Además, puede ser difícil ampliar el SGSI en el futuro para incluir actividades o procesos adicionales.

3) Alcance ambiguo: definir un alcance ambiguo puede conducir a una mala interpretación de las actividades y procesos que se incluirán en el SGSI. Esto podría comprometer la eficacia del sistema y conducir al incumplimiento de los requisitos de la norma ISO 27001.

Para evitar estos errores, es importante involucrar a las partes interesadas en el proceso de determinación del alcance y garantizar que haya una comprensión clara y compartida de las actividades y procesos que se incluirán en el SGSI.

Publicado el

5 errores a evitar al actualizar los Sistemas de Gestión de la Seguridad de la Información (SGSI) a la nueva norma ISO 27001:2022

Como experto en ISO 27001:2022, resumo a continuación los 5 errores a evitar al actualizar los Sistemas de Gestión de Seguridad de la Información (SGSI) al nuevo estándar:

No realizar una evaluación de riesgos actualizada: una de las principales novedades introducidas en la norma ISO 27001:2022 se refiere a la evaluación de riesgos, que debe ser más detallada y basada en evidencias concretas. Por lo tanto, es importante evitar el error de no actualizar la evaluación de riesgos para identificar nuevas amenazas y vulnerabilidades, que pueden tener un impacto significativo en la seguridad de la información que maneja la organización.

Anular nuevas pautas para establecer objetivos de seguridad: el nuevo estándar ISO 27001: 2022 introduce un mayor énfasis en el establecimiento de objetivos de seguridad específicos y medibles, en línea con la metodología SMART. Por lo tanto, es importante evitar el error de ignorar estas nuevas directrices y definir objetivos de seguridad genéricos o no medibles.

No involucrar adecuadamente a los stakeholders: otra novedad de la norma ISO 27001:2022 se refiere a la importancia de involucrar a los stakeholders en la implementación y mejora continua del SGSI. Por lo tanto, es importante evitar el error de no involucrar adecuadamente a los diversos actores involucrados (por ejemplo, empleados, proveedores, clientes) en el proceso de actualización del SGSI.

No actualizar las políticas y procedimientos internos: la nueva norma ISO 27001:2022 exige una mayor atención a las políticas y procedimientos internos, los cuales deben ser claros, completos y de fácil acceso para todos los miembros de la organización. Por lo tanto, es importante evitar el error de no actualizar las políticas y procedimientos internos para reflejar los nuevos lineamientos de la norma.

No monitorear continuamente la efectividad del SGSI: finalmente, la nueva norma ISO 27001:2022 pone mayor énfasis en la necesidad de monitorear continuamente la efectividad del SGSI, también a través de la implementación de indicadores clave de desempeño (KPI). Por lo tanto, es importante evitar el error de no monitorear adecuadamente la efectividad del SGSI y no tomar medidas correctivas cuando sea necesario.

Publicado el

10 OBSTÁCULOS PARA LA IMPLEMENTACIÓN DE UN SISTEMA DE GESTIÓN DE LA CALIDAD ISO 9001

10 OBSTÁCULOS PARA LA IMPLEMENTACIÓN DE UN SISTEMA DE GESTIÓN DE LA CALIDAD ISO 9001
¿Qué puede ralentizar la implantación de un Sistema de Gestión ISO 9001?

¿Cuáles son los obstáculos que más fácilmente pueden impedirte implementar un Sistema de Calidad dentro de tu organización o que, en el mejor de los casos, pueden ayudar a ralentizar tu camino? Hemos identificado once de ellos. Si piensas en los demás, ¡escríbenos!

1) Poco tiempo disponible
Demasiadas veces escuchamos que no hay tiempo para “hacer calidad” porque hay que trabajar, producir (¡como si la calidad fuera una tarea ajena al trabajo cotidiano!).

Intente dejar en claro a la Dirección que si no le da a la gente el tiempo para trabajar seriamente en la calidad, solo puede configurar un sistema de fachada completamente inútil y exigente para mantenerse vivo.
Una vez que el trabajo esté en marcha, la calidad se convertirá en parte del trabajo diario y ya no se percibirá como una adición a las tareas del trabajador individual.

2) Mala comunicación
Todas las organizaciones, buenas o malas, comunican. El personal es consciente de los valores, expectativas y políticas. Sin embargo, lo que a menudo no funciona es la transmisión de información correcta a todos aquellos que la necesitan y el intercambio de comentarios entre los gerentes y sus colaboradores.

Las empresas deben apostar por una comunicación bidireccional: de la dirección a los empleados y viceversa, para garantizar que lo que piensan los empleados llegue a los lugares correctos.

3) El personal no se deja libre para crecer
Muchas veces, en nuestras organizaciones, hacer crecer los recursos humanos es solo una bella intención pero para trabajar seriamente en el campo de la Calidad, las personas deben ser capaces de tomar decisiones concernientes a la eficacia y eficiencia de su trabajo así como a la satisfacción del cliente.
Sin embargo, para tener éxito en esta tarea, es necesario que nuestros recursos humanos estén adecuadamente capacitados y que, al menos al principio, cuenten con alguien que los ayude y apoye en estas actividades.

4) Falta de confianza
¿Sabes cuál es la primera causa que lleva al fracaso de los proyectos de Calidad? ¡Falta de confianza en la administración! ¿Te sorprende esta declaración? Sin embargo, la cosa es incluso obvia, si tratas de pensar en ello por un momento. Si las personas creen que la Dirección no es honesta con ellas, ¿cómo convencerlas de implementar una herramienta que podría ser vista como un mero control sobre su trabajo o, en todo caso, como una actividad adicional a realizar durante el horario normal de trabajo?

5) Las diferencias
Las diferencias entre las personas pueden crear bastantes problemas cuando se trata de calidad. Iniciar una discusión de este tipo, de hecho, significa establecer grupos de trabajo y fomentar el intercambio de ideas entre los colaboradores que trabajan en diferentes áreas de la empresa. Esto no es nada fácil de llevar a cabo, sobre todo en aquellas situaciones en las que se tiene la costumbre de percibir los departamentos como auténticas “islas” con barreras que rechazan a compañeros de otras áreas de la empresa. Será necesario trabajar mucho en la cultura de la organización y entender que la única forma de lograr la calidad es trabajar juntos hacia un objetivo común.

6) Falta de un plan formalizado
Para iniciar mejor un proyecto de implantación de un Sistema de Calidad, es importante que la Dirección elabore, formalice y difunda un plan de acción. Este documento es fundamental porque permite que las personas entiendan cómo pretende moverse la empresa y les permite aceptar el cambio con mayor serenidad.

Trate de incluir en el documento las ventajas que traerá la calidad a los colaboradores (las personas aceptan de buen grado hacer algo nuevo solo si obtienen la ventaja inmediata) y razones que ayuden a generar confianza en el proyecto.

7) Falta de motivación sólida
Tener a su disposición una plantilla extremadamente motivada es un proceso indirecto que es responsabilidad de la Dirección. Hablamos de un “proceso indirecto” porque ningún gerente, por muy bueno que sea, puede realizar acciones que apunten a motivar a sus colaboradores. En cambio, lo que se puede y se debe hacer es crear un ambiente sereno donde se trabaje bien para permitir que las personas desarrollen su motivación día tras día.

8) prisa
La calidad no es la panacea para todos los males. Trate de dejarlo claro a la gerencia y explíquele que, para obtener resultados con esta herramienta, no necesita tener prisa.
La mejora de la calidad es un proceso que nunca termina: trae grandes resultados pero necesita tiempo y depender de una cultura corporativa sólida y madura.

9) Esperar resultados financieros inmediatos
¿Cuántas organizaciones hay que quieren obtener resultados económicos inmediatos de la aplicación de una nueva herramienta?
La calidad te necesita un compromiso a largo plazo y una fuerte orientación hacia el futuro. Es probable que los costos, al menos al comienzo del proyecto, aumenten en lugar de disminuir, pero tenderán a reducirse considerablemente con el tiempo.

10) Falta de liderazgo
La presencia de un liderazgo fuerte es una prerrogativa esencial para el éxito de cualquier proyecto, incluida la implementación de un sistema de gestión de calidad.
Esto está asociado a la voluntad de la Dirección de disponer de tiempo y recursos.