BLOG

Destacado

Inicio Blog Destacado
Alcance de ISO 27001

Alcance de ISO 27001: cómo definirlo correctamente y errores a evitar

La definición del alcance de ISO 27001 es uno de los primeros requisitos que establece la norma de seguridad de la información. En la cláusula 4.3 del estándar se requiere a las organizaciones “determinar los límites dentro de los cuales operará el sistema y tendrá aplicación”.

Para hacerlo – determinar el alcance de ISO/IEC 27001 – la norma aclara que es preciso tener en cuenta los requisitos previos de contexto de la organización (4.1) y necesidades de las partes interesadas (4.2).

Leer más
Señales de alerta contra el fraude

Señales de alerta contra el fraude que observar en las auditorías internas

Las señales de alerta contra el fraude se refieren a situaciones o condiciones indeseables que contribuyen constantemente al fraude, el despilfarro y el abuso de recursos.

Todas las organizaciones se enfrentan al riesgo de fraude, que puede ser interno o externo. Los riesgos internos provienen de personas dentro de la organización que pueden usar su posición para enriquecerse mediante la apropiación indebida de recursos y activos, propiedad de la organización. Por otro lado, los riesgos externos provienen de funcionarios gubernamentales, clientes y contratistas que pueden tratar de obtener dinero ilegalmente.

Leer más
Prevenir accidentes laborales

Prevenir accidentes laborales: tres razones clave por las que muchas organizaciones fallan

Prevenir accidentes laborales es el objetivo por definición de un Sistema de Gestión de Seguridad y Salud en el Trabajo. Sin embargo, este, que es un gran objetivo, depende de otros menores o subordinados a él.

Un Sistema de Gestión de Seguridad y Salud en el Trabajo es una estructura administrativa compleja, que implica procesos, personas con responsabilidades, recursos y otros elementos de igual importancia.

Leer más
capacitación interna para la implementación de sistemas ISO

¿Se requiere capacitación interna para la implementación de sistemas ISO?

Un primer punto a tener en cuenta acerca de la capacitación interna para la implementación de sistemas ISO es que aunque no es obligatoria, sí es recomendable y aporta importantes beneficios.

Si se está implementando una norma con personal interno para quien el cumplimiento de ISO no es su principal conjunto de habilidades, la formación específica en los estándares ISO puede ser beneficiosa para comprender el proceso con más profundidad, acelerar el proyecto y sacar el máximo partido a la implementación.

Leer más
auditoría de un SGSI

Buenas prácticas para mejorar la auditoría de un SGSI según ISO 27001

En nuestro artículo previo acerca de los pasos a seguir para realizar la auditoría de un SGSI explicamos, por un lado, los factores a considerar para preparar la auditoría interna al Sistema de Gestión de Seguridad de la Información. Y, por otro, la secuencia de actividades a seguir para hacerla efectiva.

En esta ocasión, ampliamos esta información preliminar con recomendaciones útiles para optimizar el resultado de la auditoría de un SGSI en la práctica.

Leer más
Roles y responsabilidades en ISO 14001

Roles y responsabilidades en ISO 14001: qué establece la norma y cómo seleccionar un líder

La asignación de roles y responsabilidades en ISO 14001 aparece en la cláusula 5.3 del estándar de gestión ambiental. La norma indica, en el mismo epígrafe, que es la Alta Dirección la encargada de realizar la tarea.

Además de asignar roles y responsabilidades en ISO 14001, la Alta Dirección también necesita informar y comunicar sobre ello a las personas que reciben las asignaciones y a los empleados en todos los niveles de la organización.

Leer más
Auditoría de compliance

Auditoría de compliance: qué es, qué comprende y en qué áreas se puede aplicar

La auditoría de compliance es la fórmula adecuada para evaluar y comprobar que una organización cumple con todas sus obligaciones voluntarias o reglamentarias. El Cumplimiento es importante para las organizaciones por dos razones: el impacto financiero que tiene el incumplimiento y la necesidad de proteger la reputación y el valor de la marca.

Hablar de evaluar el cumplimiento implica considerar demasiadas áreas. Una auditoría de compliance total podría llegar a ser interminable si no se pone la lupa sobre puntos críticos estratégicos.

Leer más
Controles del Anexo A de ISO 27001

Controles del Anexo A de ISO 27001: guía completa actualizada a la versión de 2022

Los controles del Anexo A de ISO/IEC 27001 son, en una definición muy concisa, las prácticas o acciones que debe implementar y ejecutar la organización, si de acuerdo con su gestión de riesgos de seguridad de información, ha identificado amenazas susceptibles de ser prevenidas o eliminadas utilizando cualquiera de estos controles.

Así, se infiere que los controles del Anexo A de ISO 27001 no son todos de obligatorio uso. La norma ISO 27001 solo requiere que la organización implemente los que sean necesarios, de acuerdo con los riesgos que ha identificado, su gravedad y su probabilidad de ocurrencia.

Leer más
Integrar múltiples sistemas de gestión

Integrar múltiples sistemas de gestión: por qué es el camino correcto

Integrar múltiples sistemas de gestión es una opción cada vez más acogida por un mayor número de organizaciones. Adoptar un modelo de gestión integrado implica invertir tiempo, dinero, recursos humanos y tecnológicos, pero los beneficios superan los costes, lo que explica el crecimiento de adhesiones.

Más allá de los beneficios, integrar múltiples sistemas de gestión es un camino lógico para seguir. Tres razones, que además involucran beneficios directos, justifican esta afirmación.

Leer más