BLOG

Gestión de Proyectos

ISO 27001 para empresas SaaS

Beneficios de ISO 27001 para empresas SaaS: garantía de seguridad de los datos y cumplimiento

El concepto de Software como un Servicio, SaaS, por sus iniciales en inglés, gana cada día más popularidad. ISO 27001 para empresas SaaS se convierte en un aliado eficiente, especialmente para superar la principal barrera que hoy encuentra este tipo de organizaciones: garantizar la seguridad de los datos y de la información.

El mercado para las nuevas SaaS es mucho más competitivo de lo que lo fue para sus antecesoras pioneras en el sector. Estas empresas necesitan demostrar a sus clientes actuales y potenciales, que están comprometidas con la seguridad de su información y la protección de sus datos.

Leer más
revisión por la Alta Dirección de un Sistema de Gestión Integrado

Cómo realizar la revisión por la Alta Dirección de un Sistema de Gestión Integrado ISO 45001, ISO 14001 e ISO 9001

La revisión por la Alta Dirección de un Sistema de Gestión Integrado es un requisito ineludible presente en la cláusula 9 de estándares internacionales como ISO 45001, ISO 14001 e ISO 9001, los sistemas de gestión normalizados que se integran con mayor frecuencia.

Este tipo de revisiones no se efectúan de forma aislada para cada uno de los componentes del sistema integrado. Se trata de una actividad de importancia crucial que al igual que la tarea de auditoría, requiere experticia por parte de los miembros de la gerencia. Para facilitar la tarea, a continuación, compartimos una guía cómo realizar la revisión por la Alta Dirección de un Sistema de Gestión Integrado.

Leer más
gestión de auditorías internas

7 estrategias para una gestión de auditorías internas eficaz

Una gestión de auditorías internas adecuada ofrece seguridad y eficacia para el Sistema de Gestión evaluado, por ejemplo, de Gestión de la Calidad, sistema normalizado con mayor implantación a nivel internacional. Recordemos que la auditoría tiene entre sus objetivos identificar problemas que impiden que el Sistema satisfaga las necesidades de las partes interesadas y la consecución de los objetivos corporativos.

Es por ello que, la auditoría interna es el motor que impulsa la mejora continua del Sistema. Pero esto no significa que realizar muchas auditorías conducirá a mejorar mucho más. Es preciso adoptar una gestión de auditorías internas consistente, coherente y que responda a las necesidades particulares de cada Sistema.

Leer más
programa de cumplimiento

Cómo crear un programa de cumplimiento efectivo: importancia, elementos y primeros pasos

Las organizaciones que carecen de un programa de cumplimiento, con frecuencia enfrentan medidas disciplinarias, sanciones y afectaciones a su reputación. Esto puede impedir operar una empresa con la debida eficiencia y obtener los rendimientos esperados o alcanzar objetivos estratégicos.

Este es un punto clave para explicar la importancia de contar con un programa de cumplimiento efectivo en cualquier tipo de organización. En otras palabras, las organizaciones que se toman en serio la gestión de cumplimiento, son más rentables y productivas.

Leer más
auditoría de re certificación ISO 14001

Auditoría de recertificación ISO 14001: cómo prepararse para superarla con éxito

Pasado el hito de la auditoría de certificación, el Sistema de Gestión Ambiental enfrenta auditorías internas y auditorías de vigilancia. La auditoría de recertificación ISO 14001, pasados tres años, será el siguiente gran desafío a enfrentar.

Usualmente, la auditoría de recertificación ISO 14001 se desarrolla después de un ciclo completo de certificación que se cumple en tres años y está a cargo de un nuevo equipo de auditores. El alcance de la auditoría incluye todas y cada una de las partes del Sistema de Gestión Ambiental, y todos y cada uno de los requisitos del estándar ISO 14001.

Leer más
Gestionar los riesgos de terceros

Gestionar los riesgos de terceros: pasos para llevarlo a la práctica

Gestionar los Riesgos de Terceros siempre ha sido importante, pero la globalización y el aumento de la subcontratación conceden mayor importancia a esta tarea en la Gestión de Riesgos de las organizaciones modernas.

Recientemente, abordamos en un artículo la importancia de la gestión de riesgos de terceros, lectura que es recomendable revisar para articular con mayor facilidad el tema sobre Gestionar los Riesgos de Terceros y cómo llevarlo a la práctica.

Matricúlate ahora Diplomado Risk Manager

Gestionar los riesgos de terceros – ¿Cómo llevarlo a la práctica?

La gestión de riesgos de terceros tiene un ciclo de vida. Esto significa que los riesgos pasan por diferentes etapas en un proceso que pretende eliminar la mayoría, mitigar otros, compartir algunos y tolerar el menor número posible.

Hemos identificado ocho pasos que debemos dar para gestionar los riesgos de terceros, desde el mismo punto en el que se establece la relación con el proveedor, contratista o subcontratista, que serán básicamente los terceros que consideraremos para este efecto, hasta que esa misma relación deja de existir.

Estos ocho pasos o fases describen un ciclo de vida de lo que también se conoce como gestión de relaciones con terceros. Conozcamos estas etapas:

1. Conocer e identificar al tercero

Usualmente, las organizaciones cuentan con una base de datos o, por lo menos, un listado de proveedores, contratistas y subcontratistas. La información proveniente de un CRM, por ejemplo, resulta muy valiosa para cumplir con este objetivo de identificar claramente al tercero.

Los contratos suscritos con ellos y la realización de encuestas y entrevistas también resultarán muy útiles en este momento. Básicamente, esta es la información que se pretende recopilar:

  • Información específica del proveedor.
  • Su dirección física.
  • Sector en el que opera.
  • Tipo de relación comercial que se ha establecido con esa organización o profesional.
  • Monto de las operaciones.
  • Nombres de los contactos y miembros de la Alta Dirección.
  • Historial de transacciones.
  • Información de contacto (e-mail, teléfonos, sitio web).
  • Certificaciones que ostenta.
  • Requisitos para el manejo de la privacidad de la información.

Esta información será suficiente para identificar a los terceros, clasificarlos y hacer una primera priorización de ellos.

2. Evaluar y seleccionar los terceros

Con base en la información obtenida, la organización evalúa y selecciona los proveedores con los que trabajará, considerando las necesidades, las ventajas y aspectos que ayuden a minimizar el riesgo, como las certificaciones, por ejemplo.

3. Realizar la evaluación de riesgos

Aquí inicia formalmente la gestión de riesgos de terceros. Los profesionales harán uso de las herramientas y modelos de evaluación conocidos, pero adicionalmente tratarán de compartir información sobre los terceros con otras organizaciones. Algunas de ellas ya habrán hecho la tarea, y aunque no se puede incorporar ese trabajo de forma directa, sí se puede encontrar en él información muy valiosa.

4. Tratar los riesgos

Con la evaluación de riesgos en mano, inicia la tarea de tratar los riesgos. Gestionar los riesgos de terceros en esta etapa significa categorizarlos de acuerdo con su impacto negativo o su probabilidad de ocurrencia.

Es en este momento en el que también se considera el apetito de riesgo de la organización. Si tratar un riesgo resulta demasiado costoso o implica dejar de aprovechar claras oportunidades comerciales, es probable que lo mejor sea admitirlo, y para ello, es preciso haber definido el apetito de riesgo de la organización.

Vinculado con esto último, está la definición del nivel de riesgo residual admisible y la implementación de controles para alertar sobre la inminencia del alcance de los niveles de riesgo admisibles.

5. Alinear la gestión de compras, adquisiciones y contrataciones

Gestionar los riesgos de terceros tiene unos propósitos prácticos inmediatos que inciden en la contratación de la organización y en la gestión de compras y adquisiciones. No tendría sentido el trabajo de los profesionales del área de riesgos si su labor no estuviese alineada con los procesos de contratación, compra y adquisición.

El primer aspecto en el que la gestión de riesgos alcanza la gestión de compras, adquisiciones y contrataciones es la redacción de los contratos con proveedores de productos y servicios. En las cláusulas, además de los puntos obvios, se considerará:

  • La propiedad intelectual.
  • Cláusulas de incumplimiento o rescisión.
  • Garantías.
  • Confidencialidad de la información.
  • Indemnizaciones.
  • Límites de las responsabilidades.
  • Seguros.
  • Acuerdos para procesamiento de datos.
  • Protección de datos.
  • Cambio de proveedores de tercera o cuarta línea.
  • Indicadores de cumplimiento.
Las organizaciones también deben gestionar los riesgos de terceros, sobre todo cuando estos tienen importancia estratégica. Aprende cómo hacerlo #RiskManager #GestiónRiesgos #ISO31000 Clic para tuitear

6. Implementar indicadores de rendimiento de la gestión

No es posible el control de aquello que no se mide. Gestionar los riesgos de terceros es una tarea que no se aparta de este principio, y de ahí la importancia de mantener registros detallados y auditables sobre toda la gestión y sus resultados.

Algunos datos que se espera estén disponibles siempre son:

  • Número de proveedores y contratistas activos.
  • Listado de proveedores y contratistas priorizados.
  • Resultado de las evaluaciones de riesgos aplicadas a cada proveedor o contratista.
  • Estado de los contratos con cada proveedor (vencidos, vigentes, nulos, no cumplidos…).
  • Riesgos identificados agrupados de acuerdo con su impacto negativo o probabilidad.
  • Riesgos para cada etapa del proceso de contratación.
  • Historial de riesgos, ocurrencia, impacto y resultados.
  • Medidas de prevención aplicadas y sus resultados.
  • Medidas de monitoreo implementadas y sus resultados.

7. Monitorear la gestión de forma constante

Gestionar los riesgos de terceros es una tarea continua y cíclica. Aún después de analizar y tratar los riesgos que implica un tercero determinado, la posibilidad de que aparezcan nuevas amenazas está siempre presente.

Cambios de regulaciones, obtención de nueva información, noticias sobre sanciones o litigios judiciales, entre otras, son circunstancias que obligan a monitorear de forma continua la gestión de riesgos de terceros. Algunos eventos puntuales a tener en cuenta al Gestionar los Riesgos de Terceros son:

8. Retiro del proveedor

Gestionar los riesgos de terceros, como hemos comentado, es una tarea que tiene alcance durante todo el ciclo de vida del proveedor, esto es desde que inicia la relación, hasta que esta se extingue.

Desvincular un proveedor es el último paso en la historia de la relación comercial, pero también de gestión de riesgos. Es preciso asegurar que se toman todas las medidas necesarias para salvaguardar la información, se conservan los registros históricos, se crea un registro único sobre el evento en el que se adjunta una evaluación general del proveedor, se incorpora un concepto sobre la elegibilidad o no en un futuro como contratista o proveedor…

Una lista de verificación es la mejor elección para asegurar un proceso completo de baja exitoso y seguro. Lo importante es que todo se documente y se cuente con la información necesaria para auditar o inspeccionar la gestión.

Diplomado Risk Manager

Gestionar los riesgos de terceros, como muchas otras actividades en el área, requerirá la participación de profesionales con los conocimientos apropiados. El Diplomado Risk Manager es un programa de excelencia que, además de ofrecer estos conocimientos, trabaja desde experiencias prácticas reales, y recursos gratuitos como modelos de evaluación, plantillas, manuales y una gran cantidad de importantes y exclusivos documentos elaborados por los más reconocidos profesionales a nivel internacional.

Si quieres formarte para gestionar y auditar Sistemas de Gestión de Riesgos en Europa y en cualquier país de América Latina, la Escuela Europea de Excelencia te apoya por medio del Programa de Becas Excellence.

Pero si lo prefieres, puedes proyectar tu carrera hacia el futuro ahora mismo.

Nueva llamada a la acción
Leer más
Mantener sistemas de gestión ISO

Mantener sistemas de gestión ISO: guía para cumplir con los requisitos de mejora continua

Mantener sistemas de gestión ISO es uno de los aspectos más importantes para cumplir con los requisitos y mantener la certificación de las normas ISO. El mantenimiento de los sistemas de gestión no es un documento que se escribe una sola vez y se lee de forma ocasional, sino una labor en constante evolución.

A continuación, explicamos la importancia de esta tarea, qué tipo de actividades realizar, y con qué frecuencia, para mantener sistemas de gestión ISO.

Leer más
gestión de sistemas integrados

5 Beneficios que aporta la gestión de sistemas integrados más allá de la reducción de costes

La gestión de sistemas integrados aporta importantes beneficios a las organizaciones que la adoptan. La reducción de costes, derivada de la eliminación de esfuerzos repetidos, es el argumento más utilizado para promover un proyecto de integración de sistemas de gestión.

Una gestión de documentos simplificada, la eliminación de procesos y procedimientos duplicados, la realización de una única auditoría integrada, la centralización de responsabilidades o la reducción de la burocracia son algunos de los factores que permiten beneficiarse de la gestión integrada de sistemas ISO y optimizar los costes.

Leer más
Implementar un Sistema de Gestión de Seguridad y Salud en el Trabajo

Implementar un Sistema de Gestión de Seguridad y Salud en el Trabajo: cómo aplicar la metodología PDCA

Tomar la decisión de implementar un Sistema de Gestión de Seguridad y Salud en el Trabajo basado en la norma ISO 45001 suele ser sencillo para la mayoría de las organizaciones, ya que los beneficios superan en gran medida la decisión de no contar con un sistema SST sólido.

Si bien, para implementar un Sistema de Gestión de Seguridad y Salud en el Trabajo es importante seguir una metodología estructurada y eficaz que cubra todos los requisitos mínimos y, a su vez, permita mantener y alcanzar los objetivos de negocio.

Leer más