Al implementar un sistema de gestión de la seguridad y la salud en el trabajo siguiendo los requisitos de la norma ISO 45001:2018, reparamos en que sigue un formato de 10 cláusulas. Esto sucede exactamente igual en otros estándares publicados en los últimos años como ISO 9001, ISO 14001 o ISO 27001.
ISO 45001:2018 presenta los requisitos para abordar los riesgos dentro del sistema de gestión de la seguridad y la salud. La gestión de riesgos según ISO 45001 implica ciertas precauciones y debe hacer uso de metodologías muy particulares, dada la singularidad y la forma tan específica en que el estándar discrimina los tipos de riesgos.
La comunicación en ISO 45001 es tratada en la edición 2018 de la norma de una forma más amplia. Lo hace en el apartado 7.4, complementando el requisito sobre Apoyo, tema al que se dedica el capítulo 7. Además, en la nueva versión, la comunicación es contemplada desde el punto de vista tanto interno como externo.
El concepto de riesgo residual en ISO 27001 es el mismo que se conoce en el área de gestión de riesgos aplicada a cualquier otro estándar, o en cualquier área de la organización. El término es utilizado con frecuencia, pero generalmente no se entiende ni la importancia ni el significado real que tiene, especialmente para la seguridad de la información.
Su definición es sencilla: el riesgo residual en ISO 27001 es aquel que persiste, aun después de tomar las medidas necesarias para tratar los riesgos identificados. A continuación, nos acercamos un poco más a esta cuestión explicando cómo funciona y se gestiona el riesgo residual en ISO 27001 y cómo saber qué nivel del mismo es aceptable para la organización.
Dentro de la norma ISO 27001, el Anexo A es el más conocido por ser normativo, lo que indica que su implementación es imprescindible. Y en cuanto a controles de seguridad en ISO 27001 se refiere, constituye una parte esencial, pues presenta una lista de dichos controles que pueden resultar fundamentales para mejorar la protección de la información en las organizaciones.
Usualmente, cuando se hace uso de un documento, los anexos y las referencias bibliográficas son muchas veces desestimados. En el caso de la norma que nos ocupa, esto no debería suceder, pues el Anexo A es normativo y la implementación de los controles que se encuentran en él es obligatoria, de ser aplicables para la organización.
Una organización funciona como un reloj analógico. Está dividida en áreas, sectores o departamentos, que actúan como los pequeños engranajes de un reloj. La capacitación sobre seguridad de la información es uno de esos engranajes que logra mover una máquina. De este modo, la formación en ISO 27001 garantiza cumplir con la integridad, la confidencialidad y la disponibilidad de la información.
Además, los engranajes, requieren mantenimiento, precisan ser aceitados. Del mismo modo, la capacitación sobre seguridad de la información requiere que se invierta en ella.
Pero, ¿por qué es tan importante la capacitación sobre seguridad de la información para las organizaciones? Una primera razón es que el elemento humano, sobre el que recae la capacitación, es un elemento fundamental dentro de un sistema de gestión de seguridad de la información.
Lo primero que debemos entender es que para la organización la información es un activo que se debe gestionar. Un activo que adquiere valor en la medida en la que es posible garantizar la veracidad, integridad, disponibilidad y la confidencialidad.
Para lograr esas garantías se necesita invertir en tecnología y prevención de riesgos. Pero dicha inversión resultará infructuosa si los empleados generan una brecha de vulnerabilidad que atenta contra la seguridad de la información, bien sea por ignorancia, por estar desactualizados o por falta de atención. En este sentido, se ha de tener muy en cuenta que son ellos los que tienen procesos a su cargo, realizan funciones importantes e impiden que ocurran algunas situaciones que deben evitarse.
En concreto, los “propietarios” de la información, responsables de la custodia, monitoreo y administración, tienen responsabilidades como otorgar permisos de acceso, retirarlos, custodiar información crítica o monitorear el resultado de acciones emprendidas dentro de la gestión de la información.
Así, el factor humano tiene una incidencia definitiva en la gestión de la seguridad de la información. De ahí, la importancia de la capacitación sobre seguridad de la información para las organizaciones.
Los programas de formación en seguridad de la información tienen un coste. Y los profesionales en seguridad de la información pueden justificar la inversión fácilmente al mostrar los beneficios que ofrece la capacitación sobre seguridad de la información.
La capacitación sobre #SeguridadInformación ofrece beneficios a las organizaciones. Hoy conoceremos los más relevantes. Clic para tuitearCon conocimiento y la adecuada capacitación, los empleados pueden aprovechar más eficientemente las herramientas y los controles de seguridad. Uno de los efectos inmediatos es la valoración positiva hacia los controles y la trasmisión de dicha confianza a sus compañeros y subordinados. De este modo, se favorece la creación de una cultura sólida de seguridad de la información.
En la práctica, se mejoran los procesos de asignación de contraseñas (cómo asignarlas, a quién asignarlas, y qué niveles de acceso otorgar), y los de su creación, para hacer que sean más seguras.
Resulta inútil redactar una completa y estricta política de seguridad de la información si los empleados no la conocen o no pueden valorar la importancia de la existencia de ese documento y de lo que en él se declara.
La capacitación sobre seguridad de la información hace que los empleados se interesen en el tema, ya que entienden la necesidad de garantizar la seguridad de la información. Y lo hacen no solo por la organización, sino por cada uno de ellos, porque con la seguridad se respaldan los objetivos comerciales de la organización, que al final garantizan su empleo y la calidad del mismo.
Las vulneraciones de privacidad, la falta de disponibilidad de la información o las alteraciones indebidas de los datos son eventos que pueden afectar negativamente las finanzas de la organización y también a su reputación y confiabilidad.
Es poco probable que un grupo de empleados capacitados en seguridad de la información, o liderados por profesionales capacitados, incurra en sanciones, infracciones o faltas graves de seguridad de la información.
La capacitación sobre seguridad de la información encuentra un gran aliado en este Diplomado Implementador de Sistemas de Gestión de Seguridad de la Información con la ISO/IEC 27001:2013. Este constituye un programa de alta calidad dictado por la Escuela Europea de Excelencia.
La convocatoria establecida para este 15 de abril ya ha cubierto sus plazas, pero desde ahora, ya tiene la opción de inscribirse para la convocatoria del 15 de julio de 2019 aquí.
En muchos de nuestros textos anteriores, hemos señalado que el nuevo estándar sobre gestión de seguridad y salud en el trabajo de ISO fue publicado durante el pasado año 2018. El requisito de liderazgo en ISO 45001:2018, contenido en la cláusula 5, es uno de los puntos clave de la norma que bien vale la pena desglosar con atención. Y ese es el objetivo que nos proponemos hoy.
Si está leyendo este texto, es porque probablemente su organización ha de afrontar la auditoría de certificación en ISO 27001. Los profesionales en seguridad de la información, pueden formularse muchas preguntas y presentar ciertas dudas.
Esto es normal. El trabajo de planificación e implementación ha sido arduo y la auditoría de certificación en ISO 27001 representa el colofón para este proyecto de especial importancia para la organización.
La Gestión de Incidentes de Trabajo es una de las mayores responsabilidades que llevan a sus espaldas los profesionales en seguridad y salud laboral. Nunca será demasiado el entrenamiento para evitar estos inconvenientes y es preciso conocer los pasos a seguir en el momento en que se presente un incidente de trabajo.
NEWSLETTER
Suscríbete a la newsletter y recibe semanalmente, además de artículos de interés sobre los sistemas de gestión ISO y habilidades directivas, descuentos especiales en nuestros cursos.
* Todos los campos requeridos
