Cuando hablamos de seguridad de la información inevitablemente hacemos referencia a los requisitos de ISO 27001. Este es el estándar internacional para un sistema de gestión de seguridad de la información y sus requisitos están contenidos en una estructura divida en 10 capítulos, común a otras normas ISO que gozan de gran aceptación en el mundo corporativo, como ISO 9001, ISO 14001 o ISO 45001.
La capacitación es parte esencial de cualquier sistema de gestión de seguridad y salud en el trabajo. La formación en ISO 45001, proporciona beneficios para los empleados, para los profesionales del área y también para la propia organización.
Además, la formación en ISO 45001 es un requisito de la misma norma. De hecho, la cláusula 7.3 nos dice que la información sobre seguridad y salud en el trabajo debe ser conocida, como mínimo, por los trabajadores. Así, la formación en seguridad y salud en el trabajo, además de ser una necesidad, es una obligación; una obligación que produce beneficios.
Con el fin de proporcionar un estándar altamente eficaz para la gestión de la seguridad y la salud en el trabajo, la Organización Internacional de Normalización ha desarrollado ISO 45001. Para conocer con profundidad esta norma y aprender a implementarla con éxito en una organización, se hace necesario un Curso Norma ISO 45001.
Esto se debe a su novedad, pues apenas cuenta con algo más de un año, tras su publicación en marzo de 2018. Y, también, a que, aunque toma elementos de la conocida OHSAS 18001, incorpora otros nuevos, así como algunos conceptos innovadores. Hace mayor énfasis en la participación de los trabajadores, en los riesgos y en las oportunidades y se alinea con la estrategia de negocios. Además, se ha diseñado siguiendo la estructura de alto nivel del Anexo SL, que caracteriza a las más recientes publicaciones de ISO.
Los beneficios de implementar ISO 27001 son notables y adquieren mayor relevancia en las jóvenes organizaciones que conocemos como startups. En la práctica, ISO 27001 es un estándar que incrementa la competitividad en cualquier tipo de empresa; y las nuevas empresas son las que, en general, más la necesitan.
Los beneficios de implementar ISO 27001 derivan de garantizar la seguridad de los datos personales. Ahora este es un tema de gran importancia para las organizaciones y para sus clientes. Por ello, lograr esa seguridad, de cara a esos últimos y a las responsabilidades de la empresa, genera importantes beneficios, más allá de la propia seguridad de la información. De este modo, la implantación de ISO 27001 y contar con la formación necesaria para ello resulta ser una inversión antes que un gasto.
Al implementar un sistema de gestión de la seguridad y la salud en el trabajo siguiendo los requisitos de la norma ISO 45001:2018, reparamos en que sigue un formato de 10 cláusulas. Esto sucede exactamente igual en otros estándares publicados en los últimos años como ISO 9001, ISO 14001 o ISO 27001.
ISO 45001:2018 presenta los requisitos para abordar los riesgos dentro del sistema de gestión de la seguridad y la salud. La gestión de riesgos según ISO 45001 implica ciertas precauciones y debe hacer uso de metodologías muy particulares, dada la singularidad y la forma tan específica en que el estándar discrimina los tipos de riesgos.
La comunicación en ISO 45001 es tratada en la edición 2018 de la norma de una forma más amplia. Lo hace en el apartado 7.4, complementando el requisito sobre Apoyo, tema al que se dedica el capítulo 7. Además, en la nueva versión, la comunicación es contemplada desde el punto de vista tanto interno como externo.
El concepto de riesgo residual en ISO 27001 es el mismo que se conoce en el área de gestión de riesgos aplicada a cualquier otro estándar, o en cualquier área de la organización. El término es utilizado con frecuencia, pero generalmente no se entiende ni la importancia ni el significado real que tiene, especialmente para la seguridad de la información.
Su definición es sencilla: el riesgo residual en ISO 27001 es aquel que persiste, aun después de tomar las medidas necesarias para tratar los riesgos identificados. A continuación, nos acercamos un poco más a esta cuestión explicando cómo funciona y se gestiona el riesgo residual en ISO 27001 y cómo saber qué nivel del mismo es aceptable para la organización.
Dentro de la norma ISO 27001, el Anexo A es el más conocido por ser normativo, lo que indica que su implementación es imprescindible. Y en cuanto a controles de seguridad en ISO 27001 se refiere, constituye una parte esencial, pues presenta una lista de dichos controles que pueden resultar fundamentales para mejorar la protección de la información en las organizaciones.
Usualmente, cuando se hace uso de un documento, los anexos y las referencias bibliográficas son muchas veces desestimados. En el caso de la norma que nos ocupa, esto no debería suceder, pues el Anexo A es normativo y la implementación de los controles que se encuentran en él es obligatoria, de ser aplicables para la organización.
NEWSLETTER
Suscríbete a la newsletter y recibe semanalmente, además de artículos de interés sobre los sistemas de gestión ISO y habilidades directivas, descuentos especiales en nuestros cursos.
* Todos los campos requeridos
