Algunos creen que la gestión de riesgos es una tarea que solo requiere pensar y, como mucho, alguna hoja de papel para exponer algunas notas. Sin embargo, contar con los recursos necesarios para gestionar el riesgo es una cuestión prioritaria y además una responsabilidad de la alta dirección. Así figura en todas las normas ISO de reciente publicación que tocan el tema: ISO 31000, ISO 9001, ISO 45001, ISO 14001…
ISO 19011 es el estándar internacional que ofrece directrices sobre la forma correcta de auditar. En su sección 6, nos habla específicamente de la forma y las etapas para conducir una auditoría según ISO 19011.
Tanto para auditores como para auditados, conocer la forma de conducir una auditoría según ISO 19011, resulta de especial importancia. Sobre todo es fundamental en el momento de planificar la actividad, elaborar calendarios de trabajo y asignar recursos para la tarea.
Una nueva edición de la norma ISO 19011 (Directrices para la Gestión de Programas de Auditorías) ha sido publicada en julio de 2018. Se trata de la tercera revisión, que sustituye a la segunda publicada en 2011. La norma ha sido revisada técnicamente y desarrollada por el comité del proyecto de norma ISO/PC 302.
ISO 19011:2018 ofrece un enfoque uniforme y armonizado que permite una auditoría eficaz de varios sistemas al mismo tiempo. Considerando que la mayoría de las organizaciones tienen varios sistemas, ISO 19011 promete convertir la gestión de programas de auditorías en una tarea fácil y eficiente.
Auditar según ISO 19011, es comprobar, en el sitio en donde se llevan a cabo los procesos, el cumplimiento de los requisitos solicitados por una norma. Esta sirve como marco de un determinado sistema de gestión, sea este de calidad, medio ambiente, seguridad de la información o seguridad y salud en el trabajo, entre otros. Y auditar dichos sistemas constituye un paso fundamental en pos de la mejora continua de los mismos.
La nueva edición de la norma ISO 19011, sobre las directrices para la auditoría de sistemas de gestión, ha sido publicada en julio de 2018. Los cambios en ISO 19011, versión 2018, han sido determinados con base en la revisión técnica desarrollada por el comité del proyecto de norma ISO/PC 302.
ISO 19011:2018 ofrece un enfoque uniforme y armonizado que facilita una auditoría eficaz en varios sistemas al mismo tiempo. Si consideramos que son muchas las organizaciones que trabajan con varios sistemas de gestión, este resulta uno de los cambios en ISO 19011 más relevantes.
Con la implementación de una norma ISO, la organización demuestra a sus empleados, a sus proveedores, a sus clientes, que piensa en el futuro. Pone en evidencia que sus opiniones le interesan. Este es uno de los beneficios de una certificación ISO, pero no es el único.
La Gestión de Incidentes de Trabajo es una de las mayores responsabilidades que llevan a sus espaldas los profesionales en seguridad y salud laboral. Nunca será demasiado el entrenamiento para evitar estos inconvenientes y es preciso conocer los pasos a seguir en el momento en que se presente un incidente de trabajo.
Quienes tenemos alguna formación en contabilidad, pensamos, en primera instancia, que el inventario de activos según ISO 27001 puede llegar a ser una lista pormenorizada de los ordenadores y dispositivos que la organización dispone para el tratamiento, consulta o registro de la información dentro del sistema de seguridad de la información.
Pero sucede que, en seguridad de la información, el inventario de activos según ISO 27001 es bastante diferente. ¿Qué son los activos para ISO 27001? ¿Por qué son importantes y cómo debemos registrarlos? Este es nuestro tema de hoy.
Si iniciamos una búsqueda a través de las diferentes ediciones de la norma sobre gestión de la seguridad de la información, notaremos que en ninguna de ellas se encuentra una definición concreta de lo que significa un activo dentro de un SGSI.
La definición más cercana se encuentra en la revisión de 2005, en donde nos dice que un activo es “cualquier cosa que tenga valor para la organización”. De acuerdo con esto, tendríamos que pensar que un activo, según ISO 27001, es “todo lo que tenga valor para la gestión de la seguridad de la organización”.
Así, podríamos mencionar los siguientes ejemplos de activos para construir un inventario de activos según ISO 27001:
Nos damos cuenta de que existe una diferencia grande entre el concepto contable de activo y el concepto que maneja ISO 27001. Pero, ¿cuál es la importancia de los activos y por qué es necesario registrarlos y gestionarlos?
La primera razón es que cuando pensamos en la forma de preservar la seguridad de esos activos como una forma de asegurar la integridad de la información, nos damos cuenta de que es la mejor forma de iniciar una evaluación de riesgos. Y aunque ISO 27001 no la solicita como requisito, en la práctica resulta indispensable.
Los inventarios de activos son un elemento clave para la identificación del riesgo. Solo así podremos establecer las amenazas y vulnerabilidades reales a las que está expuesto el sistema.
Otra razón de gran importancia, es que, gracias al registro del inventario de activos según ISO 27001, podemos identificar quién es el responsable del activo y asignar responsabilidades. De esta forma, logramos proteger la confidencialidad, la integridad y la disponibilidad de la información.
¿Cómo construir el #InventarioActivos según #ISO27001. Hoy explicamos cómo hacerlo y la importancia que tiene para el SGSI. Clic para tuitearLa mejor forma de hacerlo es recorriendo las instalaciones de la organización y entrevistando a los directores de cada área o departamento. En este proceso, la lista que hemos mencionado en el primer apartado de este texto puede convertirse en una checklist de gran ayuda. Los informes contables y de recursos humanos pueden igualmente ser de gran utilidad en esta primera etapa.
Es importante que la construcción del inventario de activos según ISO 27001 sea liderada por la persona que dirige la implementación de la norma en la organización. También debe ir de la mano del director de seguridad de la información en aquellas organizaciones en las que por su tamaño y complejidad existe tal cargo.
La forma adecuada de gestionar el inventario de activos según ISO 27001, es solo uno de los conocimientos que aprenderán los alumnos del Diplomado Implementador de Sistemas de Gestión de Seguridad de la Información con la ISO/IEC 27001:2013.
Al cursar y aprobar este programa de formación de alta calidad, los estudiantes tendrán a su disposición todas las herramientas, habilidades y competencias, para implementar, pero también para auditar un SGSI, basado en la norma ISO 27001. No se quede fuera de este diplomado, inscríbase aquí.
Este año trae novedades, lanzamientos, cursos gratuitos y una abundante oferta de cursos sobre normas ISO en 2019. Esto es lo que nuestros suscriptores, alumnos y seguidores encontrarán en nuestro portal en este nuevo y prometedor año.
NEWSLETTER
Suscríbete a la newsletter y recibe semanalmente, además de artículos de interés sobre los sistemas de gestión ISO y habilidades directivas, descuentos especiales en nuestros cursos.
* Todos los campos requeridos
