BLOG

Sistemas de Gestión

Principales cambios en ISO 19011

La nueva edición de la norma ISO 19011, sobre las directrices para la auditoría de sistemas de gestión, ha sido publicada en julio de 2018. Los cambios en ISO 19011, versión 2018, han sido determinados con base en la revisión técnica desarrollada por el comité del proyecto de norma ISO/PC 302.

ISO 19011:2018 ofrece un enfoque uniforme y armonizado que facilita una auditoría eficaz en varios sistemas al mismo tiempo. Si consideramos que son muchas las organizaciones que trabajan con varios sistemas de gestión, este resulta uno de los cambios en ISO 19011 más relevantes.

Beneficios de una certificación ISO: por qué su empresa debería obtenerla

Con la implementación de una norma ISO, la organización demuestra a sus empleados, a sus proveedores, a sus clientes, que piensa en el futuro. Pone en evidencia que sus opiniones le interesan. Este es uno de los beneficios de una certificación ISO, pero no es el único.

Gestión de Incidentes de Trabajo: pasos esenciales a seguir

La Gestión de Incidentes de Trabajo es una de las mayores responsabilidades que llevan a sus espaldas los profesionales en seguridad y salud laboral. Nunca será demasiado el entrenamiento para evitar estos inconvenientes y es preciso conocer los pasos a seguir en el momento en que se presente un incidente de trabajo.

Cómo gestionar el inventario de activos según ISO 27001

Activos según ISO 27001

Quienes tenemos alguna formación en contabilidad, pensamos, en primera instancia, que el inventario de activos según ISO 27001 puede llegar a ser una lista pormenorizada de los ordenadores y dispositivos que la organización dispone para el tratamiento, consulta o registro de la información dentro del sistema de seguridad de la información.

Pero sucede que, en seguridad de la información, el inventario de activos según ISO 27001 es bastante diferente. ¿Qué son los activos para ISO 27001? ¿Por qué son importantes y cómo debemos registrarlos? Este es nuestro tema de hoy.

¿Qué son los activos?

Si iniciamos una búsqueda a través de las diferentes ediciones de la norma sobre gestión de la seguridad de la información, notaremos que en ninguna de ellas se encuentra una definición concreta de lo que significa un activo dentro de un SGSI.

La definición más cercana se encuentra en la revisión de 2005, en donde nos dice que un activo es “cualquier cosa que tenga valor para la organización”. De acuerdo con esto, tendríamos que pensar que un activo, según ISO 27001, es “todo lo que tenga valor para la gestión de la seguridad de la organización”.

Así, podríamos mencionar los siguientes ejemplos de activos para construir un inventario de activos según ISO 27001:

Hardware: en esta categoría agrupamos ordenadores de escritorio, ordenadores portátiles, impresoras, tabletas, servidores, teléfonos móviles, dispositivos extraíbles USB, discos externos…
Software: hace referencia al software contratado por la organización, pero también a las aplicaciones preinstaladas en los equipos de cómputo e incluso a aplicaciones o desarrollos gratuitos.
Información: bases de datos, archivos en cualquier formato, sea de texto, imagen, hoja de cálculo, información almacenada en medios digitales, pero también plasmada en papel u otras formas no digitales.
Infraestructura: todo aquello que, en un momento dado, pueda impedir el acceso a la información, deteriorarla o destruirla. Las instalaciones físicas, el servicio de electricidad, aire acondicionado…
Recursos Humanos: las personas que tienen la capacidad y los permisos necesarios para modificar la información, pero también aquellos que almacenan información vital para la organización en sus cerebros.
Servicios subcontratados: legales, de limpieza, proveedores de Internet, de cuentas de correo electrónico, de mantenimiento y actualización…

¿Por qué es importante gestionar el inventario de activos según ISO 27001?

Nos damos cuenta de que existe una diferencia grande entre el concepto contable de activo y el concepto que maneja ISO 27001. Pero, ¿cuál es la importancia de los activos y por qué es necesario registrarlos y gestionarlos?

La primera razón es que cuando pensamos en la forma de preservar la seguridad de esos activos como una forma de asegurar la integridad de la información, nos damos cuenta de que es la mejor forma de iniciar una evaluación de riesgos. Y aunque ISO 27001 no la solicita como requisito, en la práctica resulta indispensable.

Los inventarios de activos son un elemento clave para la identificación del riesgo. Solo así podremos establecer las amenazas y vulnerabilidades reales a las que está expuesto el sistema.

Otra razón de gran importancia, es que, gracias al registro del inventario de activos según ISO 27001, podemos identificar quién es el responsable del activo y asignar responsabilidades. De esta forma, logramos proteger la confidencialidad, la integridad y la disponibilidad de la información.

¿Cómo construir el #InventarioActivos según #ISO27001. Hoy explicamos cómo hacerlo y la importancia que tiene para el SGSI. Compartir en X

¿Cómo construir el inventario de activos según ISO 27001?

La mejor forma de hacerlo es recorriendo las instalaciones de la organización y entrevistando a los directores de cada área o departamento. En este proceso, la lista que hemos mencionado en el primer apartado de este texto puede convertirse en una checklist de gran ayuda. Los informes contables y de recursos humanos pueden igualmente ser de gran utilidad en esta primera etapa.

Es importante que la construcción del inventario de activos según ISO 27001 sea liderada por la persona que dirige la implementación de la norma en la organización. También debe ir de la mano del director de seguridad de la información en aquellas organizaciones en las que por su tamaño y complejidad existe tal cargo.

Diplomado Implementador de Sistemas de Gestión de Seguridad de la Información con la ISO/IEC 27001:2013

La forma adecuada de gestionar el inventario de activos según ISO 27001, es solo uno de los conocimientos que aprenderán los alumnos del Diplomado Implementador de Sistemas de Gestión de Seguridad de la Información con la ISO/IEC 27001:2013.

Al cursar y aprobar este programa de formación de alta calidad, los estudiantes tendrán a su disposición todas las herramientas, habilidades y competencias, para implementar, pero también para auditar un SGSI, basado en la norma ISO 27001. No se quede fuera de este diplomado, inscríbase aquí.

Cursos sobre normas ISO en 2019 de Escuela Europea de Excelencia

Este año trae novedades, lanzamientos, cursos gratuitos y una abundante oferta de cursos sobre normas ISO en 2019. Esto es lo que nuestros suscriptores, alumnos y seguidores encontrarán en nuestro portal en este nuevo y prometedor año.

Curso integración de sistemas de gestión – QHSE

La proliferación de normas ISO y sus correspondientes sistemas de gestión obliga a las organizaciones a pensar en la integración. Las normas ISO 9001, ISO 45001 e ISO 14001 son construidas para ser integradas y su estructura de Alto Nivel lo facilita. Sin embargo, la ausencia de un Curso Integración de Sistemas de Gestión como apoyo a los profesionales en calidad, salud y seguridad en el trabajo y gestión ambiental, hace difícil lograr el objetivo.

Pero, ¿es obligatorio integrar los sistemas de gestión? Si el propósito es obtener lo mejor de los tres sistemas, con menores costes y mayor eficacia, la respuesta es sí. Pero para que ello sea posible, es necesario que los profesionales encargados de cada una de las tres áreas sigan un Curso Integración de Sistemas de Gestión.

Cursos Sistemas de Gestion de Calidad ISO 9001

Calidad es la satisfacción del cliente. Incluso si se utiliza la mejor metodología y las mejores técnicas para desarrollar un producto o servicio, esto no garantiza que se alcancen los objetivos de calidad. Los Cursos Sistemas de Gestión de Calidad ISO 9001 pueden satisfacer las necesidades de capacitación del equipo que trabaja en el Sistema de Gestión de Calidad.

Existen Cursos Sistemas de Gestión de Calidad diseñados para subsanar deficiencias de conocimiento o competencias a nivel de gerencia del proyecto, de auditores, con respecto al enfoque basado en riesgos o sobre las tareas necesarias para implementar el SGC y obtener la certificación ISO 9001.

5 consejos para aprovechar al máximo una auditoría externa de certificación

Tras mucho trabajo, mucho aprendizaje y una alta dosis de nerviosismo, llega el momento de asegurar que el Sistema de Gestión de la Calidad implementado funciona y se puede certificar. Es hora de enfrentar la auditoría externa de certificación. Pero esta etapa culminante del proceso, aunque genera ansiedad y puede parecer un poco desalentadora, puede ser aprovechada por la organización y obtener beneficios de ella.

Durante una auditoría externa de certificación, el auditor verificará que la organización y sus documentos cumplen con los requisitos de ISO 9001, ISO 14001, ISO 45001, etc. Por lo general, uno o más auditores visitarán la organización para revisar el cumplimiento, aunque algunos lo pueden hacer de forma remota.

Publicada la nueva norma ISO 19011:2018 – Directrices para la auditoría de sistemas de gestión

Se acaba de publicar la norma ISO 19011:2018 – Directrices para los Sistemas de Gestión de Auditoría —, referencia para todos los procesos de auditoría interna y externa de los distintos sistemas de gestión basados en estándares de ISO, como ISO 9001, ISO 14001, ISO 27001, ISO 45001…

El propósito de la norma ISO 19011:2018 es actualizar el estándar para asegurar que siga orientando de manera efectiva los cambios del mercado, la dirección de evolución de la tecnología, y que mantenga un enfoque coherente y armonizado para auditar sistemas de gestión de procesos.

BLOG

Sistemas de Gestión

Activos según ISO 27001

¿Qué son los activos?

¿Por qué es importante gestionar el inventario de activos según ISO 27001?

¿Cómo construir el inventario de activos según ISO 27001?

Diplomado Implementador de Sistemas de Gestión de Seguridad de la Información con la ISO/IEC 27001:2013

Categorías