Entrevista: Medidas de gestión de cuerpos extraños en auditorías de certificación

Los cuerpos extraños en los alimentos no sólo suponen un peligro para la salud de los consumidores. También pueden tener consecuencias de gran alcance para los productores de alimentos y causar daños duraderos a una marca. Hablamos con Oliver Eck sobre las medidas de gestión de cuerpos extraños durante las auditorías de certificación.

¿Cuáles son los factores más importantes en el manejo de cuerpos extraños?

Básicamente, el objetivo más importante es evitar que entren cuerpos extraños en el producto. Hay varias razones por las que esto puede suceder en última instancia. Pueden penetrar cuerpos extraños en el producto a través de la materia prima o pueden surgir riesgos de contaminación durante el proceso de producción o debido a defectos en las instalaciones o en el medio ambiente. Por lo tanto, es importante una buena gestión de las materias primas, incluidas las inspecciones de mercancías entrantes, así como buenas prácticas de fabricación para reducir la contaminación por cuerpos extraños de antemano. Esto es básicamente en lo que se centran los propietarios del estándar.

«Muchas empresas piensan que necesitan un detector de metales porque, de lo contrario, no obtendrán un certificado. Eso no es correcto».

Si se produce contaminación, naturalmente surge la pregunta de cómo eliminar el cuerpo extraño del producto y cuál es el mejor método.

¿Es un detector de metales la elección correcta, una máquina de rayos X, un tamiz, un imán o quizás una mezcla de todos ellos? 

Es muy importante definir esto para su empresa. Por supuesto, también depende en gran medida de los peligros potenciales presentes. Muchas empresas piensan que necesitan un detector de metales porque, de lo contrario, no obtendrán el certificado. Esto no es correcto. La idea de que «si tengo un dispositivo en el que he invertido mucho dinero, entonces también debe ser un PCC» también es incorrecta. También en este caso siempre depende del análisis de riesgos.

Por ejemplo, si existe el riesgo de que una pieza de metal entre en mi producto, entonces tengo que instalar algo que ayude a detectar esta pieza de metal y expulsarla del proceso.

Por supuesto, también existe un riesgo para la salud del consumidor si un trozo de metal entra en contacto con el producto final. Por lo tanto, tengo que evaluar qué tan probable es que se produzca la contaminación respectiva y qué tan grande sería el impacto para el consumidor. Esto convierte el peligro en un posible riesgo. Si no corriera ese riesgo, por supuesto no necesitaría un detector de metales, por ejemplo. Por lo tanto, depende de cómo esté estructurado el análisis de peligros de la empresa y de qué riesgos extraigo del análisis de peligros. La forma de afrontar los riesgos varía de una empresa a otra.

Las directrices IFS sobre el tratamiento de cuerpos extraños enumeran muchas medidas. ¿Qué papel juegan estas medidas en las auditorías de certificación?

Las medidas para prevenir la contaminación por cuerpos extraños son extremadamente importantes en una auditoría. La contaminación por cuerpos extraños es una de las quejas más frecuentes expresadas por los consumidores. Los cuerpos extraños en un producto pueden provocar potencialmente efectos adversos para la salud. Por este motivo, este también es, naturalmente, el foco de atención de la auditoría.

Cada empresa tiene su propio sistema HACCP y, por tanto, también su propio plan HACCP y lo implementa. Básicamente, el auditor comprueba en primer lugar lo que la empresa ha desarrollado para sí misma, cuáles son sus propias directrices internas y cómo se aplican.

Por supuesto, el auditor también tiene en cuenta los procesos estándar de la industria. En función de la tecnología utilizada, se determina en qué medida las medidas son realmente adecuadas para producir productos seguros, legales y cualitativamente conformes que cumplan con los requisitos.

Echemos un vistazo al futuro. ¿Dónde se desarrollarán los requisitos estándar o las prácticas de auditoría?

En el futuro, probablemente se prestará aún más atención a la seguridad de los sistemas y a la documentación, por ejemplo, de detectores de metales. Supongo que los datos se visualizarán al 100 por ciento de forma remota y simultánea, por ejemplo, como base para la verificación. También se podrían registrar datos detallados durante los trabajos de mantenimiento en el futuro y proporcionarlos de una manera más fácil de usar. Los datos recopilados podrían utilizarse como base para la validación u optimización de los procesos.

También me parece interesante la idea de que una viruta de metal detectada en el producto pueda analizarse automáticamente en función del tipo de metal y luego compararse con un molde existente. Esto permite a la empresa determinar rápidamente la fuente de la contaminación y tomar medidas preventivas, medidas de formación o similares. Sospecho que estamos sólo en el comienzo de las posibilidades aquí.

Oliver Eck es Director de Alimentación y Agricultura para Europa Occidental en TÜV NORD y Director General de TÜV Austria. Además, se desempeña como auditor principal en diversas normas de seguridad alimentaria, como APPCC, FSSC 22000 e IFS Food. Con una sólida trayectoria en la industria cárnica, Oliver aporta una vasta experiencia al sector de la seguridad alimentaria.

Consideraciones sobre Cambio Climático en Normas y Estándares: Un Enfoque Proactivo para las Organizaciones Certificadas

La IAF y la ISO han publicado un comunicado conjunto, resaltando los cambios que se están implementando en una serie de estándares de sistemas de gestión, en respuesta a la Declaración de Londres sobre Acción Climática y al documento del Comité Técnico de la IAF presentado en Montreal 2023

El objetivo de este comunicado es aclarar las expectativas para las Organizaciones Certificadas de sistemas de gestión, los Organismos de Certificación y los Organismos de Acreditación. Se señala que, como se establece en el comunicado conjunto: 

«La intención general de los requisitos de las cláusulas 4.1 y 4.2 permanece sin cambios; estas cláusulas ya incluyen la necesidad de que la organización considere todos los problemas internos y externos que pueden impactar la efectividad de su sistema de gestión; estas nuevas inclusiones están asegurando que el Cambio Climático sea considerado dentro del sistema de gestión y que es un factor externo lo suficientemente importante para nuestra comunidad para exigir a las organizaciones que lo consideren ahora».

En un esfuerzo por fortalecer la resiliencia empresarial y abordar los desafíos ambientales, las normas y estándares de gestión están evolucionando para reflejar la creciente importancia del cambio climático. En este sentido, la revisión de cláusulas clave como 4.1 y 4.2, que se centran en comprender la organización y su contexto, así como las necesidades y expectativas de las partes interesadas, ahora incluye explícitamente la consideración del cambio climático como un tema relevante.

La cláusula 4.1 exige que las organizaciones determinen las cuestiones externas e internas que afectan su capacidad para lograr los resultados previstos de su sistema de gestión. En este contexto, se ha agregado la necesidad de que la organización evalúe si el cambio climático es una de esas cuestiones relevantes. Esta inclusión reconoce la importancia de considerar los impactos del cambio climático en la efectividad de los sistemas de gestión.

Por otro lado, la cláusula 4.2 se centra en comprender las necesidades y expectativas de las partes interesadas, así como en abordar los requisitos pertinentes de estas partes interesadas a través del sistema de gestión. La nota agregada destaca que las partes interesadas relevantes pueden tener requisitos relacionados con el cambio climático, lo que subraya la importancia de integrar consideraciones climáticas en la toma de decisiones organizacionales.

Es crucial comprender que la intención de estos cambios es garantizar que las cuestiones relacionadas con el cambio climático no se pasen por alto en la gestión de la organización. Si bien es cierto que el cambio climático puede afectar de manera diferente a cada componente del sistema de gestión, desde la calidad hasta la seguridad y salud, su consideración es esencial en todos los ámbitos.

Es importante destacar que la IAF y la ISO enfatizan que, si bien la integración de consideraciones climáticas es crucial, las normas siempre han incluido la necesidad de que todas las cuestiones que afectan a los sistemas de gestión sean consideradas por la organización. Por lo tanto, muchas organizaciones que ya implementan sistemas de gestión estarán familiarizadas con la consideración del cambio climático.

En conclusión, la integración de perspectivas de cambio climático en las normas y estándares refleja un enfoque proactivo para abordar los desafíos ambientales y fortalecer la resiliencia empresarial. Al considerar activamente el cambio climático en sus sistemas de gestión, las organizaciones certificadas pueden no solo cumplir con los requisitos de certificación, sino también contribuir a un futuro más sostenible y resistente.

Fuente: https://iaf.nu/en/home/

 

Empresas Tecnológicas y Certificaciones ISO: Elevando Estándares en la Era Digital

En el vertiginoso mundo de la tecnología, donde la innovación y la seguridad son imperativos, las empresas tecnológicas están reconociendo la importancia de las certificaciones ISO para consolidar su posición y elevar sus estándares en la era digital.

Este artículo explora cómo las certificaciones ISO se han convertido en faros de calidad y seguridad para las empresas tecnológicas, marcando el camino hacia el éxito en un entorno cada vez más competitivo.

 

Certificaciones ISO en Empresas Tecnológicas

  1. ISO 9001: Gestión de Calidad:

La certificación ISO 9001 fortalece la gestión de calidad en empresas, incluso de aquellas tecnológicas, desde el desarrollo de software hasta la fabricación de hardware a través de procesos estandarizados que mejoren la satisfacción del cliente, la optimización de recursos para ser una operación más eficiente y sobre todo la SEGURIDAD de la información.

  1. ISO 27001: Seguridad de la Información:

La certificación ISO 27001 se ha vuelto esencial para garantizar la seguridad de la información en empresas tecnológicas sobre todo en materia de protección de Datos Sensibles

Estudios de casos demuestran cómo la implementación de prácticas certificadas bajo ISO 27001 ha fortalecido la ciberseguridad.

  1. Otras normas aplicables

ISO 45001: Gestión de Seguridad y Salud en el Trabajo así como ISO 14001: Sistemas de Gestión Ambiental o ISO 50001: Sistemas de gestión Energética son algunas de las normas que pueden ser implementadas por este tipo de organizaciones para mostrar su compromiso con el medio ambiente a través de prácticas sustentables ya que es una industria que tiene un gran impacto para el medio ambiente.

Ventajas Competitivas de la certificación para este tipo de empresas

  1. Diferenciación en el Mercado:En un mercado con tanta oferta de este tipo de productos y servicios, la certificación puede marcar un notable diferencial demostrando su compromiso con la calidad y la seguridad.
  2. Cumplimiento Regulatorio: La certificación garantiza que hay procesos establecidos y enfocado en el cumplimiento de procedimientos internos, pero también de requisitos regulatorios, brindando una ventaja adicional.

3.Confianza: Las empresas certificadas tienen mayor argumentos para demostrar que tienen procesos robustos que generan confianza en posibles y actuales socios comerciales.

Desafíos y Estrategias de Implementación

  1. Cambios permanentes: La velocidad de los cambios tecnológicos puede presentar desafíos únicos para la implementación de certificaciones ISO. A la vez, tener un Sistema de Gestión bien implementado y con una cultura de Calidad bien incorporada puede ser una gran herramienta para abordar los cambios de manera ordenada.
  2. Resistencia Interna: Explorar la resistencia interna y cómo superarla para lograr una adopción exitosa construyendo una cultura de mejora continua.

3.Trabajo remoto: Muchas de estas organizaciones, sobre todo aquellas que trabajan en Software tienen colaboradores trabajando de manera remota, por lo cuál deben apelar a la integridad y confianza de que cada uno cumplirá con los procedimientos y políticas establecidas. Pero esto es un trabajo que comienza en el liderazgo con capacitaciones y comunicaciones asertivas así como el cumplimiento de lo que lo exigido a la organización para con sus empleados.

Conclusiones:

Para las empresas tecnológicas, las certificaciones ISO no son simplemente sellos de aprobación; son herramientas esenciales para la calidad y la seguridad. Al adoptar estándares reconocidos internacionalmente, estas empresas no solo fortalecen su posición en el mercado, sino que también construyen una base sólida para la innovación sostenible y la confianza del cliente en la era digital.

En un mundo donde la excelencia es la norma, las certificaciones ISO se han convertido en aliadas indispensables para las empresas tecnológicas que buscan alcanzar nuevas alturas y liderar la transformación digital.

 

 

IATF 16949 – Valor agregado

 

Los requerimientos en el estándar IATF16949 son específicos y aplicables a las compañías que proveen productos automotrices.

Estos requerimientos fueron desarrollados por algunas de las compañías más grandes y de mayor influencia en la industria automotriz. Es por eso que el estándar IATF16949, tiene integrado los lineamientos de estas compañías referentes en el rubro incluyendo conceptos y métodos de vanguardia en la industria, lo cuáles se traducen en valor agregado para los procesos del Sistema de Gestión de Calidad IATF16949 de sus proveedores.

Los proveedores de productos automotrices, al implementar el Sistema de Gestión de Calidad IATF16949, a parte de cumplir con el requerimiento de sus clientes, están implementando métodos de valor agregado que son vanguardia en la industria, y esto contribuye a que sus procesos sean efectivos y eficientes y por lo tanto les ayuda a mantenerse competitivos en el mercado automotriz.

Te contamos cuáles son los requisitos mas significativos que propone esta norma :

  • Requerimientos específicos del cliente
  • Análisis de Riesgos
  • Competencia del personal
  • Diseño y Desarrollo de producto
  • Evaluación de la Factibilidad de Manufactura de los productos
  • Diseño y desarrollo del proceso de manufactura
  • Planeación de Equipo, Planta
  • Aprobación del producto
  • Control de Producción
  • Mantenimiento productivo total
  • Gestión de proveedores
  • Monitoreo, Medición, Análisis y Evaluación de los procesos
  • Acción Preventiva
  • Acción correctiva
  • Mejoramiento Continuo
  • Plan de contingencia

La verificación de la implementación efectiva del estándar IATF16949 es el propósito de las auditorías de certificación IATF 16949 realizadas por organismos de certificación (CB) aprobados por IATF.

TÜV Nord Mexico es uno de los organismos de certificación que realiza auditorias de certificación IATF16949, para más información de cómo obtener la certificación IATF16949 dar clic en el siguiente link:

https://www.tuv-nord.com/mx/es/home/

 

Ing. Rosa Romero

IATF16949 Lead Auditor

Beneficios de obtener la certificación IATF16949

La satisfacción del cliente es uno de los requisitos por los OEM automotrices tales como : BMW Group, Ford Motor Company, Geely Group, General Motors, IVECO Group, Jaguar Land Rover, Mercez Benz Group , Renault Group, Stellantis, Volkswagen.

Para lograr la satisfacción del cliente es requerido al menos  alcanzar dos objetivos principales requeridos por los clientes  , calidad del producto y la entrega a tiempo, el cumplimiento de estos objetivos es  muy importantes para los OEM automotrices para  mantenerse competitivos, en el mercado global automotriz.

Los proveedores de productos  automotrices ,  deben diseñar e implementar un Sistema de Gestión de la Calidad  que cumpla   los requerimientos del estándar IATF16949 , el cual debe ser  efectivo para cumplir los objetivos de calidad y entrega de sus clientes .

Algunos de los beneficios de obtener la certificación del estándar IATF16949 son:

+ Procesos de planeación de calidad del producto efectivos  que consideren y aseguren el  cumplimiento de los requerimientos del cliente y con esto asegurar que el producto cumple los requerimientos de calidad del cliente mediante la prevención de problemas de calidad y la mejora continua.

+ Procesos de planeación de producción  mas efectivos para asegurar el cumplimiento de la entrega del producto, de acuerdo a los requerimientos de entrega del cliente.

+ Indicadores de desempeño   de eficiencia y efectividad , alineados con los objetivos del cliente y  alineados a los objetivos de la organización ,  contribuyen al cumplimiento de la satisfacción del cliente , y contribuyen al logro de los objetivos de las empresas y de esta forma se mantienen  a un nivel competitivo en el mercado.

+ Procesos, establecidos los cuales  aseguran una estandarización de los procesos del sistema de gestión de calidad y por lo tanto esto ayuda a la consistencia en la ejecución de los procesos para asegurar la calidad del producto y la entrega de acuerdo a los requerimientos de los clientes .

+Una empresa al obtener la certificación de su sistema de gestión de calidad IATF16949 esta lista para cotizar nuevos negocios  con nuevos clientes , esto apoya al plan de crecimiento de la empresa y por lo tanto a un futuro exitoso.

Para mayor información de como obtener la certificación IATF16949  dar click en el siguiente link:

https://www.tuv-nord.com/mx/es/home/

 

Ing. Rosa Romero

IATF16949 Lead Auditor

La calidad es cuestión de “ACTITUD” y “BUENA COMUNICACIÓN”

A estas alturas, el lector ha escuchado o ha leído definiciones acerca de la calidad. Se ha dado cuenta que todas las definiciones nos llevan a pensar que como decía Crosby, que de hecho en lo particular es la mas adecuada, “Calidad es cumplir con los requisitos”, sinembargo detrás de todas las definiciones que se tienen de la palabra calidad, se encuentra que es muy importante que para poder cumplir con los requerimientos se tenga una “actitud” positiva ante las actividades propias del proceso y las actividades propias que desempeña cada elemento dentro de una compañía, así como una “actitud” positiva ante las circunstancias que se presentan al interior de la organización, sumando además ésta actitud, el contar con una buena comunicación a todos los niveles dentro de una organización.

Muchas ocasiones en el ámbito manufacturero y productivo, se dan casos en los cuales es necesario hacer ajustes a los procesos y documentar tales cambios para que el personal sea entrenado y la información se comprenda y entienda por aquellos que llevan a cabo las actividades en la línea de producción, sin embargo, los únicos que saben de los cambios son los jefes, gerentes y uno que otro responsable de la línea, lo cual propicia una mala comunicación de estos cambios y como es que deben ser realizados.

Lo anterior resulta debido a que cuando se necesita hacer cambios o ajustes al proceso productivo, aquellos que los generan o reciben las indicaciones por parte de los clientes cuentan con toda la información correspondiente y ésta información para mi gusto “importante” no llega a todos los involucrados, ya que se queda en su gran mayoría con los ingenieros. Éste punto, se da actualmente en muchas organizaciones y se debe principalmente a que el jefe o gerente de área quiere ser el protagonista principal del cambio, es decir, se queda con la información, da cierta información al personal y otra información no se da, lo cual durante el desarrollo generalmente impide hacer un buen desempeño del trabajo.

En ocasiones las pruebas o cambios salen bien, si es así el bueno es el jefe, porque orientó la tarea de manera adecuada, pero si las cosas salen mal, el responsable es el ingeniero de la línea o el supervisor, pero la realidad al respecto es que el verdadero responsable es aquel que no proporcionó toda la información al respecto. Otro problema es que los cambios y pruebas solo son realizados por una sola persona sin involucrar a las personas involucradas, ¿por qué? Simplemente porque la persona que promueve el cambio quiere tener la estafeta todo el tiempo y no pasarla a nadie hasta que todo esté consumado, lo cual obviamente le va a proporcionar poder, ¿qué clase de poder?, el poder del conocimiento y de sentirse necesario para la manufactura del producto. En éstos casos ¿Cuál es el problema real?, el problema real que persiste aun en muchas compañías en pleno siglo XXI es precisamente la falta de comunicación y actitudes de ciertas personas dentro de la organización que impiden el compartir toda clase de información que permita que los procesos se desarrollen de manera ordenada y sin contratiempos.

Muchas personas que están a cargo de llevar determinadas tareas, creen que el saber mucho les da un lugar importante dentro de la empresa y el hecho de sentirse con ese poder les da la oportunidad de sentirse importantes, éste es un punto crucial que ha impedido que muchas empresas logren sus objetivos primordiales de calidad. La “actitud” de compartir la información y la “actitud” de integrarse a un equipo multidisciplinario para hacer los cambios y ajustes al proceso son importantes para la obtención de buenos resultados al interior de la planta productiva. Esto denota una falta de comunicación a todos los niveles que finalmente se paga en errores en el proceso y productos mal fabricados con un alto índice de desperdicio.

En otras ocasiones cuando se hace la introducción de nuevos productos a las líneas de producción, existen personas que se denominan líderes de proyectos que son los responsables de que determinados proyectos ingresen a producción, sin embargo el término “líder de proyecto” da cierto estatus, lo cual los hace ver importantes en el contexto organizacional, esto propicia que el líder solo reparta el trabajo y dependa de los demás para que las cosas se lleven a cabo, y digo dependa de los demás porque el líder solo se concreta a recibir la información proveniente de los clientes, la comparta y no la revise, se concreta a esperar que los demás lo hagan, pero ¿será posible que personas de otras áreas conozcan mejor el producto que el que lo ha visto y ha visitado al cliente?, ¡¡¡ por supuesto que no !!!, la responsabilidad directa del líder del proyecto es precisamente asegurar que toda la información que se reciba, se revise precisamente por el antes de ingresar al área de control de documentos,

depurarla y capacitar a los ingenieros de calidad, de producto y de proceso, para que la información sea entendible y pueda aterrizarse los conceptos en el proceso, si no se lleva a cabo la revisión, esto repercute en que si la información que el cliente ha proporcionado está mal y algunos planos no concuerdan con las partes a manufacturar, se inicie una producción que después tendrá problemas por no haber realizado una depuración de la información y ¿qué sucede en estos casos?, el líder solo se concreta a decir, yo les di la información y no la revisaron, así de simple y sencillo, el líder se lava las manos y deja toda la responsabilidad de los errores cometidos en el personal que puso todos los esfuerzos en hacer un trabajo que fue mal interpretado debido a una “actitud” negativa de parte del líder del proyecto.

En empresas que tienen contacto con el exterior, me refiero a exterior cuando se tiene clientes en Europa o Estados Unidos que mucha de la información que el cliente proporciona se encuentra en otro idioma, bien puede ser éste idioma el Inglés y cuando se tiene información de clientes Europeos llega incluso información en Alemán o Francés, cuando es este el caso, el receptor de la información solo se concreta a integrar la información al Sistema de calidad interno de la compañía y proporciona copias al personal que el considera necesario, sin embargo hay ocasiones que éste información llega al operario de producción quien en la gran mayoría de los casos no habla mas que Español, y por lo tanto pues no se ejecuta nada debido a la barrera del idioma, incluso se da el caso de que tengamos ingenieros que no entiendan el idioma Inglés tan siquiera.

Lo anterior nos trae problemas de un buen entendimiento y ejecución de los cambios para el área de manufactura.

Es recomendable que en éstos tiempos, todos aquellos que trabajamos para una organización, demos lo mejor de nosotros para la misma, cambiemos nuestras “actitudes” y tengamos un espíritu de servicio hacia los demás, he escuchado muchas veces en el radio un mensaje que dice “El que no vive para servir no sirve para vivir”, realmente es cierto, debemos aprender a tener actitudes positivas hacia los demás y tener en mente que cuando vamos a una empresa, nuestra obligación es trabajar y sacar adelante los problemas que se presentan, no el ser protagonistas de una historia de problemas que se dan todos los días, al final de cuentas, entre mas problemas se resuelvan con actitudes positivas y en trabajo de equipo con una buena comunicación, nuestra empresa crecerá y por ende nosotros también, por lo tanto seremos cada vez mas productivos y competitivos dentro del ámbito laboral.

Derechos Reservados ©

Autor: PhD Elías Antonio Pérez Ríos

Director y Fundador de SECMA
(Soluciones Estratégicas para Calidad y Medio Ambiente),
LSSBB y auditor Líder certificado.
Experto en Técnicas de Control estadístico y metodología DMAIC

Auditorias en mi Sistema de Gestión

Una pregunta que no debemos perder de vista siempre es si «Realmente mi empresa está siendo efectiva en el Sistema de Gestión» a mi cargo, cualquiera que éste sea, Integrado o individual en Calidad, Medio ambiente y/o SST, IATF etc….

Una vez que pasa la visita del Organismo certificador, al revisar más tranquilo la película de la auditoria, puedo ver a todos preocupados por el sistema, mostrando mucho compromiso, atentos a lo que el auditor pregunta y siendo efectivos en todas las actividades, incluso lo que les preguntaban y no tenían lo fabricaron en ese momento… un reporte, una firma, etc., realmente quedo satisfecho de ver que el personal plenamente mostró participación en la acción, me siento contento; sin embargo hoy….. hoy…. tres semanas después de que ha pasado el ejercicio de auditoría, ningún actor de la película que días antes fue la mejor, hoy tiene tiempo de atenderme, difícilmente se dan tiempo de contestar los hallazgos,

¡Cómo han cambiado las cosas en apenas tres semanas!

Si los resultados son malos en la auditoría es mi responsabilidad, pero si son buenos, felicidades a todo el equipo, ¿Qué cosas no creen?

Recuerdo que hace un año paso lo mismo, cuando les notifique que la auditoria de nuestro organismo certificador seria en dos meses, surgió cara de preocupación por la dirección y me preguntó en aquel momento (y cada año es igual), ¿y como vamos?, gira su cabeza y les dice a los gerentes, hay que trabajar para que en la auditoria no nos encuentren nada, es importante mantener el certificado si no nuestro cliente nos cancela las compras, así que a trabajar, y bueno lo demás ya todo mundo sabe que sucede…. se empieza a llenar formatos que no se usaron en todo el año, se empieza a hacer evidencias de acciones que no se cerraron en tiempo y yo, pues… ajustando fechas y documentos para que todo cuadre… ¡ que momentos tan estresantes desde entonces !, qué difícil, ¿se les hace familiar?

Recuerdo lo acontecido durante el ciclo y puedo ver tranquilamente a todos los actores de la trama de nuestra película desde el mas alto nivel hasta la base de la pirámide con indiferencia, falta de compromiso, no trabajo en equipo, presión por vender, por producir, y el sistema siempre se deja a un lado… en verdad carecemos de una cultura de trabajo.

Cada año audito una gran cantidad de empresas, y veo sistemas hechos solo para cumplir, no sistemas que se diseñen para facilitar y mejorar los procesos, por eso siempre es importante que cuando vayamos a implementar un Sistema de Gestión debemos incluir como un ingrediente principal en el proceso, los factores y elementos que ayuden a crear una cultura que soporte los requerimientos del estándar a fin de que después de lograr el objetivo, el mantenimiento sea fácil y sencillo para todos, después seguirá el diseño de procesos y los procedimientos al final.

 

Derechos Reservados ©

Autor: PhD Elías Antonio Pérez Ríos

Director y Fundador de SECMA
(Soluciones Estratégicas para Calidad y Medio Ambiente),
LSSBB y auditor Líder certificado.
Experto en Técnicas de Control estadístico y metodología DMAIC

Cómo el estándar ISO27001 mejora la postura de seguridad de la información

Brindando mayor confianza, fortaleciendo el ambiente de controles y reduciendo los costos es cómo el estándar ISO27001 mejora la postura de seguridad de la información de la organización.

ISO 27001 es una norma internacional que permite el aseguramiento, la confidencialidad e integridad de los datos y de la información, así como de los sistemas que la procesan. La misma adopta un enfoque basado en el riesgo para la seguridad de la información basado em mejores prácticas. Esto requiere que las organizaciones identifiquen los riesgos de seguridad de la información y seleccionen los controles adecuados para abordarlos. Su adherencia indica que se han tomado las medidas adecuadas para mitigar los riesgos de seguridad de la información. El sello de certificación es una forma de evidenciar una organización más competitiva y confiable.

Este estándar está diseñado para funcionar como un marco para el Sistema de Gestión de Seguridad de la Información (SGSI o ISMS en sus siglas en inglés) de una organización. Esto incluye todas las políticas y procesos relevantes que tratan la forma en que se controlan y utilizan los datos. ISO 27001 no exige herramientas, soluciones tecnológicas o métodos específicos, sino que funciona como una guía de verificación para su cumplimiento.

Beneficios

Son diversos los beneficios de adoptar ISO 27001. Entre los principales podemos mencionar:

  • Protege la información de la organización en todas sus formas: al evaluar los riesgos a los que puede estar expuesta e implementando medidas de mitigación para su tratamiento. De esta forma la información se mantendrá disponible, íntegra y confidencial.
  • Brinda mayor confianza a colaboradores, clientes y el mercado: al evidenciar la visión de Seguridad de la Información aliñada a los objetivos del negocio.
  • Demuestra el compromiso con la seguridad de la información: para alcanzar los resultados es preciso del compromiso de la Alta Dirección de la organización que da el apoyo necesario para promover esta transformación.
  • Proporciona una ventaja competitiva: al cumplir con los requisitos contractuales y demostrar a los clientes que la seguridad de la información es primordial.
  • Establece una cultura de seguridad más sólida: al aliñar Personas, Procesos y Tecnología de forma integrada en la organización. Su adherencia y certificación permiten crear y mantener una mentalidad de “seguridad primero”.
  • Mejora del desempeño y la mejora contínua de la seguridad de la información: mediante evaluaciones periódicas ayuda a adaptarse al cambio y protegerse de las amenazas cibernéticas emergentes.
  • Reduce los costos: al disponer de un sistema de gestión de seguridad de la información sólido, permite enfocarse en proteger lo que más importa sin invertir en capas de protección no relevantes. También, se obtienen ahorros que provienen de una mayor resiliencia a los ataques cibernéticos.

Cómo el estándar ISO27001 mejora la postura de seguridad de la información: Proceso de Implementación

Cada organización es única y dispone de múltiples posibilidades para su proceso de implementación. De esta forma, debe elegir el mejor camino en función de los requisitos y sus objetivos estratégicos. Las organizaciones no están obligadas a implementar los 114 controles de ISO 27001, sino sólo los que son aplicables.

A seguir, detallamos los 14 pasos para su implementación:

  1. Realizar un Análisis de Brechas (Gap Analysis): esto ayuda determinar las áreas de la organización que no cumplen con ISO 27001.
  2. Delimitar el alcance del SGSI: el alcance requiere decidir cuáles activos de la información proteger
  3. Elaborar la Política de Seguridad de la Información: una política debe reflejar la visión de la organización sobre seguridad de la información y ser acordada por la Alta Administración.
  4. Realizar una Evaluación de Riesgos: implica identificar los riesgos que la organización enfrenta, además del impacto y su probabilidad de ocurrencia.
  5. Seleccionar los controles: los controles deben implementarse para tratar o reducir los riesgos identificados en la Evaluación de Riesgos.
  6. Crear una declaración de Aplicabilidad (SoA): es un resumen de los controles que se han aplicado y que requieren referencia a los controles recomendados de ISO 27001.
  7. Establecer un plan de tratamiento de riesgos (RTP): describe los pasos que tomará una organización para hacer frente a los riesgos identificados en la evaluación de riesgos.
  8. Crear la documentación: se necesita documentar cada control y componente planificado del SGSI para asegurarse de que se aplican de forma consistente y que pueden ser mejorados si es necesario.
  9. Implementar un programa de concientización: todos los colaboradores deben recibir capacitación periódica para fortalecer su conocimiento sobre los riesgos de seguridad de la información y el propósito del SGSI.
  10. Realizar pruebas periódicas: para determinar si los controles funcionan como deberían, el ISO 27001 requiere que las organizaciones realicen auditorías internas periódicas y otras pruebas para asegurar su funcionamiento.
  11. Realizar Revisiones de la Gerencia: la Alta Administración debe revisar el desempeño del SGSI al menos anualmente.
  12. Elegir el organismo de certificación: el organismo de certificación que se utilice debe estar adecuadamente acreditado por un organismo de acreditación reconocido en el país que sea miembro del Foro Internacional de Acreditación (IAF).
  13. Obtener la acreditación de certificación: el organismo de certificación elegido revisará la documentación del sistema de gestión, comprobará que se han implementado los controles de forma apropiada y conducirá una auditoría local para verificar los procedimientos en la práctica.
  14. Administrar y revisar el SGSI: una vez que el SGSI ha sido implementado, es preciso mantenerlo y revisarlo de forma contínua.

Algunas consideraciones importantes

Los requisitos de seguridad de ISO 27001 no están simplemente bajo la dirección del departamento de TI de la organización, como muchas personas asumen. Más bien, el estándar aborda cada uno de los tres pilares de la seguridad de la información: Personas, Procesos y Tecnología. Esto significa que se debe crear un equipo de varios departamentos para supervisar el proceso de implementación de ISO 27001. La mayoría de los controles requerirán la experiencia de personas de toda la organización.

Es importante trabajar adecuadamente el aspecto de Comunicación en este proceso. Esto significa asegurarse de comunicarse de manera efectiva dentro de la organización, involucrar a todos en este proceso y contar con el apoyo de la Alta Administración.
También, es preciso disponer de los recursos necesarios para llevar adelante esta iniciativa, darle consistencia y ritmo al proceso de adherencia/certificación. De esta forma se maximizarán las chances de alcanzar los objetivos y obtener los resultados en los plazos previstos.

Cómo el estándar ISO27001 mejora la postura de seguridad de la información: Controles Recomendados

Detallamos a seguir una sinopsis de los controles que se describen en el Anexo A de la Norma. Hay 114 controles en el ISO 27001 Anexo A, divididos en las siguientes 14 categorías:

  • Políticas de seguridad de la información (2 controles)
  • Organización de la seguridad de la información (7 controles)
  • Seguridad de recursos humanos (6 controles)
  • Gestión de activos (10 controles)
  • Control de acceso (14 controles)
  • Criptografía (2 controles)
  • Seguridad física y ambiental (15 controles)
  • Seguridad de operaciones (14 controles)
  • Seguridad de las comunicaciones (7 controles)
  • Adquisición, desarrollo y mantenimiento de sistemas (13 controles)
  • Relaciones con proveedores (5 controles)
  • Gestión de incidentes de seguridad de la información (7 controles)
  • Aspectos de seguridad de la información de la gestión de la continuidad del negocio (4 controles)
  • Conformidad (8 controles)

ISO27002 es un estándar complementario de la serie ISO 27000, que proporciona una descripción detallada de los controles de seguridad de la información. Este estándar proporciona mayores informaciones para implementar efectivamente cada control.

Cómo el Estándar ISO27001 mejora la postura de seguridad de la información: Conectándo los puntos

El estándar ISO27001 ayuda a las organizaciones a identificar los riesgos que enfrentan y los controles que deben implementar para abordarlos. El proceso no es complicado, pero es extenso y requiere de tiempo y dedicación.

Su adherencia y certificación requiere una gestión y un mantenimiento consistente. La organización precisa generar y adoptar buenos hábitos de seguridad, adoptarlo como un estilo de vida.

Mantener los altos estándares y las mejores prácticas suele ser un desafío para las organizaciones, ya que los colaboradores tienden a perder su atención después de que se haya completado una revisión o auditoría. Es responsabilidad de la Alta Administración de asegurar que esto no suceda. Por eso, es importante implementar programas de capacitación y concientización para todas las personas dentro de la organización que tengan acceso a activos físicos o digitales.

La adherencia y certificación no es un destino, sino es un proceso contínuo que debe integrarse dentro de la cultura de la organización. De esta forma, se conseguirá fortalecer la postura de seguridad de la información de la organización. Así podrán sentirse bien y empoderados por la seguridad!

Frase para Guardar en el Bolsillo

“La seguridad de la información es responsabilidad de todos.”

“La seguridad no es algo que pospongas para el futuro, es algo que diseñas para el presente.”

Autor: CiberSergei