Empresas Tecnológicas y Certificaciones ISO: Elevando Estándares en la Era Digital

En el vertiginoso mundo de la tecnología, donde la innovación y la seguridad son imperativos, las empresas tecnológicas están reconociendo la importancia de las certificaciones ISO para consolidar su posición y elevar sus estándares en la era digital.

Este artículo explora cómo las certificaciones ISO se han convertido en faros de calidad y seguridad para las empresas tecnológicas, marcando el camino hacia el éxito en un entorno cada vez más competitivo.

 

Certificaciones ISO en Empresas Tecnológicas

  1. ISO 9001: Gestión de Calidad:

La certificación ISO 9001 fortalece la gestión de calidad en empresas, incluso de aquellas tecnológicas, desde el desarrollo de software hasta la fabricación de hardware a través de procesos estandarizados que mejoren la satisfacción del cliente, la optimización de recursos para ser una operación más eficiente y sobre todo la SEGURIDAD de la información.

  1. ISO 27001: Seguridad de la Información:

La certificación ISO 27001 se ha vuelto esencial para garantizar la seguridad de la información en empresas tecnológicas sobre todo en materia de protección de Datos Sensibles

Estudios de casos demuestran cómo la implementación de prácticas certificadas bajo ISO 27001 ha fortalecido la ciberseguridad.

  1. Otras normas aplicables

ISO 45001: Gestión de Seguridad y Salud en el Trabajo así como ISO 14001: Sistemas de Gestión Ambiental o ISO 50001: Sistemas de gestión Energética son algunas de las normas que pueden ser implementadas por este tipo de organizaciones para mostrar su compromiso con el medio ambiente a través de prácticas sustentables ya que es una industria que tiene un gran impacto para el medio ambiente.

Ventajas Competitivas de la certificación para este tipo de empresas

  1. Diferenciación en el Mercado:En un mercado con tanta oferta de este tipo de productos y servicios, la certificación puede marcar un notable diferencial demostrando su compromiso con la calidad y la seguridad.
  2. Cumplimiento Regulatorio: La certificación garantiza que hay procesos establecidos y enfocado en el cumplimiento de procedimientos internos, pero también de requisitos regulatorios, brindando una ventaja adicional.

3.Confianza: Las empresas certificadas tienen mayor argumentos para demostrar que tienen procesos robustos que generan confianza en posibles y actuales socios comerciales.

Desafíos y Estrategias de Implementación

  1. Cambios permanentes: La velocidad de los cambios tecnológicos puede presentar desafíos únicos para la implementación de certificaciones ISO. A la vez, tener un Sistema de Gestión bien implementado y con una cultura de Calidad bien incorporada puede ser una gran herramienta para abordar los cambios de manera ordenada.
  2. Resistencia Interna: Explorar la resistencia interna y cómo superarla para lograr una adopción exitosa construyendo una cultura de mejora continua.

3.Trabajo remoto: Muchas de estas organizaciones, sobre todo aquellas que trabajan en Software tienen colaboradores trabajando de manera remota, por lo cuál deben apelar a la integridad y confianza de que cada uno cumplirá con los procedimientos y políticas establecidas. Pero esto es un trabajo que comienza en el liderazgo con capacitaciones y comunicaciones asertivas así como el cumplimiento de lo que lo exigido a la organización para con sus empleados.

Conclusiones:

Para las empresas tecnológicas, las certificaciones ISO no son simplemente sellos de aprobación; son herramientas esenciales para la calidad y la seguridad. Al adoptar estándares reconocidos internacionalmente, estas empresas no solo fortalecen su posición en el mercado, sino que también construyen una base sólida para la innovación sostenible y la confianza del cliente en la era digital.

En un mundo donde la excelencia es la norma, las certificaciones ISO se han convertido en aliadas indispensables para las empresas tecnológicas que buscan alcanzar nuevas alturas y liderar la transformación digital.

 

 

Curso: Gestión del Riesgo ISO 31000:2018

La ISO 31000 provee los principios y procesos para gestionar el riesgo en una organización.

Los auditores internos tienen que obtener evidencia suficiente y apropiada para determinar que los objetivos en la gestión de riesgos se hayan cumplido. Así, pueden formarse una opinión sobre la adecuación de dichos procesos.

Nahun Frett, experto internacional en auditoría interna, plantea 11 puntos necesarios de aplicar para determinar el grado de eficiencia y efectividad del sistema de gestión de riesgos bajo la norma ISO 31000, que establece que todo proceso de gestión de riesgo debe:

1) Crear y proteger el valor

Contribuye a la consecución de objetivos así como a la mejora de aspectos tales como la seguridad y salud laboral, cumplimiento legal y normativo, protección ambiental, etc.

2) Estar incorporada en todos los procesos

No debe ser entendida como una actividad aislada sino como parte de las actividades y procesos principales de una organización.

3) Ser parte del proceso para la toma de decisiones:

La gestión del riesgo ayuda a la toma de decisiones evaluando la información sobre las distintas alternativas de acción.

4) Ser usada para tratar con la incertidumbre

La gestión de riesgo trata aquellos aspectos de la toma de decisiones que son inciertos, la naturaleza de esa incertidumbre y como puede tratarse.

5) Ser estructurada, sistemática, y oportuna

Contribuye a la eficiencia y consecuentemente, a la obtención de resultados fiables.

6) Basada en la mejor información disponible

Los inputs del proceso de gestión de riesgos están basados en fuentes de información como la experiencia, la observación, las previsiones y la opinión de expertos.

7) Adaptarse a su entorno:

Hecha a su medida, alineada con el contexto externo e interno de la organización y con su perfil de riesgo.

8) Considerar factores humanos y culturales

Reconoce la capacidad, percepción e intenciones de la gente, tanto externa como interna que pueda facilitar o dificultar la consecución de los objetivos de la organización.

9) Ser transparente, inclusiva, y relevante

La apropiada y oportuna participación de los grupos de interés y, en particular, de los responsables a todos los niveles, deben asegurar que la gestión del riesgo permanece relevante y actualizada.

10) Dinámica, sensible al cambio, e iterativa

La organización debe velar para que la gestión de riesgos detecte y responda a los cambios de la empresa. Conocer como ocurren los acontecimientos externos e internos, cambio del contexto, nuevos riesgos que surgen y otros que desaparecen.

11) Facilitar la mejora continua de la organización:

Las organizaciones deberían desarrollar e implementar estrategias para mejorar continuamente, tanto en la gestión del riesgo como en cualquier otro aspecto de la organización.

En alianza con TÜV NORD Argentina e IMR Asociados, presentamos un nuevo curso para comprender los conceptos básicos de un proceso de administración de riesgos, conocer las etapas y como funciona la Gestión de Riesgos.

Dirigido a profesionales relacionados y colaboradores con la Gestión de Riesgo.

Cómo el estándar ISO27001 mejora la postura de seguridad de la información

Brindando mayor confianza, fortaleciendo el ambiente de controles y reduciendo los costos es cómo el estándar ISO27001 mejora la postura de seguridad de la información de la organización.

ISO 27001 es una norma internacional que permite el aseguramiento, la confidencialidad e integridad de los datos y de la información, así como de los sistemas que la procesan. La misma adopta un enfoque basado en el riesgo para la seguridad de la información basado em mejores prácticas. Esto requiere que las organizaciones identifiquen los riesgos de seguridad de la información y seleccionen los controles adecuados para abordarlos. Su adherencia indica que se han tomado las medidas adecuadas para mitigar los riesgos de seguridad de la información. El sello de certificación es una forma de evidenciar una organización más competitiva y confiable.

Este estándar está diseñado para funcionar como un marco para el Sistema de Gestión de Seguridad de la Información (SGSI o ISMS en sus siglas en inglés) de una organización. Esto incluye todas las políticas y procesos relevantes que tratan la forma en que se controlan y utilizan los datos. ISO 27001 no exige herramientas, soluciones tecnológicas o métodos específicos, sino que funciona como una guía de verificación para su cumplimiento.

Beneficios

Son diversos los beneficios de adoptar ISO 27001. Entre los principales podemos mencionar:

  • Protege la información de la organización en todas sus formas: al evaluar los riesgos a los que puede estar expuesta e implementando medidas de mitigación para su tratamiento. De esta forma la información se mantendrá disponible, íntegra y confidencial.
  • Brinda mayor confianza a colaboradores, clientes y el mercado: al evidenciar la visión de Seguridad de la Información aliñada a los objetivos del negocio.
  • Demuestra el compromiso con la seguridad de la información: para alcanzar los resultados es preciso del compromiso de la Alta Dirección de la organización que da el apoyo necesario para promover esta transformación.
  • Proporciona una ventaja competitiva: al cumplir con los requisitos contractuales y demostrar a los clientes que la seguridad de la información es primordial.
  • Establece una cultura de seguridad más sólida: al aliñar Personas, Procesos y Tecnología de forma integrada en la organización. Su adherencia y certificación permiten crear y mantener una mentalidad de “seguridad primero”.
  • Mejora del desempeño y la mejora contínua de la seguridad de la información: mediante evaluaciones periódicas ayuda a adaptarse al cambio y protegerse de las amenazas cibernéticas emergentes.
  • Reduce los costos: al disponer de un sistema de gestión de seguridad de la información sólido, permite enfocarse en proteger lo que más importa sin invertir en capas de protección no relevantes. También, se obtienen ahorros que provienen de una mayor resiliencia a los ataques cibernéticos.

Cómo el estándar ISO27001 mejora la postura de seguridad de la información: Proceso de Implementación

Cada organización es única y dispone de múltiples posibilidades para su proceso de implementación. De esta forma, debe elegir el mejor camino en función de los requisitos y sus objetivos estratégicos. Las organizaciones no están obligadas a implementar los 114 controles de ISO 27001, sino sólo los que son aplicables.

A seguir, detallamos los 14 pasos para su implementación:

  1. Realizar un Análisis de Brechas (Gap Analysis): esto ayuda determinar las áreas de la organización que no cumplen con ISO 27001.
  2. Delimitar el alcance del SGSI: el alcance requiere decidir cuáles activos de la información proteger
  3. Elaborar la Política de Seguridad de la Información: una política debe reflejar la visión de la organización sobre seguridad de la información y ser acordada por la Alta Administración.
  4. Realizar una Evaluación de Riesgos: implica identificar los riesgos que la organización enfrenta, además del impacto y su probabilidad de ocurrencia.
  5. Seleccionar los controles: los controles deben implementarse para tratar o reducir los riesgos identificados en la Evaluación de Riesgos.
  6. Crear una declaración de Aplicabilidad (SoA): es un resumen de los controles que se han aplicado y que requieren referencia a los controles recomendados de ISO 27001.
  7. Establecer un plan de tratamiento de riesgos (RTP): describe los pasos que tomará una organización para hacer frente a los riesgos identificados en la evaluación de riesgos.
  8. Crear la documentación: se necesita documentar cada control y componente planificado del SGSI para asegurarse de que se aplican de forma consistente y que pueden ser mejorados si es necesario.
  9. Implementar un programa de concientización: todos los colaboradores deben recibir capacitación periódica para fortalecer su conocimiento sobre los riesgos de seguridad de la información y el propósito del SGSI.
  10. Realizar pruebas periódicas: para determinar si los controles funcionan como deberían, el ISO 27001 requiere que las organizaciones realicen auditorías internas periódicas y otras pruebas para asegurar su funcionamiento.
  11. Realizar Revisiones de la Gerencia: la Alta Administración debe revisar el desempeño del SGSI al menos anualmente.
  12. Elegir el organismo de certificación: el organismo de certificación que se utilice debe estar adecuadamente acreditado por un organismo de acreditación reconocido en el país que sea miembro del Foro Internacional de Acreditación (IAF).
  13. Obtener la acreditación de certificación: el organismo de certificación elegido revisará la documentación del sistema de gestión, comprobará que se han implementado los controles de forma apropiada y conducirá una auditoría local para verificar los procedimientos en la práctica.
  14. Administrar y revisar el SGSI: una vez que el SGSI ha sido implementado, es preciso mantenerlo y revisarlo de forma contínua.

Algunas consideraciones importantes

Los requisitos de seguridad de ISO 27001 no están simplemente bajo la dirección del departamento de TI de la organización, como muchas personas asumen. Más bien, el estándar aborda cada uno de los tres pilares de la seguridad de la información: Personas, Procesos y Tecnología. Esto significa que se debe crear un equipo de varios departamentos para supervisar el proceso de implementación de ISO 27001. La mayoría de los controles requerirán la experiencia de personas de toda la organización.

Es importante trabajar adecuadamente el aspecto de Comunicación en este proceso. Esto significa asegurarse de comunicarse de manera efectiva dentro de la organización, involucrar a todos en este proceso y contar con el apoyo de la Alta Administración.
También, es preciso disponer de los recursos necesarios para llevar adelante esta iniciativa, darle consistencia y ritmo al proceso de adherencia/certificación. De esta forma se maximizarán las chances de alcanzar los objetivos y obtener los resultados en los plazos previstos.

Cómo el estándar ISO27001 mejora la postura de seguridad de la información: Controles Recomendados

Detallamos a seguir una sinopsis de los controles que se describen en el Anexo A de la Norma. Hay 114 controles en el ISO 27001 Anexo A, divididos en las siguientes 14 categorías:

  • Políticas de seguridad de la información (2 controles)
  • Organización de la seguridad de la información (7 controles)
  • Seguridad de recursos humanos (6 controles)
  • Gestión de activos (10 controles)
  • Control de acceso (14 controles)
  • Criptografía (2 controles)
  • Seguridad física y ambiental (15 controles)
  • Seguridad de operaciones (14 controles)
  • Seguridad de las comunicaciones (7 controles)
  • Adquisición, desarrollo y mantenimiento de sistemas (13 controles)
  • Relaciones con proveedores (5 controles)
  • Gestión de incidentes de seguridad de la información (7 controles)
  • Aspectos de seguridad de la información de la gestión de la continuidad del negocio (4 controles)
  • Conformidad (8 controles)

ISO27002 es un estándar complementario de la serie ISO 27000, que proporciona una descripción detallada de los controles de seguridad de la información. Este estándar proporciona mayores informaciones para implementar efectivamente cada control.

Cómo el Estándar ISO27001 mejora la postura de seguridad de la información: Conectándo los puntos

El estándar ISO27001 ayuda a las organizaciones a identificar los riesgos que enfrentan y los controles que deben implementar para abordarlos. El proceso no es complicado, pero es extenso y requiere de tiempo y dedicación.

Su adherencia y certificación requiere una gestión y un mantenimiento consistente. La organización precisa generar y adoptar buenos hábitos de seguridad, adoptarlo como un estilo de vida.

Mantener los altos estándares y las mejores prácticas suele ser un desafío para las organizaciones, ya que los colaboradores tienden a perder su atención después de que se haya completado una revisión o auditoría. Es responsabilidad de la Alta Administración de asegurar que esto no suceda. Por eso, es importante implementar programas de capacitación y concientización para todas las personas dentro de la organización que tengan acceso a activos físicos o digitales.

La adherencia y certificación no es un destino, sino es un proceso contínuo que debe integrarse dentro de la cultura de la organización. De esta forma, se conseguirá fortalecer la postura de seguridad de la información de la organización. Así podrán sentirse bien y empoderados por la seguridad!

Frase para Guardar en el Bolsillo

“La seguridad de la información es responsabilidad de todos.”

“La seguridad no es algo que pospongas para el futuro, es algo que diseñas para el presente.”

Autor: CiberSergei

Curso de Fundamentos de los Sistemas de Gestión de Seguridad de la Información ISO 27001:2013

CONTENIDO DEL CURSO

 

Objetivo:

 Alcance, propósito, términos y definiciones clave de la norma ISO/IEC 27001 y cómo puede ser utilizada
 Requisitos de definición del alcance y aplicabilidad
 Uso de controles para mitigar los riesgos de seguridad de la información
 Mediante un correcto entendimiento de los requisitos de la Norma ISO 27001, mejorar la performance para ayudar a una organización a administrar y monitorear los riesgos de manera efectiva en función de las mejores prácticas.

  • Referencias Normativas ISO 27000
  • Conceptos Fundamentales de los SGSI
  • Conceptos de la Norma ISO 27000
  • Anexo A – Objetivos de control y controles de referencia (114 controles)
  • Guía para implementar un SGSI.

INSTRUCTORES DEL CURSO

 

ING. ALEJANDRO INDARTE

Ingeniero en Computación con sólida formación tecnológica y metodológica que incluye Design Thinking, Pensamiento radical y disruptivo, Negocios y tecnología, Gestión de TI y de Seguridad de la Información, Dirección y Organización de Empresas, entre otros.
o Experiencia profesional de más de 20 (veinte) y carrera desarrollada principalmente como miembro de reconocidas firmas de consultoría multinacionales (Arthur Andersen y Ernst & Young) así como miembro y líder de servicios en diversas prácticas, industrias y organizaciones tanto en el país como en el exterior.
o Asesoramiento en gestión y alineación estratégica de las tecnologías, incluyendo Seguridad de la Información y Protección de Datos, así como evaluación y selección, diseño y/o implementación de Soluciones Tecnológicas y Arquitecturas de Seguridad.
o Dirección y Liderazgo de proyectos de Transformación de Modelos Operacionales, Gestión del riesgo, Seguridad, Control y el Cumplimiento, y de Gestión del Cambio Organizacional.
o Instructor y facilitador de diversas temáticas incluyendo mejores prácticas; ejemplo son Gestión de la Seguridad de la Información, Gestión por Procesos (ej. ABPMP CBOK), Gestión de Proyectos (ej. PMBOK, SCRUM, Agile), Gestión de TI (ej. IT4IT, ITIL, Disciplined agile), de Cumplimiento y Control (ej. Sarbanes Oxley, CObIT), entre otras.

SERGIO DANIEL KOGAN

Advanced Business Strategy Program – INSEAD, Account Leadership – KELLOG BUSINESS SCHOOL, Desarrollo de Calidad del Software y Proyectos – UTN, Licenciatura en Informática – UADE.
o Socio de IMR & Asociados a cargo de servicios de seguridad digital con amplia experiencia en clientes de las industrias de Servicios Financieros, Salud, Tecnología, Oil&Gas, Utilities, Retail, Agroindustria.
o Emprendedor y creador de CiberSergei, una plataforma inteligente de e-
learning de ciberseguridad y educación que brinda una nueva experiencia de aprendizaje para organizaciones y profesionales con el objetivo de concientizar y adoptar buenos hábitos de seguridad digital.
o Posee más de 25 años de experiencia en proyectos de mejora de procesos, transformación digital y protección del negocio en diversos países de América: Estados Unidos, Brasil, Argentina, Chile, Paraguay, Ecuador.
o Entre las diversas empresas que asesoró, podemos mencionar: Itaú, Bradesco, Carrefour, Honda, EDP, Electrolux, Hospital Albert Einstein, Grupo Ultra, Banco de Chile, Certisign, Bunge, Banelco, Sabesp, Sodexo, Redecard, Livelo, Copel, Lojas Marisa, Trusight, YPF, Aguas Argentinas, Cablevision, Raizen, Mercado Libre, Profertil.
o Tipos de proyectos que lideró: Seguridad de la Información, Concientización, Gestión de Riesgos Digitales, Continuidad del Negocio, Operaciones, Tecnología, Recursos Humanos, Gestión de Proyectos, Mejora de Procesos, Gestión de Terceros, Auditoría.
o Durante 12 años fue socio de Ernst & Young a cargo de los servicios de Ciberseguridad para América del Sur e integrador de servicios profesionales en cuentas estratégicas.

 

 

Al finalizar el programa TÜV NORD México y IMR entregarán un certificado a quienes aprueben la instancia de evaluación c orrespondiente.

 

El registro de usuarios no está permitido actualmente.

Curso Legislación Mexicana Sobre Salud y Seguridad en el trabajo

OBJETIVO:

El objetivo fundamental es conocer las normas y aplicabilidades de la ley federal mexicana para mejorar la eficacia del Sistema de Gestión en cumplir requisitos regulatorios Por otro lado, ayuda mitigar riesgos de incumplimiento regulatorio como resultado de una gestión adecuada de los requisitos aplicables a su operación.

CONTENIDO DEL CURSO

  • 1 -Marco Regulatorio Principal2 -Principales Artículos en la Constitución Mexicana relacionados con la Seguridad y Salud en el Trabajo3 -Ley Federal del Trabajo
    1. a) Reglamento de la Ley Federal dl Trabajo
    2. b) Reglamento Federal para la Seguridad, Higiene y Ambiente de Trabajo
    3. c) Ley para la Infraestructura de la Calidad (Nueva)
    4. d) Secretaría del Trabajo y Previsión Social (STPS)

    4 -Normas Oficiales Mexicanas (NOM)

    1. a) Estructura Principal de las NOM
    2. b) Diferentes categorías que tienen las NOM de la STPS
    3. c) Diferencias entre las NMX y las NOM
    4. d) Anatomía de una NOM, ejemplo: NOM 025-STPS-2008
    5. e) Varias NOM emitidas por la STPS y su aplicación en centros de trabajo

    5 -Otros ejemplos de normas emitidas por organismos de gobierno relacionadas con Seguridad y salud

    RECONOCIMIENTO: 

Se entregará un Certificado emitido por TÜV NORD MÉXICO a los participantes que culminen el curso exitosamente.

 

Curso Auditor Interno 45001:2018

Objetivo

Revisar los requisitos de estructura y básicos de la norma OHSAS 18001 y permitir a los participantes de la empresa planificar y realizar auditorías internas para mejorar la eficacia de OHSMS y añadir valor a la organización.

Contenido

• Introducción al curso nueva norma ISO 45001:2018
• Estructura y revisión de los requisitos básicos de la norma OHSAS 18001:2007.
•Introducción a la auditoría OHSAS, tipos de auditoría.
• Fases de la auditoría
•Planificación de auditoría
•Preparación de la auditoría
•El funcionamiento y la opinión de la auditoría
•Informes de auditoría
•Auditoría de seguimiento (con ejercicios)
•EOHS Legislaciones en la India.
•Examen escrito.
•Resumen del curso.

RECONOCIMIENTO

Se entregará un Certificado emitido por TÜV NORD MÉXICO a los participantes que culminen el curso exitosamente .