FSSC 22000 – ADDENDUM ISO 23412

Inocuidad

El Addendum ISO 23412: Servicios de entrega indirecta, a temperatura controlada y refrigerada – Transporte terrestre de paquetes con transferencia intermedia, es un documento voluntario para todas las organizaciones certificadas en FSSC 22000 que busquen cumplir con los requerimientos de la ISO 23412:2020. El estándar especifica los requerimientos para el suministro y operación de servicios de entrega indirecta, a temperatura controlada y refrigerada para transporte terrestre de productos sensitivos a la temperatura (incluido alimentos) con transferencia intermedia. Además, incluye los requerimientos para recursos, operaciones y comunicación de los usuarios de servicios de entrega.

 

Requerimientos:

 

Los requerimientos están enfocados en el servicio provisto, y los procesos del mismo y el control de temperatura dentro del servicio de entrega ofrecido.

 

Alcance:

 

El alcance cubre el transporte de paquetes individuales por servicios de entrega con refrigeración y la temperatura del producto puede ser asociada con la temperatura del ambiente del paquete más que con la temperatura del producto mismo.

 

Lo siguiente se encuentra excluido del alcance:

 

· Paquetes refrigerados por medios de transporte como aeroplano, barco o tren.

· Paquetes refrigerados que son transportados con temperatura ambiente a pesar de que tienen su propio material refrigerante.

· Servicios de refrigerados directos en los que los paquetes refrigerados y congelados se recogen del usuario del servicio de entrega y se transportan directamente a un destinatario sin transferencia en tránsito.

· La calidad o medición de la temperatura del contenido de los paquetes refrigerados o paquetes congelados que se entregan y su estado previo al punto de recepción, sin embargo, establece el requisito para el servicio de entrega refrigerada que los transporta.

· Los dispositivos médicos y equipos médicos y productos farmaceúticos pueden estar sujetos a legislación específica y, por lo tanto, excluidos del alcance de la norma.

 

Este Addendum sólo puede ser utilizado en conjunto con la categoría G de FSSC 22000 con el alcance correspondiente.

 

Para conocer más sobre el Addendum y sus requerimientos pueden hacerlo a través del siguiente link: Addendum ISO 23412

ISO 37301:2021 – Sistema de Gestión de Cumplimiento

Calidad

El mundo empresarial se encuentra plagado de necesidades dentro de diferentes ámbitos, y es que, toda empresa, por más pequeña o grande que sea, debe asumir compromisos internos o externos que se pueden satisfacer a partir de los conocidos Sistemas de Gestión.

 

Los sistemas de gestión pueden enfocarse en los diferentes procesos con los que cuenta una organización, desde sistemas de gestión de calidad, inocuidad, ambiental, entre otros, pero el cumplimiento las leyes y regulaciones dentro de cualquier tipo de sistema de gestión puede ser más complicado de lo que parece.

 

La nueva ISO 37301:2021 Sistemas de Gestión del Cumplimiento se encarga de brindar todo lo que una organización necesita para el desarrollo, implementación, mantenimiento y mejora de un sistema de gestión de cumplimiento efectivo. Este nuevo estándar se encarga de sustituir a la ISO 19600:2014. Además, una de las ventajas de la ISO 37301:2021 es que puede ser integrada a otro sistema de gestión con el que cuente la organización, como ISO 37001 para sistemas de gestión antisoborno o la norma ISO 9001 para sistemas de gestión de calidad.

 

Algunos de los beneficios que se espera que las organizaciones obtengan al implementar ISO 37301:2021, es el aumento de la reputación y credibilidad, brindando una mayor confianza a los clientes e interesados para así incrementar las oportunidades de negocio.

 

Por último, es importante mencionar que esta norma es aplicable para todo tipo de organización sin importar el tipo, tamaño o naturaleza de la actividad, empresa pública, privada o sin ánimos de lucro. Por otra parte, la norma también especifica que en caso de tratarse de una organización que no cuente con un órgano de gobierno como función separada, todos los requisitos especificados para un órgano de gobierno, deberán ser aplicados a la alta dirección. Esta norma fue liberada en abril de 2021 y esta disponible para compra directamente en las tiendas oficiales de ISO.

NOM 017 – Equipo de protección personal, uso y manejo en los centros de trabajo

Seguridad ocupacional

La NOM 017 STPS 2008 establece una metodología de análisis para el uso de equipo de protección personal. Dentro de la norma indica las siguientes obligaciones de los trabajadores:

 

  • Participar en la capacitación y adiestramiento que el patrón proporcione para el uso, revisión, reposición, limpieza, limitaciones, mantenimiento, resguardo y disposición final del equipo de protección personal.
  • Utilizar el equipo de protección personal proporcionado por el patrón de acuerdo con la capacitación que recibieron para tal efecto.
  • Revisar antes de iniciar, durante y al finalizar su turno de trabajo, las condiciones del equipo de protección personal que utiliza.
  • Informar al patrón cuando las condiciones del equipo de protección personal ya no lo proteja, a fin de que se le proporcione mantenimiento, o se lo reemplace.

 

Basados en esta evaluación y el tipo de riesgo se selecciona el equipo de protección personal requerido para cada puesto de trabajo.

 

 

 

Basados en las partes del cuerpo y a los riesgos de trabajo que se enfrenta, determinamos el equipo de protección personal.

 

En el siguiente ejemplo simularemos un operador de producción, personal de mantenimiento y supervisor para una empresa que realiza el empacado de alimentos a temperatura ambiente.

 

 

X* Cuando exista a exposición a ruidos altos, vapores, temperaturas, químicos, temperaturas, etc.

 

Así de acuerdo al riesgo laboral, se irá determinando el equipo de protección personal de acuerdo con la norma oficial Mexicana.

 

Operador de producción:  Capuchas (cofia), cubrebocas, guantes, bata, bota de seguridad.

 

Operador de mantenimiento: Casco, capucha (cofia), lentes, tapones cuando sea requerido, mascarilla cuando sea requerido, cofia, overol, zapatos de seguridad, guantes para sustancias químicas cuando sea requerido, equipo para las alturas cuando sea requerido.

 

Supervisor: Capuchas (cofia), cubrebocas, guantes, bata, bota de seguridad, guantes para sustancias químicas cuando sea requerido.

 

De esta manera, determinamos el equipo de protección personal que se requiere por puesto de trabajo, dependiendo de la actividad realizada por el personal.

Actualización de estándares de soporte para ISO 9001

Calidad

Algunos de los beneficios de implementar un sistema de gestión de calidad, incluyen el incremento en la calidad de los procesos, del desempeño, la eficiencia y las relaciones de negocios.

 

Estándares como ISO 10014 o ISO 10013 enfocados en los requerimientos, que ayudan a optimizar el uso del SGC han sido actualizados para mantenerse en línea con la última versión de ISO 9001.

 

ISO 10014, Gestión de una organización para obtener resultados de calidad – Orientación para obtener beneficios económicos y financieros, está dirigida a la alta dirección, tomando la estructura y los principios descritos en la familia ISO 9000 para acercarse al éxito financiero.

 

Utilizar este estándar permite monitorear y gestionar las tendencias clave para tomar acciones que ayuden a mejorar el desempeño, así como anticipar proactivamente y gestionar los riesgos en un enfoque estructurado para la mejora del rendimiento empresarial, incluyendo un método de autoevaluación para establecer las oportunidades de mejora.

 

De igual forma, ISO 10013, Orientación para la información documentada, provee lineamientos de desarrollo y mantenimiento documentado de la información para el soporte efectivo del sistema de gestión. Toma en consideración las necesidades específicas de la organización, incluyendo aspectos legales y regulatorios, necesidades y expectativas de las partes interesadas, riesgos y oportunidades, así como la dirección estratégica de la organización durante el planteamiento de cuál información documentada mantener y retener.

 

Las versiones mejoradas reconocen los avances en documentación que han ocurrido antes de su lanzamiento, como las mejoras en medidas de seguridad y la aparición de la automatización en el flujo de procesos.

 

Ambos estándares fueron desarrollados y actualizados por el Subcomité SC 3: Tecnologías de soporte, parte del Comité Técnico ISO/TC 176: Gestión y aseguramiento de calidad.

Inyecciones seguras

Salud

Dentro de los temas de salud a nivel mundial la aplicación de inyecciones es de suma importancia, pues se estima que al año se aplican 16,000 millones de inyecciones en el mundo, sin embargo, datos de la OMS apuntan que entre el 40 al 70% se aplican con jeringas y agujas reutilizadas no estériles y bajo prácticas no seguras.

 

La correcta aplicación de inyecciones ayuda a proteger a la población mundial de infecciones por VIH, hepatitis y otras enfermedades. Entre las prácticas de inyecciones no seguras (PInS) se encuentran el reúso de dispositivos de inyección, fallas en la técnica aséptica, ausencia de seguimiento del protocolo post exposición, reencapuchado de aguja, entre otros.

 

En el año 2000, la OMS lanzó el Programa de Seguridad de las Inyecciones y la Red Mundial de Inyección Segura (SIGN) en pro de la seguridad de las inyecciones. Estas iniciativas condujeron al desarrollo de nuevos diseños de jeringas para ser inservibles después del primer uso.

 

El comité experto de ISO sobre jeringas, quienes ya contaban con normas para jeringas y agujas hipodérmicas (ISO 7886-1 e ISO 7886-2), acordó desarrollar nuevas normas para mitigar los riesgos no asociados a la reutilización, entre las que se publicaron la ISO 23908 de Características de Protección Contra Objetos Punzantes e ISO 23907 sobre Recipientes para Objetos Punzantes, complementando a la ISO 21649 (Inyecciones sin aguja) y la serie ISO 7886.

 

A su vez, la OMS publicó en 2015 las “Directivas de la OMS sobre el uso de Jeringas de Seguridad para Inyecciones Intramusculares, Intradérmicas y Subcutáneas en Entornos Sanitarios”, refiriéndose a las definiciones de la norma ISO 23908 y pautando una serie de características de seguridad no solo para receptores, sino para el trabajador de la salud que las administra.

 

La Organización Panamericana de la Salud dentro de su manual para la vacunación segura, incluye un módulo de capacitación con prácticas de inyección segura, en el que se mencionan los aspectos relacionados con el receptor, el vacunador y los relacionados con la seguridad de la comunidad y el medio ambiente, incluyendo un plan regional para el control de calidad de las jeringas.

 

Consultar Módulo III – Prácticas de inyección segura 

 

Las inyecciones administradas bajo protocolos de seguridad evitan 1,30 millones de defunciones, por lo que las normas y estándares están en constante revisión y actualización.

Publicación de documentos del esquema PrimusGFS versión 3.2

Sin categoría

Azzule Systems desarrollador del programa PrimusGFS ha puesto a disposición de las partes involucradas la documentación correspondiente a la nueva versión 3.2 del esquema de certificación PrimusGFS.

El uso de la nueva versión es opcional, pero se convertirá en obligatorio a partir del 1ro de marzo del 2022.

 

La versión 3.2 de PrimusGFS se alinea con los requisitos de la evaluación comparativa de GFSI v2020 ofreciendo auditorías BPA’s y BPM’s.

 

Los alcances de GFSI cubiertos por el esquema incluyen:

• Cultivo de plantas.
• Cultivo de granos y legumbres.
• Manejo previo al procesamiento de productos vegetales.
• Procesamiento de productos perecederos de plantas.
• Procesamiento de productos perecederos de origen animal y vegetal.
• Procesamiento de productos estables en ambiente.
• Prestación de servicios de almacenamiento y distribución.

 

Esta nueva versión contiene actualizaciones que abordan:

• Los requisitos de evaluación comparativa de GFSI v2020.1.
• Comentarios de las partes interesadas.
• Enfoque continuo de inocuidad alimentaria para productos agrícolas frescos.
• Controles preventivos de alimentos para humanos conforme la ley FSMA de FDA.

 

Además, cuenta con actualizaciones para:

• Mejores prácticas vigentes de documentos con orientación específica de productos.
• Tablas de aplicabilidad para BPM’s.

 

Para la nueva versión de PrimusGFS v3.2 se adicionan requisitos de cierre de acciones correctivas, indicadores de investigación científica actualizados, preguntas mejoradas sobre agroquímicos en BPA’s, además de actualizaciones de preguntas sobre el flujo cuando sea necesario (por ejemplo, preguntas sobre prácticas de cosecha).

 

Todos los documentos de la nueva versión están disponibles en el siguiente enlace:

http://primusgfs.com/pgfs-v3-2/

Día Mundial de la Salud 2021: Por un mundo más justo y saludable

Salud, ,

El Día Mundial de la Salud nace en conmemoración a la fundación de la Organización Mundial de la Salud (OMS) en 1948, para crear conciencia sobre las enfermedades mundiales.

 

A más de un año de pandemia por COVID-19, las condiciones desiguales que impiden que todas las personas puedan vivir una vida sana se hicieron más evidentes, por lo que este año la OMS centra su campaña en la necesidad de lograr la equidad en salud.

La campaña se centra en la urgencia de crear políticas que aborden las barreras sociales y estructurales para el acceso universal a la salud y el bienestar, dando prioridad a las poblaciones de mayor riesgo. De igual forma promover la expansión de sistemas de protección social sostenibles, salarios dignos, condiciones de trabajo favorables, viviendas dignas y sistemas educativos sólidos.

 

Conoce más sobre esta campaña: https://www.who.int/es/campaigns/world-health-day/2021

 

Por su parte, ISO promueve la creación y actualización de estándares relacionados con la salud, priorizando los sistemas de salud centrados en el paciente.

 

ISO está trabajando en el estándar ISO 22956, desarrollado por el Comité Técnico ISO/TC 304, Gestión de Organizaciones Sanitarias, con el objetivo de armonizar la terminología y la clasificación de las mejores prácticas, estableciendo estrategias de gestión y medidas utilizadas por los servicios sanitarios para atraer y retener al mejor personal.

 

El estándar nace con la pregunta clave: ¿Cómo se eleva y crea un ambiente centrado en el paciente independientemente de su entorno o ubicación?

 

El enfoque centrado en el paciente ayuda a mitigar las consecuencias negativas, proporcionando una guía para mantener niveles adecuados de personal, incluyendo la planificación de la fuerza laboral, evaluación de las metodologías de dotación de personal, la asignación y gestión de recursos, y las expectativas y satisfacción del paciente. También ofrece pautas para cumplir con las regulaciones legales y planificar situaciones de emergencia.

 

Para garantizar un alcance amplio, ISO 22956 abarca principios de atención médica centrada en el paciente que todas las partes interesadas pueden seguir. Estos incluyen la trazabilidad de los procesos de atención al paciente, los diagnósticos y las terapias para que las vías de atención de los pacientes se puedan seguir de manera adecuada. La documentación de los procedimientos es un medio importante para garantizar una atención constante, segura y de alta calidad.

 

Por el momento el estándar se encuentra en la etapa 50.20 de aprobación.

Conoce el estado del estándar: https://www.iso.org/standard/74246.html?browse=tc

Próximos estándares ISO frente a la COVID-19

Calidad, Salud

A poco más de un año de la llegada del virus SARS-COV-2 hemos aprendido a vivir con él y buscar nuevas formas de salir adelante, pese al cambio radical que implicó su dispersión acelerada en el mundo y la sociedad.

 

Hoy en día, ya contamos con diferentes vacunas para contrarrestar el avance de la enfermedad y estudios científicos para aplicar distintos tratamientos en pacientes contagiados.

 

Y así como se han creado herramientas para luchar en el frente, también están llegando otras para controlar la pandemia, para ello tenemos los estándares. Es bien sabido que la liberación de un nuevo estándar toma años, sin embargo, la pandemia ha provocado que actuemos de manera rápida y eficaz, logrando nuevos estándares para su inmediata aplicación con el fin de combatir las circunstancias actuales. Conozcamos los nuevos estándares de ISO que nos ayudarán a establecer un curso de acción efectivo para poder salvar vidas.

 

WA IWA 36 (En desarrollo)

Orientación para el servicio de entrega sin contacto

El documento IWA apunta a:

  • Evitar el riesgo de exposición del mensajero y garantizar la seguridad de los consumidores y el mensajero para tener un consumo seguro.
  • Promover la protección de la información personal, respetando la privacidad del consumidor.
  • Conocer la diversificación de los consumidores y personalizar las necesidades de consumo.
  • Proveer el modelo de servicio de “Entrega sin contacto” y guía al mercado.

 

AWA IWA 38 (En desarrollo)

Orientación para la construcción de un área médica de emergencia

La guía es apropiada para áreas médicas de emergencia dedicadas al tratamiento de enfermedades respiratorias infecciosas, construidas rápidamente utilizando tableros móviles en contenedores o estructuras de acero.

 

AWI IWA 40 (En desarrollo)

Orientación para servicios de cocina virtual

La cocina virtual es un servicio de cocina que se enfoca en los servicios alimenticios para entrega de comida o recoger en el establecimiento.

La cocina virtual ha hecho un aporte significativo a la recuperación de la industria tradicional de abastecimiento de comida, ya que provee una importante garantía para reanudar la producción durante la pandemia.

La cocina virtual hace que los servicios de comida tradicional se conviertan en comida para llevar, reduciendo la pérdida de los restaurantes. La cocina virtual es más apropiada para el estilo de vida rápida.

 

ISO/WD 22393 (En desarrollo)

Seguridad y resiliencia

Esta propuesta tiene como objetivo abordar, a corto plazo, los efectos inmediatos de COVID-19 a través de planes robustos con respecto a:

  • Reiniciar servicios básicos.
  • Vida social del público.
  • Soporte a los ancianos y a los más vulnerables.
  • Apertura de escuelas.
  • Regreso de los servicios de viaje.
  • Recuperación económica de retails y sectores restauranteros más afectados – Medidas de distanciamiento social.

 

La propuesta también apunta, a largo plazo, a recrear una sociedad en la que se aborden objetivos internacionales a largo plazo y mejorar la sociedad en conjunto. Apunta a las deficiencias sociales que agravaron el impacto de la pandemia, y:

  • Deficiencias de las estrategias a la hora identificar a COVID-19 como un riesgo.
  • Creando una sociedad más sostenible, protegiendo espacios verdes y construyendo infraestructura para mantener las emisiones de CO2 a niveles bajos.
  • Estableciendo un mayor gasto en los recursos clave de los servicios del sector público. Mejorando la protección de lugares verdes.
  • Legislación de emergencia que proporcione vivienda a las personas sin hogar.
  • Establecer áreas de oportunidad para la construcción de una sociedad más sostenible y equitativa.
  • Tecnología digital para los sectores de atención primaria.
  • Mantenimiento en los niveles de voluntariado y comunidad activista.

 

ISO/AWI 34019 (En desarrollo)

Seguridad alimentaria

Guía de emergencia o situación de crisis.

Esta propuesta tiene como objetivo establecer los requerimientos mínimos para la coordinación, preparación y distribución de comida para personas afectadas por una situación de emergencia, desastre o crisis.

 

ISO/AWI 5477 (En desarrollo)

Salud informática – Portafolio estándar de referencia (RSP) – Sistema de información de preparación y respuesta ante emergencias de salud pública – Sistema de información RSP-PH EPR

Esta norma describe el portafolio estándar de referencia para los negocios de tecnologías de la información, es estándar de salud interoperable.

 

ISO/FDIS 80601-2-90 (En desarrollo)

Equipo médico eléctrico

Este documento se aplica a la seguridad básica y el rendimiento esencial de los equipos de terapia ventilatoria de alto flujo, como se define en la cláusula 201.3.204 de la ISO/DIS 80601-2-90, de ahora en adelante referido como equipo ME, en combinación con:

  • Destinado al uso en ambientes para el cuidado de la salud en el hogar.
  • Destinado para el uso en instalaciones profesionales del cuidado de la salud.
  • Destinado para ser usado por un operador o un operador profesional en el cuidado de la salud.
  • Destinado para usare con pacientes que pueden respirar espontáneamente.
  • Destinado para pacientes que se beneficiarían de un mejor intercambio de gases alveolares.
  • Beneficiarios de recibir gases respiratorios humidificados de alto flujo, incluyendo pacientes cuyas vías respiratorias superiores se desvíen.

 

ISO/WD TR 5202 (En desarrollo)

Edificios y trabajos civiles de ingeniería

Este documento tendrá la tarea de recolectar y registrar la información relacionada con múltiples edificios de emergencias de salud pública de todo el mundo, incluyendo los registros y la investigación de casos típicos, medición de emergencias y lineamientos, reflexiones e investigaciones sobre la mejora del rol que juegan estos edificios. Estándares y marcos emitidos por los gobiernos locales, nacionales, entre otros. Durante y después de la emergencia sanitaria.

Estamos deseosos de que dichas normas puedan llegar a nuestras manos lo más pronto posible para seguir con el combate contra la pandemia.

Guía complementaria de ISO 22000 para la inocuidad alimentaria

Sin categoría

La industria alimentaria es una de las más importantes a nivel global, donde distintos estándares con sus enfoques y alcances participan para mantener la seguridad de los productos que consumimos en las distintas etapas de su producción. Uno de ellos es ISO 22000, estándar internacional para la inocuidad alimentaria. 

 

ISO en acompañamiento con UNIDO (United Nations industrial Develompent Organization) ha publicado el nuevo libro ISO 22000:2018 – Food Safety Management Systems – A practical guide que provee conocimientos profundos y prácticos para ayudar a las organizaciones a implementar un sistema de gestión de la inocuidad de manera más eficiente de acuerdo a lo establecido en ISO 22000:2018.

 

El hecho de mantener un sistema de gestión de la inocuidad brinda enormes beneficios a cualquier organización involucrada en la producción de alimentos, como el prestigio de estar reconocida como una organización que busca reducir los riesgos de contaminación al producto como un posible daño al consumidor final. Sin embargo, poner un sistema de gestión de la inocuidad no es siempre tarea sencilla, ya que puede traer consigo una gran cantidad de tiempo y esfuerzo.

 

Esta nueva guía está diseñada para que la industria alimentaria esté mejor preparada para la implementación de un sistema de gestión donde, a lo largo de 7 capítulos, cada una de las organizaciones obtendrá las herramientas necesarias para contar con un sistema eficaz.

 

Esta guía ya se encuentra disponible para su compra en ISO member o en ISO Store. Encuéntrala aquí: https://www.iso.org/news/ref2639.html 

Gestión de riesgos de Seguridad de la Información

Seguridad de la información, ,

Uno de los puntos más importantes de ISO 27001 es el análisis de riesgos para  determinar las acciones, los controles y tratamientos a realizar, los objetivos a cumplir, entre otros.

 

Es muy importante que este proceso esté documentado y lo más sistematizado posible para conseguir que los resultados no varíen demasiado de acuerdo a la percepción de la persona que haga el análisis. Otro punto importante es la comparación de resultados de los diferentes análisis que hagamos a lo largo del tiempo para poder determinar si las acciones realizadas están suponiendo una mejora real para la Seguridad de la Información de la organización.

 

El análisis de riesgos es una actividad que requiere atención y concentración, para lo cual te compartimos las siguientes recomendaciones:

 

 

Establecer los criterios

 

El primer paso que marca la norma ISO 27001 es fijar los criterios de aceptación o rechazo, así como la probabilidad y severidad, cómo será su interacción, determinación del riego aceptable y, en caso de que no se acepte, la nueva valoración y tratamiento del riesgo.

 

Identificar los riesgos para la seguridad de la información

 

Esta actividad se puede realizar mediante una lluvia de ideas, se recomienda que la desarrollen distintas personas durante varias semanas, lo que evitará cometer errores importantes. La forma más sencilla de identificar los riesgos de manera sistemática, evitando olvidar los riesgos más importantes, es a través de los siguientes pasos:

 

o Paso 1 – Identificar los activos:

Disponer un inventario exhaustivo de los activos de información de la organización.

o Paso 2 – Listar las amenazas:

Cada empresa está sometida a un conjunto de amenazas intrínsecas a su actividad y ubicación, como incendios, inundaciones, virus informáticos, robos, sobornos, terremotos, errores humanos, entre otros.

o Paso 3 – Detectar las vulnerabilidades:

Ahora toca cruzar cada activo con cada amenaza, para determinar si dicho activo es vulnerable a dicha amenaza. De esta combinación, nacerán los riesgos de la seguridad de la información de nuestra organización.

 

Las vulnerabilidades de un activo frente a una amenaza siempre están asociadas a la pérdida de la confidencialidad de la información que contiene, la Integridad de la misma y su disponibilidad a la hora de ser utilizada por las personas que la necesiten. Estos tres conceptos nos ayudarán también a identificar las vulnerabilidades de cada activo y sus riesgos.

 

Es requisito de la norma ISO 27001 el que cada riesgo identificado tenga un dueño; normalmente dicho responsable será el dueño o gestor del activo sobre el que actúa el riesgo, o la persona que puede aplicar medidas preventivas sobre el mismo. Por ejemplo, sobre los equipos informáticos no suele ser el usuario de cada equipo, sino el jefe de informática que gestiona su seguridad y su contenido.

 

Probabilidad e impacto

 

En este paso analizaremos los riesgos identificados en el paso anterior. Para determinar la importancia de un riesgo utilizaremos al menos dos parámetros: la probabilidad y el impacto. La probabilidad es aquella que tiene el riesgo de materializarse, mientras que el impacto son las consecuencias potenciales que tendría si éste llega a suceder.
Con estos dos factores, y alguno más que podemos incluir, aplicaremos una fórmula de cálculo que nos diga el nivel de riesgo de cada uno de los riesgos identificados.

 

Evaluar los riesgos

 

Una vez teniendo los riesgos identificados, hemos analizado su probabilidad y su posible impacto, según su nivel de riesgo. Para lo cual, compararemos cada nivel de riesgo con los valores límite que hayamos prefijado, clasificando cada uno como tolerable o intolerable.

 

Los riesgos que se califiquen como inaceptables deberán ser corregidos mediante nuevos controles en el Plan de Tratamiento de Riesgos. Por su parte, los que consideremos aceptables serán tratados como riesgos residuales.

 

Es requisito de la norma que se guarden evidencias de la valoración de los riesgos. Así que deberemos documentar cómo y porqué se fijaron los criterios, cómo realizamos la identificación de los riesgos, y el análisis y evaluación de éstos.

 

Un sistema de gestión de seguridad de la información basado en la norma ISO 27001 se fundamenta principalmente en la identificación y análisis de las principales amenazas, para que a partir de este punto de partida se pueda establecer una evaluación y una planificación de dichos riesgos. Una amenaza se puede definir como cualquier evento que puede afectar los activos de información y se relaciona principalmente con recursos humanos, eventos naturales o fallas técnicas.

Una vez que se tengan identificadas las amenazas, se establecen controles y sistemas de monitoreo para cada una de ellas, lo que nos ayudará a tener un análisis controlado.

Un correcto proceso de identificación de riesgos implica:

 

  • Identificar todos aquellos activos de información que tienen algún valor para la organización.
  • Asociar las amenazas relevantes con los activos identificados.
  • Determinar las vulnerabilidades que puedan ser aprovechadas por dichas amenazas.
  • Identificar el impacto que podría suponer una pérdida de confidencialidad, integridad y disponibilidad para cada activo.
  • Identificar los controles para los riesgos.

 

En resumen, la metodología de la evaluación de riesgos estaría compuesta por las siguientes fases:

 

  • Recogida y preparación de la información.
  • Identificación, clasificación y valoración los grupos de activos.
  • Reconocimiento y clasificación de las amenazas.
  • Identificación y estimación de las vulnerabilidades.
  • Establecimiento y valoración de impactos: identificar, tipificar y valorar los impactos.
  • Evaluación y análisis del riesgo.
  • Establecimiento de controles.
  • Actualización del análisis de riesgo frecuentemente y tomar en consideración los cambios en las amenazas presentadas o los nuevos riesgos identificados.
« 1 8 9 10 11 12 49 »