jueves, 25 de abril de 2019

¿LA SEGURIDAD DE LOS DATOS IMPORTA PARA CUMPLIR CON LA ISO 9001?

¿Me van a mirar la seguridad de los datos con los que trabajo durante la auditoría de certificación? ¿Me pedirán si tengo realizada una copia de seguridad durante la auditoría? Son preguntas que me hacen muchos de mis clientes ya que creen que la protección de los datos no está relacionado con la norma ISO 9001.

Como sabrás la norma ISO 9001 se basa en procesos de trabajo y dado que, cada vez más, hoy en día se documentan muchos de esos procesos en información digital tendrás que proteger toda esa información que no tienes impresa.

Una pérdida de información digital puede suponer parar de trabajar 2h para una organización pero quizás para otra supondrá días y días sin poder producir absolutamente nada. Y es que voy más allá, imagina un hospital que pierde su base de datos en la que se encuentran los historiales médicos, ingresos, altas… de sus pacientes. Estamos hablando de algo absolutamente crítico para este tipo de organizaciones.

Bien, en este contexto está demás decirte que sí es importante el tener una buena política de copias de seguridad. De hecho es algo que me piden en todas las auditorías.

Dado que no soy informático y con el objetivo de poder explicarte de forma sencilla y certera la casuística que engloba a las copias de seguridad hoy entrevistamos a Alfonso Pérez de GcNetOnline (Ingeniero informático; proveedor y colaborador de Consultores).

¿Por qué es importante hacer copias de seguridad?
Siempre que les digo a mis clientes que es necesario realizar Copias de Seguridad me suelen contestar que eso les quita tiempo… y mi respuesta automática es muy sencilla… “… ¿qué prefieres, perder unos minutos de tu tiempo periódicamente o que tu empresa esté parada durante días o lo que es mucho peor, perder días, meses e incluso años de tu valioso trabajo por no hacer una copia de seguridad?

Además si tus sistemas están bien instalados y estructurados, estas copias no deberían de llevar mucho tiempo y tu Administrador de Sistemas puede programar estas copias para que se hagan en un horario no laboral, por ejemplo, por las noches.

Como ves no hay disculpas para no hacer tus copias y cuando ocurra un imprevisto. “Agradecerás haberlas hecho”, esto te lo garantizo.

«… ¿qué prefieres, perder unos minutos de tu tiempo periódicamente o que tu empresa esté parada durante dias?

De todos los datos que se manejan ¿a cuáles se les debe hacer copia de seguridad?
Una buena política de copias de seguridad, es aquella, en la que si ocurre alguna incidencia (virus, necesidad de formatear equipos, etc.), podamos en muy poco tiempo, recuperar todos nuestros datos y dejar todo como estaba antes de la incidencia.

Lo normal es hacer copia de todos nuestros datos, la Base de Datos de nuestros programas de Gestión y Contabilidad, de nuestros documentos y en general de todos los datos que necesitemos o vayamos a necesitar en un futuro. También es aconsejable hacer copia de nuestros programas de Gestión y Contabilidad (del programa completo), aunque a veces esto no es del todo factible, porque puede ocurrir que necesitemos instalarlos de todas formas.

Como norma general, la Copia de Seguridad se debe hacer de todos nuestros datos sensibles (Bases de Datos, Documentos de Texto, Hojas de Cálculo, Presentaciones, Correos Electrónicos).

Es muy importante tener nuestros datos muy bien estructurados, es decir, no ir almacenando nuestros documentos donde queramos, sino hacer una carpeta e ir colgando todos nuestros documentos a partir de ella, como si fuera un árbol, con sus diferentes hojas, Así nuestra copia se hará más fácil.

Cada cuánto tiempo se debe hacer una copia de seguridad?
Esta es la pregunta típica y la respuesta es muy sencilla, depende de la cantidad de datos que generes, no es lo mismo, una empresa que genere datos diariamente (facturas, apuntes contables, documentos, etc), a una que sólo genere datos de forma esporádica.

Como norma general, yo siempre recomiendo hacer una copia todos los días, pero también se puede hacer un día sí y otro no, este sistema tiene el inconveniente de que si ocurre algo por ejemplo el miércoles y nuestra copia es del lunes, perderíamos un día de trabajo. Aquí, tendríamos que pensar si estamos dispuestos a perder ese día de trabajo. Además como ya comenté antes las copias se pueden automatizar, así que no debería haber problema para hacerla todos los días y nos iremos a dormir mucho más tranquilos.

¿Qué tipo de copia hacer, completa o incremental y cuál es la diferencia?
Para responder a esta pregunta, debemos saber primero cuál es la diferencia entre ellas:

Copia Completa: Como su nombre indica, se hace una copia completa cada vez, esto significa que nos lleva un poco más de tiempo hacerla, ya que cada vez que hacemos una copia, se copia todo de nuevo, tanto lo anterior, como lo nuevo que hayamos hecho.

Copia Incremental: Con este tipo de copias, sólo se copia lo que se haya hecho de nuevo, no se hace una copia de todo el contenido de nuestros sistema, sino sólo de los datos nuevos o modificados. Obviamente esta copia es más rápida.

¿Cuál elegir? Bueno para eso debes tener en cuenta que una copia incremental requiere de una buena planificación, ya que se debe hacer primero una copia completa y luego se irán haciendo las copias incrementales con sólo los datos nuevos o modificados. El inconveniente de ésta, es que a la hora de recuperar los datos, lleva un poco más de tiempo, ya que primero hay que recuperar la copia completa y luego ir con cada una de las incrementales y si por casualidad, alguna de ella ha fallado y no nos hemos dado cuenta, podríamos perder datos.

Mi experiencia con mis clientes, es hacer siempre una copia completa, porque a no ser que seas una empresa que genera una cantidad ingente de datos cada día, el tiempo que nos lleva hacer una u otra es insignificante y a la larga lo agradeceremos.

Pongamos un ejemplo; si hacemos una copia de seguridad completa diariamente y tenemos un problema, podemos recuperar la copia del día anterior, y si por lo que sea esta ha fallado, siempre podemos recuperar la del día anterior, pero si hacemos copias incrementales y uno de los días falla, podemos haber perdido muchos días de trabajo y como dije, salvo que generes muchos datos diariamente, el tiempo que lleva una u otra no compensará el posible riesgo de pérdida de datos.

¿Cómo saber qué tipo de copia es mejor para cada empresa?
Para la inmensa mayoría de las empresas lo ideal, es hacer una copia completa. Además si tú informático te las prepara de forma automática, no te quita tiempo de tu trabajo, ya que estas se hacen fuera de tu horario lectivo. También es muy importante, hacer varias copias de seguridad en varios dispositivos, así minimizamos el riesgo de pérdida de datos.

¿En qué dispositivos o plataformas se deben guardar las copias de seguridad y cuál es la diferencia entre ellos?
Lo normal, es hacer copias de seguridad, en dispositivos externos, (discos duros externos, pendrives, etc), pero también se pueden hacer en las llamadas “nubes”, tanto Google con su servicio Drive, como Microsoft, con Onedrive o Dropbox son buenas alternativas. Todos suelen tener unos planes gratuitos para un determinado número de Gigas y si no, se puede optar por los planes de pago, aquí habría que ver el costo de cada uno y que se adecue a tu bolsillo, así como la cantidad de espacio que oferten por el precio que pagas.

La verdad es que no hay uno mejor que otro, lo que habría que valorar es la cantidad de espacio que te ofertan por el precio que pagas. La diferencia entre hacer las copias entre nuestros propios dispositivos (discos duros externos, pendrives) y hacerla en la nube, es la siguiente:

a. Copia en nuestros propios dispositivos

Ventajas
  • Menor costo, sólo pagamos una vez.
  • La copia la tenemos en nuestras instalaciones
  • Nadie tiene acceso a nuestras copias
  • No necesitamos acceso a Internet para hacer la copia, ni para recuperarla
  • Desventajas

No podemos acceder a nuestras copias desde fuera de nuestra oficina
Riesgos de rotura del dispositivo
Hay que guardar el dispositivo en un lugar seguro (por ejemplo: caja fuerte)

b. Copia en la Nube

Ventajas

  • Podemos acceder a nuestras copias desde cualquier lugar, tan solo necesitamos acceso a internet.
  • No tenemos que preocuparnos por la seguridad de nuestras copias, ya que lo hacen otros

Desventajas

Las copias no están dentro de nuestras instalaciones
Mayor costo: Si no usamos los planes gratuitos hay que hacer un pago mensual, aunque casi todos tienen un plan anual de pago.
En caso de ataques informáticos al proveedor en donde guardamos nuestros datos,, un usuario externos podría tener acceso a nuestros datos
Siempre necesitamos acceso a Internet, tanto para hacer la copia, como para la recuperación de la misma.
¿Cuál es mejor?, pues aquí depende de cómo veas los pros y los contras, yo aconsejo hacer un híbrido entre los dos, hacer copias tanto en nuestros dispositivos, como en la nube, así tenemos varias copias en diferentes sitios y evitamos que en el caso de que un sistema falle, se puedan perder nuestros datos.

¿Por qué debo probar si mis copias de seguridad están bien hechas y son fiables?
Cuando se prepara el sistema de copia, es altamente recomendable hacer una prueba del mismo, esto es, simular que hemos perdido datos y probar que nuestra política de copia funciona correctamente y que nuestros datos están a salvo.

¿Tienen las copias de seguridad que cumplir el Reglameneo General de Protección de Datos (RGPD)?
Sí que tienen que cumplirla. Esto quiere decir que si has decidido hacer las copias en tus propios dispositivos, éstas deben estar encriptadas y que si un cliente te solicita la baja, debes de borrarlo también de las copias que hayas hecho. En cuanto a los proveedores externos, tienen que cumplir con la RGPD, antes de que utilice sus sistemas. Tanto Google, como Microsoft, como Dropbox, se han adaptado la RGPD, así que si los utilizas, no debes preocuparte.

Fotografía: Data security. Information protection. Folders and key. 3d

Fuente Fotografía: Shutterstock

Tomado de: https://iveconsultores.com

¿CÓMO IMPLEMENTA LA ADMINISTRACIÓN PÚBLICA EL ESTÁNDAR ISO 26000?


El estándar ISO 26000 es una norma internacional que proporciona a las empresas unas instrucciones sobre las materias principales y los principios de Responsabilidad Social. 

Estos principios le van a otorgar un comportamiento responsable social a las organizaciones independientemente de su tamaño, o de que pertenezcan al sector privado o público.


En este artículo nos vamos a centrar en la implementación de la norma ISO-26000 en las administraciones.

Las administraciones cada día son más conscientes de la necesidad de poseer un comportamiento que sea socialmente responsable.

La ISO26000 se apoyo en siete materias de Responsabilidad Social:
  • Derechos humanos.
  • Prácticas.
  • Gobernanza corporativa.
  • Prácticas justas de negocio.
  • Desarrollo de la comunidad.
  • Medio Ambiente.
  • Asuntos de los consumidores.
Las administraciones deben de tener en cuenta los siete principios más vitales de la Responsabilidad Social, los cuales son:
  • Transparencia. Las organizaciones deben de tener en cuenta que las actividades que llevan a cabo pueden tener impacto en el medioambiente o en la sociedad. Por estos motivos, deben de ser transparentes cuando realizan las actividades o la toma de las decisiones.
  • Entrega de cuentas. Las actuaciones deben ser facilitadas a las autoridades cualificadas para evitar los impactos previstos.
  • Consideración de los intereses de las personas implicadas. Las organizaciones deberían siempre valorar y respetar los intereses de las personas implicadas.
  • Comportamiento ético. Todas las organizaciones deberían de poseer valores como la honestidad, equidad e integridad debido a que estos dan lugar a respetar el medioambiente o a la sociedad, entre otros.
  • Respeto al principio de legalidad. Las organizaciones no deben olvidar que ningún trabajador está por encima de la ley y que todos estamos sujetos a ella.
  • Respeto al precepto internacional de comportamiento. Las empresas no pueden olvidar la normativa internacional de comportamiento.
  • Respeto a los derechos humanos. Las organizaciones deben de respetar, fomentar y reconocer los derechos humanos.


Tomado de: https://www.isotools.org

NUEVA NORMA UNE-EN 16114:2012 SERVICIOS DE CONSULTORÍA DE GESTIÓN


La Norma UNE-EN 16114:2012, fue publicada por AENOR (España) en marzo del presente año con el objeto de cubrir la necesidad de regular la eficiencia en la prestación de servicios de consultoría de gestión.

La Norma UNE-EN 16114:2012 se presenta como una colección de directrices voluntarias aplicable a cualquier tipo de trabajo y cliente. Además, también es aplicable a cualquier PSCG de empresas públicas y privadas, organizaciones gubernamentales, sin ánimo de lucro y departamentos internos de consultoría, independientemente de su tamaño, condición, organigrama, especialización o sector de actividad.


UNE-EN 16114:2012 es una guía de buenas prácticas para la realización de servicios de consultoría de gestión, que se desglosa en:

  • cuestiones legales y éticas;
  • gestión, comunicación y evaluación;
  • las relaciones con el cliente;
  • la oferta y el acuerdo;
  • la planificación y la ejecución;
  • el cierre del servicio.

Esta norma europea no impone ni interfiere con ninguna obligación contractual o derechos de propiedad intelectual y es independiente de otras normativas o documentos regulatorios, como:
prestación de servicios de apoyo y asesoramiento a pequeñas empresas (Especificación Técnica CEN/TS 99001);
sistemas de gestión de la calidad (Norma EN ISO 9001:2008);
la contratación pública (Directiva para procedimientos de adjudicación pública 2004/18/CE).



La Norma UNE-EN 16114:2012 no es certificable por terceras partes ya que no establece requisitos que puedan evaluarse para demostrar su conformidad con la norma. Así mismo, la norma no está diseñada para un uso regulatorio o contractual y ni es apropiada como base de ninguna cualificación ni individual ni de organizaciones o como base para acciones legales, quejas, defensas u otras reclamaciones ante procesos judiciales internacionales, nacionales u otros, ni tiene la intención de ser citada como evidencia de una evolución del derecho consuetudinario.


Tomado de: https://www.isotools.org

ISO 50001: EFICIENCIA ENERGÉTICA DE LA INDUSTRIA ALIMENTARIA


La norma ISO 50001 proporciona los requisitos que un Sistema de Gestión Energético tiene que poseer, con el objetivo de que lleve a cabo mejoras continuas y sistematizadas del rendimiento energético de las organizaciones.
Actualmente, las empresas del sector de la alimentación están más centradas en la reducción de los costos debido a que uno de sus principales objetivos es ser más eficientes desde el punto de vista energético. Para alcanzar este objetivo utilizan tecnologías innovadoras, por ello ponen especial atención en la certificación de la norma internacional ISO-50001. Esta norma proporciona a las organizaciones del sector de la alimentación la manera en que se debe realizar la implantación, control y evolución del sistema

Uno de los beneficios que proporciona la certificación de esta norma a la industria alimentaria es ganar prestigio en el exterior. Además son reconocidas por su acción contra el cambio climático y la protección del medio ambiente.

ISO50001 concede, además, otras ventajas:
  • Mejora en la gestión de la energía.
  • Revisión de la productividad de la política.
  • Se puede entender de forma más fácil las decisiones llevadas a cabo sobre el empleo de energía y consumo debido a la utilización de datos.
  • Evaluación de los resultados.
  • Cumplimiento de la política mediante la consolidación de metas y/o objetivos.
Como se ha comentado anteriormente, las empresas buscan ser más eficientes energéticamente y con el estándar ISO 50001 se ha comprobado que han conseguido alcanzar dicho objetivo aquellas empresas que han realizado dicha implantación de la norma.

Estas empresas han logrado un crecimiento de su eficiencia de un 38%.

Las organizaciones del sector alimentario además, pueden disfrutar con otras normas de sistemas de gestión como son la ISO 45001, ISO 9001, ISO 14001 entre otras, debido a que la ISO 50001 es compatible con ellas.


Tomado de: https://www.isotools.org