lunes, 27 de marzo de 2017

NORMATIVA DE SEGURIDAD Y SALUD EN EL TRABAJO EN LATINOAMÉRICA

La Normativa de Seguridad y Salud en el Trabajo  de los distintos países junto con la norma OSHAS 18001 buscan trabajar conjuntamente por garantizar la seguridad laboral de todos los empleados en las organizaciones.

Cada país tiene sus propios estatutos y referencias en materia de Seguridad y Salud en el Trabajo, en función de los que cada uno considere más relevante.

Las principales referencias en las que se basan los Gobiernos para establecer su normativa de Seguridad y Salud en el Trabajo en los países de Latinoamérica son los siguientes:

  • Las normas y aquellas especificaciones de carácter técnicas de los diferentes sectores laborales.
  • Las leyes que cada país tenga establecido en materia de Prevención y Riesgos Laborales.
  • Los Institutos de la Seguridad e Higiene. Este aspecto es tenido en cuenta en mayor medida en Europa.
  • Las diferentes normas de carácter internacional al respecto.
Normativa de Seguridad y Salud en el Trabajo en Latinoamérica

Existen ciertos casos específicos en los que la Seguridad y Salud en el Trabajo se ha convertido en un asunto de mayor relevancia y desarrollándose una normativa de seguridad y salud en el Trabajo con ciertas matizaciones que veremos a lo largo de este artículo.

Concretamente, nos vamos a centrar en países como Ecuador, Perú, Chile y Colombia, al haber éstos, logrados normativizar los procedimientos preventivos y correctivos.

De esta forma, logran una concienciación de la importancia de la prevención a través del desarrollo de leyes específicas.

Normativa de Seguridad y Salud en el Trabajo en Ecuador; Ley SART

La Ley SART de Ecuador estable la reglamentación pertinente para los Sistemas de Auditorías de Riesgos de Trabajo. Esta ley sienta las bases para lograr el mantenimiento de manera predictiva, preventiva y correctiva, a través de la oportuna evaluación de los diferentes riesgos laborales presentes en cada sector.

Así pues, a través de tales Sistemas, se busca que mediante auditorías documentales, de verificación, junto con la implicación de la Alta Dirección y sus empleados, sea posible lograr un control efectivo y más detallado, generando una mayor confianza entre todos los miembros.

Normativa de Seguridad y Salud en el Trabajo en Perú: Ley 29783

Está ley está fundamentada sobre la creencia de que la principal base para lograr la prevención en Seguridad y Salud en el Trabajo, se encuentra en la concienciación de todos los miembros de las organizaciones.

Es por tal motivo, por el que se busca, que las organizaciones peruanas realicen una correcta identificación, evaluación, prevención y comunicación de todos los riesgos potenciales a sus empleados.

Para lograr tales objetivos, la Ley 29783 de Perú obliga a llevar a cabo una serie de cambios, que implican tanto a las infraestructuras y logística, como cambios a nivel interno de la organización, considerando aspectos como, fomentar una mayor participación en las organizaciones sindicales, o reforzar el nivel de las sanciones.

A modo de resumen de lo establecido por esta Ley 29783 en cuanto a normativa de Seguridad de Seguridad y Salud en el Trabajo, las obligaciones para los empresarios son:
  • Crear mapas de riesgos.
  • Gestionar la capacitación de los trabajadores.
  • Realizar una serie de auditorías obligatorias.
  • Velar por el cuidado de la salud de sus empleados y el bienestar en general a nivel de seguridad en salud del trabajo.
Normativa de Seguridad y Salud en el Trabajo en Chile: Ley 16744

Uno de los aspectos esenciales de esta ley es la obligatoriedad de que las organizaciones chilenas cuenten con un seguro social a su cargo que ofrezca protección a sus empleados frente a los riesgos sufridos por accidentes a causa del trabajo.

Un aspecto a destacar dentro de esta ley, es que da alcance a los estudiantes, empleados domésticos y a todos los empleados con independencia de cual sea su función directa o indirecta con una organización.


Normativa de Seguridad y Salud en el Trabajo en Colombia: Ley 1562/2012 - Decreto 1072/2015

Esta Ley arroja claridad sobre conceptos tales como Sistema General de Riesgos Laborales o los Programas de Salud Ocupacional.

Define el Sistema General de Riesgos Laborales como el conjunto de entidades, normas y procedimientos que buscan una prevención, protección y atención del trabajador ante enfermedades y accidentes laborales.

Con el actual Decreto 1072 de 2015, se pone un mayor énfasis en el SG-SST, al establecer de manera obligatoria la necesidad de que todas las organizaciones colombianas cuenten con el mismo.

A través del mismo se busca agregar valor a la gestión de la organización.

Tomado de: https://www.isotools.org/

LAS CLAVES PARA ORGANIZAR UNA REUNIÓN PRODUCTIVA


Reuniones, reuniones y más reuniones. Realmente son necesarias?
Muchas veces salimos de una reunión exactamente igual que entramos, solo hemos perdido nuestro tiempo.

Las reuniones deben organizarse con un propósito. Ya que el tiempo de los integrantes de la empresa es oro, y podrían estar desempeñando otras tareas en vez de estar asistiendo a estos encuentros. Aquí os vamos a dar claves para que las reuniones que organices sean productivas.

1. Comunica la reunión con tiempo. Para que todos los invitados puedan acudir.

2. Elige el espacio adecuado para el momento. Con el material necesario para la marcha correcta de la reunión. Así no tendrás que parar para ir a por el ordenador, la tableta, un bolígrafo…

3. No deben ser una rutina. Debes reunir a los empleados con un objetivo.

4. Marca los horarios de entrada y salida de la reunión. Así os preocuparéis de invertir bien el tiempo. Muchas veces las reuniones se alargan demasiado sin conseguir nada.

5. Elige bien los asistentes a la reunión. No debes tener a personas que podrían estar desempeñando otras tareas.

6. La presencia de un moderador puede ser muy útil. Alguien que se ocupe de dar los turnos de palabra para una mejor organización.

7. Recomienda a los asistentes tomar notas de los temas a tratar en la reunión.

8. Si se trata de una reunión importante. Encarga que al finalizar, alguien se ocupe de redactar los puntos clave que se han tratado y enviar una copia a todos los asistentes.

9. Antes de terminar la reunión, deja un tiempo para que los asistentes hagan sus preguntas.

10. Al finalizar, repasa todos los puntos importantes con los reunidos. De esta manera te asegurarás de que han comprendido todos los temas que se han abordado durante el encuentro.


Tomado de: http://ideasinversion.com/

HSE: ¿QUÉ VENTAJAS OFRECE A LAS ORGANIZACIONES?


HSE son las siglas en inglés, Health, Safety & Environment. En español, medio ambiente y seguridad y salud, lo que representa las principales funciones que los sistemas de gestión han popularizado.
Son los requisitos mediante los que la mayoría de las organizaciones han obtenido un certificado mediante una entidad de certificación. Se tiene que considerar las normas internacionales como: ISO 14001 y OHSAS 18001.

En la actualidad se puede integrar diferentes funciones, siempre y cuando las circunstancias lo permitan.

El desarrollo que se lleva a cabo en la organización con el sistema de gestión integrado permite un notable ahorro de los recursos y los esfuerzos. Estos sistemas tienen aspectos comunes.

Resulta rutinario que no sea siempre fácil separar las diferentes tareas que se realizan por una misma persona. Para saber cuándo se está cumpliendo con los requisitos establecidos por el sistema de gestión.

Es fundamental considerar que la integración de los distintos sistemas que la constituyen. Todos los miembros de las organizaciones sean activos y participen en los logros de la misma.



¿POR QUÉ?

Un Sistema de gestión HSE permite a las organizaciones mejorar en reputación y obtener el prestigio

HSE es un Sistema de Gestión creado para garantizar estándares internacionales de seguridad y medio ambiente. Deberán ser controlados y monitoreados.

Por ejemplo, según el consejo colombiano de seguridad, el año pasado se notificaron en torno a 8900 enfermedades laborales, ocupando el primer lugar la industria de la manufactura. Hay una cifra muy elevada en cuanto a riegos laborales que presentan a diario.

Es una invitación a que las empresas colombianas implanten de manera oportuna las distintas normas que se establecen en el sistema de gestión. Garantiza una mayor competitividad y un menor riesgo en cuanto a los incidentes laborales.

El sistema permite mantener un riesgo en los procesos de la empresa, para mejorar la seguridad del trabajador ante los riesgos a los que se encuentra sometido o el cuidado del medio ambiente.

Para conseguir dichas certificaciones, es necesario demostrar y garantizar una adecuada gestión de la calidad frente a todos los procesos ejecutados y cumpliendo con la legislación, además de todos los estándares internacionales ISO.


Gracias a la realización de una buena gestión la empresa puede mejorar en reputación y obtener el prestigio que tiene.

Se debe prevenir todos los riesgos laborales que afecten de forma directa a cada empleado. Cuanto más alto sea el riesgo, mayor serán los cuidados que se lleven a cabo para prevenir accidentes.

Es necesario encontrar el significado de cada certificado que se corresponde dentro de la gestión integrada (HSE):

  • Seguridad ocupacional: certifica el conjunto de actividades relacionadas a la protección de la salud física, mental y social.
  • Seguridad industrial: certifica que existe un acuerdo frente a los riesgos y los peligros de la industria.
  • Medio ambiente: protege el medio ambiente o trabaja por el cuidado de los recursos naturales mediante las acciones que demuestren la conservación.

BENEFICIOS HSE:

  • Las empresas llegan a ser mucho más competitivas a nivel local e internacional.
  • Control adecuado en cuanto a las gestiones que llevan a cabo las organizaciones.
  • Posicionamiento de la empresa.
  • Confianza de los consumidores.
  • Reducción de los costos por accidentes laborales.
  • Mejora del medio ambiente.
  • Mejora de la seguridad laboral.
  • Mejora la calidad de vida del empleado.

El objetivo de ejecutar los proyectos necesarios para obtener los resultados adecuados, mejora la calidad de vida laboral, evita los impactos negativos en el medio ambiente.

Los proyectos establecen responsables con los grupos de interés y enmarcan a la empresa dentro de la mejora continua.

Muchas empresas cuentan con un sistema integrado de gestión HSE. Éste se basa en los siguientes principios fundamentales los cuales son:

  • Seguridad y salud en el trabajo
  • Medio ambiente

Hoy en día el papel que tiene el sistema de gestión integral de HSE, es un factor determinante en los procesos de producción y en los servicios prestados.

Los sistemas imprescindibles existen cuando tenemos la globalización de la economía. La homogeneidad de los productos y la relación de nuestras organizaciones con el ser humano y el medio ambiente garantizan que la industria permanezca en el mercado.


Tomado de: https://www.isotools.org/

domingo, 19 de marzo de 2017

EL CATÁLOGO DE COMPETENCIAS: LA BASE DE LA EFICIENCIA

La Gestión de Competencias para el desarrollo de los Recursos Humanos y en general para la organización, es una práctica cada vez más extendida tanto en el sector privado como público. 
La eficiencia profesional se logra haciendo uso de competencias profesionales así como de competencias personales.productos y/o servicios.

Competencia se define como un conjunto identificable y evaluable de capacidades que permiten desempeños satisfactorios en situaciones reales de trabajo, de acuerdo a estándares históricos y tecnológicos vigentes, y afectan la calidad de productos y/o servicios.

  • Competencias Genéricas: Adaptación al cambio, Creatividad e Innovación, Lealtad y Sentido de pertenencia, Orientación al cliente, Trabajo en equipo.
  • Competencias Específicas: Compromiso, Credibilidad técnica, Dinamismo, Don de mando, Liderazgo, Pensamiento estratégico, Precisión, Relaciones públicas, Tolerancia a la presión.
Cada organización define su “Catálogo de Competencias” y los niveles de las mismas necesarios para desarrollar actividades en la organización.

Una buena identificación de competencias y niveles establecidos, hacen más fácil evaluar a los trabajadores en sus puestos, poder reconocer el empleado más idóneo para optar a un puesto vacante en la empresa, así como  reconocer de esta forma deficiencias en la organización a nivel individual o a nivel de puesto.

Tras la toma de conciencia de ello se deben establecer formaciones que hagan que cada día la brecha entre competencias requeridas y disponibles sea menor o idóneamente que no exista.

Existen software en el mercado que permiten la automatización de todo el proceso. Definición del Catálogo de competencias con los distintos niveles, asignación a cada puesto y rol de la organización estableciendo unos valores recomendados y de riesgo para así evaluar a cada persona según su puesto y rol que ocupa o alguno al que puede optar.

Todas las evaluaciones quedan registradas en el curriculum de la persona y automáticamente se forma la matriz de competencias requeridas, disponibles y potenciales. De forma muy visual y siempre con la información actualizada.

El entorno es cambiante, las necesidades en la sociedad, normas, exigencias…, todo ello hace que las organizaciones tengan que estar preparadas, resistan y evolucionen. La mejora continua basada en personas, procesos y estrategia es el camino hacia la excelencia.

Tomado de: https://www.isotools.org

CALIDAD Y GESTIÓN ESTRATÉGICA EN CENTROS EDUCATIVOS

Necesitamos un sistema de medición del Proyecto Educativo que sea integral, equilibrado y eficaz.

No podemos seguir gestionando las organizaciones con herramientas del siglo pasado, por la simple razón de que hay otras más adecuadas. Lo podemos comprobar con un ejemplo sencillo. 

La industria del automóvil está adaptándose a los nuevos escenarios que se avecinan de crisis energética y para ello diseña motores eléctricos. Pero esto conlleva que paralelamente se desarrollen nuevas  competencias y herramientas para poder repararlos.

Lo mismo ocurre con las organizaciones, si quieren sobrevivir a los nuevos contextos económicos, sociales, culturales, de mayor competencia, etc., necesitan desarrollar nuevas habilidades en sus recursos humanos y utilizar herramientas que les permitan gestionar de manera más eficiente y eficaz ese cambio, en el cual el principal activo ya no son los recursos tangibles: dinero, instalaciones, materiales, etc., sino los activos intangibles: capital intelectual, los sistemas de comunicación interna, la flexibilidad de la organización,  el liderazgo, la confianza, etc.

La ISO 9004: 2009 (Gestión del éxito sostenido de una organización), es una guía para la mejora continua del desempeño y establece que: “Identificar, entender y gestionar los procesos interrelacionados como un sistema, contribuye a la eficacia y eficiencia de una organización en el logro de sus objetivos”.

El éxito sostenido es la capacidad del centro educativo para mantener o desarrollar su desempeño a largo plazo, para ello es necesario que haya un equilibrio entre los objetivos económico-financieros y los que no lo son: capacidades del personal docente y no docente, capacidad de los procesos de enseñanza y aprendizaje, necesidades y expectativas de los grupos de interés: alumnos, familia, sociedad, etc.

Por otro lado la Norma ISO 10015 “Directrices para la formación”, establece la importancia de definir las necesidades futuras de una organización las cuales necesitan estar relacionadas con las metas estratégicas y no tan solo con los objetivos de la calidad.

Por lo tanto necesitamos de una nueva herramienta de gestión del Proyecto Educativo del Centro que, desde un enfoque estratégico, nos permita medir el desempeño de la organización educativa de manera eficaz. Un modelo de gestión que sea integral y equilibrado.

Integral para que analice y gestione, no solo las áreas de los resultados económicos, y del nivel de satisfacción de los grupos de interés, sino que gestione aquellas áreas causantes de esos resultados como lo son el área  de los procesos internos, el área del aprendizaje y crecimiento y como no: el área de Responsabilidad Social.

Equilibrado porque busca que haya un balance entre indicadores financieros y no financieros, entre indicadores causa e indicadores efecto.

Esta herramienta se le llama Cuadro de Mando Integral, o Cuadro de Mando Balanceado (BSC), un Modelo que nos permite medir el desempeño de una Organización de manera equilibrada, integral y eficaz.

El CMI ayuda a gestionar la estrategia que permite a un centro educativo cumplir con su Misión y alcanzar su Visión, la cual debería estar claramente plasmada en su Proyecto Educativo del Centro.

Cuando un centro educativo diseña un plan estratégico, lo que pretende es crear  un marco de referencia que oriente sobre qué cosas debe hacer para alcanzar esa Visión, pero también que ponga límite a aquellas iniciativas que no contribuyen a alcanzar sus objetivos estratégicos plasmados en su PEC.

Es necesario pues disponer de  un software específico que nos ayude a gestionar el CMI del centro educativo. Este  programa informático  nos permite:

  • Mejorar la comunicación interna entre todo el personal.
  • Reducir significativamente la documentación escrita.
  • Hacer un seguimiento de los  resultados del plan de acción definido en la Programación General Anual del centro (PGA) y en el Proyecto Curricular.
  • Actuar como un sistema de gestión de la estrategia establecida en el PEC.

Tomado de: https://www.isotools.org

martes, 14 de marzo de 2017

LAS 4 LECCIONES DE HENRY FORD PARA LOS EMPRENDEDORES

Descubre en este artículo de Inversor Global las cuatro lecciones sobre innovación, eficiencia y perseverancia de Henry Ford para los emprendedores.
Hace ya 68 años de la muerte de Henry Ford, el empresario que revolucionó la industria moderna gracias a su novedosa técnica de producción en cadena.

Henry Ford es uno de los empresarios más conocidos de la industria del automóvil. Pocos dirían que su brillante trayectoria profesional comenzó cuando tenía 40 años. La idea de este emprendedor era muy ambiciosa. Y es que Ford abrió la compañía Ford Motor con el objetivo de crear un automóvil asequible para todos los bolsillos.

Después de meses de trabajo, este ingeniero lanzó al mercado el Ford T, un coche que marcó un antes y un después en la historia del transporte y de la industria a nivel mundial. Este modelo de automóvil no sólo cambió el aspecto de las carreteras a lo largo y ancho del planeta, sino que también generó la producción en cadena y dio forma a un gran número de políticas laborales.

Henry Ford, como único propietario de la compañía que lleva su apellido como nombre, se convirtió rápidamente en una de las personas más conocidas y ricas del planeta.

El éxito de Ford no radicaba exclusivamente en la fabricación de coches baratos. Este emprendedor creó el “Fordismo”, un sistema que combinaba cadenas de montaje, maquinaria especializada y un gran número de trabajadores en plantilla con altos salarios.

Henry Ford también destacó en el mundo de los negocios por sus lecciones recogidas en frases célebres. En Inversor Global te traemos cuatro enseñanzas que este empresario nos dejó.

“El secreto de mi éxito está en pagar como si fuera rico y vender como si estuviera en quiebra”

Henry Ford encontró el equilibrio para poder pagar a sus empleados altos sueldos y vender sus coches a bajos precios. El sistema conocido como el “Fordismo” cambió la industria del automóvil por completo.

“Si le hubiera preguntado a las personas qué querían, me hubieran dicho que caballos más rápidos”

El éxito del negocio de Ford radica en que fue capaz de dar al gran público algo que cambió su vida para siempre. Este emprendedor norteamericano pasó mucho tiempo realizando un estudio de mercado, interesándose por saber qué quería la gente y cuánto estaba dispuesta a pagar por ello.

“Los obstáculos son esas cosas espantosas que ves cuando apartas los ojos de tu meta”

Ford trabajó duro para lograr su objetivo. Él siempre luchó por conseguir crear un automóvil que pudiera ser comprado por todo el mundo. Después de mucho esfuerzo hizo realidad su sueño, en sueño que sigue siendo real. Ford es una de las marcas más reconocidas de la industria del automóvil.

“He observado que las personas eficientes avanzan mientras el resto pierde el tiempo”

Henry Ford sabía que el éxito de su empresa dependía de que la línea de producción fuera eficiente. La cadena para producir automóviles diseñada por este ingeniero permitía a la compañía obtener coches más rápido y a menor precio, pero también permitía pagar mejor a sus empleados. Los trabajadores al tener sueldos altos estaban contentos y eran más eficientes en sus puestos de trabajo.

Tomado de: https://inversorglobal.es

LAS EMPRESAS NO ENTIENDEN... VAN A ENTENDER

Es un hecho incuestionable que el trabajo no sólo está cambiando, sino que ya ha cambiado.

Por JAIME BÁRCENAS

Las empresas no entienden, a estas alturas, cómo ser verdaderamente productivas. Continúan dando palos de ciego, contratando consultorías, aferrándose a las últimas modas y tendencias para ser más eficientes, aun sabiendo que no resolverán sus problemas. 

Las empresas no entienden que las cosas no están cambiando, sino que ya han cambiado. Que el futuro para el que se quieren preparar, no es futuro sino presente. Que, si aún no han empezado a moverse, ya van tarde.

Las empresas no entienden que los procesos y la tecnología son importantes para su productividad, pero que hay algo más relevante y que tiene un impacto fundamental: la efectividad de las personas.

Las empresas no entienden que el mundo ha cambiado, que la gestión y la dirección de personas debe hacerse de una manera muy diferente a cómo se hacía antes.

Las empresas no entienden que hay que diseñar estructuras que fomenten la responsabilidad de las personas, porque sólo así podrán desarrollar la autonomía y la autogestión que es necesaria en el trabajo del conocimiento.

Las empresas no entienden que las personas se deben comprometer de manera genuina con su trabajo porque sólo mediante el verdadero compromiso se alcanzan resultados. Además, la empresa no podrá nunca gestionar ese compromiso porque comprometerse, o no, es algo que únicamente incumbe a las personas.

Las empresas no entienden que por mucho que busquen captar y retener el talento, que por mucho que establezcan estrategias de comunicación 2.0 o por mucho que sigan definiendo al líder perfecto, que no existe, primero han de saber y entender qué es el trabajo del conocimiento.

Las empresas no entienden que el valor del trabajo de las personas no depende del número de horas que están presentes en la oficina, sino de su capacidad para aprender, pensar y tomar decisiones. En definitiva, de cómo apliquen su conocimiento para obtener resultados independientemente de dónde lo hagan.

Las empresas no entienden que las personas necesitan nuevas competencias para afrontar una nueva realidad. Las soluciones del pasado son inútiles en el presente.

Las empresas no entienden que deben innovar, ser valientes y aproximarse a lo desconocido, porque lo desconocido puede ser sinónimo de oportunidad. Se trata, en definitiva, de entender qué hay que cambiar y cómo cambiarlo.

Las empresas no entienden que, para ser productivas, necesitan que las personas que trabajan en ellas sean efectivas y sean felices. Porque las personas, en la era del conocimiento, no necesitan productividad sino efectividad.

Y, al final de todo, me pregunto, ¿qué podemos hacer para que las empresas lo entiendan?

Tomado de: http://www.dinero.com/

FUTURA ISO 21001 SISTEMA DE GESTIÓN PARA LAS ORGANIZACIONES EDUCATIVAS

El comité ISO/PC 288 viene trabajando en una nueva norma dirigida a las organizaciones educativas de todo tipo, bien sea formación técnica, práctica o de investigación. 
Sus principios son:
  • Respecto por el aprendizaje y por por el estudiante.
  • Evolución de la calidad
  • Ampliación
  • Enfoque holístico
  • Normalización
  • Transparencia
  • Adaptabilidad
  • Participación
  • Armonización
La norma estará disponible en 2017 y será certificable.

Algunos de los modelos que se usan en la educación son:
Tomado de: http://www.prismaconsultoria.com/

EVALUACIÓN DEL DESEMPEÑO Y MEJORA EN ISO 9001:2015

Los requisitos para ambas cláusulas son similares a los recogidos en la versión 2008 de la Norma, aunque en la norma 2015 se han vuelto más específicos.
9 Evaluación del desempeño

Vamos a empezar por revisar la cláusula 9. Evaluación del desempeño, que a su vez incluye tres subcláusulas:


Si te fijas, estamos en el momento en el que la norma nos pide revisar el sistema y analizar los resultados. En el verificar del ciclo de mejora continua.

9.1 Seguimiento, medición, análisis y mejora

9.1.1 Generalidades

Para empezar, la norma te pide que determines (establezcas, fijes) a qué es necesario hacer seguimiento y qué es necesario medir. Por supuesto, debes definir los métodos que vas a usar para realizar seguimiento, medición, análisis y evaluación, según sea aplicable, para asegurar resultados válidos.

¿Y qué te falta? Pues fijar cuándo vas a hacer el seguimiento y la medición, y cuándo se deben analizar y evaluar los resultados del seguimiento y la medición.

Tu organización debe evaluar el desempeño de la calidad y la eficacia del sistema de gestión de la calidad. Y debe conservar la información documentada apropiada como evidencia de los resultados.

Cómo hacer todo esto, pues es tan fácil como documentar los indicadores de seguimiento, definiendo en ellos  la periodicidad, los responsables, el método utilizado e indicar lo que se va a medir.

9.1.2 Satisfacción del Cliente

Literalmente, la norma dice:

La organización debe realizar el seguimiento de las percepciones del cliente del grado en que se cumplen sus necesidades y expectativas. La organización debe determinar los métodos realizar el seguimiento y revisar esta información.

NOTA: Ejemplos de seguimiento de las percepciones del cliente pueden incluir las encuestas al cliente, la retroalimentación del cliente sobre los productos o servicios entregados, las reuniones con los clientes, el análisis de las cuotas de mercado, las felicitaciones, las garantías utilizadas y los informes de agentes comerciales.

Y creo que no hay más que añadir, puedes seguir utilizando la metodología que hayas usados hasta ahora, si te está dando buenos resultados.

9.1.3 Análisis y Evaluación

Nos encontramos frente al 8.4 Análisis de datos, de la versión 2008 de la norma.

La organización debe analizar y evaluar los datos y la información apropiados que surgen por el seguimiento, la medición.

Los resultados del análisis y la evaluación deben utilizarse para evaluar:

a) La conformidad de los productos y servicios con los requisitos.

b) El grado de satisfacción del cliente

c) El desempeño y la eficacia del sistema de gestión de calidad.

d) Si lo planificado se ha implementado de forma eficaz.

e) La eficacia de las acciones tomadas para abordar los riesgos y oportunidades.

d) El desempeño de los proveedores externos.

e) La necesidad de oportunidades de mejorar dentro del sistema de gestión de la calidad.

NOTA: Los métodos para analizar los datos pueden incluir técnicas estadísticas.

Igual que en el apartado anterior, no queda mucho que ni explicar, ya que la norma es muy clara en estos requisitos. Sólo explicarte que como novedad, este apartado de la norma incluye el requisito “demostrar que lo planificado se ha implementado de forma exitosa”  y “la eficacia de las acciones tomadas para abordar los riegos y oportunidades”.

9.2 Auditoría Interna

9.2.1 La organización debe llevar a cabo auditorías internas a intervalos planificados, para proporcionar información acerca de si el sistema de gestión de calidad:

a) Es conforme:

1) Los requisitos  propios de la organización para su sistema de gestión de la calidad.

2) Los requisitos de esta Norma Internacional.

b) Está implementado y mantenido eficazmente.

9.2.2 La organización debe:

a) Planificar, establecer, implementar y mantener uno o varios programas de auditoría que incluyan la frecuencia, los métodos, las responsabilidades, los requisitos de planificación y la elaboración de informes, que deben tener en consideración la importancia de los procesos involucrados, los cambios que tengan un impacto en la organización y los resultados de las auditorías previas.

b) Definir los criterios y el alcance de ésta.

c) Seleccionar los auditores y llevar a cabo auditorías para asegurarse de la objetividad y la imparcialidad del proceso de auditoría.

d) Asegurarse de que los resultados de las auditorías se informan a la dirección pertinente.

e) Realizar las correcciones y las acciones correctivas necesarias sin demora injustificada.

f) Conservar la información documentada como evidencia de la implementación del programa de auditoría y los resultados de auditoría.

NOTA: Véase la Norma 19011 a modo de orientación.

Esta subcláusula es muy similar a la 8.2.2 de la revisión 2008 de la norma, se incluye un cambio menor, aunque importante,  incluye que “la información con los resultados de la auditoría deben ser comunicados a la Dirección”. Para cumplir con el nuevo requisito de este apartado de norma, dejar documentado que la Dirección ha recibido los resultados de la auditoría interna, por ejemplo, un email.

9.3 Revisión por la Dirección

La esencia de este punto se mantiene en esta revisión de la norma.

9.3.1 Generalidades

La alta dirección debe revisar el sistema de gestión de la calidad de la organización a intervalos planificados, para asegurarse de su idoneidad, adecuación, eficacia y alineación continuas con la dirección estratégica de la organización.

9.3.2 Entradas de la revisión por la dirección

Las entradas para la revisión por la Dirección son prácticamente las mismas, añadiendo las relacionadas con proveedores externos y partes interesadas, efectividad de las acciones tomadas ante riesgos y oportunidades e idoneidad de los recursos requeridos para mantener un Sistema de Gestión de la Calidad efectivo.

9.3.3 Salidas de la revisión por la dirección

Las salidas deben incluir las decisiones y acciones relacionadas con las oportunidades de mejora, las necesidades de cambios del SGC y las necesidades de recursos.

Y, claro, mantener información documentada como evidencia de los resultados de las revisiones.

Para realizar la revisión puedes usar el análisis de sobre proveedores externos y partes interesadas  del apartado de “Contexto de la Organización”, además de incluir información de cómo la alta dirección ha hecho la asignación de los recursos para el mantenimiento del sistema de gestión.

10. Mejora

Esta última cláusula de la revisión 2015 equivale al apartado 8.5 de la ISO 9001:2008, y aunque existe un cambio en la redacción del requisito, se mantiene la esencia del mismo.

10.1 Generalidades

Esta subcláusula te pide determinar y seleccionar las oportunidades de mejora e implementar las acciones necesarias para cumplir los requisitos del cliente y aumentar la satisfacción del cliente. Debes incluir:

a) Mejorar los productos y servicios para cumplir los requisitos, los conocidos y los previstos (futuro).

b) Corregir, prevenir o reducir los efectos no deseados.

c) Mejorar el desempeño y la eficacia del SGC.

Es interesante la NOTA que te da ejemplos de mejora, reactivos (por ejemplo, acción correctiva), de manera incremental (por ejemplo, mejora continua), mediante un cambio significativo (por ejemplo, avance), de manera creativa (por ejemplo, innovación) o por reorganización (por ejemplo, transformación).

Para cumplir los requisitos de la revisión 2015 hay que mejorar los resultados de la organización, mejorando productos y servicios, desempeño y eficacia (en este último caso, con los resultados que se pueden medir).

10.2 No conformidad y acción correctiva

El principal cambio de esta subcláusula es la desaparición de las acciones preventivas.

10.2.1 Cuando ocurra una no conformidad, incluidas aquellas originadas por quejas, la organización debe:

a) reaccionar ante la no conformidad, y según sea aplicable

1) tomar acciones para controlarla y corregirla;

2) hacer frente a las consecuencias;

b) evaluar la necesidad de acciones para eliminar las causas de la no conformidad, con el fin de que no vuelva a ocurrir ni ocurra en otra parte, mediante:

1) la revisión de la no conformidad;

2) la determinación de las causas de la no conformidad;

3) la determinación de si existen no conformidades similares, o que potencialmente podrían ocurrir;

c) implementar cualquier reacción necesaria;

d) revisar la eficacia de las acciones correctivas tomadas;

e) si es necesario, actualizar los riesgos y oportunidades determinados durante la planificación, y;

f) si fuera necesario, hacer cambios al SGC.

Las acciones correctivas deben ser adecuadas a los efectos de las no conformidades encontradas.

10.2.2 La organización debe conservar información documentada, como evidencia de:

a) la naturaleza de las no conformidades y cualquier acción posterior tomada;

b) los resultados de cualquier acción correctiva.

Creo que no hay mucho más que añadir. Como hasta ahora, en caso de no conformidad hay que corregir, analizar causas y eliminar dichas causas mediante acciones correctivas.

10.3 Mejora continua

Con esta revisión de la norma deberás mejorar continuamente la idoneidad, adecuación y eficacia de tu SGC. Considerando los resultados del análisis y la evaluación, y las salidas de la revisión por la dirección, para determinar si hay necesidades u oportunidades que deben considerarse como parte de la mejora continua.

Y con esto hemos acabado con la revisión de las cláusulas de la ISO 9001:2015, intentando analizar los cambios y darte ejemplos concretos para que puedas empezar a realizar los cambios por ti mismo.

Tomado de: www.hazaconsejerostecnicos.com/iso-9001-2015-evaluacion-del-desempeno-9-y-mejora-10/

ISO 26000 CÓMO AUTENTICAR LOS FACTORES DE CUMPLIMENTO EN LA SEGURIDAD DE INFORMACIÓN


El control de acceso es una de las piedras angulares de la seguridad de información. Si no puede controlar quién accede a que, no se puede garantizar la seguridad en absoluto. 

Debido a eso, el control de acceso se mantiene en el foco principal de los equipos de seguridad y los malhechores.

La simple utilización de contraseñas, fichas o biometría no es suficiente para evitar el acceso no autorizado. La complejidad de los ataques y el valor de los activos requieren, por lo que las empresas se encuentran recurriendo a la autenticidad de muchos factores, especialmente la Autentificación de dos factores.

Esto supone una mejora clara de la seguridad, cómo encaja en los marcos de seguridad. La norma ISO 27001 puede beneficiarse de la adopción de controles de acceso a la Autentificación de dos factores.

El papel de la autentificación de control de acceso y la definición de dos factores

En primer lugar, se debe entender que un proceso de control de acceso robusto comprende estos tres conceptos:
  • Identificación: métodos para proporcionar un sujeto con una identidad reconocible.
  • Autentificación: métodos para asegurar que un sujeto es quien dice ser.
  • Autorización: métodos para controlar las acciones que un sujeto puede llevar a cabo en un objeto.
En cuanto a los métodos de Autentificación, los siguientes conceptos se pueden utilizar, por separado o en combinación.
  • Utilizar contraseñas y números PIN. Este es el menos costoso de implementar y menos seguro.
  • Utilizar tarjetas inteligentes. Es caro pero muy seguro.
  • Utilizar patrones de voz, retina, huellas digitales, etc. son más caros pero es mucho más seguro.
Por lo tanto, cuando se habla sobre la Autentificación de dos factores, nos referimos a utilizar dos de estos tres conceptos junto para asegurar que un sujeto es quien dice ser.

Es importante señalar aquí que cuando un dispositivo proporciona la información que el usuario debe introducir por sí mismo como parte del proceso de Autentificación, esto no se considera algo que tienes. Esta situación se considera una Autentificación por el conocimiento en dos etapas. Para ser considerado como algo que el usuario tiene, el propio dispositivo debe proporcionar la información de Autentificación durante el paso de Autentificación.

¿Por qué utilizar la autentificación de dos factores?

Se basa en un solo factor de Autentificación que deja la solución con un único punto de fallo, en el sentido de que si el conocimiento, dispositivo o patrón se ve comprometida con cualquier persona que tiene que suplantar al usuario. Se puede pensar en las siguientes situaciones:
  • Usuarios descuidados que comparten las contraseñas, las anotan en lugares fáciles de encontrar o revelarlas por medio de ingeniería social.
  • Tarjetas inteligentes, llaves y similares pueden ser robados o perdidos.
  • Patrones biométricos pueden ser reproducidos por distintos tipos de tecnologías.
Mediante la utilización de la Autentificación de dos factores, se crea una capa adicional de protección contra cualquier persona que quiera obtener acceso no autorizado, porque incluso si un malhechor que compromete la información con respecto a un factor, será inútil sin la información del segundo factor de Autentificación.

La selección de un par adecuado de los factores de Autentificación que se utiliza depende de los resultados de las evaluaciones de riesgo, el nivel de seguridad deseado, los costos de implantación y los recursos disponibles. Los más comúnmente utilizados son una combinación de algo que sabes y algo que tienes.



Autentificación de dos factores que aplica la norma ISO 27001

Aunque la norma ISO 27001 se describen en el Anexo A se refieren de forma básica a la información secreta. Como medio de la autentificación, la norma ISO 27002, establecer todas las recomendaciones de la norma ISO 27001 controles, recomienda la utilización de los métodos de Autentificación en una gran cantidad de otros controles, siendo el objetivo de hacerlos más robustos e incrementar su eficacia para proteger la información. Estos son los que puedan hacer utilización de la Autentificación de dos factores:
Los controles de seguridad
Razón fundamental
A.9.1.1 – Control de acceso política
A.10.1.1 – Política sobre el uso de controles criptográficos
A.11.2.9 – Escritorio despejado y la política pantalla clara
A.14.1.1 – Información de análisis de requisitos de seguridad y las especificaciones
A.14.1. 2 – Asegurar los servicios de aplicaciones sobre redes públicas de
A.14.1.3 – La protección de los servicios de aplicaciones transacciones
A.14.2.5 – Principios de ingeniería de sistema seguro
Las políticas y los procesos que conducen a la necesidad del uso de aplicaciones de dos factores de acuerdo a los requerimientos del negocio . Aquí puede definir la combinación de los factores más adecuados para su organización.
A.9.1.2 – El acceso a las redes y servicios de redes
A.13.1.2 – Seguridad de los servicios de red
A.13.1.3 – La segregación en las redes
A.13.2.3 – La mensajería electrónica
Autenticación de dos factores se puede aplicar para garantizar un acceso seguro a los servicios de red más sensibles (por ejemplo, pago con tarjeta de crédito en línea). Adicionalmente a la autenticación de usuario, se puede considerar la autenticación de los dispositivos de red.
A.9.4.2 – Securidad de conexión a la comunicación procedimientos
A.9.4.4 – El uso de programas de utilidad privilegiados
Autenticación de dos factores se puede aplicar para garantizar un acceso seguro a los más sensibles sistemas de información, aplicaciones y programas (por ejemplo, los sistemas de investigación y desarrollo y aplicaciones de seguridad).
A.11.1.2 – controles de entrada físicas
Autenticación de dos factores se puede aplicar para garantizar un acceso seguro a las áreas e instalaciones (por ejemplo, los centros de datos más sensibles).


No evolucionar es el primer paso hacia los problemas de seguridad


A medida que las soluciones de seguridad de información más fuertes en todas las áreas, los malhechores trabajan aún más para comprometer el acceso válido para explotar activos de una empresa, y las prácticas de control de acceso tradicionales no son capaces de seguir el ritmo adecuado en los niveles de seguridad.

La Autentificación de muchos factores es el siguiente paso lógico para mantener los niveles de seguridad y asociando esta práctica con los controles y recomendaciones de la norma ISO 27001, una empresa puede mantener su información y sistemas alejados a las personas no autorizadas mientras mantiene el cumplimiento de los requisitos de la norma.


Tomado de: http://www.pmg-ssi.com/