sábado, 14 de enero de 2017

LA NUEVA ISO 27001 O SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

El Sistema de Gestión de Seguridad de la Información según la Norma ISO 27001 ha sido revisado y en octubre estará disponible la nueva versión.
El Sistema de Gestión de Seguridad de la Información según la ISO 27001 es una norma que contiene los requisitos necesarios para que las empresas puedan asegurar la información de que disponen y dotarla de una seguridad y confianza que repercutirá en la fidelidad de sus clientes y en la mejora de su servicio y/o producto. Por lo tanto, es la principal norma de esta materia.

Esta norma ISO 27001, como es habitual entre todas las normas ISO, ha sido revisada para adaptarse a las nuevas innovaciones y necesidades en materia de seguridad de la información. Es por esta razón que vamos a exponer en este post de forma breve en que van a consistir los puntos fuertes de esta revisión.

¿Qué es el Sistema de Gestión de Seguridad de la Información según la Norma ISO 27001?
La Norma ISO 27001 es una de las principales herramientas que pueden adoptar las empresas para garantizar la seguridad de la información de que disponen.
En primer lugar debemos hacer un breve resumen del objetivo y, por lo tanto, la utilidad de esta norma para comprender mejor las revisiones que se han realizado.

Como ya hemos hablado en otros post sobre este mismo tema, la ISO 27001 centra sus objetivos en conseguir y garantizar que los riesgos de la seguridad de la información que puedan producirse en una empresa sean conocidos, gestionados y minimizados de una forma eficiente gracias a la correcta gestión de la documentación y al control.

De esta forma, permite que la empresa se adapte a las innovaciones en materia de seguridad de la información, corrigiendo los errores antes de que estos se produzcan.

Veámoslo con un ejemplo: cualquier empresario que tiene un almacén con productos que vende no espera a que se produzca un robo para colocar una serie de medidas de seguridad. Y, de la misma manera, no se espera a que se produzca un fallo en el ordenador para realizar copias de seguridad, sino que se realizan de forma periódica para conservar en todo momento los archivos de que disponemos.

Entonces, ¿por qué con la información de que disponemos no la protegemos? No podemos esperar a que ocurran las cosas para empezar a actuar, sino que debemos poner los medios para que estos fallos no se produzcan y que no lleguemos a una situación en la que lamentemos lo que no hicimos y debimos haber realizado.

Además, debemos pensar que en el mundo actual priman las nuevas tecnologías y la cada vez mayor aplicación de las Tecnologías TIC en las empresas obligan a adaptar una seguridad de la información más eficaz y centrada en estos campos. Y una forma de hacerlo es mediante la implantación de la Norma ISO 27001.

Puede parecer que todo esto es muy complejo pero lo cierto es que este tipo de herramientas son de fácil aplicación si contamos con el apoyo de profesionales que, como SBQ Consultores, tienen un alto grado de conocimiento de la Norma y de su aplicación efectiva en las empresas para que la dirección sólo deba preocuparse de otras gestiones pero no de aspectos estructurales o de implantación.

¿Cuáles son los puntos revisados en la nueva Norma ISO 27001?
La norma revisada ISO 27001 se pondrá a disposición de todo aquel que esté interesado en este mes de octubre.
La revisión de la Norma ISO 27001 fue realizada a lo largo de estos meses y desde octubre del 2013 está a disposición de las empresas, de las consultorías, de los profesionales y de todo el personal interesado, la nueva versión revisada. Esta información nos la aporta AENOR a través de su página web.

De esta revisión tenemos que destacar los siguientes puntos fuertes sobre los que se centra las modificaciones:

  • Se han tomado como referencia de revisión las experiencias de las empresas que están certificadas con la ISO 27001. De esta forma se han corregido fallos que ven los usuarios en su utilización habitual y no los expertos a la hora de planificar sobre el papel la norma.
  • Además se toman como referencia unos controles de seguridad que permiten detectar los puntos de gran importancia para la seguridad de la información y así hacer que sea una revisión eficaz, que adopte todas las innovaciones y plantee soluciones para peligros para la información como es, por ejemplo, el robo de identidad.
  • La nueva Norma ISO 27001 se ha reformado adoptando un enfoque racional y más flexible para conseguir una gestión más eficaz del riesgo.
  • Se ha modificado para que pueda ser compatible con otros sistemas de gestión. De esta forma se podrá integrar la Norma ISO 27001 con un Sistema de Gestión de la Calidad según la ISO 9001 o con un Sistema de Gestión de la Continuidad del Negocio según la ISO 22301, etc.
La información que posee la empresa ha de ser protegida ya que es uno de los puntos clave para la continuidad del negocio.
Tomado de: http://www.sbqconsultores.es/

¿QUÉ SON CALIDAD, ASEGURAMIENTO DE LA CALIDAD Y CONTROL DE CALIDAD?

A continuación se presentan diversas definiciones de los conceptos de: calidad, control de calidad y aseguramiento de la calidad.

Qué es calidad?

La calidad fue definida por Joseph M. Juran como “adecuación al uso”. La adecuación al uso (calidad) implica todas aquellas características de un producto que el usuario reconoce que le benefician.

La siguiente figura resume los parámetros que determinan la adecuación al uso  [1]:



W. Edwards Deming definió la calidad como un grado predecible de uniformidad y fiabilidad a bajo coste, adecuado a las necesidades del mercado. [2]

De acuerdo con Armand V. Feigenbaum calidad es: Un sistema eficaz para integrar los esfuerzos de mejora de la calidad de los distintos grupos de una organización, para proporcionar productos y servicios a niveles que permitan la satisfacción del cliente. [3]

Genichi Taguchi la define como el coste que un producto impone a la sociedad desde el momento de su concepción. [4]

En la norma ISO 8402 se define la calidad como el conjunto de propiedades y características de un producto o servicio que le confiere su aptitud para satisfacer unas necesidades expresadas o implícitas. [5]

Para profundizar en el concepto de calidad te proponemos la siguiente video-lección (3 videos, 38 minutos), impartida por el profesor Víctor Yepes, en la cual se describen los conceptos fundamentales sobre calidad, desde los puntos de vista del cliente, técnico, estadístico y económico.

Qué es control de calidad?

Control de calidad es el proceso de regulación a través del cual podemos medir la calidad real, compararla con las normas y actuar sobre la diferencia. [6]

El control de calidad está compuesto por las herramientas, conocimientos prácticos o técnicas por medio de la cuales se desarrollan algunas o todas las funciones de calidad. [7]

Se denomina control de calidad al conjunto de técnicas y procedimientos de que se sirve la dirección para orientar, supervisar y controlar todas las etapas mencionadas hasta la obtención de un producto de la calidad deseada. El control de calidad no es sólo papeleo, ni una serie de fórmulas estadísticas y de tablas de aceptación y control, ni el departamento responsable del control de calidad. Para una dirección bien informada, el control de calidad representa una inversión que, como cualquier otra, debe producir rendimientos adecuados que justifiquen su existencia. 

Todos los miembros de una empresa son responsables del control de calidad. Sea cual sea el trabajo que desarrolle una persona o una máquina, quien realiza el trabajo o maneja la máquina es quien con mayor eficacia puede controlar la calidad o informar de la imposibilidad de alcanzar la calidad deseada para que se adopten medidas correctoras. [8]

En la norma ISO 8402 se define el control de calidad como el conjunto de técnicas y actividades de carácter operativo, utilizadas para verificar los requerimientos relativos a la calidad del producto o servicio. [9]

Qué es aseguramiento de la calidad?

El aseguramiento de la calidad o garantía de calidad es, según la Norma ISO 8402, el conjunto de acciones planificadas y sistemáticas necesarias para proporcionar la confianza adecuada de que un producto o servicio satisfará los requerimientos dados sobre calidad. [10]

El aseguramiento de la calidad nace como una evolución natural del control de calidad, que resultaba limitado y poco eficaz para prevenir la aparición de defectos. Para ello, se hizo necesario crear sistemas de calidad que incorporasen la prevención como forma de vida y que, en todo caso, sirvieran para anticipar los errores antes de que estos se produjeran. Un sistema de calidad se centra en garantizar que lo que ofrece una organización cumple con las especificaciones establecidas previamente por la empresa y el cliente, asegurando una calidad continua a lo largo del tiempo. [11]

El aseguramiento de la calidad es un sistema que pone el énfasis en los productos, desde su diseño hasta el momento de envío al cliente, y concentra sus esfuerzos en la definición de procesos y actividades que permiten la obtención de productos conforme a unas especificaciones. Sus objetivos son: (1) Que no puedan llegar al cliente productos o servicios defectuosos; y (2) Evitar que los errores se produzcan de forma repetitiva. [12]

Referencias:

[1] Guajardo Garza, Edmundo. Administración de la calidad total. Editorial Pax México, 2008. p.57
[2] Udaondo Durán, Miguel. Gestión de calidad. Ediciones Díaz de Santos, 1992, p. 35
[3] Ibid
[4] Ibídem, p. 19
[5] Buades, Gabriel. Calidad en Ingeniería del Software, UIB, 2002, p.10.
[6] Juran, J. M., Gryna (Jr.), Frank y  R. S. Bingham. Manual de control de la calidad. Reverte, 1983, p.14
[7] Ibid
[8] Hansen, Bertrand L. y Ghare, Prabhakar M., Control de calidad: teoría y aplicaciones. Ediciones Díaz de Santos, 1989, p. 2
[9] Ibid Buades
[10] Ibidem
[11] Universidad EAFIT, Aseguramiento de la calidad. Boletín 42
[12] Renau Piqueras, Juan José. Aseguramiento de la calidad, los procesos y su mejora. Universidad de Valencia, p. 4

Tomado de: http://www.gestiopolis.com/