martes, 21 de noviembre de 2017

AUDITORÍA DE CERTIFICACIÓN ISO 9001:2015, POSIBLES PREGUNTAS

Tras implementar un Sistema de Gestión de la Calidad, basado en la norma ISO 9001:2015, es normal que la organización piense en enfrentarse a la Auditoría de Certificación ISO 9001:2015, que realizará un organismo de certificación externo.
Es esta la única forma en que la organización podrá certificar el cumplimiento de los requisitos de la norma ISO 9001:2015. Para una organización, que nunca ha sido evaluada por auditores externos, este puede ser un momento en verdad difícil.

Aunque ya tengan experiencia en auditoría interna, la Auditoría de Certificación ISO 9001:2015 genera nerviosismo y muchas preguntas…¿Qué preguntará el auditor?, ¿está la organización preparada en forma adecuada para la Auditoría de Certificación?, ¿están los empleados preparados para afrontarla?. Veamos algunas de las posibles preguntas que se enfrentan en una Auditoría de Certificación ISO 9001:2015.

Auditoría de Certificación ISO 9001:2015 – Posibles preguntas

¿La organización cumple con todos los requisitos exigidos en las cláusulas de la norma? Aunque el cumplimiento de muchos de los requisitos se puede verificar en la auditoría de documentación, los procedimientos que no estén documentados deben ser comprobados con la observación directa del procedimiento, que por supuesto incluye una serie de preguntas al empleado responsable.

Preguntas como ¿en qué forma se realiza este proceso? o ¿puede enseñarme como se realiza este procedimiento?, formarán parte de la entrevista. Es probable que el auditor exija una demostración completa sobre la forma en que se lleva a cabo un determinado proceso.

¿Son consistentes los resultados de los procesos? Es admisible que algunos empleados muestren variaciones en cuanto a la forma de llevar un proceso a su culminación, sobre todo en el orden de los pasos. Sin embargo, el resultado final debe ser consistente y de acuerdo con la norma, para que sea efectivo.

Cuando un auditor observa que varios empleados, llevan a cabo un mismo proceso en forma diferente, y con resultados opuestos, generando la posibilidad de error en alguno de ellos, la conclusión, sin duda, será que es un proceso inconsistente, generador de riesgo y que no está de acuerdo con el estándar ISO.

¿Todos los procesos han sido revisados? Una vez que se han revisado los procesos y procedimientos que los auditores consideran pertinentes, ellos tratarán de asegurarse de que las auditorías internas, previas a la de certificación, se han efectuado de acuerdo al cronograma de implementación del sistema y a la evidencia resultante de esas auditorías.

En ese punto, los informes de las auditorías internas, la verificación de los registros, los hallazgos y el seguimiento que a ellos se haya dado, desempeñarán un papel muy importante.

¿Cómo resultado de las auditorías internas, ha surgido la necesidad de emprender acciones correctivas?, ¿estas, se han implementado en forma oportuna?, ¿se ha efectuado seguimiento sobre tales acciones? Ningún auditor espera que todo haya sido perfecto durante la implementación del sistema de gestión de la calidad. Por el contrario, encontraría sospechoso que no se registraran no conformidades y hallazgos durante las auditorías internas.

Poder mostrar no conformidades, tratadas oportunamente con acciones correctivas o de mejora, a las que se les hizo el debido seguimiento, y fueron registradas oportunamente, será un punto a favor durante la Auditoría de Certificación ISO 9001:2015.

¿Cómo se ha implementado el pensamiento basado en el riesgo? La versión 2015 de ISO 9001 plantea un enfoque basado en el riesgo en todas las áreas de la organización.

El auditor se centrará en comprobar el nivel de adaptación de la organización al pasar del concepto de acción preventiva, para abordar el pensamiento basado en el riesgo.

¿Está la organización preparada para la mejora continua del sistema? A la par del enfoque basado en el riesgo, la mejora continua es otro de los elementos novedosos en la norma ISO 9001 edición 2015.

Esto exige una planificación, que es lo mínimo que esperan los auditores. Es claro que ellos no tratarán de comprobar una labor de mejora sobre un sistema que recién termina de implementarse. Pero si desean que usted tenga eso previsto, planificado y programado.

La Auditoría de Certificación ISO 9001:2015 será mucho más fácil si sus empleados están preparados

Sabemos que la Auditoria de Certificación ISO 9001:2015 genera nerviosismo y tensión en su organización. En IDEA CONSULTORES & ASESORES S.A.S. ponemos a disposición de sus empleados el diversas herramientas para apoyar y preparar a sus empleados para afrontar con éxito la Auditoría de Certificación.

IDEA CONSULTORES & ASESORES S.A.S. puede ayudarle en el proceso de transición o en la implementación, control, medición, mejora y todos los temas de su Sistema de Gestión (ISO 9001:2015, ISO 14001:2015, OHSAS 18001 (ISO 45001), ISO 31000 y otras normas). Coctáctenos, uno de nuestros profesionales lo visitará.

Tomado de: https://www.123aprende.com

LOS 6 RETOS A LOS QUE SE ENFRENTA UN DIRECTOR DE SEGURIDAD DE LA INFORMACIÓN?


Hoy en día es cada vez más difícil establecer la digitalización masiva de la sociedad, impulsando la movilidad y la conectividad permanente, uniendo los nuevos riesgos y las amenazas que se establecen en el mercado. 

Se imponen nuevo retos para los directores de seguridad de la información de las empresas.


El escenario tecnológico se diversifica y se complica

Aunque no parezca verdad hace un tiempo en las empresas se trabajaba de forma exclusiva con ordenadores personales y redes contraladas por el equipo de sistemas de manera que se protegía el perímetro de la empresa quedara a salvo de posibles ataques.

El panorama tecnológico en la actualidad es muy diferente. Los sistemas propios y ubicados en la organización han dado paso a sistemas basados en el modelo de aprovisionamiento cloud computing.

Los datos ya no son generados y almacenados en el data centro, sino que se establecen en dispositivos móviles que proliferan entre los diferentes empleados, por lo que no los facilita ni siquiera en la propia organización, sino que son personales. Incluso la inteligencia en la red corporativa ha saltado del centro de datos a los dispositivos de los profesionales. La red empieza a dotar de conexión a los dispositivos más variopintos, y cada vez debe tener en cuenta la tendencia hacia el llamado internet de la cosas.

Se exige a los directores de seguridad una nueva aproximación de que ofrezca respuesta a los nuevos modelos y prácticas. Es necesario disponer de políticas concretas en este sentido, y darlas a conocer a los trabajadores, por es importante que lo tengan interiorizado para saber cómo actuar para no poner en riesgo la información de su organización. Cómo también lo puede ser proteger desde el centro de datos el dispositivo móvil con las nuevas herramientas de software y de gestión de dispositivos móviles en los proveedores de seguridad. No nos podemos olvidar de que se debe blindar la red interna y los activos corporativos.

Más amenazas y más virulentas

No es menos importante tener un reto para los responsables de seguridad siendo el cambio en el tipo de ataques y amenazas que han sido producidos en los últimos tiempos. Los ciberataques que realizaban los hackers de antaño para superar un rato informático que han dado paso a amenazas dirigidas y persistentes llevadas a cabo en grupos de cibercriminales cuyo fin es robar la información, es decir, el lucro económico.

Los directores de seguridad tienen que ser conscientes de esta nueva realidad y saber que, aunque sea difícil evitar los ataques, es necesario mitigar los efectos que se relacionan con la celeridad. Todos los expertos recomiendan que se adopte la seguridad basándonos en la metodología que ofrecen los estándares reconocidos como puede ser la norma ISO 27001 y llevar a cabo auditorías con frecuencia para ver el grado de preparación que se tiene de cara a la incidencia de este tipo.


Es necesario que se mejore la gestión del riesgo. Esto se puede llevar a cabo con la monitorización constante de las amenazas, que se producen en todos los equipos y en la red. Muchas herramientas que ya se encuentran disponibles nos pueden ayudar en la implementación, ya que es algo sencillo.

Presupuestos aún ajustados

De un tiempo hasta ahora se caracteriza por la caída o ajuste en los presupuestos de TI que sufren muchas organizaciones, la situación económica puede mejorar.

La parte directiva de las organizaciones es cada vez más consciente de que el gasto en seguridad de la información es necesario. Es todo un reto justificar los gastos que se encuentran en el área de TI.

El gasto en seguridad ha seguido incrementado en los últimos años. La creciente adopción de la tecnología de movilidad o el cloud computing, además de las redes sociales será lo que impulse, por lo que es bueno utilizar nuevas tecnologías y servicios de seguridad de la información hasta el año 2016.



Escasez de personal especializado

Los recursos humanos utilizados para controlar la seguridad de la información son muy escasos y tienen un coste muy elevado. Aunque, es mucho más problemático el poder que debe tener para retener a dichos profesiones en un mercado en el que son tan necesarios.
Mayor conocimiento y alineación con el negocio

No solo el director de TI tiene que estar alineado con el negocio sino que también debe contar con el director de seguridad de la información. Es necesario disponer de conocimientos sólidos del ámbito de las comunicaciones y la informática, además es necesario que se garantice la seguridad de todas las aplicaciones y los sistemas. El responsable de seguridad debe saber cómo guiar a la empresa para se introduzca en los nuevos mercados.


Hacer la seguridad invisible para el usuario

Las TI en general es preciso trabajar para que la seguridad de la información, sea invisible, transparente, para la empresa y sus usuarios. El trabajo que hay detrás es arduo pero muy necesario.

IDEA CONSULTORES & ASESORES S.A.S. puede ayudarle en el proceso de transición o en la implementación, control, medición, mejora y todos los temas de su Sistema de Gestión (ISO 9001:2015, ISO 14001:2015, OHSAS 18001 (ISO 45001), ISO 31000 y otras normas). Coctáctenos, uno de nuestros profesionales lo visitará.

Tomado de: http://www.pmg-ssi.com/