LA GUÍA DEFINITIVA PARA UNA AUDITORÍA DE CIBERSEGURIDAD IMPECABLE Y UN SGSI A PRUEBA DE RIESGOS: EN153-V1 ISO IEC 27007:2020

Como expertos en auditoría de sistemas de gestión de seguridad de la información, nos complace compartir una visión detallada sobre cómo la norma ISO/IEC 27007 complementa y potencia las directrices generales de auditoría, ofreciendo una guía práctica para las auditorías internas de seguridad en el sector tecnológico.

Directrices para la Auditoría de Sistemas de Gestión de Seguridad de la Información (SGSI): Más Allá de lo Básico

La auditoría es una herramienta fundamental para asegurar la eficacia de cualquier sistema de gestión. Si bien la ISO 19011 establece los principios y directrices generales para la auditoría de sistemas de gestión, cuando hablamos de la seguridad de la información, necesitamos un enfoque más específico. 

Aquí es donde entra en juego la ISO/IEC 27007, una norma diseñada para proporcionar orientación detallada en la auditoría de un Sistema de Gestión de Seguridad de la Información (SGSI), el cual se basa en la norma ISO/IEC 27001.

La ISO/IEC 27007 es una guía esencial para quienes planifican y realizan auditorías internas o externas de un SGSI. Su objetivo no es reemplazar a la ISO 19011, sino complementarla con información pertinente al ámbito de la seguridad de la información. 

Al aplicarla, los auditores pueden profundizar en aspectos críticos que son únicos para la protección de la información, asegurando que el SGSI no solo cumpla con los requisitos, sino que sea realmente efectivo en salvaguardar los activos de información de una organización.

10 Aportes Específicos de ISO/IEC 27007 que ISO 19011 no Cubre

La ISO 19011 ofrece un marco robusto, pero la ISO/IEC 27007 añade capas de especificidad cruciales para el dominio de la seguridad de la información. Aquí se destacan 10 de sus contribuciones más importantes:

1.Objetivos y Criterios Específicos para Auditorías de SGSI: Mientras que la ISO 19011 proporciona ejemplos genéricos de objetivos de auditoría, la ISO/IEC 27007 detalla objetivos y criterios de auditoría específicos para un SGSI. Esto incluye la evaluación de la capacidad del SGSI para identificar y abordar los riesgos de seguridad de la información, y la determinación del grado de conformidad de los controles de seguridad de la información con los requisitos y procedimientos.

2.Competencia Detallada del Auditor de SGSI: La ISO/IEC 27007 profundiza en el conocimiento y las habilidades que un auditor de SGSI debe poseer. Esto abarca no solo la auditoría general, sino también la comprensión de la complejidad de los sistemas de información, la tecnología utilizada, los riesgos y oportunidades de seguridad de la información, y los requisitos legales y reglamentarios específicos del sector en materia de seguridad.

3.Auditoría de la Declaración de Aplicabilidad (SoA): Un elemento distintivo de la ISO/IEC 27001 es la Declaración de Aplicabilidad (SoA). La ISO/IEC 27007 proporciona orientación específica sobre cómo auditar este documento clave, asegurando que los controles seleccionados por la organización se justifiquen a través de la evaluación de riesgos y que los controles excluidos tengan una justificación válida y documentada.

4.Gestión de Riesgos de Seguridad de la Información: Aunque la ISO 19011 introduce un enfoque basado en riesgos, la ISO/IEC 27007 ofrece una guía exhaustiva sobre cómo auditar el proceso de gestión de riesgos de seguridad de la información. Esto incluye la evaluación de la metodología de evaluación de riesgos, la identificación de riesgos y oportunidades específicos de seguridad de la información, y el tratamiento y la aceptación de riesgos, verificando que estas decisiones estén documentadas y sean coherentes con el apetito de riesgo de la organización.

5.Manejo de Información Confidencial y Sensible: Dada la naturaleza de la seguridad de la información, la ISO/IEC 27007 enfatiza la necesidad de un manejo extremadamente cuidadoso de la información clasificada o sensible obtenida durante la auditoría. Detalla cómo proceder si el acceso a cierta información es limitado por razones de confidencialidad o clasificación, y cómo esto puede afectar la confianza en las conclusiones de la auditoría.

6.Auditoría de los Objetivos y Planes de Seguridad de la Información: La norma específica para SGSI brinda orientación sobre cómo auditar la definición, la comunicación y el logro de los objetivos de seguridad de la información. Esto implica verificar que los objetivos sean coherentes con la política de seguridad, que se monitoreen y que existan planes claros para su consecución.

7.Liderazgo y Compromiso en el Contexto del SGSI: Si bien el liderazgo es un principio general, la ISO/IEC 27007 se centra en cómo la alta dirección demuestra su compromiso y asume la responsabilidad específica de la eficacia del SGSI. Esto implica evaluar la participación de la dirección en la toma de decisiones sobre seguridad y la promoción de una cultura de seguridad.

8.Contexto de la Organización desde la Perspectiva de SGSI: La norma orienta a los auditores sobre cómo verificar que la organización ha comprendido adecuadamente sus cuestiones internas y externas, y las necesidades y expectativas de las partes interesadas, específicamente en relación con la seguridad de la información, y cómo esta comprensión informa el alcance y el desarrollo del SGSI.

9.Auditoría de la Cadena de Suministro y Servicios Externalizados: En el entorno actual, la seguridad de la información a menudo depende de terceros. La ISO/IEC 27007 proporciona orientación específica sobre cómo auditar los controles de seguridad en las relaciones con proveedores y en servicios externalizados, incluyendo cómo buscar evidencia alternativa si el acceso directo a la información del proveedor es restringido.

10.Orientación Detallada sobre Documentación de SGSI: Más allá de la información documentada general, la ISO/IEC 27007 aborda cómo auditar políticas de seguridad, resultados de evaluaciones de riesgos, planes de tratamiento de riesgos y resultados de auditorías internas de seguridad de la información. Esto incluye la verificación de la integridad, exactitud y coherencia de esta información, aspectos críticos en el ámbito de la seguridad.

Diseño de un Programa de Auditoría Interna de SGSI para una Empresa Tecnológica

Como experto auditor, el diseño de un programa de auditoría interna debe ser estratégico y basado en riesgos, especialmente en una empresa tecnológica donde la seguridad de la información es el corazón del negocio. Aquí, los consejos de la ISO/IEC 27007 son invaluable.

Empresa Ejemplo: “TechSolutions S.A.”, una empresa global de desarrollo de software y servicios en la nube, con equipos distribuidos y datos sensibles de clientes.

1. Objetivos del Programa de Auditoría (Coherentes con la Estrategia de TechSolutions):

•Evaluar la conformidad del SGSI de TechSolutions con la ISO/IEC 27001 y los requisitos legales/reglamentarios aplicables (ej., GDPR, leyes de privacidad de datos locales).

•Determinar la capacidad del SGSI para proteger los activos de información críticos y gestionar los riesgos de seguridad identificados.

•Identificar oportunidades de mejora continua en los controles y procesos de seguridad de la información.

•Asegurar la eficacia de los planes de tratamiento de riesgos y la respuesta ante incidentes de seguridad.

•Validar la confianza en los controles de seguridad de proveedores externos que manejan datos sensibles de clientes.

2. Alcance del Programa de Auditoría: El programa cubrirá todas las ubicaciones físicas y virtuales (ej., oficinas, centros de datos en la nube, entornos de desarrollo remoto), funciones (ej., desarrollo, operaciones, ventas, recursos humanos, TI, legal) y procesos clave de TechSolutions que afectan a la seguridad de la información. Se prestará especial atención a los procesos relacionados con la gestión de datos de clientes, el desarrollo seguro de software y la gestión de acceso a sistemas críticos.

3. Frecuencia y Duración:

•Auditoría Anual Completa del SGSI: Para evaluar el sistema en su totalidad y su madurez.

•Auditorías Focalizadas (Semestrales o Trimestrales): Para áreas de alto riesgo, procesos nuevos o modificados, o después de incidentes de seguridad significativos (ej., seguridad de la cadena de suministro, gestión de acceso privilegiado, desarrollo seguro, auditoría de las configuraciones de seguridad en la nube).

4. Selección y Competencia del Equipo Auditor:

•Líder del Equipo Auditor: Un profesional con experiencia certificada en auditoría de SGSI (ej., ISO/IEC 27001 Lead Auditor), profundo conocimiento de la ISO/IEC 27007 y experiencia en el sector tecnológico. Deberá ser independiente de las actividades a auditar.

•Miembros del Equipo Auditor: Una mezcla de auditores con conocimientos en:

◦Tecnologías de la información y comunicación (TIC), incluyendo ciberseguridad, arquitectura en la nube, desarrollo de software y gestión de infraestructura.

◦Gestión de riesgos de seguridad de la información.

◦Requisitos legales y reglamentarios relacionados con la protección de datos en las jurisdicciones donde opera TechSolutions.

◦Habilidades de comunicación y observación, esenciales para las entrevistas y la revisión de evidencias.

•Expertos Técnicos (si es necesario): Si se auditan tecnologías muy específicas (ej., ciertos lenguajes de programación, plataformas de contenedores), se pueden incluir expertos técnicos que aporten conocimiento sin actuar como auditores.

•Independencia: Asegurar que los auditores no hayan estado directamente involucrados en la implementación o gestión de las áreas que van a auditar. En una empresa pequeña, un auditor interno podría auditar una función diferente a la suya, o se podría recurrir a un auditor externo.

5. Métodos de Auditoría (Enfoque Híbrido): Dada la naturaleza global y tecnológica de TechSolutions, se empleará una combinación de métodos:

•Auditorías en el sitio: Para procesos críticos en la sede central y oficinas clave, permitiendo la observación directa y entrevistas cara a cara.

•Auditorías remotas: Para equipos distribuidos, entornos en la nube y revisión de documentación. Se utilizarán herramientas de comunicación seguras y plataformas de colaboración virtual. Se debe garantizar la confidencialidad de la información compartida remotamente.

•Entrevistas: Con personal de todos los niveles (alta dirección, gerentes de área, personal técnico, desarrolladores, etc.) para comprender procesos, políticas y percepción de riesgos.

•Revisión de la información documentada: Políticas, procedimientos, registros de incidentes, resultados de evaluaciones de riesgos, planes de tratamiento, actas de reuniones, contratos con proveedores.

•Verificación de la Implementación: Observación de controles en acción (ej., uso de MFA, segregación de entornos), pruebas de muestreo de registros y configuraciones de sistemas. Se verificará que la SoA se corresponde con los controles implementados.

•Enfoque Basado en Evidencia: Todas las conclusiones de auditoría se basarán en evidencia objetiva y verificable, comprendiendo que el muestreo es una parte inherente del proceso.

6. Áreas Clave a Auditar (Basado en ISO/IEC 27007):

•Contexto de la Organización y Partes Interesadas: ¿Cómo identifica TechSolutions sus riesgos y oportunidades de seguridad de la información en función de su contexto, y cómo considera las necesidades de sus clientes, reguladores y otros?

•Liderazgo de la Alta Dirección: ¿Cómo demuestra la dirección su compromiso con la seguridad de la información? ¿Se establecen objetivos de seguridad claros y se asignan los recursos necesarios?

•Planificación (Riesgos y Oportunidades de SI): ¿Es efectiva la metodología de evaluación de riesgos de SI? ¿Se identifican, analizan y tratan adecuadamente los riesgos? ¿Están justificados los riesgos aceptados?

•Controles de Seguridad de la Información (Anexo A): Se auditarán la implementación y eficacia de los controles pertinentes del Anexo A de ISO/IEC 27001 (ej., gestión de activos, seguridad de RRHH, control de acceso, criptografía, seguridad física y ambiental, seguridad de operaciones, seguridad de las comunicaciones, adquisición/desarrollo/mantenimiento de sistemas, relaciones con proveedores, gestión de incidentes de seguridad de la información, gestión de continuidad del negocio, cumplimiento).

•Declaración de Aplicabilidad (SoA): Confirmar que la SoA de TechSolutions es precisa y está alineada con los controles implementados y el proceso de evaluación de riesgos.

•Evaluación del Desempeño: ¿Cómo monitorea, mide, analiza y evalúa TechSolutions su desempeño en seguridad de la información? ¿Se utilizan estos resultados para la mejora?

•Mejora Continua: ¿Cómo gestiona TechSolutions las no conformidades y las acciones correctivas? ¿Se utilizan los resultados de auditorías previas para impulsar la mejora? ¿Hay un proceso formal para el seguimiento de las acciones correctivas?

7. Informes y Seguimiento:

•Informes de Auditoría: Se prepararán informes claros, concisos y objetivos, presentando hallazgos (conformidades, no conformidades, oportunidades de mejora) y conclusiones. Se distinguirán las no conformidades mayores y menores según su impacto en la eficacia del SGSI.

•Reunión de Cierre: Se realizará una reunión con la alta dirección y los responsables de área para presentar los hallazgos y conclusiones, discutiendo cualquier opinión divergente y acordando los plazos para los planes de acción correctiva.

•Seguimiento: Se establecerá un proceso de seguimiento para verificar la implementación y eficacia de las acciones correctivas dentro de los plazos acordados. Las no conformidades recurrentes se escalarán y se tratarán como un problema sistémico de mejora continua.

Al seguir estas directrices específicas de ISO/IEC 27007, TechSolutions S.A. no solo cumplirá con los requisitos de la norma, sino que fortalecerá su postura de seguridad de la información de manera integral y continua.

Tomado de: https://www.prismaconsultoria.com/

7 MÉTODOS Y HERRAMIENTAS PARA IDENTIFICAR RIESGOS: ¿CÓMO PROTEGER TU OPERACIÓN?

Antes de hablar de metodologías y herramientas, hablemos un momento: ¿Alguna vez has sentido que, aunque los procesos estén bien definidos, siempre aparece algo inesperado que interrumpe el flujo de trabajo? 

La buena noticia es que, al identificar y mapear los riesgos desde el principio, dejas de “apagar fuegos” para actuar antes de que el problema se vuelva crítico. 

¡Descubre cómo identificar riesgos de forma sencilla y eficaz! 

¿Qué es la identificación de riesgos? 

La identificación de riesgos es el proceso de analizar y evaluar amenazas potenciales para el negocio, ya sean operativas, financieras, de cumplimiento o ambientales.

¿Por qué es esencial la identificación de riesgos?

Es fundamental para anticiparse a los problemas y proteger la calidad de los productos o servicios ofrecidos.

¿Por qué invertir en la identificación de riesgos?

• Prevención de pérdidas: detecta fallos antes de que ocurran; 
• Planificación y preparación: elabora planes de contingencia a medida; 
• Toma de decisiones informadas: datos para respaldar tu estrategia; 
• Cumplimiento normativo: garantiza el cumplimiento de las normas del sector; 
• Protección de activos: protege personas, recursos y reputación.

¿Qué son los riesgos?

Los riesgos son la posibilidad de que un evento o acción cause daño o consecuencias negativas. En el mundo corporativo, estos daños pueden afectar a personas, grupos, propiedades, productos/servicios o al medio ambiente.

Son inherentes a los negocios y precisamente por ello es fundamental contar con una buena gestión de riesgos. Esto es decisivo para el éxito en el logro de los objetivos de una organización.

Al fin y al cabo, si no identificas un riesgo, también pierdes la oportunidad de evitarlo; Y estas oportunidades perdidas pueden convertirse en grandes pérdidas.

¿Qué tipos de riesgos debes tener en cuenta? 

Los riesgos pueden provenir de una variedad de fuentes, por lo que obtener una visión general de todos ellos puede ser difícil. El análisis de riesgos implica identificar, analizar y tomar medidas para mitigar o controlar estos riesgos anteriores (y cualquier otro). De este modo, se reduce la probabilidad de que ocurran y, en consecuencia, se minimizan sus impactos.

Tipos comunes de riesgos: 

• Operativos: fallos en procesos o sistemas. 
• Financieros: variaciones en divisas, crédito y flujo de caja. 
• De cumplimiento: infracción de leyes o normativas. 
• Ambientales: impacto ambiental y sostenibilidad. 
• Reputacionales: daño a la imagen de marca y confianza del cliente. 

¿Cómo identificar riesgos paso a paso? 

Pero no basta con conocer los beneficios de la gestión de riesgos, es necesario saber cómo hacerlo en la práctica. Como hay varios tipos de riesgos, también hay numerosas formas de identificarlos.

Para facilitarte la vida en este reto, a continuación, te dejamos una guía básica paso a paso sobre cómo identificar los riesgos:

• Analice el contexto: Comprenda el entorno en el que está operando. Analizar los factores internos y externos que pueden influir en los riesgos de la operación.
• Identifique las amenazas: Enumere los posibles eventos o condiciones que podrían causar daños. Puedes hacerlo a través de una lluvia de ideas, consultando a expertos, analizando datos históricos o utilizando algunas de las herramientas que mencionamos a continuación en este post.
• Evalúe las vulnerabilidades: Una vez que haya identificado las amenazas en sí, determine qué activos o procesos son más susceptibles a ellas. Haga una lista que relacione los riesgos/amenazas a los activos/procesos.
• Evaluar las consecuencias: Analizar el impacto potencial de cada riesgo identificado en los pasos anteriores. Con esta información, podrás definir prioridades y crear acciones que se centren en los riesgos más críticos, y luego en los menos críticos de forma sucesiva.
• Organice la documentación: Por último, no olvide registrar la información, los datos y las conclusiones (como los riesgos identificados, las causas, las consecuencias y las medidas de mitigación) a lo largo de este proceso. Asegúrese de que este material sea fácilmente accesible para las partes interesadas y revíselo periódicamente para aplicar medidas de mejora continua.

7 herramientas para identificar riesgos

Siguiendo este paso a paso, tendrás una estructura sólida y eficaz para iniciar tu proceso de identificación de riesgos. Pero eso no es todo, también hay que implementar las herramientas adecuadas. Así, tienes más facilidad, agilidad y productividad en la gestión de riesgos.

Lluvia de ideas

La lluvia de ideas es el acto de reunir a los miembros del equipo con el objetivo de generar tantas ideas como sea posible para crear algo o resolver problemas.

Esta técnica creativa explora la diversidad de experiencias y brinda la oportunidad a los miembros del grupo de construir sobre las ideas de los demás, lo que la hace ideal para identificar riesgos.

¿Cómo hacer una lluvia de ideas?  

1. Forma un equipo multidisciplinar;
2. Define el alcance y el plazo;
3. Utiliza preguntas guía (“¿Qué podría fallar si…?”).  

Con la lluvia de ideas, las personas que trabajan en la primera línea de la empresa pueden compartir sus propias perspectivas sobre los riesgos. Esto proporciona nuevos conocimientos sobre los mismos procesos y ayuda a cerrar la brecha entre el liderazgo y el equipo.

Matriz SWOT

Generalmente utilizada para la planificación estratégica de empresas y/o la creación de nuevos proyectos, la matriz SWOT puede ser una herramienta valiosa para identificar riesgos desde una nueva perspectiva.

La matriz SWOT es útil para identificar los puntos positivos que tiene el proyecto o negocio, así como lo que puede ser perjudicial para que la empresa logre sus objetivos. 

¿Cómo usar la Matriz Swot? 

Con él, identifica las fortalezas y debilidades del entorno interno en el lado izquierdo y en el lado derecho enumera las oportunidades y amenazas del entorno externo. 

Análisis de la causa raíz

Algunas herramientas comúnmente utilizadas para el análisis de causa raíz también pueden ser muy útiles para identificar riesgos. Algunos de los más utilizados y eficientes son:

• FMEA (Análisis Modal de Fallos y Efectos);
• Diagrama de causa y efecto (también llamado Ishikawa o Espina de Pescado);
• Diagrama de Pareto;
• 5 porqués.

El análisis de causa raíz se utiliza normalmente después de que ya haya aparecido un problema, pero puede aplicarlo de forma preferente. Para ello, toma como punto de partida un impacto o riesgo a evitar y luego analiza su causa raíz.

Técnica Delphi

La técnica Delphi consiste en recopilar información de forma anónima y estructurada. Por lo general, se realiza a través de cuestionarios y es gestionado por un facilitador encargado de recopilar las ideas (riesgos) señaladas por los expertos.

¿Cómo funciona la técnica Delphi para identificar riesgos? 

En cada ronda de análisis, los expertos formulan individualmente una lista de riesgos (o responden a un cuestionario específico) y entregan esta compilación al facilitador.

Los resultados de la primera ronda, una vez resumidos, proporcionan la base para la segunda ronda, y así sucesivamente. A partir de los resultados de la información recopilada en cada ronda, los expertos pueden revisar su análisis, modificarlo o presentar nuevos argumentos. Este proceso continúa hasta que todos los participantes llegan a un acuerdo.

¿Por qué es eficaz la técnica Delphi en la identificación de riesgos? 

Este método es una forma eficaz de llegar a un consenso, especialmente cuando hay muchas personas involucradas en el proceso de análisis. También evita errores, gracias a las revisiones de las predicciones anteriores en cada ronda. Además, el anonimato de la Técnica Delphi permite a los expertos expresar sus opiniones libremente.

Entrevistas

Los riesgos pueden identificarse a través de entrevistas con los participantes del proyecto o expertos en el área en cuestión que busca llevar a cabo la evaluación de riesgos. Con la diversidad de experiencias y especialidades de cada uno, es posible lograr un mayor número de notas en el proceso de identificación de riesgos.

Inspecciones

Esencial en la identificación de riesgos, la inspección es el resultado de visitar las instalaciones y ponerse en contacto con los miembros del equipo.

¿Cómo ayudan las inspecciones a identificar riesgos? 

Las inspecciones suelen estar guiadas por listas de comprobación, en las que se enumeran los elementos, procesos, equipos o instalaciones que se van a comprobar. Su objetivo es identificar, prevenir y corregir situaciones que no se ajusten al estándar esperado. Como resultado, surgen varios riesgos y puntos de mejora.

Revisión de requisitos y documentación

Además de garantizar la entrega de productos, proyectos y servicios de calidad, el cumplimiento de los requisitos legales también evita multas, sanciones y diversas pérdidas financieras. Por lo tanto, el análisis y revisión de los requisitos aplicables a su operación es fundamental para identificar riesgos potenciales.

Otro punto por analizar y que puede aportar información valiosa es la documentación. Revisar documentos relacionados con proyectos, procesos, auditorías previas o indicadores de desempeño, por ejemplo.

Esto puede apuntar a las lecciones aprendidas, así como a los problemas y sus respectivas resoluciones. De esta manera, estará más preparado si se produce un riesgo similar o incluso podrá identificar nuevos riesgos relacionados.

Conclusión

La identificación de riesgos es un componente vital para la resiliencia y el éxito de cualquier organización. El uso de métodos y herramientas adecuadas no solo permite anticipar y mitigar posibles amenazas, sino que también fortalece la capacidad de respuesta y adaptación ante eventos imprevistos.

Al integrar estas prácticas, las empresas pueden proteger sus activos, garantizar la continuidad del negocio y promover un entorno de trabajo más seguro y eficiente. Invertir en gestión de riesgos es, por tanto, invertir en el futuro sostenible y próspero de tu empresa.

FAQ – Preguntas frecuentes sobre la identificación de riesgos 

¿Cuál es la diferencia entre riesgo y problema? 

El riesgo es una posibilidad futura; el problema es algo que ya ha ocurrido. 

¿Cuál es la diferencia entre peligro y riesgo? 

El peligro es la fuente de daño potencial; el riesgo es la probabilidad y gravedad de ese daño. 

¿Cómo evaluar la probabilidad y gravedad de los riesgos? 

Con matrices de riesgos que permiten priorizarlos y definir acciones adecuadas. 

¿Qué es el inventario de riesgos? 

Es un documento que detalla los riesgos identificados, su evaluación y las medidas de control implementadas.  

¿Cómo manejar los riesgos no identificados? 

La gestión de riesgos debe incluir mecanismos para identificar y responder a riesgos inesperados.  

¿Cuál es el papel de la gestión de riesgos en la organización? 

Debe integrarse en todos los procesos, desde la planificación estratégica hasta las operaciones diarias. 

¿Cómo comunicar los riesgos identificados? 

Una comunicación clara y eficaz garantiza que las partes interesadas estén informadas y participen en la gestión.  

¿Con qué frecuencia debo revisar mi mapa de riesgos? 

En cada nuevo proyecto, cambio importante de proceso o auditoría interna.

¿Cuándo usar lluvia de ideas o checklist? 

Usa lluvia de ideas para generar ideas nuevas y checklist para validar elementos conocidos. 

¿Cómo integrar estas herramientas en un solo sistema? 

Con una plataforma all-in-one que centralice mapas, informes e indicadores en tiempo real. 

Sobre el autor

Bruna Borsalli: es Analista de Negocios en SoftExpert. Especialista en Gestión de la Calidad y Licenciada en Ingeniería Química por UNIVILLE, tiene experiencia en el área de SSMA (Salud, Seguridad y Medioambiente), certificación de Auditora Interna de Sistema de Gestión Integrado (SGI) - ISO 9001 | 14001 | 45001 y Six Sigma Yellow Belt.

Tomado de: https://blog.softexpert.com/

QUÉ NOS TRAE LA NUEVA VERSIÓN DE LA ISO 14001:2026

La nueva versión de la norma ISO 14001, prevista para enero de 2026, introduce ajustes moderados destinados a mejorar la claridad y aplicabilidad, sin imponer requisitos adicionales significativos.

A continuación, se detallan los principales cambios y consideraciones:

Cambios clave en la ISO 14001:2026

1. Alineación con la Estructura Armonizada (HS): Se ha adaptado la norma a la última versión de la Estructura Armonizada de ISO, lo que facilita la integración con otras normas de sistemas de gestión, como ISO 9001 e ISO 45001.
2. Clarificación de requisitos existentes: Se van a añadir aclaraciones a requisitos ya existentes.
3. Mejoras en la guía del Anexo A: Se van a añadir aclaraciones a requisitos del Anexo A para que sea más fácil la implementación del mismo.
4. Incorporación del cambio climático en el contexto organizacional: Siguiendo la Declaración de Londres de ISO, se va a añadir una cláusula en la que nos dirigen a las organizaciones a que determinemos si el cambio climático es relevante para nosotros y atañen a nuestras partes interesadas.

Recomendaciones para las organizaciones

• Revisar el borrador de la nueva norma: Ir revisando el borrador de la nueva norma para poder ir revisando los cambios e ir adaptándonos a los mismos de forma paulatina.
• Planificar la transición: Aunque el período de transición suele ser de 3 años, se recomienda revisar los cambios e ir planificando los mismos desde ya, para que no se convierta en un cambio rápido y brusco.

En resumen, la actualización de la ISO 14001 busca fortalecer la gestión ambiental de las organizaciones, promoviendo una mayor integración con otros sistemas de gestión y una atención más específica al cambio climático, todo ello sin imponer cargas adicionales significativas.

Si está interesado en la implementación o en la automatización de un Sistema de Gestión ISO 14001, no dude en ponerse en contacto con nosotros.

Tomado de: https://www.blogger.com/

 

CERTIFICACIÓN ISO 20000-1 CÓMO CONSEGUIRLA EN TU ORGANIZACIÓN

ISO/IEC 20000-1:2018 es un estándar internacional que define requisitos para implantar, mantener y mejorar la gestión de servicios de tecnología de la información en tu organización.

Y cuando hablo de “gestión de servicios” me refiero al ciclo entero de un servicio:

• Planificación del servicio.
• Diseño del servicio y cambios.
• Entrega del servicio.
• Mejora del servicio.

Esta norma está preparada para que una organización que preste servicios de tecnología de la información mejore su gestión a través del cumplimiento de los diferentes requisitos que se mencionan en ella.

La ISO 20000-1:2018 se divide en diez cláusulas, siguiendo el Anexo SL de ISO:

1. Alcance: define qué cubre el SMS.
2. Referencias normativas: normas complementarias.
3. Términos y definiciones: para un lenguaje común.
4. Contexto de la organización: entender entorno y partes interesadas.
5. Liderazgo: compromiso de la alta dirección.
6. Planificación: riesgos, oportunidades y objetivos.
7. Soporte: recursos, competencia, documentación y comunicación.
8. Operación: gestión del portafolio, diseño, transición, entrega y aseguramiento del servicio.
9. Evaluación del desempeño: KPIs, auditorías y revisión por la dirección.
10. Mejora: no conformidades y acciones correctivas.

Cada bloque es importante para entender el proceso de certificación ISO 20000-1.

No obstante, es a partir del bloque 4 “Contexto de la organización”, donde se comienza a exigir requisitos de cumplimiento por parte de las organizaciones.

Si interesado en la certificación ISO 20000-1 es probable que sea directivo de su organización, responsable de TI o simplemente el responsable del sistema de gestión de servicio de su organización.

Tengas el rol que tengas, si quieres conseguir ISO 20000-1 en tu organización, estás en el blog adecuado. Te voy a contar con detalle:

• ¿Qué es ISO 20000-1?
• Cómo está estructurada ISO 20000-1: los bloques de la norma y requisitos.
• Cómo planificar el proyecto para conseguir ISO 20000-1.
• Qué debes hacer para obtener la certificación ISO 20000-1 en cada bloque de la norma.

Sin más introducción empiezo a contarte.

Cómo conseguir la certificación ISO 20000-1

Bien, entonces ¿cómo conseguir la certificación ISO 20000-1 ?

Lo consigues teniendo en cuenta esto 4 grandes hitos:

1. Planificación: recursos humanos, recursos económicos, formación interna, posibles contrataciones externas como consultores, un plan de trabajo.
2. Implantación: ejecutar el plan de trabajo definido para cumplir cada requisito de la norma.
3. Auditoría interna: realizar una auditoría interna (obligatoria por la norma).
4. Auditoría de certificación: superar la auditoría de certificación ISO 20000-1

La fase de planificación es una de las más importantes porque es donde podrás ver si el proyecto es viable o no.

Para realizar una buena planificación, necesitas:

• Política y alcance: definir por parte de dirección el alcance de certificación que quieren obtener.
• Análisis GAP: comparar el estado de tu gestión actual con los requisitos de la norma (debes conocer la norma para poder hacerlo).
• Recursos: define un presupuesto con horas de trabajo de tu personal, posibles contrataciones de consultores externos, posibles herramientas tecnológicas que debes adquirir para cumplir con los requisitos de la norma, honorarios de auditoría de certificación.

Si la fase de Planificación la tienes validada y aprobada por parte de Gerencia o Dirección es cuando puedes pasar a la fase de Implantación.

Entramos ya en quid de la cuestión, el comenzar a cumplir los requisitos de la norma.

Pero, ¿qué requisitos y cómo cumplirnos?

Eso es lo que te voy a indicar ahora.

Te voy a definir los diferentes bloques de la norma por los cuales se comienzan a exigir requisitos para que sepas cuáles son y cómo cumplir dichos requisitos.

Análisis del contexto de la organización para cumplir con ISO 20000-1

La ISO 20000-1 te pide definir y estudiar el contexto interno y externo (4.1), identificar partes interesadas y sus necesidades (4.2) y definir claramente el alcance del sistema de gestión de servicios de tecnología de la información (4.3).

Qué debes hacer para cumplir con ISO 20000-1 :

1. Listado y estudio de aeronaves internas y externas: reúne a Dirección, TI y los responsables de procesos clave. Lista una serie de asuntos internos y externos como pueden ser: estructura de la organización, situación económica interna, situación tecnológica, cultura, objetivos estratégicos, etc.
2. Mapa de procesos: identifica los principales procesos estratégicos, operativos y de soporte. Y describe cómo interactúan entre ellos.
3. Alcance del sistema de gestión de servicio: el alcance del sistema de gestión es una parte importantísima ya que sobre ella se basarán todo el cumplimiento de los requisitos para obtener la certificación ISO 20000-1.
4. Listado de partes interesadas: Identifica los diferentes stakeholders de tu organización tanto internos como externos. Y para cada uno de ellos redacta cuáles son las necesidades o expectativas de ellos respecto a tu organización y cómo va tu organización a cumplir con esas necesidades o expectativas.

Liderazgo y compromiso

Aquí la alta dirección debe demostrar liderazgo (5.1) y compromiso con la política del sistema de gestión se servicio de tecnología de la información  (5.2).

Sin esto, nada sale adelante.

Qué hacer debes hacer para cumplir con ISO 20000-1:

1. Política SMS: redacta y firma una política clara, alineada con objetivos de negocio desde el punto de vista de la gestión de servicios y el cumplimiento de las necesidades de las partes interesadas.
2. Roles y responsabilidades: designa un responsable del sistema de gestión de servicio (se encargará de hacer seguimiento a la implantación y defender la auditoría con los organismos certificadores ). Y además también define otros roles que existen en tu organización y que están alineados con el organigrama de tu empresa.

Acciones para abordar riesgos y oportunidades para cumplir con ISO 20000-1

ISO 20000-1 exige planificar el cómo identificar y tratar riesgos y oportunidades que afectan al sistema de gestión de servicio de tecnología de la información.

Si ha realizado un buen análisis interno y externo podrá haber identificado algunas situaciones de riesgos y también de oportunidades.

Qué debes hacer para cumplir este bloque de requisitos:

1. Registro de riesgos/oportunidades: crea un documento donde describe cada riesgo, su probabilidad y su impacto.
2. Planes de acción: para cada ítem, define si vas a mitigar, transferir, aceptar o explotar. Asigna responsable y plazo.
3. Revisión periódica: revisa el registro, como mínimo, cada tres o cuatro meses para que compruebes si estás alcanzando el resultado deseado.

Objetivos de gestión de servicios según ISO 20000-1

Los objetivos que define en tu organización deben ser SMART : específicos, medibles, alcanzables, relevantes y con tiempo.

Todos los objetivos deben tener coherencia con la política que se ha definido y estar alineados directamente con la gestión de servicios de tecnología de la información.

¿Qué es para ti realizar una buena gestión de servicio?

Pues eso debes aterrizarlo y asignarle algunas métricas concretas. Métricas internas y también relacionadas con la gestión a tus clientes.

Si lo haces así ya tendrás tus objetivos desplegados.

Qué debes hacer para superar la certificación ISO 20000-1:

1. Definir objetivos claros y concretos .
2. Asignar KPIs a cada objetivo.
3. Seguimiento a cada objetivo y medir su consecución.

Competencia, Concienciación y Comunicación 

La norma destaca la importancia del personal y la comunicación eficaz.

Si quieres obtener ISO 20000-1 debes demostrar que tus trabajadores están concienciados con la buena gestión de servicio y preparados para ello.

En la auditoría de certificación ISO 20000-1, el auditor elegirá algún puesto de trabajo que hayas descrito y comprobará que existe en el organigrama y que la persona que lo desarrolla cumple los requisitos que ha establecido para ese puesto.

Qué debes hacer para cumplir este bloque:

1. Plan de formación: identificación brechas de competencia y programa cursos (ITIL, seguridad de la información, gestión de cambios, etc).
2. Descripción de puestos alineados con competencias: para cada rol descrito como puestos de trabajo asegúrese de que las competencias descritas (educación, formación mínima y habilidades) las cumplan cada persona que desarrolla ese puesto de trabajo.
3. Plan de comunicación: establece un plan de comunicación para demostrar qué se comunica interna y externamente respecto al sistema de gestión de servicios de tecnología de la información.  

Información documentada para cumplir con ISO 20000-1

Gestionar adecuadamente la documentación física y digital de tu empresa es fundamental: procedimientos, políticas y registros, código fuente, etc.

Qué debes hacer para cumplir con este requisito:

1. Elaborar Procedimientos: para gestión de cambios, incidentes, peticiones, continuidad del servicio, etc.
2. Control de documentos: utilice un repositorio con versionado (SharePoint, Wiki) y un procedimiento para revisar caducidades.
3. Control del código fuente: utiliza un sistema de control de versiones para el código fuente, por ejemplo Git.

Portafolio de servicios 

Debes definir el catálogo de servicios y el portafolio definir qué ofreces y bajo qué condiciones.

Hay empresas que lo justifican con un portafolio Canvan.

Otras empresas tienen un porfolio de servicio al cual le añaden una ficha de servicio y explican con todo detalle el objetivo del servicio, a quién se presta, cuáles son las partes interesadas de dicho servicio, etc.

Además de esto deberás definir los tipos de elementos de configuración que existen en tus servicios. Es decir, qué elementos de configuración deben existir en la gestión de tus servicios para prestarse en situaciones controladas:

• Hardware
• Software
• Documentos
• Personas

Hay empresas que lo evidencian con una hoja de cálculo en la que van listando por filas los elementos de configuración y por columnas:

• La identificación del elemento de configuración.
• El tipo de elemento de configuración que es.
• Cómo se relaciona con otro elemento de configuración.
• El estado de dicho elemento de configuración.

Qué debes hacer para cumplir con este requisito:

1. Catálogo de servicios: haz una descripción de los mismos, objetivos, partes interesadas.
2. Defina los elementos de configuración para la gestión del servicio.

Relación y acuerdo

Aquí estamos hablando de tener definidos acuerdos de nivel de servicio tanto con tus proveedores como con tus clientes.

Cada uno de ellos tendrá sus acuerdos de nivel de servicio. Los proveedores te ayudarán con su gestión a cumplir los SLA que firmas con tus clientes.

Deben existir estos acuerdos de niveles de servicio tanto con proveedores como con clientes para luego poder medirlos periódicamente y conocer si se están llegando a los acuerdos que se han pactado.

¿Qué debes hacer?

1. SLA con clientes: tener firmados acuerdos de nivel de servicio, con objetivos de disponibilidad, tiempos de respuesta y resolución.
2. OLAs (Operational Level Agreements): acuerdos internos con los departamentos de tu organización para medir los SLA de tus clientes. para soporte y escalada.
3. SLAs con proveedores: tener firmados acuerdos de nivel de servicio con tus proveedores más críticos y los que influyen en mayor medida a la gestión del servicio que tu entregas a tus clientes.  

Oferta y demanda

La clave de este bloque de requisitos es conseguir tener un equilibrio y controlar la capacidad (de Recursos Humanos y de TI) de tu organización con la demanda de servicios que tienes.

Además, debes ser capaz de tener un control financiero entre los costos reales con respecto al presupuesto ofertado en cada uno de los servicios que entregas al mercado.

Qué debes hacer para cumplir los requisitos de oferta y demanda:

1. Previsión de demanda: análisis histórico y proyecciones (proyectos, lanzamientos).
2. Plan de capacidad: servidores, licencias, personal de soporte.
3. Control de presupuesto: monitorizar las diferencias entre costes reales derivados de los servicios entregados con los presupuestos realizados.

Diseño, construcción y transición de servicios para la certificación ISO 20000-1.

Este bloque de requisitos trata sobre cómo vas a diseñar los servicios, cómo los vas a entregar de forma controlada y cómo vas a gestionar los cambios.

Qué debes hacer para evidenciar estos requisitos:

1. Procedimiento de diseño: requisitos humanos, técnicos, dependencia de otros servicios, pruebas a realizar, criterios de aceptación, etc.
2. Procedimiento de cambios: solicitud, evaluación de impacto, autorización y planificación para los cambios, etc.
3. Procedimiento de entregas: definir los tipos de entregas (entrega continua, entrega de urgencia, entrega de cambios), planificación de la entrega, problemas durante la entrega, etc.

Resolución y ejecución del servicio 

En este bloque deberás de centrarte en cómo son tus procesos para la gestión de incidentes, peticiones de servicio y problemas.

Tanto las incidencias, las peticiones de servicios, como los problemas debes de registrarlas, clasificarlas, escalarlas (si es necesario) y cerrarlas.

Debes de diferenciar además entre una incidencia y un problema para poder gestionarlo correctamente.

Recuerda que un problema es la causa de una o más incidencias.

Y una incidencia es una interrupción inesperada de un servicio, una reducción en la calidad de un servicio o un evento que aún no ha tenido impacto en el servicio.

Qué debes hacer para cumplir con estos requisitos:

1. Procedimiento para atención de incidentes.
2. Procedimiento para atención de peticiones de servicio.
3. Procedimiento para atención de problemas.
4. KPIs para cada uno de ellos.

Aseguramiento de servicios

Este bloque de requisitos trata sobre la necesidad de verificar la calidad de lo que estás entregando y asegurandote de su continuidad.

Por eso un asunto importante aquí es garantizar la continuidad del negocio ante posibles riesgos externos e internos que puedan paralizar la continuidad del mismo (infecciones por virus, huelgas, ataques informáticos, caída de conectividad a la red eléctrica, datos, etc).

Qué debes hacer para obtener la certificación ISO 20000-1:

1. Plan de continuidad: define un plan de continuidad en el que refleja diferentes escenarios de desastres y cómo vas a responder ante ellos.
2. Controles de seguridad de la información: implemente una serie de controles de seguridad de la información según ISO 27001 o ISO 27002.

Evaluación del desempeño

Mide y analiza la eficacia del sistema de gestión del servicio de tecnología de la información.

Utiliza método para analizar la satisfacción del cliente y la entrega de informes de servicios.

Realiza además una auditoría interna del sistema de gestión y lleva a cabo la revisión por la dirección.

Qué debes hacer para cumplir este bloque de requisitos:

1. Indicadores de gestión: porcentaje de SLAs cumplidos, nivel de satisfacción de tus clientes, hallazgos de auditoría.
2. Realización de auditoría interna: realice la auditoría y documente bien los hallazgos encontrados.
3. Acta de revisión por dirección: realice el acta de revisión por dirección que obliga la norma a llevar a cabo.
4. Informes de servicio: redacta y entrega informes sobre el rendimiento de tus servicios a tus clientes. Utilice para ello toda la información que ha ido trabajando en el sistema de gestión.

Mejora continua

Cierra el ciclo de la gestión de servicios, con acciones de mejora continua en tu organización.

Para mejorar continuamente puedes utilizar, aparte de lo comentado anteriormente, la herramienta del estudio de no conformidades y acciones correctivas.

Qué hacer:

1. Registro de no conformidades: documenta la causa raíz de lo ocurrido y propón y acciones correctivas que eliminan dicha causa raíz.
2. Seguimiento a las no conformidades: haz un seguimiento a las no conformidades abiertas hasta asegurarte de que la acción correctiva ha sido eficaz ya que elimina la causa raíz de lo ocurrido.

 Bueno, pues con este trabajo, podrás obtener la certificación ISO 20000-1 sin problema.

La clave está en planificar bien, ejecutar y hacer un seguimiento a la implantación.

Tomado de: https://iveconsultores.com/

¿QUÉ ES LA DECLARACIÓN DE APLICABILIDAD EN LA ISO 27001?

La ISO 27001, es un estándar internacionalmente reconocido que ayuda a las organizaciones a proteger de forma sistemática y efectiva su información sensible, incluyendo datos financieros, propiedad intelectual, información de empleados o de clientes.

La Declaración de Aplicabilidad (Statement of Applicability o SoA) es un documento fundamental dentro del sistema de Gestión de Seguridad de la Información (SGSI) según la norma ISO/IEC 27001, que de debe ser actualizado periódicamente.

¿Qué es?

La Declaración de Aplicabilidad es un documento que:

1. Lista todos los controles del Anexo A de la norma ISO 27001 (versión 2022: 93 controles organizados en 4 secciones).
2. Indica si cada control se aplica o no al SGSI de la organización.
3. Justifica por qué se aplica o no cada control.
4. Proporciona una referencia a cómo se implementa cada control aplicable.

¿Para qué sirve?

• Es una herramienta clave para demostrar conformidad con la norma.
• Conecta el análisis de riesgos con los controles implementados.
• Sirve como guía para auditorías internas y externas.
• Asegura que la organización ha considerado todos los controles pertinentes y ha tomado decisiones informadas sobre su aplicabilidad.

¿Qué contiene típicamente? 

Una tabla con columnas como:

Relación con el análisis de riesgos

La Declaración de Aplicabilidad se basa en los resultados del análisis y tratamiento de riesgos. Una vez identificados los riesgos, se seleccionan los controles necesarios para mitigarlos, y esto se refleja en la SoA.

Importancia para certificación ISO 27001

Durante una auditoría de certificación, el auditor revisará en detalle la SoA para verificar:

• Coherencia con el análisis de riesgos.
• Implementación efectiva de los controles aplicables.
• Justificaciones razonables para controles no aplicados.

Tomado de: https://isotools.org/

GESTIÓN DE RIESGOS DE PROVEEDORES: ESTRATEGIA DE 9 PASOS A SEGUIR

El área de Gestión de Riesgos y los profesionales especializados en gestión de riesgos de proveedores trabajan para eliminar o minimizar las eventualidades que pueden surgir al trabajar con socios comerciales o terceros.

Estos son eslabones clave en la cadena de suministro o cadena de valor.

La gestión de riesgos de proveedores es un área esencial en la organización por una razón incuestionable: los proveedores pueden asociar riesgos tan o más lesivos que la simple interrupción del suministro, que ya es de por sí una amenaza demoledora.

En qué consiste la gestión de riesgos de proveedores

La gestión de riesgos de proveedores es el área que se ocupa de identificar, evaluar, clasificar, calificar y tratar las amenazas y las oportunidades asociadas a la relación comercial que se establece con una persona u organización que suministra algún tipo de producto o servicio necesario para la fabricación de otro bien o para prestar un servicio.

Hay que tener en cuenta, por otra parte, que en una cadena de suministro hay diferentes eslabones. Una organización tiene unos proveedores inmediatos, pero también tiene unos anteriores, un poco alejados en la cadena, que tienen la capacidad para afectar la capacidad para producir de la organización.

Estas secuencias de productos y procesos pueden ser muy largas, pueden tener eslabones cercanos o lejanos en términos geográficos, pueden ser simples o complejas y pueden tener ramificaciones laterales relevantes a la hora de aplicar la gestión de riesgos de proveedores.

El objetivo de la gestión de riesgos de proveedores es tratar las amenazas que tienen capacidad para impedir la entrega de productos conformes a los consumidores. Esto incluye evaluar a proveedores de transporte, de servicios de embalaje, de almacenamiento o de servicios de logística, entre otros.

Por qué es clave la gestión de riesgos de proveedores

La gestión de riesgos de proveedores busca conservar la continuidad del suministro y es importante entender que los riesgos asociados a un tercero son de diferente tipo y procedencia. Por eso, puede priorizar las eventualidades de acuerdo con su capacidad para interrumpir el suministro, calcular impacto negativo en función del tiempo de interrupción o establecer daños colaterales. Esto permite obtener una visión clara e inmediata de la solidez de la cadena o su vulnerabilidad.

El área de la gestión de riesgos de proveedores, por otro lado, adquiere especial importancia por tres razones: las cadenas de suministro hoy son globalizadas, el escenario geopolítico es convulso e imprevisible y el calentamiento global agrega factores de preocupación que no se vislumbraban hace algunas décadas.

Tipos de riesgos que evalúa la gestión de riesgos de proveedores

El primer riesgo para considerar es el de interrupción del suministro. Las causas son varias: incapacidad financiera del proveedor, impacto climático o de desastres naturales, problemas legales, etc. Sin embargo, en la práctica, todos los tipos de riesgo, incluidos los que se mencionan a continuación, tienen una consecuencia ulterior: interrupción del suministro.

1. Riesgos de seguridad de la información

Las agresiones cibernéticas o las infracciones de seguridad de los datos son problemas que tienen un efecto dominó sobre todos los eslabones de la cadena de suministro. Una violación de seguridad de la información hace que la organización suspenda operaciones con ese proveedor de inmediato. Es, de un modo u otro, una interrupción de suministro. Con un agravante: hay una afectación a la reputación para todos.

2. Riesgos de cumplimiento

Las organizaciones que no cumplen con sus obligaciones legales, normativas, contractuales o voluntarias, tienen problemas con organismos reguladores. También con sus partes interesadas y con sus clientes, especialmente cuando estos últimos han implementado sistemas de gestión en varias áreas, comenzando por la de compliance.

3. Riesgos financieros

La falta de liquidez del proveedor genera incapacidad para producir como primera consecuencia. Los procesos de fusión o adquisición suelen poner al eslabón más débil en condiciones financieras difíciles, aunque esto suele ser temporal. La imposición de multas o sanciones en extremo onerosas son también condiciones que provocan riesgo financiero que afecta a varias organizaciones en la cadena ascendente.

4. Riesgos de eventos disruptivos

La globalización hace que cualquier evento pueda afectar cadenas de suministro extendidas por el mundo. El cambio climático, por supuesto, aumenta la probabilidad de ocurrencia de eventos disruptivos. La gestión de riesgos de proveedores ejerce constante vigilancia sobre las condiciones climáticas, sociales, económicas, políticas y comerciales en todo el mundo.

Evaluar un proveedor y aplicar sobre él procesos eficaces de debida diligencia implica comprender y considerar factores económicos, sociales, políticos, climáticos, legales, contractuales, etc. Las evaluaciones se realizan de manera sistemática y uniforme.

Organizaciones con un alto número de terceros requieren herramientas eficaces para aplicar la debida diligencia, para procesar grandes cantidades de datos y para obtener informes inmediatos. La digitalización es un elemento esencial en una estrategia de gestión de riesgos eficaz. La automatización, sumada a la formación, permitirán desplegar estrategias efectivas para gestionar las eventualidades que llegan de la mano de los proveedores.

Cómo gestionar de manera efectiva los riesgos de proveedores

La gestión de riesgos de proveedores es una herramienta estratégica para cualquier organización. Por eso, necesita planificación, diseño, implementación, conocimiento y tecnología.

1. Formar un equipo multidisciplinario

La gestión de riesgos de proveedores exige esfuerzos comunes. De acuerdo con los tipos de riesgo mencionados, es evidente que áreas como finanzas, TI, seguridad de la información, cumplimiento y alta dirección, deben tener un representante en este equipo interdisciplinario.

2. Elegir un estándar de gestión de riesgos

Existen muchos estándares para la gestión de riesgos. Y existen otros tantos para gestionar la seguridad de la información o el cumplimiento, por mencionar dos áreas asociadas. Sin embargo, el estándar previsible para gestionar los riesgos es ISO 31000.

3. Aplicar la debida diligencia

La debida diligencia es el proceso que se utiliza para recopilar información sobre una persona o un tercero, como en este caso, que permite formular predicciones sobre su comportamiento en determinadas circunstancias con un alto grado de certeza.

Es una herramienta que necesita inversión tecnológica, pero que entrega un retorno de la inversión rápido y tangible. Algunos de los aspectos relevantes sobre los que se recopila información son los siguientes:

• Comportamiento financiero.
• Sanciones, mulas o acciones regulatorias.
• Afectación reputacional en medios de comunicación.
• Infracciones de seguridad de datos padecidas por el proveedor.
• Estándares internacionales implementados y certificados.
• Reconocimientos y felicitaciones de organismos reguladores u otras partes interesadas similares.

4. Mantener una base de datos de proveedores actualizada

Si un proveedor se ve afectado por un riesgo, o si la evaluación indica que lo será pronto, es preciso contar con un repositorio de información suficiente que permita reemplazarlo con celeridad antes de que se genera una interrupción del suministro o una transmisión del riesgo.

5. Categorizar los proveedores en función del nivel de riesgo

Una de las funcionalidades de una gestión de riesgos de proveedores automatizada, a cargo de profesionales formados en el área, es la capacidad para analizar grandes cantidades de información y establecer si tratar un riesgo en un determinado proveedor es más caro que reemplazarlo o invertir dinero en la implementación de controles complejos.

6. Auditar y evaluar a los proveedores

La categorización o priorización de los proveedores produce un segundo efecto beneficioso para la gestión: permite identificar terceros que requieren vigilancia constante. Esta vigilancia se lleva a cabo con evaluaciones, inspecciones o revisiones. Para algunos podrán ser anuales, pero otros necesitarán auditorías o inspecciones semestrales o trimestrales.

7. Monitorear el panorama de riesgos

El panorama de riesgos es cambiante y dinámico. Y lo es porque está condicionado por factores externos como fenómenos sociales, económicos, regulatorios, políticos o ambientales. Es importante ejercer vigilancia constante para establecer tendencias con base en los indicadores, tomar decisiones o reclasificar a los terceros de acuerdo al aumento o disminución de señales de alerta.

8. Medir el cumplimiento del SLA

SLA, Acuerdo de Nivel de Servicio por sus iniciales en inglés, es una adenda del contrato de suministro. En ella, las dos partes establecen condiciones, tiempos de atención y otro tipo de requisitos referentes a las condiciones de suministro y a la satisfacción de reclamaciones u otro tipo de solicitudes del cliente al proveedor. Los resultados de cumplimiento del SLA son un indicador fiable de la solidez de una organización como proveedor y del nivel de riesgos que representa.

9. Gestionar los riesgos de proveedores cuando el contrato finaliza

Los proveedores que dejan de serlo porque el contrato concluye de forma natural o anticipada siguen siendo una fuente de riesgos. Pueden hacer mal uso de información confidencial o reservada a la que hayan tenido acceso. 

También pueden compartir secretos técnicos o revelar información comercial sensible. Por eso, también forman parte del radio de acción de la gestión de riesgos de proveedores.

Tomado de: https://www.escuelaeuropeaexcelencia.com/