IATF 16949:2016

La IATF 16949:2016 es la norma de Sistemas de Gestión de Calidad (SGC) específica para la industria del automóvil, basada en la norma internacional del Sistema de Gestión de Calidad según la norma ISO 9001.

El objetivo que persigue la norma IATF 16949:2016 es el desarrollo de un Sistema de Gestión de Calidad que proporciona una mejora continua, hace hincapié en la prevención de errores y en la reducción de la variación y de los residuos en la cadena de suministro automotriz.

¿Quién puede aplicar IATF 16949:2016?

La norma IATF 16949:2016 es importante para todo tipo de organizaciones que se dedican a proveer material de automoción, desde pequeños fabricantes hasta empresas multinacionales, independientemente de su ubicación geográfica.

¿Por qué es importante IATF 16949:2016 para su negocio?

La norma IATF 16949:2016 se ha convertido en un requisito muy importante para cualquier empresa que trabaja en la cadena general de suministro de fabricación de automóviles. Muchos de los fabricantes de coches del mundo hacen de la certificación un requisito importante para sus proveedores.

La norma IATF 16949:2016 proporciona a las empresas:

• Prácticas acordadas y reconocidas de forma internacional para gestionar la calidad en el sector automotor.
• Lenguaje común para tratar con distintos negocios y proveedores de todo el mundo.
• Incrementar la eficiencia y la eficacia.
• Modelo de mejora continua y sistemática en la calidad.
• Modelo para la entrega de excelencia a los clientes y otras partes interesadas.

Beneficios de IATF 16949:2016

La certificación IATF 16949:2016 demuestra el compromiso claro y transparente con la calidad y la mejora continua y además, permite que la empresa:

• Realice ofertas de nuevos contratos en todo el mundo cumpliendo con los requisitos del Sistema de Gestión de Calidad
• Reducción de los residuos y los costos mediante la mejora de la calidad del producto y proceso.
• Experiencia en el sector. Es importante que se trabaje con una empresa de certificación que pueda proporcionar auditorías y certificación según la norma IATF 16949:2016.
• Ahorro en tiempo y costes. Se reduce la necesidad de llevar a cabo muchas auditorías de segunda y tercera parte. La norma IATF 16949:2016 cubre todos los requisitos de certificación de calidad y se encuentra reconocida por toda la industria del automóvil.

La norma #IATF16949:2016 se ha convertido en un requisito muy importante
Click To Tweet

¿Por qué ha cambiado ISO/TS 16949?

Algunas de las mejoras que presenta la nueva norma IATF 16949:2016, para dar respuesta a los recientes problemas de la industria de la automoción son:

• Requisitos para partes y los procesos relacionados con la seguridad
• Mejora de los requisitos de trazabilidad de productos y apoyar los últimos cambios regulados
• Requisitos para productos con software integrado
• Proceso de gestión de la garantía que incluye abordar directrices de la industria automotriz
• Aclarar la gestión de proveedores de segundo nivel y requisitos de desarrollo
• Incorporar los requisitos de la responsabilidad operativa

La norma IATF 16949:2016 ha sido publicada. Todas la organizaciones que se encuentran certificadas en ISO/TS 16949:2009 deberán realizar una transición a la nueva norma antes del 14 de septiembre de 2018.

Actualización 9 de agosto de 2016

La IATF e ISO anunciaron la publicación de IATF 16949:2016 como una norma separada, manteniendo la alineación con la norma ISO 9001 2015.

La nueva IATF 16949:2016 sustituirá a la existente ISO/TS 16949, la cual define los requisitos de un Sistema de Gestión de Calidad para las empresas en la industria del automóvil. La IATF 16949:2016 no será una norma de gestión de calidad independiente, sino que será implementada como un complemento y de forma conjunta con la norma ISO 9001 2015.

Es necesario entender que la certificación según los requisitos de la IATF es crítica para nuestros clientes de automoción, para que continúe haciendo negocio, entregando productos de calidad y teniendo en cuenta la mejora continua.

Última actualización 1 de octubre de 2016

El International Automive Task Force (IATF) ha publicado la IATF 16949:2016 que reemplaza a la norma ISO/TS 16949:2009 como la norma que regula la gestión de la calidad en la industria automotriz.

La norma IATF 16949:2016 es una norma general de gestión de la calidad para el sector del automóvil, en la que se describen todos los requisitos para un Sistema de Gestión de la Calidad efectivo. La aplicación de la norma es obligatoria para muchos fabricantes de equipo original así como para todos los proveedores de la industria automotriz.

Aunque ha dejado de ser una norma internacional (ISO), la norma IATF 16949:2016 ha de ser implementada como un complemento y, de forma conjunta con la norma ISO 9001 2015 en lugar de ser un Sistema de Gestión de Calidad independiente. La norma IATF 16949:2016 se alineará con otras normas clave del sistema de gestión mediante la utilización de una estructura y texto comunes al Anexo SL de ISO.

Software IATF 16949

Con el objetivo de controlar de una manera fácil y eficaz el desarrollo del Sistema de Gestión bajo la norma IATF 16949, las organizaciones hacen uso, entre otras herramientas, del Software ISOTools Excellence, que permite y facilita el control del sistema garantizando la obtención de óptimos beneficios.

La entrada IATF 16949:2016 Sistemas de Gestión de la Calidad en la Industria del Automóvil se publicó primero en ISOTools México.

Normas ISO

La ISO (Organización Internacional para la Estandarización) es una organización no gubernamental independiente y el mayor desarrollador mundial de normas ISO (internacionales y voluntarias).

La Organización Internacional para la Estandarización se creó en 1946. Cuenta con 163 países miembros, que son los organismos nacionales de normalización de todo el mundo, además de la secretaría central, con sede en Ginebra, Suiza.

El objetivo de la organización es realizar las normas internacionales para productos, servicios y sistemas, que garanticen calidad, seguridad y eficiencia. Se facilita el comercio internacional de bienes/servicios, y la cooperación general en el ámbito intelectual, científico, tecnológico y económico al reunir a expertos de todo el mundo para realizar las normas internacionales.

Comité Mexicano para la atención de la ISO

El Comité Mexicano para la Atención de la Organización Internacional de Normalización es una filial de la dirección general de normas para responder al trabajo que surge de la ISO con el fin de establecer la posición general en nombre de los intereses de México. El comité busca establecer las posiciones nacionales acordadas dentro de los subcomités constituidos en México.

Las partes interesadas de México, participan en los comités y comprenden que todos los grupos tienen ciertos intereses y desean contribuir en el proceso de desarrollo de las normas ISO.

Los subcomités constituidos en México deben tener una participación equilibrada de los siguientes sectores:

• Sector público: dependencias y entidades de la administración pública federal
• Organismos y comités de normalización nacional: propiciar armonización de las normas ISO
• Sector privado: cámaras, asociaciones, cualquier persona interesada, etc.
• Sector académico: escuelas, colegios de profesionales, instituciones de educación superior
• Sector de consumidores: asociaciones, grupos o personas usuarios

El Comité Mexicano para la Atención de la Organización Internacional de Normalización es una filial de la dirección general de normas ISO
Click To Tweet

Desde el mes de octubre de 2014, ha emprendido en actividades de coordinación de Comités Mexicanos para la atención de comités de la ISO, entre los que destacan:

• ISO: es un comité de política de la ISO que trabaja en temas relacionados con la evaluación de la conformidad.
• TC 212: es un comité técnico de la ISO que trabaja en temas relacionados con las pruebas de laboratorio y sistemas de pruebas de diagnóstico in vitro. El TC 212 busca la normalización y orientación en el campo de la medicina de laboratorio y sistemas de pruebas de diagnóstico in vitro.
• TC 272: es un comité técnico de la ISO que trabaja en temas relacionados con las ciencias forenses. El TC 272 busca la normalización y orientación en el campo de ciencias forenses. Esto supone el desarrollo de normas que pertenecen a las técnicas y metodologías de laboratorio forenses y científicas basadas en el campo en áreas generales como la detección y recolección de pruebas físicas, el posterior análisis e interpretación de la evidencia y el reporte de resultados y hallazgos.
• TC 276: es un comité técnico de la ISO que trabaja en temas relacionados con la biotecnología. El TC 276 busca la normalización en el campo de los procesos biotecnológicos identificando todas las necesidades y las lagunas de normalización al colaborar con las otras organizaciones para evitar duplicidades y superposición de actividades de normalización.
• PC 308: es un comité de proyecto de la ISO que trabaja en la normalización dentro del ámbito de la cadena de custodia, además se incluye la terminología, los principios, los requisitos y los sistemas de control que se utilizan por los actores de la cadena de suministro en lo que respecta a la gestión de todos los productos en función a las características específicas.

La coordinación de los comités y de los grupos de trabajo que se establece debido a la necesidad de las actividades sectoriales en cada uno y con el objetivo final de atender las reuniones, votaciones y comentarios requeridos para representar a México en la ISO.

En la actualidad participa en los siguientes comités de normalización:

• CMISO/TC 210: Gestión de la calidad y aspectos generales correspondientes para los dispositivos médicos
• CMISO/TC 20: Aviones y vehículos espaciales
• CMISO/TC 228: Turismo y servicios relacionados
• CMISO/TC 176: Gestión de calidad y garantía de calidad
• CMISO/TC 207: Gestión ambiental
• CMISO/TC 262: Gestión de riesgos
• CMISO/ISO REMCO: Comité sobre materiales de referencia

Sistemas Integrados de gestión con ISOTools Excellence

La plataforma tecnológica ISOTools Excellence permite a las diferentes organizaciones y empresas, gracias a su herramienta, integrar sus Sistemas de Gestión de manera automatizada, logrando que sean más eficientes y eficaces y resolviendo muchos de los problemas asociados a la gestión manual, facilitando la consecución de las diferentes mejoras en la gestión diaria y, por tanto, en los resultados que obtienen.

La entrada Comité Mexicano para atender a las normas ISO se publicó primero en ISOTools México.

ISO 9001

Las empresas que desean automatizar la gestión de la calidad ISO 9001, deben tener en cuenta una serie de requisitos. Es interesante conocer los beneficios que aporta la automatización para tu organización.

Hoy en día más de un millón de organizaciones se encuentran certificadas bajo la norma ISO 9001, de las cuales 1.020.000 bajo la norma ISO 9001 2008 y 80.000 bajo la nueva ISO 9001 2015. Cada día son más las empresas que se certifican, en el último año se ha incrementado la certificación en un 7%.

La norma ISO 9001 trata de gestionar la calidad con mayor reconocimiento en todo el mundo. Ayuda a las empresas a cumplir con las expectativas y necesidades de sus clientes, entre otros beneficios.

El sistema de gestión ISO 9001 le ayuda a gestionar y controlar de forma continua la calidad en todos los procesos. Como norma de gestión de la calidad de mayor reconocimiento en el mundo, además como el estándar de referencia, describe cómo conseguir un desempeño y servicio consistente.

Cuando una organización presenta una gran necesidad de controlar la documentación y la gestión del sistema por deslocalización existente entre las diferentes sucursales, se plantea automatizar su Sistema de Gestión de Calidad.

Problemas que impulsan a las organizaciones a decidirse por la automatización de su Sistema de Gestión de Calidad

Un problema que puede encontrar el director del Sistema de Gestión de Calidad, según la norma ISO 9001, es que comienza a trabajar en la implantación del sistema de gestión mediante la utilización de herramientas ofimáticas como procesadores de textos y hojas de cálculo que ralentizan mucho su trabajo.

En muchas ocasiones, es necesario que el equipo del Sistema de Gestión de Calidad, viaje de forma continua a las diferentes delegaciones de la organización, en el caso de que las tenga, para capacitar al personal. Además deberán llevar consigo la documentación, ya que se dificulta el envío por correo electrónico.

Al automatizar el sistema de gestión se consigue llevar a cabo de forma exitosa la automatización del Sistema de Gestión de Calidad.

Utilizar una herramienta como un gestor documentar potente, al que todas las delegaciones pueden tener acceso a la documentación del sistema de gestión, facilita mucho el trabajo del responsable del sistema. De esta forma se puede controlar el Sistema de Gestión de Calidad en las diferentes delegaciones, además ayuda a la expansión de la organización.

Un gestor documental permite liberarse de carga administrativa del sistema, lo que hace que se disminuya el trasiego de papel vía correo electrónico o físicamente, lo que mejora la actualización de documentos para poder asumir otras funciones dentro de la organización como un reto de expansión.

Automatizar el Sistema de Gestión de Calidad con una herramienta de fácil implantación evita complicaciones durante la instalación en todas las delegaciones, lo que facilita la comunicación entre las diferentes sucursales, además de la capacidad de controlar cada delegación consiguiendo información segregada del sistema.

La norma #ISO9001 trata de gestionar la calidad con mayor reconocimiento en todo el mundo
Click To Tweet

Las mejoras que obtiene una organización que se decide por la automatización de su Sistema de Gestión de Calidad basado en la norma ISO 9001 son muchas.

Pueden reducir un 15% la utilización del papel para el sistema dentro de la empresa. La organización consigue un ahorro económico al año evitando viajes innecesarios del equipo de calidad. Además de ahorrar dinero, ahorran tiempo que puede ser empleado en otras tareas importantes de la organización.

La nueva versión de la norma ISO 9001 2015, se publicó el pasado 15 de septiembre de 2015. Dispone de tres años, desde la publicación de la norma, para poder realizar la transición a la nueva versión de la norma. Es un buen momento para comenzar a realizar la transición y experimentar los beneficios que la norma ISO 9001 2015 ofrece.

Los beneficios que ofrece la norma ISO 9001 2015, en sí misma, son los siguientes:

• Le permite ser un competidor más consistente en el mercado.
• Mejorará la gestión de la calidad que le ayuda a satisfacer las necesidades de sus clientes.
• Tendrá métodos mucho más eficaces de trabajo que les ahorrará tiempo, dinero y recursos.
• Mejorará el desempeño operativo, lo que reduce errores y aumenta los beneficios.
• Motivará y aumentará el nivel de compromiso del personal mediante procesos internos muy eficaces.
• Incrementa el número de clientes valiosos mediante un mejor servicio de atención al cliente.
• Mejorar las oportunidades de negocio demostrando conformidad con las normas.

Software para ISO 9001

Con la intención de controlar de una forma fácil y eficaz el desarrollo del Sistema de Gestión de Calidad según la norma ISO 9001, las organizaciones hacen uso del Software ISOTools Excellence, el cual permite y facilita el control del sistema garantizando la obtención de óptimos beneficios.

La entrada ISO 9001 ¿Por qué automatizar un Sistema de Gestión de Calidad? se publicó primero en ISOTools México.

OHSAS 18001

En los diferentes negocios se establece que la obtención de la certificación en OHSAS 18001 puede ofrecer a su organización una base para promover un ambiente de trabajo seguro. Se deberá considerar que hacer cuando se administra un Sistema de Gestión de Seguridad y Salud en el Trabajo, además del conocimiento y la capacitación que deben obtener los trabajadores de la organización.

Cumplimiento de los requisitos de OHSAS 18001

El Sistema de Gestión de Seguridad y Salud en el Trabajo según OHSAS 18001 puede ser eficaz cuando la información correcta se entrega a todas las partes interesas para garantizar la seguridad de los empleados. La norma OHSAS 18001 indica que la política de seguridad y salud en el trabajo deberá ser comunicada a todos los empleados que trabajan bajo el control de la organización con la intención de que sean conscientes de sus obligaciones individuales. Depende en gran medida del tamaño de su organización y del sector en el que opere, pero tenga claro que deberá planificar muy bien para asegurarse que la fuerza de trabajo tiene los conocimientos necesarios para mantener el nivel requerido, aunque algunos requieren más que otros.

Podemos considerar las siguientes opciones:

• Introducción a la seguridad y salud: es muy importante que todo el mundo necesita una introducción al comenzar en un trabajo nuevo. Esto varía en función del sector en el que trabaje, pero en temas generales como el estándar del Sistema de Gestión de Seguridad y Salud en el Trabajo, las zonas restringidas, las buenas prácticas sobre la maquinaria del funcionamiento, la ubicación de los extintores y el punto de reunión de incendios, la ubicación del botiquín y la identificación de primeros auxilios, etc. Además, se recomienda que en algún momento se lleve a cabo una discusión sobre la cultura de seguridad que tiene la empresa y usen todos los ejemplos de proyectos o actas de reunión para identificar los peligros y consultar a los empleados siendo parte de la cultura en Seguridad y Salud en el Trabajo. Es necesario recordar que los contratistas deben ser considerados. Se sugiere que este elemento de introducción, con los empleados y contratistas, es obligatorio.
• Los roles y responsabilidades: la cláusula 4.4.1 de la norma OHSAS 18001 se ocupa de los diferentes recursos, la responsabilidad y la auditoría. Es necesario que los distintos trabajadores tengan mayores niveles de responsabilidad y más si desempeñan funciones más directas dentro de la seguridad y la salud en el trabajo. Es una buena idea para aclarar en términos generales siendo un sistema de matriz de entrenamiento, que puede utilizarse no sólo para aclarar quién es la persona que lo hace. El documento puede ser valioso en cuanto a la ejecución del análisis de las diferencias en la configuración inicial de la seguridad y salud en el trabajo.

La norma #OHSAS18001 ofrece un ambiente de trabajo seguro
Click To Tweet

• Formación y sensibilización: la cláusula 4.4.2 se ocupa de dicho elemento. Se recomienda que la matriz de capacitación se lleve a cabo en las fechas establecidas para realizar un seguimiento de todos los requisitos y actualizar la formación en el Sistema de Gestión de Seguridad y Salud en el Trabajo.
• La comunicación, participación y consulta: se encuentra en la cláusula 4.4.3 de la norma OHSAS 18001, siendo un elemento crítico de la seguridad de los empleados. La comunicación del mejor equipo es fundamental para el Sistema de Gestión de Seguridad y Salud en el Trabajo. Se sugiere que toda la documentación de la política debe estar a disposición y sea lo más práctica posible, ya sea en tablones de anuncios, en formato electrónico, etc. La participación y consulta se deberá fomentar mediante el acoplamiento, es decir, invitar a los empleados a reuniones de seguridad y salud en el trabajo, es necesario realizar foros con los trabajadores, fomentar la identificación de peligros y sugerencias de forma directa, etc.
• Analizar y medir todos los resultados: igual que en cualquier otro sistema de gestión, el ciclo Deming se encuentra presente, requiere de una medición, análisis y mejora. Se deberá tener en consideración todos los cuestionarios realizados a los trabajadores. Es necesario que se fomente la información y sugerencias. La implantación de la OHSAS 18001 se administra de forma que reside en la capacidad de revisar los resultados, llevar a cabo los cambios y generar estrategias más eficaces. Esto nos ayuda a satisfacer la consulta y la medición de todos los elementos críticos para proporcionar un ambiente de trabajo seguro.

Adaptación a las necesidades de su organización

Deberá evaluar la norma OHSAS 18001 y coincida con su propia estructura para encontrar su propio método para conseguir sus necesidades de formación y sensibilización. Se deberá tener en cuenta la seguridad de todas las partes interesadas y los empleados, lo que puede suceder en la auditoría, y la forma en que su programa coincide con el cumplimiento de su objetivo del Sistema de Gestión de Seguridad y Salud en el Trabajo.

Software OHSAS 18001

La eficacia y eficiencia de la OHSAS 18001 es esencial para cumplir con el objetivo de disminuir y prevenir los accidentes laborales. Para no perder ni eficacia ni eficiencia podemos recurrir a la automatización del mismo mediante herramientas como el Software ISOTools Excellence.

La entrada OHSAS 18001 ¿Cómo se puede cumplir con los requisitos que establece la norma? se publicó primero en ISOTools México.

Riesgos laborales

Tal y como viene recogida en la legislación sobre riesgos laborales, es considerado accidente de trabajo “toda lesión corporal que el trabajador sufra con ocasión o por consecuencia del trabajo que ejecute por cuenta ajena”. Éste puede presentarse de manera brusca e inesperada, evitando que se prosigan con las labores del trabajo y pudiendo ocasionar lesiones de diferente gravedad e índole.

Los accidentes de trabajo pueden no ocasionar lesiones, algo que ya queda recogido en la norma sobre riesgos laborales OSHAS 18001 y que ya puedes saber cómo será en la nueva ISO 45001. En la legislación de riesgos laborales se consideran diferentes tipos de accidentes de trabajo:

• Accidentes de trabajo con baja. Aquellos en los que el trabajador es incapacitado para continuar su actividad. Para considerarlo como tal, el trabajador debe estar ausente de su puesto al menos un día, sin contar el día del accidente.
• Accidente de trabajo sin baja. A pesar de que exista lesión, el trabajador puede seguir realizando sus tareas de forma normal.
• Incidentes o accidentes blancos. No existe lesión, pero cabe la posibilidad de pérdida de material (pueden ser futuros accidentes con lesión).
• Accidente de trabajo “In itínere”. Son los debidos al desplazamiento que realiza el empleado al ir o volver del trabajo.
• Accidente de trabajo “en misión”. Accidentes que tienen lugar cuando se realizan desplazamientos dentro de la jornada laboral.

Investigación de accidentes

A la hora de realizar la investigación de accidentes, toda la información debe encontrarse en el lugar del accidente, para que el investigador pueda seleccionar y centrase en lo más importante:

Formar un cuadro general de la situación. Se trata de realizar un diagnóstico inicial de la situación, mediante inspección visual de los hechos y su relación en cuanto al medio ambiente, las personas y materiales, con objeto de conocer por dónde iniciar la investigación y los datos o información que han de recopilarse.

Se consideran diferentes tipos de accidentes de trabajo #SST
Click To Tweet

Buscar la información. Según lo observado en el diagnóstico previo, recopilar aquellos datos que se han considerado necesarios para la investigación.

Entrevista a los testigos. La importancia de este paso es clave para conocer los hechos y los detalles de lo ocurrido. Se debe entrevistar a los testigos directos, de manera que encontremos el punto de partida para encontrar todas las causas básicas. De acuerdo a las entrevistas, debemos tener en cuenta los siguientes matices:

• Entrevista individual. El propósito es que no tenga influencia y que cada entrevista aporte algo nuevo.
• Entrevista en el lugar apropiado. Por lo general, es preferible que tenga lugar en el lugar del accidente, siempre que no entrañe ningún tipo de riesgo, ya que, visualizando el lugar, puede recordar detalles clave que ayuden a la investigación.
• Hace que el trabajador se sienta cómodo. Se debe adoptar una actitud amistosa y comprensiva, de manera que ayudemos a que el trabajador se sienta libre de expresar lo sucedido, y de este modo, intercambiar opiniones.
• Conseguir la versión personal del individuo. Para poder obtenerla, es necesario que no se le interrumpa, a no ser que se desvíe del tema a tratar.
• Planificar las preguntas. Haciendo las preguntas correctas, se estimula la memoria de la persona.
• Confirmar el testimonio. Se le repite al testigo comentarios o parte de su declaración de los hechos, de manera que tenga la oportunidad de rectificar u ordenar sus ideas aportando algo nuevo y relevante.
• Tomar nota de las informaciones clave. Se deben realizar anotaciones de comentarios clave del testigo para poder recordar con precisión, y que el testigo compruebe que existe verdadero interés en lo que está contando.
• Utilizar ayudas visuales. Con objeto de estimular el recuerdo del testigo.
• Desechar cualquier declaración o sentimiento de culpa. Aclarar al testigo que no se buscan culpables, sino la relación y secuencia de los hechos.
• Finalizar en forma positiva. Informar al testigo de la utilidad de los datos y comentarios aportados, y agradecer el tiempo dedicado y esfuerzo. Es de interés, que realice sugerencias para evitar el accidente en un futuro.
• Mantener un contacto permanente con el testigo. Este punto es necesario para dar la confianza necesaria al testigo de informar si recuerda algo más, ofreciendo nuevos datos.

Reconstrucción de los hechos. Según la legislación de riesgos laborales cuando no podemos obtener la información de ninguna otra manera, es preciso recurrir a la reconstrucción de los hechos, de manera que pueda explicarse lo que se pretende explicar. Con ello, podemos verificar los aspectos críticos del accidente, pudiendo desarrollar acciones correctivas adecuadas al respecto.

Dibujos, diagramas y fotografías. Los dibujos nos ayudan a visualizar lo ocurrido, mientras que los diagramas documentan la información importante y las fotos del accidente sirven para ilustrar los informes y ahorrar tiempo de anotaciones.

• Examen de las condiciones de trabajo. En este punto, se debe incluir el examen de los equipos y herramientas, la verificación de la protección, el análisis de los productos, sustancias químicas y materias primas presentes, así como del medio ambiente, además de realizar una comprobación de la señalización.
• Revisión de la documentación. Finalmente, como ayuda para encontrar las causas básicas del accidente, debemos considerar:
  • Los registros de capacitación. Para comprobar que el accidentado había recibido la instrucción de esa tarea.
  • Registros de inspección y mantenimiento: para controlar que equipos e instalaciones estaban controladas.
  • Procedimiento de operación y las normas: aquellas establecidas para el trabajo que se ha realizado.

Software ISOTools sobre riesgos laborales

El software ISOTools le proporciona seguridad y confiabilidad en la gestión de riesgos laborales en su empresa para un Sistema de Gestión basado en OSHAS 18001, incluso para la transición hacia la nueva ISO 45001 en cuanto sea publicada. No se pierda las ventajas de la automatización, porque es la clave del éxito de muchas empresas.

La entrada ¿Qué son los riesgos laborales y cómo deben prevenirlos? se publicó primero en ISOTools México.

ISO 27001

Los clientes se preocupan de proteger la información bajo la custodia de proveedores y servicios contratados. El incremento en las demandas de cumplimiento del cliente, además ha incrementado todos los desafíos para los proveedores al integrarlos en los procesos de negocio. Es necesario conocer todos los beneficios de la norma ISO 27001 para la empresa.

Es necesario que se realice el enfoque adecuado, los problemas de cumplimiento de todos los requisitos puede variar. Los contratos se pueden cancelar y puede que surjan acciones legales. Es necesario tener un método estructurado para asegurar la integración de todos los procesos y el cumplimiento de los diferentes requisitos del cliente, que se convierte en un requisito fundamental para el negocio.

Durante este artículo vamos a realizar un caso práctico para que los proveedores que han implementado la norma ISO 27001 vean que pueden usar un Sistema de Gestión de Seguridad de la Información con el que apoyar la integración y el cumplimiento de todos los requisitos de los clientes.

FAR y DFARS 7012

El Reglamento Federal de Adquisiciones (FAR) es el conjunto de normas de los Estados Unidos que se rigen por el proceso usado por las diferentes agencias que se utilizan para conseguir bienes y servicios contratados, se establecen políticas y procedimientos comunes para asegurar que las adquisiciones satisfagan todas las necesidades de los organismos en términos de costo, calidad y oportunidad, además de los objetivos públicos.

Por regla general, FAR es complementario a otra documentación que ha sido emitida por las mismas agencias cuando es necesario aplicar diferentes restricciones o requisitos adicionales. Uno de los principales suplementos es DFARS, que se utiliza por el Departamento de Defensa de los EEUU.

El número 7012 es una abreviatura, que requiere de la protección de la información de defensa que se etiqueta como información no clasificada, mediante la implementación de NIST SP 800-171 “Protección de Información no Clasificada Controlada por Sistemas y Organizaciones de Información No Férrea”. Si estás interesado en obtener más información sobre la ISO 27001 que es de carácter internacional, puedes leer ¿Cuáles son las cualidades que debe tener un auditor ISO 27001?.

¿Quién debe cumplir con DFARS 7012?

Se utiliza durante todas las solicitudes y controles de departamento de defensa de los Estados Unidos y tiene que ser utilizado por todos los contratistas y subcontratistas que utilicen sistemas de información para procesar, almacenar o transmitir información de forma encubierta.

El incumplimiento de DFARS hace que los contratistas se encuentren sometidos a sanciones por incumplimiento por parte del gobierno de los EEUU y por personas o empresas privadas que afectan a las fallas que se encuentran relacionadas.

La publicación especial del Instituto Nacional de Estándares y Tecnología establece 109 controles
Click To Tweet

NIST SP 800-171

La publicación especial del Instituto Nacional de Estándares y Tecnología establece 109 controles diferentes, que se encuentran derivados de NIST SP 800-53. Se usa para tratar distintas deficiencias con respecto a la administración y a la protección de la información que se encuentra no clasificada, como pueden ser las marcas inconsistentes, salvaguardias inadecuadas o restricciones innecesarias.

Los diferentes controles se encuentran organizados en 14 familias, de la siguiente manera:

• Control de acceso
• Concienciación y capacitación
• Auditoría y rendición de cuentas
• Identificar y autentificar
• Gestión de la configuración
• Mantenimiento
• Respuesta al incidente
• Seguridad personal
• Protección de medios
• Protección física
• Evaluación de riesgos
• Protección de sistemas y comunicaciones
• Evaluación de seguridad
• Integridad de los sistemas de información

La aplicabilidad se define por el uso del marco de Gestión del Riesgo del NIST, siendo un conjunto de publicaciones usadas para categorizar los sistemas de información y definir todos los controles que se pueden aplicar.

Beneficios ISO 27001 durante la implementación del NIST SP 800-171

Se definen todos los requisitos que se deben cumplir. Las organizaciones pueden usar el Marco de Gestión de Riesgo de NIST, ¿Cuáles son los beneficios ISO 27001? Esta pregunta se puede responder con dos argumentos:

• Una norma internacional, si una organización implementa la norma ISO 27001 será mucho más atractiva para otros clientes potenciales en todo el mundo, además sigue siendo capaz de trabajar con las agencias gubernamentales.
• La compatibilidad con otras normas ISO que facilita la integración del contexto de la gestión de toda la organización.

Para utilizar los beneficios de la norma ISO 27001 es necesario que NIST SP-800-53 y NIST SP 800-171 tengan un apéndice con tablas de mapeo que se relacionan con los controles en el Anexo A de la norma ISO 27001. El control NIST SP 800-171 AC-2 ofrece los siguientes controles:

• 2.1 – Registro y cancelación de registro del usuario
• 2.2 – Provisión de acceso de usuario
• 2.3 – Gestión de los derechos de acceso privilegiados
• 2.5 – Revisión de los usuarios derechos de acceso
• 2.6 – Eliminación o ajuste de los derechos de acceso

Una organización puede seguir todos los pasos que se usan para identificar e implementar los controles del Anexo A para identificar e implementar los controles NIST SP 800-171, pero algunas consideraciones debe ser célebres.

Software ISO 27001

El Software ISOTools Excellence para ISO 27001 para la Seguridad de la Información se encuentra compuesto por diferentes aplicaciones que, al unirlas, trabajan para que la información que manejan las organizaciones no pierda ninguna de sus propiedades más importantes. Facilita el cumplimiento de los requisitos legales que  les repercuten.

La entrada La norma ISO 27001 beneficia a las organizaciones se publicó primero en ISOTools México.

ISO 22301

Para superar los desastres naturales que se viven en el país, se puede optar por una alternativa, como es la certificación ISO 22301. Esta certificación asegura la continuidad del negocio en situaciones catastróficas como inundaciones, terremotos y otras situaciones.

La norma ISO 22301 acredita que una empresa cuenta con un sistema de gestión que facilite la presentación del servicio en situaciones graves. Además, se garantiza la reinserción del sistema en el menor tiempo posible cuando existe este tipo de circunstancias.

Los beneficios que obtienen las organizaciones con la certificación ISO 22301 son:

• Identificación de amenazas actuales y futuras.
• Capacidad de resiliencia frente a situaciones de crisis.

Además del enfoque proactivo para minimizar los impactos negativos, el mantenimiento de las funciones durante momentos de crisis y optimizar el tiempo de recuperación en una situación catastrófica.

Cuando se habla de continuidad de negocio, nos referimos a la capacidad que tiene una empresa de sobrevivir a las amenazas que pueden tener un impacto negativo sobre la organización, como pueden ser los incendios, las inundaciones, los tornados, la falla en servicios públicos, huracanes, terremotos, tsunamis, ataques cibernéticos, contaminación ambiental, pandemias, brotes de virus, etc.

Algunas organizaciones tiene que cerrar o cesar su actividad ya que no se encuentran preparadas para encarar o mitigar los desastres. Es lamentable ya que el camino se encuentra bien documentado, no solo desde el punto de vista de la gestión de riesgos, sino además desde las acciones que se deben seguir una vez que ocurra un incidente de gran magnitud que puede poner en riesgo la continuidad del negocio.

Cualquier organización de cualquier tamaño, puede mejorar las posibilidades de superar un incidente de interrupción de la actividad y quedar en una pieza.Esto es posible si sigue ciertas estrategias probadas y de confianza, más allá de que se solo desee obtener la certificación ISO 22301.

Todos los riesgos pueden generar un efecto negativo en el funcionamiento normal del negocio, lo que haría que éste se detuviera por completo. No existe necesidad de esperar lo peor si en la actualidad existe un estándar internacional que sirve como guía para generar una gestión sobre la continuidad del negocio, como puede ser la norma ISO 22301, mediante la cual se plantea la solución a la pregunta ¿Cómo responder ante una contingencia?

Identificar y ordenar las amenazas

Se genera un listado de incidentes de interrupción de la actividad que constituyen todas las amenazas más probables para la organización.

Durante esta etapa, una buena técnica es reunir personas de todos los departamentos en la sesión de intercambio de ideas. El objetivo de la reunión es generar un listado de escenarios ordenados por probabilidad de ocurrencia y por su potencial causa de impacto en la empresa. De esta forma se da un primer paso hacia el mantenimiento en la continuidad del negocio.

Para superar los desastres naturales se implanta la norma #ISO22301
Click To Tweet

Realizar un análisis del impacto en la organización

Es necesario determinar qué partes de tu organización son las más críticas para que sobreviva. Una forma es comenzar detallando las funciones, los procesos, los trabajadores, los lugares y los sistemas que son críticos para el funcionamiento de la empresa.

Después se determina la cantidad de días de supervivencia de la organización para cada función.

Crear un plan de respuesta y recuperación

En esta etapa debes definir datos claves sobre los bienes que se encuentran involucrados en la realización de las funciones críticas, incluyendo sistemas de TI, personal, instalaciones, proveedores y clientes. Es necesario que se incluyan los números de serie de los equipos, los acuerdos de licencias, los alquileres, las garantías, etc.

Es necesario determinar a quién llamar en cada categoría de incidente y crear un árbol de números telefónicos para que se hagan las llamas correctas en el orden correcto. También es necesario generar un listado de quien puede decir qué cosa para controlar la interacción con los medios durante un incidente.

Los pasos para recuperar las operaciones principales deben ordenarse en una secuencia donde quedan explícitas las interdependencias funcionales. Cuando el plan se encuentre listo, es necesario que nos aseguremos de capacitar a los gerentes sobre los detalles relevantes para cada departamento, además de la importancia del plan general para sobrevivir a un incidente.

Probar el plan y refinar el análisis

Es recomendable probar el plan al menos una vez al año, con ejercicios, análisis paso a paso o simulaciones. La prueba te permite sacar el mayor provecho a los resultados que invertiste en la creación del plan, además permite encontrar fallos, mejorar de forma continua, y generar buena impresión en la gerencia.

Software ISO 22301

Con el fin de llevar a cabo de una forma fácil y eficaz la automatización del Sistema de Gestión de la Continuidad de Negocio basado en la norma ISO 22301, las diferentes empresas y organizaciones hacen uso del Software ISOTools Excellence, herramienta que facilita y garantiza la aplicación de la misma.