Riesgos y Seguridad archivos - ISOTools México

OHSAS 18001 ¿Cómo se puede cumplir con los requisitos que establece la norma?

manuel.barrera@esginnova.com — Thu, 07 Dec 2017 08:30:34 +0000

OHSAS 18001

En los diferentes negocios se establece que la obtención de la certificación en OHSAS 18001 puede ofrecer a su organización una base para promover un ambiente de trabajo seguro. Se deberá considerar que hacer cuando se administra un Sistema de Gestión de Seguridad y Salud en el Trabajo, además del conocimiento y la capacitación que deben obtener los trabajadores de la organización.

Cumplimiento de los requisitos de OHSAS 18001

El Sistema de Gestión de Seguridad y Salud en el Trabajo según OHSAS 18001 puede ser eficaz cuando la información correcta se entrega a todas las partes interesas para garantizar la seguridad de los empleados. La norma OHSAS 18001 indica que la política de seguridad y salud en el trabajo deberá ser comunicada a todos los empleados que trabajan bajo el control de la organización con la intención de que sean conscientes de sus obligaciones individuales. Depende en gran medida del tamaño de su organización y del sector en el que opere, pero tenga claro que deberá planificar muy bien para asegurarse que la fuerza de trabajo tiene los conocimientos necesarios para mantener el nivel requerido, aunque algunos requieren más que otros.

Podemos considerar las siguientes opciones:

Introducción a la seguridad y salud: es muy importante que todo el mundo necesita una introducción al comenzar en un trabajo nuevo. Esto varía en función del sector en el que trabaje, pero en temas generales como el estándar del Sistema de Gestión de Seguridad y Salud en el Trabajo, las zonas restringidas, las buenas prácticas sobre la maquinaria del funcionamiento, la ubicación de los extintores y el punto de reunión de incendios, la ubicación del botiquín y la identificación de primeros auxilios, etc. Además, se recomienda que en algún momento se lleve a cabo una discusión sobre la cultura de seguridad que tiene la empresa y usen todos los ejemplos de proyectos o actas de reunión para identificar los peligros y consultar a los empleados siendo parte de la cultura en Seguridad y Salud en el Trabajo. Es necesario recordar que los contratistas deben ser considerados. Se sugiere que este elemento de introducción, con los empleados y contratistas, es obligatorio.
Los roles y responsabilidades: la cláusula 4.4.1 de la norma OHSAS 18001 se ocupa de los diferentes recursos, la responsabilidad y la auditoría. Es necesario que los distintos trabajadores tengan mayores niveles de responsabilidad y más si desempeñan funciones más directas dentro de la seguridad y la salud en el trabajo. Es una buena idea para aclarar en términos generales siendo un sistema de matriz de entrenamiento, que puede utilizarse no sólo para aclarar quién es la persona que lo hace. El documento puede ser valioso en cuanto a la ejecución del análisis de las diferencias en la configuración inicial de la seguridad y salud en el trabajo.

La norma #OHSAS18001 ofrece un ambiente de trabajo seguro
Click To Tweet

Formación y sensibilización: la cláusula 4.4.2 se ocupa de dicho elemento. Se recomienda que la matriz de capacitación se lleve a cabo en las fechas establecidas para realizar un seguimiento de todos los requisitos y actualizar la formación en el Sistema de Gestión de Seguridad y Salud en el Trabajo.
La comunicación, participación y consulta: se encuentra en la cláusula 4.4.3 de la norma OHSAS 18001, siendo un elemento crítico de la seguridad de los empleados. La comunicación del mejor equipo es fundamental para el Sistema de Gestión de Seguridad y Salud en el Trabajo. Se sugiere que toda la documentación de la política debe estar a disposición y sea lo más práctica posible, ya sea en tablones de anuncios, en formato electrónico, etc. La participación y consulta se deberá fomentar mediante el acoplamiento, es decir, invitar a los empleados a reuniones de seguridad y salud en el trabajo, es necesario realizar foros con los trabajadores, fomentar la identificación de peligros y sugerencias de forma directa, etc.
Analizar y medir todos los resultados: igual que en cualquier otro sistema de gestión, el ciclo Deming se encuentra presente, requiere de una medición, análisis y mejora. Se deberá tener en consideración todos los cuestionarios realizados a los trabajadores. Es necesario que se fomente la información y sugerencias. La implantación de la OHSAS 18001 se administra de forma que reside en la capacidad de revisar los resultados, llevar a cabo los cambios y generar estrategias más eficaces. Esto nos ayuda a satisfacer la consulta y la medición de todos los elementos críticos para proporcionar un ambiente de trabajo seguro.

Adaptación a las necesidades de su organización

Deberá evaluar la norma OHSAS 18001 y coincida con su propia estructura para encontrar su propio método para conseguir sus necesidades de formación y sensibilización. Se deberá tener en cuenta la seguridad de todas las partes interesadas y los empleados, lo que puede suceder en la auditoría, y la forma en que su programa coincide con el cumplimiento de su objetivo del Sistema de Gestión de Seguridad y Salud en el Trabajo.

Software OHSAS 18001

La eficacia y eficiencia de la OHSAS 18001 es esencial para cumplir con el objetivo de disminuir y prevenir los accidentes laborales. Para no perder ni eficacia ni eficiencia podemos recurrir a la automatización del mismo mediante herramientas como el Software ISOTools Excellence.

La entrada OHSAS 18001 ¿Cómo se puede cumplir con los requisitos que establece la norma? se publicó primero en ISOTools México.

¿Qué son los riesgos laborales y cómo deben prevenirlos?

manuel.barrera@esginnova.com — Mon, 20 Nov 2017 08:30:59 +0000

Riesgos laborales

Tal y como viene recogida en la legislación sobre riesgos laborales, es considerado accidente de trabajo “toda lesión corporal que el trabajador sufra con ocasión o por consecuencia del trabajo que ejecute por cuenta ajena”. Éste puede presentarse de manera brusca e inesperada, evitando que se prosigan con las labores del trabajo y pudiendo ocasionar lesiones de diferente gravedad e índole.

Los accidentes de trabajo pueden no ocasionar lesiones, algo que ya queda recogido en la norma sobre riesgos laborales OSHAS 18001 y que ya puedes saber cómo será en la nueva ISO 45001. En la legislación de riesgos laborales se consideran diferentes tipos de accidentes de trabajo:

Accidentes de trabajo con baja. Aquellos en los que el trabajador es incapacitado para continuar su actividad. Para considerarlo como tal, el trabajador debe estar ausente de su puesto al menos un día, sin contar el día del accidente.
Accidente de trabajo sin baja. A pesar de que exista lesión, el trabajador puede seguir realizando sus tareas de forma normal.
Incidentes o accidentes blancos. No existe lesión, pero cabe la posibilidad de pérdida de material (pueden ser futuros accidentes con lesión).
Accidente de trabajo “In itínere”. Son los debidos al desplazamiento que realiza el empleado al ir o volver del trabajo.
Accidente de trabajo “en misión”. Accidentes que tienen lugar cuando se realizan desplazamientos dentro de la jornada laboral.

Investigación de accidentes

A la hora de realizar la investigación de accidentes, toda la información debe encontrarse en el lugar del accidente, para que el investigador pueda seleccionar y centrase en lo más importante:

Formar un cuadro general de la situación. Se trata de realizar un diagnóstico inicial de la situación, mediante inspección visual de los hechos y su relación en cuanto al medio ambiente, las personas y materiales, con objeto de conocer por dónde iniciar la investigación y los datos o información que han de recopilarse.

Se consideran diferentes tipos de accidentes de trabajo #SST
Click To Tweet

Buscar la información. Según lo observado en el diagnóstico previo, recopilar aquellos datos que se han considerado necesarios para la investigación.

Entrevista a los testigos. La importancia de este paso es clave para conocer los hechos y los detalles de lo ocurrido. Se debe entrevistar a los testigos directos, de manera que encontremos el punto de partida para encontrar todas las causas básicas. De acuerdo a las entrevistas, debemos tener en cuenta los siguientes matices:

Entrevista individual. El propósito es que no tenga influencia y que cada entrevista aporte algo nuevo.
Entrevista en el lugar apropiado. Por lo general, es preferible que tenga lugar en el lugar del accidente, siempre que no entrañe ningún tipo de riesgo, ya que, visualizando el lugar, puede recordar detalles clave que ayuden a la investigación.
Hace que el trabajador se sienta cómodo. Se debe adoptar una actitud amistosa y comprensiva, de manera que ayudemos a que el trabajador se sienta libre de expresar lo sucedido, y de este modo, intercambiar opiniones.
Conseguir la versión personal del individuo. Para poder obtenerla, es necesario que no se le interrumpa, a no ser que se desvíe del tema a tratar.
Planificar las preguntas. Haciendo las preguntas correctas, se estimula la memoria de la persona.
Confirmar el testimonio. Se le repite al testigo comentarios o parte de su declaración de los hechos, de manera que tenga la oportunidad de rectificar u ordenar sus ideas aportando algo nuevo y relevante.
Tomar nota de las informaciones clave. Se deben realizar anotaciones de comentarios clave del testigo para poder recordar con precisión, y que el testigo compruebe que existe verdadero interés en lo que está contando.
Utilizar ayudas visuales. Con objeto de estimular el recuerdo del testigo.
Desechar cualquier declaración o sentimiento de culpa. Aclarar al testigo que no se buscan culpables, sino la relación y secuencia de los hechos.
Finalizar en forma positiva. Informar al testigo de la utilidad de los datos y comentarios aportados, y agradecer el tiempo dedicado y esfuerzo. Es de interés, que realice sugerencias para evitar el accidente en un futuro.
Mantener un contacto permanente con el testigo. Este punto es necesario para dar la confianza necesaria al testigo de informar si recuerda algo más, ofreciendo nuevos datos.

Reconstrucción de los hechos. Según la legislación de riesgos laborales cuando no podemos obtener la información de ninguna otra manera, es preciso recurrir a la reconstrucción de los hechos, de manera que pueda explicarse lo que se pretende explicar. Con ello, podemos verificar los aspectos críticos del accidente, pudiendo desarrollar acciones correctivas adecuadas al respecto.

Dibujos, diagramas y fotografías. Los dibujos nos ayudan a visualizar lo ocurrido, mientras que los diagramas documentan la información importante y las fotos del accidente sirven para ilustrar los informes y ahorrar tiempo de anotaciones.

Examen de las condiciones de trabajo. En este punto, se debe incluir el examen de los equipos y herramientas, la verificación de la protección, el análisis de los productos, sustancias químicas y materias primas presentes, así como del medio ambiente, además de realizar una comprobación de la señalización.
Revisión de la documentación. Finalmente, como ayuda para encontrar las causas básicas del accidente, debemos considerar:
- Los registros de capacitación. Para comprobar que el accidentado había recibido la instrucción de esa tarea.
- Registros de inspección y mantenimiento: para controlar que equipos e instalaciones estaban controladas.
- Procedimiento de operación y las normas: aquellas establecidas para el trabajo que se ha realizado.

Software ISOTools sobre riesgos laborales

El software ISOTools le proporciona seguridad y confiabilidad en la gestión de riesgos laborales en su empresa para un Sistema de Gestión basado en OSHAS 18001, incluso para la transición hacia la nueva ISO 45001 en cuanto sea publicada. No se pierda las ventajas de la automatización, porque es la clave del éxito de muchas empresas.

La entrada ¿Qué son los riesgos laborales y cómo deben prevenirlos? se publicó primero en ISOTools México.

La norma ISO 27001 beneficia a las organizaciones

manuel.barrera@esginnova.com — Mon, 13 Nov 2017 08:30:34 +0000

ISO 27001

Los clientes se preocupan de proteger la información bajo la custodia de proveedores y servicios contratados. El incremento en las demandas de cumplimiento del cliente, además ha incrementado todos los desafíos para los proveedores al integrarlos en los procesos de negocio. Es necesario conocer todos los beneficios de la norma ISO 27001 para la empresa.

Es necesario que se realice el enfoque adecuado, los problemas de cumplimiento de todos los requisitos puede variar. Los contratos se pueden cancelar y puede que surjan acciones legales. Es necesario tener un método estructurado para asegurar la integración de todos los procesos y el cumplimiento de los diferentes requisitos del cliente, que se convierte en un requisito fundamental para el negocio.

Durante este artículo vamos a realizar un caso práctico para que los proveedores que han implementado la norma ISO 27001 vean que pueden usar un Sistema de Gestión de Seguridad de la Información con el que apoyar la integración y el cumplimiento de todos los requisitos de los clientes.

FAR y DFARS 7012

El Reglamento Federal de Adquisiciones (FAR) es el conjunto de normas de los Estados Unidos que se rigen por el proceso usado por las diferentes agencias que se utilizan para conseguir bienes y servicios contratados, se establecen políticas y procedimientos comunes para asegurar que las adquisiciones satisfagan todas las necesidades de los organismos en términos de costo, calidad y oportunidad, además de los objetivos públicos.

Por regla general, FAR es complementario a otra documentación que ha sido emitida por las mismas agencias cuando es necesario aplicar diferentes restricciones o requisitos adicionales. Uno de los principales suplementos es DFARS, que se utiliza por el Departamento de Defensa de los EEUU.

El número 7012 es una abreviatura, que requiere de la protección de la información de defensa que se etiqueta como información no clasificada, mediante la implementación de NIST SP 800-171 “Protección de Información no Clasificada Controlada por Sistemas y Organizaciones de Información No Férrea”. Si estás interesado en obtener más información sobre la ISO 27001 que es de carácter internacional, puedes leer ¿Cuáles son las cualidades que debe tener un auditor ISO 27001?.

¿Quién debe cumplir con DFARS 7012?

Se utiliza durante todas las solicitudes y controles de departamento de defensa de los Estados Unidos y tiene que ser utilizado por todos los contratistas y subcontratistas que utilicen sistemas de información para procesar, almacenar o transmitir información de forma encubierta.

El incumplimiento de DFARS hace que los contratistas se encuentren sometidos a sanciones por incumplimiento por parte del gobierno de los EEUU y por personas o empresas privadas que afectan a las fallas que se encuentran relacionadas.

La publicación especial del Instituto Nacional de Estándares y Tecnología establece 109 controles
Click To Tweet

NIST SP 800-171

La publicación especial del Instituto Nacional de Estándares y Tecnología establece 109 controles diferentes, que se encuentran derivados de NIST SP 800-53. Se usa para tratar distintas deficiencias con respecto a la administración y a la protección de la información que se encuentra no clasificada, como pueden ser las marcas inconsistentes, salvaguardias inadecuadas o restricciones innecesarias.

Los diferentes controles se encuentran organizados en 14 familias, de la siguiente manera:

Control de acceso
Concienciación y capacitación
Auditoría y rendición de cuentas
Identificar y autentificar
Gestión de la configuración
Mantenimiento
Respuesta al incidente
Seguridad personal
Protección de medios
Protección física
Evaluación de riesgos
Protección de sistemas y comunicaciones
Evaluación de seguridad
Integridad de los sistemas de información

La aplicabilidad se define por el uso del marco de Gestión del Riesgo del NIST, siendo un conjunto de publicaciones usadas para categorizar los sistemas de información y definir todos los controles que se pueden aplicar.

Beneficios ISO 27001 durante la implementación del NIST SP 800-171

Se definen todos los requisitos que se deben cumplir. Las organizaciones pueden usar el Marco de Gestión de Riesgo de NIST, ¿Cuáles son los beneficios ISO 27001? Esta pregunta se puede responder con dos argumentos:

Una norma internacional, si una organización implementa la norma ISO 27001 será mucho más atractiva para otros clientes potenciales en todo el mundo, además sigue siendo capaz de trabajar con las agencias gubernamentales.
La compatibilidad con otras normas ISO que facilita la integración del contexto de la gestión de toda la organización.

Para utilizar los beneficios de la norma ISO 27001 es necesario que NIST SP-800-53 y NIST SP 800-171 tengan un apéndice con tablas de mapeo que se relacionan con los controles en el Anexo A de la norma ISO 27001. El control NIST SP 800-171 AC-2 ofrece los siguientes controles:

2.1 – Registro y cancelación de registro del usuario
2.2 – Provisión de acceso de usuario
2.3 – Gestión de los derechos de acceso privilegiados
2.5 – Revisión de los usuarios derechos de acceso
2.6 – Eliminación o ajuste de los derechos de acceso

Una organización puede seguir todos los pasos que se usan para identificar e implementar los controles del Anexo A para identificar e implementar los controles NIST SP 800-171, pero algunas consideraciones debe ser célebres.

Software ISO 27001

El Software ISOTools Excellence para ISO 27001 para la Seguridad de la Información se encuentra compuesto por diferentes aplicaciones que, al unirlas, trabajan para que la información que manejan las organizaciones no pierda ninguna de sus propiedades más importantes. Facilita el cumplimiento de los requisitos legales que les repercuten.

La entrada La norma ISO 27001 beneficia a las organizaciones se publicó primero en ISOTools México.

¿Cómo la ISO 22301 puede asegurar la continuidad del negocio en el caso de que se produzca un desastre?

manuel.barrera@esginnova.com — Mon, 23 Oct 2017 08:30:50 +0000

ISO 22301

Para superar los desastres naturales que se viven en el país, se puede optar por una alternativa, como es la certificación ISO 22301. Esta certificación asegura la continuidad del negocio en situaciones catastróficas como inundaciones, terremotos y otras situaciones.

La norma ISO 22301 acredita que una empresa cuenta con un sistema de gestión que facilite la presentación del servicio en situaciones graves. Además, se garantiza la reinserción del sistema en el menor tiempo posible cuando existe este tipo de circunstancias.

Los beneficios que obtienen las organizaciones con la certificación ISO 22301 son:

Identificación de amenazas actuales y futuras.
Capacidad de resiliencia frente a situaciones de crisis.

Además del enfoque proactivo para minimizar los impactos negativos, el mantenimiento de las funciones durante momentos de crisis y optimizar el tiempo de recuperación en una situación catastrófica.

Cuando se habla de continuidad de negocio, nos referimos a la capacidad que tiene una empresa de sobrevivir a las amenazas que pueden tener un impacto negativo sobre la organización, como pueden ser los incendios, las inundaciones, los tornados, la falla en servicios públicos, huracanes, terremotos, tsunamis, ataques cibernéticos, contaminación ambiental, pandemias, brotes de virus, etc.

Algunas organizaciones tiene que cerrar o cesar su actividad ya que no se encuentran preparadas para encarar o mitigar los desastres. Es lamentable ya que el camino se encuentra bien documentado, no solo desde el punto de vista de la gestión de riesgos, sino además desde las acciones que se deben seguir una vez que ocurra un incidente de gran magnitud que puede poner en riesgo la continuidad del negocio.

Cualquier organización de cualquier tamaño, puede mejorar las posibilidades de superar un incidente de interrupción de la actividad y quedar en una pieza.Esto es posible si sigue ciertas estrategias probadas y de confianza, más allá de que se solo desee obtener la certificación ISO 22301.

Todos los riesgos pueden generar un efecto negativo en el funcionamiento normal del negocio, lo que haría que éste se detuviera por completo. No existe necesidad de esperar lo peor si en la actualidad existe un estándar internacional que sirve como guía para generar una gestión sobre la continuidad del negocio, como puede ser la norma ISO 22301, mediante la cual se plantea la solución a la pregunta ¿Cómo responder ante una contingencia?

Identificar y ordenar las amenazas

Se genera un listado de incidentes de interrupción de la actividad que constituyen todas las amenazas más probables para la organización.

Durante esta etapa, una buena técnica es reunir personas de todos los departamentos en la sesión de intercambio de ideas. El objetivo de la reunión es generar un listado de escenarios ordenados por probabilidad de ocurrencia y por su potencial causa de impacto en la empresa. De esta forma se da un primer paso hacia el mantenimiento en la continuidad del negocio.

Para superar los desastres naturales se implanta la norma #ISO22301
Click To Tweet

Realizar un análisis del impacto en la organización

Es necesario determinar qué partes de tu organización son las más críticas para que sobreviva. Una forma es comenzar detallando las funciones, los procesos, los trabajadores, los lugares y los sistemas que son críticos para el funcionamiento de la empresa.

Después se determina la cantidad de días de supervivencia de la organización para cada función.

Crear un plan de respuesta y recuperación

En esta etapa debes definir datos claves sobre los bienes que se encuentran involucrados en la realización de las funciones críticas, incluyendo sistemas de TI, personal, instalaciones, proveedores y clientes. Es necesario que se incluyan los números de serie de los equipos, los acuerdos de licencias, los alquileres, las garantías, etc.

Es necesario determinar a quién llamar en cada categoría de incidente y crear un árbol de números telefónicos para que se hagan las llamas correctas en el orden correcto. También es necesario generar un listado de quien puede decir qué cosa para controlar la interacción con los medios durante un incidente.

Los pasos para recuperar las operaciones principales deben ordenarse en una secuencia donde quedan explícitas las interdependencias funcionales. Cuando el plan se encuentre listo, es necesario que nos aseguremos de capacitar a los gerentes sobre los detalles relevantes para cada departamento, además de la importancia del plan general para sobrevivir a un incidente.

Probar el plan y refinar el análisis

Es recomendable probar el plan al menos una vez al año, con ejercicios, análisis paso a paso o simulaciones. La prueba te permite sacar el mayor provecho a los resultados que invertiste en la creación del plan, además permite encontrar fallos, mejorar de forma continua, y generar buena impresión en la gerencia.

Software ISO 22301

Con el fin de llevar a cabo de una forma fácil y eficaz la automatización del Sistema de Gestión de la Continuidad de Negocio basado en la norma ISO 22301, las diferentes empresas y organizaciones hacen uso del Software ISOTools Excellence, herramienta que facilita y garantiza la aplicación de la misma.

La entrada ¿Cómo la ISO 22301 puede asegurar la continuidad del negocio en el caso de que se produzca un desastre? se publicó primero en ISOTools México.

¿Cuáles son los pasos a seguir para conseguir la certificación ISO 27001?

manuel.barrera@esginnova.com — Mon, 02 Oct 2017 08:30:58 +0000

ISO 27001

Después de que haya dedicado un tiempo bastante considerable para conseguir la implantación de la norma ISO 27001, es decir, ha invertido bastante en capacitación, consultoría e implantación de diferentes controles. Ahora llega el auditor de la entidad de certificación. Es normal que nunca pueda saber si su Sistema de Gestión de Seguridad de la Información tiene todo lo que la entidad certificadora solicita. Pero, ¿Qué busca exactamente el auditor?

El auditor lleva a cabo la:

Fase 1 “Revisión de la documentación”. El auditor busca la documentación sobre el alcance, la política y los objetivos del Sistema de Gestión de Seguridad de la Información, la descripción de la metodología de evaluación de riesgos, el informe sobre la evaluación de riesgos, la declaración de aplicabilidad, el plan de tratamiento del riesgo, los procedimientos para el control de documentos, las medidas correctivas y preventivas, además de la auditoría interna. Es necesario que se documenten algunos de los controles del Anexo A:

Inventario de activos

Utilización accesible de activos

Tareas y responsabilidades de los empleados, contratistas y terceros

Términos generales de empleo

Procedimientos para el funcionamiento de las instalaciones de procesamiento de la información

Política de control de acceso

Identificación de la legislación aplicable.

Es necesario que se realicen registros de la auditoría interna y una revisión por parte de la gerencia.

El certificado #ISO27001 solo tiene validez durante tres años
Click To Tweet

Si falta alguno de estos elementos, significa que no se encuentra listo para la Fase 2 de auditoría. Es posible que usted tenga más documentos que si se consideran necesarios, pero la lista contiene los requisitos mínimos.

La Fase 2 “Auditoría principal”. Se lleva a cabo unas semanas después de que se realice la fase 1. En esta auditoría el enfoque no va a ser sobre la documentación sino en comprobar que su empresa realmente está haciendo lo que sus documentos y la norma ISO 27001 dicen que tiene que hacer. En otras palabras, el auditor verifica si su Sistema de Gestión de Seguridad de la Información verdaderamente se ha materializado en su empresa o si sólo se trata de letra muerta. El auditor lo verifica a la hora de realizar la observación y las entrevistas con sus empleados pero principalmente controlando su registro. Entre los riesgos obligatorios se incluyen los de la formación, capacitación, habilidades, experiencias y calificaciones, auditoría interna, revisión por parte de la gerencia y medidas correctivas y preventivas. El auditor espera ver mucho más registros como resultado de la realización de los procedimientos.

El auditor puede que encuentre un incumplimiento grave y debe informar de que no se puede emitir el certificado en ISO 27001. En este momento se deberá seguir un proceso como: el auditor informará de los resultados en el informe de auditoría y le dará un plazo en el cual se deberá solucionar el incumplimiento, como caso contrario, el auditor pude no aceptar lo que se ha hecho. Una vez que este seguro de haber tomado las medidas correctas, es necesario que se modifique al auditor y se envíe la evidencia de lo que han hecho. En la mayoría de los casos, si ha hecho su trabajo, el auditor aceptará su medida correctiva y activará el proceso de emisión del certificado.

Es muy posible que esto le lleve tiempo pero en este momento usted se puede encontrar orgulloso de contar con un Sistema de Gestión de Seguridad de la Información certificado bajo ISO 27001. Debe tener en cuenta que el certificado solo tiene validez durante tres años, y que puede ser suspendido durante dicho periodo si la entidad de certificación identifica algún otro incumplimiento grave en las visitas de control.

Software ISO 27001

El estándar internacional ISO 27001, junto con todas las normas que componen su familia, generan todos los requisitos necesarios para poder implementar un Sistema de Gestión de Seguridad de la Información de una forma rápida y sencilla, además el Software ISOTools Excellence para ISO 27001 presta solución a todas estas cuestiones que se plantean a la hora de implementar un Sistema de Gestión de Seguridad de la Información en una empresa.

La entrada ¿Cuáles son los pasos a seguir para conseguir la certificación ISO 27001? se publicó primero en ISOTools México.

¿Cómo se pone en práctica la protección física del equipo según la norma ISO 27001?

manuel.barrera@esginnova.com — Mon, 28 Aug 2017 08:30:34 +0000

ISO 27001

Muchas empresas de hoy en día cuentan con controles para protegerse de software maliciosos, para evitar que los trabajadores tengan acceso a lugares maliciosos o para cifrar la información cuando es envidado o recibido mediante un correo electrónico. La manera más sencilla de tener todo esto controlado es con la implantación del Sistema de Gestión de Seguridad de la Información basado en el estándar internacional ISO 27001.

A menudo se encuentran con empresas que descuidan la protección física de los equipos, a veces es debido que a muchas empresas piensan que los problemas de seguridad se manejan si compran un buen antivirus o cualquier otra solución que ofrezca un buen software.

En lo referente a la protección física de los equipos, tenemos diferencias entre dos tipos de medidas: las que afectan de manera directa al equipo y la que afectan de manera indirecta a los equipos.

Puede ser que resulte de interés la lectura de este artículo ISO 27001: Generalidades.

En este artículo queremos ofrecer algunas sugerencias y mejorar las prácticas sobre las medidas que afectan de manera indirecta a los equipos, lo que ayuda a su organización a ser mucho más segura mediante la protección de la seguridad de la información de su empresa. Para ofrecer dichos consejos nos ayudaremos del Anexo A de la ISO 27001, el cual se centra en la seguridad física del equipo, al implantar el Sistema de Gestión de Seguridad de la Información.

Los servicios públicos de apoyo

Es obvio que el equipo tiene que estar conectado a una toma de corriente, y en muchos casos existe un generador que proporcione energía en el caso de que falle el principal proveedor de energía. Nos encontramos con las empresas que nunca han probado su suministro de energía alternativa y no conoce el tiempo que puede trabajar con esta energía alternativa. No sólo es importante para establecer una alternativa, sino que también es importante para definir el plan de mantenimiento y definir las tareas que debe llevar a cabo. Es muy recomendable que se genere un informe con todos los resultados.

Se encuentran organizaciones que trabajan en un centro común y tiene un generador que es administrado por un tercero. No debe ser un problema, ya que puede solicitar a su proveedor un servicio de mantenimiento y las pruebas.

El punto de inflexión es que existen muchas amenazas en la seguridad de la información #ISO27001
Click To Tweet

Cableado de seguridad

En este caso parece obvio que las tecnologías actuales no sean posibles sin cables, y es muy común que nadie se moleste en ordenar el cableado de manera estructurada. Pero, para evitar errores:

Los cables no deben estar sueltos o sin etiquetar.

Deben ser recogidos y canalizados mediante formas preparadas para tender el cable.

Se debe contar con bastidores de armarios, paneles eléctricos o cualquier otro material para proteger y canalizar los cables que deben ser utilizados.

Claro escritorio y la política de pantalla transparente

Todos los usuarios de hoy en día son conscientes y saben que no deben escribir su contraseña en una nota adhesiva y pegarla en la pantalla de su ordenador, o en el escritorio. Sin embargo, este problema no se puede descuidar, ni se debe pensar que los usuarios sean conscientes de todas las medidas que deben llevar a cabo en el escritorio de su ordenador. Por tanto, se deben establecer una serie de políticas que recuerden que los usuarios no deben dejar ninguna información sensible en cualquier zona, como establece el Sistema de Gestión de Seguridad de la Información de la norma ISO 27001.

La implementación de un Sistema de Gestión de Seguridad de la Información bajo la norma ISO 27001, es muy útil para proteger su equipo de ataques malintencionados de los hackers de diferentes maneras. El punto de inflexión es que existen muchas amenazas que se encuentran relacionadas con la seguridad física y porque los atacantes saben que el equipo es un punto débil de muchas empresas. Por lo tanto, debe aprender a aplicar las medidas necesarias para que su equipo no sea atacado.

Software ISO 27001

El estándar internacional ISO 27001, junto con todas las normas que componen su familia, generan todos los requisitos necesarios para poder implementar un Sistema de Gestión de Seguridad de la Información de una forma rápida y sencilla, además el Software ISOTools Excellence para la norma 27001 presta solución a todas estas cuestiones que se plantean a la hora de implementar un Sistema de Gestión de Seguridad de la Información en una empresa.

La entrada ¿Cómo se pone en práctica la protección física del equipo según la norma ISO 27001? se publicó primero en ISOTools México.

Los siniestros laborales disminuirán con la norma ISO 45001

manuel.barrera@esginnova.com — Mon, 21 Aug 2017 08:30:19 +0000

Norma ISO 45001

La norma ISO 45001 se ha creado para implantar un Sistema de Gestión de Seguridad y Salud en el Trabajo, ya que cada año son más numerosos los accidentes que se producen en el trabajo, llegando a causar más de 2,3 millones de muertes, a partir de datos que nos llegan de la Organización Internacional del Trabajo. Por esta razón, hay varias organizaciones que llevan a cabo una auditoría reglamentaria para cumplir con la legislación vigente en prevención de riesgos laborales o implantando un Sistema de Gestión de Seguridad y Salud en el trabajo basado en la norma OHSAS 18001. Esto es llevado a cabo por organizaciones que se preocupan por la seguridad y salud de sus empleados.

Adicionalmente, las empresas también disponen de unos 100 expertos de 70 países orientados a prevenir los riesgos laborales. Estos expertos, han trabajado en elaborar una nueva norma ISO 45001, primera norma internacional elaborada desde la misma Organización Internacional de Normalización a cerca del Sistema de Gestión de Seguridad y Salud en el Trabajo. La norma ISO 45001, apuesta por la mejora continua ayudando a las empresas con riesgos laborales y riesgos relacionados con la salud.

Esta nueva norma ISO 45001 se basa en referencias de la norma OHSAS 18001. Entre las principales novedades, la norma ISO 45001 pone más interés en el contexto de la empresa y en la gestión del riesgo, además de reforzar el cargo de la alta dirección en el liderazgo del Sistema de Gestión de Seguridad y Salud en el Trabajo, como parte importante en la estrategia de negocio. Además, da a los trabajadores un papel importante en el Sistema de Gestión de Seguridad y Salud en el Trabajo basado en la norma ISO 45001, garantizando el éxito.

La estructura de la norma ISO 45001 será la llamada de alto nivel, propia de los sistemas de gestión de las normas internacionales como la norma ISO 9001 o ISO 14001, etc. Esto favorece a integrar e implementar los sistemas de gestión. No nos debemos olvidar de que el fin de la norma es aplicarse a cualquier empresa independientemente de su tamaño, naturaleza o tipo.

Aplicar la norma supone las siguientes ventajas:

Disminuir los accidentes laborales

Disminuir los riesgos

Mejorar las condiciones de trabajo

Incrementar la productividad

Facilitar el cumplimiento de la legislación

Fomentar prevención a través de su integración

Esta nueva norma #ISO45001 se basa en referencias de la norma #OHSAS18001
Click To Tweet

Aún, no es momento de hablar de procesos de adaptación, pues se prevé que la norma ISO 45001 sea publicada para final de 2017 o para comienzos de 2018. Aun así, debemos saber que el borrador de la norma ISO 45001 está basado en los requisitos de la norma OHSAS 18001. La norma OSHAS 18001, no será automáticamente anulada tras la publicación de la norma ISO 45001, sino que seguirá vigente hasta que la organización que lo gestiona lo diga.

La norma ISO 45001 se empezó a elaborar en el 2013, y puede que se publique a finales de 2017, si en los diferentes países se cumple el calendario previsto y se desarrolla la votación.

El borrador DIS de la norma ISO 45001 que se publicó el 12 de febrero de 2016, fue comentado por los interesados y se votó el 12 de mayo de 2016 por todos los países participantes, entre los que estuvo México. En junio se realizó una reunión en Canadá, donde se analizaron los comentarios realizados y el DIS 2 fue aprobado. El número y la calidad técnica de los comentarios influyó en la evaluación que sigue la norma ISO 45001.

En las zonas en las que hay varias empresas del sector industrial y las consecuencias de la actividad de minería, siderurgia, metal, química, etc., siempre ha sido muy importante la relación entre las empresas que tienen un Sistema de Gestión de Seguridad y Salud en el Trabajo. Casi todas estaban certificadas bajo la norma OHSAS 18001, por lo que se hará una migración a la norma ISO 45001.

La futura ISO 45001 tendrá en cuenta el liderazgo que debe ser ejercido por la alta dirección para asegurar que se dispone de los recursos que se encuentran en el Sistema de Gestión de Seguridad y Salud en el Trabajo para asegurar que se cumplen todos los objetivos.

En el apartado 4.4.6 se habla sobre el control operacional, es decir, se menciona de forma específica el término de control de contratistas y otros visitantes en sus lugares de trabajo. En el caso de la entrada, la retroalimentación y la consulta de los contratistas y proveedores es tan importante y valiosa la identificación de los riesgos como la misma información de los empleados.

Software OHSAS 18001

El Software ISOTools Excellence para OHSAS 18001 cuenta con unas características que posibilitan el alcance de resultados excelentes a cualquier organización que lo utilice. Son características como su facilidad, flexibilidad, funcionalidad, accesibilidad o confidencialidad.

La entrada Los siniestros laborales disminuirán con la norma ISO 45001 se publicó primero en ISOTools México.

Beneficios de la nueva norma ISO 45001

manuel.barrera@esginnova.com — Mon, 15 May 2017 14:59:19 +0000

ISO 45001

Es importante contar con procesos sólidos y eficientes para la prevención de los accidentes e incidentes laborales, para lo cual es recomendable apoyarnos en la norma ISO 45001. Esta norma se encarga de la regulación de la materia relativa a la seguridad y salud en el trabajo. Está diseñada para facilitar a las organizaciones, independientemente del tamaño y sector en el que operen, un entorno adecuado para los trabajadores de la misma. El objetivo principal de la norma ISO 45001 es minimizar el número de accidentes e incidentes laborales y enfermedades relacionadas con el trabajo en todo el mundo.

Para conocer más acerca del nuevo estándar ISO 45001 puedes visitar otro de nuestros artículos haciendo clic aquí.

¿Cómo ayudará la ISO 45001 a implementar un Sistema de Gestión de Seguridad y Salud en el Trabajo?

Del total de 2,3 millones de fallecimientos que se producen al año y que están relacionado con el mundo laboral, la mayor parte son el resultado final de una mala salud a consecuencia de enfermedades derivadas del trabajo. Los trabajadores enmarcados en esta categoría con frecuencia padecen una enfermedad prolongada dado la exposición a largo plazo. Estas situaciones no deben de ser ignoradas, sino que deben enfocarse como si se tratase de un accidente. Esto se debe a que los accidentes cuentan con una mayor visibilidad y generan una acción de forma inmediata.

En base al Congreso Mundial sobre Seguridad y Salud en el Trabajo, podemos afirmar que cada día tienen cabida un total de 860.000 accidentes laborales. Algunos de estos accidentes se deben a las lesiones previamente producidas. El costo imputado, tanto directo como indirecto, a las enfermedades y los accidentes laborales en todo el mundo es estimado en 2,8 billones de dólares.

Debido a estos datos, las empresas deben de garantizar la administración de cada uno de los riesgos para poder mejorar su crecimiento. La seguridad y la salud laborales es un factor fundamental para cada organización. Debe de ser gestionado de forma proactiva, para lo que puede apoyarse en la norma ISO 45001. Junto con el impacto que produce la gestión ineficiente de la seguridad y salud laboral, se pueden generar numerosos efectos negativos en las empresas. Algunos de estos efectos negativos pueden ser:

Pérdida de trabajadores clave

Interrupción del negocio

Reclamaciones

Cargos realizados por los seguros

Daños en la reputación

Pérdida de inversores

Pérdida del negocio

El desarrollo de la nueva #ISO45001 era necesario y muy esperado
Click To Tweet

¿Cómo funcionará la norma ISO 45001 con otras normas ISO?

La elaboración de un nuevo estándar como es la ISO 45001 era una cuestión clave. Pues su coincidencia con las publicaciones en 2015 de las normas ISO 9001 e ISO 14001 proporciona un marco común basado en el riesgo. Las cuestiones comunes de las normas proporcionan a las organizaciones numerosas facilidades a la hora de integrar de manera conjunta en los procesos de negocio. Esto se ha convertido en uno de los requisitos principales de estas tres normas ISO.

El estándar ISO 45001 continuará con el modelo PHVA (Planificar, Hacer, Verificar y Actualizar), el cual ofrece a las organizaciones un marco para facilitar la planificación de la minimización del riesgo. Las medidas que se deben abordar serán necesarias para tratar de reconducir los problemas de salud a largo plazo y la ausencia laboral, junto con los que dan lugar a accidentes. Uno de estos casos es el riesgo psicosocial al que se enfrentan numerosos trabajadores, considerado uno de los grandes problemas actuales. Junto con el daño que causa a los trabajadores y a los familiares de los mismos y el enorme costo social que conlleva.

El estándar ISO 45001 necesita que la alta dirección ponga de manifiesto su compromiso a través del liderazgo para poder garantizar que los empleados cuentan con las competencias. Así como con los controles eficientes para poder comenzar con la fase “Hacer”. Se reconoce la participación de los trabajadores y su consulta para poder realizar las mejoras oportunas en el Sistema de Gestión de Seguridad y Salud en el Trabajo. Durante la fase “Verificar” se identifican los distintos elementos clave que deben de ser abordados con el objetivo de garantizar que el sistema se encuentra en funcionamiento y determina las distintas oportunidades de mejora en la fase “Actuar”.

Software OHSAS 18001

Con la intención de gestionar y supervisar de una manera fácil y eficaz el desarrollo del Sistema de Gestión de Seguridad y Salud en el Trabajo bajo la norma OHSAS 18001, las organizaciones hacen uso, entre otras herramientas, del Software ISOTools Excellence, que permite y facilita el control del sistema garantizando la obtención de óptimos beneficios.

La entrada Beneficios de la nueva norma ISO 45001 se publicó primero en ISOTools México.

¿Son los contratistas externos compatibles con OHSAS 18001?

manuel.barrera@esginnova.com — Mon, 17 Apr 2017 17:03:20 +0000

OHSAS 18001

El estándar OHSAS 18001 ofrece orientación y metodología acerca del mantenimiento de la seguridad y la salud en el trabajo por parte las organizaciones. Aunque la ISO 45001 será la encargada de sustituir a la OHSAS 18001, esta aún está en periodo de revisión. Por ello, la norma OHSAS 18001 es la actual legislación que debe tenerse en vigor por parte de las organizaciones. Numerosas organizaciones cuentan ya con un excelente Sistema de Gestión de Seguridad y Salud en el Trabajo basado en OHSAS 18001.

Debe considerarse que los contratistas suelen estar en aquellas zonas donde el volumen de empleados es menor. Como consecuencia de esto el tiempo es un factor predominante. La seguridad y la salud son igual de importantes tanto para los trabajadores como para los contratistas. Por ello, el objetivo del Sistema de Gestión de Seguridad y Salud de la organización pretende proteger de igual modo a los contratistas que a los empleados. Teniendo en cuenta las dificultades que podemos encontrarnos para satisfacer las necesidades de los contratistas, vamos a analizar una serie de cuestiones que nos garantizarán la igualdad en la protección de estos dos grupos.

Si deseas conocer más acerca la norma OHSAS 18001 puedes visitar otro de nuestros artículos, como por ejemplo cómo definir el alcance en dicha norma.

La protección del proveedor de servicios

La futura norma ISO 45001 considerará el liderazgo que debe ejercer la alta dirección para garantizar que se dispone de los recursos que se encuentran en el Sistema de Gestión de Seguridad y Salud en el Trabajo. De esta forma se asegurará que se alcanzan los distintos objetivos. Concretamente, en el apartado 4.4.6 de la OHSAS 18001 se hace referencia al control operacional. En él se hace mención concretamente al término control de contratistas y otros visitantes a los lugares de trabajo. En el supuesto de la entrada, retroalimentación y consulta con los contratistas y proveedores externos es tan importante y valiosa la identificación de los riesgos como la misma información de los trabajadores actuales.

Al combinar la información de la norma OHSAS 18001 podemos elaborar un cuadro completo del modo en el que se lleva a cabo la consulta, la participación y la fusión de los procesos de comunicación. El objetivo es el desarrollo de un ciclo dentro del Sistema de Gestión de Seguridad y Salud en el Trabajo. En él se consultan cada una de las partes interesadas, la información se coteja y todo se encuentra protegido.

#OHSAS18001: Todas las personas que se encuentran en su organización deben estar protegidas
Click To Tweet

La organización debe mantener el control sobre los contratistas pues estos deben de guiarse por las pautas y reglas relativas a la prevención de riesgos laborales. Por tanto, deben utilizarse los accesorios y la indumentaria que corresponda dado el puesto de trabajo. Puesto que debemos comprobar que todos los trabajadores y personal de la empresa están protegidos deberemos:

Garantizar que los contratistas se añaden a la matriz de entrenamiento

Hay que verificar la formación que se recibe por los contratistas y los proveedores externos. Esto puede ser una tarea compleja ya que la ausencia de un registro preciso dificulta la labor. Por ello, es importante contar con un registro de formación actualizado para poder llevar a cabo una evaluación de la condición de la formación que estos reciben.

Involucrar a los contratistas en los foros y en las reuniones mensuales

Debemos asegurarnos de realizar la consulta necesaria para facilitar que los contratistas proporcionen determinada información acerca del nivel de conocimiento con el que cuentan de forma que lo evalúen.

Desarrollar un paquete de inducción especial para los contratistas

Se trata de una tarea menos compleja que la inducción de personal normal. No obstante, se necesita que cada uno de los contratistas lo lleven a cabo. De esa manera se podrá garantizar que estos obtienen al menos un nivel básico de formación en materia relativa de seguridad y salud en un plazo determinado.

Realizar un cuestionario para la seguridad y la salud en el trabajo de los contratistas

Es necesario solicitar este método para poder obtener una retroalimentación adecuada. Gracias a este modo podrán identificarse las lagunas de formación o conocimientos recibidos existentes. Esto permitirá a la organización la oportunidad de conocer las habilidades o los conocimientos de los que dispongan.

Realizar una lista de correo electrónico “contratistas”

Se puede valorar la opción de otorgarle un correo corporativo al contratista. De este modo se facilita la comunicación y los contratistas contarían con la misma información que cualquier otro trabajador. En el caso de los documentos importantes podemos establecer un servicio de firma electrónica para verificar que la información es recibida por la persona a la que se le envía.

Software OHSAS 18001

Cada vez son más las empresas y organizaciones que buscan soluciones para automatizar su Sistema de Gestión de Seguridad y Salud en el Trabajo bajo la norma OHSAS 18001. El Software ISOTools Excellence hace posible esta realidad, gracias a sus características y diseño que lo hacen idóneo para ser utilizado en cualquier empresa.

La entrada ¿Son los contratistas externos compatibles con OHSAS 18001? se publicó primero en ISOTools México.

Los cambios más importantes del borrador ISO 45001

manuel.barrera@esginnova.com — Mon, 27 Mar 2017 19:36:25 +0000

Borrador ISO 45001

La nueva actualización del borrador ISO 45001 está a punto de ser publicada y de estar disponible para el mundo entero.

El borrador ISO 45001 es sólo el preámbulo de la nueva norma para la gestión de la seguridad y la salud en el trabajo. Dicha norma se encuentra en desarrollo en estos momentos y cuya publicación se espera para finales de este año o principios de 2018.

El Organismo Internacional de Normalización (ISO) trabaja con expertos de distintas nacionales de todo el mundo para la elaboración de las normas ISO y, en concreto, para el borrador ISO 45001. Actualmente, la última fase que ha experimentado el borrador ISO 45001 ha sido la recepción de comentarios por todas aquellas partes interesadas.

Las cuestiones relativas a la seguridad y la salud en los puestos de trabajo son una prioridad para la sociedad actual. Pese a la gran legislación y regulación que existe sobre esta materia, las enfermedades y accidentes laborales son la causa de millones de muertes en todo el mundo. Los distintos comentarios han sido considerados por un grupo de expertos a tener en cuenta para la publicación del segundo borrador ISO 45001.

El Comité ISO/PC 283 es el órgano encargado del desarrollo del borrador ISO 45001. Este incluye a observadores de 14 países y hasta 20 organismos de enlace. Todos ellos cuentan con el suficiente conocimiento y la experiencia práctica en cuestión de seguridad y salud en el trabajo.

Si quieres conocer más acerca de la norma ISO 45001 puedes profundizar gracias a nuestros artículos, como por ejemplo con “Los documentos obligatorios en la nueva ISO 45001”.

Adiós a la OHSAS 18001

Como ya sabemos, el borrador ISO 45001 dará paso a la norma que sustituirá a la actual OHSAS 18001. Debido al nuevo estándar deben considerarse muchos puntos de discusión.

El borrador ISO 45001 se está desarrollando a través de un enfoque colaborativo, consecuente y considerando tanto la visión de grandes empresas como de pequeñas. Así como también la opinión de organismos gubernamentales, sindicatos y empleados encargados de representar a las organizaciones.

Ha sido desarrollado conforme a una estructura principal y un texto común definido a través de ISO. La estructura principal asegura que la norma basada en el borrador ISO 45001 se encontrará alineada con el resto de normas ISO actualizadas recientemente. De esta forma se ayuda a la implantación de distintos sistemas de gestión, evolucionando en sistemas de gestión integrados.

El estándar #ISO45001 se ha desarrollado siguiendo una estructura principal
Click To Tweet

Nuevos requisitos

La norma elaborada a partir del borrador ISO 45001 desea reforzar lo establecido a través de los distintos requisitos legales en relación a la documentación y el establecimiento y control específico y eficaz de la misma.

Se hace especial hincapié en los apartados dedicados a estas cuestiones. En ellos pueden diferenciarse claramente una serie de requisitos documentales para la acción de contratación de manera externa y otros requisitos técnicos.

En relación al apartado 7.4 titulado “Información y comunicación” podemos observar como la compañía debe de establecer tanto la información como las comunicaciones internas y externas relacionadas con el Sistema de Gestión de Seguridad y Salud en el Trabajador. Debe definirse:

Sobre qué se informará

Cuándo se llevará a cabo

Cómo se hará

Cómo se mantendrá la información actualizada

Respecto al punto A.8.1.2 titulado “Jerarquía de controles” se determina la necesidad de disponer de ciertos controles para disminuir al máximo los riesgos relacionados con la seguridad y la salud laboral.

Por último, en el apartado A.8.5 titulado “Contratistas” se establece la coordinación de actividades sin considerar cada uno de los factores inherentes de los trabajos a desarrollar.

Una parte muy importante de la coordinación requerirá de la verificación de que los contratistas son capaces de llevar a cabo sus tareas antes de que se les permita proceder con su trabajo. A continuación podemos ver algunos de los ejemplos de verificación que se pueden llevar a cabo:

Los registros de desempeño de la seguridad y salud

Determinar cada uno de los criterios seguidos para cualificar, obtener experiencia y controlar la competencia de los trabajadores

Desarrollo de requisitos de formación y otros requisitos de los trabajadores

Considerar que cada uno de los recursos, equipos y preparación de trabajo son adecuados y se encuentran listos para que se pueda comenzar con el trabajo

Software OHSAS 18001

Con el objetivo de controlar de una manera fácil y sencilla el desarrollo del Sistema de Gestión de Seguridad y Salud en el Trabajo con la norma OHSAS 18001, las organizaciones hacen uso, entre otras herramientas, del Software ISOTools Excellence, que permite y facilita el control del sistema garantizando la obtención de óptimos beneficios.

La entrada Los cambios más importantes del borrador ISO 45001 se publicó primero en ISOTools México.