04Nov

Nueva versión 2022 ISO27001 Seguridad de la información

4 de noviembre de 2022 Juanjo Alemany 20

A inicios de este año se publicó la nueva versión de la ISO27002 Directrices de Seguridad de la Información, que supone la antesala de la ISO27001 de Sistema de Gestión de Seguridad de la Información (SGSI). Este mes de octubre por fin ha llegado su versión final, ésta presenta varias novedades respecto a su antecesora.

Han pasado 9 años desde la versión 2013, la segunda que ya incorporaba la estructura de alto nivel que se ha hecho común en las ISO de sistemas de Gestión. En estos años los cambios no han sido pocos, desde tecnológicos hasta los últimos derivados de escenarios de crisis mundiales.

Como siempre dar respuesta a las necesidades de regulación nunca es fácil, ya que la transformación de la sociedad y sus hábitos, de igual forma que los escenarios y amenazas, cambian de forma más rápida que los controles que podamos establecer.

Las principales novedades se basan en:

Adaptarse a los cambios en las formas de trabajar y vivir (la industria de la ciberseguridad ha madurado)
Flexibilizar la alineación con los conceptos de seguridad
Mejorar la armonización con los otros estándares ISO
Simplificar la norma y asegurar que el sistema está basado en procesos claros.

Nueva estructura de clausulas

Derivado de la actualización de la ISO27002 los controles quedan de la siguiente manera.

Anexo A

Clausula 5 – Controles de la organización: 37 controles, 34 antiguos y 3 nuevos
Clausula 6 – Controles de personas: 8 controles todos ya existentes
Clausula 7 – Controles de seguridad física: 14 controles, 13 antiguos y 1 nuevo
Clausula 8 – Controles tecnológicos: 34 controles, 27 antiguos y 7 nuevos

Como podemos ver hemos pasado de 114 controles en 14 grupos a 93 controles en 4 grupos, se han revisado 58 controles antiguos y hay 24 que surgen de la fusión de controles anteriores.

Nuevos controles

La nueva estructura trae consigo 11 controles nuevos, la mayoría vinculados al entorno tecnológico, ya que obviamente la tecnología es lo que más ha cambiado en estos años.

La lista de controles es:

A 5.7 Amenazas de inteligencia
A 5.23 Seguridad de la información por uso de servicios en la nube
A 5.30 Tecnologías de la información y comunicaciones para la continuidad del negocio
A 7.4 Monitorización de la seguridad física
A 8.9 Gestión de la configuración
A 8.10 Borrado de información
A 8.11 Enmascarado de datos
A 8.12 Prevención de fuga de datos
A 8.18 Monitorización de actividades
A 8.23 Filtro de la web
A 8.28 Codificación segura

Cambios vinculados a puntos de norma

A parte de esta reordenación de controles, también encontramos una serie de cambios menores en los puntos de la norma.

Los principales son:

4.4. Hay un requisito explícito para definir los procesos y sus interacciones.
5.3. Se explicita la necesidad de comunicar los roles relevantes en seguridad de la información en toda la organización.
6.2. Hace referencia explícita a la monitorización de los objetivos de Seguridad de la Información.
6.3. Punto nuevo que se alinea con el resto de ISO. Nos indica la necesidad de planificar los cambios del sistema de gestión y que estos se realicen de manera controlada.
8.1. Especifica el establecer criterios para los procesos y aplicar el control.
9.3 En la revisión por la dirección se deben de tener en cuenta los cambios en las necesidades y expectativas de las partes interesadas que son relevantes para el SGSI.

Calendario de implantación de la versión 2022

¿Y ahora qué? Lo primero que hemos de tener presente son los plazos establecidos para la gestión del cambio:

Primeras evaluaciones a partir de noviembre de 2022
Primeras certificaciones (pendiente de cada certificadora) entre febrero y abril de 2023
Plazo para certificarse con la versión 2013 – abril de 2024
Fin de vigencia de los certificados de la versión 2013 – octubre de 2025

Actuaciones

Para el éxito de un proceso de cambio de versión, hay que contemplar varios elementos. Teniendo en cuenta el calendario anterior, lo primero es ver cómo nos encaja en nuestro proceso de auditoría con nuestra entidad de certificación. Siempre es recomendable hacer coincidir los cambios de versión con procesos de recertificación.

Luego nos podemos encontrar en dos escenarios opuestos: aquellos que consideren que ser de los primeros en cambiar de versión supone una ventaja competitiva y un caso de ejemplaridad, y los que prefieren esperar al último suspiro.

Para los primeros, es aconsejable dejar pasar un plazo de unos 6 meses para que las entidades de certificación hayan tenido tiempo de formar bien al personal y se hayan podido corregir interpretaciones iniciales que puedan suponer cargas de trabajo innecesario.

Para los segundos, se ha de tener en cuenta los posibles cuellos de botella que puedan suceder durante el 2025. Ya que la cantidad de auditores acreditados en ISO27001 es mucho más limitado que en otros estándares, en los cuales ya observamos esta problemática en 2018 con las normas ISO9001 y ISO14001.

Sea cual sea el caso, la lectura de la norma y/o la formación previa son factores clave para el proceso de actualización del SGSI.

Finalmente, sólo queremos recordar al lector que todo proceso de cambio requiere de un análisis de capacidad por parte de la organización, y cómo siempre TOTALRISK está aquí para ayudarles en este proceso.

24May

El error humano no es la causa

24 de mayo de 2022 Montse Sardina 20

“Errar es de humanos” parece ser que es intrínseco a nuestra naturaleza humana. No se puede evitar ¿o sí?.

La automatización y control de procesos en las organizaciones ha hecho que los errores disminuyan, pero, aunque un proceso esté muy automatizado, siempre hay una o varias personas detrás, ni que sea para controlar y mantener la automatización. Y si hay personas, siempre, puede haber “errores humanos”.

En seguridad y salud, los errores humanos pueden ser de dos tipos: activos o latentes. Esto es totalmente extrapolable a todo tipo de errores.

Cuando hablamos de errores activos, el factor que ha provocado el error es claramente una persona, entre ellos, los fallos efectuados deliberadamente, pero también se contemplan los errores por despiste durante tareas rutinarias o malas decisiones que en el momento en que se tomaron, se creyeron buenas.

En cambio, cuando hablamos de errores latentes, son aquellos aspectos de una organización o externos que influyen en el comportamiento humano y hacen más probables los errores activos. Por ejemplo, aspectos asociados al stress, a las condiciones ambientales de trabajo, a la competencia, la salud…

Existen muchas metodologías para evitar el error y detectar errores, pero la realidad es que se siguen produciendo.

A priori, las organizaciones invierten tiempo y dinero en formar a las personas; quizás es una persona con experiencia e incluso con años en la organización y dispone de los medios para no equivocarse; quizás es una persona con una gran formación, pero un día se equivoca, se despista, se relaja y comete el error.

Hay muchos factores externos que pueden provocar una bajada de la atención. Factores externos que son difíciles de controlar para las organizaciones. Por ello, es importante que todos aquellos factores internos que pueden provocar errores se minimicen y se instale la cultura del error.

CULTURA ORGANIZACIONAL ANTE EL ERROR

Esta actitud positiva ante el error incluye dar la libertad a las personas a equivocarse, a que no haya ningún pudor a hablar de los errores cometidos para poder sacar conclusiones y mejorar.

La cultura del error es fundamental para no victimizar a quién se equivoca. Hemos de recordar que de los errores se aprende y si se ocultan, no sirven de nada.

Las organizaciones deben tener una actitud positiva ante el error. A veces un error puede hacer cambiar las cosas a mejor. De hecho, hay multitud de inventos increíbles que han surgido gracias a un error humano. Se me ocurren, por ejemplo, los post-its.

A pesar de ello, no debemos olvidar que, en la mayoría de las ocasiones, un error cuesta dinero, puede provocar lesiones… y, por lo tanto, las organizaciones deben poner en marcha mecanismos para evitarlos y se debe educar a las personas a hacer las cosas “correctamente”. No es suficiente, formar. La concienciación en hacer bien las cosas para no cometer errores es un trabajo constante.

TRATAMIENTO DE INCIDENCIAS “DEBIDAS” A UN ERROR HUMANO

De esta forma, las organizaciones deben concentrar sus esfuerzos en primero prevenir y luego corregir (PACA¹), y no al revés, (CAPA²). Las Acciones Preventivas basadas en el análisis y gestión de riesgos suponen ser PROACTIVO ante los errores. Identificar posibles “problemas” o “errores” potenciales que se puedan materializar y tomar acciones para eliminar la causa raíz (RCA³).

En cambio, cuando hablamos de Acciones Correctivas, la incidencia, problema, error, ya se ha producido y las acciones que debemos tomar son para evitar que vuelva a ocurrir. Esto supone ser REACTIVO ante los errores.

En cualquier caso, es muy importante identificar la causa raíz para eliminarla.

Con frecuencia, en las auditorías, nos encontramos que las organizaciones (pequeñas y grandes) registran incidencias, cuya causa raíz identifican como “error humano”. ¿Pero lo es? No. El error humano es un factor que provoca la incidencia, pero nunca es la causa raíz.

Siempre que se produzca un error humano, hay que buscar la causa o las causas que lo han provocado, ya sean interna a la organización o externas. Hay que ser metódico, porque si no encontramos la causa, el error se volverá a producir.

Algunas de las técnicas más comunes son los 5 porqués, el diagrama de espina de pez o de Ishikawa, el análisis de cambios/análisis de sucesos.

Sea cual sea la técnica utilizada, debemos trabajarla bien para hallar la causa o las causas y actuar, en la medida que sea posible, para eliminarla/s.

¿Qué causas pueden aparecer detrás de un error humano? Pueden darse causas internas a la organización: una baja formación, diseño incorrecto del proceso de trabajo, mal funcionamiento de equipos, falta de tiempo, una supervisión insuficiente, falta de liderazgo o engagement a la organización, problemas interpersonales, stress por carga de trabajo…

O causas externas: problemas personales, problemas relacionados con la salud de la persona…

Sea cual sea la causa, recordad, hay que buscarla y actuar sobre ella. Los errores se pueden producir y todos cometemos errores, pero siempre hay una o más causas que hicieron que nos equivocáramos.

¹PACA Preventive Actions Corrective Actions

²CAPA Corrective Actions Preventive Actions

³RCA Root Cause Analysis

08Mar

La cuenta atrás para disponer de un plan de igualdad y los riesgos de no cumplirlo

8 de marzo de 2022 Mariam Rodríguez 23

La cuenta atrás para disponer de un plan de Igualdad y los riesgos de no cumplirlo

Alcanzar la igualdad entre hombres y mujeres en el trabajo, así como en otros ámbitos, es un objetivo por el que muchas personas y organismos se esfuerzan a diario.

Décadas de estadísticas nos demuestran la desigualdad que sufre la mujer desde su lenta introducción a la vida laboral.

Aunque nos encontramos en un momento de evolución y cambios en la sociedad, la situación actual de la mujer se sigue caracterizando por una serie de factores como:

El hecho que después de una jornada de trabajo, siguen dedicándose a las tareas domésticas y el cuidado de los hijos/as.
Recae en ellas los permisos o excedencias para dedicar tiempo al cuidado de los hijos o familiares.
Falta de presencia en algunos ámbitos laborales.
Poco acceso a puestos directivos y mandos intermedios.
Diferencia retributiva por mismo tipo de trabajo.

En España, el nacimiento del Instituto de la Mujer supuso un gran cambio y el comienzo de una política institucional para la igualdad de oportunidades.

Este organismo durante años se ha centrado en la recopilación, investigación y seguimiento de actuaciones para la concienciación de la igualdad de género, enfocándose en la búsqueda de oportunidades dentro de sectores masculinizados, poniendo a disposición de mujeres emprendedoras información y diseñando paulatinamente lo que hoy conocemos como Planes de igualdad.

¿Qué son los planes de igualdad y para qué sirven?

Un plan de igualdad es un conjunto de medidas evaluables, que tienen por objeto eliminar aquellos obstáculos que impiden o dificultan la igualdad de género, así como cualquier discriminación por razón de sexo en las empresas.

El primer marco legal para planes de igualdad se estableció a través de la Ley Orgánica 3/2007, de 22 de marzo, para la igualdad efectiva de mujeres y hombres. El propio texto de la Ley Orgánica insiste en la necesidad de una acción normativa para combatir todas las manifestaciones de discriminación por razón de sexo que se dan en la mayoría de los ámbitos social, política, económica y cultural.

En esta lucha contra la discriminación por razón de género, el gobierno se ha comprometido a crear campañas para la promoción de las mujeres en otras áreas de trabajo, a velar por la igualdad retributiva y la promoción y liderazgo de mujeres en la vida política, económica, social y cultural del país, subrayando la lucha contra la violencia de género como prioridad nacional.

La cuenta atrás para incluir un plan de igualdad en las empresas empezó en marzo de 2020 y este 07 de marzo deberán implementarlo todos aquellos organismos públicos y privados que cuenten con más de 50 trabajadores en su plantilla.

La elaboración de un plan de igualdad pasa por varias fases, desde la creación de un comité de igualdad hasta el control, seguimiento e informe de este.

Estructura de un Plan de Igualdad

El compromiso de la alta dirección es el primer pilar fundamental para la implantación del plan.

En una primera fase se crea el comité de igualdad, el cual debe estar formado equitativamente por representantes de la empresa y de los trabajadores y, a ser posible, debe haber hombres y mujeres. Estos serán los encargados de hacer seguimiento y llegar a acuerdos sobre qué acciones serán necesarias para la correcta gestión del mismo.

El análisis de toda la información recopilada, tras un estudio cuantitativo (recopilación de datos y registros facilitados por la empresa) y cualitativo (basado en la experiencia u opinión subjetiva mediante cuestionarios a todo el equipo) darán una visión global sobre en qué posición se encuentra la organización.

Las reuniones de seguimiento y toma de acciones estarán recogidas en actas para evidenciar la consolidación del plan, la cooperación y compromiso.

Y el organismo que validará cualquier plan de igualdad será el Instituto de la Mujer.

¿Qué riesgos pueden surgir?

Derivamos de cada una de fases, aquí nos podemos encontrar con los siguientes riesgos:

Inicio del plan: Falta de Compromiso alta dirección, no creación de comités, baja comunicación de la creación del Plan.
Toma de datos: Datos erróneos, falta de información, perdida de datos, archivos protegidos, archivos dañados.
Análisis de datos: Sesgo en la información, falta de contextualización de los datos, uso intencionado de los datos, sector altamente sexualizado, falta de capacidad analítica.
Ejecución de acciones: Falta de compromiso, acciones ineficaces o ineficientes, resistencia al cambio, falta de consenso, carencia de presupuesto.
Presentación del Plan: Incumplimiento de requisitos, no cumplir plazos, denegación según criterios del Instituto de la mujer.
Seguimiento y Control: Planes de igualdad en el olvido, incumplimiento de fechas y acciones, ausencia de reuniones de seguimiento.

Es por todos estos puntos mencionados que los principales riesgos a los que podemos enfrentarnos durante la realización de un plan de igualdad son muy variados. Van desde una primera fase y están sujetos a innumerables variables que pueden alterar una correcta interpretación y aplicación. Por lo que aconsejamos utilizar un enfoque global del riesgo para cada fase, con el fin de conseguir el éxito del plan de igualdad.

¿Qué pasa si no presentamos un plan de igualdad?

Sólo las empresas que disponen de una plantilla de más de 50 trabajadores están obligadas a su cumplimiento, por tanto, las microactividades no se ven afectadas.

El no cumplimiento de esta ley supone multas de entre 6.251 a 187.515 euros en caso de considerarse muy graves. Por ello, en estos últimos meses se ha visto un aumento considerable de peticiones de planes de igualdad a empresas especializadas, aunque la cifra de organismos registrados continúa siendo baja.

Debemos tener presente los beneficios de una buena gestión del Plan de igualdad, que son los siguientes:

Mejora la productividad.
Mejora del clima laboral.
Trabajo en equipo.
Retención de talento.
Eliminación de conductas inapropiadas.
Mejora la imagen de la empresa.
Reduce la discriminación y/o acoso.
Acceso a ayudas y subvenciones.
Evita exposición a sanciones.
Obtención del Distintivo de Igualdad en la Empresa.

En definitiva, aunque las empresas tengan o no la obligación de implarlo, hacerlo puede aportar grandes beneficios, tanto a nivel empresarial, como a nivel social.

Si no contamos con la experiencia o el conocimiento para realizarlo, contemplar la opción de acudir a consultoras especializadas, puede ser una opción.

18Ene

TISAX Seguridad de la información en el sector de la automoción

18 de enero de 2022 Juanjo Alemany 22

TISAX Seguridad de la información en el sector de la automoción.

Es habitual en estos últimos tiempos contemplar como la seguridad se va adquiriendo peso en nuestras vidas. La preocupación por conservar nuestros activos, sea en la vida privada o profesional, alcanza una mayor dimensión año tras año.

En el mundo empresarial, la seguridad puede suponer un elemento de notoriedad como argumento de venta y en muchos casos un requisito que el cliente nos exige. La aparición de las normas más genéricas a principios de siglo como la ISO27001 o el Esquema Nacional de Seguridad se alimento de la guerra contra el terrorismo en respuesta al 11-S. También es cierto que la mayor digitalización ha generado nuevos escenarios con vulnerabilidades y amenazas que no podíamos imaginar. Antivirus, encriptación, doble autenticación, entre otros, son conceptos cada vez más comunes en el desarrollo cotidiano de nuestras tareas.

El sector de la Automoción no podía quedar al margen de esta tendencia y tenía que exponerse en este mundo con voz propia. En las postrimerías del 2016 los fabricantes de coches germanos (Voslkwagen, Daimler-Benz, BMW,…) acordaron a desarrollar una serie de requisitos de seguridad de la información.

A través de ENX Association se estableció la iniciativa TISAX (Trusted Information Security Assessment eXchange) para el desarrollo de un mecanismo de evaluación e intercambio de la seguridad de la información de las empresas, que permitiera el reconocimiento y los resultados de la evaluación entre los integrantes.

Este sistema de evaluación se concibió mediante la VDA (Verband der Automobilindustrie) asociación germana de la industria del automóvil que dispone de un amplio abanico de normas. Así cogió forma, la norma VDA-ISA (Information Security Assessment), actualmente en su versión 5.0.4, como listado de requisitos y su método de evaluación.

Característica del sistema de gestión VDA-ISA

La norma VDA-ISA no es un sistema de gestión al uso tipo ISO, en la que se definen una serie de puntos y la organización establece una documentación descriptiva y genera registros derivados de su aplicación. En este caso la norma establece una serie de controles que establece unos requisitos concretos a cumplir. Por así decir se asemeja más al Anexo A de la norma ISO27001.

Existen tres grandes grupos de controles, organizados en 3 módulos:

Módulo de Seguridad de la Información

Políticas y seguridad
Recursos Humanos
Seguridad Física y continuidad del negocio
Identidad y gestión de accesos
Seguridad IT/ Ciberseguridad
Relación con proveedores
Cumplimiento

En este primer módulo se establecen los controles generales de seguridad que toda organización debe cumplir. Desde los aspectos más generales que establecen los pilares de gestión de la seguridad se tratan 6 grandes grupos. Cuatro de ellos tienen implicaciones generales a nivel de gestión de recursos (Instalaciones, Recursos humanos, proveedores y cumplimiento), si bien en todos ellos se siente el impacto de la seguridad digital es en los dos restantes donde los sistemas de información cogen enjundia.

Módulo Protección de prototipos

8.1 Seguridad Física y entorno
8.2 Requisitos de la organización
8.3 Manipulación de vehículos, componentes y partes
8.4 Requisitos de pruebas de vehículo
8.5 Requisitos de eventos y filmaciones

Este módulo soló es de aplicación para aquellas organizaciones que disponen de la actividad de diseño y desarrollo de prototipos. Los dos primeros grupos ahondan en las necesidades ya expuestas en el módulo de seguridad de la información, enfocado a seguridad de prototipos. En los siguientes 3 grupos están centrados en la manipulación de los prototipos en sus ámbitos de revisión, transporte, pruebas o actuaciones de marketing

Módulo de Protección de datos

9.1 Implementación
9.2 Conformidad con la legislación
9.3 Revisiones periódicas
9.4 Proceso documental

Finalmente disponemos del módulo de protección de datos, este aspecto ya está referenciado dentro del grupo 7 de cumplimiento del primer módulo y aquí se despliega en profundidad para dar cumplimiento la protección de datos de carácter personal

Estos tres módulos suponen un total de 67 controles (41 de seguridad de la información, 22 de prototipos y 4 de protección de datos), número inferior a los 114 controles del Anexo A de ISO27001, pero que entraña una sorpresa al contemplar el número de requerimientos de cada control suponiendo en el alcance más amplio una suma total de 406 requisitos.

Este número de requisitos variará en función de la necesidad o no del módulo de prototipos y del nivel de seguridad exigido. Este nivel de seguridad presenta tres niveles que van del normal, alto al muy alto, y supondrán en los dos últimos niveles requisitos adicionales hasta contemplar los mencionados 406 en el caso de muy alto y que se incluya prototipos.

Existen 6 niveles de madurez para cada control:

0-incompleto
1-en desarrollo
2-gestionado
3-establecido
4-predictible
5-optimizado

Esto permitirá el cálculo y la cuantificación de los requisitos dando una imagen general del estado de la organización.

Para la gestión y cumplimiento de la norma ENX nos facilita un documento, el Self-Assessment, en su versión actual 5.0.4. Este documento dispone de una estructura de pestañas con los niveles de madurez, definiciones, tres pestañas de controles, dos pestañas de resultados, ejemplos de indicadores KPI (Key Perfomance Indicator),…

Últimos cambios de la norma VDA-ISA

La verdad es que en la última versión 5.0.4 los cambios son irrelevantes desde la versión 5.0.0 solamente se han producido modificaciones respecto a glosario, la numeración del modulo de protección de datos y alguna referencia.

Hemos de contemplar el salto de la versión 4.1.0 a la 5.0.0 para encontrar una integración y cambio sustancial de controles, así como la remuneración de los mismos. En la actualidad es normal encontrar organizaciones que estructuran su sistema de seguridad de la información con la estructura antigua (4.1.0).

Luces y sombras del sistema de evaluación TISAX

Desde el punto de vista del valor añadido que puede suponer es evidente que supone un nivel superior respecto a otras certificaciones que no disponen de tantos requisitos. Además, el hecho que sea un sistema de evaluación puntuado le confiere un plus de interpretación.

Toda la información, documentos y formatos se encuentran disponibles en su portal https://www.enx.com/en-US/enxassociation/ de forma totalmente gratuita. Esto también supone un ejercicio de transparencia y funcionalidad respecto a otros sistemas de evaluación.

Las principales dificultades radican en ser capaces de acercar la norma VDA-ISA a la realidad de las empresas, ya que muchas veces se corre el riesgo de centrarse en el cumplimiento de requisitos y nos desviamos del objetivo que es el dispone de una herramienta de valor añadido que nos aporte mayor seguridad.

01Jun

Cambios nueva norma ISO50001:2018 eficiencia energética

1 de junio de 2021 Montse Sardina 21

En 2011, se presentó la norma ISO50001:2011 para certificar sistemas de gestión energética con el objetivo de que las empresas llevaran realizar una gestión más eficiente del consumo energético y pudieran llevar a cabo una mejora continua.

En 2018, ISO revisó el estándar para adaptarla a nuevos requisitos del mercado y, como el resto de normas ISO revisadas, la publicaron con la nueva estructura de Alto Nivel ISO o HLS (High Level Structure) que mejora la integración de diferentes normas ISO.

El plazo para hacer la transición son tres años. Es decir, el próximo 20 de agosto del 2021, dejarán de ser vigentes los certificados según ISO50001:2011.

Objetivos de la norma

Igual que la versión del 2011, ISO50001 pretende que las empresas identifiquen las actividades que consumen más energía, las estudien para ver qué coste les supone y, dónde y cuándo se desperdicia energía.

De esta manera, las organizaciones pueden establecer buenas prácticas de consumo, aplicar mejoras para reducir consumos y optimizar la gestión de la energía, reduciendo costes y evidentemente, la huella de carbono de su actividad.

Cambios principales

El primero y más evidente es la Estructura de Alto Nivel que permite la mejor integración entre diferentes estándares ISO. Por ello, la norma está estructurada con los apartados:
- Introducción
- Objeto y campo de aplicación
- Referencias normativas
- Términos y definiciones
- Contexto de la organización
- Liderazgo
- Planificación
- Apoyo
- Operación
- Evaluación del desempeño
- Mejora
Cambios específicos sobre la gestión de la energía:
- En esta nueva versión, no se excluyen los tipos de energía dentro del ámbito y los límites del SGEn
- Las organizaciones deben asegurarse de que tienen la autoridad para controlar su eficiencia energética, el uso de la energía y el consumo de energía dentro del alcance y los límites.
- Cuando la organización disponga de datos que indiquen que las variables pertinentes afectan de forma significativa a la eficiencia energética, la organización normalizará el indicador de desempeño energético (IDEn) y la correspondiente base de referencia energética para comparar los cambios en la eficiencia energética.
- Para cada Uso energético, hay que identificar el desempeño energético actual e identificar las personas que influyen o afectan al USO.
- Nuevas definiciones para » factor estático «, » variable relevante » y » normalización «.
- La línea base se deberá revisar cuando se produzca algún cambio significativo.
- Se introduce el punto 6.6 “planificación para la recopilación de datos de la energía” que sustituye al “plan de medición de energía”. Este nuevo plan deberá especificar los datos necesarios para controlar las características claves e indicará cómo y con qué frecuencia se recogerán y conservarán los datos. También nos indica para qué áreas:
  - las variables pertinentes para los USE;
  - consumo de energía relacionado con los USE y con la organización;
  - características operativas relacionadas con los USE;
  - factores estáticos, si aplicara;
  - datos especificados en los planes de acción

Además, este plan debe revisarse y actualizarse a intervalos definidos.

En el punto 8.2 Diseño, aparece el término “tiempo de vida planificado o esperado”. En el diseño de instalaciones, equipos, etc.. nuevos, modificados y renovados que puedan tener un impacto significativo en el desempeño energético, se tendrá que tener en cuenta el desempeño a lo largo de la vida útil prevista o esperada.
Respecto a las adquisiciones (punto 8.3) se exige que se definan especificaciones para la adquisición de energía, además de la adquisición de equipos y servicios que ya venía descrito como requisito en la norma del 2011.
Se definen 40 términos frente a los 28 de la edición del 2011. 18 términos son nuevos. 13 de los nuevos términos son adoptados de la HLS, mientras que 5 son términos nuevos específicos de energía. Los 5 términos específicos de energía son: “mejora del desempeño energético”, “factores estáticos”, “variables relevantes”, “normalización” y “valor de indicador de desempeño energético (valor IDEn)”. Se han eliminado 5 términos de la edición 2011. Estos son: «servicios energéticos», «corrección», «acción preventiva», «registro» y «procedimiento».
Desaparece el “representante de la dirección” que es substituido por el “equipo de gestión de la energía”.

¿Por qué es importante esta norma?

Esta norma no suele ser un requisito explícito de clientes como otro tipo de normas ISO, pero tener un sistema de gestión energética certificado significa que las empresas gestionan el impacto que su actividad genera sobre el medioambiente (una de las áreas de la Responsabilidad Social Corporativa), reduciendo las emisiones e incrementando la eficiencia de las fuentes de energía y, además ayuda a las organizaciones a reducir sus costes operacionales, incrementando la eficiencia energética.

Artículo de Montse Sardina (TOTALRISK) www.totalrisk.org

01Mar

Metodologías de evaluación de riesgos en centrales receptoras de alarma

1 de marzo de 2021 Juanjo Alemany 22

Anteriormente ya nos acercamos a la gestión de riesgos en la norma EN50518 para Centrales Receptoras de Alarmas. El presente artículo quiere tocar un punto clave de la gestión, la evaluación de riesgos. El mercado actual ofrece varias y diferentes opciones y, como casi siempre, ninguna específica para este cometido concreto.

Norma EN 50518

Aunque esta norma pueda parecer a simple vista de alto contenido técnico para infraestructuras, se menciona el concepto riesgo en varios apartados. Ello confiere a la norma no solamente un conjunto de directrices técnicas que debe cumplir una Centrales Receptoras de Alarmas, sino que además incide en los procesos y operaciones. De ahí que la gestión de riesgos tenga varios matices y su evaluación no resulte lineal ni de fácil aproximación.

Esta norma, articulada en 10 puntos que se centran en las instalaciones y en los servicios derivados de la gestión de Centrales Receptoras de Alarma (CRA), nos redirigirá a la norma ISO31000 para dar respuesta a la gestión de riesgos mencionada a lo largo de ella. A su vez, la norma ISO31000 nos hablaba en sus 5 fases de un paso concreto que era la evaluación de riesgos, pero en ningún caso establecía un requisito claro sobre la metodología a usar.

En este punto nos vemos ante la disyuntiva de tener que escoger entre crear un sistema de evaluación de riesgos, con el peligro de disponer de una herramienta genérica que no nos aporte valor añadido o usar herramientas muy específicas en las que su implantación y uso nos suponga una pérdida de eficiencia.

No es motivo del presente artículo tratar el diseño de una metodología de evaluación de riesgos específica para CRAs, por lo que vamos hacer un breve recorrido por las principales metodologías existentes en la actualidad.

Metodologías de evaluación de riesgos

Vamos a hacer una breve aproximación a las metodologías más frecuentes y sus principales características.

Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información (MAGERIT)

Desarrollada en España por el Consejo Superior de Informática para su uso en las administraciones públicas
Orientada en su inicio a Seguridad digital
Realiza cálculos cuantitativos partiendo de datos cualitativos.
Posibilidad de recoger incidencias y pasar a enfoque cuantitativo.
Soportada por software (MAGERIT H1 y MAGERIT H2)

Método Mosler

Metodología orientada a Seguridad Física
Su objetivo es identificar, analizar y evaluar los factores que pueden influir en la materialización de un riesgo, permitiendo clasificarlos.
Se desarrolla en cuatro etapas: Definición, Análisis, Evaluación y Cálculo del Riesgo.
Se basa en la valoración de funciones, sustitubilidad, profundidad, extensión, agresión y vulnerabilidad.
Apta para todo tipo de organizaciones

Método AARR

Metodología de enfoque cuantitativo
Su objetivo es identificar activos y relacionarlos con los procesos.
Se establecen 3 niveles de riesgo: inicial, residual y objetivo.
Se completa con la ejecución de unas buenas prácticas para el tratamiento de los riesgos
Apta para todo tipo de organizaciones

Método HAZOP

Metodología Hazard and operatibility basada en el análisis funcional de operatividad
Se concentra en las instalaciones y baja a nivel de subsistemas
Se establecen 6 etapas para llegar a un informe final
Dispone de unas palabras guía propia: desviaciones, nodos, actividad,…
Metodología muy implantanda en sector químico

Método BOW-TIE

Metodología centrada en el árbol de causas y efectos
Permite una trazabilidad completa entre las causas de los eventos y sus consecuencias
Pone al evento en el centro del análisis
Apta para todo tipo de organizaciones
Metodología compleja de alto valor añadido

Evaluación de riesgos en la Norma 50518

Derivado del punto anterior, cabe decir que ninguna presenta una alineación completa con los requisitos de la norma EN50518 y las necesidades propias de las Centrales Receptoras de Alarma.

Al no poder concretar una apuesta clara vamos a subrayar los aspectos que nos aportan cada una de ellas.

Es difícil no tener en cuenta MAGERIT, ya que los elementos de Tecnologías de la información están presentes en todas las organizaciones. Además, es obvio el impacto que tienen estas en las operaciones de las CRAs. Por ello, aunque pueda parecer que no encaja en la totalidad de las necesidades de la norma 50518, no es una solución desdeñable.

El método MOSLER es una solución sencilla y con la suficiente profundidad para permitir una aproximación global. El tratamiento de activos en base a su capacidad de sustitución, el impacto según la profundidad y la extensión y el desglose de la probabilidad en amenazas y vulnerabilidades permite disponer de una herramienta completa.

La metodología AARR permite relacionar los activos con los procesos, este enfoque requiere de un trabajo de precisión en esta fase inicial que puede condicionar el resultado de la evaluación. Es una herramienta genérica apta para todo tipo de organizaciones. Su sencillez puede ser un arma de doble filo y no acabar aportando el adecuado valor añadido.

Aunque muy implantada dentro del sector químico debido a su origen, la metodología Hazard o HAZOP supone una herramienta muy apta para instalaciones, elemento puesto de relieve en la norma 50518. Este método permite baja a parámetros específicos de las instalaciones como pueden ser los UPS, CPD, sistemas de extinción,… lo que también permite abordar riesgos en la fase de diseño de instalaciones. Por el contrario, este enfoque a veces puede suponer la pérdida de visión transversal de los riesgos.

Por último, el modelo BOW-TIE, es probablemente el caso más complejo y a la vez el que hace un aporte de mayor valor añadido. Sitúa en el centro de la metodología el evento, sea vinculado a Tecnologías de la información, a procesos, a instalaciones o la combinatoria de ellos y traza un árbol de causas y efectos entre los inductores del riesgo y las consecuencias y tratamientos de los mismos.

Conclusión

Derivado de todo ello, como ya les avanzábamos, no podemos concluir con una apuesta clara por una metodología concreta. Lo que sí esperamos es que puedan decidir entre ellas con unos criterios más sólidos.

La evaluación de los riesgos es la fase clave en la que procedemos a la cuantificación del riesgo, por ello sí que recomendamos, que o bien se pongan en manos de profesionales o bien mediten la toma de decisión para escoger entre una metodología u otra, y sobre todo para una correcta aplicación de la misma.

Como ya comentamos con anterioridad una correcta gestión del riesgo no implica más o menos carga de trabajo, ya que no se trata de correr más o menos riesgos si no de correr riesgos inteligentes.

Artículo de Juanjo Alemany (TOTALRISK) www.totalrisk.org

09Feb

Riesgos asociados al teletrabajo

9 de febrero de 2021 Montse Sardina 21

En estos tiempos de pandemia, el teletrabajo, ha venido a quedarse en muchas organizaciones. En muchos casos, se implantó deprisa y corriendo debido al confinamiento y se ha vuelto a restablecer el trabajo presencial, ya sea porque las organizaciones no estaban preparadas para llevarlo a cabo en condiciones, o bien por miedo a no controlar el trabajo realizado.

El teletrabajo es posible en muchos casos, es beneficioso para la conciliación familiar y es fácilmente controlable si el trabajador /a realiza sus responsabilidades, pero se debe gestionar de manera adecuada y establecer unas reglas claras para todas las partes.

Existen 3 riegos principales cuando se habla de teletrabajo:

Riesgos de comunicación
Riesgos de seguridad de la información
Riesgos de seguridad y salud

Todos ellos son o pueden tener un impacto importante sobre la organización.

Riesgos de comunicación:

No es lo mismo interaccionar en un ambiente de trabajo que hacerlo a distancia. Hay comunicaciones no verbales y comunicaciones no formales que se pierden.

Las organizaciones también se han visto abocadas, en ocasiones, a contratar a personal que se ha incorporado sin pasar por la oficina, directamente a teletrabajar en un equipo que ya estaba funcionando previamente al confinamiento.

También han cambiado las comunicaciones con clientes, proveedores y otras partes interesadas que deben gestionarse de una manera diferente.

El estar aislado en un espacio ajeno a tu organización puede provocar falta de integración en tu equipo, por lo que es importante, estar informado con regularidad, tener breves reuniones de seguimiento e interaccionar con todos los miembros del equipo.
La comunicación por videoconferencia debe ser cuidadosa: tu aspecto, el lugar desde donde realices tu trabajo, así como las interferencias que se puedan dar por estar en un lugar privado.
Importante, tu disponibilidad debe ser conocida por tus contactos. Estar en casa, no significa estar disponible las 24 h.
Disponer de recursos eficientes para poder tener comunicaciones en condiciones: evaluar qué conexión dispone el trabajador, facilitar el hardware y accesorios de informática que sean necesarios.
Procedimentar cómo deben realizarse las comunicaciones con personal de la organización, con clientes, con proveedores o con otras partes interesadas. Conocer los canales de comunicación a utilizar.
Realizar un plan de “engagement”/bienvenida para las nuevas incorporaciones, teniendo en cuenta la distancia social con el grupo.
Formar al trabajador competencias TIC

Riesgos de seguridad de la información:

Este riesgo no es nuevo. Desde el momento que tenemos un dispositivo móvil desde donde poder comunicarnos, visualizar o transmitir información, ya existe un riesgo de seguridad de la información.

La información de la organización pasa a ser visualizada, creada y gestionada fuera del entorno “controlado”. Es importante disponer de NDA firmados con todos los trabajadores. Todo trabajador debe ser consciente de la información que maneja, sus responsabilidades y sus obligaciones.
Se debe tener una política de gestión de la información.
Se debe tener una política de uso de dispositivos móviles.
Se debe disponer de los sistemas que permitan la transmisión segura de la información a través de las redes, disponer de un plan de comunicaciones que asegure la confidencialidad, integridad y disponibilidad de la información, en cualquier tipo de comunicación.
Concienciar a los trabajadores sobre los peligros y riesgos que existen y formarlos regularmente en competencias digitales orientadas a la seguridad.
Establecer los programas, aplicaciones y dispositivos autorizados para tratar información de la organización y los que no están autorizados.
Tener los equipos protegidos contra ataques de malware.
Definir un control de acceso digital robusto: passwords, usuarios, autenticación.
Revisar o crear un procedimiento de baja de personal para evitar fugas de información.
Tener un control sobre los activos de información: disponibilidad, responsable asignado, método seguro de borrado de información, método seguro de destrucción de activos…

Riesgos de seguridad y salud:

Las evaluaciones de riesgos de los puestos de trabajo anteriores pierden el sentido cuando vas a teletrabajar. El ambiente de trabajo ha cambiado, por lo que deben ser revisadas. De esta manera, también podemos determinar qué ha podido ser una baja laboral y qué no.

Hacer una evaluación de riesgos en el lugar donde se va a teletrabajar.
Adecuar un espacio para trabajar con garantías.
Disponer de recursos ergonómicos: silla, pantalla/s, reposapiés, iluminación adecuada, accesorios de informática ergonómicos…
Realizar descansos.
Revisar y estar en contacto con los trabajadores para verificar las condiciones de trabajo y necesidades.
Realizar formaciones específicas de prevención de riesgos y hábitos saludables.

Teniendo en cuenta todas estas cuestiones, el trabajador/a se siente respaldado por la organización y se fomenta la pertenencia a un grupo o equipo. Por otro lado, las organizaciones tienen mayor control sobre el trabajo realizado y la confianza en que se está llevando a cabo bajo unas normas y procedimientos que se han establecido previamente.

Artículo de Montse Sardina (TOTALRISK) www.totalrisk.org

20Jul

Contrata un delegado de protección de datos y evita riesgos

20 de julio de 2020 Juanjo Alemany 23

El Reglamento Europeo de Protección de Datos 679/2016, introdujo una nueva figura en las organizaciones: el Delegado de Protección de Datos (DPD o DPO en inglés).

Esta figura puede ser interna en las organizaciones o bien, se puede contratar como un servicio.

¿Qué funciones y responsabilidades tiene?

Las competencias que se le suponen son imparcialidad, objetividad, confidencialidad.

El Delegado de Protección de Datos será el encargado de controlar diariamente que todas las actividades del sistema de información sean realizadas cumpliendo los procedimientos, estándares y normas fijadas en base a los requerimientos legales que, los asesores jurídicos en la materia indiquen como vigentes.

Debe rendir cuentas al más alto nivel jerárquico de las organizaciones.

Es la persona que debe informar y asesorar al responsable/encargado del tratamiento y a los empleados que realicen tratamiento de datos de las obligaciones y la normativa aplicable en este ámbito. Por esta razón, debe mantener actualizada toda la normativa vigente relacionada con las medidas aplicables, debe concienciar y formar al personal y, realizar auditorías si fuera el caso.

Está obligado a mantener el secreto o la confidencialidad en el desempeño de sus funciones. Y a documentar y comunicar cualquier vulneración relevante en materia de protección de datos a los órganos de administración, el responsable y/o encargado del tratamiento.

Es el nexo de comunicación entre los interesados y la Agencia de Protección de Datos, y viceversa. Y será el encargado de gestionar el ejercicio de los derechos de los interesados.

Y antes de un tratamiento, ya sea por utilizar nuevas tecnologías, por su naturaleza, alcance, contexto o fines…, si éste entraña un alto riesgo para los derechos y libertades de las personas físicas, el Delegado de Protección de Datos deberá realizar una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales, según el art. 35 del RGPD.

Derechos de un DPD

Las organizaciones deben garantizar que el Delegado de Protección de Datos no reciba ninguna instrucción en lo que respecta al desempeño de sus funciones y que participe de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales.

Las organizaciones deben respaldar al Delegado de Protección de Datos para sus funciones, facilitando los recursos necesarios, el acceso a datos personales y a los diferentes tratamientos, así como manteniendo sus conocimientos especializados.

Otro derecho que se le reconoce en la legislación vigente es a no ser destituido ni sancionado por su organización por desempeñar sus funciones. Así se asegura la imparcialidad de esta figura.

El Delegado de Protección de Datos tiene derecho a desempeñar otras funciones en la organización o fuera, pero se debe garantizar que estas funciones no den lugar a conflicto de intereses.

¿Quién necesita tener esta figura en su organización?

Según el Reglamento Europeo, el responsable y el encargado del tratamiento tienen obligación de designar un DPD cuando:

El tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;
Las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o
Las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10.

Más concretamente, la Ley orgánica 3/2018, expone que tienen obligación de designar un DPD:

Los colegios profesionales y sus consejos generales.
Los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas.

Según la Ley Orgánica 2/2006, de 3 de mayo, de Educación, en su art. 3 Las enseñanzas:

El sistema educativo se organiza en etapas, ciclos, grados, cursos y niveles de enseñanza de forma que asegure la transición entre los mismos y, en su caso, dentro de cada uno de ellos.
Las enseñanzas que ofrece el sistema educativo son las siguientes:
a) Educación infantil.
b) Educación primaria.
c) Educación secundaria obligatoria.
d) Bachillerato.
e) Formación profesional.
f) Enseñanzas de idiomas. (excluidas las enseñanzas de idiomas que no expiden un certificado reconocido)
g) Enseñanzas artísticas.
h) Enseñanzas deportivas.
i) Educación de personas adultas.
j) Enseñanza universitaria.

Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en su legislación específica, cuando traten habitual y sistemáticamente datos personales a gran escala.
Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.
Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito.
Los establecimientos financieros de crédito.
Las entidades aseguradoras y reaseguradoras.
Las empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores.
Los distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural.
Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo.
Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los
Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes.

Se exceptúan los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual.

Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.
Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego.
Las empresas de seguridad privada.
Las federaciones deportivas cuando traten datos de menores de edad.

Pero, voluntariamente, cualquier organización, puede nombrar un DPD.

Conocimientos que debe tener un DPD

Ya sea una persona física o jurídica, debe poder “demostrar conocimientos especializados en el derecho y la práctica en materia de protección de datos”.

Existen cursos formativos. De hecho, la Agencia Española de Protección de Datos, ha publicado un Esquema de Certificación de DPD para ofrecer seguridad y fiabilidad tanto a los profesionales de la privacidad como a las empresas y entidades que van a incorporar esta figura a sus organizaciones o que necesitan contratar los servicios de un profesional cualificado.

“Este Esquema es un sistema de certificación que permite certificar que los DPD reúnen la cualificación profesional y los conocimientos requeridos para ejercer la profesión. Las certificaciones serán otorgadas por entidades certificadoras debidamente acreditadas por ENAC.”

Pero la AEPD aclara que esta certificación no es obligatoria para poder ejercer como DPD y se puede ejercer la profesión sin estar certificado bajo éste o cualquier otro esquema.

Obligaciones cuando nombras un DPD

Las organizaciones deben informar del nombramiento del Delegado de Protección de Datos a la Agencia Española de Protección de Datos o ante las autoridades autonómicas de protección de datos correspondiente en el plazo de 10 días de su nombramiento. También están obligadas a informar sobre el cese. Esta obligación es tanto para las organizaciones que están obligadas a tener uno DPD como las que lo designan de forma voluntaria.

Según el Art. 3 de la Llei 32/2010, el DPD se tendrá que registrar en la Autoritat Catalana de Protecció de Dades si se trata de:

Las instituciones públicas.
La Administración de la Generalidad.
Los entes locales.
Las entidades autónomas, los consorcios y las demás entidades de derecho público vinculadas a la Administración de la Generalidad o a los entes locales, o que dependen de ellos.
Las entidades de derecho privado que cumplan, como mínimo, uno de los tres requisitos siguientes con relación a la Generalidad, a los entes locales o a los entes que dependen de ellos:
1. Que su capital pertenezca mayoritariamente a dichos entes públicos.
2. Que sus ingresos presupuestarios provengan mayoritariamente de dichos entes públicos.
3. Que en sus órganos directivos los miembros designados por dichos entes públicos sean mayoría.
Las demás entidades de derecho privado que prestan servicios públicos mediante cualquier forma de gestión directa o indirecta, si se trata de ficheros y tratamientos vinculados a la prestación de dichos servicios.
Las universidades públicas y privadas que integran el sistema universitario catalán, y los entes que de ellas dependen.
Las personas físicas o jurídicas que cumplen funciones públicas con relación a materias que son competencia de la Generalidad o de los entes locales, si se trata de ficheros o tratamientos destinados al ejercicio de dichas funciones y el tratamiento se lleva a cabo en Cataluña.
Las corporaciones de derecho público que cumplen sus funciones exclusivamente en el ámbito territorial de Cataluña a los efectos de lo establecido por la presente ley.

Conclusión

Disponer de un DPD mejora el control sobre el cumplimiento legal y ayuda a mantener una alerta constante y una sensibilidad hacia la protección de datos personales. Ahora bien, si es una persona de plantilla propia, es muy importante dotarle de los recursos y el tiempo necesario para poder hacer bien su trabajo.

Más información en https://www.aepd.es/es y https://apdcat.gencat.cat/

09Jul

Transferencias internacionales de datos personales según RGPD

9 de julio de 2020 Juanjo Alemany 24

El Reglamento Europeo de Protección de Datos (976/2016), en adelante, RGPD, especifica como Principio general de las transferencias en su art. 44 que: “sólo se realizarán transferencias de datos personales que sean objeto de tratamiento o vayan a serlo tras su transferencia a un tercer país u organización internacional si, a reserva de las demás disposiciones del presente Reglamento, el responsable y el encargado del tratamiento cumplen las condiciones establecidas en el presente capítulo, incluidas las relativas a las transferencias ulteriores de datos personales desde el tercer país u organización internacional a otro tercer país u otra organización internacional. Todas las disposiciones del presente capítulo se aplicarán a fin de asegurar que el nivel de protección de las personas físicas garantizado por el presente Reglamento no se vea menoscabado”.

Pero, ¿qué es una transferencia internacional? Su definición, la encontramos en el Real Decreto 1720 del 2007: Tratamiento de datos que supone una transmisión de los mismos fuera del territorio del Espacio Económico Europeo, bien constituya una cesión o comunicación de datos, bien tenga por objeto la realización de un tratamiento de datos por cuenta del responsable del fichero establecido en territorio español.

Siempre que se realice una transferencia internacional de datos y dependiendo del país donde se encuentren, nos deberán proporcionar garantías jurídicas adecuadas de la protección de datos personales.

Ejemplos de transferencias internacionales: Cuando nos planteamos contratar un freelance que trabaja fuera de la Unión Europea o tenemos una sucursal en otro país o contratamos un servicio Cloud que almacena datos fuera de la Unión Europea. Todos estos casos, nos provocarán realizar transferencias internacionales de Datos Personales. Pero, ¿qué debemos tener en cuenta para poder cumplir con el RGPD y la Ley Orgánica 3/2018?

Hay una serie de países, territorios, o sectores específicos de actividad que la Comisión Europea ha declarado de nivel adecuado de protección, y, por lo tanto, se podrán llevar a cabo las transferencias internacionales de datos con la única obligación de incluirlas en el registro de actividades de tratamiento (art. 30 RGPD). También se incluyen las empresas establecidas en Estados Unidos que se encuentren certificadas en el esquema del Escudo de Privacidad UE- EE.UU, que obliga a las empresas a proteger los datos personales de modo acorde con los «Principios de privacidad».

Los países declarados con un nivel adecuado se pueden consultar en la página web de la Agencia Española de Protección de Datos (AEPD). Y para consultar las entidades certificadas con el Escudo de Privacidad, se puede acceder a la página web del Escudo de Privacidad, o bien, también a través de la página web de la AEPD.

En cualquier otro caso deberán ofrecerse garantías adecuadas, lo que se podrá hacer mediante diferentes instrumentos. Ahora vamos a ver las diferentes opciones:

A falta de decisión de adecuación

Se podrán realizar transferencias internacionales, pero con las siguientes garantías:

a) Un instrumento jurídicamente vinculante y exigible entre las autoridades u organismos públicos
b) Normas corporativas vinculantes, (o BCR por sus siglas en inglés) son “las políticas de protección de datos personales asumidas por un responsable o encargado del tratamiento establecido en el territorio de un Estado miembro para transferencias o un conjunto de transferencias de datos personales a un responsable o encargado en uno o más países terceros, dentro de un grupo empresarial o una unión de empresas dedicadas a una actividad económica conjunta”.

La autoridad de control aprobará normas corporativas vinculantes de conformidad con el mecanismo de coherencia establecido en el art. 63 del RGPD.

c) Cláusulas tipo de protección de datos adoptadas por la Comisión que siguen siendo válidas

Decisión 2001/497/CE, de 15 de junio de 2001, relativa a cláusulas contractuales tipo para la transferencia de datos personales entre responsables del tratamiento a un tercer país y
Decisión 2010/87/UE de la Comisión, de 5 de febrero de 2010, relativa a las cláusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países, de conformidad con la Directiva 95/46/CE del Parlamento Europeo y del Consejo

d) Cláusulas tipo de protección de datos adoptadas por una autoridad de control y aprobadas por la Comisión
e) Códigos de conducta, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas las relativas a los derechos de los interesados
f) Mecanismos de certificación, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas las relativas a los derechos de los interesados.

A falta de decisión de adecuación y de garantías

Únicamente se podrán realizar si se cumple alguna de las condiciones siguientes:

a) El interesado haya dado explícitamente su consentimiento
b) La transferencia sea necesaria para la ejecución de un contrato entre el interesado y el responsable del tratamiento o para la ejecución de medidas precontractuales adoptadas a solicitud del interesado
c) La transferencia sea necesaria para la celebración o ejecución de un contrato, en interés del interesado, entre el responsable del tratamiento y otra persona física o jurídica
d) La transferencia sea necesaria por razones importantes de interés público
e) La transferencia sea necesaria para la formulación, el ejercicio o la defensa de reclamaciones
f) La transferencia sea necesaria para proteger los intereses vitales del interesado o de otras personas, cuando el interesado esté física o jurídicamente incapacitado para dar su consentimiento
g) La transferencia se realice desde un registro público que, con arreglo al Derecho de la Unión o de los Estados miembros, tenga por objeto facilitar información al público y esté abierto a la consulta del público en general o de cualquier persona que pueda acreditar un interés legítimo, pero sólo en la medida en que se cumplan, en cada caso particular, las condiciones que establece el Derecho de la Unión o de los Estados miembros para la consulta.

Cuando tampoco sea aplicable ninguna de estas excepciones, solo se podrá llevar a cabo una transferencia si no es repetitiva, afecta solo a un número limitado de interesados, es necesaria a los fines de intereses legítimos imperiosos perseguidos por el responsable del tratamiento sobre los que no prevalezcan los intereses o derechos y libertades del interesado, y el responsable del tratamiento evalué todas las circunstancias concurrentes en la transferencia de datos y, basándose en esta evaluación, ofrezca garantías apropiadas con respecto a la protección de datos personales.

En este supuesto el responsable del tratamiento informará a la Agencia Española de Protección de Datos de la transferencia. Además de la información a que hacen referencia los art. 13 y 14 del RGPD, el responsable del tratamiento informará al interesado de la transferencia y de los intereses legítimos imperiosos perseguidos.

¿Cuándo se necesita una autorización expresa?

Se necesitará autorización expresa de la Agencia Española de Protección de datos cuando las garantías adecuadas se aporten mediante:

a) cláusulas contractuales entre el responsable o el encargado y el responsable, y el encargado y subencargado que no hayan sido adoptadas por la Comisión Europea o
b) disposiciones que se incorporen en acuerdos administrativos entre las autoridades u organismos públicos que incluyan derechos efectivos y exigibles para los interesados.

Otro aspecto a tener en cuenta, es que las autorizaciones otorgadas por la Agencia Española de Protección de Datos previamente a la aplicación del RGPD seguirán siendo válidas.

Cosas a tener en cuenta

¿Hacemos o queremos hacer transferencias internacionales de datos?
¿A qué países, a qué organizaciones?
¿Son adecuados por ser reconocidos por la Comisión Europea o disponen del Escudo de Privacidad?
¿Qué riesgos supone y qué impacto tendrían?

Más información en https://www.aepd.es/es y https://apdcat.gencat.cat/

09Ene

Riesgos en la gestión del cambio

9 de enero de 2020 indexa 23

¿Qué es la Gestión del Cambio?

Podríamos definir la gestión del cambio (MOC, por sus siglas inglés Management of change) como un proceso de evaluación y gestión de los riesgos asociados a las modificaciones que pueden ser temporales o permanentes dentro de las organizaciones, productos, servicios o activos

La gestión del cambio busca facilitar y conseguir la implementación exitosa de los procesos de transformación, esto lo que implica trabajar con y para las personas en la aceptación y asimilación de los cambios y en la reducción de la resistencia; facilitando el éxito de los cambios, producto de una nueva forma de operación.

Requisitos de la Gestión del Cambio

En el amplio mundo de las normas de gestión varias contemplan su impacto.

La norma ISO9001 de Sistemas de Gestión de calidad versión 2015 establece en su apartado 6.3 Planificación de los cambios

“Cuando la organización determine la necesidad de cambios en el sistema de gestión de la calidad, estos cambios se deben llevar a cabo de manera planificada.

La organización debe considerar:

a) el propósito de los cambios y sus consecuencias potenciales;
b) la integridad del sistema de gestión de la calidad;
c) la disponibilidad de recursos;
d) la asignación o reasignación de responsabilidades y autoridades.”

En mencionada norma se repite la alusión al cambio en los apartados 8.2.4 Cambios en los requisitos para productos y servicios, 8.3.6 Cambios del diseño y desarrollo y en el punto 8.5.6 Control de los cambios (dentro del punto 8.5 de Producción y provisión de servicio)

Por otro lado, la norma ISO20000 parte 1 de Gestión de Servicios en su versión 2018 establece en su apartado 8.5.1. Gestión de cambios, establece las directrices generales para la adaptación al cambio en Servicios: Hardware, Software, equipos de comunicaciones, sistemas de información, aplicaciones en producción y toda la documentación y procedimientos asociados con la ejecución, soporte y mantenimiento de los sistemas de producción.

Implementar una correcta “Gestión del Cambio» puede suponer múltiples beneficios, destacando entre otros:

Optimiza la alineación de los servicios con las necesidades del negocio

Mejora la visibilidad y la comunicación de los cambios, tanto al personal de soporte como al negocio.
Potencia la evaluación del riesgo

Reducción del impacto negativo de los cambios sobre la calidad de los servicios y sobre los ANS (acuerdos del nivel de servicio).

Reducción de cambios que haya que deshacer mediante una marcha atrás.

Mejora de la capacidad para llevar a cabo las regresiones más fácilmente cuando sea necesario.

Mejora la productividad de los usuarios

Incrementa la productividad del personal

Mejora la percepción que tienen los negocios de la organización mediante la mayor calidad del servicio y un enfoque más profesional.

Generalmente la gestión del cambio y la gestión de la configuración se implementan mejor cuando el proceso se ejecuta a la vez. Establecer una función centralizada para la Gestión del cambio, gestión de la configuración y gestión de entrega, puede permitir a organizaciones, implementar el control de un modo más eficiente.

También la norma ISO 55001 de gestión de activos plantea, en su requerimiento 8.2 varios aspectos a tener en cuenta:

“Antes de implementar cualquier cambio, se deben valorar los riesgos asociados a cualquier cambio planificado, permanente o temporal, que pueda tener un impacto en el logro de los objetivos de la gestión de activos.

La organización debe asegurar que dichos riesgos se gestionen de acuerdo con los apartados 6.1 y 6.2.2.

“La organización debe controlar los cambios planificados y revisar las consecuencias no deseadas de los cambios, tomando acción para mitigar cualquier efecto adverso, según sea necesario”.

Aquí ya se menciona claramente la importancia de los riesgos para el éxito del cambio. Gestionar los riesgos asociados a los cambios y documentar los mismos, es una de las tareas más importantes ya que permiten mejorar la resiliencia de las organizaciones

Como tratar el cambio

Existen varios modelos de gestión del cambio, uno de ellos por ejemplo es la Metodología Kotter

John Kotter es un profesor de Liderazgo de Harvard. Anteriormente, hizo su carrera en MIT. Su modelo está basado en las mejores prácticas y hechos reales en grandes empresas.

Procedimientos de una empresa: La manera de reducir riesgos y optimizar tareas
¿Cuándo crear un manual de procedimientos?
Implementar procedimientos
Claves para implantar procedimientos
Riesgos para implantar procedimientos
Riesgos de implementar procesos en la empresa.
Gestión del cambio organizacional: introducción para aprender a asumir nuevas metodologías

En metodología ITIL se plantea otra forma de tratar el cambio en base a su relación con los proyectos y el impacto en el desarrollo de éstos.

Qué debería estar en el plan de tratamiento
Titularidad
Circulación
Qué negocios clave deberían recibir soporte
Enlaces con la continuidad del negocio y los planes de contingencia
Componentes críticos
Escalas temporales
Riesgos
Estrategias de regresión

Riesgos en la gestión del cambio

Por eso una vez visto que el cambio puede darse a pequeña o gran escala, dependiendo de que estemos hablando de entornos organizacionales u operativos, es importante analizar los riesgos comunes propios de la gestión del cambio y diferenciar entre los que nos podemos encontrar en el ámbito estratégico y en el táctico.

Los principales riesgos, comunes en la gestión del cambio, son:

Los tiempos no se cumplen (intentar cambiar de golpe, demoras,…)
Mala definición de requisitos (preguntas falsas, falsos problemas,…)
Soluciones ineficaces (aparentes o parciales)
Resistencia al cambio (personal con antigüedad, predisposición psicológica,…)

En cambio, en entornos estratégicos debidos a cambios organizacionales se han de añadir elementos culturales, sociales y macroeconómicos. Además de los riesgos anteriormente citados podemos encontrar:

Tensiones en la organización (forzar o falta de ritmo,…)
Falta de cultura del cambio (organizaciones conservadoras, actividades tradicionales)
Mercados o sectores poco dinámicos (ámbitos en que el cambio no está bien considerado, actividades artesanales, artísticas, legales,…)
Coyunturas geopolíticas en las que el cambio se considera una amenaza (Procesos sucesorios, compra empresarial,..)

Y finalmente nos encontramos en entornos operativos como proyectos o ingeniería de procesos que disponen de sus propios riesgos, entre ellos los principales son:

Redefinición constante de requisitos (clientes que modifican constantemente requisitos,..)
Reordenación de fases o tiempos por parte del solicitante (en muchos proyectos los factores externos suponen la necesidad constante de redefinir las fases o ajustar sus plazos;..)
No disposición de recursos necesarios (para la gestión operativa normalmente se depende de una dotación de recursos que no depende del ejecutor del cambio,..)
Problemas de implementación en el entorno de aplicación del cambio (en proyectos muchas veces se trabaja en entornos propiedad del cliente como hardware y software,..)

Gestión de los riesgos

¿Cómo gestionamos todos estos riesgos? La misma metodología que hemos usado para gestionar riesgos, basada en la ISO31000, y que ya hemos comentado en números anteriores va ser la herramienta a utilizar en este caso.

Para que sirva de refresco de la memoria esta metodología se basa en 5 fases

Definición del contexto
Identificación de los riesgos
Análisis de los riesgos
Evaluación de riesgos
Tratamiento de los mismos

De esta manera podremos abordar la gestión del cambio con un adecuado enfoque a los riesgos que permita avanzarnos a emergencias futuras.

Sin categoría