31Oct

Marco normativo actual de la inteligencia artificial

31 de octubre de 2024 Juanjo Alemany 76

Es los últimos tiempos la Inteligencia Artificial está siendo portada del mundo empresarial y por ende de la sociedad. Como anteriores revoluciones digitales cual internet, redes sociales, servicios en la nube, … en sus primeros pasos presentan controversia en su modo de expansión y aplicación.

Como siempre el marco regulador va por detrás de la tecnología que avanza de forma constante y misericorde.

En la actualidad han confluido dos elementos normativos que empiezan a definir las reglas de juego respecto al desarrollo y gestión de la Inteligencia Artificial.

Por un lado, el reglamento europeo y por otro la reciente norma ISO de gestión de Inteligencia Artificial.El Reglamento Europeo de Inteligencia artificial (AIA, por Artificial Intelligence Act)Este año se ha publicado el Reglamento (UE2024/1689) con fecha de 13 de marzo. En el se establecen las normas armonizadas en materia de inteligencia artificial.

El reglamento es de aplicación para:

Proveedores que comercialicen o utilicen sistemas IA que afecten a Europa.
Proveedores y usuarios de terceros países cuyos sistemas produzcan resultados que se utilicen en la Unión.
Usuarios físicamente establecidos en la UE.
Proveedores de sistemas y sus representantes autorizados, importadores y distribuidores.

Lo primero que cabe destacar es el establecimiento de categorías que van desde el riesgo mínimo sin restricciones de uso de IA hasta el riesgo inaceptable (como se ha definido para el escaneo social). Se ha establecido dos categorías intermedias una con requisitos específicos de transparencia e información y una de alto riesgo que requiere de unos controles concretos.

Sistemas de IA de Alto Riesgo (HRAIS).

Clasificación (art.6)
Requisitos (art.8)

- Gestión de riesgos (art.9)
- Datos y su gobernanza (art.10)
- Documentación técnica (art.11)
- Registros de operación (art.12)
- Transparencia (art.13)
- Supervisión (art.14)
- Precisión, robustez y ciberseguridad (art.15)

Obligaciones de proveedores, usuarios y otros (art.16)
Autoridades notificantes y entidades notificadas (art.30)
Normas y conformidad (art. 40)

En Anexo III se establen las categorías de sistema IA de alto riesgo con posible impacto sobre la salud, la seguridad o los derechos fundamentales.El reglamento define varias entidades de supervisión.

Establece tres actores principales:

Sistemas de Inteligencia Artificial
Proveedores de IA
Usuarios de IA

Y como no podía ser de otra manera dispone de un régimen de confidencialidad y sanciones (desde los 500.000 euros a 30 millones)Nueva ISO42001 de Sistemas de Gestión de Inteligencia artificialEl año pasado tuvimos la novedad de la publicación de la BS-ISO/IEC 42001:2023, que establecía el marco de referencia de los sistemas de gestión para el desarrollo de aplicaciones de inteligencia artificial.

La norma no presenta grandes cambios en los puntos generales. Se mantiene la estructura de alto nivel común para el resto de las normas ISO de sistemas de Gestión.

Donde observamos el núcleo diferencial es el de la tabla A1 de controles:Respecto a los controles la mayoría son herencia de normas como la ISO20000 de gestión de servicios IT o la ISO27001 de seguridad de la información.

Controles habituales como la gestión de riesgos, recursos (humanos y técnicos), desarrollo, producción, usuarios, monitorización y relaciones con partes interesadas, tienen en esta norma un enfoque centrado en el desarrollo y uso de la Inteligencia Artificial en las organizaciones.

Las principales novedades respecto a la Inteligencia Artificial de estos controles son:

La gestión del ciclo de vida de Inteligencias artificiales, poniendo especial énfasis en requisitos legales del diseño y desarrollo por lo que enlaza con el reciente reglamento europeo.

La gestión de los datos que alimentan las IA, procedencia y preparación de estos.

Uso de los sistemas IA, no sólo el desarrollo requiere de control, sino que los objetivos de su aplicación y los procesos implicados también deberán estar bajo control.

Información a partes interesadas, tanto proveedores como usuarios.

¿Y ahora qué?

Estas reglas iniciales del juego son un primer marco normativo para sentar las bases de lo que va a ser la próxima revolución tecnológica en el mundo digital. Es obvio que en los próximos años vamos a asistir a una profusión de normas y ajustes que vendrán de la implantación de esta nueva tecnología de forma generalizada en el mercado.

La partida no ha hecho más que empezar.Si desea más información sobre el marco normativo de la inteligencia artificial, estaremos realizando un webinar próximamente, en el cual resolveremos dudas e inquietudes. El webinar será 100%gratuito, solo hace falta rellenar un formulario de inscripción.

👉 Información: Click aquí

👉 Inscripciones: Click aquí

09Abr

Panorama de cambios en las normas de seguridad

9 de abril de 2024 Juanjo Alemany 77

En la actualidad, un amplio abanico de estándares de seguridad de la información se ha actualizado revolucionando el panorama actual. De esta manera, desde la norma ISO27001 probablemente la mayoritaria en el mercado hasta eIDAS2 norma sobre certificación digital, la más minoritaria, han publicado nuevas versiones. En este artículo pretendemos hacer un rápido repaso a la situación en general y a los plazos que nos marcan el futuro. ISO27001 Sistema de Gestión de seguridad de la Información versión 2022Norma ISO de amplia implantación en todo tipo de organizaciones con necesidades de seguridad.

Principales cambios:

Inclusión del punto 6.3 de gestión del cambio (enfoque estratégico del mismo).
Reducción de los controles de 114 a 93.
11 nuevos controles basados en servicios en la nube, inteligencia de las amenazas, mejora de la monitorización (seguridad física y digital), gestión de la configuración, mejora de redes (filtrado, enmascaramiento), …

Plazo:

El plazo establecido para esta norma publicada en 2022 es para octubre de 2025. Por ello el próximo octubre dejaran de emitirse certificados con la versión anterior y será necesaria la transición antes de la mencionada fecha. TISAX (VDA-ISA) Information Security Assessment v6.0Norma de Seguridad de la Información que abarca al sector de la automoción. Cada vez más los principales fabricantes exigen mencionada norma a sus proveedores. Publicada esta nueva versión en octubre de 2022.

Principales cambios:

Incremento de controles pasamos a 45 en la pestaña de seguridad de la información.
Cambio en el sistema de etiquetas a los parámetros de seguridad alta o muy alta se añaden los parámetros de confidencialidad y disponibilidad.
6 nuevos controles basados en gestión de software, incidentes, crisis, continuidad y copias de seguridad.

Plazo:

A fecha de este documento el plazo ya expiró el 1 de abril del presente año. Por lo que todos los expedientes nuevos y renovaciones ya se ejecutarán en la versión 6.0. Así que ya no es posible certificar en versión 5.1 si no se ha efectuada el kick off en fecha anterior. (ENS) Esquema Nacional de SeguridadEn mayo de 2022 se publicó el Real Decreto 311/2022 que se regula el Esquema Nacional de Seguridad. Los requisitos y controles establecidos afectan a los proveedores de servicios y productos de la administración pública que así lo requiera para garantizar la seguridad del suministro.

Principales cambios:

Se introduce el principio de vigilancia continua (Prevención, detección, respuesta y conservación).
Se sustituye la seguridad por defecto por el termino de mínimo privilegio.
Se mantienen los 4 controles de marco organizativo.
Se incrementa en 2 controles el marco operacional.
Reducción de las medidas de protección agrupándolas en 36.

Plazo:

Entro en vigor del 3 de mayo de 2022 y establecía un plazo de veinticuatro meses para que los sistemas de información se adecuen al nuevo ENS. Por ello este 4 de mayo vencerá el plazo para poder realizar la transición. NIS2 Network Information ServiceRequisito de seguridad para las organizaciones de telecomunicaciones que afecten a sectores altamente críticos (energía, banca. Salud, administración pública,…) o críticos (gestión de residuos, alimentación, dispositivos médicos,…).

Principales cambios:

Alcance ampliado a entidades con más de 250 trabajadores, facturación anual de 50 millones o balance de 43.
Se incrementan las sanciones.
Reducción de plazos de comunicación de incidentes.
Obligación de comunicación al consejo de administración.

Plazo:

Publicada en diciembre de 2022 la Directiva (UE) 2022/2555, marca como fecha límite para su conversión en ley nacional el 17 de octubre del presente año. Por lo que deja en manos de cada estado europeo los plazos de cumplimiento, deberemos estar atentos a su emisión. eIDAS2 Electronic Identification Authentication and trust ServicesReglamento Europeo obligatorio para los prestadores de servicios de confianza. Desde la publicación de eIDAS, es un requisito obligatorio para todas aquellas organizaciones que emiten soluciones de identidad digital (certificados digitales, sellos de tiempo,…).

Principales cambios:

Incremento de la mitigación de riesgos cibernéticos.
Gestión de wallets.
Uso transfronterizo de identidades electrónicas.
Segmentación de los datos de identidad en función de la necesidad.

Plazo:

En proceso de votación durante febrero se espera su publicación durante el primer semestre del año. Y establecerá que la fecha límite para los proveedores de servicios de confianza sea septiembre de 2026.Además

A todo ello les hemos de sumar otros estándares de seguridad tales como.

A la norma ISO21434 de ciberseguridad en productos de automoción publicada en 2021 recientemente le tenemos que añadir la respuesta de TISAX con la publicación de VCS en octubre de 2023, para dar cumplimiento a la UN-R155 Certificate of compliance.

Y el Reglamento Europeo 2024/482, que desplegará una certificación de ciberseguridad (EUCC) para productos de tecnologías de la información y la comunicación, basado en criterios comunes para toda la UE, aplicable a partir del 27 de febrero del 2025. Estos criterios comunes estarán basados en la norma ISO 15408 «Seguridad de la información, ciberseguridad y protección de la privacidad. Criterios de evaluación para la seguridad de las tecnologías de la información».

Debido a la reciente actualización de la norma ISO27001 Sistema de Gestión de seguridad de la información y ISO27002 Controles de seguridad, en breve se procederá a la actualización de la ISO27701 de privacidad de las personas.

Es por ello por lo que nos esperan unos meses barra años bastante entretenidos.Si desea más información sobre estos cambios en las normas de seguridad, estaremos realizando una webinar próximamente, en la cual resolveremos dudas e inquietudes. La webinar será 100%gratuita solo hace falta rellenar un formulario de inscripción.

👉 Información: https://www.30virtual.net/Eventos/2020

👉 Inscripciones: https://tinyurl.com/mr3asfkb

16Oct

Novedades del Esquema Nacional de Seguridad

16 de octubre de 2023 Juanjo Alemany 76

En mayo de 2022 se publicó el Real Decreto 311/2022 que se regula el Esquema Nacional de Seguridad (ENS). Éste trae consigo una estructura parecida que consta de 7 capítulos, 1 disposición transitoria, 3 adicionales y 4 anexos. En este artículo vamos a exponer sus novedades para encarar una transición placida.

Principales cambios

Las principales novedades se centran en diferentes cambios en medidas de seguridad, principios y requisitos.

Se introduce el principio de vigilancia continua (Prevención, detección, respuesta y conservación)
Se sustituye la seguridad por defecto por el termino de mínimo privilegio
Se mantienen los 4 controles de marco organizativo
Se incrementa en 2 controles el marco operacional
Reducción de las medidas de protección agrupándolas en 36

En general se incrementa en nivel de exigencia en varias medidas, se eliminan varios controles (protección de los registros de actividad, personal alternativo, medios alternativos, cifrado, instalaciones alternativas y acceso remoto, se simplifican varias y se añaden 6 nuevas medidas:

Servicios en la nube
Interconexión de sistemas
Protección de la cadena de suministros
Medios alternativos
Vigilancia
Otros dispositivos conectados a la red

Para la categoría de los sistemas, se establece la obligación de reevaluar de forma anual.

Responsabilidades

Diferenciación de responsabilidades, en el artículo 13 se recogen las funciones de cada uno de los responsables.

Se deberán diferenciar 4 roles:

Responsable de información
Responsable del servicio
Responsable de la seguridad
Responsable del sistema

El responsable de seguridad será distinto del responsable del sistema (salvo en excepciones justificadas)

Servicios externalizados

Aparece una nueva figura para servicios externalizados. El POC (Punto o Persona de Contacto) de Seguridad de la información. El POC será el responsable de seguridad de la organización contratada, aunque la responsabilidad final será de la entidad del sector público destinataria de los servicios.

El POC del CCN determinará:

Requisitos funcionales de seguridad y aseguramiento de la certificación
Se podrá exigir cualificación al personal para productos o servicios certificados.

Figura del perfil de cumplimiento

El perfil de cumplimiento respecto a la declaración de aplicabilidad permite:

Suprimir medidas o incluir la aplicabilidad para otras.
Aumentar o disminuir la exigencia del nivel de implantación.
Proponer medidas compensatorias o complementarias.

Protocolo de actuación ante ciber-incidentes

Otro elemento que ha cogido especial relevancia es la ampliación de las acciones frente a incidentes de ámbito cibernético que pretende mejorar la:

Gestión de la respuesta ante incidentes de ciberseguridad.
Definición de las actuaciones de notificación de incidentes de ciberseguridad al CCN-CERT

El Centro Criptológico Nacional es la entidad de referencia para respuesta a los incidentes de ciberseguridad y establece la obligación de notificarlos:

Las entidades del sector público notificarán al CCN aquellos incidentes que tengan un impacto significativo en la seguridad de los sistemas de información.
INCIBE-CERT va a poner en conocimiento del CCN-CERT los incidentes que afecten a las organizaciones del ámbito privado que presten servicios a las entidades públicas.
El CCN-CERT determinará si el sistema es seguro para interconectar de nuevo después de una situación de crisis.

Anexos

En cuanto a los anexos del Real Decreto encontramos algún cambio que conviene destacar:

Anexo I Categorías de Ciberseguridad: que regula las categorías de ciberseguridad de los sistemas de información y especifica la secuencia de actuaciones para determinar la categoría de seguridad de un sistema.

Anexo II Medidas de Seguridad: que mantiene los tres grupos: Marco organizativo, Marco operacional y Medidas de protección.

Anexo III Auditoría de la seguridad: que establece los niveles de auditoría a efectuar sobre los sistemas de información.

Y algunos cambios más

La declaración de aplicabilidad deberá estar firmada por el responsable de la seguridad.
Tras la auditoría, y en sistemas de nivel Alto, el responsable del sistema podrá suspender temporalmente la prestación de servicios u operaciones hasta la corrección de hallazgos graves.
Ha de utilizarse una metodología de Análisis de Riesgos reconocida internacionalmente.
El personal implicado en la seguridad deberá estar cualificado e instruido en todas las fases del ciclo de vida.
Se amplía el contenido mínimo de la Política de seguridad, debiendo incluir los riesgos que derivan del tratamiento de los datos personales.

Estructura resultante

De todos estos cambios surgen una estructura actualizada que no presenta grandes cambios.

Marco Organizativo

Política de seguridad
Normativa de seguridad
Procedimientos de seguridad
Proceso de autorización

Marco operacional

Planificación

Análisis de riesgos.
Arquitectura de Seguridad.
Adquisición de nuevos componentes.
Dimensionamiento/gestión de la capacidad.
Componentes certificados.

Control de acceso

Identificación.
Requisitos de acceso.
Segregación de funciones y tareas.
Proceso de gestión de derechos de acceso.
Mecanismo de autenticación (usuarios externos).
Mecanismo de autenticación (usuarios de la organización).

Explotación

Inventario de activos.
Configuración de seguridad.
Gestión de la configuración de seguridad.
Mantenimiento y actualizaciones de seguridad.
Gestión de cambios.
Protección frente a código dañino.
Gestión de incidentes.
Registro de la actividad.
Registro de la gestión de incidentes.
Protección de claves criptográficas.

Recursos externos

Contratación y acuerdos de nivel de servicio.
Gestión diaria.
Protección de la cadena de suministro.
Interconexión de sistemas.

Servicios en la nube

Protección de servicios en la nube.

Continuidad del servicio

Análisis de impacto.
Plan de continuidad.
Pruebas periódicas.
Medios alternativos.

Monitorización del sistema.

Detección de intrusión.
Sistema de métricas.

Medidas de protección

Protección de las instalaciones e infraestructuras

Áreas separadas y con control de acceso.
Identificación de las personas.
Acondicionamiento de los locales.
Energía eléctrica.
Protección frente a incendios.
Protección frente a inundaciones.
Registro de entrada y salida de equipamiento.

Gestión del personal

Caracterización del puesto de trabajo.
Deberes y obligaciones.
Concienciación.
Formación.

Protección de los equipos

Puesto de trabajo despejado.
Bloqueo de puesto de trabajo.
Protección de dispositivos portátiles.
Otros dispositivos conectados a la red

Protección de las comunicaciones

Perímetro seguro.
Protección de la confidencialidad.
Protección de la integridad y de la autenticidad.
Separación de flujos de información en la red.

Protección de los soportes de información

Marcado de soportes.
Criptografía.
Borrado y destrucción.

Protección de las aplicaciones informáticas

Desarrollo de aplicaciones.
Aceptación y puesta en servicio.

Protección de la información

Datos personales.
Calificación de la información.
Firma electrónica.
Sellos de tiempo.
Limpieza de documentos.
Copias de seguridad.

Protección de los servicios

Protección del correo electrónico.
Protección de servicios y aplicaciones web.
Protección de la navegación web.
Protección frente a denegación de servicio.

Iniciando la actualización

La entrada en vigor del 3 de mayo de 2022 establece un plazo de veinticuatro meses para que los sistemas de información se adecuen al nuevo ENS. Por ello el 4 de mayo de 2024 vencerá el plazo para poder realizar la transición. Para los nuevos sistemas, se deberá cumplir con el actual decreto.

Dada esa característica tan ibérica que es esperar al último momento, nos encontramos ante un escenario con varios retos. Ni que decir cabe, que el primer semestre de 2024 va a ser bastante denso. A la carga de trabajo propia de las organizaciones adaptando sus sistemas de seguridad de la información a nuevo ENS, se van a sumar dos amenazas que complicaran el escenario.

Por un lado, nos encontramos con la falta de personal cualificado por parte de las entidades de certificación, con el consecuente embudo que puede producir citado periodo y el subsecuente caos de jornadas para poder dar cumplimiento a los alcances de auditorías.

Y, por otro lado, la incesante labor de la administración pública de incrementar los requisitos a las organizaciones que le dan servicio, haciendo que se incremente el número que han optado por acreditar su sistema de seguridad de la información en Esquema Nacional.

Lástima que la ley de contratación de la administración pública continúe poniendo el acento en la valoración económica de las licitaciones. Otra característica tan ibérica.

28Jun

Controles de Seguridad de la información en TISAX

28 de junio de 2023 Juanjo Alemany 73

TISAX – MÓDULO DE SEGURIDAD DE LA INFORMACIÓN

Tal y como introducíamos en nuestro artículo anterior sobre Seguridad de la Información en el Sector de la Automoción según VDA ISA (Automotive Information Security Assessment) o TISAX (Trusted Information Security Assessment Exchange); la gestión de la seguridad de la información desempeña un papel fundamental para garantizar la protección de datos y mitigar los riesgos asociados. CON

Sector de la automoción y seguridad

La industria automotriz ha experimentado un proceso de cambio significativo en las últimas décadas, tanto los hábitos de consumo como los avances tecnológicos han transformado por completo la forma en que los vehículos se diseñan, fabrican y operan. Sin embargo, este progreso también ha planteado desafíos en términos de seguridad de la información y protección de datos en la cadena de suministro.

La filtración de datos sensibles, los ciberataques y las nuevas amenazas pueden tener consecuencias graves, tanto para las empresas como para los consumidores. Es en este contexto que surge la necesidad de contar con un marco común de controles.

Como ya hemos comentado anteriormente la norma VDA-ISA no es un sistema de gestión al uso tipo ISO, en la que se definen una serie de puntos y la organización establece las directrices generales. Aquí estamos ante un grupo de controles que se despliegan en requisitos.

Organizada en controles, TISAX-VDA ISA, cuenta con un Self-Assessment, mediante el cual se evalúa y verifica su cumplimiento para garantizar la seguridad de la información, estos se estructuran a través de sus 3 módulos (seguridad de la información, prototipos y protección de datos de carácter personal).

En este artículo trataremos en profundidad la pestaña del Self-Assessment referente al módulo de Seguridad de la Información.

Módulo de seguridad de la información en el Self-Assessment

Esta sección consta de los controles de seguridad de la información estructurado en 7 grandes grupos:

Políticas de seguridad
Recursos humanos
Seguridad física y continuidad
Identidad y acceso
Ciberseguridad
Relación con proveedores
Cumplimiento

Para determinar el nivel de madurez y de cumplimiento, los requisitos están divididos en diferentes apartados que van desde él “debe” hasta aquellos que son de “muy alta protección”.

Políticas y Seguridad de SI (Seguridad de la Información)

Este bloque de requisitos se centra en diferentes aspectos de las políticas y prácticas de seguridad de la información en una organización:

En él destaca la importancia de contar con políticas de seguridad adaptadas que reflejen la trascendencia de la información.
Se enfatiza que la seguridad de la información debe formar parte de los objetivos estratégicos de la organización, se subraya la necesidad de tener responsabilidades claras y establecer un proceso adecuado para evitar pasos en alto en proyectos.
Comprender y dividir las responsabilidades al trabajar con proveedores de servicios externos de TI.
Identificar y clasificar los activos de información, así como en la evaluación y aprobación de servicios de TI externos utilizados para procesarlos.
Gestionar riesgos para evitar o reducir la probabilidad de que se materialicen o mejorar la capacidad de respuesta frente a crisis.
Revisar periódicamente la eficacia de los procedimientos y procesos de seguridad de la información, se deben realizar evaluaciones independientes y objetivas del SGSI.

Recursos Humanos

Este bloque se centra en el capital humano y su papel en la seguridad de la información, resalta la importancia de contar con empleados competentes y confiables:

Verificar las calificaciones de los empleados potenciales, especialmente en áreas sensibles.
Garantizar que todo el personal debe estar contractualmente obligado a cumplir con las políticas de seguridad de la información de la organización y ser conscientes de las consecuencias de cualquier mala praxis.
Sensibilizar y capacitar al personal sobre los riesgos asociados con el manejo de la información, haciendo que la seguridad de la información sea parte integral de su trabajo.
Tener en cuenta el teletrabajo como una modalidad que presenta riesgos particulares y se subraya la necesidad de abordar los riesgos asociados con esta forma de trabajo, implementando medidas de protección adecuadas.

Seguridad Física y Continuidad del negocio

Bloque de controles enfocados a la seguridad física de los activos y la continuidad del negocio ante eventos críticos:

Gestionar las zonas de seguridad para proporcionar protección física a los activos de información, con medidas de control adicionales para los más sensibles.
Se deberá tener presente las situaciones excepcionales, como desastres naturales o amenazas, ya que representan un desafío para la organización en términos de seguridad.
La gestión de los activos de apoyo, que están expuestos a riesgos como pérdida, robo o visualización no autorizada se deben gestionar adecuadamente, así como los dispositivos móviles de TI y de almacenamiento de datos, debido al mayor riesgo de pérdida o robo al utilizarse en diferentes ubicaciones.

Gestión de identidad y acceso

En este bloque hablamos de la gestión de usuarios en el ámbito de la seguridad de la información:

Gestionar los medios de identificación, como claves, identificadores visuales o tokens criptográficos, para verificar la autorización de acceso físico y electrónico.
Asegurar que sólo los usuarios identificados y autenticados tengan acceso a los sistemas de TI de forma segura, la administración y aplicación de forma confiable de las cuentas de usuario y la información de inicio de sesión, resaltando la asignación y gestión adecuada de los derechos de acceso para garantizar que solo los usuarios autorizados tengan acceso a la información y las aplicaciones informáticas.

Seguridad TI /Ciberseguridad

En este punto nos encontraremos ante un bloque bastante amplio que aborda diversos aspectos sobre la información en el ámbito digital:

Se deben considerar los aspectos de seguridad en los cambios organizativos y de sistemas de información, la separación de los entornos de desarrollo de los entornos operativos.
Gestionar adecuadamente el uso de procedimientos criptográficos para proteger la confidencialidad de la información.
Proteger los sistemas de TI contra el malware, gestionar el registro y análisis los eventos de seguridad, realizar auditorías técnicas, gestionar vulnerabilidades, definir de requisitos para los servicios de red y la eliminación segura de activos de información en servicios.

Relaciones con proveedores

En relación con los controles sobre las relaciones con proveedores y socios comerciales, se destaca:

La importancia de garantizar un nivel adecuado de seguridad al colaborar con socios, lo cual implica establecer medidas y controles para proteger la información compartida y asegurar su confidencialidad, integridad y disponibilidad.
La no divulgación de información mediante acuerdos contractuales que incluyan acuerdos de confidencialidad .
Establecer las obligaciones y responsabilidades de las partes involucradas en la protección de la información confidencial.

Cumplimiento

Finalmente, el último bloque de controles se centra en el cumplimiento de las disposiciones legales, reglamentarias y contractuales:

Identificar y gestionar el cumplimiento de las disposiciones, y las consecuencias de su infracción.
Enfatizar la protección de los datos de identificación personal durante la implementación de medidas. Esto implica considerar la privacidad y la protección de estos datos de acuerdo con las leyes y regulaciones nacionales relevantes.

Conclusión

En resumen, a través de la pestaña “Seguridad de Información” del Self-Assessment, procederemos a la evaluación global de la información a través de los grandes bloques que componen la seguridad física y digital.

Por tanto, este módulo proporciona una visión general del sistema de gestión de seguridad de la información.

Al obtener una puntuación en la evaluación, las organizaciones pueden identificar las brechas en sus controles de seguridad y tomar medidas correctivas para fortalecer sus sistemas.

La implementación efectiva de controles de seguridad de la información ayuda a prevenir incidentes de seguridad, salvaguardar los datos sensibles y mantener la confianza de los clientes y socios comerciales.

Firmado por Juanjo Alemany

En colaboración con Mariam Rodríguez

28Mar

La norma ISO27701 para gestión de privacidad de la información

28 de marzo de 2023 Juanjo Alemany 68

La norma ISO27701 nos presenta un sistema de gestión de seguridad de la información enfocado a la protección de datos de carácter personal.

Los SGPI (Sistema de gestión de la privacidad de la información) conocidos en inglés como PIMS (Protection Information Management System) son una herencia directa de los SGSI (Sistema de Gestión de Seguridad de la información) basados en ISO27001.

Por ello, el cumplimiento de puntos de norma y controles de seguridad son la base de la garantía del sistema de gestión para la protección de los datos de carácter personal, en esta norma se denomina IIP (Información de identificación personal) o PII en inglés (Personally Identifiable Information).

Además, tenemos dos figuras clave que emanan del 2016/676 RGPD (Reglamento General de Protección de Datos) que son el responsable del tratamiento de datos personales y el encargado del tratamiento.

Estructura de la norma

La norma ISO27701 se halla dividida en cuatro grandes bloques:

Capítulo 5 Requisitos específicos del SGPI relacionados con la norma ISO27001

Capítulo 6 Guía específica del SGPI relacionadas con la norma ISO27002

Capítulo 7 Guía adicional de la norma ISO27001 para el responsable de tratamiento de IIP

Capítulo 8 Guía adicional de la norma ISO27001 para el encargado del tratamiento de IIP

Capítulo 5

En el primer bloque se sigue la misma estructura de alto nivel, común en las ISO de sistemas de gestión. Compuesta por los 10 puntos de la norma ISO27001. Y en este caso encontramos ampliaciones en los puntos 4 (5.2 en ISO27701) y 5 (5.4 en ISO27701).

En el primer punto amplía la totalidad de los apartados: comprensión del contexto, partes interesadas, alcance y sistema de gestión.

Y en el segundo amplía los requisitos para evaluación y tratamiento de riesgos.

Capítulo 6

El segundo bloque se compone de los controles de ISO27002 y las ampliaciones necesarias de los mismo respecto a PII.

Pasamos a describirles una aproximación a las actuaciones necesarias

Capítulo 7

En el tercer bloque nos centramos en controles específicos que afectan a los responsables de tratamiento que son:

Condiciones para la recogida y tratamiento de datos personales
Obligaciones hacia los interesados
Privacidad desde el diseño y privacidad por defecto
Intercambio, transferencia y comunicación de IIP

De todo ello se derivan controles que dan cobertura a los aspectos contemplados en el Reglamento Europeo de Protección de Datos de Carácter Personal, tales como el ciclo de vida de los datos captación, conservación y destrucción, las relaciones con partes interesadas (clientes y autoridades), aspectos en el desarrollo de aplicaciones y entornos, y finalmente la manipulación de estos datos durante sus operaciones y mantenimiento.

Todo ello bajo el prisma del responsable de tratamiento, figura que supone la persona física o jurídica que determine los fines y medios del tratamiento.

Capítulo 8

En el cuarto bloque se repiten los controles del bloque anterior pero esta vez centrados en la figura del encargado de tratamiento. Encargado de tratamiento que entendemos como la persona física o jurídica que trate datos personales por cuenta del responsable del tratamiento.

Con todo esto esperamos haberles hecho un primer acercamiento a la Norma ISO27701. En futuros artículos profundizaremos en aspectos con el fin de proporcionar una guía de referencia para su implantación y gestión.

O si lo prefieren siempre pueden contar con el asesoramiento profesional de TotalRisk.

Artículo de Juanjo Alemany

04Nov

Nueva versión 2022 ISO27001 Seguridad de la información

4 de noviembre de 2022 Juanjo Alemany 70

A inicios de este año se publicó la nueva versión de la ISO27002 Directrices de Seguridad de la Información, que supone la antesala de la ISO27001 de Sistema de Gestión de Seguridad de la Información (SGSI). Este mes de octubre por fin ha llegado su versión final, ésta presenta varias novedades respecto a su antecesora.

Han pasado 9 años desde la versión 2013, la segunda que ya incorporaba la estructura de alto nivel que se ha hecho común en las ISO de sistemas de Gestión. En estos años los cambios no han sido pocos, desde tecnológicos hasta los últimos derivados de escenarios de crisis mundiales.

Como siempre dar respuesta a las necesidades de regulación nunca es fácil, ya que la transformación de la sociedad y sus hábitos, de igual forma que los escenarios y amenazas, cambian de forma más rápida que los controles que podamos establecer.

Las principales novedades se basan en:

Adaptarse a los cambios en las formas de trabajar y vivir (la industria de la ciberseguridad ha madurado)
Flexibilizar la alineación con los conceptos de seguridad
Mejorar la armonización con los otros estándares ISO
Simplificar la norma y asegurar que el sistema está basado en procesos claros.

Nueva estructura de clausulas

Derivado de la actualización de la ISO27002 los controles quedan de la siguiente manera.

Anexo A

Clausula 5 – Controles de la organización: 37 controles, 34 antiguos y 3 nuevos
Clausula 6 – Controles de personas: 8 controles todos ya existentes
Clausula 7 – Controles de seguridad física: 14 controles, 13 antiguos y 1 nuevo
Clausula 8 – Controles tecnológicos: 34 controles, 27 antiguos y 7 nuevos

Como podemos ver hemos pasado de 114 controles en 14 grupos a 93 controles en 4 grupos, se han revisado 58 controles antiguos y hay 24 que surgen de la fusión de controles anteriores.

Nuevos controles

La nueva estructura trae consigo 11 controles nuevos, la mayoría vinculados al entorno tecnológico, ya que obviamente la tecnología es lo que más ha cambiado en estos años.

La lista de controles es:

A 5.7 Amenazas de inteligencia
A 5.23 Seguridad de la información por uso de servicios en la nube
A 5.30 Tecnologías de la información y comunicaciones para la continuidad del negocio
A 7.4 Monitorización de la seguridad física
A 8.9 Gestión de la configuración
A 8.10 Borrado de información
A 8.11 Enmascarado de datos
A 8.12 Prevención de fuga de datos
A 8.18 Monitorización de actividades
A 8.23 Filtro de la web
A 8.28 Codificación segura

Cambios vinculados a puntos de norma

A parte de esta reordenación de controles, también encontramos una serie de cambios menores en los puntos de la norma.

Los principales son:

4.4. Hay un requisito explícito para definir los procesos y sus interacciones.
5.3. Se explicita la necesidad de comunicar los roles relevantes en seguridad de la información en toda la organización.
6.2. Hace referencia explícita a la monitorización de los objetivos de Seguridad de la Información.
6.3. Punto nuevo que se alinea con el resto de ISO. Nos indica la necesidad de planificar los cambios del sistema de gestión y que estos se realicen de manera controlada.
8.1. Especifica el establecer criterios para los procesos y aplicar el control.
9.3 En la revisión por la dirección se deben de tener en cuenta los cambios en las necesidades y expectativas de las partes interesadas que son relevantes para el SGSI.

Calendario de implantación de la versión 2022

¿Y ahora qué? Lo primero que hemos de tener presente son los plazos establecidos para la gestión del cambio:

Primeras evaluaciones a partir de noviembre de 2022
Primeras certificaciones (pendiente de cada certificadora) entre febrero y abril de 2023
Plazo para certificarse con la versión 2013 – abril de 2024
Fin de vigencia de los certificados de la versión 2013 – octubre de 2025

Actuaciones

Para el éxito de un proceso de cambio de versión, hay que contemplar varios elementos. Teniendo en cuenta el calendario anterior, lo primero es ver cómo nos encaja en nuestro proceso de auditoría con nuestra entidad de certificación. Siempre es recomendable hacer coincidir los cambios de versión con procesos de recertificación.

Luego nos podemos encontrar en dos escenarios opuestos: aquellos que consideren que ser de los primeros en cambiar de versión supone una ventaja competitiva y un caso de ejemplaridad, y los que prefieren esperar al último suspiro.

Para los primeros, es aconsejable dejar pasar un plazo de unos 6 meses para que las entidades de certificación hayan tenido tiempo de formar bien al personal y se hayan podido corregir interpretaciones iniciales que puedan suponer cargas de trabajo innecesario.

Para los segundos, se ha de tener en cuenta los posibles cuellos de botella que puedan suceder durante el 2025. Ya que la cantidad de auditores acreditados en ISO27001 es mucho más limitado que en otros estándares, en los cuales ya observamos esta problemática en 2018 con las normas ISO9001 y ISO14001.

Sea cual sea el caso, la lectura de la norma y/o la formación previa son factores clave para el proceso de actualización del SGSI.

Finalmente, sólo queremos recordar al lector que todo proceso de cambio requiere de un análisis de capacidad por parte de la organización, y cómo siempre TOTALRISK está aquí para ayudarles en este proceso.

24May

El error humano no es la causa

24 de mayo de 2022 Montse Sardina 72

“Errar es de humanos” parece ser que es intrínseco a nuestra naturaleza humana. No se puede evitar ¿o sí?.

La automatización y control de procesos en las organizaciones ha hecho que los errores disminuyan, pero, aunque un proceso esté muy automatizado, siempre hay una o varias personas detrás, ni que sea para controlar y mantener la automatización. Y si hay personas, siempre, puede haber “errores humanos”.

En seguridad y salud, los errores humanos pueden ser de dos tipos: activos o latentes. Esto es totalmente extrapolable a todo tipo de errores.

Cuando hablamos de errores activos, el factor que ha provocado el error es claramente una persona, entre ellos, los fallos efectuados deliberadamente, pero también se contemplan los errores por despiste durante tareas rutinarias o malas decisiones que en el momento en que se tomaron, se creyeron buenas.

En cambio, cuando hablamos de errores latentes, son aquellos aspectos de una organización o externos que influyen en el comportamiento humano y hacen más probables los errores activos. Por ejemplo, aspectos asociados al stress, a las condiciones ambientales de trabajo, a la competencia, la salud…

Existen muchas metodologías para evitar el error y detectar errores, pero la realidad es que se siguen produciendo.

A priori, las organizaciones invierten tiempo y dinero en formar a las personas; quizás es una persona con experiencia e incluso con años en la organización y dispone de los medios para no equivocarse; quizás es una persona con una gran formación, pero un día se equivoca, se despista, se relaja y comete el error.

Hay muchos factores externos que pueden provocar una bajada de la atención. Factores externos que son difíciles de controlar para las organizaciones. Por ello, es importante que todos aquellos factores internos que pueden provocar errores se minimicen y se instale la cultura del error.

CULTURA ORGANIZACIONAL ANTE EL ERROR

Esta actitud positiva ante el error incluye dar la libertad a las personas a equivocarse, a que no haya ningún pudor a hablar de los errores cometidos para poder sacar conclusiones y mejorar.

La cultura del error es fundamental para no victimizar a quién se equivoca. Hemos de recordar que de los errores se aprende y si se ocultan, no sirven de nada.

Las organizaciones deben tener una actitud positiva ante el error. A veces un error puede hacer cambiar las cosas a mejor. De hecho, hay multitud de inventos increíbles que han surgido gracias a un error humano. Se me ocurren, por ejemplo, los post-its.

A pesar de ello, no debemos olvidar que, en la mayoría de las ocasiones, un error cuesta dinero, puede provocar lesiones… y, por lo tanto, las organizaciones deben poner en marcha mecanismos para evitarlos y se debe educar a las personas a hacer las cosas “correctamente”. No es suficiente, formar. La concienciación en hacer bien las cosas para no cometer errores es un trabajo constante.

TRATAMIENTO DE INCIDENCIAS “DEBIDAS” A UN ERROR HUMANO

De esta forma, las organizaciones deben concentrar sus esfuerzos en primero prevenir y luego corregir (PACA¹), y no al revés, (CAPA²). Las Acciones Preventivas basadas en el análisis y gestión de riesgos suponen ser PROACTIVO ante los errores. Identificar posibles “problemas” o “errores” potenciales que se puedan materializar y tomar acciones para eliminar la causa raíz (RCA³).

En cambio, cuando hablamos de Acciones Correctivas, la incidencia, problema, error, ya se ha producido y las acciones que debemos tomar son para evitar que vuelva a ocurrir. Esto supone ser REACTIVO ante los errores.

En cualquier caso, es muy importante identificar la causa raíz para eliminarla.

Con frecuencia, en las auditorías, nos encontramos que las organizaciones (pequeñas y grandes) registran incidencias, cuya causa raíz identifican como “error humano”. ¿Pero lo es? No. El error humano es un factor que provoca la incidencia, pero nunca es la causa raíz.

Siempre que se produzca un error humano, hay que buscar la causa o las causas que lo han provocado, ya sean interna a la organización o externas. Hay que ser metódico, porque si no encontramos la causa, el error se volverá a producir.

Algunas de las técnicas más comunes son los 5 porqués, el diagrama de espina de pez o de Ishikawa, el análisis de cambios/análisis de sucesos.

Sea cual sea la técnica utilizada, debemos trabajarla bien para hallar la causa o las causas y actuar, en la medida que sea posible, para eliminarla/s.

¿Qué causas pueden aparecer detrás de un error humano? Pueden darse causas internas a la organización: una baja formación, diseño incorrecto del proceso de trabajo, mal funcionamiento de equipos, falta de tiempo, una supervisión insuficiente, falta de liderazgo o engagement a la organización, problemas interpersonales, stress por carga de trabajo…

O causas externas: problemas personales, problemas relacionados con la salud de la persona…

Sea cual sea la causa, recordad, hay que buscarla y actuar sobre ella. Los errores se pueden producir y todos cometemos errores, pero siempre hay una o más causas que hicieron que nos equivocáramos.

¹PACA Preventive Actions Corrective Actions

²CAPA Corrective Actions Preventive Actions

³RCA Root Cause Analysis

08Mar

La cuenta atrás para disponer de un plan de igualdad y los riesgos de no cumplirlo

8 de marzo de 2022 Mariam Rodríguez 72

La cuenta atrás para disponer de un plan de Igualdad y los riesgos de no cumplirlo

Alcanzar la igualdad entre hombres y mujeres en el trabajo, así como en otros ámbitos, es un objetivo por el que muchas personas y organismos se esfuerzan a diario.

Décadas de estadísticas nos demuestran la desigualdad que sufre la mujer desde su lenta introducción a la vida laboral.

Aunque nos encontramos en un momento de evolución y cambios en la sociedad, la situación actual de la mujer se sigue caracterizando por una serie de factores como:

El hecho que después de una jornada de trabajo, siguen dedicándose a las tareas domésticas y el cuidado de los hijos/as.
Recae en ellas los permisos o excedencias para dedicar tiempo al cuidado de los hijos o familiares.
Falta de presencia en algunos ámbitos laborales.
Poco acceso a puestos directivos y mandos intermedios.
Diferencia retributiva por mismo tipo de trabajo.

En España, el nacimiento del Instituto de la Mujer supuso un gran cambio y el comienzo de una política institucional para la igualdad de oportunidades.

Este organismo durante años se ha centrado en la recopilación, investigación y seguimiento de actuaciones para la concienciación de la igualdad de género, enfocándose en la búsqueda de oportunidades dentro de sectores masculinizados, poniendo a disposición de mujeres emprendedoras información y diseñando paulatinamente lo que hoy conocemos como Planes de igualdad.

¿Qué son los planes de igualdad y para qué sirven?

Un plan de igualdad es un conjunto de medidas evaluables, que tienen por objeto eliminar aquellos obstáculos que impiden o dificultan la igualdad de género, así como cualquier discriminación por razón de sexo en las empresas.

El primer marco legal para planes de igualdad se estableció a través de la Ley Orgánica 3/2007, de 22 de marzo, para la igualdad efectiva de mujeres y hombres. El propio texto de la Ley Orgánica insiste en la necesidad de una acción normativa para combatir todas las manifestaciones de discriminación por razón de sexo que se dan en la mayoría de los ámbitos social, política, económica y cultural.

En esta lucha contra la discriminación por razón de género, el gobierno se ha comprometido a crear campañas para la promoción de las mujeres en otras áreas de trabajo, a velar por la igualdad retributiva y la promoción y liderazgo de mujeres en la vida política, económica, social y cultural del país, subrayando la lucha contra la violencia de género como prioridad nacional.

La cuenta atrás para incluir un plan de igualdad en las empresas empezó en marzo de 2020 y este 07 de marzo deberán implementarlo todos aquellos organismos públicos y privados que cuenten con más de 50 trabajadores en su plantilla.

La elaboración de un plan de igualdad pasa por varias fases, desde la creación de un comité de igualdad hasta el control, seguimiento e informe de este.

Estructura de un Plan de Igualdad

El compromiso de la alta dirección es el primer pilar fundamental para la implantación del plan.

En una primera fase se crea el comité de igualdad, el cual debe estar formado equitativamente por representantes de la empresa y de los trabajadores y, a ser posible, debe haber hombres y mujeres. Estos serán los encargados de hacer seguimiento y llegar a acuerdos sobre qué acciones serán necesarias para la correcta gestión del mismo.

El análisis de toda la información recopilada, tras un estudio cuantitativo (recopilación de datos y registros facilitados por la empresa) y cualitativo (basado en la experiencia u opinión subjetiva mediante cuestionarios a todo el equipo) darán una visión global sobre en qué posición se encuentra la organización.

Las reuniones de seguimiento y toma de acciones estarán recogidas en actas para evidenciar la consolidación del plan, la cooperación y compromiso.

Y el organismo que validará cualquier plan de igualdad será el Instituto de la Mujer.

¿Qué riesgos pueden surgir?

Derivamos de cada una de fases, aquí nos podemos encontrar con los siguientes riesgos:

Inicio del plan: Falta de Compromiso alta dirección, no creación de comités, baja comunicación de la creación del Plan.
Toma de datos: Datos erróneos, falta de información, perdida de datos, archivos protegidos, archivos dañados.
Análisis de datos: Sesgo en la información, falta de contextualización de los datos, uso intencionado de los datos, sector altamente sexualizado, falta de capacidad analítica.
Ejecución de acciones: Falta de compromiso, acciones ineficaces o ineficientes, resistencia al cambio, falta de consenso, carencia de presupuesto.
Presentación del Plan: Incumplimiento de requisitos, no cumplir plazos, denegación según criterios del Instituto de la mujer.
Seguimiento y Control: Planes de igualdad en el olvido, incumplimiento de fechas y acciones, ausencia de reuniones de seguimiento.

Es por todos estos puntos mencionados que los principales riesgos a los que podemos enfrentarnos durante la realización de un plan de igualdad son muy variados. Van desde una primera fase y están sujetos a innumerables variables que pueden alterar una correcta interpretación y aplicación. Por lo que aconsejamos utilizar un enfoque global del riesgo para cada fase, con el fin de conseguir el éxito del plan de igualdad.

¿Qué pasa si no presentamos un plan de igualdad?

Sólo las empresas que disponen de una plantilla de más de 50 trabajadores están obligadas a su cumplimiento, por tanto, las microactividades no se ven afectadas.

El no cumplimiento de esta ley supone multas de entre 6.251 a 187.515 euros en caso de considerarse muy graves. Por ello, en estos últimos meses se ha visto un aumento considerable de peticiones de planes de igualdad a empresas especializadas, aunque la cifra de organismos registrados continúa siendo baja.

Debemos tener presente los beneficios de una buena gestión del Plan de igualdad, que son los siguientes:

Mejora la productividad.
Mejora del clima laboral.
Trabajo en equipo.
Retención de talento.
Eliminación de conductas inapropiadas.
Mejora la imagen de la empresa.
Reduce la discriminación y/o acoso.
Acceso a ayudas y subvenciones.
Evita exposición a sanciones.
Obtención del Distintivo de Igualdad en la Empresa.

En definitiva, aunque las empresas tengan o no la obligación de implarlo, hacerlo puede aportar grandes beneficios, tanto a nivel empresarial, como a nivel social.

Si no contamos con la experiencia o el conocimiento para realizarlo, contemplar la opción de acudir a consultoras especializadas, puede ser una opción.

18Ene

TISAX Seguridad de la información en el sector de la automoción

18 de enero de 2022 Juanjo Alemany 70

TISAX Seguridad de la información en el sector de la automoción.

Es habitual en estos últimos tiempos contemplar como la seguridad se va adquiriendo peso en nuestras vidas. La preocupación por conservar nuestros activos, sea en la vida privada o profesional, alcanza una mayor dimensión año tras año.

En el mundo empresarial, la seguridad puede suponer un elemento de notoriedad como argumento de venta y en muchos casos un requisito que el cliente nos exige. La aparición de las normas más genéricas a principios de siglo como la ISO27001 o el Esquema Nacional de Seguridad se alimento de la guerra contra el terrorismo en respuesta al 11-S. También es cierto que la mayor digitalización ha generado nuevos escenarios con vulnerabilidades y amenazas que no podíamos imaginar. Antivirus, encriptación, doble autenticación, entre otros, son conceptos cada vez más comunes en el desarrollo cotidiano de nuestras tareas.

El sector de la Automoción no podía quedar al margen de esta tendencia y tenía que exponerse en este mundo con voz propia. En las postrimerías del 2016 los fabricantes de coches germanos (Voslkwagen, Daimler-Benz, BMW,…) acordaron a desarrollar una serie de requisitos de seguridad de la información.

A través de ENX Association se estableció la iniciativa TISAX (Trusted Information Security Assessment eXchange) para el desarrollo de un mecanismo de evaluación e intercambio de la seguridad de la información de las empresas, que permitiera el reconocimiento y los resultados de la evaluación entre los integrantes.

Este sistema de evaluación se concibió mediante la VDA (Verband der Automobilindustrie) asociación germana de la industria del automóvil que dispone de un amplio abanico de normas. Así cogió forma, la norma VDA-ISA (Information Security Assessment), actualmente en su versión 5.0.4, como listado de requisitos y su método de evaluación.

Característica del sistema de gestión VDA-ISA

La norma VDA-ISA no es un sistema de gestión al uso tipo ISO, en la que se definen una serie de puntos y la organización establece una documentación descriptiva y genera registros derivados de su aplicación. En este caso la norma establece una serie de controles que establece unos requisitos concretos a cumplir. Por así decir se asemeja más al Anexo A de la norma ISO27001.

Existen tres grandes grupos de controles, organizados en 3 módulos:

Módulo de Seguridad de la Información

Políticas y seguridad
Recursos Humanos
Seguridad Física y continuidad del negocio
Identidad y gestión de accesos
Seguridad IT/ Ciberseguridad
Relación con proveedores
Cumplimiento

En este primer módulo se establecen los controles generales de seguridad que toda organización debe cumplir. Desde los aspectos más generales que establecen los pilares de gestión de la seguridad se tratan 6 grandes grupos. Cuatro de ellos tienen implicaciones generales a nivel de gestión de recursos (Instalaciones, Recursos humanos, proveedores y cumplimiento), si bien en todos ellos se siente el impacto de la seguridad digital es en los dos restantes donde los sistemas de información cogen enjundia.

Módulo Protección de prototipos

8.1 Seguridad Física y entorno
8.2 Requisitos de la organización
8.3 Manipulación de vehículos, componentes y partes
8.4 Requisitos de pruebas de vehículo
8.5 Requisitos de eventos y filmaciones

Este módulo soló es de aplicación para aquellas organizaciones que disponen de la actividad de diseño y desarrollo de prototipos. Los dos primeros grupos ahondan en las necesidades ya expuestas en el módulo de seguridad de la información, enfocado a seguridad de prototipos. En los siguientes 3 grupos están centrados en la manipulación de los prototipos en sus ámbitos de revisión, transporte, pruebas o actuaciones de marketing

Módulo de Protección de datos

9.1 Implementación
9.2 Conformidad con la legislación
9.3 Revisiones periódicas
9.4 Proceso documental

Finalmente disponemos del módulo de protección de datos, este aspecto ya está referenciado dentro del grupo 7 de cumplimiento del primer módulo y aquí se despliega en profundidad para dar cumplimiento la protección de datos de carácter personal

Estos tres módulos suponen un total de 67 controles (41 de seguridad de la información, 22 de prototipos y 4 de protección de datos), número inferior a los 114 controles del Anexo A de ISO27001, pero que entraña una sorpresa al contemplar el número de requerimientos de cada control suponiendo en el alcance más amplio una suma total de 406 requisitos.

Este número de requisitos variará en función de la necesidad o no del módulo de prototipos y del nivel de seguridad exigido. Este nivel de seguridad presenta tres niveles que van del normal, alto al muy alto, y supondrán en los dos últimos niveles requisitos adicionales hasta contemplar los mencionados 406 en el caso de muy alto y que se incluya prototipos.

Existen 6 niveles de madurez para cada control:

0-incompleto
1-en desarrollo
2-gestionado
3-establecido
4-predictible
5-optimizado

Esto permitirá el cálculo y la cuantificación de los requisitos dando una imagen general del estado de la organización.

Para la gestión y cumplimiento de la norma ENX nos facilita un documento, el Self-Assessment, en su versión actual 5.0.4. Este documento dispone de una estructura de pestañas con los niveles de madurez, definiciones, tres pestañas de controles, dos pestañas de resultados, ejemplos de indicadores KPI (Key Perfomance Indicator),…

Últimos cambios de la norma VDA-ISA

La verdad es que en la última versión 5.0.4 los cambios son irrelevantes desde la versión 5.0.0 solamente se han producido modificaciones respecto a glosario, la numeración del modulo de protección de datos y alguna referencia.

Hemos de contemplar el salto de la versión 4.1.0 a la 5.0.0 para encontrar una integración y cambio sustancial de controles, así como la remuneración de los mismos. En la actualidad es normal encontrar organizaciones que estructuran su sistema de seguridad de la información con la estructura antigua (4.1.0).

Luces y sombras del sistema de evaluación TISAX

Desde el punto de vista del valor añadido que puede suponer es evidente que supone un nivel superior respecto a otras certificaciones que no disponen de tantos requisitos. Además, el hecho que sea un sistema de evaluación puntuado le confiere un plus de interpretación.

Toda la información, documentos y formatos se encuentran disponibles en su portal https://www.enx.com/en-US/enxassociation/ de forma totalmente gratuita. Esto también supone un ejercicio de transparencia y funcionalidad respecto a otros sistemas de evaluación.

Las principales dificultades radican en ser capaces de acercar la norma VDA-ISA a la realidad de las empresas, ya que muchas veces se corre el riesgo de centrarse en el cumplimiento de requisitos y nos desviamos del objetivo que es el dispone de una herramienta de valor añadido que nos aporte mayor seguridad.

01Jun

Cambios nueva norma ISO50001:2018 eficiencia energética

1 de junio de 2021 Montse Sardina 66

En 2011, se presentó la norma ISO50001:2011 para certificar sistemas de gestión energética con el objetivo de que las empresas llevaran realizar una gestión más eficiente del consumo energético y pudieran llevar a cabo una mejora continua.

En 2018, ISO revisó el estándar para adaptarla a nuevos requisitos del mercado y, como el resto de normas ISO revisadas, la publicaron con la nueva estructura de Alto Nivel ISO o HLS (High Level Structure) que mejora la integración de diferentes normas ISO.

El plazo para hacer la transición son tres años. Es decir, el próximo 20 de agosto del 2021, dejarán de ser vigentes los certificados según ISO50001:2011.

Objetivos de la norma

Igual que la versión del 2011, ISO50001 pretende que las empresas identifiquen las actividades que consumen más energía, las estudien para ver qué coste les supone y, dónde y cuándo se desperdicia energía.

De esta manera, las organizaciones pueden establecer buenas prácticas de consumo, aplicar mejoras para reducir consumos y optimizar la gestión de la energía, reduciendo costes y evidentemente, la huella de carbono de su actividad.

Cambios principales

El primero y más evidente es la Estructura de Alto Nivel que permite la mejor integración entre diferentes estándares ISO. Por ello, la norma está estructurada con los apartados:
- Introducción
- Objeto y campo de aplicación
- Referencias normativas
- Términos y definiciones
- Contexto de la organización
- Liderazgo
- Planificación
- Apoyo
- Operación
- Evaluación del desempeño
- Mejora
Cambios específicos sobre la gestión de la energía:
- En esta nueva versión, no se excluyen los tipos de energía dentro del ámbito y los límites del SGEn
- Las organizaciones deben asegurarse de que tienen la autoridad para controlar su eficiencia energética, el uso de la energía y el consumo de energía dentro del alcance y los límites.
- Cuando la organización disponga de datos que indiquen que las variables pertinentes afectan de forma significativa a la eficiencia energética, la organización normalizará el indicador de desempeño energético (IDEn) y la correspondiente base de referencia energética para comparar los cambios en la eficiencia energética.
- Para cada Uso energético, hay que identificar el desempeño energético actual e identificar las personas que influyen o afectan al USO.
- Nuevas definiciones para » factor estático «, » variable relevante » y » normalización «.
- La línea base se deberá revisar cuando se produzca algún cambio significativo.
- Se introduce el punto 6.6 “planificación para la recopilación de datos de la energía” que sustituye al “plan de medición de energía”. Este nuevo plan deberá especificar los datos necesarios para controlar las características claves e indicará cómo y con qué frecuencia se recogerán y conservarán los datos. También nos indica para qué áreas:
  - las variables pertinentes para los USE;
  - consumo de energía relacionado con los USE y con la organización;
  - características operativas relacionadas con los USE;
  - factores estáticos, si aplicara;
  - datos especificados en los planes de acción

Además, este plan debe revisarse y actualizarse a intervalos definidos.

En el punto 8.2 Diseño, aparece el término “tiempo de vida planificado o esperado”. En el diseño de instalaciones, equipos, etc.. nuevos, modificados y renovados que puedan tener un impacto significativo en el desempeño energético, se tendrá que tener en cuenta el desempeño a lo largo de la vida útil prevista o esperada.
Respecto a las adquisiciones (punto 8.3) se exige que se definan especificaciones para la adquisición de energía, además de la adquisición de equipos y servicios que ya venía descrito como requisito en la norma del 2011.
Se definen 40 términos frente a los 28 de la edición del 2011. 18 términos son nuevos. 13 de los nuevos términos son adoptados de la HLS, mientras que 5 son términos nuevos específicos de energía. Los 5 términos específicos de energía son: “mejora del desempeño energético”, “factores estáticos”, “variables relevantes”, “normalización” y “valor de indicador de desempeño energético (valor IDEn)”. Se han eliminado 5 términos de la edición 2011. Estos son: «servicios energéticos», «corrección», «acción preventiva», «registro» y «procedimiento».
Desaparece el “representante de la dirección” que es substituido por el “equipo de gestión de la energía”.

¿Por qué es importante esta norma?

Esta norma no suele ser un requisito explícito de clientes como otro tipo de normas ISO, pero tener un sistema de gestión energética certificado significa que las empresas gestionan el impacto que su actividad genera sobre el medioambiente (una de las áreas de la Responsabilidad Social Corporativa), reduciendo las emisiones e incrementando la eficiencia de las fuentes de energía y, además ayuda a las organizaciones a reducir sus costes operacionales, incrementando la eficiencia energética.

Artículo de Montse Sardina (TOTALRISK) www.totalrisk.org

Sin categoría