logo-totalrisk
  • Conózcanos
  • Partners
  • Calidad
    • APPCC – Análisis de Peligros y Puntos de Control Crítico
    • BRC – Estándar Global para la Seguridad Alimentaria
    • EFQM Fundación Europea para la Gestión de la Calidad
    • IFS FOOD – International Food Standard para la Seguridad Alimentaria
    • ISO9001 Sistema de Gestión de Calidad
    • ISO13485 Dispositivos Médicos
    • ISO20000 Sistema de Gestión de Servicios de IT
    • ISO22000 Y FSSC22000 Seguridad Alimentaria
    • ISO22716 Buenas prácticas de Fabricación de Cosméticas
    • ISO55001 Gestión de activos
  • Seguridad
    • eIDAS – ETSI Telecomunicaciones
    • ENS – (Esquema Nacional de Seguridad)
    • ISO22301 Continuidad de Negocio
    • ISO22320 Gestión de Emergencias
    • Nueva versión ISO27001 Sistema de Gestión de Seguridad de la Información
    • ISO27017 Control de Seguridad para Servicios Cloud
    • ISO27701 Sistema de gestión de seguridad de la privacidad
    • ISO31000 Gestión de Riesgos
    • ISO37001 Sistema de Gestión Antisoborno
    • ISO45001 Seguridad y salud del trabajador
    • TISAX – (Trusted Information Security Assessment Exchange)
  • Medioambiente
    • FSC – Forest Stewarship Council (Gestión Forestal)
    • ISCC – International Sustainaibility Carbon
    • ISO14001 Sistema de Gestión Ambiental
    • ISO14067:2018 Gases de efecto invernadero – Huella de carbono
    • ISO50001 Sistema de Gestión Energética
  • Compliance
    • Delegado de Protección de datos
    • ISO37001 Sistema de Gestión Antisoborno
    • ISO37002 Sistema de Gestión de denuncias de irregularidades
    • ISO37301 Sistemas de Gestión de Compliance
    • Marcado CE
    • Planes de igualdad
    • Protección de datos personales
    • Protocolo de Acoso Escolar «Bullying»
    • Protocolo de prevención y actuación contra acoso laboral \»Moobing\»
    • Registro General Sanitario
  • Contenidos
  • Trabaja con nosotros
Contacto
Presupuesto
TotalRisk
Pide presupuesto
Contacto
  • Calidad
    • C1
      • Columna 1
        • APPCC – Análisis de Peligros y Puntos de Control Crítico
        • BRC – Estándar Global para la Seguridad Alimentaria
        • EFQM – Fundación Europea para la Gestión de la Calidad
        • IFS FOOD – International Food Standard para la Seguridad Alimentaria
        • ISO9001 Sistema de Gestión de Calidad
        • ISO13485 Dispositivos Médicos
        • ISO20000 Sistema de Gestión de Servicios de IT
        • ISO22000 Y FSSC22000 Seguridad Alimentaria
        • ISO22716 Buenas prácticas de Fabricación de Cosméticas
        • ISO55001 Gestión de activos
    • C2
      • Columna 2
    • C3
      • Solicitar información
  • Seguridad
    • C1
      • Columna 1
        • eIDAS – ETSI Telecomunicaciones
        • ENS – (Esquema Nacional de Seguridad)
        • ISO22301 Continuidad de Negocio
        • ISO22320 Gestión de Emergencias
        • Nueva versión ISO27001 Sistema de Gestión de Seguridad de la Información
        • ISO27017 Control de Seguridad para Servicios Cloud
        • ISO31000 Gestión de Riesgos
        • ISO27701 Sistema de gestión de seguridad de la privacidad
        • ISO45001 Seguridad y salud del trabajador
        • TISAX – (Trusted Information Security Assessment Exchange)
    • C2
      • Columna 2
    • C3
      • Solicitar información
  • Medioambiente
    • C1
      • Columna 1
        • FSC – Forest Stewarship Council (Gestión Forestal)
        • ISCC – International Sustainaibility Carbon
        • ISO14001 Sistema de Gestión Ambiental
        • ISO14067:2018 Gases de efecto invernadero – Huella de carbono
        • ISO50001 Sistema de Gestión Energética
    • C2
      • Columna 2
    • C3
      • Solicitar información
  • Compliance
    • C1
      • Columna 1
        • Delegado de Protección de datos
        • ISO37001 Sistema de Gestión Antisoborno
        • ISO37002 Sistema de Gestión de denuncias de irregularidades
        • ISO37301 Sistemas de Gestión de Compliance
        • Registro General Sanitario
        • Planes de igualdad
        • Marcado CE
        • Protección de datos personales
        • Protocolo de Acoso Escolar «Bullying»
        • Protocolo de prevención y actuación contra acoso laboral \»Moobing\»
    • Columna 2
      • C2
    • C3
      • Solicitar información
TotalRisk

Sin categoría

TotalRisk / Sin categoría
28Jun

Controles de Seguridad de la información en TISAX

28 de junio de 2023 Juanjo Alemany Sin categoría 28

TISAX – MÓDULO DE SEGURIDAD DE LA INFORMACIÓN

Tal y como introducíamos en nuestro artículo anterior sobre Seguridad de la Información en el Sector de la Automoción según VDA ISA (Automotive Information Security Assessment) o TISAX (Trusted Information Security Assessment Exchange); la gestión de la seguridad de la información desempeña un papel fundamental para garantizar la protección de datos y mitigar los riesgos asociados. CON

Sector de la automoción y seguridad

La industria automotriz ha experimentado un proceso de cambio significativo en las últimas décadas, tanto los hábitos de consumo como los avances tecnológicos han transformado por completo la forma en que los vehículos se diseñan, fabrican y operan. Sin embargo, este progreso también ha planteado desafíos en términos de seguridad de la información y protección de datos en la cadena de suministro.

La filtración de datos sensibles, los ciberataques y las nuevas amenazas pueden tener consecuencias graves, tanto para las empresas como para los consumidores. Es en este contexto que surge la necesidad de contar con un marco común de controles.

Como ya hemos comentado anteriormente la norma VDA-ISA no es un sistema de gestión al uso tipo ISO, en la que se definen una serie de puntos y la organización establece las directrices generales. Aquí estamos ante un grupo de controles que se despliegan en requisitos.

Organizada en controles, TISAX-VDA ISA, cuenta con un Self-Assessment, mediante el cual se evalúa y verifica su cumplimiento para garantizar la seguridad de la información, estos se estructuran a través de sus 3 módulos (seguridad de la información, prototipos y protección de datos de carácter personal).

En este artículo trataremos en profundidad la pestaña del Self-Assessment referente al módulo de Seguridad de la Información.

Módulo de seguridad de la información en el Self-Assessment

Esta sección consta de los controles de seguridad de la información estructurado en 7 grandes grupos:

  1. Políticas de seguridad
  2. Recursos humanos
  3. Seguridad física y continuidad
  4. Identidad y acceso
  5. Ciberseguridad
  6. Relación con proveedores
  7. Cumplimiento

Para determinar el nivel de madurez y de cumplimiento, los requisitos están divididos en diferentes apartados que van desde él “debe” hasta aquellos que son de “muy alta protección”.

  1. Políticas y Seguridad de SI (Seguridad de la Información)

Este bloque de requisitos se centra en diferentes aspectos de las políticas y prácticas de seguridad de la información en una organización:

  • En él destaca la importancia de contar con políticas de seguridad adaptadas que reflejen la trascendencia de la información.
  • Se enfatiza que la seguridad de la información debe formar parte de los objetivos estratégicos de la organización, se subraya la necesidad de tener responsabilidades claras y establecer un proceso adecuado para evitar pasos en alto en proyectos.
  • Comprender y dividir las responsabilidades al trabajar con proveedores de servicios externos de TI.
  • Identificar y clasificar los activos de información, así como en la evaluación y aprobación de servicios de TI externos utilizados para procesarlos.
  • Gestionar riesgos para evitar o reducir la probabilidad de que se materialicen o mejorar la capacidad de respuesta frente a crisis.
  • Revisar periódicamente la eficacia de los procedimientos y procesos de seguridad de la información, se deben realizar evaluaciones independientes y objetivas del SGSI.

 

  1. Recursos Humanos

Este bloque se centra en el capital humano y su papel en la seguridad de la información, resalta la importancia de contar con empleados competentes y confiables:

  • Verificar las calificaciones de los empleados potenciales, especialmente en áreas sensibles.
  • Garantizar que todo el personal debe estar contractualmente obligado a cumplir con las políticas de seguridad de la información de la organización y ser conscientes de las consecuencias de cualquier mala praxis.
  • Sensibilizar y capacitar al personal sobre los riesgos asociados con el manejo de la información, haciendo que la seguridad de la información sea parte integral de su trabajo.
  • Tener en cuenta el teletrabajo como una modalidad que presenta riesgos particulares y se subraya la necesidad de abordar los riesgos asociados con esta forma de trabajo, implementando medidas de protección adecuadas.

 

  1. Seguridad Física y Continuidad del negocio

Bloque de controles enfocados a la seguridad física de los activos y la continuidad del negocio ante eventos críticos:

  • Gestionar las zonas de seguridad para proporcionar protección física a los activos de información, con medidas de control adicionales para los más sensibles.
  • Se deberá tener presente las situaciones excepcionales, como desastres naturales o amenazas, ya que representan un desafío para la organización en términos de seguridad.
  • La gestión de los activos de apoyo, que están expuestos a riesgos como pérdida, robo o visualización no autorizada se deben gestionar adecuadamente, así como los dispositivos móviles de TI y de almacenamiento de datos, debido al mayor riesgo de pérdida o robo al utilizarse en diferentes ubicaciones.

 

  1. Gestión de identidad y acceso

En este bloque hablamos de la gestión de usuarios en el ámbito de la seguridad de la información:

  • Gestionar los medios de identificación, como claves, identificadores visuales o tokens criptográficos, para verificar la autorización de acceso físico y electrónico.
  • Asegurar que sólo los usuarios identificados y autenticados tengan acceso a los sistemas de TI de forma segura, la administración y aplicación de forma confiable de las cuentas de usuario y la información de inicio de sesión, resaltando la asignación y gestión adecuada de los derechos de acceso para garantizar que solo los usuarios autorizados tengan acceso a la información y las aplicaciones informáticas.

 

  1. Seguridad TI /Ciberseguridad

En este punto nos encontraremos ante un bloque bastante amplio que aborda diversos aspectos sobre la información en el ámbito digital:

  • Se deben considerar los aspectos de seguridad en los cambios organizativos y de sistemas de información, la separación de los entornos de desarrollo de los entornos operativos.
  • Gestionar adecuadamente el uso de procedimientos criptográficos para proteger la  confidencialidad de la información.
  • Proteger los sistemas de TI contra el malware, gestionar el registro y análisis los eventos de seguridad, realizar auditorías técnicas, gestionar vulnerabilidades, definir de requisitos para los servicios de red y la eliminación segura de activos de información en servicios.

 

  1. Relaciones con proveedores

En relación con los controles sobre las relaciones con proveedores y socios comerciales, se destaca:

  • La importancia de garantizar un nivel adecuado de seguridad al colaborar con socios, lo cual implica establecer medidas y controles para proteger la información compartida y asegurar su confidencialidad, integridad y disponibilidad.
  • La no divulgación de información mediante acuerdos contractuales que incluyan acuerdos de confidencialidad .
  • Establecer las obligaciones y responsabilidades de las partes involucradas en la protección de la información confidencial.

 

  1. Cumplimiento

Finalmente, el último bloque de controles se centra en el cumplimiento de las disposiciones legales, reglamentarias y contractuales:

  • Identificar y gestionar el cumplimiento de las disposiciones, y las consecuencias de su infracción.
  • Enfatizar la protección de los datos de identificación personal durante la implementación de medidas. Esto implica considerar la privacidad y la protección de estos datos de acuerdo con las leyes y regulaciones nacionales relevantes.

Conclusión

En resumen, a través de la pestaña “Seguridad de Información” del Self-Assessment, procederemos a la evaluación global de la información a través de los grandes bloques que componen la seguridad física y digital.

Por tanto, este módulo proporciona una visión general del sistema de gestión de seguridad de la información.

Al obtener una puntuación en la evaluación, las organizaciones pueden identificar las brechas en sus controles de seguridad y tomar medidas correctivas para fortalecer sus sistemas.

La implementación efectiva de controles de seguridad de la información ayuda a prevenir incidentes de seguridad, salvaguardar los datos sensibles y mantener la confianza de los clientes y socios comerciales.

 

Firmado por Juanjo Alemany

En colaboración con Mariam Rodríguez

Read more
28Mar

La norma ISO27701 para gestión de privacidad de la información

28 de marzo de 2023 Juanjo Alemany Sin categoría 29

La norma ISO27701 nos presenta un sistema de gestión de seguridad de la información enfocado a la protección de datos de carácter personal.

Los SGPI (Sistema de gestión de la privacidad de la información) conocidos en inglés como PIMS (Protection Information Management System) son una herencia directa de los SGSI (Sistema de Gestión de Seguridad de la información) basados en ISO27001.

Por ello, el cumplimiento de puntos de norma y controles de seguridad son la base de la garantía del sistema de gestión para la protección de los datos de carácter personal, en esta norma se denomina IIP (Información de identificación personal) o PII en inglés (Personally Identifiable Information).

Además, tenemos dos figuras clave que emanan del 2016/676 RGPD (Reglamento General de Protección de Datos) que son el responsable del tratamiento de datos personales y el encargado del tratamiento.

 

Estructura de la norma

La norma ISO27701 se halla dividida en cuatro grandes bloques:

Capítulo 5 Requisitos específicos del SGPI relacionados con la norma ISO27001

Capítulo 6 Guía específica del SGPI relacionadas con la norma ISO27002

Capítulo 7 Guía adicional de la norma ISO27001 para el responsable de tratamiento de IIP

Capítulo 8 Guía adicional de la norma ISO27001 para el encargado del tratamiento de IIP

 

Capítulo 5

En el primer bloque se sigue la misma estructura de alto nivel, común en las ISO de sistemas de gestión. Compuesta por los 10 puntos de la norma ISO27001. Y en este caso encontramos ampliaciones en los puntos 4 (5.2 en ISO27701) y 5 (5.4 en ISO27701).

En el primer punto amplía la totalidad de los apartados: comprensión del contexto, partes interesadas, alcance y sistema de gestión.

Y en el segundo amplía los requisitos para evaluación y tratamiento de riesgos.

 

Capítulo 6

El segundo bloque se compone de los controles de ISO27002 y las ampliaciones necesarias de los mismo respecto a PII.

Pasamos a describirles una aproximación a las actuaciones necesarias

 

Capítulo 7

En el tercer bloque nos centramos en controles específicos que afectan a los responsables de tratamiento que son:

  • Condiciones para la recogida y tratamiento de datos personales
  • Obligaciones hacia los interesados
  • Privacidad desde el diseño y privacidad por defecto
  • Intercambio, transferencia y comunicación de IIP

De todo ello se derivan controles que dan cobertura a los aspectos contemplados en el Reglamento Europeo de Protección de Datos de Carácter Personal, tales como el ciclo de vida de los datos captación, conservación y destrucción, las relaciones con partes interesadas (clientes y autoridades), aspectos en el desarrollo de aplicaciones y entornos, y finalmente la manipulación de estos datos durante sus operaciones y mantenimiento.

Todo ello bajo el prisma del responsable de tratamiento, figura que supone la persona física o jurídica que determine los fines y medios del tratamiento.

 

Capítulo 8

En el cuarto bloque se repiten los controles del bloque anterior pero esta vez centrados en la figura del encargado de tratamiento. Encargado de tratamiento que entendemos como la persona física o jurídica que trate datos personales por cuenta del responsable del tratamiento.

Con todo esto esperamos haberles hecho un primer acercamiento a la Norma ISO27701. En futuros artículos profundizaremos en aspectos con el fin de proporcionar una guía de referencia para su implantación y gestión.

O si lo prefieren siempre pueden contar con el asesoramiento profesional de TotalRisk.

 

Artículo de Juanjo Alemany

Read more
04Nov

Nueva versión 2022 ISO27001 Seguridad de la información

4 de noviembre de 2022 Juanjo Alemany Sin categoría 29

A inicios de este año se publicó la nueva versión de la ISO27002 Directrices de Seguridad de la Información, que supone la antesala de la ISO27001 de Sistema de Gestión de Seguridad de la Información (SGSI). Este mes de octubre por fin ha llegado su versión final, ésta presenta varias novedades respecto a su antecesora.

Han pasado 9 años desde la versión 2013, la segunda que ya incorporaba la estructura de alto nivel que se ha hecho común en las ISO de sistemas de Gestión. En estos años los cambios no han sido pocos, desde tecnológicos hasta los últimos derivados de escenarios de crisis mundiales.

Como siempre dar respuesta a las necesidades de regulación nunca es fácil, ya que la transformación de la sociedad y sus hábitos, de igual forma que los escenarios y amenazas, cambian de forma más rápida que los controles que podamos establecer.

Las principales novedades se basan en:

  1. Adaptarse a los cambios en las formas de trabajar y vivir (la industria de la ciberseguridad ha madurado)
  2. Flexibilizar la alineación con los conceptos de seguridad
  3. Mejorar la armonización con los otros estándares ISO
  4. Simplificar la norma y asegurar que el sistema está basado en procesos claros.

Nueva estructura de clausulas

Derivado de la actualización de la ISO27002 los controles quedan de la siguiente manera.

Anexo A

  • Clausula 5 – Controles de la organización: 37 controles, 34 antiguos y 3 nuevos
  • Clausula 6 – Controles de personas: 8 controles todos ya existentes
  • Clausula 7 – Controles de seguridad física: 14 controles, 13 antiguos y 1 nuevo
  • Clausula 8 – Controles tecnológicos: 34 controles, 27 antiguos y 7 nuevos

Como podemos ver hemos pasado de 114 controles en 14 grupos a 93 controles en 4 grupos, se han revisado 58 controles antiguos y hay 24 que surgen de la fusión de controles anteriores.

Nuevos controles

La nueva estructura trae consigo 11 controles nuevos, la mayoría vinculados al entorno tecnológico, ya que obviamente la tecnología es lo que más ha cambiado en estos años.

La lista de controles es:

  • A 5.7 Amenazas de inteligencia
  • A 5.23 Seguridad de la información por uso de servicios en la nube
  • A 5.30 Tecnologías de la información y comunicaciones para la continuidad del negocio
  • A 7.4 Monitorización de la seguridad física
  • A 8.9 Gestión de la configuración
  • A 8.10 Borrado de información
  • A 8.11 Enmascarado de datos
  • A 8.12 Prevención de fuga de datos
  • A 8.18 Monitorización de actividades
  • A 8.23 Filtro de la web
  • A 8.28 Codificación segura

Cambios vinculados a puntos de norma

A parte de esta reordenación de controles, también encontramos una serie de cambios menores en los puntos de la norma.

Los principales son:

  • 4.4. Hay un requisito explícito para definir los procesos y sus interacciones.
  • 5.3. Se explicita la necesidad de comunicar los roles relevantes en seguridad de la información en toda la organización.
  • 6.2. Hace referencia explícita a la monitorización de los objetivos de Seguridad de la Información.
  • 6.3. Punto nuevo que se alinea con el resto de ISO. Nos indica la necesidad de planificar los cambios del sistema de gestión y que estos se realicen de manera controlada.
  • 8.1. Especifica el establecer criterios para los procesos y aplicar el control.
  • 9.3 En la revisión por la dirección se deben de tener en cuenta los cambios en las necesidades y expectativas de las partes interesadas que son relevantes para el SGSI.

Calendario de implantación de la versión 2022

¿Y ahora qué? Lo primero que hemos de tener presente son los plazos establecidos para la gestión del cambio:

  • Primeras evaluaciones a partir de noviembre de 2022
  • Primeras certificaciones (pendiente de cada certificadora) entre febrero y abril de 2023
  • Plazo para certificarse con la versión 2013 – abril de 2024
  • Fin de vigencia de los certificados de la versión 2013 – octubre de 2025

Actuaciones

Para el éxito de un proceso de cambio de versión, hay que contemplar varios elementos. Teniendo en cuenta el calendario anterior, lo primero es ver cómo nos encaja en nuestro proceso de auditoría con nuestra entidad de certificación. Siempre es recomendable hacer coincidir los cambios de versión con procesos de recertificación.

Luego nos podemos encontrar en dos escenarios opuestos: aquellos que consideren que ser de los primeros en cambiar de versión supone una ventaja competitiva y un caso de ejemplaridad, y los que prefieren esperar al último suspiro.

Para los primeros, es aconsejable dejar pasar un plazo de unos 6 meses para que las entidades de certificación hayan tenido tiempo de formar bien al personal y se hayan podido corregir interpretaciones iniciales que puedan suponer cargas de trabajo innecesario.

Para los segundos, se ha de tener en cuenta los posibles cuellos de botella que puedan suceder durante el 2025. Ya que la cantidad de auditores acreditados en ISO27001 es mucho más limitado que en otros estándares, en los cuales ya observamos esta problemática en 2018 con las normas ISO9001 y ISO14001.

Sea cual sea el caso, la lectura de la norma y/o la formación previa son factores clave para el proceso de actualización del SGSI.

Finalmente, sólo queremos recordar al lector que todo proceso de cambio requiere de un análisis de capacidad por parte de la organización, y cómo siempre TOTALRISK está aquí para ayudarles en este proceso.

Read more
24May

El error humano no es la causa

24 de mayo de 2022 Montse Sardina Sin categoría 29

“Errar es de humanos” parece ser que es intrínseco a nuestra naturaleza humana. No se puede evitar ¿o sí?.

La automatización y control de procesos en las organizaciones ha hecho que los errores disminuyan, pero, aunque un proceso esté muy automatizado, siempre hay una o varias personas detrás, ni que sea para controlar y mantener la automatización. Y si hay personas, siempre, puede haber “errores humanos”.

En seguridad y salud, los errores humanos pueden ser de dos tipos: activos o latentes. Esto es totalmente extrapolable a todo tipo de errores.

Cuando hablamos de errores activos, el factor que ha provocado el error es claramente una persona, entre ellos, los fallos efectuados deliberadamente, pero también se contemplan los errores por despiste durante tareas rutinarias o malas decisiones que en el momento en que se tomaron, se creyeron buenas.

En cambio, cuando hablamos de errores latentes, son aquellos aspectos de una organización o externos que influyen en el comportamiento humano y hacen más probables los errores activos. Por ejemplo, aspectos asociados al stress, a las condiciones ambientales de trabajo, a la competencia, la salud…

Existen muchas metodologías para evitar el error y detectar errores, pero la realidad es que se siguen produciendo.

A priori, las organizaciones invierten tiempo y dinero en formar a las personas; quizás es una persona con experiencia e incluso con años en la organización y dispone de los medios para no equivocarse; quizás es una persona con una gran formación, pero un día se equivoca, se despista, se relaja y comete el error.

Hay muchos factores externos que pueden provocar una bajada de la atención. Factores externos que son difíciles de controlar para las organizaciones. Por ello, es importante que todos aquellos factores internos que pueden provocar errores se minimicen y se instale la cultura del error.

 

CULTURA ORGANIZACIONAL ANTE EL ERROR

Esta actitud positiva ante el error incluye dar la libertad a las personas a equivocarse, a que no haya ningún pudor a hablar de los errores cometidos para poder sacar conclusiones y mejorar.

La cultura del error es fundamental para no victimizar a quién se equivoca. Hemos de recordar que de los errores se aprende y si se ocultan, no sirven de nada.

Las organizaciones deben tener una actitud positiva ante el error. A veces un error puede hacer cambiar las cosas a mejor. De hecho, hay multitud de inventos increíbles que han surgido gracias a un error humano. Se me ocurren, por ejemplo, los post-its.

A pesar de ello, no debemos olvidar que, en la mayoría de las ocasiones, un error cuesta dinero, puede provocar lesiones… y, por lo tanto, las organizaciones deben poner en marcha mecanismos para evitarlos y se debe educar a las personas a hacer las cosas “correctamente”. No es suficiente, formar. La concienciación en hacer bien las cosas para no cometer errores es un trabajo constante.

 

TRATAMIENTO DE INCIDENCIAS “DEBIDAS” A UN ERROR HUMANO

De esta forma, las organizaciones deben concentrar sus esfuerzos en primero prevenir y luego corregir (PACA1), y no al revés, (CAPA2). Las Acciones Preventivas basadas en el análisis y gestión de riesgos suponen ser PROACTIVO ante los errores. Identificar posibles “problemas” o “errores” potenciales que se puedan materializar y tomar acciones para eliminar la causa raíz (RCA3).

En cambio, cuando hablamos de Acciones Correctivas, la incidencia, problema, error, ya se ha producido y las acciones que debemos tomar son para evitar que vuelva a ocurrir. Esto supone ser REACTIVO ante los errores.

En cualquier caso, es muy importante identificar la causa raíz para eliminarla.

Con frecuencia, en las auditorías, nos encontramos que las organizaciones (pequeñas y grandes) registran incidencias, cuya causa raíz identifican como “error humano”. ¿Pero lo es? No. El error humano es un factor que provoca la incidencia, pero nunca es la causa raíz.

Siempre que se produzca un error humano, hay que buscar la causa o las causas que lo han provocado, ya sean interna a la organización o externas. Hay que ser metódico, porque si no encontramos la causa, el error se volverá a producir.

Algunas de las técnicas más comunes son los 5 porqués, el diagrama de espina de pez o de Ishikawa, el análisis de cambios/análisis de sucesos.

Sea cual sea la técnica utilizada, debemos trabajarla bien para hallar la causa o las causas y actuar, en la medida que sea posible, para eliminarla/s.

¿Qué causas pueden aparecer detrás de un error humano? Pueden darse causas internas a la organización: una baja formación, diseño incorrecto del proceso de trabajo, mal funcionamiento de equipos, falta de tiempo, una supervisión insuficiente, falta de liderazgo o engagement a la organización, problemas interpersonales, stress por carga de trabajo…

O causas externas: problemas personales, problemas relacionados con la salud de la persona…

Sea cual sea la causa, recordad, hay que buscarla y actuar sobre ella. Los errores se pueden producir y todos cometemos errores, pero siempre hay una o más causas que hicieron que nos equivocáramos.

 

1PACA Preventive Actions Corrective Actions

2CAPA Corrective Actions Preventive Actions

3RCA Root Cause Analysis

Read more
08Mar

La cuenta atrás para disponer de un plan de igualdad y los riesgos de no cumplirlo

8 de marzo de 2022 Mariam Rodríguez Sin categoría 29

La cuenta atrás para disponer de un plan de Igualdad y los riesgos de no cumplirlo

Alcanzar la igualdad entre hombres y mujeres en el trabajo, así como en otros ámbitos, es un objetivo por el que muchas personas y organismos se esfuerzan a diario.

Décadas de estadísticas nos demuestran la desigualdad que sufre la mujer desde su lenta introducción a la vida laboral.

Aunque nos encontramos en un momento de evolución y cambios en la sociedad, la situación actual de la mujer se sigue caracterizando por una serie de factores como:

  • El hecho que después de una jornada de trabajo, siguen dedicándose a las tareas domésticas y el cuidado de los hijos/as.
  • Recae en ellas los permisos o excedencias para dedicar tiempo al cuidado de los hijos o familiares.
  • Falta de presencia en algunos ámbitos laborales.
  • Poco acceso a puestos directivos y mandos intermedios.
  • Diferencia retributiva por mismo tipo de trabajo.

En España, el nacimiento del Instituto de la Mujer supuso un gran cambio y el comienzo de una política institucional para la igualdad de oportunidades.

Este organismo durante años se ha centrado en la recopilación, investigación y seguimiento de actuaciones para la concienciación de la igualdad de género, enfocándose en la búsqueda de oportunidades dentro de sectores masculinizados, poniendo a disposición de mujeres emprendedoras información y diseñando paulatinamente lo que hoy conocemos como Planes de igualdad.

¿Qué son los planes de igualdad y para qué sirven?

Un plan de igualdad es un conjunto de medidas evaluables, que tienen por objeto eliminar aquellos obstáculos que impiden o dificultan la igualdad de género, así como cualquier discriminación por razón de sexo en las empresas.

El primer marco legal para planes de igualdad se estableció a través de la Ley Orgánica 3/2007, de 22 de marzo, para la igualdad efectiva de mujeres y hombres.  El propio texto de la Ley Orgánica insiste en la necesidad de una acción normativa para combatir todas las manifestaciones de discriminación por razón de sexo que se dan en la mayoría de los ámbitos social, política, económica y cultural.

En esta lucha contra la discriminación por razón de género, el gobierno se ha comprometido a crear campañas para la promoción de las mujeres en otras áreas de trabajo, a velar por la igualdad retributiva y la promoción y liderazgo de mujeres en la vida política, económica, social y cultural del país, subrayando la lucha contra la violencia de género como prioridad nacional.

La cuenta atrás para incluir un plan de igualdad en las empresas empezó en marzo de 2020 y este 07 de marzo deberán implementarlo todos aquellos organismos públicos y privados que cuenten con más de 50 trabajadores en su plantilla.

La elaboración de un plan de igualdad pasa por varias fases, desde la creación de un comité de igualdad hasta el control, seguimiento e informe de este.

Estructura de un Plan de Igualdad

El compromiso de la alta dirección es el primer pilar fundamental para la implantación del plan.

En una primera fase se crea el comité de igualdad, el cual debe estar formado equitativamente por representantes de la empresa y de los trabajadores y, a ser posible, debe haber hombres y mujeres. Estos serán los encargados de hacer seguimiento y llegar a acuerdos sobre qué acciones serán necesarias para la correcta gestión del mismo.

El análisis de toda la información recopilada, tras un estudio cuantitativo (recopilación de datos y registros facilitados por la empresa) y cualitativo (basado en la experiencia u opinión subjetiva mediante cuestionarios a todo el equipo) darán una visión global sobre en qué posición se encuentra la organización.

Las reuniones de seguimiento y toma de acciones estarán recogidas en actas para evidenciar la consolidación del plan, la cooperación y compromiso.

Y el organismo que validará cualquier plan de igualdad será el Instituto de la Mujer.

¿Qué riesgos pueden surgir?

Derivamos de cada una de fases, aquí nos podemos encontrar con los siguientes riesgos:

  • Inicio del plan: Falta de Compromiso alta dirección, no creación de comités, baja comunicación de la creación del Plan.
  • Toma de datos: Datos erróneos, falta de información, perdida de datos, archivos protegidos, archivos dañados.
  • Análisis de datos: Sesgo en la información, falta de contextualización de los datos, uso intencionado de los datos, sector altamente sexualizado, falta de capacidad analítica.
  • Ejecución de acciones: Falta de compromiso, acciones ineficaces o ineficientes, resistencia al cambio, falta de consenso, carencia de presupuesto.
  • Presentación del Plan: Incumplimiento de requisitos, no cumplir plazos, denegación según criterios del Instituto de la mujer.
  • Seguimiento y Control: Planes de igualdad en el olvido, incumplimiento de fechas y acciones, ausencia de reuniones de seguimiento.

Es por todos estos puntos mencionados que los principales riesgos a los que podemos enfrentarnos durante la realización de un plan de igualdad son muy variados. Van desde una primera fase y están sujetos a innumerables variables que pueden alterar una correcta interpretación y aplicación. Por lo que aconsejamos utilizar un enfoque global del riesgo para cada fase, con el fin de conseguir el éxito del plan de igualdad.

¿Qué pasa si no presentamos un plan de igualdad?

Sólo las empresas que disponen de una plantilla de más de 50 trabajadores están obligadas a su cumplimiento, por tanto, las microactividades no se ven afectadas.

El no cumplimiento de esta ley supone multas de entre 6.251 a 187.515 euros en caso de considerarse muy graves.  Por ello, en estos últimos meses se ha visto un aumento considerable de peticiones de planes de igualdad a empresas especializadas, aunque la cifra de organismos registrados continúa siendo baja.

Debemos tener presente los beneficios de una buena gestión del Plan de igualdad, que son los siguientes:

  • Mejora la productividad.
  • Mejora del clima laboral.
  • Trabajo en equipo.
  • Retención de talento.
  • Eliminación de conductas inapropiadas.
  • Mejora la imagen de la empresa.
  • Reduce la discriminación y/o acoso.
  • Acceso a ayudas y subvenciones.
  • Evita exposición a sanciones.
  • Obtención del Distintivo de Igualdad en la Empresa.

En definitiva, aunque las empresas tengan o no la obligación de implarlo, hacerlo puede aportar grandes beneficios, tanto a nivel empresarial, como a nivel social.

Si no contamos con la experiencia o el conocimiento para realizarlo, contemplar la opción de acudir a consultoras especializadas, puede ser una opción.

Read more
18Ene

TISAX Seguridad de la información en el sector de la automoción

18 de enero de 2022 Juanjo Alemany Sin categoría 31

TISAX Seguridad de la información en el sector de la automoción.

Es habitual en estos últimos tiempos contemplar como la seguridad se va adquiriendo peso en nuestras vidas. La preocupación por conservar nuestros activos, sea en la vida privada o profesional, alcanza una mayor dimensión año tras año.

En el mundo empresarial, la seguridad puede suponer un elemento de notoriedad como argumento de venta y en muchos casos un requisito que el cliente nos exige. La aparición de las normas más genéricas a principios de siglo como la ISO27001 o el Esquema Nacional de Seguridad se alimento de la guerra contra el terrorismo en respuesta al 11-S. También es cierto que la mayor digitalización ha generado nuevos escenarios con vulnerabilidades y amenazas que no podíamos imaginar. Antivirus, encriptación, doble autenticación, entre otros, son conceptos cada vez más comunes en el desarrollo cotidiano de nuestras tareas.

El sector de la Automoción no podía quedar al margen de esta tendencia y tenía que exponerse en este mundo con voz propia. En las postrimerías del 2016 los fabricantes de coches germanos (Voslkwagen, Daimler-Benz, BMW,…) acordaron a desarrollar una serie de requisitos de seguridad de la información.

A través de ENX Association se estableció la iniciativa TISAX (Trusted Information Security Assessment eXchange) para el desarrollo de un mecanismo de evaluación e intercambio de la seguridad de la información de las empresas, que permitiera el reconocimiento y los resultados de la evaluación entre los integrantes.

Este sistema de evaluación se concibió mediante la VDA (Verband der Automobilindustrie) asociación germana de la industria del automóvil que dispone de un amplio abanico de normas. Así cogió forma, la norma VDA-ISA (Information Security Assessment), actualmente en su versión 5.0.4, como listado de requisitos y su método de evaluación.

Característica del sistema de gestión VDA-ISA

La norma VDA-ISA no es un sistema de gestión al uso tipo ISO, en la que se definen una serie de puntos y la organización establece una documentación descriptiva y genera registros derivados de su aplicación. En este caso la norma establece una serie de controles que establece unos requisitos concretos a cumplir. Por así decir se asemeja más al Anexo A de la norma ISO27001.

Existen tres grandes grupos de controles, organizados en 3 módulos:

Módulo de Seguridad de la Información

  1. Políticas y seguridad
  2. Recursos Humanos
  3. Seguridad Física y continuidad del negocio
  4. Identidad y gestión de accesos
  5. Seguridad IT/ Ciberseguridad
  6. Relación con proveedores
  7. Cumplimiento

En este primer módulo se establecen los controles generales de seguridad que toda organización debe cumplir. Desde los aspectos más generales que establecen los pilares de gestión de la seguridad se tratan 6 grandes grupos. Cuatro de ellos tienen implicaciones generales a nivel de gestión de recursos (Instalaciones, Recursos humanos, proveedores y cumplimiento), si bien en todos ellos se siente el impacto de la seguridad digital es en los dos restantes donde los sistemas de información cogen enjundia.

Módulo Protección de prototipos

8.1 Seguridad Física y entorno
8.2 Requisitos de la organización
8.3 Manipulación de vehículos, componentes y partes
8.4 Requisitos de pruebas de vehículo
8.5 Requisitos de eventos y filmaciones

Este módulo soló es de aplicación para aquellas organizaciones que disponen de la actividad de diseño y desarrollo de prototipos. Los dos primeros grupos ahondan en las necesidades ya expuestas en el módulo de seguridad de la información, enfocado a seguridad de prototipos. En los siguientes 3 grupos están centrados en la manipulación de los prototipos en sus ámbitos de revisión, transporte, pruebas o actuaciones de marketing

Módulo de Protección de datos

9.1 Implementación
9.2 Conformidad con la legislación
9.3 Revisiones periódicas
9.4 Proceso documental

Finalmente disponemos del módulo de protección de datos, este aspecto ya está referenciado dentro del grupo 7 de cumplimiento del primer módulo y aquí se despliega en profundidad para dar cumplimiento la protección de datos de carácter personal

Estos tres módulos suponen un total de 67 controles (41 de seguridad de la información, 22 de prototipos y 4 de protección de datos), número inferior a los 114 controles del Anexo A de ISO27001, pero que entraña una sorpresa al contemplar el número de requerimientos de cada control suponiendo en el alcance más amplio una suma total de 406 requisitos.

Este número de requisitos variará en función de la necesidad o no del módulo de prototipos y del nivel de seguridad exigido. Este nivel de seguridad presenta tres niveles que van del normal, alto al muy alto, y supondrán en los dos últimos niveles requisitos adicionales hasta contemplar los mencionados 406 en el caso de muy alto y que se incluya prototipos.

Existen 6 niveles de madurez para cada control:

0-incompleto
1-en desarrollo
2-gestionado
3-establecido
4-predictible
5-optimizado

Esto permitirá el cálculo y la cuantificación de los requisitos dando una imagen general del estado de la organización.

Para la gestión y cumplimiento de la norma ENX nos facilita un documento, el Self-Assessment, en su versión actual 5.0.4. Este documento dispone de una estructura de pestañas con los niveles de madurez, definiciones, tres pestañas de controles, dos pestañas de resultados, ejemplos de indicadores KPI (Key Perfomance Indicator),…

Últimos cambios de la norma VDA-ISA

La verdad es que en la última versión 5.0.4 los cambios son irrelevantes desde la versión 5.0.0 solamente se han producido modificaciones respecto a glosario, la numeración del modulo de protección de datos y alguna referencia.

Hemos de contemplar el salto de la versión 4.1.0 a la 5.0.0 para encontrar una integración y cambio sustancial de controles, así como la remuneración de los mismos. En la actualidad es normal encontrar organizaciones que estructuran su sistema de seguridad de la información con la estructura antigua (4.1.0).

Luces y sombras del sistema de evaluación TISAX

 Desde el punto de vista del valor añadido que puede suponer es evidente que supone un nivel superior respecto a otras certificaciones que no disponen de tantos requisitos. Además, el hecho que sea un sistema de evaluación puntuado le confiere un plus de interpretación.

Toda la información, documentos y formatos se encuentran disponibles en su portal https://www.enx.com/en-US/enxassociation/  de forma totalmente gratuita.  Esto también supone un ejercicio de transparencia y funcionalidad respecto a otros sistemas de evaluación.

Las principales dificultades radican en ser capaces de acercar la norma VDA-ISA a la realidad de las empresas, ya que muchas veces se corre el riesgo de centrarse en el cumplimiento de requisitos y nos desviamos del objetivo que es el dispone de una herramienta de valor añadido que nos aporte mayor seguridad.

Read more
01Jun

Cambios nueva norma ISO50001:2018 eficiencia energética

1 de junio de 2021 Montse Sardina Sin categoría 28

En 2011, se presentó la norma ISO50001:2011 para certificar sistemas de gestión energética con el objetivo de que las empresas llevaran realizar una gestión más eficiente del consumo energético y pudieran llevar a cabo una mejora continua.

En 2018, ISO revisó el estándar para adaptarla a nuevos requisitos del mercado y, como el resto de normas ISO revisadas, la publicaron con la nueva estructura de Alto Nivel ISO o HLS (High Level Structure) que mejora la integración de diferentes normas ISO.

El plazo para hacer la transición son tres años. Es decir, el próximo 20 de agosto del 2021, dejarán de ser vigentes los certificados según ISO50001:2011.

Objetivos de la norma

Igual que la versión del 2011, ISO50001 pretende que las empresas identifiquen las actividades que consumen más energía, las estudien para ver qué coste les supone y, dónde y cuándo se desperdicia energía.

De esta manera, las organizaciones pueden establecer buenas prácticas de consumo, aplicar mejoras para reducir consumos y optimizar la gestión de la energía, reduciendo costes y evidentemente, la huella de carbono de su actividad.

Cambios principales

  • El primero y más evidente es la Estructura de Alto Nivel que permite la mejor integración entre diferentes estándares ISO. Por ello, la norma está estructurada con los apartados:
    • Introducción
    • Objeto y campo de aplicación
    • Referencias normativas
    • Términos y definiciones
    • Contexto de la organización
    • Liderazgo
    • Planificación
    • Apoyo
    • Operación
    • Evaluación del desempeño
    • Mejora
  • Cambios específicos sobre la gestión de la energía:
    • En esta nueva versión, no se excluyen los tipos de energía dentro del ámbito y los límites del SGEn
    • Las organizaciones deben asegurarse de que tienen la autoridad para controlar su eficiencia energética, el uso de la energía y el consumo de energía dentro del alcance y los límites.
    • Cuando la organización disponga de datos que indiquen que las variables pertinentes afectan de forma significativa a la eficiencia energética, la organización normalizará el indicador de desempeño energético (IDEn) y la correspondiente base de referencia energética para comparar los cambios en la eficiencia energética.
    • Para cada Uso energético, hay que identificar el desempeño energético actual e identificar las personas que influyen o afectan al USO.
    • Nuevas definiciones para » factor estático «, » variable relevante » y » normalización «.
    • La línea base se deberá revisar cuando se produzca algún cambio significativo.
    • Se introduce el punto 6.6 “planificación para la recopilación de datos de la energía” que sustituye al “plan de medición de energía”. Este nuevo plan deberá especificar los datos necesarios para controlar las características claves e indicará cómo y con qué frecuencia se recogerán y conservarán los datos. También nos indica para qué áreas:
      • las variables pertinentes para los USE;
      • consumo de energía relacionado con los USE y con la organización;
      • características operativas relacionadas con los USE;
      • factores estáticos, si aplicara;
      • datos especificados en los planes de acción

Además, este plan debe revisarse y actualizarse a intervalos definidos.

  • En el punto 8.2 Diseño, aparece el término “tiempo de vida planificado o esperado”. En el diseño de instalaciones, equipos, etc.. nuevos, modificados y renovados que puedan tener un impacto significativo en el desempeño energético, se tendrá que tener en cuenta el desempeño a lo largo de la vida útil prevista o esperada.
  • Respecto a las adquisiciones (punto 8.3) se exige que se definan especificaciones para la adquisición de energía, además de la adquisición de equipos y servicios que ya venía descrito como requisito en la norma del 2011.
  • Se definen 40 términos frente a los 28 de la edición del 2011. 18 términos son nuevos. 13 de los nuevos términos son adoptados de la HLS, mientras que 5 son términos nuevos específicos de energía. Los 5 términos específicos de energía son: “mejora del desempeño energético”, “factores estáticos”, “variables relevantes”, “normalización” y “valor de indicador de desempeño energético (valor IDEn)”. Se han eliminado 5 términos de la edición 2011. Estos son: «servicios energéticos», «corrección», «acción preventiva», «registro» y «procedimiento».
  • Desaparece el “representante de la dirección” que es substituido por el “equipo de gestión de la energía”.

 

¿Por qué es importante esta norma?

Esta norma no suele ser un requisito explícito de clientes como otro tipo de normas ISO, pero tener un sistema de gestión energética certificado significa que las empresas gestionan el impacto que su actividad genera sobre el medioambiente (una de las áreas de la Responsabilidad Social Corporativa), reduciendo las emisiones e incrementando la eficiencia de las fuentes de energía y, además ayuda a las organizaciones a reducir sus costes operacionales, incrementando la eficiencia energética.

 

Artículo de Montse Sardina (TOTALRISK) www.totalrisk.org 

Read more
01Mar

Metodologías de evaluación de riesgos en centrales receptoras de alarma

1 de marzo de 2021 Juanjo Alemany Sin categoría 27

Anteriormente ya nos acercamos a la gestión de riesgos en la norma EN50518 para Centrales Receptoras de Alarmas. El presente artículo quiere tocar un punto clave de la gestión, la evaluación de riesgos. El mercado actual ofrece varias y diferentes opciones y, como casi siempre, ninguna específica para este cometido concreto.

Norma EN 50518

Aunque esta norma pueda parecer a simple vista de alto contenido técnico para infraestructuras, se menciona el concepto riesgo en varios apartados. Ello confiere a la norma no solamente un conjunto de directrices técnicas que debe cumplir una Centrales Receptoras de Alarmas, sino que además incide en los procesos y operaciones. De ahí que la gestión de riesgos tenga varios matices y su evaluación no resulte lineal ni de fácil aproximación.

Esta norma, articulada en 10 puntos que se centran en las instalaciones y en los servicios derivados de la gestión de Centrales Receptoras de Alarma (CRA), nos redirigirá a la norma ISO31000 para dar respuesta a la gestión de riesgos mencionada a lo largo de ella. A su vez, la norma ISO31000 nos hablaba en sus 5 fases de un paso concreto que era la evaluación de riesgos, pero en ningún caso establecía un requisito claro sobre la metodología a usar.

En este punto nos vemos ante la disyuntiva de tener que escoger entre crear un sistema de evaluación de riesgos, con el peligro de disponer de una herramienta genérica que no nos aporte valor añadido o usar herramientas muy específicas en las que su implantación y uso nos suponga una pérdida de eficiencia.

No es motivo del presente artículo tratar el diseño de una metodología de evaluación de riesgos específica para CRAs, por lo que vamos hacer un breve recorrido por las principales metodologías existentes en la actualidad.

 

Metodologías de evaluación de riesgos

Vamos a hacer una breve aproximación a las metodologías más frecuentes y sus principales características.

 

Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información (MAGERIT)

  • Desarrollada en España por el Consejo Superior de Informática para su uso en las administraciones públicas
  • Orientada en su inicio a Seguridad digital
  • Realiza cálculos cuantitativos partiendo de datos cualitativos.
  • Posibilidad de recoger incidencias y pasar a enfoque cuantitativo.
  • Soportada por software (MAGERIT H1 y MAGERIT H2)

 

Método Mosler 

  • Metodología orientada a Seguridad Física
  • Su objetivo es identificar, analizar y evaluar los factores que pueden influir en la materialización de un riesgo, permitiendo clasificarlos.
  • Se desarrolla en cuatro etapas: Definición, Análisis, Evaluación y Cálculo del Riesgo.
  • Se basa en la valoración de funciones, sustitubilidad, profundidad, extensión, agresión y vulnerabilidad.
  • Apta para todo tipo de organizaciones

 

  Método AARR 

  • Metodología de enfoque cuantitativo
  • Su objetivo es identificar activos y relacionarlos con los procesos.
  • Se establecen 3 niveles de riesgo: inicial, residual y objetivo.
  • Se completa con la ejecución de unas buenas prácticas para el tratamiento de los riesgos
  • Apta para todo tipo de organizaciones

 

Método HAZOP 

  • Metodología Hazard and operatibility basada en el análisis funcional de operatividad
  • Se concentra en las instalaciones y baja a nivel de subsistemas
  • Se establecen 6 etapas para llegar a un informe final
  • Dispone de unas palabras guía propia: desviaciones, nodos, actividad,…
  • Metodología muy implantanda en sector químico

 

Método BOW-TIE 

  • Metodología centrada en el árbol de causas y efectos
  • Permite una trazabilidad completa entre las causas de los eventos y sus consecuencias
  • Pone al evento en el centro del análisis
  • Apta para todo tipo de organizaciones
  • Metodología compleja de alto valor añadido

 

Evaluación de riesgos en la Norma 50518

Derivado del punto anterior, cabe decir que ninguna presenta una alineación completa con los requisitos de la norma EN50518 y las necesidades propias de las Centrales Receptoras de Alarma.

Al no poder concretar una apuesta clara vamos a subrayar los aspectos que nos aportan cada una de ellas.

Es difícil no tener en cuenta MAGERIT, ya que los elementos de Tecnologías de la información están presentes en todas las organizaciones. Además, es obvio el impacto que tienen estas en las operaciones de las CRAs. Por ello, aunque pueda parecer que no encaja en la totalidad de las necesidades de la norma 50518, no es una solución desdeñable.

El método MOSLER es una solución sencilla y con la suficiente profundidad para permitir una aproximación global. El tratamiento de activos en base a su capacidad de sustitución, el impacto según la profundidad y la extensión y el desglose de la probabilidad en amenazas y vulnerabilidades permite disponer de una herramienta completa.

La metodología AARR permite relacionar los activos con los procesos, este enfoque requiere de un trabajo de precisión en esta fase inicial que puede condicionar el resultado de la evaluación. Es una herramienta genérica apta para todo tipo de organizaciones. Su sencillez puede ser un arma de doble filo y no acabar aportando el adecuado valor añadido.

Aunque muy implantada dentro del sector químico debido a su origen, la metodología Hazard o HAZOP supone una herramienta muy apta para instalaciones, elemento puesto de relieve en la norma 50518. Este método permite baja a parámetros específicos de las instalaciones como pueden ser los UPS, CPD, sistemas de extinción,… lo que también permite abordar riesgos en la fase de diseño de instalaciones. Por el contrario, este enfoque a veces puede suponer la pérdida de visión transversal de los riesgos.

Por último, el modelo BOW-TIE, es probablemente el caso más complejo y a la vez el que hace un aporte de mayor valor añadido. Sitúa en el centro de la metodología el evento, sea vinculado a Tecnologías de la información, a procesos, a instalaciones o la combinatoria de ellos y traza un árbol de causas y efectos entre los inductores del riesgo y las consecuencias y tratamientos de los mismos.

Conclusión

Derivado de todo ello, como ya les avanzábamos, no podemos concluir con una apuesta clara por una metodología concreta. Lo que sí esperamos es que puedan decidir entre ellas con unos criterios más sólidos.

La evaluación de los riesgos es la fase clave en la que procedemos a la cuantificación del riesgo, por ello sí que recomendamos, que o bien se pongan en manos de profesionales o bien mediten la toma de decisión para escoger entre una metodología u otra, y sobre todo para una correcta aplicación de la misma.

Como ya comentamos con anterioridad una correcta gestión del riesgo no implica más o menos carga de trabajo, ya que no se trata de correr más o menos riesgos si no de correr riesgos inteligentes.

Artículo de Juanjo Alemany (TOTALRISK) www.totalrisk.org

Read more
09Feb

Riesgos asociados al teletrabajo

9 de febrero de 2021 Montse Sardina Sin categoría 28

En estos tiempos de pandemia, el teletrabajo, ha venido a quedarse en muchas organizaciones. En muchos casos, se implantó deprisa y corriendo debido al confinamiento y se ha vuelto a restablecer el trabajo presencial, ya sea porque las organizaciones no estaban preparadas para llevarlo a cabo en condiciones, o bien por miedo a no controlar el trabajo realizado.

El teletrabajo es posible en muchos casos, es beneficioso para la conciliación familiar y es fácilmente controlable si el trabajador /a realiza sus responsabilidades, pero se debe gestionar de manera adecuada y establecer unas reglas claras para todas las partes.

Existen 3 riegos principales cuando se habla de teletrabajo:

  1. Riesgos de comunicación
  2. Riesgos de seguridad de la información
  3. Riesgos de seguridad y salud

Todos ellos son o pueden tener un impacto importante sobre la organización.

  1. Riesgos de comunicación:

No es lo mismo interaccionar en un ambiente de trabajo que hacerlo a distancia. Hay comunicaciones no verbales y comunicaciones no formales que se pierden.

Las organizaciones también se han visto abocadas, en ocasiones, a contratar a personal que se ha incorporado sin pasar por la oficina, directamente a teletrabajar en un equipo que ya estaba funcionando previamente al confinamiento.

También han cambiado las comunicaciones con clientes, proveedores y otras partes interesadas que deben gestionarse de una manera diferente.

  • El estar aislado en un espacio ajeno a tu organización puede provocar falta de integración en tu equipo, por lo que es importante, estar informado con regularidad, tener breves reuniones de seguimiento e interaccionar con todos los miembros del equipo.
  • La comunicación por videoconferencia debe ser cuidadosa: tu aspecto, el lugar desde donde realices tu trabajo, así como las interferencias que se puedan dar por estar en un lugar privado.
  • Importante, tu disponibilidad debe ser conocida por tus contactos. Estar en casa, no significa estar disponible las 24 h.
  • Disponer de recursos eficientes para poder tener comunicaciones en condiciones: evaluar qué conexión dispone el trabajador, facilitar el hardware y accesorios de informática que sean necesarios.
  • Procedimentar cómo deben realizarse las comunicaciones con personal de la organización, con clientes, con proveedores o con otras partes interesadas. Conocer los canales de comunicación a utilizar.
  • Realizar un plan de “engagement”/bienvenida para las nuevas incorporaciones, teniendo en cuenta la distancia social con el grupo.
  • Formar al trabajador competencias TIC

 

  1. Riesgos de seguridad de la información:

Este riesgo no es nuevo. Desde el momento que tenemos un dispositivo móvil desde donde poder comunicarnos, visualizar o transmitir información, ya existe un riesgo de seguridad de la información.

  • La información de la organización pasa a ser visualizada, creada y gestionada fuera del entorno “controlado”. Es importante disponer de NDA firmados con todos los trabajadores. Todo trabajador debe ser consciente de la información que maneja, sus responsabilidades y sus obligaciones.
  • Se debe tener una política de gestión de la información.
  • Se debe tener una política de uso de dispositivos móviles.
  • Se debe disponer de los sistemas que permitan la transmisión segura de la información a través de las redes, disponer de un plan de comunicaciones que asegure la confidencialidad, integridad y disponibilidad de la información, en cualquier tipo de comunicación.
  • Concienciar a los trabajadores sobre los peligros y riesgos que existen y formarlos regularmente en competencias digitales orientadas a la seguridad.
  • Establecer los programas, aplicaciones y dispositivos autorizados para tratar información de la organización y los que no están autorizados.
  • Tener los equipos protegidos contra ataques de malware.
  • Definir un control de acceso digital robusto: passwords, usuarios, autenticación.
  • Revisar o crear un procedimiento de baja de personal para evitar fugas de información.
  • Tener un control sobre los activos de información: disponibilidad, responsable asignado, método seguro de borrado de información, método seguro de destrucción de activos…

 

  1. Riesgos de seguridad y salud:

Las evaluaciones de riesgos de los puestos de trabajo anteriores pierden el sentido cuando vas a teletrabajar. El ambiente de trabajo ha cambiado, por lo que deben ser revisadas. De esta manera, también podemos determinar qué ha podido ser una baja laboral y qué no.

  • Hacer una evaluación de riesgos en el lugar donde se va a teletrabajar.
  • Adecuar un espacio para trabajar con garantías.
  • Disponer de recursos ergonómicos: silla, pantalla/s, reposapiés, iluminación adecuada, accesorios de informática ergonómicos…
  • Realizar descansos.
  • Revisar y estar en contacto con los trabajadores para verificar las condiciones de trabajo y necesidades.
  • Realizar formaciones específicas de prevención de riesgos y hábitos saludables.

Teniendo en cuenta todas estas cuestiones, el trabajador/a se siente respaldado por la organización y se fomenta la pertenencia a un grupo o equipo. Por otro lado, las organizaciones tienen mayor control sobre el trabajo realizado y la confianza en que se está llevando a cabo bajo unas normas y procedimientos que se han establecido previamente.

 

Artículo de Montse Sardina (TOTALRISK) www.totalrisk.org 

Read more
20Jul

Contrata un delegado de protección de datos y evita riesgos

20 de julio de 2020 Juanjo Alemany Sin categoría 30

El Reglamento Europeo de Protección de Datos 679/2016, introdujo una nueva figura en las organizaciones: el Delegado de Protección de Datos (DPD o DPO en inglés).

Esta figura puede ser interna en las organizaciones o bien, se puede contratar como un servicio.

 

¿Qué funciones y responsabilidades tiene?

Las competencias que se le suponen son imparcialidad, objetividad, confidencialidad.

El Delegado de Protección de Datos será el encargado de controlar diariamente que todas las actividades del sistema de información sean realizadas cumpliendo los procedimientos, estándares y normas fijadas en base a los requerimientos legales que, los asesores jurídicos en la materia indiquen como vigentes.

Debe rendir cuentas al más alto nivel jerárquico de las organizaciones.

Es la persona que debe informar y asesorar al responsable/encargado del tratamiento y a los empleados que realicen tratamiento de datos de las obligaciones y la normativa aplicable en este ámbito. Por esta razón, debe mantener actualizada toda la normativa vigente relacionada con las medidas aplicables, debe concienciar y formar al personal y, realizar auditorías si fuera el caso.

Está obligado a mantener el secreto o la confidencialidad en el desempeño de sus funciones. Y a documentar y comunicar cualquier vulneración relevante en materia de protección de datos a los órganos de administración, el responsable y/o encargado del tratamiento.

Es el nexo de comunicación entre los interesados y la Agencia de Protección de Datos, y viceversa. Y será el encargado de gestionar el ejercicio de los derechos de los interesados.

Y antes de un tratamiento, ya sea por utilizar nuevas tecnologías, por su naturaleza, alcance, contexto o fines…, si éste entraña un alto riesgo para los derechos y libertades de las personas físicas, el Delegado de Protección de Datos deberá realizar una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales, según el art. 35 del RGPD.

 

Derechos de un DPD

Las organizaciones deben garantizar que el Delegado de Protección de Datos no reciba ninguna instrucción en lo que respecta al desempeño de sus funciones y que participe de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales.

Las organizaciones deben respaldar al Delegado de Protección de Datos para sus funciones, facilitando los recursos necesarios, el acceso a datos personales y a los diferentes tratamientos, así como manteniendo sus conocimientos especializados.

Otro derecho que se le reconoce en la legislación vigente es a no ser destituido ni sancionado por su organización por desempeñar sus funciones. Así se asegura la imparcialidad de esta figura.

El Delegado de Protección de Datos tiene derecho a desempeñar otras funciones en la organización o fuera, pero se debe garantizar que estas funciones no den lugar a conflicto de intereses.

 

¿Quién necesita tener esta figura en su organización?

Según el Reglamento Europeo, el responsable y el encargado del tratamiento tienen obligación de designar un DPD cuando:

  • El tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;
  • Las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o
  • Las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10.

Más concretamente, la Ley orgánica 3/2018, expone que tienen obligación de designar un DPD:

  • Los colegios profesionales y sus consejos generales.
  • Los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas.

 

Según la Ley Orgánica 2/2006, de 3 de mayo, de Educación, en su art. 3 Las enseñanzas:

  1. El sistema educativo se organiza en etapas, ciclos, grados, cursos y niveles de enseñanza de forma que asegure la transición entre los mismos y, en su caso, dentro de cada uno de ellos.
  2. Las enseñanzas que ofrece el sistema educativo son las siguientes:
  3. a) Educación infantil.
  4. b) Educación primaria.
  5. c) Educación secundaria obligatoria.
  6. d) Bachillerato.
  7. e) Formación profesional.
  8. f) Enseñanzas de idiomas. (excluidas las enseñanzas de idiomas que no expiden un certificado reconocido)
  9. g) Enseñanzas artísticas.
  10. h) Enseñanzas deportivas.
  11. i) Educación de personas adultas.
  12. j) Enseñanza universitaria.

 

  • Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en su legislación específica, cuando traten habitual y sistemáticamente datos personales a gran escala.
  • Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.
  • Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito.
  • Los establecimientos financieros de crédito.
  • Las entidades aseguradoras y reaseguradoras.
  • Las empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores.
  • Los distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural.
  • Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo.
  • Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los
  • Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes.

Se exceptúan los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual.

  • Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.
  • Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego.
  • Las empresas de seguridad privada.
  • Las federaciones deportivas cuando traten datos de menores de edad.

Pero, voluntariamente, cualquier organización, puede nombrar un DPD.

 

Conocimientos que debe tener un DPD

Ya sea una persona física o jurídica, debe poder “demostrar conocimientos especializados en el derecho y la práctica en materia de protección de datos”.

Existen cursos formativos. De hecho, la Agencia Española de Protección de Datos, ha publicado un Esquema de Certificación de DPD para ofrecer seguridad y fiabilidad tanto a los profesionales de la privacidad como a las empresas y entidades que van a incorporar esta figura a sus organizaciones o que necesitan contratar los servicios de un profesional cualificado.

“Este Esquema es un sistema de certificación que permite certificar que los DPD reúnen la cualificación profesional y los conocimientos requeridos para ejercer la profesión. Las certificaciones serán otorgadas por entidades certificadoras debidamente acreditadas por ENAC.”

Pero la AEPD aclara que esta certificación no es obligatoria para poder ejercer como DPD y se puede ejercer la profesión sin estar certificado bajo éste o cualquier otro esquema.

 

Obligaciones cuando nombras un DPD

Las organizaciones deben informar del nombramiento del Delegado de Protección de Datos a la Agencia Española de Protección de Datos o ante las autoridades autonómicas de protección de datos correspondiente en el plazo de 10 días de su nombramiento. También están obligadas a informar sobre el cese. Esta obligación es tanto para las organizaciones que están obligadas a tener uno DPD como las que lo designan de forma voluntaria.

Según el Art. 3 de la Llei 32/2010, el DPD se tendrá que registrar en la Autoritat Catalana de Protecció de Dades si se trata de:

  • Las instituciones públicas.
  • La Administración de la Generalidad.
  • Los entes locales.
  • Las entidades autónomas, los consorcios y las demás entidades de derecho público vinculadas a la Administración de la Generalidad o a los entes locales, o que dependen de ellos.
  • Las entidades de derecho privado que cumplan, como mínimo, uno de los tres requisitos siguientes con relación a la Generalidad, a los entes locales o a los entes que dependen de ellos:
    1. Que su capital pertenezca mayoritariamente a dichos entes públicos.
    2. Que sus ingresos presupuestarios provengan mayoritariamente de dichos entes públicos.
    3. Que en sus órganos directivos los miembros designados por dichos entes públicos sean mayoría.
  • Las demás entidades de derecho privado que prestan servicios públicos mediante cualquier forma de gestión directa o indirecta, si se trata de ficheros y tratamientos vinculados a la prestación de dichos servicios.
  • Las universidades públicas y privadas que integran el sistema universitario catalán, y los entes que de ellas dependen.
  • Las personas físicas o jurídicas que cumplen funciones públicas con relación a materias que son competencia de la Generalidad o de los entes locales, si se trata de ficheros o tratamientos destinados al ejercicio de dichas funciones y el tratamiento se lleva a cabo en Cataluña.
  • Las corporaciones de derecho público que cumplen sus funciones exclusivamente en el ámbito territorial de Cataluña a los efectos de lo establecido por la presente ley.

 

Conclusión

Disponer de un DPD mejora el control sobre el cumplimiento legal y ayuda a mantener una alerta constante y una sensibilidad hacia la protección de datos personales. Ahora bien, si es una persona de plantilla propia, es muy importante dotarle de los recursos y el tiempo necesario para poder hacer bien su trabajo.

 

Más información en https://www.aepd.es/es y https://apdcat.gencat.cat/

Read more
    12

Estamos utilizando cookies para brindarle la mejor experiencia en nuestro sitio web.

Política de cookies

De conformidad con la normativa española que regula el uso de cookies en relación a la prestación de servicios de comunicaciones electrónicas, recogida en la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico, le informamos sobre las cookies utilizadas en el sitio web de totalrisk.org propiedad de KLUG CONSULTING S.L. (el prestador) y el motivo de su uso.

Según la directiva de la UE, las cookies que requieren el consentimiento informado por parte del usuario son las cookies de analítica y las de publicidad y afiliación, quedando exceptuadas las de carácter técnico y las necesarias para el funcionamiento del sitio web o la prestación de servicios expresamente demandados por el usuario.

Quedan exceptuadas del cumplimiento de las obligaciones establecidas en la LSSI las cookies utilizadas para alguna de las siguientes finalidades:

Permitir únicamente la comunicación entre el equipo del usuario y la red.
Estrictamente prestar un servicio expresamente solicitado por el usuario.

En este sentido el Grupo de Trabajo del Artículo 29 en su Dictamen 4/20123 ha interpretado que entre las cookies exceptuadas estarían aquellas que tienen por finalidad:

Cookies de «entrada del usuario»
Cookies de autenticación o identificación de usuario (únicamente de sesión)
Cookies de seguridad del usuario
Cookies de sesión de reproductor multimedia
Cookies de sesión para equilibrar la carga
Cookies de personalización de la interfaz de usuario
Cookies de complemento (plug-in) para intercambiar contenidos sociales.

¿QUÉ SON LAS COOKIES?

Las cookies son unos pequeños códigos de programación que se instalan en los navegadores de los usuarios con la finalidad de almacenar información de uso y de navegación. Dependiendo de la información que contengan y de la forma en que utilice su equipo, pueden utilizarse para reconocer al usuario. Las cookies se asocian únicamente a un usuario anónimo y su ordenador o dispositivo y no proporcionan referencias que permitan conocer sus datos personales.

TIPOS DE COOKIES que existen

Tipos de cookies según la entidad que las gestione

Según quien sea la entidad que gestione el equipo o dominio desde donde se envían las cookies y trate los datos que se obtengan, podemos distinguir:

Cookies propias: Son aquéllas que se envían al equipo terminal del usuario desde un equipo o dominio gestionado por el propio editor y desde el que se presta el servicio solicitado por el usuario.
Cookies de tercero: Son aquéllas que se envían al equipo terminal del usuario desde un equipo o dominio que no es gestionado por el editor, sino por otra entidad que trata los datos obtenidos través de las cookies.

En el caso de que las cookies sean instaladas desde un equipo o dominio gestionado por el propio editor pero la información que se recoja mediante éstas sea gestionada por un tercero, no pueden ser consideradas como cookies propias.

Tipos de cookies según el plazo de tiempo que permanecen activadas

Cookies de sesión: Son un tipo de cookies diseñadas para recabar y almacenar datos mientras el usuario accede a una página web.

Se suelen emplear para almacenar información que solo interesa conservar para la prestación del servicio solicitado por el usuario en una sola ocasión (p.e. una lista de productos adquiridos). –

Cookies persistentes: Son un tipo de cookies en el que los datos siguen almacenados en el terminal y pueden ser accedidos y tratados durante un periodo definido por el responsable de la cookie, y que puede ir de unos minutos a varios años.

Tipos de cookies según su finalidad

Según la finalidad para la que se traten los datos obtenidos a través de las cookies, podemos distinguir entre:

Cookies técnicas: Son aquéllas que permiten al usuario la navegación a través de una página web, plataforma o aplicación y la utilización de las diferentes opciones o servicios que en ella existan como, por ejemplo, controlar el tráfico y la comunicación de datos, identificar la sesión, acceder a partes de acceso restringido, recordar los elementos que integran un pedido, realizar el proceso de compra de un pedido, realizar la solicitud de inscripción o participación en un evento, utilizar elementos de seguridad durante la navegación, almacenar contenidos para la difusión de videos o sonido o compartir contenidos a través de redes sociales.
Cookies de personalización: Son aquéllas que permiten al usuario acceder al servicio con algunas características de carácter general predefinidas en función de una serie de criterios en el terminal del usuario como por ejemplo serian el idioma, el tipo de navegador a través del cual accede al servicio, la configuración regional desde donde accede al servicio, etc.
Cookies de análisis: Son aquéllas que permiten al responsable de las mismas, el seguimiento y análisis del comportamiento de los usuarios de los sitios web a los que están vinculadas. La información recogida mediante este tipo de cookies se utiliza en la medición de la actividad de los sitios web, aplicación o plataforma y para la elaboración de perfiles de navegación de los usuarios de dichos sitios, aplicaciones y plataformas, con el fin de introducir mejoras en función del análisis de los datos de uso que hacen los usuarios del servicio.

Respecto al tratamiento de datos recabados a través de las cookies de análisis, el grupo de trabajo del articulo 29 ha manifestado que, a pesar de que no están exentas del deber de obtener un consentimiento informado para su uso, es poco probable que representen un riesgo para la privacidad de los usuarios siempre que se trate de cookies de primera parte, que traten datos agregados con una finalidad estrictamente estadística, que se facilite información sobre sus uso y se incluya la posibilidad de que los usuarios manifiesten su negativa sobre su utilización.

Cookies publicitarias: Son aquéllas que permiten la gestión, de la forma más eficaz posible, de los espacios publicitarios que, en su caso, el editor haya incluido en una página web, aplicación o plataforma desde la que presta el servicio solicitado en base a criterios como el contenido editado o la frecuencia en la que se muestran los anuncios.
Cookies de publicidad comportamental: Son aquéllas que permiten la gestión, de la forma más eficaz posible, de los espacios publicitarios que, en su caso, el editor haya incluido en una página web, aplicación o plataforma desde la que presta el servicio solicitado. Estas cookies almacenan información del comportamiento de los usuarios obtenida a través de la observación continuada de sus hábitos de navegación, lo que permite desarrollar un perfil específico para mostrar publicidad en función del mismo.

TIPOS DE COOKIES UTILIZADAS POR ESTE SITIO WEB

Las cookies utilizadas en nuestro sitio web son de sesión y de terceros, y nos permiten almacenar y acceder a información relativa al idioma, el tipo de navegador utilizado, y otras características generales predefinidas por el usuario, así como seguir y analizar la actividad que lleva a cabo para mejorar y prestar nuestros servicios de una manera más eficiente y personalizada. Las cookies usadas tienen, en todo caso, carácter temporal, con la única finalidad de hacer más eficaz la navegación. En ningún caso estas cookies proporcionan por sí mismas datos de carácter personal y no se usan para la recogida de los mismos.

La utilización de las cookies ofrece ventajas, como, por ejemplo:

– facilita al usuario la navegación y el acceso a los diferentes servicios que ofrece este sitio web;

– evita al usuario tener que configurar las características generales predefinidas cada vez que accede al sitio web; y

– favorece la mejora del funcionamiento y de los servicios prestados a través de este sitio web, tras el correspondiente análisis de la información obtenida a través de las cookies instaladas.

Al acceder a nuestra web se le informa que si sigue navegando se le instalarán diversas cookies de terceros consintiendo así la instalación de determinadas cookies que tendrán como única finalidad la de registrar el acceso a nuestro sitio web para la realización de estadísticas anónimas sobre las visitas, recopilando información siempre de forma anónima. No es necesario que acepte la instalación de estas cookies, podrá navegar igualmente por toda nuestra web.

En diversas secciones de nuestra web se podrán instalar cookies de redes sociales, en concreto las siguientes:

Twitter, según lo dispuesto en su política de privacidad y uso de cookies.
Facebook, según lo dispuesto en su política de cookies.
Linkedin, según lo dispuesto en su página sobre el uso de las cookies.
Google+ y Google Maps, según lo dispuesto en su página sobre qué tipo de cookies utilizan.

A continuación, se detallan las cookies analíticas que se utilizan en el Sitio Web:

DESACTIVACIÓN/ACTIVACIÓN Y ELIMINACIÓN DE COOKIES

Para restringir o bloquear las cookies, se hace a través de la configuración del navegador.

Si no desea que los sitios web pongan ninguna cookie en su equipo, puede adaptar la configuración del navegador de modo que se le notifique antes de que se coloque ninguna cookie. De igual modo, puede adaptar la configuración de forma que el navegador rechace todas las cookies, o únicamente las cookies de terceros. También puede eliminar cualquiera de las cookies que ya se encuentren en el equipo. Tenga en cuenta que tendrá que adaptar por separado la configuración de cada navegador y equipo que utilice.

Tenga en cuenta que, si no desea recibir cookies, ya no podremos garantizar que nuestro sitio web funcione debidamente. Puede que algunas funciones del sitio se pierdan y es posible que ya no pueda ver ciertos sitios web. Además, rechazar las cookies no significa que ya no vaya a ver anuncios publicitarios. Simplemente los anuncios no se ajustarán a sus intereses y se repetirán con más frecuencia.

Cada navegador posee un método distinto para adaptar la configuración. Si fuera necesario, consulte la función de ayuda del navegador para establecer la configuración correcta.

Para desactivar las cookies en el teléfono móvil, consulte el manual del dispositivo para obtener más información.

Puede obtener más información sobre las cookies en Internet, http://www.aboutcookies.org/.

Teniendo en cuenta la forma en la que funciona Internet y los sitios web, no siempre contamos con información de las cookies que colocan terceras partes a través de nuestro sitio web. Esto se aplica especialmente a casos en los que nuestra página web contiene lo que se denominan elementos integrados: textos, documentos, imágenes o breves películas que se almacenan en otra parte, pero se muestran en nuestro sitio web o a través del mismo.

Por consiguiente, en caso de que se encuentre con este tipo de cookies en este sitio web y no estén enumeradas en la lista anterior, le rogamos que nos lo comunique. O bien póngase en contacto directamente con el tercero para pedirle información sobre las cookies que coloca, la finalidad y la duración de la cookie, y cómo ha garantizado su privacidad.

¿Cómo deshabilitar las cookies?

En todo momento podrá acceder a la configuración de su navegador aceptando o rechazando todas las cookies, o bien seleccionar aquéllas cuya instalación admite y cuáles no, siguiendo uno de los siguientes procedimientos, que depende del navegador que utilice:

Internet Explorer (https://goo.gl/iU2wh2)
En el menú de herramientas, selecciones “Opciones de Internet”.

Haga clic en la pestaña de privacidad.· Podrá configurar la privacidad con un cursor con seis posiciones que le permite controlar la cantidad de cookies que se instalarán: Bloquear todas las cookies, Alta, Media Alto, Media (nivel por defecto), Baja y Aceptar todas las cookies.

Mozilla Firefox (http://goo.gl/QXWYmv)
En la parte superior de la venta de Firefox hacer clic en el menú Herramientas.·Seleccionar Opciones.
Seleccionar el panel Privacidad.
En la opción Firefox podrá elegir usar una configuración personalizada de su historial, así como otras cuestiones relacionadas con su Privacidad.
Google Chrome (http://goo.gl/fQnkSB)
Hacer clic en el menú situado en la barra de herramientas.
Seleccionar Configuración.
Hacer clic en Mostar opciones avanzadas.
En la selección “Privacidad” hacer clic en el botón Configuración de contenido.
En la selección de Cookies, se pueden configurar las opciones.
Safari (https://support.apple.com/es-es/HT201265)
En el menú de configuración seleccione la opción de “Preferencias”.
Abra la pestaña de privacidad.
Seleccione la opción que quiera de la sección de “bloquear cookies”.
Recuerde que ciertas funciones y la plena funcionalidad del Sitio Web pueden no estar disponibles después de deshabilitar las cookies.

Si no desea ser rastreado por las cookies, Google ha desarrollado un complemento para instalar en su navegador al que puede acceder en el siguiente enlace: http://goo.gl/up4ND Estos navegadores están sometidos a actualizaciones o modificaciones, por lo que no podemos garantizar que se ajusten completamente a la versión de su navegador. También puede ser que utilice otro navegador no contemplado en estos enlaces como Konqueror, Arora, Flock, etc. Para evitar estos desajustes, puede acceder directamente desde las opciones de su navegador, generalmente en el menú de “Opciones” en la sección de “Privacidad”. (Por favor, consulte la ayuda de su navegador para más información).

De conformidad con la normativa española que regula el uso de cookies en relación a la prestación de servicios de comunicaciones electrónicas, recogida en la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico, le informamos sobre las cookies utilizadas en el sitio web de totalrisk.org propiedad de KLUG CONSULTING S.L. (el prestador) y el motivo de su uso.

Según la directiva de la UE, las cookies que requieren el consentimiento informado por parte del usuario son las cookies de analítica y las de publicidad y afiliación, quedando exceptuadas las de carácter técnico y las necesarias para el funcionamiento del sitio web o la prestación de servicios expresamente demandados por el usuario.

Quedan exceptuadas del cumplimiento de las obligaciones establecidas en la LSSI las cookies utilizadas para alguna de las siguientes finalidades:

Permitir únicamente la comunicación entre el equipo del usuario y la red.
Estrictamente prestar un servicio expresamente solicitado por el usuario.

En este sentido el Grupo de Trabajo del Artículo 29 en su Dictamen 4/20123 ha interpretado que entre las cookies exceptuadas estarían aquellas que tienen por finalidad:

Cookies de «entrada del usuario»
Cookies de autenticación o identificación de usuario (únicamente de sesión)
Cookies de seguridad del usuario
Cookies de sesión de reproductor multimedia
Cookies de sesión para equilibrar la carga
Cookies de personalización de la interfaz de usuario
Cookies de complemento (plug-in) para intercambiar contenidos sociales.

¿QUÉ SON LAS COOKIES?

Las cookies son unos pequeños códigos de programación que se instalan en los navegadores de los usuarios con la finalidad de almacenar información de uso y de navegación. Dependiendo de la información que contengan y de la forma en que utilice su equipo, pueden utilizarse para reconocer al usuario. Las cookies se asocian únicamente a un usuario anónimo y su ordenador o dispositivo y no proporcionan referencias que permitan conocer sus datos personales.

TIPOS DE COOKIES que existen

Tipos de cookies según la entidad que las gestione

Según quien sea la entidad que gestione el equipo o dominio desde donde se envían las cookies y trate los datos que se obtengan, podemos distinguir:

Cookies propias: Son aquéllas que se envían al equipo terminal del usuario desde un equipo o dominio gestionado por el propio editor y desde el que se presta el servicio solicitado por el usuario.
Cookies de tercero: Son aquéllas que se envían al equipo terminal del usuario desde un equipo o dominio que no es gestionado por el editor, sino por otra entidad que trata los datos obtenidos través de las cookies.

En el caso de que las cookies sean instaladas desde un equipo o dominio gestionado por el propio editor pero la información que se recoja mediante éstas sea gestionada por un tercero, no pueden ser consideradas como cookies propias.

Tipos de cookies según el plazo de tiempo que permanecen activadas

Cookies de sesión: Son un tipo de cookies diseñadas para recabar y almacenar datos mientras el usuario accede a una página web.

Se suelen emplear para almacenar información que solo interesa conservar para la prestación del servicio solicitado por el usuario en una sola ocasión (p.e. una lista de productos adquiridos). –

Cookies persistentes: Son un tipo de cookies en el que los datos siguen almacenados en el terminal y pueden ser accedidos y tratados durante un periodo definido por el responsable de la cookie, y que puede ir de unos minutos a varios años.

Tipos de cookies según su finalidad

Según la finalidad para la que se traten los datos obtenidos a través de las cookies, podemos distinguir entre:

Cookies técnicas: Son aquéllas que permiten al usuario la navegación a través de una página web, plataforma o aplicación y la utilización de las diferentes opciones o servicios que en ella existan como, por ejemplo, controlar el tráfico y la comunicación de datos, identificar la sesión, acceder a partes de acceso restringido, recordar los elementos que integran un pedido, realizar el proceso de compra de un pedido, realizar la solicitud de inscripción o participación en un evento, utilizar elementos de seguridad durante la navegación, almacenar contenidos para la difusión de videos o sonido o compartir contenidos a través de redes sociales.
Cookies de personalización: Son aquéllas que permiten al usuario acceder al servicio con algunas características de carácter general predefinidas en función de una serie de criterios en el terminal del usuario como por ejemplo serian el idioma, el tipo de navegador a través del cual accede al servicio, la configuración regional desde donde accede al servicio, etc.
Cookies de análisis: Son aquéllas que permiten al responsable de las mismas, el seguimiento y análisis del comportamiento de los usuarios de los sitios web a los que están vinculadas. La información recogida mediante este tipo de cookies se utiliza en la medición de la actividad de los sitios web, aplicación o plataforma y para la elaboración de perfiles de navegación de los usuarios de dichos sitios, aplicaciones y plataformas, con el fin de introducir mejoras en función del análisis de los datos de uso que hacen los usuarios del servicio.

Respecto al tratamiento de datos recabados a través de las cookies de análisis, el grupo de trabajo del articulo 29 ha manifestado que, a pesar de que no están exentas del deber de obtener un consentimiento informado para su uso, es poco probable que representen un riesgo para la privacidad de los usuarios siempre que se trate de cookies de primera parte, que traten datos agregados con una finalidad estrictamente estadística, que se facilite información sobre sus uso y se incluya la posibilidad de que los usuarios manifiesten su negativa sobre su utilización.

Cookies publicitarias: Son aquéllas que permiten la gestión, de la forma más eficaz posible, de los espacios publicitarios que, en su caso, el editor haya incluido en una página web, aplicación o plataforma desde la que presta el servicio solicitado en base a criterios como el contenido editado o la frecuencia en la que se muestran los anuncios.
Cookies de publicidad comportamental: Son aquéllas que permiten la gestión, de la forma más eficaz posible, de los espacios publicitarios que, en su caso, el editor haya incluido en una página web, aplicación o plataforma desde la que presta el servicio solicitado. Estas cookies almacenan información del comportamiento de los usuarios obtenida a través de la observación continuada de sus hábitos de navegación, lo que permite desarrollar un perfil específico para mostrar publicidad en función del mismo.

TIPOS DE COOKIES UTILIZADAS POR ESTE SITIO WEB

Las cookies utilizadas en nuestro sitio web son de sesión y de terceros, y nos permiten almacenar y acceder a información relativa al idioma, el tipo de navegador utilizado, y otras características generales predefinidas por el usuario, así como seguir y analizar la actividad que lleva a cabo para mejorar y prestar nuestros servicios de una manera más eficiente y personalizada. Las cookies usadas tienen, en todo caso, carácter temporal, con la única finalidad de hacer más eficaz la navegación. En ningún caso estas cookies proporcionan por sí mismas datos de carácter personal y no se usan para la recogida de los mismos.

La utilización de las cookies ofrece ventajas, como, por ejemplo:

– facilita al usuario la navegación y el acceso a los diferentes servicios que ofrece este sitio web;

– evita al usuario tener que configurar las características generales predefinidas cada vez que accede al sitio web; y

– favorece la mejora del funcionamiento y de los servicios prestados a través de este sitio web, tras el correspondiente análisis de la información obtenida a través de las cookies instaladas.

Al acceder a nuestra web se le informa que si sigue navegando se le instalarán diversas cookies de terceros consintiendo así la instalación de determinadas cookies que tendrán como única finalidad la de registrar el acceso a nuestro sitio web para la realización de estadísticas anónimas sobre las visitas, recopilando información siempre de forma anónima. No es necesario que acepte la instalación de estas cookies, podrá navegar igualmente por toda nuestra web.

En diversas secciones de nuestra web se podrán instalar cookies de redes sociales, en concreto las siguientes:

Twitter, según lo dispuesto en su política de privacidad y uso de cookies.
Facebook, según lo dispuesto en su política de cookies.
Linkedin, según lo dispuesto en su página sobre el uso de las cookies.
Google+ y Google Maps, según lo dispuesto en su página sobre qué tipo de cookies utilizan.

A continuación, se detallan las cookies analíticas que se utilizan en el Sitio Web:

DESACTIVACIÓN/ACTIVACIÓN Y ELIMINACIÓN DE COOKIES

Para restringir o bloquear las cookies, se hace a través de la configuración del navegador.

Si no desea que los sitios web pongan ninguna cookie en su equipo, puede adaptar la configuración del navegador de modo que se le notifique antes de que se coloque ninguna cookie. De igual modo, puede adaptar la configuración de forma que el navegador rechace todas las cookies, o únicamente las cookies de terceros. También puede eliminar cualquiera de las cookies que ya se encuentren en el equipo. Tenga en cuenta que tendrá que adaptar por separado la configuración de cada navegador y equipo que utilice.

Tenga en cuenta que, si no desea recibir cookies, ya no podremos garantizar que nuestro sitio web funcione debidamente. Puede que algunas funciones del sitio se pierdan y es posible que ya no pueda ver ciertos sitios web. Además, rechazar las cookies no significa que ya no vaya a ver anuncios publicitarios. Simplemente los anuncios no se ajustarán a sus intereses y se repetirán con más frecuencia.

Cada navegador posee un método distinto para adaptar la configuración. Si fuera necesario, consulte la función de ayuda del navegador para establecer la configuración correcta.

Para desactivar las cookies en el teléfono móvil, consulte el manual del dispositivo para obtener más información.

Puede obtener más información sobre las cookies en Internet, http://www.aboutcookies.org/.

Teniendo en cuenta la forma en la que funciona Internet y los sitios web, no siempre contamos con información de las cookies que colocan terceras partes a través de nuestro sitio web. Esto se aplica especialmente a casos en los que nuestra página web contiene lo que se denominan elementos integrados: textos, documentos, imágenes o breves películas que se almacenan en otra parte, pero se muestran en nuestro sitio web o a través del mismo.

Por consiguiente, en caso de que se encuentre con este tipo de cookies en este sitio web y no estén enumeradas en la lista anterior, le rogamos que nos lo comunique. O bien póngase en contacto directamente con el tercero para pedirle información sobre las cookies que coloca, la finalidad y la duración de la cookie, y cómo ha garantizado su privacidad.

¿Cómo deshabilitar las cookies?

En todo momento podrá acceder a la configuración de su navegador aceptando o rechazando todas las cookies, o bien seleccionar aquéllas cuya instalación admite y cuáles no, siguiendo uno de los siguientes procedimientos, que depende del navegador que utilice:

Internet Explorer (https://goo.gl/iU2wh2)
En el menú de herramientas, selecciones “Opciones de Internet”.

Haga clic en la pestaña de privacidad.· Podrá configurar la privacidad con un cursor con seis posiciones que le permite controlar la cantidad de cookies que se instalarán: Bloquear todas las cookies, Alta, Media Alto, Media (nivel por defecto), Baja y Aceptar todas las cookies.

Mozilla Firefox (http://goo.gl/QXWYmv)
En la parte superior de la venta de Firefox hacer clic en el menú Herramientas.·Seleccionar Opciones.
Seleccionar el panel Privacidad.
En la opción Firefox podrá elegir usar una configuración personalizada de su historial, así como otras cuestiones relacionadas con su Privacidad.
Google Chrome (http://goo.gl/fQnkSB)
Hacer clic en el menú situado en la barra de herramientas.
Seleccionar Configuración.
Hacer clic en Mostar opciones avanzadas.
En la selección “Privacidad” hacer clic en el botón Configuración de contenido.
En la selección de Cookies, se pueden configurar las opciones.
Safari (https://support.apple.com/es-es/HT201265)
En el menú de configuración seleccione la opción de “Preferencias”.
Abra la pestaña de privacidad.
Seleccione la opción que quiera de la sección de “bloquear cookies”.
Recuerde que ciertas funciones y la plena funcionalidad del Sitio Web pueden no estar disponibles después de deshabilitar las cookies.

Si no desea ser rastreado por las cookies, Google ha desarrollado un complemento para instalar en su navegador al que puede acceder en el siguiente enlace: http://goo.gl/up4ND Estos navegadores están sometidos a actualizaciones o modificaciones, por lo que no podemos garantizar que se ajusten completamente a la versión de su navegador. También puede ser que utilice otro navegador no contemplado en estos enlaces como Konqueror, Arora, Flock, etc. Para evitar estos desajustes, puede acceder directamente desde las opciones de su navegador, generalmente en el menú de “Opciones” en la sección de “Privacidad”. (Por favor, consulte la ayuda de su navegador para más información).

Cookies necesarios

Las cookies estrictamente necesarias deben estar habilitada en todo momento para que podamos guardar sus preferencias para la configuración de cookies.

If you disable this cookie, we will not be able to save your preferences. This means that every time you visit this website you will need to enable or disable cookies again.

Cookies de terceros

Este sitio web utiliza Google Analytics para recopilar información anónima, como la cantidad de visitantes al sitio y las páginas más populares.

Mantener esta cookie habilitada nos ayuda a mejorar nuestro sitio web.

Please enable Strictly Necessary Cookies first so that we can save your preferences!