1

Gestin de la Seguridad para la

Cadena de
Suministros: ISO 28000
Jos M Zubieta Guilln
Introduccin
ISO 28000 nace como una respuesta reglada a los actos terroristas causantes
del perjuicio de la seguridad de la cadena de suministro internacional. Esta
situacin constitua una grave amenaza no solo para el comercio internacional en
s mismo sino al crecimiento econmico mismo de los pases comerciantes.
De un modo u otro todas las organizaciones confan en su cadena de
suministro como medio para garantizar su continuidad de negocio y valorar su
vulnerabilidad en caso de ver su suministro irrumpido.
Por todo ello la necesidad de asegurar la cadena de suministro constituye da a
da una actividad en auge. Motivado principalmente por la economa global y el
flujo de transporte de mercancas en continua evolucin debemos ver la
garanta de la seguridad en la cadena de suministro constituye un elemento bsico
para la continuidad misma de las actividades econmicas de nuestra organizacin
y llevado esto a un estamento mayor para el adecuado funcionamiento y
desarrollo de la sociedad.
Los distintos orgenes de las amenazas a las que se ven sometidas nuestras
cadenas de suministros an obligado tanto a gobiernos como a empresas a
moverse y posicionarse dado que dicas amenazas! como bien emos
mencionado anteriormente! tienen races en el terrorismo y el crimen
2
"aptulo #
Sistemas de gestin de
Seguridad de la cadena de
Suministro
organizado. Esto a sido el catalizador de distintas iniciativas que an intentado
surgir como respuesta a $sta situacin.
%s nace C-TPAT, Customs-Trade Partnership Against Terrorisme! %duanas y
&ocios de 'egocios contra el (errorismo. "onstituye una iniciativa con)unta del
*obierno de los EE.++. con)unto a empresas del sector. &u ob)etivo es desarrollar
un refuerzo a la seguridad de las cadenas de suministro transfronteriza a trav$s de
la cooperacin comercial.
La +nin Europea! por otro lado! a creado la figura del operador econmico
autorizado como elemento capaz de desarrollar respuesta ante los riesgos a los
que los pases miembros se enfrentan.
&e debe a que para ello es necesario ir ms all de los controles aduaneros
preestablecidos incrementando as el papel de las aduanas en la seguridad de
la cadena logstica internacional.
"on estas actuaciones se busca! ms all de minimizar el impacto de la amenaza
que
&upone el terrorismo! colaborar en la luca contra el crimen organizado y
defender a los ciudadanos en un mbito mayor tales como dar proteccin a los
consumidores y me)orar la proteccin medio ambiental. !"#$%# y el Operador
&conmico %utorizado no son las ,nicas iniciativas e-istentes. La .rganizacin
Mundial de %duanas! as como la asociacin #%$% /%sociacin para la
Proteccin de %ctivos (ransportados0! constituye un foro en donde se abarcan a
los proveedores logsticos! agencias gubernamentales! principales fabricantes!
empresas de transporte! cuerpos del orden p,blico y otras partes interesadas para
poder reducir las p$rdidas en la cadena logstica y de distribucin.
% trav$s de estas iniciativas se busca cubrir ciertas necesidades de seguridad
en la cadena de suministro. Pero identificar medidas y comit's no es
suficiente1 debemos gestionar. De este modo cobra fuerza la imagen de una
gestin basada en un estndar internacionalmente reconocido como lo es ISO
28000 que nos permite realizar un sistema de gestin global de la seguridad de
la cadena de suministros.
%l desarrollar este estndar! las empresas de logstica y trasporte an encontrado
un arma para englobar la gestin de seguridad de modo que son capaces de
me)orar la seguridad global de las cadenas de suministro. "onstituye un sistema
de gestin integrable con otros estndares tales como2 3&. 455#! #655#! 7855#!
etc. %s como con otros programas! tanto obligatorios como voluntarios! tales
como2 "9(P%(! .E% y (%P%.
%quellas organizaciones capaces de ver la seguridad no como un gasto sino
como un valor a(adido para su organizacin consiguen despuntar en el
mercado como una organizacin con una nueva venta)a competitiva y una mayor
diferenciacin en el mercado.
3
La implantacin de la norma 3&. 7:555 en la organizacin revierte los siguientes
beneficios2
*aranta de una sistemtica de operaciones orientadas al control de los
riesgos as como la implantacin de medidas para su mitigacin.
Optimizacin de los procesos de la organizacin con la consecuente
me)ora de costes! seguridad! eficacia! etc.
%segura el cumplimiento con los re)uisitos e-igidos por las principales
iniciativas internacionales.
Da valor a(adido a la empresa en sus operaciones comerciales.
Da a la empresa una erramienta competitiva y diferencial que puede ser
esgrimida como arma comercial ante clientes, autoridades e inversores.
;ecordemos que todo lo anteriormente aprendido sobre seguridad de la
informacin sigue siendo vlido en el mbito de la norma 3&. 7:555 al ser
estndares perfectamente integrables.
La norma 3&. 7:555! tal como ella misma indica! es aplicable a organizaciones de
cualquier tama<o y tipo en la fabricacin! servicio! almacena)e o transporte en
cualquier etapa de la cadena de produccin o suministro
4
#.7. Elementos necesarios para la implementacin de la norma 3&. 7:555
=a)o la clusula 6 de la norma descansa la obligatoriedad de establecer!
documentar! implementar! mantener y mejorar un sistema de gestin de
seguridad que puede ayudar a la organizacin a cumplir con los re)uisitos*
leyes y regulaciones sobre seguridad.
(anto el detalle como la comple)idad aplicada al sistema de gestin! as como la
cantidad de documentacin desarrollada! recursos asignados depender tanto del
tama(o como la complejidad de la compa<a as como de la naturaleza de sus
actividades.
%l igual que ocurre con la norma 3&. 7855# no e+iste obligatoriedad de
implementar la norma 7:555 a toda la organizacin si bien es cierto que! para su
certificacin! debe estar ba)o su alcance alguna de sus actividades principales.
% la ora de elegir el alcance de la norma deberamos integrar dentro del mismo
las actividades principales de la organizacin as como el resto de actividades
crticas requeridas para su funcionamiento o bien actividades que puedan afectar
a la seguridad de empleados y>o partes interesadas.
$oltica de Seguridad seg,n ISO 28000
"onstituye la sub clusula 6.7 de la norma. "onstituye una declaracin clara del
compromiso de la alta direccin en materia de seguridad. Marca las tanto las
directrices como los principios en dica materia para la .rganizacin.
Determina los ob)etivos globales en materia de seguridad as como su
responsabilidad a largo de la empresa.
La poltica de seguridad de la organizacin puede incluir informacin crtica o
clave para la organizacin por lo que suele ser abitual publicar una segunda
poltica general resumen de la anterior que pueda acerse p,blica.
Las entradas tpicas para una poltica de estas caractersticas son2
El resto de polticas u ob)etivos de la organizacin crticas para su negocio.
%ctividades tanto pasadas como presentes en materia de seguridad de la
empresa.
'ecesidades de los grupos de inter$s de la compa<a2 %ccionistas! clientes!
etc.
.portunidades de me)ora para la organizacin.
;ecursos a comprometer para su consecucin.
"ontribucin de los empleados! contratistas y terceros.
5
La alta direccin! para una formular y comunicar una Poltica de &eguridad
eficazmente! debera2
%decuarla a la naturaleza y los riesgos de seguridad de la organizacin
mediante una identificacin de amenazas* evaluacin y gestin del riesgo
como n,cleo de gestin del sistema de seguridad.
-anifestar un compromiso con la me)ora continua2 ?inculndolo con las
responsabilidades legales! nacionales! regulatorias as como cualquier
pauta adicional de aplicacin por la organizacin para la me)ora del
desempe<o en materia de seguridad de la cadena de suministro. Esto
debera acerse eco a su vez a trav$s de los objetivos de seguridad y
gestionarse conforme el programa de gestin de seguridad.
Incluir un compromiso para dar! al menos! conformidad a las regulaciones
aplicables y requisitos adicionales contemplados por la organizacin en
materia de seguridad. Por e)emplo el marco normativo @". &%AE.
.ocumentar* implementar y mantener. La eficacia de la poltica de
seguridad radica en su documentacin y revisin peridica para la
a)ustarse a las nuevas necesidades de la organizacin en materia de
seguridad.
!omunicarse a todos los empleados2 Los empleados deben participar y
comprometerse activamente con la seguridad. Deben ser conscientes de
los efectos sobre la seguridad de la compa<a as como su propio traba)o
que tienen sus acciones.
&star disponible2 "ualquier grupo de inter$s debera ser capaz de
consultar la poltica activamente para el correcto desempe<o de su
actividad. Ba sea interno o e-terno. De a la idea de la Cdoble polticaD
anteriormente e-puesta.
/evisarse peridicamente2 Debe adaptarse a los cambios t'cnicos*
reglamentarios! de requisitos de negocio! etc. de la organizacin. La poltica
de seguridad constituye un documento vivo y por tanto su actualizacin
resulta indispensable.
&valuacin de riesgos Dado que el pr-imo captulo constituye un
anlisis pormenorizado sobre cmo implementar en una organizacin un
m$todo de evaluacin de riesgos no nos e-tenderemos ms en este
apartado.
!umplimiento legal y reglamentario La organizacin debe ser consciente
del modo en que la normativa legal as como el resto de reglamentacin
aplicable afecta a su actividad y comunicar! dicos requisitos! al personal
oportuno.
La clusula 6.E.7 ampara dico requisito. =a)o esta clusula buscamos
implementar el conocimiento y la comprensin de las responsabilidades
eredadas por las leyes y reglamentos.
6
Debemos desarrollar un procedimiento para lo cual podramos emplear las
siguientes elementos a considerar2
Detalles de la cadena de suministro de la organizacin.
;esultados de las amenazas identificadas! la evaluacin y gestin del
riesgo.
=uenas prcticas.
/e)uisitos legales! asociaciones de comercio! etc.
Listado de fuentes de informacin.
0ormas de aplicacin.
;equisitos de los grupos de inter$s.
Procesos para el desempe<o de la cadena de suministro.
+na vez identificados los ob)etivos de nuestro procedimiento podemos definir los
medios de tratamiento de la informacin tales como los soportes. .tra prctica
abitual es definir los accesos a la misma.
'uestro procedimiento debera ser capaz de establecer la implementacin de
controles adecuados para la nueva legislacin y reglamentacin de seguridad
cuando aparezca.
Objetivos desarrollados para la gestin de la seguridad de la cadena de
suministro
"ubierto por la sub clusula 6.E.E se describe cmo 1an de establecerse los
objetivos de la empresa asociados a esta norma.
Los ob)etivos de seguridad deben estar alineados con la poltica de seguridad de
la compa<a. Los objetivos deben ser medibles y emplearse all donde sea
necesario para la organizacin.
Para la organizacin establecer ob)etivos debemos tener en consideracin2
Polticas y objetivos generales de la organizacin. Lneas claves de
actuacin! lneas estrat$gicas! etc.
Poltica de seguridad as como el compromiso con la me)ora continua.
;esultados de las amenazas de seguridad! evaluacin y gestin de
riesgo.
/e)uisitos tanto legales como reglamentarios
#ecnologa aplicable a la cadena de suministro.
;equisitos financieros* operacionales y comerciales.
;equisitos de los grupos de inter$s y los empleados.
/etroinformacin del sistema de gestin! evaluaciones y actividades de
me)ora del lugar del traba)o.
%nlisis de objetivos anteriores.
7
%cciones correctivas y preventivas previas. 3ncidentes y no
conformidades.
;esultado de la revisin por la direccin.
"omo podemos apreciar la norma 3&. 7:555 establece una sinergia que perdura
a trav$s de sus apartados. %l establecer un ciclo de gestin basado en el PD"%
las salidas de un proceso constituyen entradas del siguiente
(ras ello deberamos ser capaces de identificar* establecer y priorizar los
objetivos de seguridad. Para ello debemos considerar cuantas fuentes de
retroinformacin podamos. Mucas veces la gestin de incidencias al dar soporte
a tratamiento con terceros aporta un gran valor a<adido a $ste respecto.
La evolucin de los ob)etivos de gestin de la seguridad de la cadena de
suministro deberan ser revisados peridicamente para analizar tanto su
evolucin como su validez.
Los ob)etivos de seguridad deberan englobar2
Seguridad !orporativa2 .b)etivos de alto nivel para la compa<a.
Objetivos &specfico2 De ms ba)o nivel y ms cercano a la actividad in
situ.
Los ob)etivos de seguridad corporativa suelen ir vinculados a planes que por
tiempo e inversin suelen retrasarse su implementacin y suelen incluir polticas
generales de la corporacin. Los objetivos especficos son muco ms
cercanos a la actividad como! por e)emplo! la disminucin de incidencias relativas
a un evento de seguridad.
"ada ob)etivo debera tener asociado indicadores cuando corresponda. La
evolucin de los indicadores ser el semforo que marque la evolucin de dicos
ob)etivos. Los objetivos deben ser razonables y alcanzables tanto en su
consecucin como en su monitorizacin. Deben encontrarse planificados.
Dependiendo del tama<o de la organizacin! los objetivos! se descompondrn en
metas. Deberamos identificar la interconectividad e-istente entre las metas y los
ob)etivos de seguridad.
&e deben comunicar los objetivos al personal de la organizacin y ser parte de
los programas de gestin de la misma.
-etas
%mparado en la clusula 6.E.6 de la norma se definen los re)uisitos a emplear
por el sistema de gestin para su definicin e implementacin.
8
"onstituyen m'tricas parciales para el anlisis de la implementacin y evolucin
de los ob)etivos dentro de una orquilla temporal. Las entradas que deberan
considerar las metas de la organizacin son los mismos que constituyen para los
ob)etivos.
Las metas siempre debern ser alcanzables al igual que los ob)etivos a los que
estn asociados. Los programas de seguridad deberan incidir en las metas a
aplicar as como en el m$todo de implementacin y medicin a emplear. Deben
ser especficas* medibles y estar siempre planificadas ba)o un orizonte
temporal.
Debemos estar atentos a la retroinformacin especfica de las metas! esto es!
estar atentos a cuanta informacin tal como incidentes de actividades sobre las
que incide directamente la meta. Debido a la relacin causa" efecto establecida
entre objetivos y metas debemos valorar la informacin obtenida de las metas
para valorar los ob)etivos. Puede ser que a tenor de los datos obtenidos de las
metas descubramos fallos en la planificacin de los ob)etivos.
"uando analicemos las metas! necesariamente! deberamos analizar los ob)etivos
a los que estn asociados. %l modificar una meta debemos valorar el efecto
potencial que ocasionar sobre el ob)etivo.
Deberemos definir indicadores oportunos para cada meta de seguridad. "ada
indicador debe mostrarnos un seguimiento veraz de la implementacin de las
metas.
Deberamos definir un perodo de tiempo en el que alcanzar la meta. Debemos
comunicar las metas al personal oportuno como parte de la informacin referida
a sus funciones y responsabilidades.
$rogramas
"onstituyen la relacin establecida entre metas y ob)etivos. "ada programa
describe el modo en que la organizacin materializar tanto sus objetivos como
sus compromisos de su poltica en acciones claras para conseguir la
consecucin tanto de metas como objetivos de seguridad.
Los programas implicarn el desarrollo de estrategias y planes de accin a
desarrollar. (odo ello debe estar documentado y comunicado.
Debe aber un seguimiento* registro y revisin de los programas desarrollados.
Deben considerar en los resultados establecidos por las amenazas* riesgos
identificados y la evaluacin de riesgo.
Las entradas a aplicar a los programas seran2
9
Los ob)etivos y metas de seguridad.
/e)uisitos legales y reglamentarios.
%menazas! evaluacin y gestin del riesgo.
%ctividades de la organizacin.
%ctividades de supervisin y me)ora del lugar de traba)o.
'uevas tecnologas aplicables al negocio.
-ejora continua.
/ecursos disponibles para la obtencin de los ob)etivos.
Para implementar el programa debemos establecer2
/esponsabilidades para lograr los ob)etivos.
-edios para lograr los ob)etivos.
Espacio temporal para lograr los ob)etivos.
Debemos considerar reducir las amenazas a trav$s del desarrollo e
implementacin de soluciones procedimentadas y>o tecnolgicas as como
analizar qu$ an eco empresas de similar naturaleza en situaciones similares.
Para ello debemos considerar las limitaciones financieras! operacionales y
comerciales de la organizacin as como los lmites establecidos por los grupos de
inter$s de nuestra compa<a.
La planificacin de tareas debe realizarse de manera unitaria para cada tarea
dentro del plan identificando su responsable. Debemos asociar a cada tarea un
grupo de recursos.
El programa deber considerar all donde se incurra en alteraciones o
modificaciones significativas en las prcticas de traba)o! procesos! equipos o
medios! deber identificar la amenaza para la seguridad que ello supone y
evaluar su riesgo. Debe analizar los cambios esperados.
%utoridades y responsabilidades
Desarrollado a trav$s de la sub clusula 6.6.# de la norma se definen los
requisitos para establecer y mantener la estructura necesaria en cuanto a
responsabilidades.
Para realizar una gestin de seguridad en la cadena de suministro es necesario
definir! documentar y comunicar los roles y responsabilidades del personal que
afecte a dica seguridad.
En aquellas tareas crticas de seguridad deberamos emplear solo personal
propio de seguridad y dotarles de los recursos necesarios para su e)ecucin.
Debemos considerar para la definicin de roles y responsabilidades2
10
Estructura de la compa<a.
;esultados de los riesgos identificados! evaluados y controlados.
-etas* ob)etivos y programas de seguridad.
/e)uisitos legales y reglamentarios.
Descripcin de las actividades de la organizacin.
Personas identificadas como personal de seguridad que necesiten o ayan
recibido autorizacin para el desempe<o de actividades de seguridad.
Debemos definir las responsabilidades de todo el personal que afecten al
sistema de gestin de seguridad. En dicas definiciones debemos dejar claros
los lmites de cada puesto de traba)o.
;ecordemos que la seguridad es responsabilidad de todos. 3dea que debe ser
comunicada* mantenida y publicada a todos los niveles de la organizacin as
como formar parte de las obligaciones de los perfiles de la compa<a.
La alta direccin debera recibir la responsabilidad de la definicin de la Poltica de
seguridad de la organizacin y la responsabilidad de que se implante el sistema de
gestin de la seguridad. Deberamos definir a tal efecto las funciones y
responsabilidades del representante de la direccin.
El representante de la gestin de la seguridad debera ser responsable de la
implementacin y documentacin del sistema de gestin de la seguridad. Debe
ser responsable de mantener el acceso por parte de la alta direccin al mismo.
(ambi$n debe ser apoyado por el resto de la estructura para las actividades de
seguimiento y me)ora en materia de seguridad. Debera informar de la evolucin
de los ob)etivos y participar de las revisiones de dico sistema de gestin.
Para documentar los roles y responsabilidades de la organizacin podemos
definirlos en los siguientes documentos2
Manual del sistema de gestin.
Procedimientos y descripciones de actividades.
Aormacin de bienvenida.
Perfiles de ;;FF
(picamente se generan perfiles para todos los mbitos de gestin de la
organizacin! no slo seguridad! se implementan a trav's de un procedimiento
de //22 y se comunican conforme a la formacin de bienvenida.
Los roles y responsabilidades que afecten a la seguridad de la organizacin deben
comunicarse a los afectados! indistintamente del documento oficial! tanto para
e-ternos como para internos.
11
/ecursos
La direccin deber garantizar los recursos adecuados para operar las actividades
referentes a la seguridad en la cadena de suministro. Esto incluye2
Equipos.
;ecursos umanos
Aormacin
Deben ser suficientes para desarrollar no solo las actividades in situ de seguridad
sino los programas asociados incluyendo tanto su medicin como la supervisin
del desempe<o.
Podemos comparar los resultados de las mediciones con los logros obtenidos
como una medida parcial del desempe<o de la organizacin.
!ompromiso de la direccin
La direccin de la empresa! con la gerencia como uno de sus m-imos
e-ponentes! debe demostrar un claro compromiso con la seguridad. Para ello la
revisin por la direccin es una medida probatoria pero no la ,nica posibilidad a
implementar.
La implicacin de la direccin en el anlisis del desempe<o de la empresa as
como personarse en los emplazamientos de la misma pueden ser unas buenas
prcticas que den resultados en cuanto a la me)ora no solo de la seguridad sino
del desempe<o general de la compa<a.
3ormacin y competencias
La formacin en materia de seguridad es una de las actividades con mayor
controversia en los sistemas de gestin de seguridad. % trav$s de la sub clusula
6.6.7 de la norma se describe los requisitos para dotar formacin al personal de la
compa<a en materia de seguridad.
"omo emos ablado con anterioridad no 1ay nada ms peligroso )ue la
desinformacin. La frase ms tpica ante un problema es Cyo no saba...D Pero
3&. 7:555 favorece la implementacin de sistemticas capaces de asegurar la
competencia del personal en materia de seguridad as como la obligatoriedad de
mostrar consciencia de los riesgos de seguridad a los que se ven potencialmente
afectados.
Para la definicin de un proceso correcto de formacin! ms all de lo
anteriormente e-puesto! deberamos considerar2
Modos para identificar de forma peridica la toma de conciencia y
competencias de cada perfil en materia de seguridad.
12
Modos para identificar y solucionar las deficiencias de formacin del
personal de la organizacin en materia de seguridad.
Dar la formacin necesaria del modo correcto con la periodicidad
adecuada.
&valuar a las personas de modo que podamos asegurarnos el
conocimiento que an adquirido! su competencia as como su
mantenimiento.
-antener cuantos registros sean necesarios de la formacin y
competencia del personal de la organizacin.
Debera determinarse un plan de formacin y sensibilizacin para la organizacin
de modo que podamos! de forma continuada! informar y formar al personal de2
"onciencia de los riesgos y amenazas de seguridad.
/oles y responsabilidades en materia de seguridad.
Aormacin continua para las actividades desarrolladas por cada individuo.
Aormacin en materia de seguridad que afecte a su puesto.
3ormacin en sus competencias dentro del sistema de gestin de
seguridad dentro de la cadena de suministro.
Aormacin para personal e+terno.
$rotocolos de actuacin ante amenazas y riesgos.
!omunicacin
"omo se a visto anteriormente a lo largo de este captulo la organizacin debe
comunicar de forma adecuada la informacin oportuna al personal adecuado
todo ello se recoge a trav$s de la sub clusula 6.6.E de la citada norma.
% la ora de establecer los procedimientos de informacin la organizacin debe
considerar los elementos de los que informar2
Poltica y ob)etivos de seguridad.
Documentacin del sistema de gestin de seguridad.
3dentificacin de riesgos de seguridad! evaluacin de riesgos y
procedimientos de control de riesgo.
;oles y responsabilidades del personal en materia de seguridad.
!onsultas formales de seguridad.
Planificacin de formacin.
3nformacin oportuna adicional1 reglamentaria! legal! de grupos de inter$s!
etc.
&era conveniente la implementacin de un procedimiento documentado y>o
protocolo de comunicacin entre las partes de forma que la organizacin pueda
transmitir estos datos tanto dentro como fuera de la misma seg,n sea oportuno.
13
De este modo la organizacin podr obtener una retroalimentacin a trav$s de
las consultas realizadas en materia de seguridad por parte tanto de personal
interno como e-terno.
/e)uisitos para la documentacin del sistema de gestin de seguridad de la
cadena de suministro
%l igual que otros sistemas de gestin! 3&. 7:555! a trav$s de su sub clusula
6.6.6 establece los re)uisitos para establecer la documentacin del sistema de
gestin.
Debemos mantener la documentacin que afecte a la gestin de la seguridad
actualizada para asegurarnos que podemos desempe(ar sus actividades
eficazmente.
"abe considerar para ello los detalles especficos desarrollados a trav$s de la
documentacin e informacin desarrollado para el cumplimiento de la presente
norma como de normas complementarias.
%dems! tambi$n es importante considerar los roles y responsabilidades de su
personal y los soportes sobre los que disponer la informacin para su gestin as
como las reglas de operacin a ellos impuestas para su uso.
Primeramente debemos considerar toda la documentacin a desarrollar en este
sistema de gestin. Despu$s deberamos determinar el soporte en el que la
vamos a traba)ar! custodiar! preservar! acceder y distribuir as como su
clasificacin.
&eg,n su clasificacin determinaremos los permisos para su consulta! acceso!
modificacin y distribucin. 'o olvidemos los re)uisitos de seguridad derivados
del soporte en el que se encuentre1 no es lo mismo documentacin en soporte
papel a soporte informtico.
(enemos considerar siempre las amenazas a las que se ve sometida nuestra
documentacin. %sociado a este requisito nos encontramos la sub clusula 6.6.G
donde se estipula el control para los documentos y los datos del estndar.
Fay que tener en cuenta que todos los documentos y registros con informacin
crtica para el sistema de gestin deberan estar identificados y controlados.
14
Los procedimientos escritos deberan describir el modo en que se identifican*
aprueban! se accede y eliminan o bien recopilan una regla general que aplique
a todos ellos en un procedimiento formal.
La documentacin y los registros deben preservarse. Deben estar accesibles
para quien disponga de permisos suficientes.
!ontrol operacional de la organizacin bajo la norma ISO 28000
%mparado en la sub clusula 6.6.H! la organizacin! debe determinar el modo en
que va tanto a establecer como a mantener sus operaciones y actividades para
alcanzar los elementos dispuestos conforme a 6.6.H a! b! c! d! e! f que no son sino
un resumen de los puntos principales ya identificados durante el desarrollo del
captulo.
Deberamos definir procedimientos para el control de los riesgos identificados!
documentar dicos riesgos! los fallos asociados! as como los impactos sobre la
organizacin1 incidentes! emergencias! no conformidades contra polticas y
ob)etivos de seguridad.
Los procedimientos de gestin del riesgo deberan ser revisados peridicamente
para comprobar que se encuentran actualizados y eficaces. Las actuaciones
identificadas como necesarias por los procedimientos de gestin del riesgo
deberan implementarse.
Dicos procedimientos deberan considerar las situaciones en las que se afectan a
terceros! o a su informacin! como parte de la cadena de suministro. E)emplo2
Outsourcing o bodyshopping.
Estos procedimientos son transversales a la organizacin y forman parte de la
actividad de la misma como complemento para la garanta de la seguridad de
la cadena de suministro.
/espuesta ante emergencia y vuelta a la seguridad
Dica respuesta se identifica ba)o la sub clusula 6.6.8 de la norma. 3ncluye los
planes* acciones preventivas y preparaciones a realizar para actuar caso de
desatarse una catstrofe.
+n esquema clsico se encuentra en el captulo anterior y! al igual que el resto de
informacin dispuesta en captulos anteriores! sigue mostrando validez para dar
respuesta a dicos requisitos.
15
4erificacin y accin correctiva
;equisito dispuesto conforme a la sub clusula 6.G 3&. 7:555. Debemos
identificar indicadores clave relacionados con el desempe<o del sistema de
gestin para observar si2
(anto la poltica como los objetivos de seguridad se logran y mantienen
eficazmente.
Las amenazas se encuentran bajo control o cercanas a estarlo debido a
las medidas preventivas aplicadas eficazmente.
&e est realizando una mejora eficaz a partir de los fallos conocidos de la
organizacin en materia de seguridad.
La planificacin de formacin se est llevando a cabo.
&e est captando informacin veraz para el anlisis de la me)ora del
sistema de gestin.
El anlisis del sistema de seguridad de la organizacin debera ser2
$roactivo2 ?erificar la concordancia con las actividades de seguridad de la
organizacin.
/eactivo2 3nvestigar! analizar y registrar fallos en el sistema de gestin de
seguridad.
Para realizar las mediciones emplearemos2
;esultados de la identificacin* evaluacin y control de riesgos.
Inspecciones peridicas del sistema de gestin.
3nspecciones de seguridad.
Evaluacin de nuevos sistemas de logstica para la cadena de suministro.
;evisin y evaluacin de modelos estadsticos.
Estado de inspeccin del equipo de seguridad.
.isponibilidad y efectividad del personal de seguridad.
Evaluacin de la aptitud de los trabajadores para la seguridad.
%nlisis de documentacin y registros.
Benchmarking de otras organizaciones similares.
/etroalimentacin de grupos de inter$s.
+na vez identificado los elementos a los que vamos a realizar el seguimiento
deberamos indicar los responsables! duracin del seguimiento y recursos a
comprometer. &era conveniente documentar un procedimiento de calibracin
para los equipos de calibracin y medida1 integrable plenamente con 3&. 455#.
Deberamos realizar una calibracin con trazabilidad &0%! para garantizarnos la
fiabilidad de la misma y un mantenimiento tanto correctivo como preventivo
para los equipos de medicin.
16
Deberamos identificar el estado de calibracin de los equipos de medida!
especialmente los que se encuentren sin calibracin! as como el perodo de
validez de la calibracin.
Deberamos documentar la revisin los planes de gestin de seguridad de
modo que podamos evidenciar la capacidad de la empresa para el cumplimiento
de su poltica* metas y objetivos.
"omo se a mencionado con anterioridad los re)uisitos legales deben ser
revisados peridicamente para analizar su repercusin sobre la seguridad de la
cadena de suministro y la organizacin.
17