Management Systems Informacion

¿Qué es un Sistema de Gestión de la Seguridad de la Información (SGSI)?
Se entiende por información todo aquel conjunto de datos organizados en poder de una entidad
que posean valor para la misma, independientemente de la forma en que se guarde o transmita,
de su origen o de la fecha de elaboración.
La seguridad de la información, según ISO 27001, consiste en la preservación de confidencialidad,

integridad y disponibilidad así como los sistemas implicados en su tratamiento, dentro de una
organización.
Garantizar un nivel de protección total es imposible, incluso en el caso de disponer de un

presupuesto ilimitado; lo que buscamos es garantizar que los riesgos de la seguridad de la
información sean conocidos, asumidos, gestionados y minimizados.
La implantación de un sistema de Gestión de la Seguridad de la información (SGSI) implica las

siguientes tareas:
 Compromiso de la dirección general de la organización.
 Elaboración de un plan de Gestión de Seguridad.
 Asignación de recursos, funciones y responsabilidades.
 Formación y concienciación del personal.
 Establecer controles periódicos y mejoras.
El plan de Gestión de Seguridad consiste en:
 Identificar los activos del SGSI y sus propietarios.
 Identificar las amenazas de cada activo.
 Identificar las vulnerabilidades del sistema.
 Identificar los posibles impactos de las vulnerabilidades.
 Gestionar el riesgo:
o Evitarlo: suprimir las causas del riesgo (activo, amenaza, vulnerabilidad)
o Transferirlo: Outsourcing, seguro.
o Reducirlo: la amenaza, vulnerabilidad o impacto.
o Aceptarlo
Los impactos ambientales por el desarrollo económico cada día son mayores, afectando la calidad
tanto de la salud como del entorno ambiental. Las actividades que el hombre realiza para su
crecimiento reducen los recursos naturales renovables, como consecuencia de la sobreexplotación
del aire, agua, suelo, flora y fauna, así como también la generación de residuos sólidos, emisiones
de gases contaminante, destrucción de los espacios naturales, ecosistemas, hábitats, diversidad de
especies, entre otros problemas globales que producen desequilibrios en el planeta.
La cantidad de problemas ambientales es por la ineficiencia, falta de planificación y gestión

integral de los sistemas ambientales. Es decir, una estrategia, herramienta o instrumento que
planifique y organice las actividades antrópicas que impactan sobre el medio ambiente.
La gestión ambiental juega un papel esencial para lograr los objetivos del desarrollo sostenible,
donde la humanidad explote de forma racional y consciente los recursos naturales para una mejor
calidad de vida sin comprometer la de las futuras generaciones. Así pues, es lograr un desarrollo y
progreso económico en función de conservar el entorno natural.
La gestión ambiental es el conjunto de actividades, técnicas, estrategias, procedimientos y

acciones para conseguir un nuevo progreso económico que garantice un equilibrio ecológico para
un desarrollo sostenible y calidad de vida de las sociedades. En otras palabras, la gestión
ambiental es diagnosticar, planificar, mitigar, controlar, prevenir y evaluar los impactos
ambientales de las actividades de los ciudadanos sobre su entorno.
Es la mejor estrategia para identificar y corregir los problemas ambientales, como también
ordenar y regular las actividades del hombre y las de las empresas, en función de lograr una
ecoeficiencia, mantener, cuidar, proteger y conservar el medio ambiente. En sí, es lograr un
equilibrio entre las actividades del hombre con la naturaleza y todos sus recursos naturales.
Los principales objetivos de la gestión ambiental son el ordenamiento del territorio del municipio
para diagnosticar la situación socioambiental, conservación de las áreas protegidas y espacios de
gran valor, prevención de los impactos ecológicos, uso sostenible de los recursos naturales,
proteger las corrientes de agua, reducir y prevenir la contaminación, ejecutar programas de
educación ambiental para concienciar y sensibilizar a la ciudadanía, y poner el medio ambiente
sobre todas las cosas para la supervivencia humana.
Entre las principales áreas de estudio de la gestión ambiental se encuentran:
Los estudios de impacto ambiental, una herramienta para mitigar y prevenir los impactos
negativos y positivos de los proyectos desarrollados por el hombre.
Las auditorías ambientales, proceso para evaluar, analizar y accionar ante los problemas
presentados y garantizar el cumplimiento ambiental.
La política ambiental, actividades del estado en función de los tratados ambientales nacionales e
internacionales.
Ordenamiento territorial, planificación de las actividades y uso de los suelos.

Contaminación ambiental, control, prevención y estudio de sustancias que alteran el ambiente.
Biodiversidad, conservación de la diversidad de especie animal y vegetal.
Paisaje, variedad de ecosistemas y espacios naturales.
Educación ambiental, conocimiento del entorno, por medio de valores, hábitos y

comportamientos sostenibles.
Entre los principales aspectos de la gestión ambiental están (ordenación del territorio,
conservación de los principales elementos del ambiente como aire, agua, suelo, flora y fauna,
protección de áreas naturales, recreacionales y educativas y el control ambiental por medio de la
educación, información, investigación, participación, planificación, ejecución y desarrollo de
políticas y leyes ambientales.
Con la gestión ambiental o del medio ambiente se obtienen beneficios como:
 Diagnosticar las situaciones ambientales para planificar, ejecutar y evaluar medidas para
solucionar los problemas del medio ambiente.
 Se organizan las actividades sociales para conservar los recursos naturales y los
ecosistemas.
 Prevención y minimización de la contaminación ambiental en todos sus tipos.
 Proyectos sostenibles.
 Participación ciudadana.
 Mayor conciencia y sensibilización.
 Información y formación ambiental.
 Educación ambiental
 Legislación ambiental.
 Control y vigilancia.
 Sistema de gestión ambiental empresarial.
 Ecoeficiencia.
La gestión ambiental debe ser prioridad y una necesidad ante la crisis ambiental, para que la
humanidad se desenvuelva en equilibrio con su entorno y aproveche de forma sostenible los
recursos naturales. La gestión ambiental debe ser ejecutada como sistema de gestión integral
tanto por las empresas como las comunidades para revertir los impactos de las actividades
humanas y solucionar los problemas ambientales. Cada país debe fomentar y promover la gestión
ambiental como la mejor alternativa y estrategia para lograr tanto el desarrollo sostenible como la
calidad de vida de las presentes y futuras generaciones.
La Gestión del Medio Ambiente es Lograr un Equilibrio Ecológico para un Desarrollo Sostenible y
calidad de Vida de la Humanidad
El Reciclaje es Responsabilidad de toda la Humanidad
Reciclar es Reintegrar la Basura al Medio Ambiente para Conservar los Recursos Naturales
ISO 37001:2016 es una norma internacional de Sistemas de Gestión Antisoborno, para la cual
se tomó como base BS 10500: Anticorrupción y Ética empresarial, desarrollada por el British
Standard Institute (BSI).
Un SGSI (Sistema de Gestión de Seguridad de la Información) proporciona un modelo para crear,
implementar, hacer funcionar, supervisar, revisar, mantener y mejorar la protección de los activos
de información para alcanzar los objetivos de negocio.
La base de un SGSI reside en, conociendo el contexto de la organización, evaluar los riesgos y fijar
los niveles determinados como adecuados por parte de la Dirección de la organización para la
aceptación de un nivel de riesgo de modo que se puedan tratar y gestionar los riesgos con eficacia.
El análisis de los requisitos para la protección de los activos de información y la aplicación de

controles adecuados para garantizar la protección de estos activos de información, según sea
necesario, contribuye a la exitosa implementación de un SGSI.
Los principios fundamentales que contribuyen a la exitosa implementación de un SGSI son:
Entender la organización, su contexto y los elementos relevantes que podrían afectar a los
objetivos del SGSI.
Entender las necesidades de las partes interesadas.
La asignación de responsabilidades y liderazgo para la seguridad de la información.
La formación y concienciación en seguridad de la información.
El compromiso y liderazgo de la Dirección.
Las evaluaciones de riesgos para determinar el estado actual y las estrategias adecuadas para
asumir, transferir, evitar y/o reducir el riesgo para alcanzar los niveles aceptables de riesgo.
La seguridad incorporada como un elemento esencial de las redes y sistemas de información.
La prevención activa y detección de incidentes de seguridad de la información.
Asegurar un enfoque integral de gestión de seguridad de la información.
Una reevaluación regular de la seguridad de la información y la aplicación de modificaciones

según sea apropiado.
Un enfoque de mejora continua.
Dimensiones de la seguridad de la información
Según ISO/IEC 27001, la seguridad de la información comprende, al menos, las siguientes tres
dimensiones fundamentales:
La confidencialidad.
La disponibilidad.
La integridad.
La confidencialidad se refiere al acceso a la información por parte únicamente de quienes estén

autorizados.
La verificación y la autorización son dos de los mecanismos que se emplean para asegurar la
confidencialidad de la información.
La disponibilidad se refiere al acceso a la información y los sistemas de tratamiento de la misma

por parte de los usuarios autorizados cuando lo requieran.
La falta de disponibilidad se manifiesta, principalmente, por:
La denegación o repudio del servicio debido a la falta de garantías de la prestación del mismo,
tanto por parte del prestador del servicio como del solicitante o tomador (controles de
identificación fehacientes, falta de prestaciones de los equipos, congestión de líneas, entre otros
posibles).
La pérdida de servicios de los recursos de información por causa de catástrofes naturales o por
fallos de equipos, averías, acción de virus, etc.
La integridad significa un mantenimiento de la exactitud y completitud de la información y sus

métodos de proceso.
Partiendo de estas tres dimensiones fundamentales, existen organizaciones que pueden necesitar
de otras adicionales, como, por ejemplo: la trazabilidad y la autenticidad para organismos
públicos, y en referencia al marco especificado por el Esquema Nacional de Seguridad, o, incluso,
el denominado no-repudio en entornos de uso de claves de cifrado (p.ej., el uso del DNI) como
garantía ante la posible negación de una entidad o un usuario de que ciertas transacciones
tuvieron lugar.
Estas dimensiones, añadidas a las fundamentales de confidencialidad, integridad y disponibilidad,

significarán, en cualquier caso, una extensión opcional y particular en base a las necesidades
concretas de aplicación de un SGSI que cada organización debe valorar, y no un requisito
fundamental del estándar ISO/IEC 27001.
Establecer, monitorizar, mantener y mejorar un SGSI
Una organización necesita llevar a cabo los siguientes pasos para el establecimiento, control,
mantenimiento y mejora de su SGSI:
Identificar los activos de información y sus requisitos de seguridad asociados.
Evaluar los riesgos de seguridad de la información.
Seleccionar y aplicar los controles pertinentes para gestionar los riesgos inaceptables.
Supervisar, mantener y mejorar la eficacia de los controles de seguridad asociados con los
activos de información de la organización.
Para garantizar la protección efectiva de los activos de información del SGSI dentro de la
organización de forma permanente, es necesario que los cuatro pasos anteriores se repitan
continuamente para estar en posición de identificar cambios en los riesgos, en las estrategias de la
organización y/o en los objetivos de negocio.
Identificar los requisitos de seguridad de la información
Es importante iniciar la identificación de los requisitos para la seguridad de la información

partiendo de un contexto global basado en los objetivos generales, la estrategia de negocio de la
organización, su tamaño y la posible distribución geográfica.
A partir de esta información global, pasamos a identificar, en consecuencia, los requisitos de

seguridad de la información a través de:
La identificación de los activos de información y su valor.
Las necesidades del negocio para el procesamiento y almacenamiento de información.
Los requisitos legales, reglamentarios y contractuales.
Las necesidades de las partes interesadas.
Realizar una evaluación metódica de los riesgos implica analizar:
Las amenazas a los activos de información.
Los factores de vulnerabilidad ante la posibilidad de que una amenaza se materialice.

El impacto potencial de cualquier incidente de seguridad de la información sobre los activos de
información.
Actualmente, ISO 27001 únicamente hace mención a la necesidad de identificar riesgos (sin
especificar cómo) asociados a la pérdida de confidencialidad, integridad y disponibilidad, tras
analizar las potenciales consecuencias y la probabilidad para, finalmente, cuantificar el riesgo.
Adicionalmente, se deberá identificar al propietario del riesgo.
El gasto en controles de seguridad pertinentes debería ser proporcional al impacto calculado para
el negocio y en base a la percepción de que el riesgo se materialice.
ENTRA EN CEUPE E INFÓRMATE SOBRE NUESTROS MÁSTERS DE TECNOLOGÍA Y SISTEMAS Y

NUESTROS CURSOS DE ESPECIALIZACIÓN Y EXPERTOS SI TE INTERESA DESARROLLAR TUS
CAPACIDADES EN EL CAMPO DE LOS SISTEMAS DE LA TECNOLOGÍA.
Tweet
Valora este artículo del blog:
10
Métodos para la eliminación de la doble imposición...
Neurobiología de la compasión y el altruismo
Sobre el autor
El Blog Ceupe
El Blog Ceupe
Ver perfil del autor Mostrar mas post del autor

Entradas recientes del autor
Viernes, 22 Noviembre 2019
Todo lo que debes saber para ser un Gestor de talentos
Jueves, 21 Noviembre 2019
¿Cómo crear en el turista una conciencia ecológica?
Miércoles, 20 Noviembre 2019
¿Cuál es el rol del CIO?
Comentarios
No hay comentarios por el momento. Se el primero en enviar un comentario.
Invitado
Domingo, 24 Noviembre 2019
Suscribirse a este blog (Por favor, introduzca su dirección de correo electrónico para suscribirse a
las actualizaciones de este post.)
tecnologia-sistemas
Más Información
> Máster Big Data Analytics
> Máster en Dirección de Sistemas y Tecnologías de la Información
> Máster en Seguridad de la Información y Tecnología
> Máster en Ciencia de Datos para Negocios
> Máster Big Data y Business Analytics - Presencial en España
> Máster en Ciberseguridad - Presencial en España
> Máster en Ciberseguridad
Suscríbete al Blog
Últimas Conferencias
28 de Noviembre de 2019
Introducción a las auditorías de sistemas de gestión según norma ISO 19011
Introducción a las auditorías de sistemas de gestión según norma ISO 19011
Medio Ambiente y Turismo

Utilizar Instagram en tu estrategia de marketing digital
Utilizar Instagram en tu estrategia de marketing digital
Marketing y Comunicacion
Acoso escolar: Bullying y Ciberbullying
Acoso escolar: Bullying y Ciberbullying
Salud y Educación
MARKETING Y COMUNICACIÓN
MEDIO AMBIENTE Y CALIDAD
SOBRE CEUPE
TECNOLOGÍA
FINANZAS
RECURSOS HUMANOS
PSICOLOGÍA Y EDUCACIÓN
TURISMO
DIRECCIÓN DE EMPRESAS
LOGÍSTICA
LEGISLACIONES LABORALES
COMERCIO INTERNACIONAL
ISO 37001:2016 especifica las medidas que la organización debe adoptar para evitar prácticas de
soborno, ya sean de tipo directo o indirecto, por parte de su personal o socios de negocios que
actúen en beneficio de la organización o en relación con sus actividades. En este sentido, establece
los requisitos para ayudar a empresas de todo tipo, tamaño y sector a establecer, implementar,
mantener y mejorar un programa de cumplimiento contra el soborno, incluyendo una serie de
medidas y controles que representan las buenas prácticas antisoborno globales.
Estas medidas incluyen, entre otras:
 Adopción de una política antisoborno.
 Nombramiento de una posición encargada de supervisar el correcto funcionamiento del

sistema de gestión antisoborno para controlar su cumplimiento.
 Evaluación de los riesgos y establecimiento de medidas de diligencia debida en proyectos,
socios de negocios y personal.
 Aplicación de controles financieros y comerciales.
 Procedimientos de información e investigación.
En esta pantalla podrá descargar el PDF de la Norma ISO 37001:2016 en español en una práctica
ficha, así como una interesante presentación.
Principales Requisitos
 Compromiso y liderazgo del Órgano de Gobierno (si lo hubiese) y de la Alta Dirección.
 Identificar los riesgos de soborno a partir de la realidad y el contexto de la entidad y de las

expectativas y necesidades de las partes interesadas.
 Asignación, desde la Alta Dirección, de una Función de Cumplimiento Antisoborno, con la

competencia, posición e independencia apropiadas.
 Establecimiento de controles para la prevención del soborno.
 Modelos de gestión de los recursos financieros y no financieros, adecuados al tipo de

organización.
 Introducir el cumplimiento antisoborno en la cultura de la organización.
 Sensibilización, capacitación, información y establecimiento de controles al personal de

la organización.
 Establecimiento de canales de comunicación y denuncia.
 Evaluación, seguimiento y revisión periódica del Sistema.
Ejemplos de Acciones Prácticas a Implementar
 Definición y comunicación de la política de lucha contra el soborno al personal y a los

socios de negocios de la empresa.
 Identificación y evaluación de los procesos donde mayor riesgo de sobornos existe,

tomando las medidas y acciones necesarias para eliminarlos o minimizarlos.
 Registro de las acciones formativas y de sensibilización contra el soborno.

 Establecimiento de controles financieros (por ejemplo: requerir la firma de dos niveles
distintos para la aprobación de un pago).
 Establecimiento de controles no financieros (por ejemplo: que en la selección de

subcontratistas haya una sistemática de preselección y unos criterios establecidos).
 Registro y control de regalos, invitaciones, donaciones y beneficios similares entregados

y recibidos.
 Establecimiento de procedimientos de diligencia debida (por ejemplo: cuestionarios

previos a la contratación con clientes expuestos a riesgos, acuerdos de confidencialidad...).
 Establecimiento de procedimientos y canales para que cualquier sospecha o conocimiento

de actuación corrupta, en cualquier nivel de la organización, pueda ser comunicada (por
ejemplo: creación y gestión de un canal de denuncias).
*Las acciones indicadas son sólo ejemplos. Toda acción a llevar a cabo en una entidad debe ser
adaptada a su realidad y a sus concretas necesidades.
Ventajas para la ORGANIZACIÓN
 Ayuda a sistematizar su sistema de gestión contra el soborno al aplicar requisitos

mínimos y guías de apoyo para la aplicación, mejorando los controles existentes.
 Genera confianza en sus propietarios, empleados, inversionistas, clientes y otros socios

comerciales, ya que se han implementado controles internacionales.
 Orienta en la generación de una formación/sensibilización contra el soborno adecuada

para el personal.
 Sirve como herramienta de defensa frente a los fiscales y/o tribunales en caso de
investigación, mostrando evidencia de que la organización ha tomado medidas para
prevenir el soborno.
Sistema de Gestión Ambiental
Un Sistema de Gestión Ambiental basado en la norma ISO 14001, facilita que una organización
controle todas sus actividades, servicios y productos que pueden causar algún impacto sobre el
medio ambiente, además ayuda a minimizar todos los impactos ambientales que generan su
operación.
Esto está enfocado en la gestión de “causa y efecto”, es decir, donde todas las actividades,
servicios y productos ofrecidos por la organización son la causa y los efectos resultan del impacto
que estos generen sobre el medio ambiente. Los impactos pueden ser, cambio de temperatura del
agua de un arroyo cercano, aumento de la tasa de personas con asma dentro de la población
cercana a la empresa o la contaminación producida en un terreno colindante a la organización
debido a infiltraciones.
La Gestión Ambiental es una herramienta que permite que se controles todos los aspectos que
pueden minimizar e incluso eliminar todos los impactos que generen las actividades llevadas a
cabo por la organización.
Los Sistemas de Gestión Ambiental pueden ser de dos tipos:
 Formales (ISO14001)
 Normalizados (EMAS)
 Informales: realizando un programa interno con el que se consiga reducir los desechos, o
bien los medios no documentados mediante los que la organización gestiona la
interacción que tiene con el medio ambiente.
Todos los Sistemas de Gestión Ambiental se encuentran relacionados con los Sistemas de Gestión
de la Calidad, ya que son mecanismos que generan procesos sistemáticos y cíclicos en el que se
pretende alcanzar la mejora continua. El ciclo comienza con la planificación de un resultado
deseado por la organización, deben realizar un plan y comprobar que dicho plan funciona. Si el
plan no funciona se deben realizar las modificaciones necesarias que mejoren dicho plan, para ello
deberán tener en cuenta las observaciones que surgen durante el proceso de comprobación del
plan. Por el contrario, si el planteamiento inicial se mantiene cuando se compruebe el plan, el
sistema generará muchos progresos que ayudarán en el avance continuo hacía el resultado final.
La familia ISO 14000
La ISO 14000 es una familia de normas internaciones utilizadas para la Gestión de Sistemas
Ambientales. Es la primera serie de normas que facilita a las organizaciones de todo el mundo
realizar los esfuerzos ambientales necesarios y medir la actuación que realizan de acuerdo a los
criterios aceptados internacionalmente. El estándar internacional ISO-14001 es la primera norma
de la serie ISO14000, en la que se especifican todos los requisitos que tiene que cumplir un
Sistema de Gestión Ambiental.
El estándar ISO 14001 no es una norma obligatoria, sino que es voluntaria cada organización
decide si quiere implantarla o no. Fue llevada a cabo por la International Organization for
Standardization (ISO) en la ciudad de Ginebra. La norma ISO14001 se encuentra orientada a ser
aplicable en todas las organizaciones, independientemente del sector, las dimensiones, la
situación geográfica, cultural y social. El principal objetivo de la norma ISO-14001 y de toda la serie
de ISO 14000 es apoyar la protección ambiental y la prevención de la contaminación para
encontrar la armonía entre la protección del medio ambiente y la prevención de la contaminación,
con las necesidades socioeconómicas de la organización. El estándar internacional ISO 14001 se
puede aplicar a cualquier organización que quiera mejorar y demostrar que se encuentra
comprometido con el cuidado del medio ambiente gracias al Sistema de Gestión Ambiental.
La norma ISO14001 no prescribe requisitos de actuación ambiental, excluyendo el requisito de

compromiso de mejora continua y la obligación de cumplir con la legislación vigente. La norma no
puede declarar la máxima cantidad permisible de emisión de óxido nitroso de gases de
combustión, ni el máximo contenido bacteriológico en el efluente de aguas residuales. El estándar
ISO-14001 especifica cuáles son los requisitos del Sistema de Gestión Ambiental, que si se
mantiene de una forma adecuada se mejora la actuación ambiental reduciendo todos los
impactos, como por ejemplo, las emisiones de óxido nitroso y los efluentes bacteriológicos.
Los requisitos de un Sistema de Gestión Ambiental que sea certificable con la norma ISO 14001 y
su correlación con el modelo cíclico de mejora continua.
La familia ISO 14000 incluye todas estas normas:
 ISO14001 Sistema de Gestión Ambiental: Especificaciones y guía de uso
 ISO 14002 Sistema de Gestión Ambiental: Pautas sobre los aspectos especiales que tiene
relación con las PYMES
 ISO 14004 Sistema de Gestión Ambiental: Pautas generales sobre los principios, sistemas y
técnicas de apoyo
 ISO 14010 Pautas para auditorías ambientales: Principios generales de auditorías

ambientales
 ISO 14011 Pautas para auditorías ambientales: procedimientos de auditoría, 1º Parte:

Auditoría de Sistemas de Gestión Ambiental
 ISO 14012 Pautas para auditorías ambientales: Criterios de cualificación para auditores
ambientales
 ISO 14013/15 Pautas para auditorías ambientales: Programas de auditorías, revisiones y

evaluaciones
 ISO 14020 Etiquetas y declaraciones ambientales: Principios generales
 ISO 14021 Etiquetas y declaraciones ambientales: Etiquetaje ambiental
 ISO 14022 Etiquetas y declaraciones ambientales: Demandas ambientales
 ISO 14023 Etiquetas y declaraciones ambientales: Etiquetaje ambiental Tipo 1
 ISO 14024 Etiquetas y declaraciones ambientales
 ISO 14031 Evaluación de la actuación ambiental: Pautas
 ISO 14032 Informa Técnico Tipo III; Gestión Ambiental; Evaluación de la actuación
ambiental y Estudio de casos como Ilustración del uso de la ISO 14031
 ISO 14040 Evaluación del ciclo de vida: Principios y marco de trabajo
 ISO 14041 Evaluación del ciclo de vida: Análisis inventarial del ciclo de vida
 ISO 14042 Evaluación del ciclo de vida: Evaluación de los impactos
 ISO 14043 Evaluación del Ciclo de vida: Interpretación
 ISO 14049 Informe técnico Tipo III; Gestión Ambiental

 ISO 14050 Términos y definición de la Gestión Ambiental
 ISO 14061 Informe técnico Tipo III; Guía de ayuda para organizaciones forestales sobre el u
Sistemas de Gestión Normalizados
Un sistema de gestión es un conjunto de reglas y principios relacionados entre sí de forma

ordenada, para contribuir a la gestión de procesos generales o específicos de una organización.
Permite establecer una política, unos objetivos y alcanzar dichos objetivos. Un sistema de gestión
normalizado es un sistema cuyos requisitos están establecidos en normas de carácter sectorial,
nacional, o internacional. Las organizaciones de todo tipo y dimensión vienen utilizando sistemas
de gestión normalizados debido a las múltiples ventajas obtenidas con su aplicación.
Hace 31 años se publicó la primera versión del documento o informe de requisitos para los
sistemas de Gestión de la Calidad, conocido hoy por todos como ISO 9001. ISO 9001 ha
evolucionado hasta su cuarta versión (1987, 1994, 2000 y 2008) adaptándose a las necesidades de
sus usuarios. El éxito del modelo de esta norma ha llevado a otras áreas de interés a aplicarlo
adaptando su contenido a dicha áreas. Así surgió ISO 14001, para lo requisitos de los Sistemas de
Gestión Medioambientales, y de manera análoga se han ido desarrollando y aplicando otras
normas para los Sistemas de Gestión:
Calidad (ISO 9001)
Hoy hay más de un millón de empresas en el mundo que están certificadas según ISO 9001 y un
número considerable que se está preparando para ello. Este resultado es una prueba inequívoca
de los beneficios que han obtenido sus usuarios con su aplicación en el ámbito del desarrollo, de
los productos y de los servicios.
La aplicación de esta norma es actualmente una condición indispensable para todas las
organizaciones que quieran competir en todo tipo de mercados (nacional, internacional, sectorial,
europeo, etc.).
Los principios de gestión enunciados por esta norma, proporcionan orientación para las
actividades de gestión de una organización, de una forma sistemática y para asegurar la mejora
continua. La orientación al cliente es el principio prioritario y del que emanan los demás principios.
THINK&SELL ayuda a sus clientes a realizar implantaciones y mejora continua de todos sus
procesos especialmente en el ámbito de las organizaciones de las tecnologías de la información y
asesora en el uso complementario de otras guías y normas de aplicación dentro del Sistema de
Gestión de Calidad:
ISO/IEC 90003 Aplicación de ISO 9001 al Software.
ISO/IEC 90005 Aplicación de ISO 9001 a Sistemas.
ISO 9004 Directrices para la Mejora de las Prestaciones.
ISO 10001 Directrices para los Códigos de Conducta de las Organizaciones.
ISO 10002 Directrices para la Gestión de las Quejas.
ISO 10003 Directrices para la Resolución de Conflictos Externos a las Organizaciones.
ISO 10006 Directrices para la Gestión de Calidad en Proyectos.
Seguridad de la Información: (ISO/IEC 27001)
La Gestión de la Seguridad es una necesidad que adquiere un carácter estratégico para la

protección de la información y aplica a todos los activos de información y tecnologías de soporte a
través de la identificación de los riesgos corporativos analizándolos y estableciendo medidas
adecuadas para su control.
Entre los beneficios de la implantación de esta norma están los siguientes:
Salvaguarda de los objetivos de confidencialidad, disponibilidad, integridad, autenticidad y

fiabilidad de la información.
Contribución a la salvaguarda de la continuidad del negocio.
Gestionar los niveles de riesgos.
Mejorar la confianza de los clientes.
Evitar daños en la marca y pérdidas de ganancia.
En THINK&SELL, enfocamos nuestro trabajo en transferir los conocimientos y habilidades a su

personal para que pueda continuar cumpliendo sus objetivos una vez que haya finalizado la
implementación inicial del sistema.
Gestión de los Servicios de las TI (ISO/IEC 20000-1)

La Gestión de los Servicios de las TI aplica a todos los servicios que cooperan para conseguir la
calidad de los mismos, según los niveles de servicio acordados con el cliente. Tratan el inicio,
diseño, organización, control, provisión y mejora de los servicios de TI adaptados a las necesidades
de la organización del cliente.
La Norma ISO/IEC 20000-1 establece los requisitos de un Sistema de Gestión de los Servicios de
Tecnología de la Información (SGTI), y su propósito es promover la adopción de un enfoque
integrado de proceso, para entregar servicios gestionados con eficacia y eficiencia a fin de
satisfacer los requisitos del negocio y del cliente.
THINK&SELL ayuda a los Departamentos de servicios propios de TI y de organizaciones que prestan

servicios de TI a otras externas para la definición, implantación y mejora de ISO/IEC 20000-1,
aportando consultores y auditores con experiencia en las áreas de desarrollo, implantación y
explotación de servicios de TI incluyendo la experiencia en la aplicación de la normativa de otros
sistemas de gestión y marcos de mejora de procesos, como ISO 90001, ISO 15504, CMMI, ITIL,
COBIT, entre otros.
Gestión de los Riesgos (ISO 31000)
La gestión de riesgos tiene un ámbito de aplicación muy amplio, por ejemplo en la gestión de
proyectos, o en los procesos relacionados con la información, los sistemas, el software, y otros
procesos generales de las organizaciones. Además la gestión de riesgos está contemplada de
forma explícita o implícita en los requisitos de los sistemas de gestión normalizados.
La norma ISO 31000 establece los principios y directrices para la implementación del proceso de
gestión de riesgos que incluye típicamente la identificación, análisis, evaluación y tratamiento de
riesgos asociados con los procesos, funciones, proyectos, productos, servicios o activos, su
seguimiento y revisión y el registro de información de los resultados obtenidos.
THINK&SELL colabora con sus clientes para la implantación de los procesos de la Gestión de los
Riesgos identificándolos, analizándolos, evaluándolos y recomendando acciones paliativas en
especial en el ámbito de las organizaciones de Tecnologías de la Información incluidas Ingeniería
de Software y de Sistemas.
Gestión de la Documentación (ISO 30300)

La creación y gestión de documentos es parte integral de las actividades, procesos y sistemas de
las organizaciones. La gestión documental hace posible la eficiencia, la rendición de cuentas, la
gestión de los riesgos y la continuidad del negocio. También permite a las organizaciones
capitalizar el valor de sus recursos de información convirtiéndolos en activos comerciales y de
conocimiento, contribuyendo a la preservación de la memoria colectiva, en respuesta a los
desafíos del entorno global y digital.
Las Normas sobre sistemas de gestión de la documentación, serie ISO 30300, están diseñadas para
ayudar a organizaciones de todo tipo y tamaño, en la implementación, operación y mejora de un
sistema de gestión para los documentos (SGD) efectivo. El SGD facilita la dirección y control de la
organización con el propósito de establecer una política y unos objetivos y su realización.
THINK&SELL le asesora en la definición, implantación y mejora de sus sistemas de gestión

documental ayudando a implementar los requisitos según ISO 30300 y utilizar:
Directrices para la Implementación del Sistema de Gestión para Registros (ISO 30302),
Guía de Evaluación (ISO 30304).
Nuestro trabajo está orientado a obtener ventajas competitivas reales para las organizaciones,
además de prepararlas para obtener las certificaciones deseadas.
THINK&SELL tiene consultores que participan activamente en el Comité ISO/TC 176 y en el AENOR
CTN 66 – Gestión de la Calidad, en el comité ISO/IEC JTC1 SC7- Ingeniería de Software y Sistemas y
en el ISO GT13 Gestión de Riesgos, en la elaboración de varias de las normas publicadas, y
proyectos de normas tanto nacionales como internacionales.
What and how should it be evaluated?
The risks present in each job must be evaluated. For this purpose, the existing or planned work
conditions will be taken into account, and, on the other hand, the worker who occupies the
position. In particular, the risk assessment will take into consideration, among others, the
following aspects:
The characteristics of the premises.
The installations.
The existing work teams.
The chemical, physical and biological agents present or employed at work.
The organization and organization of work itself, insofar as they influence the magnitude of the
risks.
Likewise, it should be taken into account the possibility that the worker who occupies that job is
especially sensitive, due to their personal characteristics or known biological status, including
those that have recognized the physical, mental or sensory disability, to any of said conditions.
In particular, the agents, procedures and working conditions that may negatively affect the health
of pregnant or lactating workers, the fetus or the child during the
The organization of the necessary resources for the development of the preventive activities will
be carried out by the entrepreneur according to any of the following modalities:
Assuming personally the preventive activity.
Appointing one or more workers to carry it out.
Constitute a prevention service itself.
Constitute a joint prevention service.
Appealing to a service of foreign prevention.
Under the terms provided in chapter IV of the LPRL, the prevention service shall be understood as
the set of human and material resources of the company necessary for carrying out the prevention
activities, and for the prevention service of another provided by an entity Specialized with the
company to carry out prevention activities, the advice and support you need depending on the
types of risks or both actions together.
The prevention services will have interdisciplinary character, understanding as such the
coordinated conjunction of two or more technical or scientific disciplines in the matter of
prevention of labor risks.
Prevention services must be in a position to provide the company with the advice and support
they require based on the types of risk in it and in relation to:
The design, implementation and application of a risk prevention plan that allows the integration of
prevention in the company.
The evaluation of risk factors that may affect the safety and health of workers.
The planning of preventive activity and the determination of priorities in the adoption of
preventive measures and the monitoring of their effectiveness.
The information and training of workers.

The provision of first aid and emergency plans.
The monitoring of workers' health in relation to the risks arising from work.
22.2.2. Designation of workers for preventive activity
The employer will appoint one or more workers to take care of the preventive activity in the
company. Notwithstanding the foregoing, this designation will not be mandatory if the employer
has personally assumed the preventive activity; it has set up its own prevention service; or has
resorted to a third-party prevention service.
Preventive activities for which the designation of one or more workers is not sufficient should be
developed through one or more prevention services of their own or others.
features
The number of designated workers, as well as the means that the employer puts at their disposal
and the time they have available for the performance of their activity, must be those necessary to
adequately perform their functions.
For the development of the preventive activity, the designated workers must have the capacity
corresponding to the functions to be performed, in accordance with the established regulation.
22.2.3. Own prevention services
When will it be mandatory to set up a prevention service of your own?
The employer must establish a prevention service of its own when one of the following
assumptions:
That they are companies that have more than 500 workers.
That, in the case of companies with between 250 and 500 employees, develop some of the
activities included in Annex I of the RSP, [see section 22.2.7]).
That, in the case of companies not included in the previous sections, so decides the labor
authority, following a report from the Labor and Social Security Inspectorate and, where
appropriate, from the technical bodies in preventive matters of the Autonomous Communities,
depending on the the dangerousness of the activity carried out or the frequency or seriousness of
the accident rate in the company, unless the option of a specialized entity outside the company is
chosen.
features
The own prevention service will constitute a
A specific organizational unit and its members will exclusively dedicate their activity in the
company to the purpose of the same.
The prevention services themselves must have the facilities and the human and material resources
necessary to carry out the preventive activities that they will develop in the company.
The prevention service must have, at least, two of the specialties or preventive disciplines
(occupational medicine, occupational safety, industrial hygiene and ergonomics and applied
psychosociology), developed by experts with the required training for the functions to be
performed. . These experts will act in a coordinated manner, in particular in relation to the
functions related to the preventive design of jobs, implementation and application of a plan for
the prevention of occupational hazards to allow the integration of prevention in the company,
identification and evaluation of the risks, the planning of the preventive activity and the training
plans of the workers.
Likewise, it must have the necessary personnel with the required capacity to perform the
functions of the basic and intermediate levels.
Without prejudice to the necessary coordination indicated in the previous paragraph, the health
activity, which in its case exists, will count for the development of its function, within the
prevention service, with the structure and means appropriate to its specific nature and the
confidentiality of personal medical data, having to meet the requirements established in the
sanitary regulations of application.
When the scope of action of the prevention service extends to more than one work center, the
situation of the various centers in relation to the location of the service must be taken into
account, in order to ensure the adequacy of the means of said service to the existing risks.
The preventive activities that are not assumed through the own prevention service must be
arranged with one or more third-party prevention services.
The company must prepare annually and keep at the disposal of the competent labor and health
authorities and the health and safety committee, the annual memory and programming of the
prevention service.
22.2.4. Joint prevention services
When can they be constituted?
These prevention services may be established:
Between companies that simultaneously carry out activities in the same work center, building or
commercial center, provided that the operability and effectiveness of the service are guaranteed.
Between companies belonging to the same productive sector or business group or that develop
their activities in an industrial estate or limited geographical area, when this is established in
collective bargaining or through agreements between workers 'and employers' organizations on
this matter (interprofessional agreements) or, failing that, by decision of the affected companies.
22.5.2. Rights of participation and representation
Workers have the right to participate in the company in matters related to the prevention of
occupational risks.
In companies or work centers that have six or more workers, the participation of these will be
channeled through their representatives and the specialized representation that is regulated in
the LPRL.
22.5.3. Prevention Delegates
Who are they?
The Prevention Delegates are the representatives of the workers in the company with specific
functions in matters of risk prevention in the workplace.
Designation of Prevention Delegates
The Prevention Delegates will be appointed by and among the staff representatives and their
number will be according to the following scale:
From 50 to 100 workers: 2.
From 101 to 500 workers: 3.
From 501 to 1,000 workers: 4.
From 1,001 to 2,000 workers: 5.
From 2001 to 3,000 workers: 6.
From 3,001 to 4,000 workers: 7.
From 4.001 onwards: 8.
In companies with up to 30 employees, the Prevention Delegate will be the Personnel Delegate;
From 31 to 49 workers the Prevention Delegate will be chosen by and among the Personnel
Delegates.
In workplaces that lack staff representatives because they do not reach seniority to be electors or
eligible, workers may elect by majority a worker who exercises the powers of Delegate for
Prevention (fourth additional provision of the LPRL).
Competencies of the Prevention Delegates
Collaborate with the management of the company in the improvement of the preventive action.
Promote and encourage the cooperation of workers in implementing the regulations on

prevention of occupational hazards.
Be consulted on the subjects subject to mandatory consultation for the employer.
Monitor and control compliance with the rules on prevention of occupational risks.
Powers of the Prevention Delegates
Participate in the preparation, implementation and evaluation of risk prevention plans and
programs in the company. For this purpose, before its implementation and in relation to its impact
on risk prevention, the choice of the organizational modality of the company and, where
appropriate, the management carried out by the entities will be debated. specialized with which
the company had agreed to carry out preventive activities; projects in planning, organization of
work and introduction of new
as technologies, organization and development of protection and prevention activities referred to
in Article 16 of the Law and project and organization of training in preventive matters.
Promote initiatives on methods and preventive procedures for occupational risks, as well as
propose to the company the improvement of conditions or correction of existing deficiencies.
Powers of the Health and Safety Committee
Workers' rights
For an adequate preventive action, the worker has the right to:
To be informed directly of the risks to their health and safety and of the preventive measures
adopted, including those intended to deal with emergency situations.
Receive theoretical and practical training, sufficient and adequate at the time of hiring and when
the content of the assigned task changes or new technologies or changes in the work teams are
introduced. The training should be focused specifically on the job or function of each worker,
adapt to the evolution of risks and the appearance of new ones and repeat periodically, if
necessary.
To interrupt your activity and if it is necessary to leave the workplace, when you consider that
such activity entails a serious and imminent risk to your life or health.
To have a periodical monitoring of your health status guaranteed, according to the risks inherent
to your job.
Have specific protection measures when, due to their own personal characteristics or known
biological state or physical, mental or sensorial disability, they are especially sensitive to certain
risks derived from work.
Be consulted and participate in all matters that affect safety and health at work. The workers will
have the right to make proposals to the employer and to the participation and representation
bodies (prevention delegates, health and safety committee), through whom their right to
participate is exercised.
worker's obligations
The workers must watch according to their possibilities, and by means of the fulfillment of the
prevention measures that in each case are adopted, for their own safety and health and for those
of other people that may affect their professional activity, for which, According to their training
and following the instructions of the employer, they must:
Use properly machines, tools, dangerous substances, equipment and any means of work.
Use correctly the means and protective equipment provided by the employer and in accordance
with the instructions of the latter.
Do not put out of operation and use correctly the existing safety devices or that are installed in the
media related to your activity or in the workplaces in which it takes place.
Immediately inform your hierarchical superior and the workers designated to carry out protection
and prevention activities, and the prevention service, about any situation that, in your opinion,
entails a risk for the safety and health of the workers.
Contribute to the fulfillment of the obligations established by the competent authority.
Cooperate with the employer so that he can guarantee working conditions that are safe and do
not entail risks for the safety and health of workers.
Companies forced to audit their prevention system
Companies that have not concluded the prevention service with a specialized entity outside the
company must submit their prevention system to the control of an external audit or evaluation.
The same obligation will apply to companies that develop preventive activities with their own and
third-party resources simultaneously.
Companies with up to 50 workers whose activity is not included in Annex I of the RSP will be
exempt from the obligation to submit to an audit, to carry out preventive activities with their own
resources and in which the effectiveness of the preventive system becomes evident without the
need for to resort to an audit due to the limited number of workers and the low complexity of the
preventive activity. In this case, the obligation to audit will be replaced by the submission to the
labor authority of a notification on the concurrence
of the causes that make the audit unnecessary. However, the labor authority, following a report
from the Labor and Social Security Inspectorate and, where appropriate, from the technical bodies
in preventive matters of the autonomous communities, may request an audit, in view of the data
of the accident rate of the company or sector or other circumstances that reveal the danger of the
activities carried out or the inadequacy of the prevention system.
Periodicity
The first audit of the prevention system must be carried out within twelve months after the
planning of the preventive activity is available.
The audit should be repeated every four years, reducing the term to two years if the company is
engaged in activities included in Annex I of the RSP. These review periods will be extended by two
years in cases in which the preventive modality of the company has been agreed with the
specialized representation of its workers. In any case, it must be repeated when required by the
labor authority, following a report from the Labor and Social Security Inspectorate and, where
appropriate, from the technical bodies in preventive matters of the autonomous communities,
when the circumstances reveal the need to review the results of the last audit.
Auditor requirements
The audit must be carried out by natural or legal persons who also possess a sufficient knowledge
of the matters and technical aspects that are the object of the same and have the appropriate
means to do so. The physical person or auditing entity can not maintain commercial, financial or
any other type of connection with the company, other than those inherent to its performance as
auditors.
Characteristics of the joint prevention services
Before adopting the constitution agreement, the workers' representatives of each of the affected
companies must be consulted in this regard.
The constitution agreement must expressly state the conditions under which such a prevention
service should be developed. These conditions should be discussed, and if necessary agreed upon,
within each of the health and safety committees of the affected companies.
The constitution agreement must be communicated prior to the labor authority of the territory
where its main facilities are located, in the event that said constitution has not been decided in the
framework of collective bargaining.
Its preventive activity will be limited to participating companies.
These services, whether or not they have differentiated legal personality, will be considered as
services of the companies that constitute them and will have at least three specialties or
preventive disciplines.
Except for those formed between companies belonging to the same business group, the joint
prevention services must have minimum human resources equivalent to those required for third-
party prevention services. In order to determine the material resources that they need to have,
reference will be made to those established for third-party prevention services, adapting them to
the activity of the companies. The labor authority may formulate requirements on the adequate
provision of human and material resources.
The joint prevention service must be available to the labor authority and the author
It is necessary that you have the training required to develop the functions of the basic and
intermediate levels, depending on the characteristics of the companies covered by the service.
Experts in the aforementioned specialties will act in a coordinated manner, particularly in relation
to the functions related to the preventive design of jobs, the identification and evaluation of risks,
prevention plans and training plans for workers.
Arrange for the development of the concerted activities of the facilities and instrumentation
necessary to carry out the tests, recognitions, measurements, analysis and evaluations customary
in the practice of the aforementioned specialties, as well as for the development of the basic
educational and informative activities, in the terms that determine the development provisions of
this royal decree.
Without prejudice to the necessary coordination indicated, the health activity will count for the
development of its function within the prevention service with the structure and means
appropriate to its specific nature and the confidentiality of personal medical data.
22.2.6. Presence in the workplace of preventive resources
The presence in the work center of preventive resources to monitor compliance with preventive
activities, whatever the modality of organization of such resources, will be necessary:
When the risks can be aggravated or modified during the development of the processes or
activities, by the concurrence of diverse operations that take place successively or simultaneously
and that require specific control of the correct application of the working methods.
When carrying out activities or processes that are statutorily considered as dangerous or with
special risks (see article 22 bis.1.b) of the RSP.
When the need for such presence is required by the Labor and Social Security Inspectorate, if the
circumstances of the case so require due to the detected work conditions.
Presence is a complementary preventive measure that has the purpose of monitoring compliance
with preventive activities in relation to the risks derived from the situation that determines their
need to achieve an adequate control of said risks.
Such monitoring shall include checking the effectiveness of the preventive activities envisaged in
the planning, as well as the adequacy of such activities to the risks that are intended to be
prevented or to the appearance of unforeseen risks and derived from the situation that
determines the need for the presence of preventive resources.
The employer may assign the presence to the following:
One or more designated workers of the enterprise.
One or several members of the company's own prevention service.
One or several members of the third party prevention services or arranged by the company.
However, the employer may assign the presence of preventive resources expressly to one or more
workers of the company who, without being part of the prevention service itself or being
designated workers, gather the knowledge, qualifications and experience necessary and count
with the corresponding preventive training, at least to the basic level functions.
The location in the work center of the people to whom the presence is assigned must allow them
to fulfill their own functions, and must be a secure site that does not involve an additional risk
factor, neither for such persons nor for the employees of the company. The company must remain
in the workplace during the time the situation that determines its presence is maintained.
The presence of preventive resources in the workplace is also considered as one of the means of
business coordination established by the regulations for the prevention of occupational risks. The
way to carry out the presence of preventive resources will be determined in the planning of the
preventive activity should be provided to workers the necessary data to enable them to identify
the preventive resources designated by the employer
When there are concurrent companies in the work center that perform the operations that
require the presence of preventive resources, the obligation to designate them will fall on the
company or companies that perform such operations or activities, in which case and when there
are several such preventive resources should collaborate among themselves and with the rest of
the preventive resources and person or persons in charge of the coordination of the preventive
activities of the owner or principal employer of the work center.
22.2.7. Activities included in Annex I of the Regulation of Prevention Services
Work with exposure to ionizing radiation in controlled areas according to Real D
ecreto 783/2001, of July 6, approving the Regulation on sanitary protection against ionizing
radiations.
Work with exposure to substances or mixtures causing acute toxicity category 1, 2 and 3, and in
particular to carcinogenic, mutagenic or toxic for reproduction, category 1A and 1B, according to
Regulation (EC) No. 1272 / 2008, of December 16, 2008, on classification, labeling and packaging
of substances and mixtures.
Activities that involve high-risk chemical products and are subject to the application of Royal
Decree 840/2015, of September 21, which approves risk control measures inherent to serious
accidents involving dangerous substances.
Work with exposure to biological agents of groups 3 and 4, according to Royal Decree 664/1997,
of 12 May, on the protection of workers against the risks related to exposure to biological agents
during work.
Activities for the manufacture, handling and use of explosives, including pyrotechnic articles and
other objects or instruments containing explosives.
Own works of open-pit and indoor mining, and soundings in terrestrial surface or in marine
platforms.
Activities in immersion under water.
Activities in construction, excavation, earthworks and tunnels, with the risk of falling height or
burial.
Activities in the steel industry and shipbuilding.
Production of compressed, liquefied or dissolved gases or significant use thereof.
Work that produces high concentrations of siliceous dust.
Works with electrical risks in high voltage.
Actions of the socio-labor Administration
In this field, the Ministry of Employment and Social Security and the Autonomous Communities
develop a set of actions aimed at preventing accidents at work, occupational diseases and the
encouragement and development of knowledge and activities of employers and workers on
occupational risks and their consequences.
The preventive action is developed through the following actions or measures:
Elaboration of regulations
Monitoring and control actions, including the sanctioning power.
Actions to promote prevention.

Implementation of permanent information and training programs with the most representative
associations of self-employed workers and trade union organizations.
22.7.1.1. Normative elaboration
In development or as a complement to the LPRL, a series of regulations have been issued that
constitute the regulations for the prevention of occupational hazards and that regulate each and
every one of those aspects that have or may have an impact on the safety and health of workers.
workers, among others, the conditions of workplaces, levels of exposure to certain agents or
substances, work equipment, personal protective equipment, etc.
La prevención es única herramienta que evitará que los eventuales fenómenos naturales se
conviertan en desastres. Con esa perspectiva, el Sistema Nacional de Evaluación, Acreditación y
Certificación de la Calidad Educativa (Sineace) está impulsando la certificación de competencias
para los “Promotores de gestión de riesgos de desastres” en sus respectivas zonas de residencia.
A la fecha, ya se ha aprobado las normas de competencias para certificar el buen desempeño de

estos promotores sociales que, en el marco de las funciones establecidas, será el encargado de
promover y organizar las acciones de preparación, respuesta y rehabilitación para anticiparse y
responder en caso de desastre o situación de peligro inminente.
“Para ejecutar estas tareas, el promotor usa metodologías participativas a fin de sensibilizar y
organizar a la comunidad, demostrando actitudes de liderazgo, responsabilidad, cooperación y
compromiso social”, explicó la presidenta del Consejo Directivo Ad Hoc del Sineace, Carolina
Barrios Valdivia.
Como parte de sus tareas los promotores, deben elaborar los mapas comunitarios de riesgos,
identificando las situaciones de peligro y vulnerabilidad, generando compromisos de acción ante
una emergencia o desastre, en el marco de las acciones de los actores del Sistema Nacional de
Gestión del Riesgo de Desastres (Sinagerd).
Asimismo, realizará simulacros en la comunidad con la participación de voluntarios en

emergencias y rehabilitación, en coordinación con las entidades competentes.
Según la norma establecida por el Sineace, el promotor también asistirá a la población

damnificada para la evacuación en albergues y recibirá la ayuda humanitaria. “Los promotores
fomentarán la participación activa de la comunidad en las acciones de rehabilitación de remoción
de escombros, abastecimiento de agua y energía”, añadió.
Cabe señalar que las áreas de intervención de estos promotores son: el local comunal o de
instituciones públicas, locales de servicios públicos, áreas comunales, barriales y de esparcimiento;
y en áreas industriales, comerciales y mercado de abastos.
Un estudio realizado por el Sineace reveló que existe una amplia brecha entre la capacitación, el
desempeño y la demanda laboral de personal especializado que se requiere para la prevención y
atención de los desastres naturales en 12 regiones del país.
Por ello urge por contar con recursos humanos competentes para prevenir y mitigar los efectos de
los desastres en las poblaciones afectadas, razón por la cual es importante desarrollar acciones de
capacitación para tener personal entrenado en tareas de prevención y atención de las
consecuencias ocasionadas por los desastres naturales.
Todos los proyectos tienen implícitos algún tipo de riesgo. Esto es válido tanto para los pequeños
propósitos, los planes de mediana envergadura o los proyectos millonarios como la construcción
de un túnel sub-fluvial o un cohete espacial.
En los últimos años se han llevado a cabo proyectos que terminaron costando más del doble de lo
presupuestado, que demandaron plazos mayores a los acordados en un inicio o que no
cumplieron con los objetivos esperados. Como consecuencia de estos fracasos, los gobiernos,
inversores y prestamistas se han vuelto extremadamente reacios a aceptar riesgos o participar en
este tipo de emprendimientos.
¿Se pueden eliminar todos los riesgos?
En la práctica, es imposible eliminar todos los riesgos asociados a un proyecto. A lo sumo, estos
pueden mitigarse aplicando técnicas eficientes de administración de riesgos o pueden transferirse
en parte, como es el caso de los seguros o la tercerización de servicios.
Sin embargo, por más que el riesgo se reduzca o se transfiera, siempre seguirán existiendo peligros
residuales inevitables. Por ejemplo, si hemos tercerizado una obra a un contratista, puede ocurrir
que este caiga en quiebra y no termine la obra para la cual había sido contratado.
Minimización de riesgos
La clave del éxito en los proyectos no consiste en ignorar los riesgos o estar plenamente
pendientes de ellos, sino en analizarlos y gestionarlos de manera efectiva.
Una de las mayores ventajas del análisis integral del riesgo es que permite descubrir
oportunidades de proyectos que de otra forma no se llevarían a cabo por ser considerados, a
priori, demasiado riesgosos.
Además, una eficiente administración del riesgo permitirá minimizar los peligros adversos dentro
de los límites prácticos y económicos permitidos. Por ejemplo, si en el análisis de riesgo se detecta
que un posible corte de luz puede disminuir significativamente las ventas de una empresa, puede
justificarse la compra de un equipo electrógeno para utilizar en caso de emergencia.
¿Por qué es necesario gestionar los riesgos?
La administración del riesgo es necesaria para lograr los resultados explícitos que figuran en el
plan del proyecto. Existen hechos que suelen ocurrir a lo largo del ciclo de vida de un proyecto que
pueden afectar seriamente los resultados, como los cambios en el contexto externo (legal,
económico, financiero y político) o los cambios en el contexto interno (pobres prácticas de
administración de proyectos). Por ende, es muy importante administrar los riesgos para minimizar
los efectos de estas contingencias desfavorables.
En la práctica, gran parte de los riesgos del proyecto

están relacionados con los cambios de agenda y desvíos presupuestarios que ocurren una vez que
se está ejecutando el mismo. El administrador del proyecto puede reformular rápidamente el plan
en función de estos desvíos de agenda y costos. Sin embargo, muchas veces se olvida de que estos
cambios de planes también van a originar nuevos tipos de riesgos. Para evitar los posibles efectos
negativos al cambiar los planes es necesaria una metodología sistemática de administración del
riesgo, de manera de alcanzar los resultados del proyecto.
¿Qué es la administración del riesgo?
No todos los proyectos requieren de un enfoque formal de administración de riesgo, pero su

administración debe convertirse en un proceso sistemático aplicado de una manera disciplinada
para obtener el máximo beneficio.
La administración de riesgo es el proceso sistemático de planificar, identificar, analizar, responder

y controlar los riesgos del proyecto. Este proceso trata de maximizar la probabilidad de ocurrencia
de los sucesos positivos y minimizar la probabilidad de ocurrencia de los sucesos adversos.
Si bien muchos administradores de proyectos utilizan un razonamiento intuitivo como punto de

partida para el proceso de toma de decisiones, el administrador del riesgo mira más allá,
evaluando el nivel de riesgo y los efectos que puede tener el mismo sobre el progreso del
proyecto.
Para finalizar, recuerde siempre que es usted quien debe administrar los riesgos del proyecto,
decidiendo cuáles acepta y cuáles no. No permita que los riesgos se adueñen de su proyecto y
anticípese a ellos a través de una buena planificación y su control sistemático.
Al controlar las situaciones adversas se puede decidir qué escenarios complejos aceptar y cuáles
evitar. No hay que permitir que los riesgos se adueñen de nuestro proyecto, para lo cual hay que
anticiparse a través de una buena planificación y control sistemático de los mismos.
Gestión de riesgos de SGS: le ayudamos a identificar y gestionar riesgos para sus proyectos,
operaciones y actividades comerciales diarias.
In any sector you need to ensure the safe execution and maintenance of your projects, operations
and commercial activities, including trade.
As a leading global provider of risk management services, we help you minimize your risks. Our
project specialists and technical experts offer you assistance in each phase and in each sector,
anywhere in the world.
We offer more than 50 years of experience in risk management, acquired in all industries,
providing solutions to all economic sectors, from agriculture to biological sciences, from mining to
finance. Our comprehensive portfolio of risk management services is fully compliant with
international risk management standards, and includes:
Risk management planning
Risk identification
Qualitative and quantitative risk analysis
Risk management
Waste Risk Management
Independent investigations such as third part, surveys, market studies, feasibility studies and
due diligence evaluations
Follow-up of the Equator Principles
Monitoring and project management
Surveys of quality and quantity of products and loads
Default Management
Commercial Risk Management
We can help you:

Identify and manage cost overruns, delays, loss of income, health and safety incidents, quality
failures, regulatory nonconformity, contractual disputes, damage to prestige, dissatisfaction of
interest groups in each phase of their projects, operations and commercial activities
Achieve objectives in terms of quality, safety, costs, programming and performance
Improve cost estimates by managing realistic and relevant contingencies
Achieve identifiable milestones in programming and key performance indicators, including

occupational health and safety and environmental objectives
Ensure greater certainty about financial and execution results
Ensure the security of your transactions
Ensure that you have taken all the steps to comply with the standards, regulations and good
practices of the sector.
Contact us today to find out how our risk management services identify and manage a wide range
of risks for your projects, operations and business activities.
22.7.1.4. Actions of the labor administrations of the autonomous communities
As responsible for the enforcement of labor legislation, the labor authorities of the autonomous
communities carry out, within their territorial scope, functions to promote prevention, technical
advice, monitoring and control and, where appropriate, sanctions. A large part of these activities
are developed through specialized technical bodies.
In addition, the labor authorities of the autonomous communities are responsible for the granting
of accreditations to entities that intend to develop activities as third-party prevention services and
authorize the entities that intend to develop the audit activities of the prevention system of
companies.
22.7.2. Actions of the Public Administrations competent in sanitary matters
The actions of the Public Administrations competent in health matters concerning occupational
health will be carried out through the following actions:
The establishment of adequate means for the evaluation and control of actions of a sanitary
nature carried out in companies by the acting prevention services.
The implementation of adequate information systems that allow the elaboration, together with
the competent labor authorities, of maps of occupational risks, as well as the carrying out of
epidemiological studies for the identification and prevention of pathologies that may affect the
health of workers. as well as making possible a rapid exchange of information.
The supervision of the training that, in the matter of prevention and promotion of occupational
health, should receive the sanitary personnel acting in the authorized prevention services.
The preparation and dissemination of studies, research and statistics related to the health of
workers.
22.6. Actions of manufacturers, importers and suppliers in matters of prevention of occupational

risks
(Law 31/1995) (R.D. 1801/2003)
Manufacturers, importers and suppliers of machinery, equipment, products and work tools are
required to:
Ensure that these do not constitute a source of danger for the worker, provided they are installed
and used in the conditions, in the manner and for the purposes recommended by them.
Packaging and labeling them in a way that allows them to be stored and handled in safety
conditions and to clearly identify their content and the risks to the safety or health of the workers
that their storage or use entails.
Provide the information that indicates the correct form of use by the workers, the additional
preventive measures that must be taken and the labor risks that entail both their normal use and
their manipulation or inappropriate use.
Ensure the effectiveness of the same, provided they are installed and used in the conditions and in
the manner recommended by them. For this purpose, they must provide the information
indicating the type of risk to which they are directed, the level of protection against it and the
correct form of its use and maintenance.
Provide the businessmen, and these gather from them, the necessary information so that the use
and manipulation of machinery, equipment, products, raw materials and work tools occurs
without risks for the safety and health of workers, as well as so that employers can meet their
information obligations regarding workers.
Notwithstanding the foregoing, the obligations arising from the applicable regulations in relation
to the general security of the products, whose objective is to guarantee that the products placed
on the market are safe, must be taken into account.
22.5.1. Consultation of workers
The employer must consult the workers, with due notice, the adoption of decisions regarding:
The planning and organization of work in the company and the introduction of new technologies,
in everything related to the consequences that these could have for the safety and health of
workers, derived from the choice of equipment, the determination and the adequacy of working
conditions and the impact of environmental factors on work.
The organization and development of activities for the protection of health and the prevention of
occupational risks in the company, including the designation of the workers in charge of such
activities or the use of an external prevention service.
The designation of the workers in charge of the emergency measures.
The information and documentation procedures provided in the LPRL.
The project and the organization of training in preventive matters.
Any other action that may have substantial effects on the safety and health of workers.
In the companies that have representatives of the workers, these consultations will be carried out
with said representatives.
The employer, including public administrations, has a duty to protect their workers against
occupational risks, guaranteeing their health and safety in all aspects related to their work, by
integrating the preventive activity in the company and the adoption of how many measures are
necessary.
The employer will apply the measures that make up the general duty of prevention according to
the following general principles:
companies.
workers.

risks
(Law 31/1995) (R.D. 1801/2003)
required to:

necessary.
companies.

workers.

risks
(Law 31/1995) (R.D. 1801/2003)
required to:
necessary.
Avoid the risks.
Evaluate the risks that can not be avoided.
Combat the risks at source.
Adapt the work to the person, in particular with regard to the conception of the jobs, as well as
the choice of equipment and methods of work and production, with a view, in particular, to
mitigate monotonous work and repetitive and reduce the effects of it on health.
Take into account the evolution of technology.
Substitute the dangerous for what entails little or no danger.

Plan prevention, seeking a coherent set that integrates in it the technique, work organization,
working conditions, social relations and the influence of environmental factors at work.
Adopt measures that put collective protection before the individual.
Giving appropriate instructions to workers.
The prevention of occupational risks should be integrated into the general management system of
the company, both in the set of its activities and in all hierarchical levels of the company, through
the implementation and application of a plan for the prevention of occupational risks.
The essential instruments for the management and application of the risk prevention plan, which
may be carried out in phases in a programmed manner, are the evaluation of occupational risks
and the planning of the preventive activity.
22.1.1. Occupational risk prevention plan
The occupational risk prevention plan is the tool through which the preventive activity of the
company is integrated into its general management system, establishing the occupational risk
prevention policy.
The plan must be reflected in a document that will be kept at the disposal of the labor authority,
the health authorities and the workers' representatives, and will include, with the scope
appropriate to the size and characteristics of the company, the following elements:
The identification of the company, its productive activity, the number and characteristics of the
work centers and the number of workers and their characteristics with relevance in the prevention
of occupational risks.
The organizational structure of the company, identifying the functions and responsibilities
assumed by each of its hierarchical levels and the respective channels of communication between
them, in relation to the prevention of occupational risks.
The organization of the production in terms of the identification of the different technical
processes and the practices and organizational procedures existing in the company, in relation to
the prevention of occupational risks.
The organization of prevention in the company, indicating the chosen preventive modality and the
existing representative bodies.
The policy, objectives and goals that the company intends to achieve in preventive matters, as well
as the human, technical, material and economic resources that it will have available for this
purpose.
22.1.2. Risk assessment
What is it?
The assessment of occupational hazards is the process aimed at estimating the magnitude of the
risks that could not be avoided, obtaining the necessary information so that the employer is able
to take an appropriate decision on the need to take preventive measures and, as such, case, on
the type of measures that should be adopted.
following aspects:
The installations.
risks.

Avoid the risks.
prevention policy.
purpose.
What is it?
following aspects:
The installations.
risks.

According to the famous author of "The structuring of organizations" (1979) and "Design of
effective organizations" (2000), the characteristics of organizations allow them to be classified into
natural groupings or configurations.
This is how he elaborates five ideal configurations that constitute "as a typology of ideal or pure
forms, each of which is a description of a basic type of organizational structure". And he adds:
"there is no structure (real) that fits perfectly to a configuration, but some really lack little".
Mintzberg argues that organizations are attracted to one of the configurations in search of internal
structural harmony.
According to the famous author of "The structuring of organizations" (1979) and "Design of
effective organizations" (2000), the characteristics of organizations allow them to be classified into
natural groupings or configurations.
This is how he elaborates five ideal configurations that constitute "as a typology of ideal or pure
forms, each of which is a description of a basic type of organizational structure". And he adds:
"there is no structure (real) that fits perfectly to a configuration, but some really lack little".
Mintzberg argues that organizations are attracted to one of the configurations in search of internal
structural harmony.
Según el célebre autor de "La estructuración de las organizaciones" (1979) y "Diseño de las
organizaciones efectivas" (2000), las características de las organizaciones permiten clasificarlas
dentro de agrupamientos naturales o configuraciones.
Es así como elabora cinco configuraciones ideales que se constituyen "como una tipología de
formas ideales o puras, cada una de las cuales es una descripción de un tipo básico de estructura
organizativa". Y añade: "no hay estructura (real) que se ajuste perfectamente a una configuración,
pero a algunas les falta realmente poco". Mintzberg sostiene que las organizaciones son atraídas
por una de las configuraciones en busca de una armonía estructural interna.
Estos tipos de configuraciones son:
La estructura simple: como su nombre lo indica, se trata de una estructura sencilla, informal y
flexible. Corresponde a empresas pequeñas cuyas actividades giran en torno al director general,
quien efectúa en forma directa la supervisión de los empleados y además asume varias funciones.
Pero no se circunscribe únicamente a microempresas, pues también una empresa con decenas de
empleados puede tener una estructura simple al carecer de un equipo de dirección.
La organización divisional: la organización divisional o diversificada cuenta con una estructura

basada en divisiones autónomas, cada una de ellas con una estructura propia y débilmente
acopladas entre sí aunque existe una dirección administrativa única. Este tipo de organización se
ve en empresas grandes con varias sedes administrativas distribuidas con criterios geográficos
principalmente. Es el caso de las compañías multinacionales.
La adhocracia: del latín ad hoc (para esto o para este fin), la adhocracia se refiere a cualquier
estructura altamente flexible capaz de adaptarse rápidamente a las condiciones cambiantes del
entorno. Se trata de una organización descentralizada, conformada por equipos multidisciplinarios
coordinados, capaces de adaptarse fácilmente a los cambios, con directivos integradores y con una
estructura de matriz. Este tipo de organización suele presentarse en el ámbito de la alta
tecnología.
La burocracia maquinal: este concepto se basa en el descrito por el sociólogo alemán Max Weber:
la burocracia implica la proliferación de reglas, normas y comunicación formal. El poder de
decisión está centralizado y posee una elaborada estructura administrativa. Mintzberg señala, con
gran evidencia empírica, que cuando mayor es la edad de una organización más formalizado es su
comportamiento. De modo que una organización con burocracia maquinal no suele ser una
organización joven. El experto subraya la existencia de una obsesión por el control en todos los
niveles jerárquicos, buscando la eliminación de toda incertidumbre para que la maquinaria
burocrática funcione bien.
A este tipo configuración pertenecen las oficinas de correos, las agencias de seguridad, las
empresas siderúrgicas, las prisiones, las líneas aéreas, los grandes fabricantes de automóviles, etc.
La burocracia profesional: cuenta con la normalización de las habilidades profesionales y con el

adoctrinamiento. Incorpora especialistas debidamente preparados y adoctrinados, es decir,
profesionales, quienes asumen un control significativo sobre su propio trabajo. La naturaleza
burocrática de esta configuración radica en el empleo de normas que predeterminan lo que se
debe hacer al interior de la organización. A diferencia de la burocracia maquinal, en la burocracia
profesional las normas surgen fuera de su propia estructura, especialmente en las asociaciones
profesionales que reúnen a los operarios con sus colegas de otras burocracias profesionales.
Así, Mintzberg pone como ejemplos de burocracia profesional a las universidades, los hospitales,
los centros escolares, las empresas de contabilidad y de producción artesanal. Todas ellas cuentan
con profesionales que tienen las habilidades y los conocimientos para producir bienes y servicios
normalizados.
FUENTES CONSULTADAS:
La selección adversa surge en este caso cuando la firma regulada tiene más información
que el regulador acerca de ciertas variables exógenas, tales como la demanda y la
tecnología utilizada. A partir de esta asimetría, el regulado puede discriminar clientes o
intervenciones sin existir la capacidad del regulador para intervenir oportunamente. La presencia
de riesgo moral y selección adversa provocan la pérdida del control por parte del regulador que
generan una necesidad de búsqueda de información complementaria. A modo de ejemplo,
en la mayoría de los países las empresas públicas son monitoreadas periódicamente por
auditorias públicas (Laffont y Tirole, 1993).
22.2.1. Personal assumption by the employer of the preventive activity
The employer may personally develop the prevention activity, with the exception of activities
related to the monitoring of workers' health, if the following conditions are met:
Whether it is companies with up to ten employees or, in the case of a company that employs up to
twenty-five workers, a single work center.
That the activities developed in the company are not included in Annex I of the RSP, (see section
22.2.7)].
That habitually develop their professional activity in the workplace.
That it has the capacity corresponding to the preventive functions that it will develop, in
accordance with the established regulation.
The monitoring of the health of the workers, as well as those other preventive activities not
personally assumed by the employer, must be covered by recourse to any of the other types of
preventive organization provided.
Avoid the risks.
prevention policy.
purpose.
What is it?
La selección adversa surge en este caso cuando la firma regulada tiene más información
que el regulador acerca de ciertas variables exógenas, tales como la demanda y la
tecnología utilizada. A partir de esta asimetría, el regulado puede discriminar clientes o
intervenciones sin existir la capacidad del regulador para intervenir oportunamente. La presencia
de riesgo moral y selección adversa provocan la pérdida del control por parte del regulador que
generan una necesidad de búsqueda de información complementaria. A modo de ejemplo,
en la mayoría de los países las empresas públicas son monitoreadas periódicamente por
auditorias públicas (Laffont y Tirole, 1993).

Management Systems Informacion

Hochgeladen von

Dokumentinformationen

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Management Systems Informacion

Hochgeladen von

Copyright:

Verfügbare Formate

¿Qué es un Sistema de Gestión de la Seguridad de la Información (SGSI)?

La seguridad de la información, según ISO 27001, consiste en la preservación de confidencialidad,

Garantizar un nivel de protección total es imposible, incluso en el caso de disponer de un

La implantación de un sistema de Gestión de la Seguridad de la información (SGSI) implica las

 Compromiso de la dirección general de la organización.

 Elaboración de un plan de Gestión de Seguridad.

 Asignación de recursos, funciones y responsabilidades.

 Formación y concienciación del personal.

 Establecer controles periódicos y mejoras.

El plan de Gestión de Seguridad consiste en:

 Identificar los activos del SGSI y sus propietarios.

 Identificar las amenazas de cada activo.

 Identificar las vulnerabilidades del sistema.

 Identificar los posibles impactos de las vulnerabilidades.

o Evitarlo: suprimir las causas del riesgo (activo, amenaza, vulnerabilidad)

o Transferirlo: Outsourcing, seguro.

o Reducirlo: la amenaza, vulnerabilidad o impacto.

La cantidad de problemas ambientales es por la ineficiencia, falta de planificación y gestión

La gestión ambiental es el conjunto de actividades, técnicas, estrategias, procedimientos y

Entre las principales áreas de estudio de la gestión ambiental se encuentran:

Ordenamiento territorial, planificación de las actividades y uso de los suelos.

Biodiversidad, conservación de la diversidad de especie animal y vegetal.

Paisaje, variedad de ecosistemas y espacios naturales.

Educación ambiental, conocimiento del entorno, por medio de valores, hábitos y

Con la gestión ambiental o del medio ambiente se obtienen beneficios como:

 Prevención y minimización de la contaminación ambiental en todos sus tipos.

 Mayor conciencia y sensibilización.

 Información y formación ambiental.

 Sistema de gestión ambiental empresarial.

El Reciclaje es Responsabilidad de toda la Humanidad

El análisis de los requisitos para la protección de los activos de información y la aplicación de

Los principios fundamentales que contribuyen a la exitosa implementación de un SGSI son:

Entender las necesidades de las partes interesadas.

La asignación de responsabilidades y liderazgo para la seguridad de la información.

La formación y concienciación en seguridad de la información.

El compromiso y liderazgo de la Dirección.

La seguridad incorporada como un elemento esencial de las redes y sistemas de información.

La prevención activa y detección de incidentes de seguridad de la información.

Asegurar un enfoque integral de gestión de seguridad de la información.

Una reevaluación regular de la seguridad de la información y la aplicación de modificaciones

Un enfoque de mejora continua.

Dimensiones de la seguridad de la información

La confidencialidad se refiere al acceso a la información por parte únicamente de quienes estén

La disponibilidad se refiere al acceso a la información y los sistemas de tratamiento de la misma

La falta de disponibilidad se manifiesta, principalmente, por:

La integridad significa un mantenimiento de la exactitud y completitud de la información y sus

Estas dimensiones, añadidas a las fundamentales de confidencialidad, integridad y disponibilidad,

Identificar los activos de información y sus requisitos de seguridad asociados.

Evaluar los riesgos de seguridad de la información.

Identificar los requisitos de seguridad de la información

Es importante iniciar la identificación de los requisitos para la seguridad de la información

A partir de esta información global, pasamos a identificar, en consecuencia, los requisitos de

La identificación de los activos de información y su valor.

Las necesidades del negocio para el procesamiento y almacenamiento de información.

Los requisitos legales, reglamentarios y contractuales.

Las necesidades de las partes interesadas.

Realizar una evaluación metódica de los riesgos implica analizar:

Las amenazas a los activos de información.

Los factores de vulnerabilidad ante la posibilidad de que una amenaza se materialice.

ENTRA EN CEUPE E INFÓRMATE SOBRE NUESTROS MÁSTERS DE TECNOLOGÍA Y SISTEMAS Y

Valora este artículo del blog:

Métodos para la eliminación de la doble imposición...

Neurobiología de la compasión y el altruismo

Ver perfil del autor Mostrar mas post del autor