Universidad Nacional de la Amazonia Peruana

Facultad de Ingeniera de Sistemas e Informtica

Isos para Sistemas de Informacion y Normas Tecnicas Peruanas

Catedrtico : Alumnos : Ing. Jos Edgar Garca Daz Caicedo Saavedra Jess Loayza Chvez Ruth Medaly Putpaa Silva Ramiro Solsol Vilca Irving Lionel Vargas Sandi Miguel Ciclo Nivel : : VIII IV

INTRODUCCION Las normas de la familia ISO 9000 son un conjunto de normas y directrices internacionales para la gestin de la calidad que, desde su publicacin inicial en 1987, han obtenido una reputacin global como base para el establecimiento de sistemas de gestin de la calidad. De su importancia y arraigo a escala mundial basta sealar que se han adoptado en ms de 150 pases. Tres de las normas actuales, ISO 9001, 9002 y 9003, han sido ampliamente utilizadas como base para la certificacin de sistemas de la calidad por tercera parte (y las calificaciones por segunda parte). Esto ha dado como resultado que, en la actualidad, existan ms de 350 000 organizaciones certificadas en todo el mundo, as como muchas ms en proceso de definicin e implantacin de sistemas de gestin de la calidad. El gran xito obtenido desde la primera edicin de las normas en 1987, unido a que los protocolos de ISO requieren que todas las normas sean revisadas al menos cada cinco aos para determinar si deben mantenerse, revisarse o anularse.

Normas de certificacin de calidad ISO

La Organizacin Internacional para la Estandarizacin, ISO por sus siglas en ingls (International Organization for Standardization), es una federacin mundial que agrupa a representantes de cada uno de los organismos nacionales de estandarizacin (como lo es el IRAM en la Argentina), y que tiene como objeto desarrollar estndares internacionales que faciliten el comercio internacional. Cuando las organizaciones tienen una forma objetiva de evaluar la calidad de los procesos de un proveedor, el riesgo de hacer negocios con dicho proveedor se reduce en gran medida, y si los estndares de calidad son los mismos para todo el mundo, el comercio entre empresas de diferentes pases puede potenciarse en forma significativa y de hecho, as ha ocurrido. Durante las ltimas dcadas, organizaciones de todos los lugares del mundo se han estado preocupando cada vez ms en satisfacer eficazmente las necesidades de sus clientes, pero las empresas no contaban, en general, con literatura sobre calidad que les indicara de qu forma, exactamente, podan alcanzar y mantener la calidad de sus productos y servicios. De forma paralela, las tendencias crecientes del comercio entre naciones reforzaba la necesidad de contar con estndares universales de la calidad. Sin embargo, no exista una referencia estandarizada para que las organizaciones de todo el mundo pudieran demostrar sus prcticas de calidad o mejorar sus procesos de fabricacin o de servicio. Teniendo como base diferentes antecedentes sobre normas de estandarizacin que se fueron desarrollando principalmente en Gran Bretaa, la ISO cre y public en 1987 sus primeros estndares de direccin de la calidad: los estndares de calidad de la serie ISO 9000. Con base en Ginebra, Suiza, esta organizacin ha sido desde entonces la encargada de desarrollar y publicar estndares voluntarios de calidad, facilitando as la coordinacin y unificacin de normas internacionales e incorporando la idea de que las prcticas pueden estandarizarse tanto para beneficiar a los productores como a los compradores de bienes y servicios. Particularmente, los estndares ISO 9000 han jugado y juegan un importante papel al promover un nico estndar de calidad a nivel mundial.

ISO tiene tres categoras de miembros:

Organismo Miembro El primero es el ms importante y es el que representa a cada pas a travs de un organismo nacional.

Miembro Correspondiente Es un organismo que no tiene actividades a nivel nacional o no representa a un pas.

Miembro Suscriptor Lo representan aquellos pases con economas pequeas que no tienen un organismo nacional.

Cada Organismo Miembro, acredita a las Organismos de Certificacin/Registro ( RINA, Perry Johnson, Bureau Veritas, SGS, Lloyds, TUV, etc.) para que realicen auditoras y emitan una recomendacin, una vez realizada esta, el Organismo Miembro aprueba el registro para que el Organismo Certificador emita el certificado. Los certificados no los emite el ISO, los emite el Organismo Certificador o de Registro. Todos los miembros conforman los grupos de trabajo de ISO integrados por comits tcnicos (TC), subcomits (SC) y grupos de trabajo (WG). Dentro de estos comits existen representantes de todo el mundo cuyo objetivo es la discusin de temas de normalizacin globales. Entre ellos se encuentran representantes de la industria, de los centros de investigacin, y autoridades gubernamentales donde ms de 25,000 expertos participan en reuniones anuales. Las normas Internacionales son revisadas al menos cada cinco aos por estos comits, la serie de normas ISO 9000 (alrededor de 20) publicadas en 1994, han sido revisadas y se emiti la nueva versin ISO 9001:2000 el mes de diciembre del 2000.

Cundo se certifica una empresa?

La certificacin es por instalacin, no por firma. Las empresas se certifican cuando se demuestra que su sistema de calidad cumple con los requisitos del estndar ISO 9000 en cuanto a documentacin y eficacia. La certificacin es llevada a cabo por organizaciones acreditadas, bsicamente: 1) Revisando el manual de calidad para asegurarse que cumple con el estndar, y 2) Realizando una auditora en el proceso de la empresa para asegurar que el sistema documentado en el manual de calidad est siendo implementado y es efectivo.

Por qu se certifica una empresa?

Para reforzar su programa de calidad Como un paso proactivo para contrarrestar la competencia y asegurar nuevos clientes. Como respuesta a una amenaza competitiva. Como respuesta a los requerimientos del cliente. Como respuesta a los requerimientos de una organizacin matriz.

Algunos pocos hasta el momento, porque estn obligados por las autoridades legales o regulatorias.

Cules son las etapas para Implementar el ISO?

Diagnstico: En esta etapa inicial se determinan los recursos con los que se cuenta; la conveniencia de contratar un asesor externo, desarrollar personal internamente o ambos; detectar la interferencia de algn proyecto; detectar el compromiso del personal.

Compromiso: En esta etapa se debe concientizar a todos los niveles de la empresa, de la importancia de iniciar el proyecto. El nivel jerrquico ms alto de la organizacin debe estar comprometido de lo contrario el proyecto quedar solo en buenas intenciones.

Planeacin: En esta etapa se definen los tiempos de cada una de las actividades a realizar. La experiencia nos dice que una empresa que busca implementar un sistema de calidad sin el apoyo de un asesor tiene ms probabilidad de duplicar el tiempo del proyecto. En promedio, un proyecto de ISO 9000 lleva entre 1 y 1.5 aos en implementarse. Si su empresa est familiarizada con manuales, procedimientos, control de formatos, etc. posiblemente el periodo baje a entre 6 y 10 meses.

Capacitacin: En esta etapa generalmente se inicia con un curso de sensibilizacin para todo el personal para que conozcan el alcance del proyecto y lo que se espera de cada rea. En el transcurso del proyecto se deben impartir diferentes cursos de acuerdo a la necesidad de cada organizacin.

Documentacin: En esta etapa se establece por escrito a travs de manuales cada una de las polticas de la organizacin y su manera de cumplir la norma o estndar. Tambin se definen los procedimientos e instrucciones de trabajo de los procesos operativos. La pregunta de hasta dnde o que tan detallado se van a documentar los procedimientos va a depender del tipo de organizacin.

Implementacin: En esta etapa se llevan a la prctica todas las polticas definidas y los procedimientos desarrollados. Es una de las etapas ms difciles porque involucra la participacin de todo el personal.

Auditoras Internas: En esta etapa personal de la misma empresa realiza auditoras para detectar evidencias sobre incumplimientos en la documentacin, en los registros o en el conocimiento del personal. Las auditoras internas son un ejercicio para conocer el grado de implementacin del sistema y detectar oportunidades de mejora. Esta es la etapa lmite para seleccionar una Compaa Certificadora una vez que la empresa est lista para recibir una auditora.

Pre-Auditora: En esta etapa se realiza la visita de la compaa certificadora para evaluar el grado de cumplimiento del sistema de calidad. Las pre-auditoras son una auditora de certificacin real solo que no tiene validez para registro. Esta sirve como un sano ejercicio de preparacin para la certificacin, algunas organizaciones eximen esta evaluacin, pero es recomendable para ubicar dnde se est dbil.

Certificacin: En esta etapa se realiza la visita de la compaa certificadora para evaluar el grado de cumplimiento del sistema de calidad y los resultados de esta tienen validez de acreditacin. Las auditoras de certificacin tienen validez para registro. En el caso cumplir con todos los requisitos, el organismo certificador emite una constancia con duracin de tres aos y bajo la condicin de mantener el sistema de calidad. Una vez certificada la organizacin se tiene que volver a certificar al tercer ao.

Visitas de Seguimiento: En esta etapa se realizan las visitas acordadas con el organismo certificador. Normalmente se realizan dos visitas al ao pero el requisito mnimo es al menos una visita anual.

LA FAMILIA ISO
Las series de normas ISO relacionadas con la calidad constituyen lo que se denomina familia de normas, las que abarcan distintos aspectos relacionados con la calidad: ISO 9000: Sistemas de Gestin de Calidad

Fundamentos, vocabulario, requisitos, elementos del sistema de calidad, calidad en diseo, fabricacin, inspeccin, instalacin, venta, servicio post venta, directrices para la mejora del desempeo. ISO 10000: Guas para implementar Sistemas de Gestin de Calidad/ Reportes Tcnicos

Gua para planes de calidad, para la gestin de proyectos, para la documentacin de los SGC, para la gestin de efectos econmicos de la calidad, para aplicacin de tcnicas estadsticas en las Normas ISO 9000. Requisitos de aseguramiento de la calidad para equipamiento de medicin, aseguramiento de la medicin. ISO 14000: Sistemas de Gestin Ambiental de las Organizaciones.

Principios ambientales, etiquetado ambiental, ciclo de vida del producto, programas de revisin ambiental, auditoras. ISO 19011: Directrices para la Auditora de los SGC y/o Ambiental

NORMAS ISO 9000

LA SERIE DE ESTNDARES ISO 9000 Las normas ISO 9000 han cobrado mayor relevancia internacional en la ltima dcada y en la actualidad es utilizada en ms de 120 pases. Estas normas requieren de sistemas documentados que permitan controlar los procesos que se utilizan para desarrollar y fabricar los productos. Estos tipos de sistemas se fundamentan en la idea de que hay ciertos elementos que todo sistema de calidad debe tener bajo control, con el fin de garantizar que los productos y/o servicios se fabriquen en forma consistente y a tiempo. Las ISO 9000 no definen cmo debe ser un Sistema de Gestin de Calidad de una organizacin, sino que ofrecen especificaciones de cmo crearlo e implementarlo; ste ser diferente en funcin de las caractersticas particulares de la organizacin y sus procesos. Las normas se revisan cada 5 aos para garantizar la adecuacin a las tendencias y dinmica del contexto mundial. En el ao 2000 cobraron vigencia los cambios propuestos para las ISO 9000, los que se tradujeron en las actuales Normas ISO 9000 versin 2000. Las ISO 9000:2000 quedaron conformadas por tres grandes apartados: ISO 9000:2000, Sistemas de Gestin de Calidad: Principios y vocabulario. ISO 9001:2000, que trata sobre los requisitos de los Sistemas de Gestin de Calidad, y las ISO 9004:2000, que se refieren a recomendaciones para llevar a cabo las mejoras de calidad

Las caractersticas ms importantes y novedosas de esta serie son: La orientacin hacia el cliente. La gestin integrada El nfasis en el proceso de negocios La incorporacin de la Mejora Continua La medicin de la satisfaccin del cliente

La siguiente figura visualiza la relacin entre los 4 puntos clave del modelo de sistema de gestin de la calidad en el que se basa la nueva norma ISO 9001:2000.

Aplicacin La ISO 9001 2000 se puede aplicar en cualquier tipo de organizacin, ya sea con o sin fines de lucro, manufacturera o de servicios, grande, mediana o pequea.

Qu se necesita para iniciar un proceso de Aseguramiento de la Calidad s/Normas ISO serie 9001-2000? Compromiso real y participacin de los directivos Involucramiento de todos los empleados Comunicacin Capacitacin de todas las reas de la organizacin Disponibilidad de recursos dedicados a la implementacin del SGC (responsables, tiempos, dinero, espacios fsicos para reuniones, etc.) Definicin clara de responsabilidades Realizacin de un diagnstico de calidad Comprensin de los requerimientos de los clientes Fijacin de polticas y objetivos de calidad Establecimiento de un plan de calidad Ordenamiento de la documentacin existente Creacin de la documentacin del SGC s/ norma ISO (Manual de Calidad, procedimientos, instrucciones de trabajo) Puesta a punto o calibracin de mquinas, equipos, etc. Diseo e implementacin de mecanismos de mejora continua Definicin, planificacin e implementacin de actividades de medicin y seguimiento necesarias para asegurar el cumplimiento de las exigencias de la norma.

El proceso de creacin y puesta a punto del SGC puede realizarse con o sin ayuda externa, es decir, puede llevarse a cabo por personal interno de la organizacin o contratando un consultor externo. Los tiempos estimados para la implementacin de los requisitos de la norma ISO 90012000 varan en funcin del estado inicial de los procesos, documentacin existente, prcticas vigentes, complejidad del sistema de negocios, tamao de la empresa, entre otros, siendo el tiempo mnimo de alrededor de 1 ao para las organizaciones ms simples. Una vez que la organizacin ha preparado su SGC e implementado todos los requerimientos de la norma, debe acudir a una organizacin independiente, conocida como Organismo de Certificacin, quien evaluar el sistema contra los estndares de la norma.

El Proceso De Certificacin
Cada Organismo Miembro de la ISO acredita a los Organismos de Certificacin para que realicen auditoras y emitan una recomendacin; una vez emitida, el Organismo Miembro aprueba el registro para que el Organismo Certificador emita el certificado ISO. (Los certificados no los emite ISO sino el Organismo Certificador o de Registro). En la Argentina existen ms de 20 organizaciones que emiten certificados ISO, pero el 80% del mercado est repartido entre 4 de ellas: BVQI, DNV, IRAM y TUV Rheinland.La empresa que requiere la certificacin presenta una solicitud o registro a un Organismo de Certificacin/Registro (IRAM, Bureau Veritas, TUV, SGS, etc.), en donde generalmente se aportan datos de la empresa tales como: tamao de la compaa, cantidad y localizacin de sus instalaciones, productos, cules de stos se incorporarn al registro, quienes sern las personas de contacto para la ISO en la empresa y cmo se documentan y respaldan los procedimientos de acuerdo a los estndares de la Norma. El siguiente paso es una evaluacin preliminar por parte de los auditores del organismo contratado, evaluacin que puede dar lugar a sugerencias por parte de stos para tomar acciones correctivas. Superada esta instancia, se realiza una auditora completa, de donde surgen las recomendaciones que los auditores elevan al organismo de acreditacin. Si una empresa no es aprobada, existen mecanismos para apelar la decisin.

Alcance y vigencia de las certificaciones

El certificado ISO 9000 es vlido solamente para aquellas reas de la empresa en los cuales se han seguido los pasos de gestin de calidad dictados en la Norma, ya sea desde un proceso particular o un tipo de productos, hasta el proceso de negocios global. As, es posible encontrar empresas que obtienen un certificado ISO 9001 para una de sus Divisiones, o para una de sus plantas de produccin, o para una lnea de productos, por ejemplo. Las certificaciones se otorgan por un perodo de tres aos; durante ese tiempo se deben llevar a cabo auditoras de vigilancia, a cargo del organismo certificador; las mismas se

realizan cada 6, 9 o 12 meses, de acuerdo al tamao y complejidad de la organizacin. Cumplido ese lapso, la empresa decidir la conveniencia de una re-certificacin.

Costos
Inicialmente, el desarrollo e implementacin de un SGC cuesta dinero, pero el costo bien se ve superado por las ganancias en eficiencia, productividad, rentabilidad, satisfaccin del cliente y aumento de la presencia en diferentes mercados. Los costos de una certificacin varan de acuerdo al tamao de la organizacin, la complejidad de sus procesos y la dispersin geogrfica de sus operaciones, entre otras variables. A los costos de la certificacin deben agregarse los gastos previos de preparacin y puesta a punto.

ISO 9000 es la solucin a todos los problemas?

La gestin de la calidad segn estos estndares no cura todos los problemas, pero ofrece una gran ayuda para mejorar el desempeo de la organizacin. Implementando un SGC se pueden tener ms posibilidades de detectar los problemas con anticipacin y utilizar la experiencia para evitar futuros errores, ya que, como las normas requieren el planeamiento del trabajo antes de efectuarlo - antes de fabricar el producto o brindar el servicio -, los problemas pueden identificarse en etapas tempranas, de tal forma de permitir la buena realizacin de las cosas desde la primera vez.

BENEFICIOS DE LA ISO 9000 2000

A continuacin se enumeran algunos de los aspectos positivos de la certificacin de un SGC de acuerdo a las Normas Internacionales de Calidad: Ventajas de las ISO 9000 2000 Mejora el ordenamiento interno de las organizaciones Mejora en el anlisis de los productos y los procesos a travs de un sistema organizado de registros Facilita el planeamiento de todas las actividades Confianza en la capacidad para controlar productos y procesos Mayor precisin en las especificaciones o Correcta interpretacin o Mayores chances de satisfacer al cliente Identificacin de errores en las especificaciones/ordenes Reduccin de las no conformidades Disminucin de reclamos de clientes Mejor comunicacin o Mejor comprensin de polticas, objetivos y procesos de trabajo o Mejor aptitud y actitud de los empleados, mejor clima laboral

Mejores relaciones entre clientes y proveedores Aumento de la eficiencia Disminucin de costos o Menores errores de diseo o Reduccin de desperdicios o Menores gastos por garanta Mayor control sobre contratistas y proveedores Promocin de mejoras continuas Mejor posicionamiento de mercados actuales o Mejor reputacin de la organizacin o Mejores productos o Posibilidad de disminucin de precios Mayores oportunidades para el desarrollo de nuevos mercados

Por qu algunas organizaciones fallan?

La mayora de las compaas que han fracasado en su intento en la implementacin de un SGC s/ las Normas ISO poseen algo en comn: la falta de compromiso. No alcanza solamente con cumplir los requisitos de documentacin exigidos por la norma, no alcanza con poner en marcha el sistema y dejarlo actuar por s mismo. La verdadera diferencia est en la gente. Si los directivos no se involucran seriamente, si realmente no comprenden la necesidad de cambiar, si no prestan atencin a sus mercados, si no ponen en prctica un liderazgo participativo, si no impulsan una cultura de calidad a lo largo y a lo ancho de la organizacin, la implementacin de las normas slo ser un mero requerimiento formal condenado al fracaso. Slo el esfuerzo compartido de todos los integrantes de la organizacin har posible que los beneficios de trabajar s/ segn los estndares de la ISO se hagan realidad. Otros motivos que pueden hacer que los resultados obtenidos no sean los deseados se relacionan con una mala definicin de los objetivos de calidad, mala planificacin, errores en la identificacin y definicin de los procesos crticos y/o una incorrecta evaluacin costos-beneficios.

NORMAS ISO 14000

Las ISO 14000 son normas internacionales que se refieren a la gestin ambiental de las organizaciones. Su objetivo bsico consiste en promover la estandarizacin de formas de producir y prestar servicios que protejan al medio ambiente, minimizando los efectos dainos que pueden causar las actividades organizacionales. Los estndares que promueven las normas ISO 14000 estn diseados para proveer un modelo eficaz de Sistemas de Gestin Ambiental (SGA), facilitar el desarrollo comercial y econmico mediante el establecimiento de un lenguaje comn en lo que se refiere al medio ambiente y promover planes de gestin ambiental estratgicos en la industria y el gobierno. Un SGA es un sistema de gestin que identifica polticas, procedimientos y recursos para cumplir y mantener un gerenciamiento ambiental efectivo, lo que conlleva evaluaciones rutinarias de impactos ambientales y el compromiso de cumplir con las leyes y regulaciones vigentes en el tema, as como tambin la oportunidad de continuar mejorando el comportamiento ambiental. Caractersticas generales de las normas Las normas ISO 14000 son estndares voluntarios y no tienen obligacin legal. Tratan mayormente sobre documentacin de procesos e informes de control. Han sido diseadas para ayudar a organizaciones privadas y gubernamentales a establecer y evaluar objetivamente sus SGA. Proporcionan, adems, una gua para la certificacin del sistema por una entidad externa acreditada. No establecen objetivos ambientales cuantitativos ni lmites en cuanto a emisin de contaminantes. No fijan metas para la prevencin de la contaminacin ni se involucran en el desempeo ambiental a nivel mundial, sino que establecen herramientas y sistemas enfocados a los procesos de produccin de una empresa u otra organizacin, y de las externalidades que de ellos deriven al medio ambiente. Los requerimientos de las normas son flexibles y, por lo tanto, pueden ser aplicadas a organizaciones de distinto tamao y naturaleza.

La familia ISO 14000 La familia de estndares referidos a la gestin ambiental est constituida por las siguientes normas: ISO 14000: Gua a la gerencia en los principios ambientales, sistemas y tcnicas que se utilizan. ISO 14001: Sistema de Gestin Ambiental. Especificaciones para el uso. ISO 14010: Principios generales de Auditora Ambiental. ISO 14011: Directrices y procedimientos para las auditoras

ISO 14012: Guas de consulta para la proteccin ambiental. Criterios de calificacin para los auditores ambientales. ISO 14013/15: Guas de consulta para la revisin ambiental. Programas de revisin, intervencin y gravmenes. ISO 14020/23: Etiquetado ambiental ISO 14024: Principios, prcticas y procedimientos de etiquetado ambiental ISO 14031/32: Guas de consulta para la evaluacin de funcionamiento ambiental ISO 14040/4: Principios y prcticas generales del ciclo de vida del producto ISO 14050: Glosario ISO 14060: Gua para la inclusin de aspectos ambientales en los estndares de productos Esta familia de normas fue aprobada por la Organizacin Internacional para la Estandarizacin (ISO) en Septiembre de 1996. La versin oficial en idioma espaol fue publicada en Mayo de 1997.

El Sistema de Gestin Ambiental (ISO 14000-14004) Tal como se mencion anteriormente, un SGA es una descripcin de cmo lograr los objetivos dictados por la poltica ambiental, as como tambin las prcticas, procedimientos y recursos necesarios para implementar la gestin. Este sistema se circunscribe a la serie ISO 14000-14004. ISO 14000 es un conjunto de varios estndares. La norma ISO 14001 describe los elementos necesarios de un SGA y define los requisitos para su puesta en marcha, de modo de garantizar la adecuada administracin de los aspectos importantes e impactos significativos de la gestin ambiental, tales como las emisiones a la atmsfera, el volcado de efluentes, la contaminacin del suelo, la generacin de residuos y el uso de recursos naturales, entre otros (efectos ambientales que pueden ser controlados por la organizacin). La norma ISO 14004 ofrece directrices para el desarrollo e implementacin de los principios del SGA y las tcnicas de soporte, adems presenta guas para su coordinacin con otros sistemas gerenciales tales como la serie ISO 9000. El propsito de esta norma es que sea utilizado como una herramienta interna y no como un procedimiento de auditora. Por qu implementar un SGA segn ISO 14001? La gestin medioambiental por ISO 14001 aporta beneficios en mltiples reas de una organizacin, entre ellos: ayuda a prevenir impactos ambientales negativo; evita multas, sanciones, demandas y costos judiciales, al reducir los riesgos de incumplimiento de la normativa legal aplicable; facilita el cumplimiento de las obligaciones formales y materiales exigidas por la legislacin medioambiental vigente; permiten optimizar inversiones y costos derivados de la implementacin de medidas correctoras; facilita el acceso a las ayudas econmicas de proteccin ambiental; reduce costos productivos al favorecer el control y el ahorro de las materias primas, la reduccin del consumo de energa

y de agua y la minimizacin de los recursos y desechos; mejora la relacin o imagen frente a la comunidad. La certificacin ISO 14000 Antes de comenzar el proceso de certificacin se debe realizar una auditora ambiental que caracterice adecuadamente los contaminantes y que site a la organizacin frente a las normas ambientales de cumplimiento obligatorio, ya sean nacionales, provinciales o municipales. Con los resultados obtenidos en esta auditora se puede comenzar a tomar medidas correctivas para encuadrar el establecimiento dentro de la legislacin vigente, y slo despus de ello se puede comenzar a trabajar para obtener la calificacin, desarrollando un buen SGA. (Una empresa puede optar por pedir la certificacin si es que previamente implement por su propia cuenta un SGA, o llamar a una consultora para que sta realice un diagnstico y le ayude a disearlo segn los estndares exigidos por las ISO). Para lograr una gestin ambiental certificada, las organizaciones deben: Definir su poltica ambiental Desarrollar una cultura de preparacin y actuacin ambiental Detectar los aspectos ambientales relacionados con sus procesos e identificar sus impactos significativos Establecer metas para la implementacin de mejoras en su gestin ambiental. Definir roles y responsabilidades, efectuar las acciones correctivas y preventivas correspondientes Llevar a cabo controles objetivos del progreso o deficiencias en la gestin ambiental (evaluar el sistema a travs de auditoras internas) Crear sistemas eficaces de documentacin ambiental, definir los registros necesarios y los procedimientos para su mantenimiento. Cumplir con leyes y regulaciones ambientales Desarrollar un plan de comunicaciones para el personal y directivos, de forma que todos estn informados de los avances en la gestin medioambiental Establecer un procedimiento de auditora y certificacin de sistemas de gestin ambiental por tercera parte y guas para la evaluacin de productos y etiquetado.

El proceso de certificacin tiene una duracin aproximada de entre 12 y 18 meses, dependiendo de la complejidad de los procesos involucrados, la peligrosidad del establecimiento industrial, la dispersin geogrfica de la empresa y las mejoras a implementar, entre otras variables. Certificado ISO 14000 es vlido por tres aos y obliga a revisiones anuales o semestrales que slo implican un chequeo de algunos aspectos de la norma. Para la recertificacin se requiere una revisin completa de la norma. Entre los Organismos Certificadores se pueden nombrar: IRAM (Instituto Argentino de Normalizacin), B.V.Q.I. (Bureau Veritas Quality International), D.N.V. (Det Norske

Veritas), ABS (Aspects Certification Services Ltd.), D.Q.S. (Asociacin Alemana para Certificacin de Sistemas de Gestin), AENOR (Asociacin Espaola de Normalizacin y Certificacin), T.U.V CERT entre otros. La auditora ambiental (ISO 14010-14015) Es una herramienta de gestin que comprende una evaluacin sistemtica, documentada, peridica y objetiva de los procesos, prcticas, procedimientos y administracin de bienes y equipos medioambientales. Puede llevarse a cabo por medio de un equipo interno tcnicamente capacitado o a travs de terceros. Abarca las tareas de bsqueda de informacin y recoleccin de datos, visitas y reuniones en planta, toma de muestras y balance de materiales. Sobre la base de estos datos se identifica, analiza y evala la gestin ambiental en relacin a la utilizacin de materias primas, materiales e insumos y a la fabricacin de productos y subproductos; se efecta, adems, una revisin del tratamiento de residuos, efluentes y emisiones. Corresponde tambin el monitoreo de los equipos utilizados en los procesos, la evaluacin de los sistemas de control interno, la estimacin de los costos de tratamiento de residuos, la documentacin del relevamiento y la informacin a los representantes de la organizacin en cuestin Etiquetado ambiental (ISO 14020-14024) Las eco - etiquetas proveen informacin a los consumidores acerca de los productos, en trminos de su carcter ambiental. Adheridas o impresas en los empaques o incluso en los propios productos, intentan alentar la demanda de bienes que no afectan o menos perjudican al medio ambiente y estimular as el potencial para una mejora ambiental contnua. Los principios que orientan el desarrollo y uso de etiquetas y declaraciones ambientales estn contenidos en la norma ISO 14020 a 24. ISO ha identificado tres tipos generales de etiquetas: Etiquetas tipo I, basadas en criterios mltiples determinados por terceros en programas voluntarios Etiquetas tipo II, declaraciones informativas sobre el ambiente por parte del propio fabricante. La espiral Moebius para indicar los contenidos reciclados de productos es una etiqueta tipo II. Etiquetas tipo III, basadas en verificaciones independientes utilizando ndices predefinidos, proveen informacin sobre los contenidos del producto.

Ciclo de vida del producto (ISO 14040-14044) Tradicionalmente, para evaluar la calidad ambiental de un producto se consideraban slo los impactos ambientales causados durante la fabricacin del mismo; en la actualidad, la

metodologa utilizada es el anlisis del producto a lo largo de todo su ciclo de vida. Para este anlisis se considera que el medio ambiente es un consumidor; los impactos ambientales negativos se consideran defectos de calidad del producto y deben ser reducidos. Las reas de anlisis estn incluidas en una lista de comprobacin ambiental, la que es utilizada por las empresas para verificar sus ventajas competitivas ambientales respecto a un competidor que fabrica el mismo tipo de producto o para comparar la calidad ambiental de su producto con otros productos diferentes que compiten con el suyo. Todos los tems presentes en esta lista de verificacin del ciclo de vida del producto son puntos que favorecen la competitividad ambiental de una empresa o producto: Contaminacin del aire (sin emisiones areas, emisiones ocasionales o controladas) Contaminacin del agua (sin efluentes lquidos, efluentes ocasionales o diluidos, efluentes tratados o biodegradables) Residuos slidos (sin produccin, reciclables o biodegradables) Materias primas (recursos renovables, obtencin de MP que no causa impactos ambientales negativos) Producto (recicable, biodegradable, larga vida til, poco volumen, bajo peso, reduce el consumo de recursos no renovables, disminuye la contaminacin,) Utilidades (no es fuente de contaminacin, no consume recursos no renovables) Empaque (materiales biodegradables, reciclables, reciclados, livianos, de poco volumen)

Un pasaporte al paraso ambiental? Las Normas ISO 14000 se estn convirtiendo en una herramienta estratgica de las empresas, especialmente para el ingreso a los mercados internacionales. La conciencia por la preservacin del medio ambiente es una cuestin que va ganando terreno a nivel global. Las presiones por un ambiente ms sano son especialmente visibles a partir de las acciones emprendidas por organizaciones ambientalistas y a partir de la mayor demanda de los denominados productos verdes, que se tornan cada vez ms atractivos para los consumidores. La preocupacin medioambiental trasciende todo tipo de fronteras y obliga a los gobiernos a tomar decisiones importantes sobre el tema. Dentro de este marco, las organizaciones se estn viendo forzadas a modificar sus prcticas productivas y utilizar mtodos menos destructivos del medio ambiente. Las Normas ISO 14000, si bien de adhesin voluntaria, contribuyen a acelerar este proceso a travs del establecimiento de SGA que priorizan la racionalizacin en el uso de los recursos y la prevencin de contaminacin Ser el inicio de una nueva revolucin industrial, como piensan muchos?

ISO 24500
La normalizacin favorece el progreso tcnico, el desarrollo econmico y la mejora de la calidad de vida. De acuerdo con lSO, la normalizacin es la actividad que tiene por objeto establecer, ante problemas reales o potenciales, disposiciones destinadas a usos comunes y repetitivos con el fin de obtener un nivel de ordenamiento ptimo en un contexto dado, que puede ser tecnolgico, poltico o econmico.

Normas ISO 24500 La serie de Normas ISO 24500 fue desarrollada como un aporte de la Normalizacin a la Problemtica Mundial del Agua y Saneamiento. Beneficios De La Norma ISO 24500 A los pases en desarrollo: Accesibilidad de los servicios Condiciones de los servicios Continuidad A los pases desarrollados: Calidad del agua Calidad de los servicios Excelencia Caractersticas de la norma Respeta las caractersticas culturales, las condiciones socio-econmicas, climticas, de salud y legales de los distintos pases y regiones del mundo. No interviene en los medios utilizados para lograr los objetivos. No fija el valor de los parmetros por alcanzar, cada entidad lo establece segn su propia realidad. Compatible con otros sistemas de gestin (ambiental, ecoeficiencia, etc).

Aplicable al sector pblico y privado. Aplicable a grandes o pequeas entidades de servicio.

Contribuciones De La Norma Las normas incluyen criterios para verificar si los objetivos han sido alcanzados. Los Indicadores de Desempeo son la herramienta recomendada para lograr la performance de los activos. Las normas establecen la estructura necesaria para implementar el Sistema de Indicadores de Desempeo.

Series De Las Normas ISO 24500 ISO 24510 ISO 24511 ISO 24512

Objetivos Generales La Normas ISO 24511 y 24512 proveen objetivos para la buena gestin de los Servicios de Agua y Saneamiento. La Norma ISO 24510 incluye las expectativas del usuario desde el servicio. Las normas pueden ser usadas para fijar prioridades y restricciones que son necesarias para la gestin de los activos. Las tres normas incluyen directrices que pueden ser usadas para alcanzar esos objetivos.

Objetivos De Las Normas ISO 24500 Mejorar la gestin de los Servicios de Agua y Saneamiento. Proveer Directrices para las actividades relacionadas con estos servicios. Las Directrices estn alineadas con las Metas del Milenio para mejorar la Gobernabilidad y la Calidad de los servicios.

Aportes De Las Normas ISO 24500 Las Directrices llevan a definir valores de desempeo. Involucran a todas las partes interesadas. No dan requisitos para un sistema de gestin. No son certificables. Son complementarias a la ISO 9001 e ISO 14001.

Conducen a armar un Sistema de Indicadores para medir y hacer visibles los servicios de agua y alcantarillado. Permiten la Estandarizacin de los trminos y conceptos usados en agua y saneamiento. Propician el Benchmarking entre empresas similares. Facilitan el intercambio de experiencias o buenas practicas entre empresas similares. Son de aplicacin voluntaria. Serie De Normas ISO 24500 Publicadas ISO 24510 Actividades relacionadas con los servicios de agua potable y agua residual. Esta norma establece directrices para la evaluacin y mejora del servicio a los usuarios.

ISO 24511 Actividades relacionadas con los servicios de agua potable y agua residual. Esta norma establece directrices para la gestin de las entidades prestadoras de servicios de agua residual y para la evaluacin de los servicios de agua residual. ISO 24512 Actividades relacionadas con los servicios de agua potable y agua residual. Esta norma establece directrices para la gestin de las entidades prestadoras de servicios de agua potable y para la evaluacin de los servicios de agua potable.

Las normas ISO relacionadas con la documentacin y La informacin

La normalizacin es un proceso dinmico y continuo imprescindible para el funcionamiento ptimo de toda organizacin y la obtencin de buenos resultados econmicos. La necesidad de realizar el anlisis y procesamiento de los documentos, tanto a nivel nacional como internacional, de forma tal que stos sean comprensibles y compatibles entre s, resulta cada vez ms urgente. Con este fin, se han desarrollado diferentes normas internacionales en el campo de la documentacin y de la informacin cientfica. Es en este sentido que la International Standard Organization (ISO) tiene como propsito fundamental promover (a nivel mundial) el desarrollo de la normalizacin y de actividades afines, con el objetivo de permitir el intercambio internacional de productos y servicios en los sectores industrial, comercial, cientfico, tecnolgico, econmico y otros. Esta organizacin publica mltiples documentos y, en el caso de nuestro sector, compil en el ISO Standards Handbook 1 las normas con l relaciona das para facilitar el acceso a ellas. Este manual combina convenientemente todas las normas ISO relacionadas con la recoleccin sistemtica y el procesamiento de la informacin registrada con fines de almacenamiento, utilizacin y diseminacin, lo que resulta de gran inters para un amplio crculo de usuarios: documentalistas, bibliotecarios, escritores, redactores y gerentes de informacin, entre otros La bibliografa comentada que a continuacin ponemos a su disposicin incluye algunas de las normas recogidas en la parte 4 de este manual, por considerarlas sumamente tiles y necesarias para nuestra actividad. Las normas seleccionadas para incluirlas en esta bibliografa establecen definiciones, modos de realizacin y otros aspectos de distintas prcticas habituales en las bibliotecas, centros de informacin y documentacin, servicios de indizacin y resmenes, archivos, en la ciencia de la informacin y en el trabajo editorial. Esta bibliografa comentada tiene como propsito fundamental dar a conocer el alcance y contenido de algunas de las normas ISO relacionadas con las actividades de documentacin e informacin. ISO 4 1984 (E) Documentacin - Normas para la abreviatura de palabras en el ttulo y de los ttulos de publicaciones. Las reglas contenidas en esta norma son aplicables a la abreviatura de ttulos de publicaciones seriadas de todo tipo, y, si es apropiado, de publicaciones no seriadas en

diferentes idiomas. Esta norma tambin sirve de base para el establecimiento de las abreviaturas de palabras en el ttulo de las publicaciones. En su contenido se especifican, por separado, todos los aspectos a considerar, tanto en la abreviatura de palabras como en la de los ttulos de las publicaciones. La filosofa bsica presentada en esta norma internacional es que cada ttulo debe tener su propia abreviatura -nica-. Resulta de gran utilidad para los autores, editores, bibliotecarios y otros profesionales para preparar abreviaturas no ambiguas de los ttulos de las publicaciones que se citan en las notas al pie de pgina, referencias y bibliografas de los documentos. ISO 8 1977 (E). Documentacin - Presentacin de las publicaciones peridicas. Establece reglas que tienen como objetivo permitir a los editores y casas editoras la presentacin de las publicaciones seriadas, con el fin de facilitar su uso. Explica en detalle, todos y cada uno de los aspectos y requerimientos que deben considerarse en la presentacin de las publicaciones, tales como ttulo, volumen, nmero, diseo, tabla de contenido, paginacin, fecha, etctera. ISO 18 1981 (E) Documentacin - Tabla de contenido de las publicaciones peridicas. Proporciona las reglas esenciales y requisitos a tener en cuenta en la presentacin de las tablas de contenido de las publicaciones seriadas. Considera, adems de otros aspectos, su ubicacin dentro de la publicacin y el orden de los datos que se reflejarn para cada artculo. ISO 999 1975 (E) Documentacin - ndice de una publicacin. Proporciona una serie de requisitos que permiten a los editores y casas editoras producir ndices de publicaciones que faciliten su uso por los bibligrafos, bibliotecarios e investigadores. Aunque esta norma se ha preparado bsicamente para la confeccin de ndices de forma manual, muchos de sus principios se pueden aplicar igualmente a la preparacin automatizada de ndices. Aborda en su contenido, entre otros aspectos, los tipos de ndices, la frecuencia de que publicacin, los datos que deben registrarse en el encabezamiento de un ndice, etctera. ISO 1086 1991. Informacin y documentacin - Portadas de libros. Contiene la informacin que debe aparecer en la portada de los libros (monografas, colecciones, libros de texto, atlas, tesis) y la forma en que debe estar presentada y ordenada. Esta norma se aplica a libros con una composicin horizontal en la que la lectura del texto sea de izquierda a derecha. ISO 2146 1988 (E) Documentacin - Directorios de bibliotecas, archivos, centros de informacin y documentacin y sus bases de datos. Esta norma ayuda a la compilacin y publicacin de los directorios de bibliotecas, archivos, centros de informacin y documentacin, e incluye una descripcin de sus servicios de

bases de datos. Sus reglas abarcan los directorios internacionales y nacionales publicados en pases bilinges o multilinges. Esta norma debe utilizarse tanto para la publicacin de directorios como para el intercambio de datos. ISO 2384 1977 (E) Documentacin - Presentacin de traducciones. Se establecen las reglas que garantizan que las traducciones se presenten en forma normalizada para facilitar su uso por las distintas categoras de usuarios. De acuerdo con esto, esta norma se aplica a las traducciones (completa, parcial o abreviada) de cualquier tipo de documento. No es aplicable a los resmenes. Aborda aspectos relacionados con la traduccin de publicaciones peridicas y seriadas, artculos de revistas y captulos de libros o de libros completos, patentes y otros documentos similares, etctera. No trata lo concerniente a la composicin, mrgenes, mtodos de impresin y tipografa. ISO 2788 1986 (E) Documentacin - Directrices para el establecimiento y el desarrollo de tesauros monolinges. Esta norma abarca algunos aspectos de la seleccin de trminos de indizacin, los procedimientos para el control del vocabulario y, especficamente, el modo de establecer relaciones entre estos trminos (particularmente aquellas relaciones que apriori se utilizan en los tesauros), as como la inclusin y supresin de trminos, los mtodos de compilacin, la forma y el contenido de los tesauros, el uso de la automatizacin en el procesamiento de los datos, etc. Las indicaciones establecidas en esta norma aseguran una prctica uniforme en cada una de las reas o entidades de indizacin. Las tcnicas descritas en su contenido se basan en principios generales que se aplican a cualquier materia. ISO 2789 1991 (E) Estadstica de las bibliotecas a nivel internacional. Las estadsticas que se indican en esta norma abarcan los distintos tipos de bibliotecas nacionales, de instituciones de educacin superior, escolares, especializadas y pblicas, localizadas en un pas particular. Asimismo, informa los datos que se incluyen en el reporte estadstico y establece la forma de comunicar dichos datos. Las estadsticas referidas en esta norma deben elaborarse en intervalos regulares de tres aos. ISO 5963 1985 (E) Documentacin - Mtodos para examinar los documentos, determinar su materia y seleccionar los trminos de indizacin. Se describen los mtodos para examinar y analizar los documentos, determinar la materia que tratan y seleccionar los trminos de indizacin apropiados. Esta norma se limita a las etapas preliminares de la indizacin y no incluye las prcticas de un tipo especfico de sistema de indizacin, ya sea pre-coordinado o post-coordinado. Las tcnicas descritas en esta norma pueden ser usadas por cualquier institucin de informacin donde el proceso de indizacin se realice de forma manual; por el contrario, no se aplican en aquellas instituciones que empleen tcnicas de indizacin automatizada. Esta norma tiene como propsito guiar a los indizadores durante las etapas de anlisis de documentos e identificacin de conceptos esenciales en la descripcin de la materia.

ISO 5964 1985 (E) Gua para el establecimiento y desarrollo de tesauros multilinges. Las reglas ofrecidas en esta norma deben utilizarse en conjunto con la norma ISO 2788 (Gua para el establecimiento y desarrollo de tesauros monolinges), pues la mayora de los mtodos y recomendaciones consideradas en sta son igualmente vlidas para los tesauros multilinges. La presente norma se considera como un paso fundamental en el perfeccionamiento de la recuperacin de la informacin y el logro de la compatibilidad entre los tesauros producidos por instituciones que indizan con trminos seleccionados a partir de ms de dos lenguajes naturales (idiomas). Su contenido abarca los problemas multilinges que pueden surgir durante la creacin de un tesauro convencional. ISO 7275 1985 (E) Documentacin - Presentacin de la informacin en el ttulo de una serie. Se describen los elementos necesarios para la identificacin y descripcin bibliogrfica de las series y partes de ellas, y ofrece las reglas para la presentacin, numeracin y ubicacin de tales elementos. Su objetivo es permitir a editores y casas editoras la identificacin de las publicaciones agrupadas en series, lo que facilita su adquisicin y registro. De esta forma, se ofrece una norma simple que, de aplicarse, los editores y casas editoriales comprendern mejor la terminologa y descripcin bibliogrfica de las series. ISO 8459 1 1988 (E) Documentacin - Directorio de elementos de dato para uso bibliogrfico. Parte 1. Aplicacin en el intercambio de prstamos. Se describe, en forma de directorio, los elementos de dato usados para respaldar procesos bibliogrficos o sus aplicaciones. Est provista de ilustraciones que muestran la relacin entre los elementos de dato y ejemplos de su utilizacin. Esta norma es la primera de una serie que integra el directorio completo de los elementos de dato para su uso bibliogrfico, y est diseada fundamentalmente para los nuevos sistemas de intercambio de prstamo. Esta parte especfica describe los elementos de dato necesarios para el intercambio de datos entre las instituciones en la actividad de prstamo.

Norma Tcnica Peruana de Seguridad De la Informacin ISO/IEC 17799

La presente Norma Tcnica Peruana ha sido elaborada por el Comit Tcnico de Normalizacin de Codificacin e Intercambio Electrnico de Datos (EDI), mediante el Sistema 1 u Adopcin, durante los meses de junio a julio del 2006, utilizando como antecedente a la Norma ISO/IEC 17799:2005 Information technology Code of practice for information security management. El Comit Tcnico de Normalizacin de Codificacin e Intercambio Electrnico de Datos (EDI) present a la Comisin de Reglamentos Tcnico y Comerciales -CRT-, con fecha 2006-07-21, el PNTP-ISO/IEC 17799:2006 para su revisin y aprobacin; siendo sometido a la etapa de Discusin Pblica el 2006-11-25. No habindose presentado observaciones fue oficializada como Norma Tcnica Peruana NTPISO/IEC 17799:2007 EDI. Tecnologa de la informacin. Cdigo de buenas prcticas para la gestin de la seguridad de la informacin, 2 Edicin, el 22 de enero del 2007. Esta Norma Tcnica Peruana es una adopcin de la Norma ISO/IEC 17799:2005. La presente Norma Tcnica Peruana presenta cambios editoriales referidos principalmente a terminologa empleada propia del idioma espaol y ha sido estructurada de acuerdo a las Guas Peruanas GP 001:1995 y GP 002:1995

Qu es la seguridad de la Informacin?
La informacin es un activo que, como otros activos importantes del negocio, tiene valor para la organizacin y requiere en consecuencia una proteccin adecuada. Esto es muy importante en el creciente ambiente interconectado de negocios. Como resultado de esta creciente interconectividad, la informacin est expuesta a un mayor rango de amenazas y vulnerabilidades. La informacin adopta diversas formas. Puede estar impresa o escrita en papel, almacenada electrnicamente, transmitida por correo o por medios electrnicos, mostrada en video o hablada en conversacin. Debera protegerse adecuadamente cualquiera que sea la forma que tome o los medios por los que se comparta o almacene. La seguridad de la informacin protege a sta de un amplio rango de amenazas para asegurar la continuidad del negocio, minimizar los daos a la organizacin y maximizar el retorno de las inversiones y las oportunidades de negocios.

La seguridad de la informacin se consigue implantando un conjunto adecuado de controles, que pueden ser polticas, prcticas, procedimientos, estructuras organizativas y funciones de software y hardware. Estos controles necesitan ser establecidos, implementados, monitoreados, revisados y mejorados donde sea necesario, para asegurar que se cumplan los objetivos especficos de seguridad y negocios de la organizacin.

Por qu es necesaria la seguridad de informacin?

La informacin y los procesos que la apoyan, los sistemas y redes son importantes activos de la organizacin. Definir, realizar, mantener y mejorar la seguridad de informacin, pueden ser esenciales para mantener la competitividad, flujo de liquidez, rentabilidad, cumplimiento de la legalidad e imagen comercial. Las organizaciones y sus sistemas de informacin se enfrentan, cada vez ms, con riesgos e inseguridades procedentes de una amplia variedad de fuentes, incluyendo fraudes basados en informtica, espionaje, sabotaje, vandalismo, incendios o inundaciones. Ciertas fuentes de daos como virus informticos y ataques de intrusin o de negacin de servicios se estn volviendo cada vez ms comunes, ambiciosos y sofisticados. La seguridad de informacin es importante en negocios tanto del sector pblico como del privado y para proteger las infraestructuras crticas. En ambos sectores, la seguridad de informacin permitir, por ejemplo lograr el gobierno electrnico o el comercio electrnico, evitando y reduciendo los riesgos relevantes. La interconexin de las redes pblicas y privadas y el compartir los recursos de informacin aumentan la dificultad de lograr el control de los accesos. La tendencia hacia la informtica distribuida debilita la eficacia de un control central y especializado. Muchos sistemas de informacin no se han diseado para ser seguros. La seguridad que puede lograrse a travs de los medios tcnicos es limitada, y debera apoyarse en una gestin y procedimientos adecuados. La identificacin de los controles que deberan instalarse requiere una planificacin cuidadosa y una atencin al detalle. La gestin de la seguridad de la informacin necesita, como mnimo, la participacin de todos los empleados de la organizacin. Tambin puede requerir la participacin de los proveedores, clientes o accionistas. La asesora especializada de organizaciones externas tambin puede ser necesaria.

Cmo establecer los requisitos de seguridad?

Es esencial que la organizacin identifique sus requisitos de seguridad. Existen tres fuentes principales: 1. La primera fuente procede de la valoracin de los riesgos de la organizacin, tomando en cuenta los objetivos y estrategias generales del negocio. Con ella se identifican las amenazas a los activos, se evala la vulnerabilidad y la probabilidad de su ocurrencia y se estima su posible impacto. 2. La segunda fuente es el conjunto de requisitos legales, estatutos, regulaciones y contratos que debera satisfacer la organizacin, sus socios comerciales, los contratistas y los proveedores de servicios.

3. La tercera fuente est formada por los principios, objetivos y requisitos que forman parte del tratamiento de la informacin que la organizacin ha desarrollado para apoyar sus operaciones.

Evaluacin de los riesgos de seguridad

Los requisitos de seguridad se identifican mediante una evaluacin metdica de los riesgos. El gasto en controles debera equilibrarse con el posible impacto econmico, resultante de los fallos de seguridad. Los resultados de sta evaluacin ayudarn a encauzar y determinar una adecuada accin gerencial y las prioridades para gestionar los riesgos de seguridad de la informacin, y la implantacin de los controles seleccionados para protegerse contra dichos riesgos. Las evaluaciones de riesgos deben repetirse peridicamente para tener en cuenta cualquier cambio que pueda influir en los resultados de la evaluacin. Mayor informacin sobre las evaluaciones de riesgos puede ser encontrada en el inciso 4.1 Evaluando los riesgos de seguridad

Seleccin de controles
Una vez que los requisitos de seguridad han sido identificados y las decisiones para el tratamiento de riesgos han sido realizadas, deberan elegirse e implantarse los controles que aseguren la reduccin de los riesgos a un nivel aceptable. Pueden elegirse los controles partiendo de este documento, de otros conjuntos de controles o de nuevos controles que pueden disearse para cubrir adecuadamente las necesidades especficas. La seleccin de los controles de seguridad depende de las decisiones organizacionales basadas en el criterio para la identificacin y clasificacin de riesgos, las opciones para el tratamiento de estos y la gestin general de riesgos aplicable a la organizacin. As mismo, debe ser sujeto a toda regulacin y legislacin nacional e internacional. Ciertos controles expuestos en este documento, pueden considerarse como principios que guan la gestin de la seguridad de la informacin, aplicables a la mayora de las organizaciones. Estos se explican en ms detalle en el siguiente inciso denominado Punto de partida de la seguridad de la informacin.

Punto de partida de la seguridad de la informacin

Cierto nmero de controles se consideran principios orientativos que proporcionan un punto de partida adecuado para implantar la seguridad de la informacin. Se apoyan en requisitos legislativos esenciales o se considera la mejor prctica habitual para conseguir dicha seguridad. Los controles que se consideran esenciales para una organizacin desde un punto de vista legislativo comprenden:

a) la proteccin de los datos de carcter personal y la intimidad de las personas (vase el inciso 15.1.4).

b) la salvaguarda de los registros de la organizacin (vase el inciso 15.1.3). c) los derechos de la propiedad intelectual (vase el inciso 15.1.2).

Los controles que se consideran la mejor prctica habitual para conseguir la seguridad de la informacin comprenden: a) la documentacin de la poltica de seguridad de la informacin (vase el inciso 5.1.1); b) la asignacin de responsabilidades de seguridad (vase el inciso 6.1.3); c) la formacin y capacitacin para la seguridad de la informacin (vase el inciso 8.2.2); d) el procedimiento correcto en las aplicaciones (vase el inciso 12.2); e) la gestin de la vulnerabilidad tcnica (vase el inciso 12.6); f) la gestin de la continuidad del negocio (vase el inciso 14); g) el registro de las incidencias de seguridad y las mejoras (vase el inciso 13.2). Estos controles pueden aplicarse a la mayora de las organizaciones y los entornos. Es conveniente sealar que pese a la importancia dada a los controles en este documento, la importancia de cualquier control debera determinarse a la luz de los riesgos especficos que afronta la organizacin. Por tanto y aunque el enfoque anterior se considere un buen punto de partida, no sustituye a la seleccin de controles basada en una evaluacin del riesgo.

Factores crticos de xito

La experiencia muestra que los siguientes factores suelen ser crticos para el xito de la implantacin de la seguridad de la informacin en una organizacin: a) una poltica, objetivos y actividades que reflejen los objetivos del negocio de la organizacin; b) un enfoque para implantar, mantener, monitorear e improvisar la seguridad que sea consistente con la cultura de la organizacin; c) el apoyo visible y el compromiso de la alta gerencia; d) una buena comprensin de los requisitos de la seguridad, de la evaluacin del riesgo y de la gestin del riesgo; e) la conviccin eficaz de la necesidad de la seguridad a todos los directivos y empleados; f) la distribucin de guas sobre la poltica de seguridad de la informacin de la organizacin y de normas a todos los empleados y contratistas; g) aprovisionamiento para financiar actividades de gestin de seguridad de la informacin; h) la formacin y capacitacin adecuadas; i) establecer un efectivo proceso de gestin de incidentes de la seguridad de informacin; j) un sistema integrado y equilibrado de medida que permita evaluar el rendimiento de la gestin de la seguridad de la informacin y sugerir mejoras.

Desarrollo de directrices propias

Este cdigo de buenas prcticas puede verse como punto de partida para desarrollar la gestin especfica de la seguridad en una organizacin. Pueden no ser aplicables todas las recomendaciones y controles de este cdigo. Incluso pueden requerirse controles adicionales que este documento no incluye. Cuando esto suceda puede ser til mantener referencias cruzadas que faciliten la comprobacin de la conformidad a los auditores y otros asociados de la organizacin.

Objetivo y campo de la aplicacin

Esta norma ofrece recomendaciones para realizar la gestin de la seguridad de la informacin que pueden utilizarse por los responsables de iniciar, implantar o mantener y mejorar la seguridad en una organizacin. Persigue proporcionar una base co mn para desarrollar normas de seguridad dentro de las organizaciones y ser una prctica eficaz de la gestin de la seguridad.

Estructura de este estndar

Este estndar contiene 11 clusulas de control de seguridad que contienen colectivamente un total de 39 categoras principales de seguridad y una clusula introductoria conteniendo temas de evaluacin y tratamiento del riesgo. Cada clusula contiene un nmero de categoras principales de seguridad. Las 11clusulas (acompaadas por el nmero de categoras principales de seguridad incluidas en cada clusula) son:

a) b) c) d) e) f) g) h) i) j) k)

Poltica de seguridad (1); Organizando la seguridad de informacin (2); Gestin de activos Seguridad en recursos humanos (3); seguridad fsica y ambiental (2); Gestin de comunicaciones y operaciones (10); Control de acceso (7); Adquisicin, desarrollo y mantenimiento de sistemas de informacin (6); Gestin de incidentes de los sistemas de informacin (2); Gestin de la continuidad del negocio (1); cumplimiento

Evaluacin y tratamiento del riesgo

La evaluacin de riesgos debe identificar, cuantificar y priorizar riesgos contra el criterio para la aceptacin del riesgo y los objetivos relevantes para la organizacin. Los resultados deben guiar y determinar la apropiada accin de gestin y las prioridades para manejar la informacin

de los riesgos de seguridad y para implementar controles seleccionados para proteger estos riesgos. El proceso de evaluacin de riesgos y de seleccionar controles puede requerir que sea realizado un numero de veces con el fin de cubrir diferentes partes de la organizacin o sistemas de informacin individuales.

Poltica de seguridad
Dirigir y dar soporte a la gestin de la seguridad de la informacin en concordancia con los requerimientos del negocio, las leyes y las regulaciones. La gerencia debera establecer de forma clara las lneas de la poltica de actuacin y manifestar su apoyo y compro miso a la seguridad de la informacin, publicando y manteniendo una poltica de seguridad en toda la organizacin.

Aspectos organizativos para la seguridad

Gestionar la seguridad de la informacin dentro de la organizacin. Debera establecerse una estructura de gestin para iniciar y controlar la implantacin de la seguridad de la informacin dentro de la organizacin. Es conveniente organizar foros de gestin adecuados con las gerencias para aprobar la poltica de seguridad de la informacin, asignar roles de seguridad y coordinar la implantacin de la seguridad en toda la organizacin. Si fuera necesario, debera facilitarse el acceso dentro de la organizacin a un equipo de consultores especializados en seguridad de la informacin. Deberan desarrollarse contactos con especialistas externos en seguridad para mantenerse al da en las tendencias de la industria, la evolucin de las normas y los mtodos de evaluacin, as como tener un punto de enlace para tratar las incidencias de seguridad. Debera fomentarse un enfoque multidisciplinario de la seguridad de la informacin.

Clasificacin y control de activos

Mantener una proteccin adecuada sobre los activos de la organizacin. Todos los activos deben ser considerados y tener un propietario asignado. Deberan identificarse los propietarios para todos los activos importantes, y se debera asignar la responsabilidad del mantenimiento de los controles apropiados. La responsabilidad de la implantacin de controles debera delegarse. Pero la responsabilidad debera mantenerse en el propietario designado del activo.

Seguridad de recursos humanos

Asegurar que los empleados, contratistas y terceros entiendan sus responsabilidades y que sean adecuados para los roles para los que han sido considerados, reduciendo el riesgo de hurto, fraude o mal uso de las instalaciones.

Seguridad fsica y del entorno

Evitar accesos no autorizados, daos e interferencias contra los locales y la informacin de la organizacin. Los recursos para el tratamiento de informacin crtica o sensible para la organizacin deberan ubicarse en reas seguras protegidas por un permetro de seguridad definido, con barreras de seguridad y controles de entrada apropiados. Se debera dar proteccin fsica contra accesos no autorizados, daos e interferencias.

Gestin de comunicaciones y operaciones

Asegurar la operacin correcta y segura de los recursos de tratamiento de informacin. Se deberan establecer responsabilidades y procedimientos para la gestin y operacin de todos los recursos de tratamiento de informacin. Esto incluye el desarrollo de instrucciones apropiadas de operacin y de procedimientos de respuesta ante incidencias. Se implantar la segregacin de tareas, cuando sea adecuado, para reducir el riesgo de un mal uso del sistema deliberado o por negligencia

Control de accesos
Controlar los accesos a la informacin. Se debera controlar el acceso a la informacin y los procesos del negocio sobre la base de los requisitos de seguridad y negocio. Se deberan tener en cuenta para ello las polticas de distribucin de la informacin y de autorizaciones.

Adquisicin, mantenimiento y desarrollo de sistemas

Asegurar que la seguridad est imbuida dentro de los sistemas de informacin. Esto incluir la infraestructura, las aplicaciones de negocio y las aplicaciones desarrolladas por usuarios. El diseo y la implantacin de los procesos de negocio que soportan las aplicaciones o el servicio, pueden ser cruciales para la seguridad. Los requisitos de seguridad deberan ser identificados y consensuados antes de desarrollar los sistemas de informacin.

Gestin de incidentes en la seguridad de la informacin

Asegurar que los eventos y debilidades en la seguridad de informacin asociados con los sistemas de informacin sean comunicados de una manera que permita que se realice una accin correctiva a tiempo. El reporte formal de eventos y los procedimientos de escalada deben estar implementados. Todos los empleados, contratistas y terceros deben estar al tanto de los procedimientos para reportar los diferentes tipos de eventos y debilidades que puedan tener impacto en la seguridad

de los activos organizacionales. Se les debe requerir que reporten cualquier evento o debilidad en la seguridad de informacin, lo ms rpido posible, al punto de contacto designado

Gestin de continuidad del negocio

Reaccionar a la interrupcin de actividades del negocio y proteger sus procesos crticos frente a grandes fallos de los sistemas de informacin o desastres. Se debera implantar un proceso de gestin de continuidad del negocio para reducir, a niveles aceptables, la interrupcin causada por los desastres y fallas de seguridad (que, por ejemplo, puedan resultar de desastres naturales, accidentes, fallas de equipos o acciones deliberadas) mediante una combinacin de controles preventivos y de recuperacin. Este proceso debe identificar los procesos crticos de negocio e integrar los requisitos de gestin de la seguridad de informacin para la continuidad del negocio con otros requisitos de continuidad relacionados con dichos aspectos como operaciones, proveedores de personal, materiales, transporte e instalaciones. Se deberan analizar las consecuencias de los desastres, fallas de seguridad, prdidas de servicio y la disponibilidad del servicio. Se deberan desarrollar e implantar planes de contingencia para asegurar que los procesos del negocio se pueden restaurar en los plazos requeridos las operaciones esenciales. La seguridad de informacin debe ser una parte integral del plan general de continuidad del negocio y de los dems procesos de gestin dentro de la organizacin. La gestin de la continuidad del negocio debera incluir en adicin al proceso de evaluacin, controles para la identificacin y reduccin de riesgos, limitar las consecuencias de incidencias dainas y asegurar la reanudacin, a tiempo, de las operaciones esenciales.

Cumplimiento
Evitar los incumplimientos de cualquier ley civil o penal, requisito reglamentario, regulacin u obligacin contractual, y de todo requisito de seguridad. El diseo, operacin, uso y gestin de los sistemas de informacin puede estar sujeto a requisitos estatutarios, regulatorios y contractuales de seguridad. Se debera buscar el asesoramiento sobre requisitos legales especficos de los asesores legales de la organizacin, o de profesionales del derecho calificados. Los requisitos legales varan de un pas a otro, al igual que en el caso de las transmisiones internacionales de datos (datos creados en un pas y transmitidos a otro).