El pasado mes de Diciembre INGHENIA obtuvo la certificación internacional ISO 27001:2005 de Requisitos para los Sistemas de Gestión de Seguridad de la Información.

Luego de una exhaustiva auditoría llevada a cabo por auditores y expertos técnicos del Organismo Certificador, se otorgó a INGHENIA la certificación de su sistema de gestión de seguridad de la información para sus procesos de Soporte de uso e instalación de la herramienta informática ISOKEY, Desarrollo y mantenimiento de extensibilidades de ISOKEY y Prestación de servicios de consultoría en sistemas de gestión.

Este logro se consigue luego de un año de trabajo que involucró a todo el personal de la empresa más proveedores y colaboradores, que recibieron entrenamiento en los requisitos de la norma ISO 27001 y participaron en la identificación de los activos de información de la empresa, el análisis de los riesgos relativos a seguridad de la información y el establecimiento de las acciones necesarias para gestionar los riesgos identificados.

Constituye un paso más que da INGHENIA en el camino de la excelencia, haciendo foco a través de la aplicación de esta norma internacional en el aseguramiento de la protección, la integridad, la confidencialidad y el adecuado uso de la información propia y de sus clientes.

El valor de la información

La información es uno de los recursos más importantes de las organizaciones actuales, en lo relativo a la integridad o completitud de los datos que la componen, la disponibilidad del recurso (muchas veces el éxito de un proceso depende de la prontitud en que se consigue la información necesaria para ejecutar las actividades), así como el adecuado control de la confidencialidad que asegure que la información reservada es accesible solamente por quienes la necesitan.

En el caso de Inghenia la importancia del adecuado manejo de la información es un factor relevante en la prestación de los servicios. Los procesos principales de la organización, como la consultoría en sistemas de gestión ISO, los procesos de implementación de la herramienta informática ISOKEY y los procesos de desarrollo de software a medida, implican el acceso por parte de los consultores, analistas y desarrolladores de Inghenia a información sensible del cliente, que debe ser utilizada de forma controlada, sistemática y trazable.

Es entonces un factor clave de éxito para las organizaciones de consultoría y tecnología el disponer de un conjunto de reglas claras acerca de la forma en que debe gestionarse la información propia y del cliente, un equipo humano consciente de la importancia de observar las políticas, procesos y procedimientos establecidos, además de los riesgos que se toman ante apartamientos a estas reglas, y una infraestructura física y lógica que permita minimizar las vulnerabilidades a las que pueda estar expuesta la información utilizada.

La implantación de la norma ISO 27001

El proyecto de implementación de esta norma se definió con el cometido de consolidar los procesos del negocio desde el punto de vista de la preservación de la información que INGHENIA utiliza, buscando también la fidelización de los clientes, a través de procesos de seguridad física, lógica y tecnológica que garanticen la confidencialidad e integridad de la información propia y de los clientes.

Como todas las normas de la familia ISO de sistemas de gestión, la ISO 27001 está enfocada en el ciclo de mejora P-D-C-A, para lo cual existió una fase primaria de diagnosis, identificación de las buenas prácticas en seguridad de la información y del marco normativo correspondiente, análisis e identificación de activos de información, vulnerabilidades y riesgos asociados a las situaciones normales de trabajo, y también a situaciones extraordinarias y de emergencia.

Posteriormente se decidió un plan para tratar los riesgos identificados, con énfasis en eliminar o mitigar aquéllos vinculados a los procesos relacionados con los clientes.

La implementación de la norma continuó con la adopción de los controles y las contramedidas definidas para tratar los riesgos inaceptables de seguridad de la información, con énfasis en los procesos de comunicación, capacitación y concienciación de todo el personal de INGHENIA.

El éxito del proyecto se basó en un marcado liderazgo por parte de la Dirección; el funcionamiento de la estructura de seguridad, con un Responsable de Seguridad de la Información que coordina interna y externamente las actividades relativas al SGSI; el compromiso de todo el personal en la aplicación de las políticas, procedimientos y controles; y la herramienta informática ISOKEY, a través de la cual se gestionó cada una de las fases del proyecto.

¿Por qué implantar un Sistema de Gestión de Inocuidad Alimentaria? ¿Qué beneficios trae si se implementa conforme a “las ISO 22000”? ¿Es posible integrarlo a otros Sistemas de Gestión?

En el mercado de alimentos cada vez más aumenta la exigencia en lo que respecta a inocuidad y calidad. Es por este motivo, que actualmente preguntas como éstas se están realizando en la industria alimentaria.

Alcance

Las ISO 22000 son un conjunto de normas publicadas por la Organización Internacional de Normalización para la implementación de sistemas de gestión de inocuidad de los alimentos. Hoy en día, son empleadas cada vez más cuando una organización quiere demostrar su capacidad de controlar los peligros relacionados con la inocuidad de los alimentos. El objetivo es asegurarse que el producto es inocuo al momento de consumo.

Con el correr de los años se fueron creando normas para distintos sectores de la industria alimentaria, como las Buenas Prácticas Agrícolas (BPA) y las Buenas Prácticas de Laboratorio. Las mismas son aplicables únicamente en los respectivos sectores.

La norma ISO 22000 unifica principios y resulta aplicable a todos los sectores relativos a los alimentos, convirtiéndose en un estándar a nivel mundial.

Incluye un Sistema de Análisis de Peligros y Puntos Críticos de Control (HACCP) conforme con los principios establecidos por el Codex Alimentarius, tan utilizado y exigido en la industria cárnica, y establece requisitos relativos a las Buenas Prácticas de Manufactura en lo que llama “Programas de Prerrequisitos”.

Dado que pretende englobar los requisitos de la gestión de la inocuidad de los alimentos para toda actividad dentro de la cadena alimentaria, la norma ISO 22000 es aplicable a cualquier empresa relativa a alimentos.

Ésta puede ser implementada en organizaciones que estén en contacto directo o indirecto con la cadena de suministro de alimentos, independientemente de su tamaño y del lugar que ocupe en la cadena alimentaria.
Es decir, es posible instaurar un sistema de inocuidad de alimentos que cumpla con los requisitos establecidos por esta norma, tanto en una empresa productora de hamburguesas o en un servicio de catering, así como también en una empresa productora de material de empaque o un proveedor de maquinaria. Este hecho constituye una de las principales ventajas de implantar un sistema de inocuidad en conformidad con la norma ISO 22000, al tiempo que la integración de los principios de inocuidad alimentaria fomenta la cooperación entre las distintas industrias y gobiernos.

Implantación de la Norma

El objetivo fundamental de la implantación de este sistema es la obtención de productos que no causen daño al consumidor. Para ello, la norma pone énfasis en la prevención ante la corrección. Exige un sistema que permita la trazabilidad a lo largo de toda la cadena productiva y un sistema de gestión de No Conformidades, que implica que con la aplicación de acciones correctivas se evite la repetición de sucesos.

Asimismo, hace hincapié en la comunicación entre las partes interesadas. Por ello debe ser interactiva y proactiva, generando de tal manera que los involucrados siempre se mantengan actualizados sobre cualquier cambio en el sistema. Principalmente, permite identificar y controlar todos los peligros potenciales y relevantes de la inocuidad en cada paso de la cadena alimentaria, facilitando la obtención de productos inocuos.

Principales Beneficios

Dentro de los beneficios que conlleva un sistema de inocuidad alimentaria se encuentran:

• La mejora de la competitividad en el sector económico, aumentando los rendimientos de los costos y mejorando el posicionamiento de sus productos en los mercados, tanto el nacional como el internacional

• La minimización de peligros relativos al producto

• Control de los procesos internos y minimización del riesgo de error

• Motivación del personal y mejor uso de los recursos

• Obtención de productos acordes con sus usos intencionados e inocuos

• Cumplimiento con las exigencias legales y reglamentarias y con las acordadas con el cliente, lo que genera confianza en autoridades gubernamentales, clientes y distribuidores

• Protección a los consumidores y satisfacción de sus necesidades y expectativas

• Herramienta de promoción y reconocimiento externo

• Mejora continua del desempeño

Además, la norma ISO 22000 presenta la ventaja de estar alineada a las normas ISO 9001 e ISO 14000, resultando relativamente fácil su implantación en empresas dónde ya se encuentra implantado un Sistema de Gestión de Calidad y/o Ambiental conforme a dichas normas, logrando un Sistema de Gestión Integrado.

Esta posibilidad conlleva un mejor ordenamiento y sistematización de los procesos y una planificación estratégica sinérgica sin solapamientos. También logra una visión global en la organización, donde los distintos sectores interactúan, trabajando en conjunto de acuerdo a los objetivos establecidos. Esto genera un amplio compromiso por la mejora continua.

Asimismo, los Sistemas de Inocuidad Alimentaria son también certificables por lo que incluso pueden llevarse a cabo Auditorías de los Sistemas en simultáneo, donde el organismo de certificación otorga un certificado combinado.

Un Sistema de Gestión de Calidad, Ambiental y de Inocuidad de los Alimentos integrado presenta una enormidad de beneficios. Estos hacen que una organización con un sistema de este tipo logre un posicionamiento ventajoso en el mercado, mejorando considerablemente su competitividad.

La norma, denominada ISO 31000:2009, Risk management – Principles and guidelines, tiene como objetivo ayudar a las organizaciones de todo tipo y tamaño a gestionar el riesgo con efectividad.

El nuevo standard ISO provee de los principios, el marco y un proceso destinado a gestionar cualquier tipo de riesgo en una manera transparente, sistemática y creible dentro de cualquier alcance o contexto.

Al mismo tiempo, ISO está publicando la Guia 73:2009, Risk management vocabulary, que complementa ISO 31000 al proveer una colección de términos y definiciones relacionados con la gestión de riesgo.

Según explicó Kevin W. Knight, quien estuvo a cargo del grupo de trabajo de ISO que desarrolló el standard, “Todas las organizaciones, no importa si son grandes o pequeñas, se enfrentan a factores internos y externos que le quitan certeza a la posibilidad de alcance de sus objetivos. Este efecto de falta de certeza es el “riesgo” y es inherente a todas las actividades.”

La norma ISO 31000, según sus palabras, se espera sirva para ayudar a la industria y el comercio, tanto pública como privada, a emerger de la crisis. De hecho la falta de gestión de riesgos es una de las causantes de las crísis.

El standard recomienda que las organizaciones desarrollen, implementen y mejoren en forma continua el marco de gestión de riesgo como un componente integral del sistema de gestión.

ISO 31000 es un documento práctico que busca asistir a las organizaciones en el desarrollo de su propia estrategia de gestión de riesgo. Pero no se trata de un standard “certificable”.

ISO 31000 está diseñado para ayudar a las organizaciones a:

• Incrementar las chances de alcanzar sus objetivos

• Fomentar la gestión proactiva

• Tener cuidad en identificar y tratar el riesgo a través de toda la organización

• Mejorar en la identificación de oportunidades y amenazas

• Cumplimentar con los requisitos legales y regulatorios y las normas internacionales

• Mejorar los reportes financieros

• Mejorar la gobernabilidad

• Incrementar la confianza de los accionistas

• Establecer un base confiable para la toma de decisiones y el planeamiento

• Mejorar los controles

• Distribuir y utilizar efectivamente los recursos para tratamiento de riesgos

• Mejorar la eficiencia y eficacia operacional

• Mejorar el rendimiento en lo que a salud, seguridad y protección ambiental se refiere

• Mejorar las previsiones de pérdidas y la gestión de incidentes

• Minimizar pérdidas

• Mejorar el aprendizaje organizacional

ISO 31000 y la guía ISO 73 son de aplicación para la empresa privada, pública y comunitaria, para cualquier asociación, grupo o individuo.

Quienes deberían interiorizarse de estas normas:

• Los responsables en la implementación de la gestión de riesgo dentro de cada organización

• Aquellos que necesitan asegurarse que la organización gestione sus riesgos

• Aquellos que necesitan evaluar las prácticas de la organización referidas a la gestión de riesgos

• Los desarrolladores de standards, guías y procedimientos relacionados con la gestión de riesgos

Ambos documentos fueron desarrolaldos por el Gurpo de Trabajo de ISO en Gestión de Riesgos.

La ISO acaba de lanzar una compilación en CD-ROM que contiene toda la colección de standards referidos a las Especificaciones Técnicas de Productos (Technical Product Specification – TPS), los que son esenciales para la manufactura sobre una base global, y que también provee un lenguaje común para la especificación de productos y contratos, así como para la comunicación a lo largo de cadenas de abastecimiento globales.

El CD-ROM incluye todos los standards desarrollados por ISO/TC 213, especificaciones y verificaciones de tamaño y geometría, asi como los standards relevantes desarrollados por otros comités de ISO, como ISO/TC 10.

Más información disponible en el sitio de ISO.

Para cada país que figura en el directorio, los usuarios pueden encontrar:

• La persona de contacto para asuntos de consumidores

• Tipos de participación de los consumidores en la política y/o comités de gestión

• Soporte que los miembros de la ISO le dan a la participación de los consumidores

• Recursos públicos disponibles para los interesados

Para las áreas prioritarias específicas, los usuarios pueden encontrar:

• Representación de los consumidores en los comités internacionales de la ISO y la Comisión Electrotécnica Internacional (IEC)

• Los comités nacionales o comités espejo

• Otras iniciativas relacionadas

El directorio es una herramienta valiosa para los miembros COPOLCO, representantes de los consumidores, los investigadores y los miembros interesados del público en general que deseen profundizar en las estructuras y procesos de participación de los consumidores dentro de la ISO.

En un ambiente mas relajado que lo habitual, mucho más cerca del blog que de la norma, la ISO presenta en su sitio The ISO Café la mas variada información sobre las normativas ISO, agrupada por actividad, orientada sobre todo a estudiantes y neófitos en el tema.

Eso si, el sitio está en Inglés.

Las notas que presenta no escatiman caricaturas ni comentarios humorísticos (si uno tiene muchas ganas de reírse, por supuesto), pero son cortas y fáciles de leer.

Recomendado para los que quieren tener una idea rápida de las áreas en las que se mueve esta organización.