Skip to main content

Etiqueta: ISO 27001

El consomé de pollo de la tía Lucha y los Procesos

Un homenaje a la tía Lucha

La tía Lucha quería demostrar que hacía mucho en el día a día en su casa. Entonces, cuando contaba cómo hacía su consomé de pollo, lo contaba con el máximo detalle, empezando desde que se levantaba, iba al mercado, traía el pollo, limpiaba el pollo, lo cocía… todo esto, para al final decir que hizo su delicioso consomé de pollo.

Te contamos esta historia porque queremos hacer la analogía de un proceso que se establece como el consomé de pollo de la tía Lucha. Si en tus procesos los insumos y resultados son los mismos y entran y salen una y otra vez, así como el pollo, esto claramente no es un proceso, sino un procedimiento o instrucción de cómo hacer la actividad.

La dinámica del proceso debe ser práctica, es decir, entra pollo crudo y resulta consomé de pollo. ¿De dónde viene? de un proveedor y ¿a dónde va? va al comensal. Si lo que queremos es describir al detalle cómo se prepara el pollo, así como lo hacía la tía Lucha, esto ya sería una receta y esta hace parte del proceso para hacer consomé de pollo, pero no es el proceso.

En conclusión, los procesos son representaciones abstractas de un grupo de actividades similares, que No son procedimientos o instrucciones, el procedimiento o instrucción (que es el detalle sobre cómo realizar una actividad), hace parte del proceso.

A continuación puedes descargar un ejemplo de un Mapa de procesos de un SGC:

No seas esclavo de tu Sistema de Gestión ISO

Un Apache que era parte de un circo, tenía como uno de sus actos, subirse a una plataforma de diez metros, desde la cual se lanzaba a un barril con agua. Al caer, no le pasaba nada, salía ileso, esa era su gracia. Un día, después de tomar mucho aguardiente, el Apache se sintió muy valiente y dijo: No, no, no, no pongan el barril, pongan una cubeta, una cubeta con agua, la miró y dijo: no, no, no, mejor un vaso con agua, miro el vaso de agua y dijo: no, no, no, mejor solo pongan un trapo mojado. El dueño del circo le dijo que era muy peligroso, pero el Apache insistió tanto, que el dueño del circo terminó por aceptar. Entonces, pusieron el trapo mojado, para que el Apache hicieran su acto, este se tiró de los diez metros y obviamente se fracturó todo, cuando recobró el conocimiento, su reclamo fue: ¡Oiga! ¿qué pasó?, ¿quién exprimió el trapo?


¿Cómo aplicas la historia del Apache a tu sistema de gestión?


No seas tan específico como el Apache, si tu sistema es demasiado preciso, por ejemplo, si quieres controlar, hasta los centímetros de las márgenes de tu información documentada, te va a pasar lo que al Apache y en cierto momento puede ser que no cumplas, entonces tendrás una no conformidad (la cual pudiste evitar), por incumplir un requisito interno, el cual la misma empresa se ha impuesto.

¿Si ves el punto?

Hay momentos en los que conviene y otros en los que no, por ejemplo, en el control de calidad, donde se establecen ciertas especificaciones y límites de aceptación, los cuales deben cumplirse si o si, de lo contrario el producto o servicio será rechazado. La invitación es a ser cuidadosos con estos detalles y no ser demasiado osados como el Apache, o sea busquemos contar con una “red que sostenga” nuestro Sistema de gestión.


Te podemos apoyar con la revisión y ajuste de tu sistema de gestión, pues no queremos que caigas en esto.

¿Estratega o “borrego”​ ? Ese es el dilema

Sabes:

1. ¿Qué es la GEOPOLÍTICA?

2. ¿Qué es la AUTARQUÍA?

3. ¿Qué es la SEGURIDAD NACIONAL?

4. ¿Qué es el CONSENSO DE WASHINGTON y cómo ha sido la relación HISTÓRICA entre México (o América Latina) y EE.UU.?

5. ¿Qué es la INDUSTRIA 4.0 y lo que implica para los seres HUMANOS?

Excelente si conoces los 5 factores. Seguramente tienes estrategia que salvará tu vida, a tu familia, tu carrera y a tu empresa.

Bien si conoces al menos 4 factores, seguro estás planteándote ya una estrategia de vida.

Si conoces al menos 3 factores, todavía tienes salvación. Necesitas darte prisa con lo que te haga falta saber y plantearte una estrategia de vida.

Si no conoces estos factores, no tienes ni idea de lo que está pasando a tu alrededor. Eres un “aplaudidor” de todo lo que parece simpático o inteligente. Sin embargo, por ignaro, lo que hoy “apruebas” puede estar abonando a tu propia destrucción, y ello te convierte en un “borrego” directo al matadero (no importa si tienes +20 años de estudios).

Si estás interesado o interesada, en artículos subsecuentes trataré temas relacionados con los factores enumerados aquí.

No Conformidades inválidas, sobre las auditorías internas de la organización

El día 21/01/2020 se realizó la Etapa 2 del proceso de certificación de uno de nuestros clientes, bajo las normas ISO 9001 e ISO 27001. Me llamó la atención una de las tres no conformidades menores que obtuvo —que si me preguntan, es un gran resultado para un sistema nuevo y bajo dos normas de gestión—:

La no conformidad —inválida— se “sustentó” en que NO se han establecido requisitos para la competencia de un auditor externo, cláusula 7.2 en ambas normas.

La verdad, no sé porque los auditores de certificación se esfuerzan tanto en demostrar su ignorancia sobre las normas que auditan.

Desde luego, pedimos amistosamente al área técnica del certificador la aclaración de esta no conformidad (antes de aconsejar a nuestro cliente ir al proceso de apelación), bajo los siguientes argumentos:

1. Ambas normas citan que, entre las acciones aplicables para adquirir la competencia necesaria (de las personas) se incluyen, p.ej., “contratación o subcontratación de personas competentes”; esto incluye subcontratar auditores para realizar las auditorías internas.

2. Nuestro cliente, cuenta con un perfil de auditor, para las personas que realizan auditorías de primera parte (auditorías internas) a su sistema de gestión. Mismo que aplica para personas de la propia empresa y subcontratadas para tal efecto.

3. La norma ISO 19001, una guía para realizar auditorías de primera y de segunda parte —citada por la ISO 9001 como “véase la Norma ISO 19011 a modo de orientación”—, establece claramente los tipos de auditoría a los sistemas de gestión:

Añadir texto alternativoNo hay texto alternativo para esta imagen

4. Asimismo, la cláusula 3.12 de esta norma define al cliente de la auditoría, como la “organización o persona que solicita una auditoría”. En el caso de una auditoría interna, el cliente de la auditoría es la dirección del auditado, o la persona(s) que gestiona el programa de auditoría de la organización auditada.

5. También, la norma ISO 19011 cita que “las solicitudes de una auditoría externa pueden provenir de fuentes como autoridades reglamentarias, partes contratantes o clientes existentes o potenciales.” En este caso, los auditores subcontratados para realizar auditorías internas, no provienen de una autoridad reglamentaria, ni de partes partes contratantes o clientes.

Por tanto, en la contratación o subcontratación de auditores para realizar auditorías de primera parte (auditorías internas), se puede utilizar perfectamente el mismo perfil usado para los auditores de la empresa, como está establecido en el sistema de gestión de nuestro cliente, ya que, en las auditorías de primera parte no tiene cabida la figura de “auditoría externa”, ni de “auditor externo”.

Finalmente, te comparto que, siempre aconsejo a nuestros clientes solicitar la aclaración de las no conformidades inválidas (en otro artículo explicaré cómo identificar no conformidades inválidas). Y si con ello no se resuelven, entonces ir a proceso de apelación. No pasa nada, no es un “pecado”, no se va a perder su certificación. Simplemente es una reclamación al proveedor ‘organismo de certificación’, como en cualquier otro servicio que contrata tu empresa.

IBIZA REPORT 2021 – 2024 – 2060, versión extendida

En esta ocasión te quiero compartir la versión extendida de nuestro Ibiza Report, para enterarte de lo que viene para México y el mundo de aquí al 2060, en solo 5 minutos.

Espero que esta información te sea de especial utilidad en la evaluación del contexto de tu empresa u organización. Que en mi opinión, es la mayor aportación de las normas ISO e IATF ya que, permite que con un buen análisis interno y externo se pueden identificar riesgos y oportunidades inclusive para la supervivencia de la empresa u organización.

No tienes porque sufrir las auditorías de certificación ISO

Al inicio de esta semana, uno de nuestros clientes en Villahermosa, México, tuvo la primera etapa (E1) de su proceso de certificación ISO 9001 e ISO 27001.

Desafortunadamente, el comportamiento del auditor de la norma ISO 27001 hizo sentir más que incómodo al personal de la empresa todo el tiempo.

La mayoría de las veces, esto se debe a que los auditores de certificación o de tercera parte, tienen actitudes fuera de lugar, como si lo supieran todo y el auditado es un ignorante, o creen que son inspectores de hacienda.

En cualquier caso, nunca tienes porque ‘aguantar’ la mala actitud de un auditor de certificación, ni de cualquier otro tipo (interno, o por parte del cliente).

Es importante que sepas que, el proceso de certificación es voluntario, y como todo servicio que tu empresa contrata, tienes derecho recibir un servicio profesional, objetivo, respetuoso y agradable. Cuando no es el caso, tienes derecho a quejarte con el ejecutivo comercial que te atiende y con el área técnica del certificador.

Y no tienes que preocuparte porque no vayas a obtener o mantener la certificación ya que, ningún auditor autoriza o desautoriza certificados. En realidad, el informe de los auditores sirve de entrada para el comité de certificaciones del organismo de certificación, mismo que es quien realmente decide otorgar y mantener un certificado.

Por tanto, si no recibes el trato adecuado de un auditor, ampliamente te recomiendo expreses tu queja al certificador. Nuestro cliente lo hizo. Ahora, está en revisión el trabajo del auditor; y ya no será incluido en el equipo de auditoría para la Etapa 2 de su proceso de certificación.

Aquí te comparto los comportamientos personales esperados del auditor de tercera parte o de certificación, con base en la ISO 17021-1 Requisitos para los organismos que realizan la auditoría y la certificación de sistemas de gestión:

a) Ético: imparcial, sincero, honesto y discreto;

b) de mentalidad abierta: dispuesto a considerar ideas o puntos de vista alternativos;

c) diplomático: con tacto en las relaciones con las personas;

d) colaborador: que interactúa eficazmente con los demás;

e) observador: activamente consciente del entorno físico y las actividades;

f) perceptivo: instintivamente consciente y capaz de entender las situaciones;

g) versátil: se adapta fácilmente a diferentes situaciones;

h) tenaz: persistente, orientado hacia el logro de los objetivos;

i) decidido: alcanza conclusiones oportunas basadas en el análisis y razonamiento lógicos;

j) seguro de sí mismo: capaz de actuar y funcionar de forma independiente;

k) profesional: muestra en el lugar de trabajo un comportamiento educado, serio y formal;

l) con valor moral: dispuesto a actuar de manera responsable y ética aunque estas acciones puedan no ser siempre populares y en algunas ocasiones puedan causar desacuerdos o alguna confrontación;

m) organizado: demuestra una eficaz gestión del tiempo, priorización, planificación y eficiencia.

ISO 27001: La importancia de Declaración de Aplicabilidad (SoA, Statement of Applicability)

Además de su elaboración, la comunicación y comprensión de la Declaración de Aplicabilidad (SoA, Statement of Applicability) dentro de la seguridad de la información, por parte del equipo de trabajo de la empresa, es fundamental a la hora de ubicar qué controles aplicar a las actividades que se realizan por parte del personal, p.ej.:

1) en la contratación de personas;

2) en la relación con los clientes;

3) en los abastecimientos (compras y proveedores);

4) en el diseño y desarrollo de soluciones para el cliente;

5) al producir los bienes y/o prestar el servicio al cliente;

6) al realizar el servicio post-venta; etc.

Por tanto, es altamente recomendable que esta declaración sea compartida con el personal de la organización, a fin de que la comprenda y maneje como parte de su trabajo del día a día.

Cualquier pregunta a cerca de cómo mejorar tu SoA, no dudes en hacérmelo saber.

ISO 27001: Riesgos a la seguridad de la información

En la evaluación de los riesgos sobre la información deben contemplarse los 3 riesgos asociados a la información incluida en el alcance del sistema de gestión de seguridad de la información:

a) pérdida de confidencialidad de la información

b) pérdida de integridad de la información

c) falta de disponibilidad de la información

Bajo el siguiente enfoque:

1. Cuál es la información que necesita protegerse (p.ej., datos personales de los empleados)

2. Cuál es el medio que la soporta (p.ej., papel, digital, electrónico, etc.)

3. Dónde está almacenado (p.ej., software de la empresa almacenado en un servidor propio)

Una vez identificada la información, cómo se soporta y dónde se almacena, es mucho más sencillo realizar la evaluación de los riesgos asociados a su confidencialidad, integridad y disponibilidad.

Si tienes preguntas sobre cómo mejorar la evaluación y tratamiento de riesgos a la seguridad de la información de tu empresa, puedes contactarme en mi correo electrónico bulmaro.mario@ibizabmb.com.

Open chat
Hello 👋
Can we help you?