ISO 14001

La norma ISO 14001 es una norma que puede ser implantada en las empresas del sector público, proporcionándoles así una serie de ventajas como puede ser la modernización de su gestión.

Para poder conseguir estos beneficios las administraciones públicas tienen que alcanzar la certificación del estándar ISO-14001.

Las empresas del sector público cada día se actualizan para poder asegurar una respuesta a la sociedad, debido a que está habitualmente sufre cambios cada día.

Aunque la ISO14001 puede ser adoptada por todas las organizaciones independientemente del sector al que pertenezcan, hoy nos vamos a centrar en las administraciones públicas.

Con la ISO 14001 las administraciones públicas podrán argumentar a la sociedad su preocupación por el medio ambiente.

Cada día, se incrementa el número de ciudadanos que se involucra por el medio ambiente y se preocupa por su protección y cuidado, haciendo un buen empleo de los recursos naturales, disminuyendo el deterioro del medio ambiente y respetando el mismo, entre otros.

Una de las mayores preocupaciones que se está dando es el deterioro del medio que se está produciendo, debido a esto tanto la sociedad como las administraciones públicas trabajan para reducir la degradación del medio.

El Sistema de Gestión Ambiental desarrollo bajo el estándar internacional ISO14001 tiene como finalidad:

• Fijar las políticas ambientales y los procedimientos para poder alcanzar los objetivos fijados previamente.
• Cumplir con la legislación vigente.
• Señalar los efectos llevados a cabo en las actividades en la empresa en el medio ambiente.
• Ser consciente del volumen de residuos que se producen y que una organización puede asumir.
• Proporcionar información a la sociedad del comportamiento de la organización con respecto al medio ambiente.

ISOTools, es una Plataforma Tecnológica, que facilita la implantación, sistematización y evaluación del estándar internacional ISO 14001, como facilitar el mantenimiento y la gestión de forma eficaz.

La entrada Compromiso del sector público con el medio ambiente mediante la norma ISO 14001 se publicó primero en ISOTools Perú.

ISO 31000

El estándar ISO 31000 de carácter internacional que proporciona los principios y directrices con el objetivo de gestionar el riesgo de las organizaciones.

El riesgo es la incertidumbre por llegar a conseguir los objetivos fijados por cada organización.

El concepto de gestión del riesgo se incluye en las Administraciones Públicas, teniendo presente que todas las empresas independientemente de su tamaño o del sector al que pertenezcan, están expuestas a riesgos diferentes que pueden hacer que su existencia esté en peligro.

Especialmente, las administraciones públicas están más sometidas a cambios importantes por lo que la preocupación por gestionar el riesgo ha incrementado.

Si las Administraciones Públicas gestionan el riesgo les va a permitir:

• Incrementar la mejora del funcionamiento del Gobierno.
• Tomar las medidas que son necesarias para que se cumplan con los requisitos legales.
• Aumentar la probabilidad de la consecución de los objetivos fijados.
• Aumento de la mejora del aprendizaje y adecuación de las Administraciones Públicas.
• Fomentar el compromiso y la participación de los servicios de las Administraciones Públicas.
• Los recursos del Gobiernos estén protegidos.
• Incremento de la eficiencia y eficacia operativa.
• Adoptar una base que ayude a tomar las decisiones que son correctas.
• Que las Administraciones Públicas tomen conciencia de la importancia de controlar y señalar los riesgos-
• Optimización de los recursos para tratar los riesgos.

La gestión del riesgo va a facilitar la utilización de elementos para que las Administraciones Públicas puedan evaluar e intervenir en incidentes externos e internos que pueden tener consecuencias a la hora de conseguir los objetivos fijados.

ISOTools, es una Plataforma Tecnológica que realiza la sistematización del Sistema de Gestión del Riesgo.

Además, ayuda a controlar e identificar las amenazas a las que están sometidas las Administraciones Públicas a través de la implantación del estándar ISO-31000.

La entrada ISO 31000 ¿Es fundamental gestionar el riesgo en las administraciones públicas? se publicó primero en ISOTools Perú.

Las cartas de  servicio son instrumentos de gestión que consisten en hacer públicos los compromisos de Calidad y Resultados. Cuentan con gran aceptación en instituciones públicas, debido a que cubre necesidades particulares de este sector, como son:

• Los ciudadanos son los “clientes” y debido a las estructuras muy grandes que mantiene el Estado, es difícil establecer una relación cercana entre la institución y sus “clientes”. Ante ello la Carta de servicio plantea COMUNICAR las metas o estándares de servicio y a través de esos compromisos lograr un acercamiento al ciudadano
• Son de rápida implementación debido a su baja complejidad, lo que permite lograr resultados de alto impacto en corto plazo. El factor tiempo es muy importante en el sector público debido a que en muchas ocasiones los líderes, que son puestos de confianza, rotan en sus puestos de acuerdo a los cambios que se presenten dentro del Gobierno. Así evita  que los proyectos de gestión de calidad se archiven antes de terminar su implementación.
• Introduce la Cultura de Mejora Continua en las entidades públicas, lo cual es un cambio difícil de implementar pero necesario para elevar la competitividad a nivel país.

Nuestro país debe trazarse metas altas en las instituciones públicas para que nuestro crecimiento sea sostenible y atraiga mayor cantidad de inversiones. La gestión de la Calidad es una estrategia que el Estado debe promover para mejorar la competitividad, para ello tenemos una serie de instrumentos como las Cartas de Servicio.

ISOTools ofrece a sus clientes un conjunto de aplicaciones tecnológicas para facilitar la gestión y multiplicar el efecto de las Cartas de Servicio  a través de la medición de indicadores, acercamiento a los clientes con las Encuestas, facilitando la difusión de los logros, implementando y gestionando de forma efectiva la Mejora Continua, involucrando a todos los niveles con el cumplimiento de los objetivos establecidos.

La entrada Cartas de servicio en Instituciones Públicas se publicó primero en ISOTools Perú.

El estándar internacional ISO 31000 define las directrices y principios apropiados para que la gestión de los riesgos que se producen en las organizaciones sea la correcta. En las administraciones públicas la preocupación por gestionar el riesgo se ha visto incrementada. Continuamente las administraciones públicas están sometidas a cambios importantes, lo que provoca que el alcance de los objetivos se vea dificultado. Esta incertidumbre por cumplir los objetivos marcados por la organización se conoce como riesgo. La gestión del riesgo permite:

• Incrementar la consecución de los objetivos establecidos.
• Que la organización vea la importancia de identificar y controlar los riesgos en todos los niveles de la organización.
• Impulsar la participación y compromiso de todos los servicios de la administración pública.
• Adoptar las medidas necesarias para cumplir con los requisitos legales.
• Mejorar el funcionamiento del Gobierno.
• Que los recursos del Gobierno queden protegidos.
• Establecer una base que garantice que las decisiones tomadas sean las correctas.
• La optimización de los recursos de la organización para tratar los riesgos.
• Aumentar la eficacia y eficiencia operativa.
• Que el aprendizaje y adecuación organizacional mejore.

Resumiendo, la gestión del riesgo en las organizaciones está vinculada a la aplicación de los principios y metodologías de la ISO-31000. La gestión del riesgo permite hacer uso de elementos de control para que las organizaciones evalúen e intervengan en incidentes internos y externos que ocasionen efectos positivos y negativos en el cumplimiento de los objetivos marcados.

La Plataforma Tecnológica ISOTools lleva a cabo la automatización del Sistema de Gestión del Riesgo, también permite detectar y controlar las amenazas de las administraciones públicas mediante la implantación de la norma ISO31000.

La entrada ISO 31000 : La importancia de gestionar los riesgos en la Administración Pública se publicó primero en ISOTools Perú.

ISO 14001 está dispuesta a modernizar la gestión de las administraciones públicas mediante la implementación y certificación del sistema de gestión ambiental que propone.

La administración pública es consciente que la sociedad está cambiando, y por eso trabaja para poder responder a todas las exigencias que planteen los ciudadanos. Así, para mejorar la eficiencia en la gestión, innovar y modernizarse, las administraciones pueden servirse de las normas ISO, como ISO-14001 y mostrar que los servicios que prestan a los ciudadanos nacen desde el respeto al medio ambiente.

La importancia de los factores ambientales en el desarrollo social ha ido aumentando considerablemente a lo largo del tiempo, originando en la mayoría de los países una inquietud por la escasez de los recursos naturales y el deterioro del medio ambiente. Esta degradación es uno de los principales problemas de la sociedad y las instituciones públicas, de ahí que estas trabajen y se esfuercen en implantar la norma ISO14001 y trabajar bajo sus requisitos.

Los sistemas de gestión medioambiental, implantados con ISO 14001 persiguen objetivos como estos:

• Asegurar el cumplimiento de la legislación medioambiental aplicable.

• Fijar y promover las políticas y procedimientos operativos internos necesarios para alcanzar los objetivos medioambientales de la institución.

• Identificar, valorar y prevenir los posibles efectos que la actividad produce en el medio ambiente, gestionando sus riesgos y sus consecuencias.

• Concretar el volumen de residuos en función de los objetivos ambientales asumidos por la organización.

• Informar al público sobre el comportamiento de la institución en materia ambiental.

Un buen sistema de gestión medioambiental, ISO 14001, en una administración pública, se fundamenta en la ejecución de un diagnóstico ambiental para identificar, reducir y prevenir los impactos ambientales del entorno, adquiriendo un compromiso de mejora continua en el comportamiento de la institución con el medio ambiente.

ISO 14001 es actualmente un modelo de referencia y constituye un distintivo de gestión ambiental de gran difusión de ámbito internacional, la Plataforma Tecnológica ISOTools permite su automatización, y facilita la gestión y mantenimiento del sistema de forma eficaz.

La entrada ¿Qué aporta ISO 14001 a las administraciones públicas? se publicó primero en ISOTools Perú.

La implantación del estándar ISO 9001 en el sector público aparece por la necesidad de comprometer, modernizar, personalizar y orientar la gestión de la administración pública, lo cual se realiza buscando la mejora continua. la excelencia, el enfoque hacia resultados y la cultura de la calidad.

Todas las personas, han tenido o van a tener contacto con los servicios pública, y algunas veces nos hemos llevado impresiones nada satisfactorias, desordenadas e ineficaces.

La certificación de calidad bajo el trabajo del estándar ISO-9001 presenta una administración pública moderna, donde las actividades se dirijan hacia la mejora de los servicios, lo que requiere que la administración se dirija y controle de un modo transparente y sistemática.

De esto se llega a la conclusión que sin calidad en los servicios, tendríamos una estructura de costes inmanejable, producto de la inoperancia de la gestión, que podría provocar su desaparición.

En la actualidad, el modelo de calidad en la administración pública está considerablemente extendido en el mundo, con algunas alteraciones que facilitan la adaptación del modelo a las condiciones concretas de cada país.

La certificación con fundamento a ISO9001 está orientada a incrementar la eficiencia y eficacia del sector público, para alcanzar los servicios que se propone, satisfacer el interés público, ofrecer un buen servicio, respetando así el gasto que destinado al funcionamiento de las instituciones.

Para iniciar el proceso de certificación en la Administración pública, focalizado en ISO 9001 se debe contar con:

• Los responsables de la aplicación de la norma ISO-9001 deben estar comprometidos con la institución y estar decididos a llevar a cabo una labor constante, asegurando el sostenimiento continuo del sistema.

• Propiciar un cambio de mentalidad en los funcionarios integrantes de las instituciones públicas, para que ejecuten su labor ordenada y eficientemente. Para ello hay que capacitarlos.

• El proceso debe estar apoyado de un modo abierto y responsable, para que la aplicación de ISO9001 en la organización sea una realidad.

• Las autoridades de las instituciones deben suplir todas las necesidades de los responsables, tales como espacio, capacitación, mobiliario, personal…

• Es imprescindible escuchar la opinión de usuarios, a través de encuestas o entrevistas, con el objetivo de que hagan sus propias observaciones relativas a cambios en el servicio que lo hagan más eficaz y en consonancia con la satisfacción de sus necesidades.

• Es necesaria una buena comunicación entre los distintos niveles jerárquicos de la organización para que los objetivos establecidos no sean distorsionados por falta de comunicación o de entendimiento.

• El objetivo común es lograr que la institución responda a las exigencias del servicio público, que satisfaga las necesidades de los usuarios en el contexto de la aplicación de la norma ISO 9001.

• Las instituciones deben estimular el profesionalismo de todos sus funcionarios, aplicando un régimen salarial adecuado, respondiendo a las exigencias de la labor realizada y satisfaciendo las necesidades de los funcionarios.

La Plataforma Tecnológica ISOTools facilita el fortalecimiento de la gestión de los servicios públicos gracias a una ventajosa automatización de sus sistemas de gestión de forma integrada, lo que implica la satisfacción de todos los ciudadanos.

La entrada ISO 9001 en los servicios públicos, eficacia. se publicó primero en ISOTools Perú.

PMG SSI es un Programa de Mejoramiento de la Gestión de la Seguridad de la Información de las instituciones públicas fundamentado en la norma NTP ISO 27001.

El PMG aparece con el objetivo de modernizar las instituciones del país a nivel estructural y a nivel operacional, para poder incrementar la eficacia y eficiencia de sus servicios, y convertirse en un valor añadido para los ciudadanos.

Hay países que, a modo de recompensa, proporcionan incentivos en las remuneraciones del personal funcionario a raíz del cumplimiento de los objetivos, por parte de las entidades.

A partir del 2000 se comienza a hablar del Sistema de Seguridad de la Información, incluyendo este sistema en el Área de Calidad de Atención a los Usuarios.

PMG SSI, fundamentado en el estándar ISO-27001, es un instrumento de protección de la información de las instituciones públicas que se centran en asegurar a los usuarios la disponibilidad, seguridad y confidencialidad de la información que manejan los Servicios Públicos del país.

La información que manejan los Servicios Públicos es un bien muy valioso y está expuesta a amenazas y vulnerabilidades, por lo que debe ser protegida para evitar problemas no deseados que puedan ocasionar daños a los ciudadanos y a la institución.

Así que para los organismos públicos es prioridad proteger la información de amenazas tales como pérdidas, delitos o errores para garantizar la continuidad de los servicios a los ciudadanos.

En los siguientes artículos se analizará más en detalle aspectos relevantes del PMG SSI.

La Plataforma Tecnológica ISOTools facilita herramientas para la implantación del Sistema de Gestión de Seguridad de la Información, SGSI, en los Servicios Públicos de acuerdo a los requerimientos del PMG SSI, aportando efectividad en la implantación y en el mantenimiento.

La entrada PMG SSI. Programa de Mejoramiento de la Gestión – Introducción se publicó primero en ISOTools Perú.

ISO 27001

ISO 27001 es el estándar que especifica los requisitos que se necesitan para establecer, implementar y mantener un Sistema de Gestión de la Seguridad de la Información.

Esta norma se publicó en octubre del 2005 a manos de la International Organization for Standardization y la Internacional Electrotechnical Commission.

Esta norma, ISO-27001, tal y como se conoce hoy día, ha sido fruto de una evolución en las dos últimas décadas.

Origen de ISO 27001

El origen de ISO 27001 se remonta a 1901, en esta fecha la BSI, entidad normalizadora británica, publica con carácter internacional normas con prefijo “BS”, las cuales son origen de las actuales ISO: ISO 9001, OHSAS 18001, ISO 14001…

Concretamente, ISO27001 tiene su origen en la BS 7799-1 del año 1995. Contenía una serie mejores prácticas con el objetivo de ayudar a las empresas británicas a administrar la Seguridad de la Información. Eran solo recomendaciones, no había opción a certificación ni se establecía la forma de conseguirla.

Tuvo una segunda parte, BS 7799-2, publicada en 1998, y establecía los requisitos que se debían cumplir para conseguir un Sistema de Gestión de Seguridad de la Información certificable.

Ambas partes se revisaron en 1999 y, en el 2000, ISO tomó la norma británica BS 7799-1 para transformarla en la ISO 17799. Este paso no aportó grandes cambios en la norma, pero, en 2001, fue revisada en consonancia con la línea de las normas ISO.

En 2002 fue publicada una nueva versión de la BS 7799 que facilitó la acreditación de organizaciones por una entidad certificadora en Reino Unido y otros países.

En 2005, aparece el estándar ISO 27001 y, la ISO 17799 es modificada para dar lugar a ISO 27001: 2005. De la misma manera, en 2007, ISO 17799 es renombrada y se convierte en ISO 27002:2005.

En 2007 se hace pública la nueva versión ISO 27001:2007 y dos años después se publica un documento adicional de modificaciones bajo el nombre de ISO 27001:2007/1M:2009.

Esta norma internacional es conocida en Perú como NTP-ISO/IEC 27001:2008, en Chile como NCh-ISO27001, en España como UNE-ISO/IEC 27001 2007…

A finales de este 2013 está prevista la publicación de la nueva versión de la ISO 27001, la cual traerá cambios estructurales, cambios en la evaluación y en tratamiento de los riesgos, entre otros.

La Plataforma Tecnológica ISOTools facilita la implementación, mantenimiento y automatización de los Sistemas de Seguridad de la Información según la norma NTP ISO/IEC 27001 y, además, da cumplimiento a las buenas prácticas establecidas en NTP ISO 27002.

La entrada NTP ISO 27001. Origen y evolución se publicó primero en ISOTools Perú.

El PMG SSI, Sistema de Seguridad de la Información busca lograr unos niveles adecuados de confidencialidad, integridad y disponibilidad de la información más importante de una institución. Es una herramienta de apoyo para los organismos públicos, debido a que protege la información evitando pérdidas o extravíos y, garantiza la continuidad del servicio, conformidad legal y rentabilidad social.

Hoy día la información está expuesta a amenazas tecnológicas, errores, omisiones, delitos, y otros riesgos que debieran ser controlados.

Los activos de la información, actualmente, se enfrentan a diversidad de inseguridades y riesgos tanto internos como externos, por ello el SSI trabaja en busca de su reducción.

Para realizar esta tarea es imprescindible conocer y abordar los riesgos, plantear procedimientos e implantar un buen control de seguridad sujetos a una medición de su eficacia y a una evaluación de riesgos.

Los gerentes de las instituciones tienen el SSI como un instrumento que aporta una visión global de sus activos de la información, de las medidas de seguridad que se aplican y de los resultados que se obtienen. Una vez que consiguen esta información, puede marcarse una estrategia a seguir, identificando y conociendo riesgos, planificando su gestión, bajo el control de la normativa ISO-27001.

Los dominios de seguridad acogen la seguridad organizacional, la personal, la física y la medioambiental.

• Dominio de seguridad organizacional.

Establece un marco de referencia para el comienzo del control y la vigilancia de la implementación del Sistema de Seguridad de la Información. Esto requiere que queden bien definidos en la organización los roles de comités y encargados de seguridad.

• Dominio de seguridad del personal.

  

Persigue garantizar que los empleados entiendan sus responsabilidades y son los idóneos para el rol que se le asigna. Esto ha de comprobarse antes de la contratación y así se disminuirá el riesgo de robo y fraude.

Es obligatorio que el personal que trabaje en una organización segura tenga firmado un acuerdo sobre sus responsabilidades y roles en materia de seguridad. Del mismo modo se les ha de proporcionar formación sobre seguridad de la información, procedimientos de seguridad y otros similares, para evitar posibles riesgos.

• Dominio de seguridad física y medioambiental.

Éste evita el acceso no autorizado a elementos dañinos u otra interferencia que pudiera ocasionar problemas en la institución. Por ello ha de haber controles a la entrada, barreras de seguridad…

La Plataforma Tecnológica ISOTools es el software que permite aplicar de forma sencilla los requisitos del PMG SSI de los organismos públicos de Perú, pasando a ser un aporte muy efectivo para una buena gestión de la seguridad las instituciones públicas.

La entrada PMG-SSI, dominios de seguridad y activos de información se publicó primero en ISOTools Perú.

El PMG SSI o Programa de Mejoramiento de Gestión de Seguridad de la Información se centra en facilitar herramientas a los Servicios Públicos para la mejora en la gestión de la Seguridad de la información.

PMG persigue fundamentalmente asegurar la seguridad, disponibilidad y confidencialidad de la información manejada por parte de los servicios públicos para alcanzar un servicio adecuado para todos los usuarios.

El mantenimiento e implementación del SSI en el PMG se ajusta en el llamado Ciclo PHVA o Ciclo de Mejoramiento Continuo.

El ciclo mencionado se fundamenta en 4 fases progresivas y cíclicas:

• Plan, para el SSI se traduce en fase de Diagnóstico.En esta etapa se hace un recuento de los activos de la información del organismo pertinente y se clasifican. Así queda el llamado inventario de activos que será modificado constantemente a consecuencia de las actualizaciones del propio ciclo.

• Hacer, para el SSI se traduce en fase de Planificación. Identificados los controles, se establece la forma de llevarlos a cabo organizadamente mediante el establecimiento de un Programa de Trabajo Anual. Además, en esta fase se deben definir los indicadores que medirán la efectividad del Sistema de Seguridad de la Información.

  

• Verificar, para el SSI se traduce en fase de Implementación. Es la hora de poner en marcha el programa establecido mediante iniciativas planteadas en el Programa de Trabajo y, de realizar la medición de indicadores.

• Actuar, para el SSI se traduce en fase de Evaluación. Por último toca analizar lo realizado en las fases anteriores. Es importante que se mantengan los avances realizados, para esto es imprescindible realizar revisiones periódicas, alcanzar las metas, gestionar los riesgos y actualizar el inventario de activos.

Este es el punto en el que el ciclo comienza de nuevo, partiendo de los resultados obtenidos y avanzando hacia la mejora continua.

La Plataforma Tecnológica ISOTools ofrece soluciones fundamentadas en la Mejora Continua en las empresas mediante el Ciclo PHVA.

ISOTools facilita y hace más efectiva la gestión de los Programas de Mejoramiento Continuo en los Servicios Públicos, así como la implementación de sus sistemas como el SSI.

La entrada Ciclo PHVA en PMG SSI se publicó primero en ISOTools Perú.