¿LE INTERESA IMPLANTAR UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI)?

Comparte: Facebooktwittergoogle_pluslinkedin

Un Sistema de Seguridad de la Información es para una empresa el diseño, implantación y mantenimiento de una serie de procesos que le permitirán gestionar eficientemente la accesibilidad de la información al tiempo que asegura su confidencialidad, integridad y disponibilidad, pero minimizando a la vez los riesgos de seguridad.

Para poder garantizar la correcta implantación de un Sistema de Gestión de la Seguridad de la Información (SGSI), la base es definir la estrategia a seguir por toda la organización para garantizar la seguridad de la información y posteriormente delimitar e identificar la información de carácter protegido que será el objeto del SGSI. La información es el conjunto de datos que poseen un valor para la empresa u organización, independientemente del formato en que se presente o guarde.

¿Pero cómo garantizamos desde Integra, que el SGSI que vamos a implantar en su organización se adapta a sus necesidades?

  1. Analizando los riesgos que determinan las amenazas y vulnerabilidad de la información que gestiona la empresa
  2. Seleccionando los controles y detallando los objetivos que quieren cumplir en materia de seguridad
  3. Definiendo las medidas correctoras más adecuadas para la empresa, basadas en los riesgos detectados que se deben minimizar.

¿Qué ventajas obtiene tras la implantación de un SGSI?

– Poder certificarse conforme la norma ISO 27001 de Sistemas de Gestión de la Seguridad de la Información, diferenciándose de la competencia.

– Cumplir con la legislación vigente

– Mejora de los procesos y procedimientos existentes relacionados con la gestión de la información

– Garantizarle a los clientes, proveedores, trabajadores…que la información proporcionada se gestiona de forma segura

No lo dude, el equipo técnico de Integra dará cumplimiento a sus expectativas y garantizara la seguridad de la información que gestionan en su empresa. Consúltenos

 

LA COMUNICACIÓN DE LAS BRECHAS DE SEGURIDAD EN EL RGPD

Comparte: Facebooktwittergoogle_pluslinkedin

El Reglamento General de Protección de Datos (RGPD) establece la obligación de notificar a la Agencia Española de Protección de Datos (AEPD) las brechas e incidentes de seguridad que puedan afectar a los datos personales.

Cualquier organización que trate datos personales se encuentra expuesta a sufrir brechas de seguridad que pueden repercutir o no en la privacidad de los interesados. El RGPD define las violaciones de seguridad como aquellas “que ocasionen la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos, susceptible en particular de ocasionar daños y perjuicios físicos, materiales o inmateriales”.

Cuando se produzca una violación de la seguridad de los datos que pueda suponer un riesgo para los derechos y libertades de los afectados (robo de la información, acceso no autorizado a la información, publicación de información en internet de datos personales, etc), el Responsable del tratamiento tendrá la obligación de notificarla en el plazo de 72 horas a la Autoridad de Control (Agencia Española de Protección de Datos).  La notificación incluirá toda la información necesaria para el esclarecimiento de los hechos que hubieran dado lugar al acceso indebido a los datos personales y se realizará por medios electrónicos a través de la sede electrónica de la Agencia Española de Protección de Datos en la dirección: https://sedeagpd.gob.es.

La notificación de la quiebra de seguridad deberá incluir como mínimo la siguiente información:

  • Tipo de incidencia
  • Fecha y hora en que se produjo o se detecta
  • Persona que realiza la notificación
  • Persona a quien se comunica
  • Efectos que puede producir la incidencia
  • Descripción detallada de la misma
  • Medidas correctoras aplicadas

En los casos en los que la violación de seguridad entrañe un alto riesgo para los interesados, además de la comunicación a la Autoridad de Control, se deberá comunicar dicha quiebra en la seguridad a los interesados con el objetivo que los mismos puedan tomar medidas oportunas para protegerse de las posibles consecuencias.

En el caso que no se pueda identificar a todos los afectados, la comunicación se podrá realizar mediante la publicación de un anuncio en los medios de comunicación.

Foto: onlyyouqj

EN DOS MESES FINALIZA EL PLAZO PARA ADAPTARSE AL RD 513/2017, ¿HA IMPLANTADO EL SISTEMA DE GESTIÓN DE CALIDAD?

Comparte: Facebooktwittergoogle_pluslinkedin

El Real Decreto 513/2017, que aprueba el nuevo Reglamento de instalaciones de protección contra incendios, estableció un plazo máximo de un año a partir de su entrada en vigor para que las empresas instaladoras y mantenedoras se adaptaran a sus requisitos y el 12 de diciembre se cumple ese plazo.

Este Reglamento establece los requisitos que deben cumplir las instalaciones de protección activa contra incendios y sus equipos y componentes, en cuanto a diseño, instalación, mantenimiento e inspección.

Aplica a todas las empresas instaladoras, mantenedoras, a las instalaciones e inspecciones de sistemas, equipos y componentes que conforman las instalaciones de protección activa contra incendios, así como a los fabricantes, distribuidores u organismos que intervengan en la evaluación o certificación de los productos contra incendios.

Este reglamento ha definido y regulado, entre otros aspectos, los siguientes:

  • Los requisitos que deben cumplir los equipos, sistemas y componentes de protección contra incendios.
  • Las condiciones de habilitación y funcionamiento de las empresas instaladoras y mantenedoras.
  • Las condiciones para la puesta en servicio de una instalación, los mantenimientos y las inspecciones periódicas que deben realizarse.
  • Las sanciones.

COMO EMPRESA INSTALADORA Y/O MANTENEDORA ¿HA IMPLANTADO YA EL SISTEMA DE GESTIÓN DE CALIDAD?

Analizando los requisitos exigidos a las empresas instaladoras y mantenedoras que marca el nuevo Reglamento, debemos destacar, entre otras, las siguientes novedades:

– La obligatoriedad de disponer de un Sistema de Gestión de Calidad, en base a la norma ISO 9001,  que esté certificado por una entidad acreditada.  Además, para las empresas instaladoras y/o mantenedoras el alcance del correspondiente certificado deberá incluir, el diseño, si procede, e instalación de todos y cada uno de los equipos o sistemas para los que se solicita la habilitación.

– La obligatoriedad de suscribir un seguro de responsabilidad civil, avales u otras garantías financieras otorgadas por una entidad debidamente autorizada

Si su empresa necesita asesoramiento para implantar un sistema de gestión de calidad en base a la norma ISO 9001:2015, llámenos, aún está a tiempo.

Foto:openlcons

 

LA VERSIÓN 8 DE LA NORMA BRC TRAE CAMBIOS. CONÓCELOS

Comparte: Facebooktwittergoogle_pluslinkedin

La norma BRC Global Standard for Food Safety, de seguridad alimentaria, fue desarrollada para ayudar a las empresas a garantizar el máximo nivel de protección al consumidor y asegurar el cumplimiento de los requisitos legales aplicables a los productos alimentarios que suministran.

Con esta norma se evalúa la capacidad de los proveedores y distribuidores para garantizar la seguridad de los alimentos que ofrecen al consumidor. Y… ¿cómo lo hace? Pues estableciendo una serie de requisitos, coherentes con las normas de seguridad alimentaria y las buenas prácticas de fabricación, y audita periódicamente el cumplimiento de estos por parte de las empresas.

Los constantes cambios y problemas a los que se enfrenta la industria alimentaria exige normativas cada vez más específicas, y el British Retail Consortium a querido dar respuesta una vez más a dichos cambios con la publicación de una nueva versión de la norma BRC Food, concretamente la versión 8.

¿Qué cambios introduce esta versión?

  • Fomentar el compromiso de la Dirección, a través del desarrollo de la cultura de seguridad de los productos dentro de la empresa
  • Ampliar los requisitos para la vigilancia ambiental
  • Alentar a los sitios a seguir desarrollando sistemas de seguridad y defensa alimentaria 
  • Amplía la frecuencia para la revisión y actualización de la evaluación de riesgos de las materias primas, será al menos cada 3 años.
  • Aclara los requisitos para las zonas de riesgo de producción de alto riesgo, alto cuidado y ambiente de alta asistencia
  • Añade mayor claridad para los sitios que fabrican alimentos para mascotas 
  • Establece la obligación de planificar 4 auditorías internas a lo largo del año.

El periodo de transición que se ha fijado para aquellas empresas que ya están certificadas bajo la versión anterior es de 6 meses, y por tanto para febrero de 2019 todas las empresas estarán ya auditadas bajo los requisitos de la versión 8.

Si necesita asesoramiento para adaptarse contacte con nosotros.

Foto: freepik

¿QUIERE GARANTIZAR LA SEGURIDAD DE LA INFORMACIÓN EN SU EMPRESA? ISO 27001 ES SU RESPUESTA

Comparte: Facebooktwittergoogle_pluslinkedin

Hoy día, con la digitalización del mundo empresarial, se hace indispensable para una empresa mantener la seguridad de la información, y de hecho son muchas las normas dirigidas a este fin y que permiten regular distintos aspectos en materia de seguridad, como puede ser la protección de datos de carácter personal, el comercio electrónico…o muchos otros.

Pues bien, ISO 27001 es la norma internacional certificable que define los requisitos que debe tener un Sistema de Gestión de Seguridad de la Información (SGSI), y que por tanto, englobaría el cumplimiento de todos aquellos requisitos en materia de seguridad de la información regulados por normativas. Por tanto, implantar esta norma posibilitaría a la empresa demostrar a sus clientes que gestiona adecuadamente la seguridad de la información que maneja, que cumple con la normativa vigente y además que está disminuyendo los riesgos de fraude, y de pérdida o filtración de información.

ISO 27001 se basa en la gestión de riesgos, es decir que, los identifica, los evalúa y luego establece las medidas necesarias para tratarlos. Y es una norma recomendable para cualquier tipo de empresa y de cualquier sector siendo especialmente interesante para empresas del sector financiero, sanitario, publico, de tecnologías de la información (TI) y subcontratas que gestionen información por encargo de otros ya que estas manejan información muy detalla de clientes, proveedores, pacientes…

Los principales beneficios que logran las empresas que implantan un Sistema de Gestión de la Seguridad de la Información (SGSI) bajo la Norma ISO/IEC 27001 son:

  • Evidenciar el cumplimiento de la legislación vigente.
  • Demostrar a los clientes que la seguridad de la información es fundamental para la organización
  • Verificar que los posibles riesgos a los cuales se enfrenta la empresa, están identificados, evaluados y gestionados, garantizando la seguridad de la información que maneja…
  • Cumplir con el principio de Responsabilidad proactiva, que tan de moda se ha puesto a raíz de la entrada en vigor del Reglamento General de Protección de Datos, y que nos obliga a tener que demostrar que cumplimos con la norma.

Y quizá, una de las ventajas que presenta esta norma, sea que se puede adaptar a cada empresa, en función de sus características y las necesidades que tenga en materia de seguridad de la información.

¿Quiere garantizar la seguridad de la información que maneja en su empresa? Contacte con nosotros, estaremos encantados de asesorarle.

Foto: onlyyouqj

ISO 21001:2018 LA NORMA DE GESTIÓN DE LAS ORGANIZACIONES EDUCATIVAS

Comparte: Facebooktwittergoogle_pluslinkedin

La calidad de la educación es, además de un derecho de la ciudadanía, un medio para el avance de la sociedad, su desarrollo y la consecución del bienestar común.

La norma ISO 21001:2018 “Sistema de Gestión para Organizaciones Educativas” pretende ser una herramienta de gestión común para las organizaciones y entidades educativas, que logre mejorar los procesos y satisfacer las necesidades y expectativas de los que adquieren sus servicios. Y no hablamos sólo del alumnado, sino que esta norma incluye entre las partes interesadas a padres, madres, tutores, mercado laboral, gobierno, personal del centro educativo como docentes, administrativos… y además la sociedad, los proveedores de materiales, subcontratados si los hubiera o socios comerciales…

Tener en cuenta todos estas partes para la toma de decisiones aportará una mayor eficacia al sistema educativo y también es muy importante el hecho de que esté orientada a todo tipo de empresas, grandes, pequeñas, de enseñanza formal  o no formal,  públicas o privadas… y ya sea en modalidad presencial, semipresencial, a distancia,  on line… Porque, esta norma describe un sistema de gestión para todo tipo de organizaciones educativas que quieran demostrar su capacidad para apoyar la adquisición y desarrollo de competencias a través de la enseñanza, aprendizaje o investigación y que aspiren a aumentar la satisfacción de los estudiantes y demás beneficiarios.

Con la implantación de un Sistema de gestión en base a los requisitos de esta norma ISO 21001 los centros educativos deben tener en cuenta los siguientes aspectos:

  • Enfoque hacia el alumnado y el resto de partes interesadas
  • Liderazgo
  • Compromiso de las personas
  • Enfoque a procesos
  • Mejora contínua
  • Decisiones basadas en evidencia
  • Gestión de las relaciones
  • Responsabilidad social
  • Accesibilidad y equidad
  • Conducta ética en la educación
  • Seguridad de datos y su protección

La reforma del sistema educativo de nuestro país sale a debate en cada nueva legislatura, y todos esperamos que esa posible reforma logre crear un Sistema Educativo más eficaz, que consiga que los ciudadanos del futuro dispongan de la formación adecuada para ser pieza clave del desarrollo y bienestar de nuestra sociedad.  Sin un sistema educativo que permita lograr en el alumnado ese perfil requerido por la sociedad, que satisfaga las necesidades de las partes interesadas, no se podrá jamás alcanzar el desarrollo y modernización  de la sociedad. EL sistema de gestión basado en la norma ISO 21001:2018 pretende conseguir precisamente eso, y convertirse en la piedra base que ayude a cambiar el sistema educativo en cualquier organización o empresa y que sea común a todas.

Foto: jannoon028

LA ADAPTACIÓN AL RGPD PUEDE TENER PREMIO

Comparte: Facebooktwittergoogle_pluslinkedin

La Agencia Española de Protección de Datos (AEPD) ha convocado una nueva edición de los ‘Premios Protección de Datos Personales 2018’. En esta ocasión se incluye nuevas categorías como:

  • Categoría de Buenas Prácticas sobre Iniciativas para adaptarse al Reglamento
  • Comunicación,
  • Buenas Prácticas Educativas para el uso seguro de internet por los menores
  • Investigación Emilio Aced.

Con estas categorías, la AEPD pretende reconocer el trabajo realizado en distintos ámbitos de nuestra sociedad para proteger el derecho de los individuos a que sus datos personales estén seguros. Concretamente quiere valorar el esfuerzo llevado a cabo en el ámbito educativo, empresarial, científico, en los medios de comunicación y/o en las administraciones públicas.

Las empresas del sector privado pueden presentarse al Premio a las Buenas prácticas sobre iniciativas para adaptarse al Reglamento, en el que se valorarán principalmente aquellas iniciativas en las que la adaptación al RGPD haya presentado una mayor dificultad,  por tratarse de empresas que realizan tratamientos de datos de alto riesgo.  El plazo para la presentación de candidaturas finalizará el 30 de noviembre.

La AEPD quiere reconocer el esfuerzo de las empresas porque la adaptación al Reglamento les ha supuesto incorporar en el día a día de su actividad las medidas de seguridad necesarias para proteger los datos de carácter personal, siendo por tanto, la protección de datos un aspecto más que se asume la empresa dentro de su filosofía y política. El Reglamento además obliga a que la empresa implante medidas de evaluación y seguimiento continuas que permitan acreditar el cumplimiento de este, lo que les supone grandes esfuerzos de adaptación.

Si su empresa aún no se ha adaptado al RGPD o no sabe cómo demostrar que cumple con la responsabilidad proactiva que se le exige, llámenos.

Foto: rawpixel.com

ANÁLISIS DE RIESGOS Y EVALUACIÓN DE IMPACTO EN EL REGLAMENTO DE PROTECCIÓN DE DATOS

Comparte: Facebooktwittergoogle_pluslinkedin

Hoy en día, es fundamental para la buena marcha de una empresa que su gestión se apoye en una identificación y evaluación de riesgos que le permita poner en marcha las medidas necesarias para prevenirlos y evitarlos. De hecho, son ya varias las normativas de sistemas de gestión que están incluyendo este enfoque en su estructura, como es el caso de las últimas versiones de las normas ISO 9001, ISO 14001, ISO 45001, ISO 22000…y muchas otras.

Pues bien, la protección de datos no podía ser menos, y el nuevo Reglamento UE 2016/679 General de Protección de Datos (RGPD) exige a los Responsables de tratamiento de los datos que adopten las medidas necesarias de seguridad basándose en los posibles riesgos que detecten. Concretamente, establece lo siguiente:

Artículo 25.1 del RGPD: “Teniendo en cuenta el estado de la técnica, el coste de la aplicación y la naturaleza, ámbito, contexto y fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad que entraña el tratamiento para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas, como la seudonimización, concebidas para aplicar de forma efectiva los principios de protección de datos, como la minimización de datos, e integrar las garantías necesarias en el tratamiento, a fin de cumplir los requisitos del presente Reglamento y proteger los derechos de los interesados”.

Artículo 32.2 del RGPD: “Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.”

En efecto, el RGPD establece la necesidad de que cualquier empresa u organización adopte las medidas de seguridad teniendo en cuenta los riesgos. En cambio, la Evaluación de impacto no se requiere siempre, sino que cada organización debe valorar si es necesaria o no en función de cada actividad de tratamiento que lleve a cabo.  Será fundamental el análisis de riesgo previo para poder determinar si existe algún tratamiento con nivel de riesgo alto para los derechos de las personas físicas que nos obligue a realizar la evaluación de impacto, pero además el RGPD nos da pistas, y en el artículo 35.3 describe varios casos en los cuales se ha considerado que un tratamiento puede derivar en riesgos elevados y son aquello en los que exista:

  • Evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado como la elaboración de perfiles y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten de modo similar.
  • Tratamiento a gran escala de las categorías especiales de datos personales, o datos sobre condenas e infracciones penales o medidas de seguridad conexas.
  • Observación sistemática a gran escala de una zona de acceso público

La Agencia Española de Protección de Datos (AEPD) ha publicado varias guías que abordan tanto el Análisis de Riesgos como la Evaluación de impacto.

Si tiene dudas y necesita más información en relación con el Reglamento General de Protección de Datos (RGPD) contacte con nosotros.

Foto: d3images

¿DESEA MEJORAR LA GESTIÓN ENERGÉTICA DE SU EMPRESA? IMPLANTE LA NUEVA NORMA ISO 50001:2018

Comparte: Facebooktwittergoogle_pluslinkedin

Reducir el consumo energético y las emisiones de gases de efecto invernadero es una necesidad creciente para las empresas y cada día cobra más fuerza. Buscar la eficiencia en la gestión energética es el objetivo fundamental, consiguiendo un equilibrio entre evitar el daño al medio ambiente, disminuir costes y garantizar en todo momento la calidad de los servicios y productos que se ofrecen.

La eficiencia energética se conoce como la eficiencia en la producción, distribución y uso de la energía necesaria para poder garantizar la calidad total siendo uno de los aspectos que pueden afectar a la competitividad de las empresas. Por este motivo cada vez más empresas apuestan por los Sistemas de Gestión Energética (SGE).

La norma de calidad ISO 50001:2018 de Sistemas de Gestión Energética, es la más utilizada por las empresas y certifica que una organización tiene implantado un sistema de gestión energética que optimiza el uso de la energía de manera adecuada. Esta norma es aplicable a cualquier empresa, sea cual sea su actividad o tamaño.

 El sistema de gestión energética es una herramienta que permitirá la reducción de los consumos de energía, que a su vez se traducirán en un ahorro económico y en la reducción de las emisiones de gases de efecto invernadero. Esto quiere decir que cualquier inversión que se haga con esta finalidad tendrá un retorno económico para la empresa.

Entre los cambios que aporta esta nueva versión podemos destacar que presenta la estructura de alto nivel que la hace fácilmente integrable con otras normas ISO de sistemas de gestión (9001, 14001, 45001…). Además, tiene un mayor enfoque al negocio, incluyendo entre otras cosas el análisis de riesgo y la determinación del contexto de la organización.

¿Qué beneficios puede aportar a su empresa la ISO 50001?

  • Lograr un consumo más eficiente de los recursos
  • Ahorro de energía en el corto, medio y largo plazo.
  • Disminuir las emisiones de gases de efecto invernadero.
  • Conocer e implementar nuevas tecnologías de eficiencia energética.
  • Optar por otras fuentes de energía alternativa
  • Lograr la concienciación de todo el personal para adoptar las medidas de ahorro.
  • Mejorar la imagen corporativa de cara al exterior, y demostrando a las partes interesadas el compromiso ambiental de la empresa.
  • Se puede integrar fácilmente con otras normas de gestión.

¿Apuestas por el cuidado al medio ambiente y quieres reducir el coste y el consumo de energía en tu empresa? Contacta con Integra.

Foto: jannoon028

 

EL PLAZO DE ADAPTACIÓN A ISO 9001:2015 E ISO 14001:2015 FINALIZA. ¿SU EMPRESA HA LLEGADO A TIEMPO?

Comparte: Facebooktwittergoogle_pluslinkedin

Las últimas versiones de las normas ISO 9001:2015 e ISO 14001:2015 fueron publicadas en septiembre de 2015, concretamente los días 23 y 15 de septiembre respectivamente. Y como se ha venido anunciando, desde su publicación se abrió un periodo de adaptación de 3 años para aquellas empresas que estaban certificadas bajo las referencias anteriores de ambas normas.

Dicho periodo de adaptación llega a su fin el próximo 15 de septiembre, fecha a partir de la cual todas las empresas deben haber realizado la transición, habiendo pasado la auditoría de certificación en base a las versiones de 2015 de ambas normas y por tanto deben disponer de los nuevos certificados, puesto que los que se emitieron para la norma ISO 9001:2008 e ISO 14001: 2004 dejarán de tener validez.

La ISO 9001:2015 ha traído cambios importantes a las empresas, destacando quizá entre todos ellos la determinación del contexto de la organización y partes interesadas y la incorporación al sistema de la gestión del riesgo y de las oportunidades. En cuanto a la ISO 14001:2015, además de incluir los cambios mencionados para la 9001, añade como una de sus principales aportaciones la inclusión de la perspectiva de ciclo de vida a la hora de identificar y evaluar los aspectos ambientales. Además, ambas normas comparten también la estructura de alto nivel, que facilita aún más la integración de ambas entre sí y con otras normas.

Todas nuestras empresas han realizado la transición con éxito y disponen ya de sus certificados en vigor para sus sistemas de gestión de calidad y/o medio ambiente, bajo los requisitos de las últimas versiones de las normas ISO 9001 y/o ISO 14001.

Si su empresa no ha llegado a tiempo y sus certificados van a dejar de tener valor, llámenos y le ayudaremos a adaptarse en el menor tiempo posible.

Foto: freepik