La Experiencia en el Timón
Liderados por Susana Calvo Ramírez, CEO y Auditora Jefe, nuestra empresa se enorgullece de contar con una experta de renombre en normas como ISO 9001, ISO 27001 y ENS. Su experiencia es esencial para guiar a nuestros clientes hacia la excelencia.
Colaboración Innovadora con MILLENIALS CONSULTING
Nos complace anunciar nuestra alianza con ASB FACILITIES, un paso estratégico para ampliar nuestra oferta de servicios en soluciones ZOHO. Esta colaboración sinergiza nuestros conocimientos y fortalece nuestro compromiso de proveer soluciones completas y personalizadas a nuestros clientes.
Nuestro Compromiso: Tu Éxito
En ASB FACILITIES, S.L., nos dedicamos a equipar a las empresas con las herramientas y el asesoramiento necesario para lograr la excelencia en la gestión. Como tu socio de confianza, estamos comprometidos con tu camino hacia el éxito.
Ciberseguridad
En el mundo empresarial actual, donde la calidad, la sostenibilidad y la seguridad de la información son más cruciales que nunca, ASB FACILITIES, S.L. emerge como un líder indiscutible en estos ámbitos. La empresa se especializa en la implantación, auditorías internas, formación y auditorías de certificación en una amplia gama de normas de calidad y seguridad.
Esquema Nacional de Seguridad
La Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, incluye a la seguridad entre los principios de actuación de las administraciones públicas y recoge el Esquema Nacional de Seguridad (ENS), de aplicación a todo el Sector Público, que ofrece un planteamiento común de principios básicos, requisitos mínimos y medidas de seguridad.
Por su parte, el Real Decreto 203/2021, de 30 de marzo, por el que se aprueba el Reglamento de actuación y funcionamiento del sector público por medios electrónicos concreta en diferentes preceptos la obligación del cumplimiento de las medidas de seguridad previstas en el ENS.
El Esquema Nacional de Seguridad, que ha sufrido un proceso de evolución continua desde su primer desarrollo en 2010 (RD 3/2010, de 8 de enero, RD 951/2015 y RD 311/2022), establece la política de seguridad para la protección adecuada de la información tratada y los servicios prestados a través de un planteamiento común de principios básicos, requisitos mínimos, medidas de protección y mecanismos de conformidad y monitorización para el sector público, así como los proveedores tecnológicos del sector privado que colaboran con la Administración.
1. ¿Para qué sirve el Esquema Nacional de Seguridad?
El Esquema Nacional de Seguridad (ENS) es un conjunto normativo que posibilita crear y mantener las condiciones necesarias de seguridad en el uso de los medios electrónicos, a través de medidas que garanticen la seguridad de los sistemas, los datos, las comunicaciones y los servicios electrónicos, para facilitar el ejercicio de derechos y cumplimiento de deberes a través de estos medios.
Para las entidades públicas de su ámbito de aplicación, lo dispuesto en el ENS permite satisfacer los principios de actuación y los requisitos de seguridad de las Administraciones Públicas que les permitan alcanzar sus objetivos.
Para los ciudadanos, destinatarios últimos del servicio público, supone la garantía de que las entidades públicas con las que se relacionan reúnen las condiciones de seguridad necesarias para salvaguardar su información y sus derechos.
2. ¿Cuál es el ámbito de aplicación del ENS?
Desde la entrada en vigor de la Ley 39/2015, de Procedimiento Administrativo Común de las Administraciones Públicas y la Ley 40/2015, de Régimen Jurídico del Sector Público, ambas de 1 de octubre, (que derogaron la Ley 11/2007, de Acceso de los ciudadanos a los Servicios Públicos), el ámbito de aplicación subjetivo del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad (ENS), es coincidente con el señalado en la Ley 40/2015: el Sector Público, tal y como se encuentra definido en el art. 2 de dicha norma.
Así pues, el ámbito de aplicación del ENS se extiende, en general, a todas aquellas actividades que las entidades del Sector Publico puedan desarrollar conforme al Derecho Público, bien porque se trate de entidades de las Administraciones Públicas o de actividades de entidades que ejerzan potestades administrativas, bien porque desarrollen sus funciones en base al Derecho Público. Todo ello está recogido en la Guía CCN-STIC 830: Ámbito de aplicación del ENS.
3. ¿Quién puede certificar un sistema en el ENS?
De conformidad con lo señalado en la Resolución de 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de conformidad con el Esquema Nacional de Seguridad, de desarrollo del Real Decreto 3/2010 (ENS), las Entidades de Certificación de los sistemas deberán estar acreditadas por la Entidad Nacional de Acreditación (ENAC) para la certificación de sistemas del ámbito de aplicación del Esquema Nacional de Seguridad conforme a la norma UNE-EN ISO/IEC 17065:2012 Evaluación de la conformidad. Requisitos para organismos que certifican productos, procesos y servicios.
Estarán exentas del cumplimiento de los requisitos señalados anteriormente aquellas entidades, órganos, organismos y unidades vinculadas o dependientes de las Administraciones Públicas cuyas competencias incluyan el desarrollo de auditorías de sistemas de información, así conste en su normativa de creación o decretos de estructura y quede garantizada la debida imparcialidad.
4. ¿Cada cuánto tiempo se debe hacer una auditoría para la renovación de la conformidad/certificación en el ENS?
Como señala el RD 3/2010 (ENS), los sistemas de información deben ser objeto de una auditoría regular ordinaria, al menos cada dos años, que verifique el cumplimiento de los requerimientos del ENS.
Además, con carácter extraordinario, deberá realizarse dicha auditoría siempre que se produzcan modificaciones sustanciales en el sistema de información, que puedan repercutir en las medidas de seguridad requeridas. La realización de esta auditoria extraordinaria determinará la fecha de cómputo para el cálculo de los dos años, establecidos para la realización de la siguiente auditoría regular ordinaria, indicados en el párrafo anterior.
Por otro lado, como señala la Resolución de 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de conformidad con el Esquema Nacional de Seguridad, la Certificación de la Conformidad con el ENS de los sistemas de información con categorías MEDIA o ALTA se realizará mediante un procedimiento de auditoría formal que, con carácter ordinario, verifique el cumplimiento de los requerimientos contemplados en el Esquema, al menos cada dos años. Dicha auditoría se realizará según lo dispuesto en el artículo 34 y en el anexo III del Real Decreto 3/2010, de 8 de enero.
Esta misma Instrucción Técnica de Seguridad señala que la Certificación de Conformidad con el ENS se basará en el resultado de la antedicha auditoría, disponiendo de una validez efectiva de dos años, siempre que, por lo señalado, no sea necesario acometer una auditoría extraordinaria con anterioridad.
Por todo lo dicho, la “Fecha de renovación de la certificación de conformidad” que aparezca en la Certificación de Conformidad nunca podrá superar los dos años naturales desde la “Fecha de certificación de conformidad inicial” (que debe entenderse como la fecha en la que el órgano de certificación de la entidad decide otorgar dicha Certificación), pudiendo ser menor si las circunstancias así lo exigen.
Por todo ello, la auditoría se deberá planificar convenientemente de modo que la decisión de certificación subsiguiente se pueda tomar dentro del período de validez de la certificación precedente.
ISO 27001:2022
Esta norma internacional se ha preparado para proporcionar los requisitos para el establecimiento, implementación mantenimiento y mejora continua de un sistema de gestión de seguridad de la información. La adopción de un sistema de gestión de seguridad de la información es una decisión estratégica para una organización. El establecimiento e implementación de un sistema de gestión de seguridad de la información por una organización está condicionado por sus necesidades y objetivos, sus requisitos de seguridad, los procesos organizativos utilizados y su temario y estructura. Lo previsible es que todos estos factores condicionantes cambien con el tiempo.
El sistema de gestión de seguridad de la información preserva la confidencialidad, integridad y disponibilidad de la información mediante la aplicación de un proceso de gestión de riesgos y otorga a las partes interesadas confianza sobre la adecuada gestión de los riesgos.
Es importante que el sistema de gestión de seguridad de la información forme parte y este integrado con los procesos de la organización y con la estructura de gestión global, y que la seguridad de la información se considere durante el diseño de procesos, de los sistemas de información y de los controles. Es de esperar que la implementación del sistema de gestión de seguridad de la información se ajuste a las necesidades de la organización.
Esta norma internacional puede ser utilizada por partes internas y externas para evaluar la capacidad de la organización para cumplir con sus propios requisitos de seguridad.
El orden en que esta norma internacional presenta los requisitos no es reflejo de su importancia ni implica el orden en el cual deben implementarse. Los diferentes elementos de cada listado se enumeran solo a título de referencia.
La Norma ISO/IEC 27000 describe la visión de conjunto y el vocabulario de los sistemas de gestión de seguridad de la información, haciendo referencia a la familia de normas de sistemas de gestión de seguridad de la información (incluyendo las Normas ISO/IEC 27003 [2], ISO/IEC 27004 [3] e ISO/IEC 27005 [4]), junto con los términos y definiciones relacionados.
TISAX VDA ISA
TISAX es una forma de acreditar el cumplimiento del Módulo de la familia de estándares ISA denominado VDA relativo a la seguridad de la información exigido por los principales fabricantes de automoción de origen alemán: Grupo Volkswagen, Mercedes-Benz y BMW.
En esta dirección, la organización ENX (Asociación de fabricantes, proveedores y organizaciones de vehículos europeos) que agrupa a los principales actores del sector de la automoción europea cuenta con una herramienta de control para determinar el nivel de cumplimiento con los requisitos de seguridad de la información.
Se trata de la plataforma TISAX.
¿Cuáles son los requisitos de TISAX?
Los requisitos para evaluar se encuentran en el módulo VDA que contiene los requisitos de seguridad de la información en las empresas de la industria automotriz. Los requisitos VDA contemplan el Cumplimiento de tres bloques de controles:
- 43 controles para la Seguridad de la Información.
- 22 controles para la protección de prototipos.
- 4 controles sobre RGPD Protección de datos de carácter personal.
La evaluación de VDA ISA incluye un cuestionario genérico sobre seguridad de la información y tres módulos adicionales de temas específicos.
Para empezar, VDA está enfocado al establecimiento de un sistema de gestión de seguridad de la información siguiendo básicamente los requisitos planteados en el estándar ISO 27001.
En todo caso, el sistema de gestión promulgado por VDA tiene, en resumen, menos requisitos que la norma internacional, por lo que aquellos que tienen ya implantado un sistema ISO 27001 deben tener la casi toda seguridad de poder superar la certificación TISAX, realizando un pequeño análisis de cumplimiento para verificar los requisitos adicionales de TISAX que deban añadirse al sistema.
ISO 22301:2019
La Continuidad de Negocio es un proceso integral de gestión que identifica los posibles impactos que amenazan a una organización y ofrece un marco para proporcionar robustez y disponer de una respuesta efectiva que salvaguarde los intereses de los principales proveedores, clientes, empleados, accionistas y demás partes interesadas, la reputación, la marca y las actividades de valor.
La Continuidad del negocio describe los procesos y procedimientos que una organización realiza para asegurar que sus funciones esenciales pueden continuar durante y después de un desastre. El objetivo es preparar a la organización para la recuperación de sus procesos críticos después de una interrupción grave de sus actividades, de modo que estos se restauren dentro de un periodo de tiempo razonable y definido con anterioridad.
El Plan de Continuidad ha de generar y mantener la confianza, la imagen y la reputación de la organización hacia los clientes, proveedores, accionistas, organismos públicos y privados, etc. “El 81 por ciento de los directores cuyas organizaciones activaron sus mecanismos de continuidad de negocio en los últimos 12 meses dicen que fue efectivo en la reducción de las interrupciones. En resumen: la continuidad de negocio funciona”
Los desastres naturales, los cortes en las tecnologías de la información o la huelga son las interrupciones que encontramos en primer plano. Sin embargo, la interrupción también incluye las enfermedades de los empleados o algunos acontecimientos que afectan a la cadena de suministro.
La continuidad de negocio le proporciona un marco que le permite identificar las posibles amenazas a su organización y fortalecer la capacidad de esta. Esto significa que puede responder a las amenazas y salvaguardar los intereses de las partes interesadas, la reputación, la marca y las actividades que proporcionan un valor añadido.
ISO 22301 proporciona un marco formal de continuidad de negocio y ayudará a desarrollar un plan de continuidad de negocio que mantendrá su organización funcionando durante y después de la interrupción. Éste también minimizará el impacto así que usted podrá reanudar el servicio lo más rápido posible, asegurando que los servicios clave y los productos son entregados. Si la interrupción no es una opción en su negocio, adoptar la norma internacional de continuidad de negocio, ISO 22301, es el primer paso hacia un enfoque de buenas prácticas.
¿Por qué elegir la norma ISO 22301?
Para demostrar que su organización puede continuar trabajando, incluso de cara a una interrupción. Un sistema de gestión de continuidad de negocio y alineado con la norma ISO 22301 es adecuado para cualquier organización de cualquier tamaño y en todos los sectores, desde el sector público al privado, o desde las empresas de fabricación a las empresas de servicios. Y proporciona un lenguaje común a organizaciones globales, especialmente a aquellas con una larga y compleja cadena de suministro.
La norma es particularmente importante en aquellas organizaciones que trabajan en entornos de altos riesgos donde la habilidad de continuar trabajando es de suma importancia para los negocios, clientes y partes interesadas – esto incluye las empresas de servicios públicos, financieras, de telecomunicaciones, de transportes y el sector público.
Otras normas de calidad
ISO 9001:2015
La ISO 9001 permite a cualquier organización cumplir y responder a las exigencias de clientes que, cada vez más, requieren proveedores homologados. Antes, la calidad era la mejor opción para diferenciarse de la competencia. Hoy resulta ser una exigencia estratégica para toda empresa que quiera ser reconocida en el mercado, y un factor del que depende la supervivencia de cualquier organización.
En ASB FACILITIES pensamos que la implantación de un Sistema de Gestión de la Calidad es un proyecto a largo plazo, que requiere el conocimiento exhaustivo de la organización, la implicación de todo el personal de la organización, capacidad de liderar el proyecto e implicación de proveedores de bienes y servicios.
Debido al cambio de versión a ISO 9001:2015 con un enfoque a riesgos, es necesaria realizar una actualización de los sistemas de gestión de forma que se adapten a los nuevos requisitos del estándar de referencia.
ISO 14001:2015
14001 es sinónimo de empresa respetuosa con el medio ambiente.
Cuanto más impacto tiene la actividad de la organización en el medio ambiente, mayor es el reto y más rápidos los resultados. La implicación de la organización y el compromiso de la Dirección en reducir el impacto ambiental, otorgan a la organización un mayor grado de responsabilidad.
Si por el contrario, la empresa tiene menos impacto en el medio ambiente, por ser una actividad menos “agresiva” con el mismo, el esfuerzo para alcanzar los resultados es menor, y, en ambos casos, la imagen reputacional de la organización se ve reforzada.
Le Ayudará también a conocer el ciclo de vida de los productos y servicios. Ver, qué parte de la cadena de suministro, desde el inicio al fin, tiene más impacto en el medio ambiente, podrá conocer dónde su organización puede tratar de reducir dicho impacto y dónde no.
En todos los casos, la organización podrá solicitar a sus proveedores, sus colaboradores, partners, y a sus propios trabajadores, que piensen en verde y presten el servicio de forma cada vez más respetuosa con el medio ambiente.