L'Experiència al Timó
Liderats per Susana Calvo Ramírez, CEO i Auditora Cap, la nostra empresa s'enorgulleix de comptar amb una experta de renom en normes com ara ISO 9001, ISO 27001 i ENS. La seva experiència és essencial per guiar els nostres clients cap a l'excel·lència.
Col·laboració Innovadora amb MILLENIALS CONSULTING
Ens complau anunciar la nostra aliança amb ASB FACILITIES, un pas estratègic per ampliar la nostra oferta de serveis en solucions ZOHO. Aquesta col·laboració sinergitza els nostres coneixements i enforteix el nostre compromís de proveir solucions completes i personalitzades als nostres clients.
El nostre Compromís: El teu Èxit
A ASB FACILITIES, SL ens dediquem a equipar les empreses amb les eines i l'assessorament necessari per aconseguir l'excel·lència en la gestió. Com el teu soci de confiança, estem compromesos amb el teu camí cap a lèxit.
ciberseguretat
Al món empresarial actual, on la qualitat, la sostenibilitat i la seguretat de la informació són més crucials que mai, ASB FACILITIES, SL emergeix com un líder indiscutible en aquests àmbits. L'empresa s'especialitza en la implantació, les auditories internes, la formació i les auditories de certificació en una àmplia gamma de normes de qualitat i seguretat.
Esquema Nacional de Seguretat
La Llei 40/2015, d'1 d'octubre, de Règim Jurídic del Sector Públic, inclou la seguretat entre els principis d'actuació de les administracions públiques i recull l'Esquema Nacional de Seguretat (ENS), aplicable a tot el Sector Públic, que ofereix un plantejament comú de principis bàsics, requisits mínims i mesures de seguretat.
Per la seva banda, el Reial Decret 203/2021, de 30 de març, pel qual saprova el Reglament dactuació i funcionament del sector públic per mitjans electrònics concreta en diferents preceptes lobligació del compliment de les mesures de seguretat previstes a lENS .
L'Esquema Nacional de Seguretat, que ha patit un procés d'evolució contínua des del primer desenvolupament el 2010 (RD 3/2010, de 8 de gener, RD 951/2015 i RD 311/2022), estableix la política de seguretat per a la protecció adequada de la informació tractada i els serveis prestats mitjançant un plantejament comú de principis bàsics, requisits mínims, mesures de protecció i mecanismes de conformitat i monitorització per al sector públic, així com els proveïdors tecnològics del sector privat que col·laboren amb l'Administració.
1. Per a què serveix l'Esquema Nacional de Seguretat?
L'Esquema Nacional de Seguretat (ENS) és un conjunt normatiu que possibilita crear i mantenir les condicions necessàries de seguretat en l'ús dels mitjans electrònics, mitjançant mesures que garanteixin la seguretat dels sistemes, les dades, les comunicacions i els serveis electrònics, per facilitar l'exercici de drets i el compliment de deures a través d'aquests mitjans.
Per a les entitats públiques del seu àmbit daplicació, el que disposa lENS ens permet satisfer els principis dactuació i els requisits de seguretat de les administracions públiques que els permetin assolir els seus objectius.
Per als ciutadans, destinataris últims del servei públic, suposa la garantia que les entitats públiques amb què es relacionen reuneixen les condicions de seguretat necessàries per salvaguardar-ne la informació i els drets.
2. Quin és làmbit daplicació de lENS?
Des de l'entrada en vigor de la Llei 39/2015, de Procediment Administratiu Comú de les Administracions Públiques i la Llei 40/2015, de Règim Jurídic del Sector Públic, ambdues d'1 d'octubre, (que van derogar la Llei 11/2007, de Accés dels ciutadans als serveis públics), l'àmbit d'aplicació subjectiu del Reial decret 3/2010, de 8 de gener, pel qual es regula l'Esquema Nacional de Seguretat (ENS), és coincident amb l'assenyalat a la Llei 40 /2015: el Sector Públic, tal com es troba definit a l'art. 2 de la dita norma.
Així, doncs, l'àmbit d'aplicació de l'ENS s'estén, en general, a totes aquelles activitats que les entitats del sector públic puguin desenvolupar d'acord amb el dret públic, bé perquè es tracti d'entitats de les administracions públiques o d'activitats d'entitats que exerceixin potestats administratives, bé perquè desenvolupin les seves funcions sobre la base del dret públic. Tot això es recull a la Guia CCN-STIC 830: Àmbit d'aplicació de l'ENS.
3. Qui pot certificar un sistema a l'ENS?
De conformitat amb el que assenyala la Resolució de 13 d'octubre de 2016, de la Secretaria d'Estat d'Administracions Públiques, per la qual s'aprova la Instrucció Tècnica de Seguretat de conformitat amb l'Esquema Nacional de Seguretat, de desplegament del Reial decret 3/ 2010 (ENS), les Entitats de Certificació dels sistemes han d'estar acreditades per l'Entitat Nacional d'Acreditació (ENAC) per a la certificació de sistemes de l'àmbit d'aplicació de l'Esquema Nacional de Seguretat d'acord amb la norma UNE-EN ISO/IEC 17065: 2012 Avaluació de la conformitat. Requisits per a organismes que certifiquen productes, processos i serveis.
Estan exemptes del compliment dels requisits assenyalats anteriorment aquelles entitats, òrgans, organismes i unitats vinculades o dependents de les administracions públiques les competències de les quals incloguin el desenvolupament d'auditories de sistemes d'informació, així consti a la seva normativa de creació o decrets d'estructura i quedi garantida la deguda imparcialitat.
4. Cada quant de temps s'ha de fer una auditoria per a la renovació de la conformitat/certificació a l'ENS?
Com assenyala el RD 3/2010 (ENS), els sistemes dinformació han de ser objecte duna auditoria regular ordinària, almenys cada dos anys, que verifiqui el compliment dels requeriments de lENS.
A més, amb caràcter extraordinari, aquesta auditoria s'ha de fer sempre que es produeixin modificacions substancials en el sistema d'informació, que puguin repercutir en les mesures de seguretat requerides. La realització d'aquesta auditoria extraordinària determinarà la data de còmput per al càlcul dels dos anys, establerts per a la realització de la següent auditoria regular ordinària, indicats al paràgraf anterior.
D'altra banda, com assenyala la Resolució de 13 d'octubre de 2016, de la Secretaria d'Estat d'Administracions Públiques, per la qual s'aprova la Instrucció Tècnica de Seguretat de conformitat amb l'Esquema Nacional de Seguretat, la Certificació de la Conformitat amb el ENS dels sistemes d'informació amb categories MITJANA o ALTA es realitzarà mitjançant un procediment d'auditoria formal que, amb caràcter ordinari, verifiqui el compliment dels requeriments contemplats a l'Esquema, almenys cada dos anys. Aquesta auditoria s'ha de fer segons el que disposa l'article 34 i l'annex III del Reial decret 3/2010, de 8 de gener.
Aquesta mateixa Instrucció Tècnica de Seguretat assenyala que la Certificació de Conformitat amb l'ENS es basarà en el resultat de l'auditoria esmentada, disposant d'una validesa efectiva de dos anys, sempre que, per allò assenyalat, no sigui necessari emprendre una auditoria extraordinària amb anterioritat .
Per tot això, la “Data de renovació de la certificació de conformitat” que aparegui a la Certificació de Conformitat mai podrà superar els dos anys naturals des de la “Data de certificació de conformitat inicial” (que s'ha d'entendre com la data en què l'òrgan de certificació de l'entitat decideix atorgar aquesta Certificació), i pot ser menor si les circumstàncies així ho exigeixen.
Per tot això, l'auditoria s'haurà de planificar convenientment de manera que la decisió de certificació subsegüent es pugui prendre dins del període de validesa de la certificació precedent.
ISO 27001: 2022
Aquesta norma internacional s'ha preparat per proporcionar els requisits per a l'establiment, la implementació del manteniment i la millora contínua d'un sistema de gestió de seguretat de la informació. Adopció d'un sistema de gestió de seguretat de la informació és una decisió estratègica per a una organització. L'establiment i la implementació d'un sistema de gestió de seguretat de la informació per una organització està condicionat per les necessitats i els objectius, els requisits de seguretat, els processos organitzatius utilitzats i el temari i l'estructura. El més previsible és que tots aquests factors condicionants canviïn amb el temps.
El sistema de gestió de seguretat de la informació preserva la confidencialitat, la integritat i la disponibilitat de la informació mitjançant l'aplicació d'un procés de gestió de riscos i atorga a les parts interessades confiança sobre la gestió adequada dels riscos.
És important que el sistema de gestió de seguretat de la informació formi part i estigui integrat amb els processos de l'organització i amb l'estructura de gestió global, i que la seguretat de la informació es consideri durant el disseny de processos, dels sistemes de informació i dels controls. Cal esperar que la implementació del sistema de gestió de seguretat de la informació s'ajusti a les necessitats de l'organització.
Aquesta norma internacional pot ser utilitzada per parts internes i externes per avaluar la capacitat de lorganització per complir amb els seus propis requisits de seguretat.
L'ordre en què aquesta norma internacional presenta els requisits no és el reflex de la seva importància ni implica l'ordre en què s'han d'implementar. Els diferents elements de cada llista s'enumeren només a títol de referència.
La Norma ISO/IEC 27000 descriu la visió de conjunt i el vocabulari dels sistemes de gestió de seguretat de la informació, fent referència a la família de normes de sistemes de gestió de seguretat de la informació (incloent-hi les Normes ISO/IEC 27003 [ 2], ISO/IEC 27004 [3] i ISO/IEC 27005 [4]), juntament amb els termes i definicions relacionats.
TISAX VDA ISA
TISAX és una forma d'acreditar el compliment del Mòdul de la família d'estàndards ISA anomenat VDA relatiu a la seguretat de la informació exigit pels principals fabricants d'automoció d'origen alemany: Grup Volkswagen, Mercedes Benz i BMW.
En aquesta direcció, l'organització ENX (Associació de fabricants, proveïdors i organitzacions de vehicles europeus) que agrupa els principals actors del sector de l'automoció europea compta amb una eina de control per determinar el nivell de compliment amb els requisits de seguretat de la informació.
Es tracta de la plataforma TISAX.
Quins són els requisits de TISAX?
Els requisits per avaluar es troben al mòdul VDA que conté els requisits de seguretat de la informació a les empreses de la indústria automotriu. Els requisits VDA contemplen el Compliment de tres blocs de controls:
- 43 controls per a la Seguretat de la Informació.
- 22 controls per a la protecció de prototips.
- 4 controls sobre RGPD Protecció de dades de caràcter personal.
L'avaluació de VDA ISA inclou un qüestionari genèric sobre la seguretat de la informació i tres mòduls addicionals de temes específics.
Per començar, VDA està enfocat a establir un sistema de gestió de seguretat de la informació seguint bàsicament els requisits plantejats a l'estàndard ISO 27001.
En tot cas, el sistema de gestió promulgat per VDA té, en resum, menys requisits que la norma internacional, per la qual cosa aquells que ja tenen implantat un sistema ISO 27001 han de tenir la gairebé tota seguretat de poder superar la certificació TISAX, realitzant un petita anàlisi de compliment per verificar els requisits addicionals de TISAX que s'hagin d'afegir al sistema.
ISO 22301: 2019
La Continuïtat de Negoci és un procés integral de gestió que identifica els possibles impactes que amenacen una organització i ofereix un marc per proporcionar robustesa i disposar d'una resposta efectiva que salvaguardi els interessos dels principals proveïdors, clients, empleats, accionistes i altres parts interessades, la reputació, la marca i les activitats de valor.
La Continuïtat del negoci descriu els processos i els procediments que una organització realitza per assegurar que les seves funcions essencials poden continuar durant i després d'un desastre. L'objectiu és preparar l'organització per a la recuperació dels processos crítics després d'una interrupció greu de les seves activitats, de manera que aquests es restaurin dins un període de temps raonable i definit amb anterioritat.
El Pla de Continuïtat ha de generar i mantenir la confiança, la imatge i la reputació de lorganització envers els clients, proveïdors, accionistes, organismes públics i privats, etc. “El 81% dels directors les organitzacions dels quals van activar els seus mecanismes de continuïtat de negoci en els últims 12 mesos diuen que va ser efectiu en la reducció de les interrupcions. En resum: la continuïtat de negoci funciona”
Els desastres naturals, els talls a les tecnologies de la informació o la vaga són les interrupcions que trobem en primer pla. Tot i això, la interrupció també inclou les malalties dels empleats o alguns esdeveniments que afecten la cadena de subministrament.
La continuïtat de negoci us proporciona un marc que us permet identificar les possibles amenaces a la vostra organització i enfortir la seva capacitat. Això vol dir que pot respondre a les amenaces i salvaguardar els interessos de les parts interessades, la reputació, la marca i les activitats que proporcionen un valor afegit.
ISO 22301 proporciona un marc formal de continuïtat de negoci i ajudarà a desenvolupar un pla de continuïtat de negoci que mantindrà la vostra organització funcionant durant i després de la interrupció. Aquest també minimitzarà limpacte així que vostè podrà reprendre el servei el més ràpid possible, assegurant que els serveis clau i els productes són lliurats. Si la interrupció no és una opció en el vostre negoci, adoptar la norma internacional de continuïtat de negoci, ISO 22301, és el primer pas cap a un enfocament de bones pràctiques.
Per què escollir la norma ISO 22301?
Per demostrar que la vostra organització pot continuar treballant, fins i tot de cara a una interrupció. Un sistema de gestió de continuïtat de negoci i alineat amb la norma ISO 22301 és adequat per a qualsevol organització de qualsevol mida i en tots els sectors, des del sector públic al privat, o des de les empreses de fabricació a les empreses de serveis. I proporciona un llenguatge comú a organitzacions globals, especialment a aquelles amb una llarga i complexa cadena de subministrament.
La norma és particularment important en aquelles organitzacions que treballen en entorns d'alts riscos on l'habilitat de continuar treballant és molt important per als negocis, clients i parts interessades – això inclou les empreses de serveis públics, financeres, de telecomunicacions, de transports i el sector públic.
Altres normes de qualitat
ISO 9001: 2015
La ISO 9001 permet a qualsevol organització complir i respondre a les exigències de clients que, cada cop més, requereixen proveïdors homologats. Abans, la qualitat era la millor opció per diferenciar-se de la competència. Avui resulta ser una exigència estratègica per a tota empresa que vulgui ser reconeguda al mercat, i un factor del qual depèn la supervivència de qualsevol organització.
A ASB FACILITIES pensem que la implantació d'un sistema de gestió de la qualitat és un projecte a llarg termini, que requereix el coneixement exhaustiu de l'organització, la implicació de tot el personal de l'organització, la capacitat de liderar el projecte i la implicació de proveïdors. de béns i serveis.
A causa del canvi de versió a ISO 9001:2015 amb un enfocament a riscos, cal fer una actualització dels sistemes de gestió de manera que s'adaptin als nous requisits de l'estàndard de referència.
ISO 14001: 2015
14001 és sinònim d'empresa respectuosa amb el medi ambient.
Com més impacte té l'activitat de l'organització en el medi ambient, més gran és el repte i més ràpids els resultats. La implicació de l'organització i el compromís de la Direcció en reduir l'impacte ambiental atorguen a l'organització un grau més alt de responsabilitat.
Si, per contra, l'empresa té menys impacte en el medi ambient, perquè és una activitat menys “agressiva” amb aquest, l'esforç per assolir els resultats és menor, i, en tots dos casos, la imatge reputacional de l'organització es veu reforçada.
També us ajudarà a conèixer el cicle de vida dels productes i serveis. Veure, quina part de la cadena de subministrament, des de l'inici a la fi, té més impacte en el medi ambient, podreu conèixer on la vostra organització pot tractar de reduir aquest impacte i on no.
En tots els casos, l'organització podrà sol·licitar als seus proveïdors, col·laboradors, partners, i als seus propis treballadors, que pensin en verd i prestin el servei de manera cada cop més respectuosa amb el medi ambient.