ISO 28000:2007 Sistemas de Gestión de la Seguridad en la l Cadena C d de d S Suministro i i t
Francisco Ruiz Director de Proyectos ABS Quality Evaluations Inc.
V 1.0
1
¿Quién es ABS?
AMERICAN BUREAU OF SHIPPING (ABS) Desde 1862
ABS BUREAU ABS GROUP OF COMPANIES
Evaluaciones de Riesgos naturales, humanos o tecnológicos en operaciones e infraestructuras infraestructuras. Software customizado. customizado Ingeniería Estructural y Control de Calidad para diseño, modificación, actualización o rehabilitación de infraestructuras. . Gestión de Riesgos: Mitigacion y control de riesgos. g Preparación p ante emergencias g y Continuidad de negocio. desastres. Análisis de vulnerabilidad a explosiones y ataques terroristas. V 1.0
Auditorias ud o as y Certificación Ce cac ó de Sistemas de Gestión. Formación
2
ABS QE fue la primera entidad de certificación en certificar tifi en base b a la l norma ISO 28000
Año 2008
V 1.0
3
Objetivos • Unificar conceptos p • Explicar la norma ISO 28000:2007 • Enfoque de Riesgos • Presentar los beneficios de la implantación
V 1.0
4
Conceptos Cadena de suministro Conjunto relacionado de recursos y procesos que comienza i con la l provisión de materias primas y se extiende
hasta
la
entrega
de
productos o servicios al usuario final a través de los medios de transporte
V 1.0
5
Conceptos Seguridad Resistencia
al
acto
o
actos
i t intencionados i d y no autorizados, t i d destinados
a
causar
daño
o
perjuicio a la cadena de suministro o a través de ella.
¿y no intencionados?
V 1.0
6
Conceptos Gestión de la Seguridad Actividades y prácticas sistemáticas y coordinadas a través de las cuales una organización
gestiona
de
manera
ó ti óptima sus riesgos i y las l amenazas e impactos potenciales asociados
V 1.0
7
ISO 28000. ¿Qué es? • Norma internacional que especifica los q de un sistema de g gestión de la requisitos seguridad de la cadena de suministro • Basada en – La gestión del riesgo – El ciclo de mejora continua de Demming
• Integrable con otros sistemas de gestión (calidad, medio ambiente, etc.) V 1.0
8
ISO 28000. Campo p de Aplicación p • De aplicación a organizaciones q tamaño,, en: cualquier
de
– La fabricación – El servicio – El almacenaje – El transporte
• En cualquier etapa de la cadena de producción o suministro V 1.0
9
ISO 28000. Ciclo de Demming
V 1.0
10
ISO 28000. Ciclo de Demming • Planificar − Alineamiento Negocio – Seguridad
• Hacer H − Implantar medidas de seguridad g
• Verificar − ¿Se hacen las cosas como se han definido? − ¿Se mitiga el riesgo en el nivel supuesto?
• Actuar − Corregir y mejorar V 1.0
11
ISO 28000. Planificar • Política de Seguridad • Evaluación y Planificación de Riesgos – Análisis de Riesgos – Marcar M objetivos bj ti y metas t • Todo objetivo está compuesto por una serie de metas, t que unidas id y alcanzadas l d conforman f ell objetivo
– Gestión G tió d dell riesgo i
V 1.0
12
ISO 28000. Hacer • Responsabilidades de seguridad • Competencia, Competencia formación y concienciación • Control operacional − Para las actividades relacionadas con la seguridad y la gestión del riesgo
• Respuesta ante incidentes V 1.0
13
ISO 28000. Verificar • Medición del desempeño Cuadro de Mando • Estudio de fallos e incidentes • Auditorías • Revisión R i ió por lla Di Dirección ió
V 1.0
14
ISO 28000. Actuar • Mejora continua • Planes de seguridad • Aumento de eficacia y eficiencia • Alineación con los requisitos del negocio
V 1.0
15
ISO 28000. Familia de Normas • ISO 28000:2007 – Define los requisitos de un sistema de gestión de seguridad. Es la norma certificable
• ISO 28001:2007 – Mejores prácticas para implementar evaluaciones y planes l d de seguridad id d
• ISO 28003:2007 – Requisitos para entidades de auditoría y certificación
V 1.0
16
ISO 28000. Familia de Normas • ISO 28004:2007 – Guía para la implementación de ISO 28000
• ISO/PAS 28005:2009 – Aplicaciones informáticas para el despacho de aduanas. – Contiene las especificaciones técnicas para el correcto intercambio de información entre la embarcación, b ió ell puesto t y las l autoridades t id d costeras t
V 1.0
17
ISO 28000. Normas Relacionables • ISO 20858:2007 – Evaluaciones y Plan de Seguridad de la instalación Marítima y Portuaria
• BS 25999-2:2007 – Gestión de la Continuidad de Negocio
• ISO/IEC 27001:2005 − Gestión G tió de d la l S Seguridad id d d de lla IInformación f ió Además de sistemas de gestión de calidad y medio ambiente
V 1.0
18
Análisis de Riesgos • La organización debe de establecer y mantener procedimientos para la identificación y evaluación de las amenazas a la seguridad y su gestión así como la identificación e implementación de las medidas de control necesarias. • Los métodos de identificación de amenazas y riesgos, los de evaluación y los de control deberían de ser apropiados p p a la naturaleza y escala de las operaciones. p V 1.0
19
Análisis de Riesgos La evaluación de riesgos debe incluir: • Amenazas y riesgos de fallo físico. • Amenazas y riesgos operacionales. • Sucesos naturales que conviertan las medidas en i fi ineficaces. • Factores ajenos al control de la organización. • Amenazas A y riesgos i d las de l partes afectadas. f d • Diseño e instalación del equipo de seguridad. • Gestión de la información y las comunicaciones. • Amenazas a la continuidad de las operaciones.
V 1.0
20
Análisis de Riesgos
V 1.0
21
M Metodolo gía de análisis y gestión n de riesgos ISO 2 28001 (An nexo B)
Análisis de Riesgos
V 1.0
Identificar las actividades definidas en el alcance Identificar controles de seguridad presentes Identificar escenarios de amenazas Determinar impacto del escenario D t Determinar i probabilidad b bilid d de d ocurrencia i del d l escenario i Determinar si las medidas de seguridad g son adecuadas Desarrollar medidas adicionales de seguridad
22
Operador p Económico Autorizado • Lo que dice el reglamento europeo 1875/2006 – Habla de un marco común de gestión de riesgos – Art. A t 14 decies d i • Disponer de medidas apropiadas de seguridad de las tecnologías de la información
– Artículo 14 duodecies • Edifi Edificios i […] [ ] que resistan i t un acceso ilegal il l • Medidas de control de acceso • Controles de seguridad de los posibles futuros empleados V 1.0
23
Operador p Económico Autorizado – Artículo 14 duodecies (sigue) • Programas de sensibilización en seguridad • Ser titular de un certificado de protección o seguridad internacionalmente reconocido […] o de una norma internacional de la Organización Internacional de Estandarización (ISO). No es requisito
V 1.0
24
Operador p Económico Autorizado • Lo que dice manual del OEA (Dpto. de Aduanas)) – Todo OEA debería incitar a sus socios comerciales a que refuercen la seguridad de la parte de la cadena de suministro en la que participen – Entre los criterios para la concesión del estatuto de OEA […] se contarán […] unos niveles de seguidad adecuados. V 1.0
25
Operador p Económico Autorizado • Lo que dice manual del OEA (sigue) – Las medidas de protección y seguridad deben estar presentes en todas las áreas de la empresa. – Beneficios OEA Seguridad • Notificación previa de controles • Conjunto reducido de datos • Menores controles físicos y documentales • Prioridad de controles • Posibilidad de designar un lugar específico para tales controles V 1.0
26
Beneficios Alineamiento Ali i t Negocio N i - Seguridad S id d Mejora la competitividad e imagen de las empresas Amplía las oportunidades de negocios en mercados Internacionales. Reduce los riesgos asociados al comercio internacional. Fomenta un ambiente de trabajo seguro. Mejora el control y la trazabilidad de su cadena logística Permite garantizar que se llevan a cabo operaciones para el control de los riesgos y la implantación de medidas que los mitiguen. Es posible certificar por una tercera parte, que el sistema de gestión de la seguridad de la cadena de suministro de la organización se lleva bajo los estándares internacionales establecidos en la norma ISO 28000. Aporta un valor agregado para la organización en sus operaciones comerciales. Poder comunicar a clientes, autoridades e inversores la implantación del sistema de gestión tió d de lla seguridad id d y utilizarlo tili l como h herramienta i t competitiva titi y dif diferencial. i l V 1.0
27
¡ MUCHAS GRACIAS !
V 1.0
28
ABS Quality Evaluations Información de contacto: Francisco Ruiz y Director de Proyectos ABS Quality Evaluations Orense 58, 11 A Madrid 28020 Phone: 91 555 25 62 E-mail:
[email protected]
V 1.0
29