ISO 28000:2007
Sistemas de Gestión de la Seguridad
l C d d S i i ten la Cadena de Suministro
Francisco RuizDirector de ProyectosABS Quality Evaluations Inc.
V 1.01
¿Quién es ABS?
AMERICAN BUREAU OF SHIPPING (ABS) Desde 1862AMERICAN BUREAU OF SHIPPING (ABS) Desde 1862
ABS BUREAUABS GROUP OF COMPANIES
Evaluaciones de Riesgos naturales, humanos o tecnológicos en operaciones e infraestructuras Software customizado Auditorias y Certificación de en operaciones e infraestructuras. Software customizado. Ingeniería Estructural y Control de Calidad para diseño, modificación, actualización o rehabilitación de infraestructuras.. Gestión de Riesgos: Mitigacion y control de riesgos. Continuidad de negocio. Preparación ante emergencias y
ud o as y Ce cac ó deSistemas de Gestión.
Formación
V 1.02
g p g ydesastres. Análisis de vulnerabilidad a explosiones y ataques terroristas.
ABS QE fue la primeraABS QE fue la primera
entidad de certificación
tifi b len certificar en base a la
norma ISO 28000
Año 2008
V 1.03
ObjetivosObjetivos
• Unificar conceptosp
• Explicar la norma ISO 28000:2007
• Enfoque de Riesgos
• Presentar los beneficios de la implantación
V 1.04
ConceptosConceptos
Cadena de suministro
Conjunto relacionado de recursos y
i lprocesos que comienza con la
provisión de materias primas y se
extiende hasta la entrega de
productos o servicios al usuario
final a través de los medios de
transporte
V 1.05
ConceptosConceptos
Seguridad
Resistencia al acto o actos
i t i d t i dintencionados y no autorizados,
destinados a causar daño o
perjuicio a la cadena de suministro
o a través de ella.
¿y no intencionados?
V 1.06
¿y
ConceptosConceptos
Gestión de la Seguridad
Actividades y prácticas sistemáticas y
coordinadas a través de las cuales unacoordinadas a través de las cuales una
organización gestiona de manera
ó ti i lóptima sus riesgos y las amenazas e
impactos potenciales asociados
V 1.07
ISO 28000. ¿Qué es?ISO 28000. ¿Qué es?
• Norma internacional que especifica losrequisitos de un sistema de gestión de laq gseguridad de la cadena de suministro
• Basada en• Basada en– La gestión del riesgo– El ciclo de mejora continua de Demming
• Integrable con otros sistemas de gestiónIntegrable con otros sistemas de gestión(calidad, medio ambiente, etc.)
V 1.08
ISO 28000. Campo de Aplicaciónp p
• De aplicación a organizaciones decualquier tamaño, en:q ,– La fabricación
El servicio– El servicio– El almacenaje– El transporte
• En cualquier etapa de la cadena deEn cualquier etapa de la cadena deproducción o suministro
V 1.09
ISO 28000. Ciclo de DemmingISO 28000. Ciclo de Demming
V 1.010
ISO 28000. Ciclo de DemmingISO 28000. Ciclo de Demming• PlanificarPlanificar
− Alineamiento Negocio – SeguridadH• Hacer− Implantar medidas de seguridadg
• Verificar¿Se hacen las cosas como se han definido?− ¿Se hacen las cosas como se han definido?
− ¿Se mitiga el riesgo en el nivel supuesto?• Actuar
− Corregir y mejorar
V 1.011
Corregir y mejorar
ISO 28000. PlanificarISO 28000. Planificar
• Política de Seguridad• Evaluación y Planificación de RiesgosEvaluación y Planificación de Riesgos
– Análisis de RiesgosM bj ti t– Marcar objetivos y metas
• Todo objetivo está compuesto por una serie de t id l d f lmetas, que unidas y alcanzadas conforman el
objetivoG tió d l i– Gestión del riesgo
V 1.012
ISO 28000. HacerISO 28000. Hacer
• Responsabilidades de seguridad
Competencia formación y concienciación• Competencia, formación y concienciación
• Control operacional• Control operacional
− Para las actividades relacionadas con laPara las actividades relacionadas con la
seguridad y la gestión del riesgo
• Respuesta ante incidentes
V 1.013
ISO 28000. VerificarISO 28000. Verificar
• Medición del desempeño Cuadro de
Mando
• Estudio de fallos e incidentes
• Auditorías
R i ió l Di ió• Revisión por la Dirección
V 1.014
ISO 28000. ActuarISO 28000. Actuar
• Mejora continua
• Planes de seguridad
• Aumento de eficacia y eficiencia
• Alineación con los requisitos del negocio
V 1.015
ISO 28000. Familia de NormasISO 28000. Familia de Normas
• ISO 28000:2007– Define los requisitos de un sistema de gestión de
seguridad. Es la norma certificable
• ISO 28001:2007• ISO 28001:2007– Mejores prácticas para implementar evaluaciones y
l d id dplanes de seguridad
• ISO 28003:2007ISO 28003:2007– Requisitos para entidades de auditoría y certificación
V 1.016
ISO 28000. Familia de NormasISO 28000. Familia de Normas
• ISO 28004:2007– Guía para la implementación de ISO 28000
• ISO/PAS 28005:2009– Aplicaciones informáticas para el despacho de
aduanas.– Contiene las especificaciones técnicas para el
correcto intercambio de información entre lab ió l t l t id d tembarcación, el puesto y las autoridades costeras
V 1.017
ISO 28000. Normas Relacionables
• ISO 20858:2007• ISO 20858:2007– Evaluaciones y Plan de Seguridad de la instalación
Marítima y PortuariaMarítima y Portuaria
• BS 25999-2:2007– Gestión de la Continuidad de Negocio
• ISO/IEC 27001:2005G tió d l S id d d l I f ió− Gestión de la Seguridad de la Información
Además de sistemas de gestión de calidad y medio ambiente
V 1.018
Análisis de RiesgosAnálisis de Riesgos
• La organización debe de establecer y mantener
procedimientos para la identificación y evaluación de lasprocedimientos para la identificación y evaluación de las
amenazas a la seguridad y su gestión así como la
identificación e implementación de las medidas de
control necesarias.
• Los métodos de identificación de amenazas y riesgos,
los de evaluación y los de control deberían de ser
apropiados a la naturaleza y escala de las operaciones.
V 1.019
p p y p
Análisis de RiesgosAnálisis de Riesgos
La evaluación de riesgos debe incluir:• Amenazas y riesgos de fallo físico.• Amenazas y riesgos operacionales.• Sucesos naturales que conviertan las medidas en
i fiineficaces.• Factores ajenos al control de la organización.
A i d l f d• Amenazas y riesgos de las partes afectadas.• Diseño e instalación del equipo de seguridad.• Gestión de la información y las comunicaciones.• Amenazas a la continuidad de las operaciones.
V 1.020
Análisis de RiesgosAnálisis de Riesgos
V 1.021
Análisis de RiesgosAnálisis de RiesgosIdentificar las actividades definidas en el alcancego
s
Identificar controles de seguridad presentes
n de
ries
Identificar escenarios de amenazas
y ge
stió
nne
xo B
)
Determinar impacto del escenario
D t i b bilid d d i d l inális
is y
2800
1 (A
n
Determinar probabilidad de ocurrencia del escenario
Determinar si las medidas de seguridad son adecuadasgía
de a
ISO
2
g
Desarrollar medidas adicionales de seguridad
Met
odol
o
V 1.022
M
Operador Económico Autorizadop
• Lo que dice el reglamento europeo1875/2006– Habla de un marco común de gestión de riesgos
A t 14 d i– Art. 14 decies• Disponer de medidas apropiadas de seguridad de las
tecnologías de la informacióntecnologías de la información
– Artículo 14 duodeciesEdifi i [ ] i t il l• Edificios […] que resistan un acceso ilegal
• Medidas de control de acceso• Controles de seguridad de los posibles futuros empleados
V 1.023
Controles de seguridad de los posibles futuros empleados
Operador Económico Autorizadop
– Artículo 14 duodecies (sigue)
• Programas de sensibilización en seguridad• Programas de sensibilización en seguridad
• Ser titular de un certificado de protección o
seguridad internacionalmente reconocido […] o de
una norma internacional de la Organizaciónuna norma internacional de la Organización
Internacional de Estandarización (ISO). No es
requisito
V 1.024
Operador Económico Autorizadop
• Lo que dice manual del OEA (Dpto. deAduanas))– Todo OEA debería incitar a sus socios comerciales a
que refuercen la seguridad de la parte de la cadena
de suministro en la que participen
– Entre los criterios para la concesión del estatuto de
OEA […] se contarán […] unos niveles de seguidad
adecuados.
V 1.025
Operador Económico Autorizadop
• Lo que dice manual del OEA (sigue)– Las medidas de protección y seguridad deben estarLas medidas de protección y seguridad deben estar
presentes en todas las áreas de la empresa.– Beneficios OEA Seguridad
• Notificación previa de controles• Conjunto reducido de datos• Menores controles físicos y documentales• Prioridad de controles• Posibilidad de designar un lugar específico para
V 1.026
tales controles
BeneficiosBeneficios
Ali i t N i S id d Alineamiento Negocio - Seguridad
Mejora la competitividad e imagen de las empresas
Amplía las oportunidades de negocios en mercados Internacionales.Amplía las oportunidades de negocios en mercados Internacionales.
Reduce los riesgos asociados al comercio internacional.
Fomenta un ambiente de trabajo seguro.
Mejora el control y la trazabilidad de su cadena logística
Permite garantizar que se llevan a cabo operaciones para el control de los riesgos y la implantación de medidas que los mitiguen.implantación de medidas que los mitiguen.
Es posible certificar por una tercera parte, que el sistema de gestión de la seguridad de la cadena de suministro de la organización se lleva bajo los estándares internacionales establecidos en la norma ISO 28000.internacionales establecidos en la norma ISO 28000.
Aporta un valor agregado para la organización en sus operaciones comerciales.
Poder comunicar a clientes, autoridades e inversores la implantación del sistema de tió d l id d tili l h i t titi dif i l
V 1.027
gestión de la seguridad y utilizarlo como herramienta competitiva y diferencial.
¡ MUCHAS GRACIAS !¡ MUCHAS GRACIAS !
V 1.028
ABS Quality EvaluationsInformación de contacto:
Francisco RuizFrancisco RuizDirector de ProyectosyABS Quality EvaluationsOrense 58, 11 AMadrid 28020Phone: 91 555 25 62E-mail: [email protected]
V 1.029