ISO 28000:2007 Sistemas de Gestión de la Seguridad en la Cadena de Suministro

Transcripción

1 ISO 28000:2007 Sistemas de Gestión de la Seguridad en la Cadena de Suministro i Francisco Ruiz Director de Proyectos ABS Quality Evaluations Inc. 1

2 Quién es ABS? AMERICAN BUREAU OF SHIPPING (ABS) Desde 1862 ABS GROUP OF COMPANIES ABS BUREAU Evaluaciones de Riesgos naturales, humanos o tecnológicos en operaciones e infraestructuras. Software customizado. Ingeniería Estructural y Control de Calidad para diseño, modificación, actualización o rehabilitación de infraestructuras.. Gestión de Riesgos: Mitigacion y control de riesgos. Continuidad de negocio. Preparación ante emergencias y desastres. Análisis de vulnerabilidad a explosiones y ataques terroristas. Auditorias ycertificación cacó de Sistemas de Gestión. Formación 2

3 ABS QE fue la primera entidad de certificación en certificar en base a la norma ISO Año

4 Objetivos Unificar conceptos Explicar la norma ISO 28000:2007 Enfoque de Riesgos Presentar los beneficios de la implantación 4

5 Conceptos Cadena de suministro Conjunto relacionado de recursos y procesos que comienza con la provisión de materias primas y se extiende hasta la entrega de productos o servicios al usuario final a través de los medios de transporte 5

6 Conceptos Seguridad Resistencia al acto o actos intencionados i y no autorizados, destinados a causar daño o perjuicio a la cadena de suministro o a través de ella. y no intencionados? 6

7 Conceptos Gestión de la Seguridad Actividades y prácticas sistemáticas y coordinadas a través de las cuales una organización gestiona de manera óptima sus riesgos y las amenazas e impactos potenciales asociados 7

8 ISO Qué es? Norma internacional que especifica los requisitos de un sistema de gestión de la seguridad de la cadena de suministro Basada en La gestión del riesgo El ciclo de mejora continua de Demming Integrable con otros sistemas de gestión (calidad, medio ambiente, etc.) 8

9 ISO Campo de Aplicación De aplicación a organizaciones de cualquier tamaño, en: La fabricación El servicio El almacenaje El transporte En cualquier etapa de la cadena de producción o suministro 9

10 ISO Ciclo de Demming 10

11 ISO Ciclo de Demming Planificar Alineamiento Negocio Seguridad Hacer Implantar medidas de seguridad Verificar Se hacen las cosas como se han definido? Se mitiga el riesgo en el nivel supuesto? Actuar Corregir y mejorar 11

12 ISO Planificar Política de Seguridad Evaluación y Planificación de Riesgos Análisis de Riesgos Marcar objetivos y metas Todo objetivo está compuesto por una serie de metas, que unidas y alcanzadas conforman el objetivo Gestión del riesgo 12

13 ISO Hacer Responsabilidades de seguridad Competencia, formación y concienciación Control operacional Para las actividades relacionadas con la seguridad y la gestión del riesgo Respuesta ante incidentes 13

14 ISO Verificar Medición del desempeño Cuadro de Mando Estudio de fallos e incidentes Auditorías Revisión ió por la Direcciónió 14

15 ISO Actuar Mejora continua Planes de seguridad Aumento de eficacia y eficiencia Alineación con los requisitos del negocio 15

16 ISO Familia de Normas ISO 28000:2007 Define los requisitos de un sistema de gestión de seguridad. Es la norma certificable ISO 28001:2007 Mejores prácticas para implementar evaluaciones y planes de seguridad d ISO 28003:2007 Requisitos para entidades de auditoría y certificación 16

17 ISO Familia de Normas ISO 28004:2007 Guía para la implementación de ISO ISO/PAS 28005:2009 Aplicaciones informáticas para el despacho de aduanas. Contiene las especificaciones técnicas para el correcto intercambio de información entre la embarcación, el puesto y las autoridades d costeras 17

18 ISO Normas Relacionables ISO 20858:2007 Evaluaciones y Plan de Seguridad de la instalación Marítima y Portuaria BS :2007 Gestión de la Continuidad de Negocio ISO/IEC 27001:2005 Gestión de la Seguridad d de la Información Además de sistemas de gestión de calidad y medio ambiente 18

19 Análisis de Riesgos La organización debe de establecer y mantener procedimientos para la identificación y evaluación de las amenazas a la seguridad y su gestión así como la identificación e implementación de las medidas de control necesarias. Los métodos de identificación de amenazas y riesgos, los de evaluación y los de control deberían de ser apropiados p a la naturaleza y escala de las operaciones. 19

20 Análisis de Riesgos La evaluación de riesgos debe incluir: Amenazas y riesgos de fallo físico. Amenazas y riesgos operacionales. Sucesos naturales que conviertan las medidas en ineficaces. Factores ajenos al control de la organización. Amenazas y riesgos de las partes afectadas. Diseño e instalación del equipo de seguridad. Gestión de la información y las comunicaciones. Amenazas a la continuidad de las operaciones. 20

21 Análisis de Riesgos 21

22 Análisis de Riesgos gos n de ries y gestión nexo B) nálisis y (An gía de a ISO 2 Metodolo Identificar las actividades definidas en el alcance Identificar controles de seguridad presentes Identificar escenarios de amenazas Determinar impacto del escenario Determinar probabilidad bilid d de ocurrencia del escenario Determinar si las medidas de seguridad son adecuadas Desarrollar medidas adicionales de seguridad 22

23 Operador Económico Autorizado Lo que dice el reglamento europeo 1875/2006 Habladeunmarco común de gestión de riesgos At Art. 14 decies Disponer de medidas apropiadas de seguridad de las tecnologías de la información Artículo 14 duodecies Edificios i [ ] que resistan un acceso ilegall Medidas de control de acceso Controles de seguridad de los posibles futuros empleados 23

24 Operador Económico Autorizado Artículo 14 duodecies (sigue) Programas de sensibilización en seguridad Ser titular de un certificado de protección o seguridad internacionalmente reconocido [ ] o de una norma internacional de la Organización Internacional de Estandarización (ISO). No es requisito 24

25 Operador Económico Autorizado Lo que dice manual del OEA (Dpto. de Aduanas) Todo OEA debería incitar a sus socios comerciales a que refuercen la seguridad de la parte de la cadena de suministro en la que participen Entre los criterios para la concesión del estatuto de OEA [ ] se contarán [ ] unos niveles de seguidad adecuados. 25

26 Operador Económico Autorizado Lo que dice manual del OEA (sigue) Las medidas de protección y seguridad deben estar presentes en todas las áreas de la empresa. Beneficios OEA Seguridad Notificación previa de controles Conjunto reducido de datos Menores controles físicos y documentales Prioridad de controles Posibilidad de designar un lugar específico para tales controles 26

27 Beneficios Alineamientoi Negocio - Seguridad d Mejora la competitividad e imagen de las empresas Amplía las oportunidades de negocios en mercados Internacionales. Reduce los riesgos asociados al comercio internacional. Fomenta un ambiente de trabajo seguro. Mejora el control y la trazabilidad de su cadena logística Permite garantizar que se llevan a cabo operaciones para el control de los riesgos y la implantación de medidas que los mitiguen. Es posible certificar por una tercera parte, que el sistema de gestión de la seguridad de la cadena de suministro de la organización se lleva bajo los estándares internacionales establecidos en la norma ISO Aporta un valor agregado para la organización en sus operaciones comerciales. Poder comunicar a clientes, autoridades e inversores la implantación del sistema de gestión de la seguridad d y utilizarlo l como herramienta competitiva y diferencial. i 27

28 MUCHAS GRACIAS! 28

29 ABS Quality Evaluations Información de contacto: Francisco Ruiz Director de Proyectos ABS Quality Evaluations Orense 58, 11 A Madrid Phone: frruiz@eagle.org 29