Category News

Gigantes tecnológicos firman pacto sobre ciberseguridad en París

El lunes 12/Nov/18, en el marco del Foro de Gobernanza de Internet en París, Microsoft, Facebook, Google, IBM y HP respaldaron el acuerdo. anunciaron su respaldo al “Llamado de París a la confianza y la seguridad en el ciberespacio”, que busca unir a gigantes tecnológicos y gobiernos para luchar contra la manipulación de elecciones y la piratería de software.

El documento, que tiene como objetivos evitar que actores extranjeros interfieran con las elecciones y que las empresas privadas estén envueltas en delitos cibernéticos, tiene el respaldo de más de 50 países, 90 organizaciones sin fines de lucro y universidades, y 130 corporaciones y grupos privados. Los Estados Unidos no es uno de ellos.

“Es una oportunidad para que las personas se reúnan en torno a algunos de los principios clave: en torno a la protección de civiles inocentes, en la protección de las elecciones, en la protección de la disponibilidad de Internet en sí. Es una oportunidad para promover eso a través de un proceso de múltiples partes interesadas ”, advirtió Brad Smith, presidente y director legal de Microsoft.

En el evento países como los Estados Unidos, Rusia, China, Irán, Israel y el Reino Unido optaron por no firmar el acuerdo.

Más información aqui

Colombia es el país más atacado por ciberextorsión en Latinoamérica

La firma de ciberseguridad Eset informó que en 2018 Colombia ha sido el país de Latinoamérica con el mayor número de casos de ataque cibernéticos de secuestro de información, mejor conocidos como ‘ransomware’ o ciberextorsiones. 

Según los sistemas de detección de la firma eslovaca, Colombia registra 28 por ciento de los casos, seguido por Perú (17 %), México (15 %), Brasil (11 %), Argentina (9 %), y más atrás con el 4 por ciento, Chile, Ecuador y Venezuela.

 

“Vemos este año un gran foco de ataques de este tipo en Colombia, principalmente por una campaña totalmente dirigida a este país del virus Crysis”, explicó a Efe Matías Porolli, analista de Malware de Eset.

“Vemos este año un gran foco de ataques de este tipo en Colombia, principalmente por una campaña totalmente dirigida a este país del virus Crysis”, explicó a Efe Matías Porolli, analista de Malware de Eset.

Precisamente, ese virus informático lideró el número de detecciones en el país suramericano, con el 79 por ciento de los casos, seguido por otros ‘ransomwares’ como TeslaCrypt con el 4 por ciento y Locky con el 2 por ciento.

Crysis estuvo durante 2017 en el top 5 de las ciberextorsiones más detectadas en Latinoamérica y causó “grandes pérdidas de datos en la región y a nivel mundial”, según la compañía.

Eset alertó en julio que una nueva campaña de Crysis se propaga a través de correo electrónico, especialmente en países como Brasil, México, Colombia, Argentina y Perú.

En Colombia, el virus se propagó con un correo que pedía al usuario el pago de una deuda a través de una empresa de cobranzas “con un supuesto archivo PDF que en realidad era un ‘link’ para descargar el ‘malware'”, dijo Porolli.

Una vez la ciberamenaza ingresa en los ordenadores, se encriptan los datos de sus víctimas, como los demás virus de esta misma familia, y luego exige con un límite de tiempo el pago de un rescate para recuperar la información. Dichos pagos, por lo general se manejan por medio de una moneda virtual. 

De acuerdo con los datos de Eset, Latinoamérica representa el 13 por ciento de las detecciones de ‘ransomware’ en el mundo y Estados Unidos sigue siendo el principal blanco de esta amenaza, con el 9,5 por ciento de los casos internacionales.

Más información aqui

Proyecto de Ley de Modernización del Sector TIC

Con la promesa de cerrar las brechas digitales, aumentar la eficiencia institucional e incrementar la inversión, la ministra de las Tecnologías de la Información y las Comunicaciones (TIC), Sylvia Constaín, radicó el miércoles 18 de septiembre de 2018, ante el Congreso de la República, el proyecto de ley de modernización del sector TIC.

La iniciativa plantea la aspiración del Gobierno de Iván Duque de lograr una Colombia ‘moderna’ y conectada al ciento por ciento.

Para alcanzar este objetivo, el proyecto está enmarcado bajo de la política ‘El futuro digital es de todos’, presentada por primera vez en agosto durante la 33.ª edición del Congreso Andicom. Su pilar es precisamente la consolidación de un matrimonio entre el sector público y privado.

El Ministerio TIC ha reiterado que esto ayudaría a aumentar la competitividad y a garantizar el acceso a de las TIC en las poblaciones rurales.

Busca elevar a Colombia al nivel de los países con los cuales competimos por inversión, que nos permita llegar a un lugar donde podamos conectar a todos los colombianos

Con este proyecto, que pretende actualizar la Ley 1341 de 2009, que es la norma marco del sector TIC, se espera que se garanticen los recursos para la generación de contenidos y aplicaciones de interés público, se cree un regulador único y se aumenten las licencias de uso del espectro.

“Es un proyecto ambicioso que reconoce que Colombia viene en un momento en el que las inversiones en el sector han venido bajando.  Busca elevar a Colombia al nivel de los países con los cuales competimos por inversión, que nos permita llegar a un lugar donde podamos conectar a todos los colombianos, promover la apropiación de la tecnología para crear condiciones de mejoramiento de la calidad de vida de los colombianos con un enfoque especial en aquellos colombianos que están alejados”, dijo Constaín.

Por su parte, Alberto Samuel Yohai, presidente  de la Cámara Colobiana de Informática y Telecomunicaciones (CCIT), señaló: “Con un regulador único se eliminarán las confusiones existentes entre entidades para una mayor seguridad jurídica en el sector. De otro lado veo un incentivo a la inversión privada, pues las concesiones para los operadores de comunicaciones pasarían de 10 a 30 años, lo que traerá última tecnología, empleo y mayor bienestar”.

Estas son las claves de la iniciativa:

Espectro radioeléctrico

La cartera de las TIC ha hecho énfasis en que uno de los principales objetivos de esta política es aumentar la certidumbre jurídica en el país. En este sentido, se plantea que la asignación del espectro radioeléctrico quede a cargo solamente del Ministerio TIC (hoy lo puede hacer también la Autoridad Nacional de Televisión, ANTV).

El Gobierno dice que con esta medida se ayudaría a alcanzar la meta de masificar la conectividad y especialmente garantizar la conexión de última milla que permitiría que internet llegue no solo a las cabeceras municipales de las ubicaciones más alejadas del país sino también a colegios, hogares, hospitales y negocios.

En este punto también se plantea que el periodo de los permisos para el uso del espectro sea hasta por 30 años y no solamente 10, como está establecido actualmente. Según el MinTIC, el periodo actual es un tiempo muy corto para recuperar la inversión por lo que al ampliar las licencias el país quedaría en una posición más atractiva.

Tasa única para los operadores

Para hacer más eficiente el pago de contraprestaciones por el uso del espectro se definirá una tasa única de contraprestaciones para los operadores que acabaría con las diferencias y garantizaría la inversión por parte de estas compañías. El Ministerio TIC definirá el valor de la contraprestación periódica en máximo seis meses después de la promulgación de la ley y se revisará cada cuatro años.

Según el proyecto, esa  contraprestación será fijada mediante resolución por el Ministro basándose en criterios de fomento a la inversión así como otros aspectos como el ancho de banda asignado, número de usuarios potenciales, disponibilidad del servicio y planes de expansión y cobertura.

Fondo Único

La creación de un Fondo Único de TIC, que resultará de la unión del Fondo de Tecnologías de la Información y las Comunicaciones (FonTIC) y el Fondo para el Desarrollo de la Televisión y los Contenidos (FonTV), es una de las estrategias con las que el Gobierno espera cerrar la brecha digital. De acuerdo con el MinTIC, al existir dos fondos se genera incertidumbre jurídica y muchas veces los proyectos se estructuran desarticuladamente lo que hace que se reduzca su impacto

Al unificarlos, dice el Gobierno, se incrementará la eficiencia en el recaudo y la inversión en materia de cobertura.

Fortalecimiento de la televisión y la radio pública

Pero, ¿cómo se garantizarían los recursos para la televisión? La iniciativa apunta a que los recursos que se han destinado normalmente entre el 2012 y 2017 para la televisión pública se mantendrían con un incremento anual y habría unos recursos adicionales destinados a la creación de contenidos multiplataforma de interés público y social. La idea es que esta inversión llegue especialmente a las escuelas públicas en las zonas apartadas del país.

Regulador Único y modernización institucional

El Gobierno plantea la creación de un regulador único del sector TIC que se encargaría de todo lo relacionado con televisión, Telecomunicaciones, Internet y Radiodifusión Sonora. Actualmente existen dos entidades que cumplen esta labor por separado: la Comisión de Regulación de Comunicaciones (CRC) y la Autoridad Nacional de Televisión (ANTV). Al unificarse la entidad, dice el MinTIC, se generaría mayor certidumbre en el sector y por lo tanto se lograría una mayor modernización institucional. Sin embargo, la imposición de sanciones quedaría a cargo solamente del Ministerio de las TIC por lo que sería la única entidad con la facultad de vigilancia y control.

Este regulador tendría cinco comisionados con periodos fijos de cuatro años y se financiaría con una tasa regulatoria que está definida en la ley, tal y como se ha venido haciendo.

“Creamos un regulador único para el sector que reconoce que la televisión, la radio y las telecomunicaciones son realmente sectores que están uniéndose en uno, y como tal para ofrecerle al sector privado incentivos en términos de claridad jurídica tanto normativa como institucional”, agregó Constaín.

Más información aqui

La Ciberseguridad en el mundo

La seguridad de los datos en línea se ha convertido en uno de los mayores desafíos de nuestro tiempo.

Durante el último Mundial de fútbol, las autoridades rusas encargadas de garantizar la seguridad, neutralizaron más de 25 millones de ciberataques, según informó el propio presidente, Vladimir Putin.

El volumen de ataques contra la seguridad de los ciudadanos, los estados y las instituciones se desconoce, sobre todo, si se contemplan las actividades de un espacio ‘on line’ para el crimen organizado, donde se producen contactos que no pueden ser monitorizados y donde las transferencias, tanto de mercancía como de pagos, son prácticamente imposibles de rastrear. Es la Deep Web, donde se ubica todo contenido que no es indexable por los buscadores habituales como Yahoo!, Google o Bing.

Nuevos riesgos

Con la aceleración de la transformación digital los cambios que experimenta la sociedad son muy profundos. El creciente uso de dispositivos electrónicos está facilitando las tareas cotidianas (comprar ‘on line’, operar con nuestro banco, o reservar un hotel) pero, por otra parte, se generan numerosos riesgos, lo que obliga a buscar soluciones para mantener a raya las actividades delictivas mediante  sistemas de protección informática y con especialistas formados o contratados especialmente para esta tarea. Hoy el robo y utilización fraudulenta de datos ‘on line’, algo que poco tiempo atrás era desconocido, se ha convertido en un reto complejo y en un problema.

En esta coyuntura va tomando forma una figura fundamental como respuesta a las nuevas necesidades de protección. Para crear redes informáticas más seguras y proteger a instituciones y empresas, su producción, sus datos y sus clientes ha surgido el ‘hacker’ ético, un perfil que actualmente está muy demandado.

Nuevos actores

Un ‘hacker’ puede hacerle la vida imposible a una persona, comprometer hasta las raíces el prestigio de una empresa o convertirse en un enemigo para un país entero. Pero no todos buscan hacer daño. Hay los que buscan frenar las acciones de los delincuentes del ciberespacio, son los ‘hackers’ éticos cuyo objetivo es proteger al mundo de los ‘malos’ de la era digital.

La lista de delitos cibernéticos es cada vez más larga: robo de identidad, secuestro de sitios web, ataque a los servidores de las empresas, robo de información confidencial, sustracción de información y contraseñas de los clientes de un banco, infección del sistema informático de un organismo mediante virus, y así hasta un largo etcétera.

La figura del hacker ético

El termino ‘hacker’ comenzó a utilizarse en los años 70 entre los científicos del Instituto Tecnológico de Massachusetts (MIT) en Estados Unidos. Es un término que va más allá de los expertos relacionados con la tecnología e informática, y se refiere a cualquier profesional que ha alcanzado la cúspide de su profesión, pues un ‘hacker’ es alguien que le apasiona el conocimiento y entender el funcionamiento de las cosas.

Un ‘black hat’ (sombrero negro) es una tipología que busca descubrir y controlar vulnerabilidades en sistemas de información, bases de datos, redes informáticas, sistemas operativos, determinados productos de ‘software’, etcétera. Son bien conocidos como atacantes de sistemas y expertos en romper su seguridad para su propio beneficio.

Un ‘white hat’ (sombrero blanco) es un tipo de ‘hacker’ dedicado a reparar vulnerabilidades de software y a encontrar métodos de seguridad y defensa de sistemas mediante herramientas informáticas. Su objetivo es proteger aplicaciones, sistemas operativos y datos sensibles para asegurar la confidencialidad de la información de los usuarios. Como vemos, mientras algunos ‘hackean’ por razones maliciosas, existe otra comunidad que trabaja para mejorar la tecnología.

Dos caras de la misma moneda

No todos los ‘hackers’ son enemigos públicos, la mayoría son hábiles programadores capaces de identificar las debilidades de los programas más blindados. En el lado oscuro infectan de virus y ‘software’ espía los ordenadores, roban cuentas bancarias, datos e información personal y su poder es tan grande que han influido en las elecciones de países como Estados Unidos, Reino Unido y España.

Muchos dicen que Donald Trump o el Brexit, son consecuencia de sus acciones. Otros protegen nuestros datos en internet, nuestras cuentas bancarias, y nuestra privacidad. Son los ‘hackers’ de sombrero blanco. Corrigen ‘bugs’, descubren fallos de seguridad y los tapan. Persiguen delincuentes, la pornografía infantil en Internet, y otros delitos importantes.

Profesionales de alto nivel

Un informe de Infoempleo y Deloitte sitúa a los ‘hackers’ éticos como el perfil mejor pagado en el sector IT, con salarios de entre 75.000 y 115.000 euros brutos anuales en Europa. El estudio asegura que para el año 2020, las empresas ofrecerán un 9,3% más de vacantes vinculadas a perfiles digitales. También en nuestro país el trabajo de un ‘hacker’ se paga muy bien por el temor de las compañías a posibles ataques cibernéticos. La ciberseguridad se erige como una de las prioridades en todos los sectores de actividad. En España, su demanda ha crecido un 13%, por encima de la media europea.

Ejemplos Positivos

Así pues, si bien se tiende a relacionar el término ‘hacker’ con acciones ilegales, obtención de datos privados o intromisión en un sistema informático, las cosas están cambiando rápidamente. Estos son algunos ejemplos:

  • Telefónica designó hace unos meses como ‘chief data officer’ al ‘hacker’ Chema Alonso, una muestra de los novedosos trabajos que buscan contrarrestar los ciberataques perjudiciales para el negocio. Otro caso destacado es el de Javier Rodríguez, quien durante 10 años fue miembro del Grupo de Delitos Telemáticos de la Guardia Civil y actualmente trabaja en una consultora de ciberseguridad.

  • A Kevin Mitnick, el FBI llegó a considerarle el cibercriminal más buscado de la historia. Consiguió entrar en los sistemas del Pentágono y en los de las compañías Nokia y Motorola. Estuvo cinco años en prisión pero ahora, totalmente integrado en la sociedad, tiene una empresa de ciberseguridad y da cursos y conferencias.

  • Kevin Poulsen consiguió piratear las comunicaciones de la emisora Kiss Fm (Los Angeles, USA) para ganar el Porsche de un sorteo. Cometió otros ataques a medios de comunicación y lo condenaron a 5 años de cárcel. Actualmente es el reconocido y prestigioso editor y director de Wired, una de las publicaciones tecnológicas más influyentes del mundo.

Ejemplos Negativos

  • Cracka: Detenido en la actualidad. Adolescente británico que ‘hackeó’ el correo personal del director de la CIA, del director del FBI y del director de la NSA. Reveló la identidad de más de 31.000 agentes de estas agencias.

  • Albert González: Se le conoce por ser el autor de uno de los mayores robos de identidad de la historia de internet. Se apropió de los datos de 170 millones de tarjetas de crédito. Fue condenado a 20 años de prisión por un tribunal de Florida.

  • Robert Tappan Morris: Estuvo acusado de abuso y fraude informático en EE.UU. Creó y puso en marcha el primer gusano informático, mientras trabajaba en el  MIT. Ideó una tienda ‘on line’ y se hizo rico cuando la vendió a Yahoo por 45 millones de dólares.

Más información aquí

Bristish Airways investigará el robo de datos en 380.000 transacciones

La aerolínea británica British Airways (BA) fue objetivo de un ciberataque que vulneró la ‘información personal y financiera’ de aproximadamente 380.000 pagos con tarjetas.

La aerolínea señaló que los pagos fueron afectados a través de su página web y la aplicación móvil entre las 21.58 GMT (Tiempo medio de Greenwich) del 21 de agosto hasta las 20.45 GMT del 5 de septiembre. La empresa británica recomendó a los usuarios contactar a sus proveedores de tarjetas de crédito.

La Agencia Nacional contra el Crimen del Reino Unido (NCA) y el Centro Nacional de Seguridad Cibernética (NCSC) se encuentran investigando el robo de datos. Frente a esto, la portavoz de la primera ministra británica, Theresa May, confirmó que ambas entidades están “trabajando para entender qué ha ocurrido”.

La compañía informó que estará contactando a los usuarios que fueron afectados por el ataque cibernético para que sus entidades bancarias respondan por cualquier dificultad financiera que puedan haber tenido.

De acuerdo con la nueva regulación europea en materia de protección de datos (GDPR, por sus siglas en inglés), la multa máxima por filtración de datos asciende a 17 millones de libras o el 4 por ciento de la facturación total de la empresa, cualquiera que sea mayor de las dos cantidades.

En 2017 BA percibió ingresos por 12.200 millones de libras (13.657 millones de euros), por lo que la aerolínea podría enfrentarse a una multa de hasta 500 millones de libras si la Oficina del Comisionado de Información británica (ICO, en inglés) decide tomar medidas.

Más información aquí

(tomado de Tecnófera)
Nueva Norma ISO/IEC 20000

Ya en la gran mayoría de nuestras organización se emplean Tecnologías de la Información como soporte de los procesos de negocio, y con toda seguridad habrá oído hablar del principal Sistema de Gestión que lo gestiona: la norma ISO/IEC 20000 para la gestión de servicios. Y es difícil  imaginar una empresa en la que no se utilicen TIC, absolutamente asombroso resultaría ignorar la naturaleza vital y dinámica de cualquier marco de gestión: Ya la ISO ha publicado en septiembre 2018  la tercera edición de la norma.

Bajo el paraguas de la norma ISO 9001, de Sistemas de Gestión de la Calidad, e integrado con otros sistemas de gestión, como el de Seguridad de la Información (ISO/IEC 27001) o el de Continuidad de Negocio (ISO 22301), ISO 20000-1 define un amplio catálogo de requisitos para un desempeño eficaz y eficiente de las Tecnologías de la Información que, además, debe ser capaz de seguir el vertiginoso ritmo de unos procesos de negocio cada vez más ágiles y digitalizados. La vigente versión fue publicada en 2011 (para Colombia 2012).

Cabe recordar que, precisamente un año más tarde, en 2012, ISO establecía que toda nueva edición de un estándar para un sistema de gestión debería adecuarse a una estructura de alto nivel (HLS) común definida en el Anexo SL de ISO; es decir, el índice y, consecuentemente, parte del contenido, debían unificarse. De este modo, se favorece la comprensión de los estándares y su aplicación conjunta e integrada. Por lo tanto, éste era un ejercicio de alineamiento y convergencia pendiente para el Sistema de Gestión de Servicios ISO/IEC 20000-1.

Ya en 2015 el Grupo de Trabajo internacional ISO/IEC JTC1 SC40 WG2 inició sus trabajos bajo la dirección de la editora del estándar, Lynda Cooper, quien, a finales del pasado mes de enero, ha sometido al procedimiento de votación internacional el primer borrador “committee draft” dejando atrás tres borradores preliminares; en él se trazan las líneas maestras de lo que será la nueva edición de esta norma.

Entre las principales novedades que anticipa este borrador se encuentran las siguientes:
El proceso de gestión de niveles de servicio se dividirá en dos: gestión del catálogo de servicios y gestión de niveles de servicio. También se separan en dos, gestión de la disponibilidad y gestión de la continuidad de servicios o gestión de incidencias y peticiones de servicio. Se añaden procesos nuevos como gestión de activos, la gestión de la demanda o la gestión del conocimiento. Sin embargo, el nuevo estándar hace énfasis en que la organización por procesos es a nivel de requisitos que se han de cumplir. El número de procesos que efectivamente se implementen en cada organización pueden variar, siempre y cuando se pueda evidenciar cumplimiento de todos los requisitos.

Se elimina la necesidad de tener planes de disponibilidad o capacidad, aunque se mantiene el plan de continuidad y plan de gestión de servicios. Eso no quiere decir que no haya que planificar la disponibilidad o la capacidad, pero deja de ser obligatorio tener un documento específico para cada plan.

Los requisitos de muchos procesos se actualizan y clarifican para asegurar su aplicación en paradigmas actuales de computación como cloud computing o outsourcing. También se mejora la redacción de algunos requisitos que resultaban confusos.

Existen otro tipo de cambios, derivados de la adaptación al anexo SL de ISO que, aunque puedan parecer menores, están teniendo cierto impacto. Es el caso de tener que sustituir “proveedor de servicio” por “organización”, añadir nuevos requisitos sobre el contexto del sistema de gestión o hacer mayor énfasis en la gestión de objetivos.

Sin duda, la nueva edición de la norma aportará una mejora en el alineamiento de este sistema de gestión de servicios con otros marcos de referencia ampliamente reconocidos y, por ende, implicará un aumento de la integración y del protagonismo de las Tecnologías de la Información en unos procesos de negocio que necesitan de ellas como elemento dinamizador y diferencial.

Los nuevos requisitos del estándar en su versión 2018 afectan principalmente a:

  • La planificación de servicios
  • La gestión administrativa
  • La gestión de activos
  • Gestión de la demanda
  • Servicios de entrega

Requisitos en la documentación de procesos

  • Se reduce el número de procedimientos documentados requeridos
  • El requisito de documentar el plan de Capacidad y Disponibilidad se sustituye por requisitos para planificar la disponibilidad del servicio y la capacidad
  • Los requisitos de CMDB (configuration management database) se sustituye por nuevos requisito de información de configuración
  • La definición de una Política de liberación de servicios ahora son requisitos para definir tipos de liberación y frecuencia.
  • La Política de mejora continua ahora debe de considerarse en requisitos para determinar los criterios de evaluación y oportunidades de mejora
  • La cláusula de notificación del servicio ahora se contempla dentro de las cláusulas para elaboración de informes

Más información aqui

 

Ingeniero informático de 23 años filtró los datos de 250.000 tarjetas bancarias

30/Ago/18 Chile: La Brigada del Cibercrimen de la PDI detuvo a ingeniero informático de 23 años, por la filtración de datos de 250.000 tarjetas bancarias ocurrida esta semana. El imputado está confeso y será formalizado este jueves en el Centro de Justicia por el delito de sabotaje informático.

Los antecedentes de la detención los entregó el subcomisario Cristián González, subjefe del Cibercrimen, quien informó que el imputado con sus conocimientos logró vulnerar los sistemas de seguridad bancarios y accedió a los números de series de las tarjetas bancarias, con las cuales después armó una base de datos.

El imputado, quien trabaja como asesor independiente, agregó a los números de series los nombres y los RUT de los afectados, y después subió la base de datos a las redes sociales con el fin de darse a conocer entre los grupos organizados que se dedican a este tipo de ilícitos.

González agregó que los peritajes informáticos forenses al computador del imputado dieron con la evidencia suficiente para su detención, tras lo cual el joven declaró y confesó el delito. Se investiga si pertenece a algún grupo internacional y si recibió ayuda desde el exterior. No registra antecedentes penales.

Más información aquí

Ley 1928 24/Jul/18

“Por medio de la cual se aprueba el “Convenio sobre la Ciberdelincuencia”, adoptado el 23 de noviembre de 2001, en Budapest.

Publicado en el Diario Oficial No. 50664 del 3 de agosto de 2018

Más información aqui

 

 

Nueva Iso19011:2018

El propósito de la norma ISO 19011:2018 es actualizar el estándar para asegurar que siga orientando de manera efectiva los cambios del mercado, la dirección de evolución de la tecnología, y que mantenga un enfoque coherente y armonizado para auditar sistemas de gestión de procesos.

Dichos sistemas ayudan en el día a día a cumplir con los requisitos legales y avanzar en la mejora continua en cualquiera de dichos campos, sea en una pequeña, mediana o gran empresa.

Para conocer si estos sistemas de gestión funcionan adecuadamente, se pueden realizar auditorías por parte de la propia organización o internas (de primera parte), por proveedores o partes interesadas externas (segunda parte), o por parte de organismos de certificación o reguladores (tercera).

La manera de cómo hay que auditar dichos sistemas está marcada por la norma ISO 19011, que estaba hasta ahora en su versión de 2011. Pero en los últimos años las normas de sistemas de gestión más usadas han sufrido actualizaciones con estructuras compartidas de alto nivel, así como presentan nuevos desarrollos que unifican conceptos entre ellas.  

ISO 19011:2018 es su nueva versión, y tiene como objetivo dar respuesta a numerosas actualizaciones y cambios que se presentan a continuación:

  • Se agregó en los principios de la auditoría un enfoque basado en el riesgo, así como su programación en el programa de auditoría. Este enfoque debe derivarse del contexto organizacional y de sus problemas internos y externos.
  • Se amplió la orientación sobre la planificación de la auditoría.
  • Se han ampliado los requisitos generales de competencia que deben cumplir los auditores, en los que se remarca que deberán tener en cuenta el sector o disciplina a la que pertenezcan
  • La terminología de la norma se ajustó para reflejar el proceso y no el objeto. De esta forma se redefinen conceptos tales como: 
  • requerimiento, proceso, eficacia, auditoría combinada, auditoría conjunta, desempeño y evidencia objetiva.

Eliminación del anterior Anexo A

  • Se eliminó el anterior Anexo A de la anterior versión del 2011, en el que se mostraban ejemplos de conocimientos y habilidades que debían de tener los auditores, ya que era imposible abarcar todos esos saberes y destrezas para cualquier disciplina.
  • El anterior Anexo B de la versión 2011 se convierte en el Anexo A del 2018, que facilita orientación sobre diversas definiciones tales como contexto organizacional, liderazgo y compromiso, auditorías virtuales, cumplimiento y cadena de suministro.
  • En cuanto a la estructura de la norma en si, ISO 19011:2018 tiene como novedades el punto 3.2 (definiciones); 4.g (enfoque basado en el riesgo);  aparece un nuevo 5.3 (Determinando y evaluando los riesgos y oportunidades del programa de auditoría), subpuntos en el punto 6.3 (planificación de la auditoría) y 6.4 (disponibilidad y acceso, determinación y conclusiones del informe de auditoría y eliminación del anterior Anexo A, pasando el B de 2011 a ser el A

Más información aqui

Comparativo

ISO 19011

:2011

:2018

1. Objetivo y campo de aplicación.

1. Objetivo y campo de aplicación.

2. Referencias normativas.

2. Referencias normativas.

3. Términos y definiciones.

3. Términos y definiciones.
 

3.2 Auditoría combinada: auditoría llevada a cabo conjuntamente en un único auditado en dos o más sistemas de gestión.

3.3 Auditoría conjunta: Cuando dos o más organizaciones auditoras cooperan para auditar a un único auditado.

3.8 Evidencia objetiva: Datos que respaldan la existencia o la verdad de algo.

3.23 Requerimiento: Necesidad o expectativa establecida, generalmente implícita u obligatoria.

3.24 Proceso: Conjunto de actividades mutuamente relacionadas que utilizan las entradas para proporcionar un resultado previsto.

3.25 Desempeño: Resultado medible.

3.26 Eficacia: Grado en el que se realizan las actividades planificadas y se logran los resultados planificados.

4. Principios de auditoría.

4. Principios de auditoría. 

g) Enfoque basado en el riesgo: un enfoque de auditoría que considera riesgos y oportunidades.
   

5. Gestión de un programa de auditoría.

5. Gestión de un programa de auditoría.

5.1 Generalidades

5.1 Generalidades.

5.2 Establecimiento de los objetivos del programa de auditoría.

5.2 Establecimiento de los objetivos del programa de auditoría.
 

5.3 Determinando y evaluando los riesgos y oportunidades del programa de auditoría.

5.3 Establecimiento del programa de auditoría.

5.4 Establecimiento del programa de auditoría.

5.4 Implementación del programa de auditoría.

5.5 Implementación del programa de auditoría.

5.5 Seguimiento del programa de auditoría.

5.6 Seguimiento del programa de auditoría.

5.6 Revisión y mejora del programa de auditoría.

5.7 Revisión y mejora del programa de auditoría.
   

6. Realización de una auditoría.

6. Realización de una auditoría.

6.1 Generalidades.

6.1 Generalidades.

6.2 Inicio de la auditoría.

6.2 Inicio de la auditoría.

6.3 Preparación de las actividades de la auditoría.

6.3 Preparación de las actividades de la auditoría.

6.3.2 Planificación de la auditoría.

6.3.2.1 Enfoque basado en el riesgo para la planificación de la auditoría.

6.4 Realización de las actividades de la auditoría.

6.4 Realización de las actividades de la auditoría.

6.4.5 Disponibilidad y acceso a la información de la auditoría. 

6.4.9 Determinación de conclusiones de la auditoría. 

6.4.9.2 Contenido de las conclusiones de la auditoría.

6.5 Preparación y distribución del informe de auditoría.

6.5 Preparación y distribución del informe de auditoría.

6.6 Finalización de la auditoría.

6.6 Finalización de la auditoría.

6.7 Realización de las actividades de seguimiento de una auditoría.

6.7 Realización de las actividades de seguimiento de una auditoría.
   

7. Competencia y evaluación de auditores.

7. Competencia y evaluación de auditores.

7.1 Generalidades

7.1 Generalidades

7.2 Determinación de la competencia del auditor para cumplir con las necesidades del programa de auditoría.

7.2 Determinación de la competencia del auditor para cumplir con las necesidades del programa de auditoría.

7.3 Establecimiento de los criterios de evaluación del auditor.

7.3 Establecimiento de los criterios de evaluación del auditor.

7.4 Selección del método apropiado de evaluación del auditor.

7.4 Selección del método apropiado de evaluación del auditor.

7.5 Realización de la evaluación del auditor.

7.5 Realización de la evaluación del auditor.

7.6 Mantenimiento y mejora de la competencia del auditor.

7.6 Mantenimiento y mejora de la competencia del auditor.
   

Anexo A (Informativo) Orientación y ejemplos ilustrativos de conocimientos y habilidades de un auditor en disciplinas específicas.

Anexo A (Informativo) Orientación adicional destinada a los auditores para planificar y realizar las auditorías.

Anexo B (Informativo) Orientación adicional destinada a los auditores para planificar y realizar las auditorías.

  

Solicite más información aqui

22301 Continuidad

ISO 22301:2012 ha sido una conclusión de los esfuerzos del ámbito empresarial internacional por obtener un estándar que nos ayude a gestionar la Continuidad de un negocio y/o actividades de una organización. Como precedente a este estándar nos encontramos con la norma Británica BS 259999 que actuó como base e impulsora de la actual ISO 22301 Gestión de la Continuidad del Negocio publicada por la Organización Internacional de estandarización ISO.

Las claves para entender la norma ISO 22301 pasan entender que se trata de:

  • Establecer una base común de conocimiento para entender la continuidad del Negocio
  • Desarrollar e implantar una política de Continuidad del Negocio en una organización
  • Acreditar la conformidad y compromiso de una organización con las mejores prácticas internacionales en Continuidad del Negocio.

EL principal objetivo de esta norma es mantener la continuidad de las actividades de una organización, proteger sus intereses defendiendo los intereses de sus empleados y partes interesadas, mantener la reputación su reputación ante cualquier amenaza o circunstancia adversa.

La norma ISO 22301 está pensada para que sea implementada por cualquier tipo de organización ya sea pública o privada sin importar su tamaño

Ahora bien, aplicar este estándar en pequeñas organizaciones surge la duda si el esfuerzo necesario y los requisitos de la norma se pueden adaptar a estas organizaciones de forma que se obtengan los resultados que se pretenden.

Ante este interrogante se debe tener en cuenta:

  • El daño que se puede producir a una organización por no haber previsto que hacer en circunstancias adversas puede ser causa de cierre o de suspensión de actividades y pérdidas patrimoniales
  • El método de la norma ISO 22301 puede ser utilizado por cualquier empresa para conocer y tomar medidas no siempre costosas para disminuir el riesgo
  • Las políticas y la cultura de prevención del riesgo reduce los costes operacionales y fomenta las buenas prácticas

Concordancia con otras normas

Mas información aqui