iso 28000 manualsigm10as3
José Mª Zubieta Guillén Gestión de la Seguridad para la Cadena de Suministros: ISO 28000 Gestión de la Seguridad para
Views 119 Downloads 52 File size 577KB
Recommend stories
- Author / Uploaded
- api-286365535
- Categories
- La seguridad
- Logística
- Calibración
- Planificación
- aduana
Citation preview
José Mª Zubieta Guillén
Gestión de la Seguridad para la Cadena de Suministros: ISO 28000
Gestión de la Seguridad para la Cadena de Suministros ISO 28000
José María Zubieta Guillén
Gestión de la Seguridad para la Cadena de Suministros ISO 28000
Reservados todos los derechos. Está prohibido, bajo las sanciones penales y el resarcimiento civil previstos en las leyes, reproducir, registrar o transmitir esta publicación, íntegra o parcialmente, por cualquier sistema de recuperación y por cualquier medio, sea mecánico, electrónico, magnético, electroóptico, por fotocopia o por cualquier otro, sin la autorización previa por escrito de UNIR.
© José María Zubieta Guillén © Universidad Internacional de La Rioja Gran Vía Rey Juan Carlos I, 41 26002 Logroño – La Rioja
© Edición y composición: UNIR
Impreso en España – Printed in Spain
ÍNDICE Capítulo 1. Sistemas de gestión de seguridad de la cadena de suministro…..……..………..…………… 1 Capítulo 2. Evaluación de los riesgos de seguridad dentro de un SGSCS....…………..……………..… 22
Capítulo 1 Sistemas de gestión de seguridad de la cadena de suministro
Capítulo 1: Sistema de gestión de seguridad de la cadena de suministro
1.1. Introducción ISO 28000 nace como una respuesta reglada a los actos terroristas causantes del perjuicio de la seguridad de la cadena de suministro internacional. Esta situación constituía una grave amenaza no solo para el comercio internacional en sí mismo sino al crecimiento económico mismo de los países comerciantes. De un modo u otro todas las organizaciones confían en su cadena de suministro como medio para garantizar su continuidad de negocio y valorar su vulnerabilidad en caso de ver su suministro irrumpido. Por todo ello la necesidad de asegurar la cadena de suministro constituye día a día una actividad en auge. Motivado principalmente por la economía global y el flujo de transporte de mercancías en continua evolución debemos ver la garantía de la seguridad en la cadena de suministro constituye un elemento básico para la continuidad misma de las actividades económicas de nuestra organización y llevado esto a un estamento mayor para el adecuado funcionamiento y desarrollo de la sociedad. Los distintos orígenes de las amenazas a las que se ven sometidas nuestras cadenas de suministros han obligado tanto a gobiernos como a empresas a moverse y posicionarse
dado
que
dichas
amenazas,
como
bien
hemos
mencionado
anteriormente, tienen raíces en el terrorismo y el crimen organizado. Esto ha sido el catalizador de distintas iniciativas que han intentado surgir como respuesta a ésta situación. Así nace C-TPAT, Customs-Trade Partnership Against Terrorisme, Aduanas y Socios de Negocios contra el Terrorismo. Constituye una iniciativa conjunta del Gobierno de los EE.UU. conjunto a empresas del sector. Su objetivo es desarrollar un refuerzo a la seguridad de las cadenas de suministro transfronteriza a través de la cooperación comercial. La Unión Europea, por otro lado, ha creado la figura del operador económico autorizado como elemento capaz de desarrollar respuesta ante los riesgos a los que los países miembros se enfrentan.
© Universidad Internacional de La Rioja (UNIR)
2
Capítulo 1: Sistema de gestión de seguridad de la cadena de suministro
Se debe a que para ello es necesario ir más allá de los controles aduaneros preestablecidos incrementando así el papel de las aduanas en la seguridad de la cadena logística internacional. Con estas actuaciones se busca, más allá de minimizar el impacto de la amenaza que supone el terrorismo, colaborar en la lucha contra el crimen organizado y defender a los ciudadanos en un ámbito mayor tales como dar protección a los consumidores y mejorar la protección medio ambiental. C-TPAT y el Operador Económico Autorizado no son las únicas iniciativas existentes. La Organización Mundial de Aduanas, así como la asociación TAPA (Asociación para la Protección de Activos Transportados), constituye un foro en donde se abarcan a los proveedores logísticos, agencias gubernamentales, principales fabricantes, empresas de transporte, cuerpos del orden público y otras partes interesadas para poder reducir las pérdidas en la cadena logística y de distribución. A través de estas iniciativas se busca cubrir ciertas necesidades de seguridad en la cadena de suministro. Pero identificar medidas y comités no es suficiente; debemos gestionar. De este modo cobra fuerza la imagen de una gestión basada en un estándar internacionalmente reconocido como lo es ISO 28000 que nos permite realizar un sistema de gestión global de la seguridad de la cadena de suministros. Al desarrollar este estándar, las empresas de logística y trasporte han encontrado un arma para englobar la gestión de seguridad de modo que son capaces de mejorar la seguridad global de las cadenas de suministro. Constituye un sistema de gestión integrable con otros estándares tales como: ISO 9001, 14001, 27001, etc. así como con otros programas, tanto obligatorias como voluntarias, tales como: C-TPAT, OEA y TAPA. Aquellas organizaciones capaces de ver la seguridad no como un gasto sino como un valor añadido para su organización consiguen despuntar en el mercado como una organización con una nueva ventaja competitiva y una mayor diferenciación en el mercado.
© Universidad Internacional de La Rioja (UNIR)
3
Capítulo 1: Sistema de gestión de seguridad de la cadena de suministro
La implantación de la norma ISO 28000 en la organización revierte los siguientes beneficios: Garantía de una sistemática de operaciones orientadas al control de los riesgos así como la implantación de medidas para su mitigación. Optimización de los procesos de la organización con la consecuente mejora de costes, seguridad, eficacia, etc. Asegura el cumplimiento con los requisitos exigidos por las principales iniciativas internacionales. Da valor añadido a la empresa en sus operaciones comerciales. Da a la empresa una herramienta competitiva y diferencial que puede ser esgrimida como arma comercial ante clientes, autoridades e inversores. Recordemos que todo lo anteriormente aprendido sobre seguridad de la información sigue siendo válido en el ámbito de la norma ISO 28000 al ser estándares perfectamente integrables. La norma ISO 28000, tal como ella misma indica, es aplicable a organizaciones de cualquier tamaño y tipo en la fabricación, servicio, almacenaje o transporte en cualquier etapa de la cadena de producción o suministro.
© Universidad Internacional de La Rioja (UNIR)
4
Capítulo 1: Sistema de gestión de seguridad de la cadena de suministro
1.2. Elementos necesarios para la implementación de la norma ISO 28000 Bajo la cláusula 4 de la norma descansa la obligatoriedad de establecer, documentar, implementar, mantener y mejorar un sistema de gestión de seguridad que puede ayudar a la organización a cumplir con los requisitos, leyes y regulaciones sobre seguridad. Tanto el detalle como la complejidad aplicada al sistema de gestión, así como la cantidad de documentación desarrollada, recursos asignados dependerá tanto del tamaño como la complejidad de la compañía así como de la naturaleza de sus actividades. Al igual que ocurre con la norma ISO 27001 no existe obligatoriedad de implementar la norma 28000 a toda la organización si bien es cierto que, para su certificación, debe estar bajo su alcance alguna de sus actividades principales. A la hora de elegir el alcance de la norma deberíamos integrar dentro del mismo las actividades principales de la organización así como el resto de actividades críticas requeridas para su funcionamiento o bien actividades que puedan afectar a la seguridad de empleados y/o partes interesadas. Política de Seguridad según ISO 28000 Constituye la sub cláusula 4.2 de la norma. Constituye una declaración clara del compromiso de la alta dirección en materia de seguridad. Marca las tanto las directrices como los principios en dicha materia para la Organización. Determina los objetivos globales en materia de seguridad así como su responsabilidad a lo largo de la empresa. La política de seguridad de la organización puede incluir información crítica o clave para la organización por lo que suele ser habitual publicar una segunda política general resumen de la anterior que pueda hacerse pública.
© Universidad Internacional de La Rioja (UNIR)
5
Capítulo 1: Sistema de gestión de seguridad de la cadena de suministro
Las entradas típicas para una política de estas características son: El resto de políticas u objetivos de la organización críticas para su negocio. Actividades tanto pasadas como presentes en materia de seguridad de la empresa. Necesidades de los grupos de interés de la compañía: Accionistas, clientes, etc. Oportunidades de mejora para la organización. Recursos a comprometer para su consecución. Contribución de los empleados, contratistas y terceros. La alta dirección, para una formular y comunicar una Política de Seguridad eficazmente, debería: Adecuarla a la naturaleza y los riesgos de seguridad de la organización mediante una identificación de amenazas, evaluación y gestión del riesgo como núcleo de gestión del sistema de seguridad. Manifestar un compromiso con la mejora continua: Vinculándolo con las responsabilidades legales, nacionales, regulatorias así como cualquier pauta adicional de aplicación por la organización para la mejora del desempeño en materia de seguridad de la cadena de suministro. Esto debería hacerse eco a su vez a través de los objetivos de seguridad y gestionarse conforme el programa de gestión de seguridad. Incluir un compromiso para dar, al menos, conformidad a las regulaciones aplicables y requisitos adicionales contemplados por la organización en materia de seguridad. Por ejemplo el marco normativo WCO SAFE. Documentar, implementar y mantener. La eficacia de la política de seguridad radica en su documentación y revisión periódica para la ajustarse a las nuevas necesidades de la organización en materia de seguridad. Comunicarse a todos los empleados: Los empleados deben participar y comprometerse activamente con la seguridad. Deben ser conscientes de los efectos sobre la seguridad de la compañía así como su propio trabajo que tienen sus acciones.
© Universidad Internacional de La Rioja (UNIR)
6
Capítulo 1: Sistema de gestión de seguridad de la cadena de suministro
Estar disponible: Cualquier grupo de interés debería ser capaz de consultar la política activamente para el correcto desempeño de su actividad. Ya sea interno o externo. De ahí la idea de la «doble política» anteriormente expuesta. Revisarse periódicamente: Debe adaptarse a los cambios técnicos, reglamentarios, de requisitos de negocio, etc. de la organización. La política de seguridad constituye un documento vivo y por tanto su actualización resulta indispensable. Evaluación de riesgos Dado que el próximo capítulo constituye un análisis pormenorizado sobre cómo implementar en una organización un método de evaluación de riesgos no nos extenderemos más en este apartado. Cumplimiento legal y reglamentario La organización debe ser consciente del modo en que la normativa legal así como el resto de reglamentación aplicable afecta a su actividad y comunicar, dichos requisitos, al personal oportuno. La cláusula 4.3.2 ampara dicho requisito. Bajo esta cláusula buscamos implementar el conocimiento y la comprensión de las responsabilidades heredadas por las leyes y reglamentos. Debemos desarrollar un procedimiento para lo cual podríamos emplear las siguientes elementos a considerar: Detalles de la cadena de suministro de la organización. Resultados de las amenazas identificadas, la evaluación y gestión del riesgo. Buenas prácticas. Requisitos legales, asociaciones de comercio, etc. Listado de fuentes de información. Normas de aplicación. Requisitos de los grupos de interés. Procesos para el desempeño de la cadena de suministro.
© Universidad Internacional de La Rioja (UNIR)
7
Capítulo 1: Sistema de gestión de seguridad de la cadena de suministro
Una vez identificados los objetivos de nuestro procedimiento podemos definir los medios de tratamiento de la información tales como los soportes. Otra práctica habitual es definir los accesos a la misma. Nuestro procedimiento debería ser capaz de establecer la implementación de controles adecuados para la nueva legislación y reglamentación de seguridad cuando aparezca. Objetivos desarrollados para la gestión de la seguridad de la cadena de suministro Cubierto por la sub cláusula 4.3.3 se describe cómo han de establecerse los objetivos de la empresa asociados a esta norma. Los objetivos de seguridad deben estar alineados con la política de seguridad de la compañía. Los objetivos deben ser medibles y emplearse allí donde sea necesario para la organización. Para la organización establecer objetivos debemos tener en consideración: Políticas y objetivos generales de la organización. Líneas claves de actuación, líneas estratégicas, etc. Política de seguridad así como el compromiso con la mejora continua. Resultados de las amenazas de seguridad, evaluación y gestión de riesgo. Requisitos tanto legales como reglamentarios Tecnología aplicable a la cadena de suministro. Requisitos financieros, operacionales y comerciales. Requisitos de los grupos de interés y los empleados. Retroinformación del sistema de gestión, evaluaciones y actividades de mejora del lugar del trabajo. Análisis de objetivos anteriores. Acciones correctivas y preventivas previas. Incidentes y no conformidades. Resultado de la revisión por la dirección. Como podemos apreciar la norma ISO 28000 establece una sinergia que perdura a través de sus apartados. Al establecer un ciclo de gestión basado en el PDCA las salidas de un proceso constituyen entradas del siguiente.
© Universidad Internacional de La Rioja (UNIR)
8
Capítulo 1: Sistema de gestión de seguridad de la cadena de suministro
Tras ello deberíamos ser capaces de identificar, establecer y priorizar los objetivos de seguridad. Para ello debemos considerar cuantas fuentes de retroinformación podamos. Muchas veces la gestión de incidencias al dar soporte a tratamiento con terceros aporta un gran valor añadido a éste respecto. La evolución de los objetivos de gestión de la seguridad de la cadena de suministro deberían ser revisados periódicamente para analizar tanto su evolución como su validez. Los objetivos de seguridad deberían englobar: o Seguridad Corporativa: Objetivos de alto nivel para la compañía. o Objetivos Específico: De más bajo nivel y más cercano a la actividad in situ. Los objetivos de seguridad corporativa suelen ir vinculados a planes que por tiempo e inversión suelen retrasarse su implementación y suelen incluir políticas generales de la corporación. Los objetivos específicos son mucho más cercanos a la actividad como, por ejemplo, la disminución de incidencias relativas a un evento de seguridad. Cada objetivo debería tener asociado indicadores cuando corresponda. La evolución de los indicadores será el semáforo que marque la evolución de dichos objetivos. Los objetivos deben ser razonables y alcanzables tanto en su consecución como en su monitorización. Deben encontrarse planificados. Dependiendo del tamaño de la organización, los objetivos, se descompondrán en metas. Deberíamos identificar la interconectividad existente entre las metas y los objetivos de seguridad. Se deben comunicar los objetivos al personal de la organización y ser parte de los programas de gestión de la misma. Metas Amparado en la cláusula 4.3.4 de la norma se definen los requisitos a emplear por el sistema de gestión para su definición e implementación.
© Universidad Internacional de La Rioja (UNIR)
9
Capítulo 1: Sistema de gestión de seguridad de la cadena de suministro
Constituyen métricas parciales para el análisis de la implementación y evolución de los objetivos dentro de una horquilla temporal. Las entradas que deberían considerar las metas de la organización son los mismos que constituyen para los objetivos. Las metas siempre deberán ser alcanzables al igual que los objetivos a los que están asociados. Los programas de seguridad deberían incidir en las metas a aplicar así como en el método de implementación y medición a emplear. Deben ser específicas, medibles y estar siempre planificadas bajo un horizonte temporal. Debemos estar atentos a la retroinformación específica de las metas, esto es, estar atentos a cuanta información tal como incidentes de actividades sobre las que incide directamente la meta. Debido a la relación causa- efecto establecida entre objetivos y metas debemos valorar la información obtenida de las metas para valorar los objetivos. Puede ser que a tenor de los datos obtenidos de las metas descubramos fallos en la planificación de los objetivos. Cuando analicemos las metas, necesariamente, deberíamos analizar los objetivos a los que están asociados. Al modificar una meta debemos valorar el efecto potencial que ocasionará sobre el objetivo. Deberemos definir indicadores oportunos para cada meta de seguridad. Cada indicador debe mostrarnos un seguimiento veraz de la implementación de las metas. Deberíamos definir un período de tiempo en el que alcanzar la meta. Debemos comunicar las metas al personal oportuno como parte de la información referida a sus funciones y responsabilidades. Programas Constituyen la relación establecida entre metas y objetivos. Cada programa describe el modo en que la organización materializará tanto sus objetivos como sus compromisos de su política en acciones claras para conseguir la consecución tanto de metas como objetivos de seguridad. Los programas implicarán el desarrollo de estrategias y planes de acción a desarrollar. Todo ello debe estar documentado y comunicado.
© Universidad Internacional de La Rioja (UNIR)
10
Capítulo 1: Sistema de gestión de seguridad de la cadena de suministro
Debe haber un seguimiento, registro y revisión de los programas desarrollados. Deben considerar en los resultados establecidos por las amenazas, riesgos identificados y la evaluación de riesgo. Las entradas a aplicar a los programas serían: Los objetivos y metas de seguridad. Requisitos legales y reglamentarios. Amenazas, evaluación y gestión del riesgo. Actividades de la organización. Actividades de supervisión y mejora del lugar de trabajo. Nuevas tecnologías aplicables al negocio. Mejora continua. Recursos disponibles para la obtención de los objetivos. Para implementar el programa debemos establecer: o Responsabilidades para lograr los objetivos. o Medios para lograr los objetivos. o Espacio temporal para lograr los objetivos. Debemos
considerar
reducir
las
amenazas
a
través
del
desarrollo
e
implementación de soluciones procedimentadas y/o tecnológicas así como analizar qué han hecho empresas de similar naturaleza en situaciones similares. Para ello debemos considerar las limitaciones financieras, operacionales y comerciales de la organización así como los límites establecidos por los grupos de interés de nuestra compañía. La planificación de tareas debe realizarse de manera unitaria para cada tarea dentro del plan identificando su responsable. Debemos asociar a cada tarea un grupo de recursos. El programa deberá considerar allí donde se incurra en alteraciones o modificaciones significativas en las prácticas de trabajo, procesos, equipos o medios, deberá identificar la amenaza para la seguridad que ello supone y evaluar su riesgo. Debe analizar los cambios esperados.
© Universidad Internacional de La Rioja (UNIR)
11
Capítulo 1: Sistema de gestión de seguridad de la cadena de suministro
Autoridades y responsabilidades Desarrollado a través de la sub cláusula 4.4.1 de la norma se definen los requisitos para establecer y mantener la estructura necesaria en cuanto a responsabilidades. Para realizar una gestión de seguridad en la cadena de suministro es necesario definir, documentar y comunicar los roles y responsabilidades del personal que afecte a dicha seguridad. En aquellas tareas críticas de seguridad deberíamos emplear solo personal propio de seguridad y dotarles de los recursos necesarios para su ejecución. Debemos considerar para la definición de roles y responsabilidades: Estructura de la compañía. Resultados de los riesgos identificados, evaluados y controlados. Metas, objetivos y programas de seguridad. Requisitos legales y reglamentarios. Descripción de las actividades de la organización. Personas identificadas como personal de seguridad que necesiten o hayan recibido autorización para el desempeño de actividades de seguridad. Debemos definir las responsabilidades de todo el personal que afecten al sistema de gestión de seguridad. En dichas definiciones debemos dejar claros los límites de cada puesto de trabajo. Recordemos que la seguridad es responsabilidad de todos. Idea que debe ser comunicada, mantenida y publicada a todos los niveles de la organización así como formar parte de las obligaciones de los perfiles de la compañía. La alta dirección debería recibir la responsabilidad de la definición de la Política de seguridad de la organización y la responsabilidad de que se implante el sistema de gestión de la seguridad. Deberíamos definir a tal efecto las funciones y responsabilidades del representante de la dirección. El representante de la gestión de la seguridad debería ser responsable de la implementación y documentación del sistema de gestión de la seguridad. Debe ser responsable de mantener el acceso por parte de la alta dirección al mismo.
© Universidad Internacional de La Rioja (UNIR)
12
Capítulo 1: Sistema de gestión de seguridad de la cadena de suministro
También debe ser apoyado por el resto de la estructura para las actividades de seguimiento y mejora en materia de seguridad. Debería informar de la evolución de los objetivos y participar de las revisiones de dicho sistema de gestión. Para documentar los roles y responsabilidades de la organización podemos definirlos en los siguientes documentos: Manual del sistema de gestión. Procedimientos y descripciones de actividades. Formación de bienvenida. Perfiles de RRHH Típicamente se generan perfiles para todos los ámbitos de gestión de la organización, no sólo seguridad, se implementan a través de un procedimiento de RRHH y se comunican conforme a la formación de bienvenida. Los roles y responsabilidades que afecten a la seguridad de la organización deben comunicarse a los afectados, indistintamente del documento oficial, tanto para externos como para internos. Recursos La dirección deber garantizar los recursos adecuados para operar las actividades referentes a la seguridad en la cadena de suministro. Esto incluye: Equipos. Recursos humanos Formación. Deben ser suficientes para desarrollar no solo las actividades in situ de seguridad sino los programas asociados incluyendo tanto su medición como la supervisión del desempeño. Podemos comparar los resultados de las mediciones con los logros obtenidos como una medida parcial del desempeño de la organización.
© Universidad Internacional de La Rioja (UNIR)
13
Capítulo 1: Sistema de gestión de seguridad de la cadena de suministro
Compromiso de la dirección La dirección de la empresa, con la gerencia como uno de sus máximos exponentes, debe demostrar un claro compromiso con la seguridad. Para ello la revisión por la dirección es una medida probatoria pero no la única posibilidad a implementar. La implicación de la dirección en el análisis del desempeño de la empresa así como personarse en los emplazamientos de la misma pueden ser unas buenas prácticas que den resultados en cuanto a la mejora no solo de la seguridad sino del desempeño general de la compañía. Formación y competencias La formación en materia de seguridad es una de las actividades con mayor controversia en los sistemas de gestión de seguridad. A través de la sub cláusula 4.4.2 de la norma se describe los requisitos para dotar formación al personal de la compañía en materia de seguridad. Como hemos hablado con anterioridad no hay nada más peligroso que la desinformación. La frase más típica ante un problema es «yo no sabía...» Pero ISO 28000 favorece la implementación de sistemáticas capaces de asegurar la competencia del personal en materia de seguridad así como la obligatoriedad de mostrar consciencia de los riesgos de seguridad a los que se ven potencialmente afectados. Para la definición de un proceso correcto de formación, más allá de lo anteriormente expuesto, deberíamos considerar: Modos para identificar de forma periódica la toma de conciencia y competencias de cada perfil en materia de seguridad. Modos para identificar y solucionar las deficiencias de formación del personal de la organización en materia de seguridad. Dar la formación necesaria del modo correcto con la periodicidad adecuada. Evaluar a las personas de modo que podamos asegurarnos el conocimiento que han adquirido, su competencia así como su mantenimiento. Mantener cuantos registros sean necesarios de la formación y competencia del personal de la organización.
© Universidad Internacional de La Rioja (UNIR)
14
Capítulo 1: Sistema de gestión de seguridad de la cadena de suministro
Debería determinarse un plan de formación y sensibilización para la organización de modo que podamos, de forma continuada, informar y formar al personal de: o Conciencia de los riesgos y amenazas de seguridad. o Roles y responsabilidades en materia de seguridad. o Formación continua para las actividades desarrolladas por cada individuo. o Formación en materia de seguridad que afecte a su puesto. o Formación en sus competencias dentro del sistema de gestión de seguridad dentro de la cadena de suministro. o Formación para personal externo. o Protocolos de actuación ante amenazas y riesgos. Comunicación Como se ha visto anteriormente a lo largo de este capítulo la organización debe comunicar de forma adecuada la información oportuna al personal adecuado todo ello se recoge a través de la sub cláusula 4.4.3 de la citada norma. A la hora de establecer los procedimientos de información la organización debe considerar los elementos de los que informar: Política y objetivos de seguridad. Documentación del sistema de gestión de seguridad. Identificación de riesgos de seguridad, evaluación de riesgos y procedimientos de control de riesgo. Roles y responsabilidades del personal en materia de seguridad. Consultas formales de seguridad. Planificación de formación. Información oportuna adicional; reglamentaria, legal, de grupos de interés, etc. Sería conveniente la implementación de un procedimiento documentado y/o protocolo de comunicación entre las partes de forma que la organización pueda transmitir estos datos tanto dentro como fuera de la misma según sea oportuno. De este modo la organización podrá obtener una retroalimentación a través de las consultas realizadas en materia de seguridad por parte tanto de personal interno como externo.
© Universidad Internacional de La Rioja (UNIR)
15
Capítulo 1: Sistema de gestión de seguridad de la cadena de suministro
Requisitos para la documentación del sistema de gestión de seguridad de la cadena de suministro Al igual que otros sistemas de gestión, ISO 28000, a través de su sub cláusula 4.4.4 establece los requisitos para establecer la documentación del sistema de gestión. Debemos mantener la documentación que afecte a la gestión de la seguridad actualizada para asegurarnos que podemos desempeñar sus actividades eficazmente. Cabe considerar para ello los detalles específicos desarrollados a través de la documentación e información desarrollado para el cumplimiento de la presente norma como de normas complementarias. Además, también es importante considerar los roles y responsabilidades de su personal y los soportes sobre los que disponer la información para su gestión así como las reglas de operación a ellos impuestas para su uso. Primeramente debemos considerar toda la documentación a desarrollar en este sistema de gestión. Después deberíamos determinar el soporte en el que la vamos a trabajar, custodiar, preservar, acceder y distribuir así como su clasificación. Según su clasificación determinaremos los permisos para su consulta, acceso, modificación y distribución. No olvidemos los requisitos de seguridad derivados del soporte en el que se encuentre; no es lo mismo documentación en soporte papel a soporte informático. Tenemos considerar siempre las amenazas a las que se ve sometida nuestra documentación. Asociado a este requisito nos encontramos la sub cláusula 4.4.5 donde se estipula el control para los documentos y los datos del estándar. Hay que tener en cuenta que todos los documentos y registros con información crítica para el sistema de gestión deberían estar identificados y controlados. Los procedimientos escritos deberían describir el modo en que se identifican, aprueban, se accede y eliminan o bien recopilan una regla general que aplique a todos ellos en un procedimiento formal.
© Universidad Internacional de La Rioja (UNIR)
16
Capítulo 1: Sistema de gestión de seguridad de la cadena de suministro
La documentación y los registros deben preservarse. Deben estar accesibles para quien disponga de permisos suficientes. Control operacional de la organización bajo la norma ISO 28000 Amparado en la sub cláusula 4.4.6, la organización, debe determinar el modo en que va tanto a establecer como a mantener sus operaciones y actividades para alcanzar los elementos dispuestos conforme a 4.4.6 a, b, c, d, e, f que no son sino un resumen de los puntos principales ya identificados durante el desarrollo del capítulo. Deberíamos definir procedimientos para el control de los riesgos identificados, documentar dichos riesgos, los fallos asociados, así como los impactos sobre la organización; incidentes, emergencias, no conformidades contra políticas y objetivos de seguridad. Los procedimientos de gestión del riesgo deberían ser revisados periódicamente para comprobar que se encuentran actualizados y eficaces. Las actuaciones identificadas como necesarias por los procedimientos de gestión del riesgo deberían implementarse. Dichos procedimientos deberían considerar las situaciones en las que se afectan a terceros, o a su información, como parte de la cadena de suministro. Ejemplo: Outsourcing o bodyshopping. Estos procedimientos son transversales a la organización y forman parte de la actividad de la misma como complemento para la garantía de la seguridad de la cadena de suministro. Respuesta ante emergencia y vuelta a la seguridad Dicha respuesta se identifica bajo la sub cláusula 4.4.7 de la norma. Incluye los planes, acciones preventivas y preparaciones a realizar para actuar caso de desatarse una catástrofe.
© Universidad Internacional de La Rioja (UNIR)
17
Capítulo 1: Sistema de gestión de seguridad de la cadena de suministro
Un esquema clásico se encuentra en el capítulo anterior y, al igual que el resto de información dispuesta en capítulos anteriores, sigue mostrando validez para dar respuesta a dichos requisitos. Verificación y acción correctiva Requisito dispuesto conforme a la sub cláusula 4.5 ISO 28000. Debemos identificar indicadores clave relacionados con el desempeño del sistema de gestión para observar si: Tanto la política como los objetivos de seguridad se logran y mantienen eficazmente. Las amenazas se encuentran bajo control o cercanas a estarlo debido a las medidas preventivas aplicadas eficazmente. Se está realizando una mejora eficaz a partir de los fallos conocidos de la organización en materia de seguridad. La planificación de formación se está llevando a cabo. Se está captando información veraz para el análisis de la mejora del sistema de gestión. El análisis del sistema de seguridad de la organización debería ser: o Proactivo: Verificar la concordancia con las actividades de seguridad de la organización. o Reactivo: Investigar, analizar y registrar fallos en el sistema de gestión de seguridad. Para realizar las mediciones emplearemos: o Resultados de la identificación, evaluación y control de riesgos. o Inspecciones periódicas del sistema de gestión. o Inspecciones de seguridad. o Evaluación de nuevos sistemas de logística para la cadena de suministro. o Revisión y evaluación de modelos estadísticos. o Estado de inspección del equipo de seguridad. o Disponibilidad y efectividad del personal de seguridad. o Evaluación de la aptitud de los trabajadores para la seguridad. o Análisis de documentación y registros. o Benchmarking de otras organizaciones similares. o Retroalimentación de grupos de interés.
© Universidad Internacional de La Rioja (UNIR)
18
Capítulo 1: Sistema de gestión de seguridad de la cadena de suministro
Una vez identificado los elementos a los que vamos a realizar el seguimiento deberíamos indicar los responsables, duración del seguimiento y recursos a comprometer. Sería conveniente documentar un procedimiento de calibración para los equipos de calibración y medida; integrable plenamente con ISO 9001. Deberíamos realizar una calibración con trazabilidad ENAC para garantizarnos la fiabilidad de la misma y un mantenimiento tanto correctivo como preventivo para los equipos de medición. Deberíamos identificar el estado de calibración de los equipos de medida, especialmente los que se encuentren sin calibración, así como el período de validez de la calibración. Deberíamos documentar la revisión los planes de gestión de seguridad de modo que podamos evidenciar la capacidad de la empresa para el cumplimiento de su política, metas y objetivos. Como se ha mencionado con anterioridad los requisitos legales deben ser revisados periódicamente para analizar su repercusión sobre la seguridad de la cadena de suministro y la organización. Debemos asegurar que los planes y procedimientos de seguridad se mantienen actualizados y alineados tanto con los requisitos como con las necesidades de la organización. Como parte de la revisión de los planes y procedimientos de seguridad debemos tomar en consideración los incidentes detectados, evaluación y control del riesgo, informes de auditoría, revisión por la dirección, objetivos, así como los cambios detectados en la legislación vigente. Las condiciones de trabajo deberán ser una entrada adicional para estas revisiones. A través del análisis y revisión del sistema de gestión seremos capaces de: Mejora en los procesos y actividades de la organización. Disminución de no conformidades. Mejora en el cumplimiento legal. Identificación de amenazas, evaluación y registros de riesgos eficaces.
© Universidad Internacional de La Rioja (UNIR)
19
Capítulo 1: Sistema de gestión de seguridad de la cadena de suministro
Evidencia de la evaluación de la eficacia así como acciones correctivas y preventivas. Deberíamos desarrollar procedimientos para informar, evaluar e investigar las emergencias, incidentes de seguridad así como las no conformidades detectadas para prevenir que vuelvan a ocurrir. Los procedimientos deberían describir el criterio para la detección, análisis y eliminación de sus causas. Igualmente debería aplicar a la detección y eliminación de efectos dañinos potenciales a través de las acciones preventivas. Dicho procedimiento debería dictaminar los criterios a aplicar para la catalogación de las acciones, su conservación y custodia. Los registros de la organización deben ser capaces de demostrar la conformidad de la actividad de la misma con los requisitos establecidos en la presente norma. Los registros deberían ser mantenidos, estar debidamente identificados y ser legibles. Deberíamos describir los métodos para la conservación, acceso y custodia de los registros, en especial, para los registros que contengan información crítica para el sistema de gestión. Debemos definir los tiempos de conservación para los registros del sistema de gestión así como los requisitos reglamentarios, caso de haber alguno, que les afecten. Debería definirse el método de protección para los registros críticos de la organización. Hacer mención que, como todos los sistemas de gestión, ISO 28000 establece la auditoría interna como herramienta de gestión. Dado que con anterioridad hemos dedicado, a las auditorías, tiempo suficiente al respecto no incidiremos más en la materia en el presente capítulo. Mejora continua y revisión por la dirección Bajo la sub cláusula 4.6 de la norma se dictaminan los requisitos para la revisión por la dirección y, por extensión, mejora continua del sistema.
© Universidad Internacional de La Rioja (UNIR)
20
Capítulo 1: Sistema de gestión de seguridad de la cadena de suministro
Algunos de los elementos que conviene analizar en la revisión por la dirección para su buen desarrollo sería: Resultados de las auditorías del sistema de gestión. Acciones correctivas y preventivas en el presente ejercicio. Resultados de los simulacros de seguridad y de los planes de continuidad. Información sobre indicadores, objetivos, metas y planes de seguridad. Informes sobre amenazas, riesgos y su gestión. Efectividad de las medidas implementadas en el sistema. Resultados de las métricas. Revisiones por la dirección anteriores. Informes sobre la compañía en materia de seguridad tanto internos como externos. Una revisión eficaz del sistema de gestión ayuda a garantizar la continuidad del mismo así como que su efectividad perdure en el tiempo.
© Universidad Internacional de La Rioja (UNIR)
21
Capítulo 2 Evaluación de los riesgos de seguridad dentro de un SGSCS
Capítulo 2: Evaluación de los riesgos de seguridad de un SGSCS
2.1. Introducción A través de la sub cláusula 4.3 de la norma se establecen los requisitos para la implementación de una evaluación y planificación de los riesgos de la seguridad dentro de un SGSCS. El problema, dentro del requisito, es la indefinición de un método concreto para su implantación; dejando solo un grupo de directrices como timón al que aferrarse para su desarrollo. Esto constituye un problema claro, de indefinición, pero una gran ventaja pues nos permite adaptar nuestro método de evaluación de riesgos a nuestra organización. Existen precedentes similares donde podemos observar casos parecidos: ISO 14001, ISO 27001, etc. La norma ISO 28000, como todas las normas de gestión, recordamos dispone de un grado elevado dentro de su trazabilidad interna. Esto significa que los puntos de la norma están interconectados entre sí. Su efecto, sobre la evaluación de riesgos, es total pues es una actividad que resulta el corazón de la norma.
2.2. Finalidad Nuestra empresa implementa una evaluación de los riesgos de seguridad dentro de un SGSCS para obtener una visión de todos los riesgos de seguridad significativos, las amenazas y vulnerabilidades asociadas. Para ello emplearemos los procesos de identificación de amenazas, evaluación y gestión del riesgo. Recordemos que para todo sistema de seguridad, incluido 27001, la identificación de amenazas, la evaluación y gestión de los riesgos resultan procesos vitales. Deberíamos identificar la relación entre dichos procesos, entradas y salidas, para definir el modo en que interactuarán dentro del sistema de gestión. Deberíamos definir también los modos de interacción entre el resto de sistema de gestión y los procesos anteriormente descritos. Una vez identificada la amenaza a la seguridad serán los procesos de evaluación y gestión del riesgo los que dictaminen
© Universidad Internacional de La Rioja (UNIR)
23
Capítulo 2: Evaluación de los riesgos de seguridad de un SGSCS
si la actuación sobre ella realizada es suficiente. Estos procesos constituyen una base para la continuidad de negocio, de hecho, deberían constituir una entrada para la misma. Dada la importancia para la organización, los procesos de identificación de amenazas, evaluación y gestión de los riesgos, deben ver asegurada su continuidad dentro de la organización. La organización debería documentar el modo en que los revisará, actualizará, tomará en consideración y alimentará con información de interés para los mismos. Tal y como hemos visto al inicio del apartado la norma nos deja campo abierto para la definición de los procesos de identificación de la amenaza, evaluación y gestión del riesgo para adecuarnos, así, al tamaño de la organización, ubicación, naturaleza de su actividad, complejidad, etc. Cabe pensar que la norma, en su concepción, está diseñada para todo tipo de organizaciones independientemente del tamaño y actividad de modo que no puede encorsetar en exceso dichos procesos. Dichos procesos deberían valorar tanto económicamente como en tiempo los trabajos de ellos derivados. La legislación aplicable así como otros reglamentos empleados por la organización constituye una valiosa información de entrada para estos procesos. Deberíamos considerar el nivel de control efectivo que podemos llegar a desempeñar sobre las amenazas identificables. No siempre podremos eliminar en su totalidad una amenaza. La valoración de amenazas debería considerar la organización en su conjunto, actividades que desarrolla, etc. debemos recordar que, si bien el alcance puede aplicar solo a una parte de la organización, las amenazas a nuestro ámbito de gestión pueden llegar de actividades ajenas que se desarrollen en la empresa. Deberíamos documentar la metodología empleada para la evaluación de riesgo de modo
que
podamos
asegurar
su
repetitividad,
mantenimiento
y
perdurabilidad en el tiempo. Los encargados de liderar la evaluación de riesgo deberían ser personas calificadas en materia de seguridad y versados en estas herramientas.
© Universidad Internacional de La Rioja (UNIR)
24
Capítulo 2: Evaluación de los riesgos de seguridad de un SGSCS
Podemos realizar una evaluación inicial para analizar el estado de la organización y, así, obtener una comparativa clara del avance de la organización conforme implementemos medidas. Dentro de la revisión inicial deberíamos considerar: Requisitos legales y reglamentarios. Amenazas de seguridad identificadas. Información obtenida de cuerpos de seguridad. Análisis de las prácticas que realiza la empresa, a fecha actual, en materia de seguridad. Histórico de incidentes de seguridad de la organización. Una vez realizada la evaluación inicial procedemos a enumerar los pasos a seguir para la realización de una evaluación de riesgos en una SGSCS.
2.3. Paso 1: Identificación del alcance de la evaluación de la seguridad Debemos asegurarnos que el alcance de la evaluación abraza las actividades desarrolladas por la organización. Dicho alcance debe evaluarse periódicamente y revisar también el plan de seguridad cuando proceda. Podemos hacernos eco de estas evaluaciones a través de la revisión por la dirección. El alcance debe cubrir: Sistema de información. Documentos. Redes que afecten a la manipulación y movimiento de bienes mientras se encuentren bajo custodia de la organización. Acuerdos de seguridad.
© Universidad Internacional de La Rioja (UNIR)
25
Capítulo 2: Evaluación de los riesgos de seguridad de un SGSCS
2.4. Paso 2: Personal a cargo de la evaluación La persona al cargo de la evaluación, recordamos, debería poseer destrezas y/o conocimientos en los siguientes puntos: Técnicas de evaluación de riesgos: Para así poder aplicarlos a la cadena de suministro de inicio a fin de la misma. Aplicación de medidas para mantener la confidencialidad de la información de la compañía. Las operaciones realizadas en las actividades de envío, trasporte, personal, etc. aplicables en la cadena de suministro por la organización. Amenazas de seguridad y metodologías para su tratamiento. ISO 28000. Deberíamos registrar el responsable o los responsables de la evaluación de riesgos así como el grupo de personas que colaboran con ella. Una buena idea, al igual que en ISO 27001, es constituir un comité de seguridad multidisciplinar para tareas como esta. En él deberíamos, al menos, contar con personal con capacidad de decisión de la compañía así como personal con capacidad de aprobar presupuestos, personal de los departamentos económico/financiero, para agilizar las medidas en ellas detectadas.
2.5. Paso 3: Evaluación Debemos definir, implementar y mantener un método de evaluación para identificar las acciones a emplear para actuar sobre las amenazas detectadas. Debemos realizar una identificación de escenarios bajo amenazas; es decir, debemos identificar las vulnerabilidades sobre las que operan estas amenazas y sus efectos potenciales. Para cada escenario debemos evaluar la probabilidad y las consecuencias de cada escenario identificado. Deberemos implementar medidas hasta que el escenario definido quede bajo control.
© Universidad Internacional de La Rioja (UNIR)
26
Capítulo 2: Evaluación de los riesgos de seguridad de un SGSCS
Deberíamos documentarlo, para asegurar su repetitividad y que perdure en el tiempo, lo siguiente: Situaciones bajo amenaza consideradas. Métodos de evaluación de amenazas empleados. Soluciones propuestas identificadas. Para la identificación de amenazas deberíamos considerar si existe algún tipo de amenaza del emplazamiento específico donde se desarrolla una actividad. Son puntos clave para este análisis: o Ubicación de procesado de producto previo a su preparación para el transporte. o Punto de preparación de pedidos. o Puntos de almacenaje de productos. o Transporte de productos. o Puntos de carga y descarga de pedidos. o Puntos donde exista un cambio de custodia en la cadena de suministro. o Puntos donde se desarrolle documentación relativa al producto transportado. o Rutas de transporte. o Puntos en los que terceros participan en la cadena de suministro. o Puntos donde terceros tengan acceso a información referente a la cadena de suministro y/o producto suministrado. Pero antes de nada retomemos el orden. Es muy importante la identificación de amenazas pero para una correcta identificación debemos efectuar los pasos correctos dentro de la evaluación de riesgos: o Listar todas las actividades identificadas bajo el alcance de la evaluación de riesgos. o Identificar los controles de seguridad ya existentes en la organización. o Identificar las situaciones/escenarios de amenazas a la seguridad. Una vez identificadas las actividades así como los controles pre existentes que afecten a la seguridad en la organización damos paso a la identificación de escenarios.
© Universidad Internacional de La Rioja (UNIR)
27
Capítulo 2: Evaluación de los riesgos de seguridad de un SGSCS
Identificación de escenarios de amenazas a la seguridad Algunos ejemplos son: Tomar el control de los medios de transporte de la carga dentro de la cadena de suministro. Uso de la cadena de suministro con fines ajenos a los preestablecidos. Manipulación de la información. Daño de la integridad de la carga. Uso no autorizado de los activos de la organización. Intercepción del envío. Desvío del envío de la ruta preestablecida. Avería. Filtrado de información. Acceso por personal no autorizado a la carga. Para una correcta evaluación de riesgo debemos considerar los siguientes aspectos condicionantes dentro de la misma: Accesos de la organización: Tanto físicos como lógicos, tanto a la cadena de suministro como a la información a ella referida. Medios de transporte: Los que empleamos bajo uso habitual y aquellos que empleemos de forma esporádica en situación de emergencia. Incluir también a los subcontratistas. Fallos en el tratamiento de la carga: En la preparación del pedido, carga, movimiento, descarga, etc. Medio por el que circulará el transporte. Inspecciones a realizar en la cadena de suministro. Empleados: Formación y capacitación para el desempeño de sus tareas. Comunicación: Tanto interna como externa. La desinformación constituye una amenaza clara. Actualización de la documentación en vigor en los puntos de aplicación. Tratamiento de la información adecuado para aquella información referente a, o, de aplicación a la cadena de suministro. Una vez hecho esto debemos proceder a la evaluación de las consecuencias. La evaluación de consecuencias debería considerar desde la pérdida de vidas a la pérdida económica potencial. Una clasificación habitual de las consecuencias a aplicar a
© Universidad Internacional de La Rioja (UNIR)
28
Capítulo 2: Evaluación de los riesgos de seguridad de un SGSCS
cada incidente es la de alto, medio o bajo. Deberíamos documentar el criterio de clasificación para asegurarnos la homogeneidad de aplicación del método. Debemos tener cuidado con el método en los límites de valores. Es decir, en la medida de lo posible, deberemos identificar unívocamente las situaciones a clasificar cada uno para evitar dudas en la aplicación del criterio. La horquilla para cada uno de los valores debe ser suficiente para la organización según su tipo, tamaño y complejidad de tareas pero, a su vez, para la gestión. Deberían resulta tales que la organización pueda realizar una gestión adecuada permitiendo tener cabida a todos los eventos detectados. Podemos realizar un cruce entre consecuencia y probabilidad para establecer un criterio de actuación o priorización de medidas. Un ejemplo sería:
“Matriz de priorización de
Gravedad consecuencia
actuación” Probabilidad amenaza
Alta
Media
Baja
Alta
Alta
Alta
Media
Media
Alta
Media
Baja
Media
Baja
Baja
Baja
En el criterio presentado para la priorización de actuaciones se pretende que, aquellas amenazas, con probabilidad alta se acometan lo antes posible salvo que su consecuencia sea baja. Se ha combinado con el criterio de actuación sobre consecuencias con gravedad alta salvo que la probabilidad sea baja. Al combinar criterios lo que conseguimos es priorizar la actuación sobre las amenazas de mayor probabilidad y mantener bajo control aquellas con peores consecuencias para la organización. Esto, en sí mismo, ya es gestionar los riesgos.
© Universidad Internacional de La Rioja (UNIR)
29
Capítulo 2: Evaluación de los riesgos de seguridad de un SGSCS
La aceptabilidad es la cantidad de perjuicio está dispuesto a soportar la organización bajo ciertas circunstancias.
Un ejemplo de clasificación de
consecuencias sería:
Valor
Consecuencia Fallecimiento
Alto
Daño en activos críticos para las actividades de la organización Destrucción de un gran área de un ecosistema Mutilación e incapacidad total
Medio
Daño en activos no críticos para actividades de la organización Daño a largo plazo en un ecosistema Incapacidad temporal
Bajo
Leve perjuicio sobre activos no críticos para actividades de la organización Daño leve al ecosistema
Al clasificar los incidentes de seguridad potenciales hay que considerar el tipo de medidas a aplicar en la cadena de suministro. Las medidas pueden ser de todo tipo: Físicas. Operacionales: Que afectan a la actividad. Documentación. Tecnológicas. Un criterio a aplicar para la clasificación de los incidentes de seguridad son: Probabilidad Alta
Efectividad de las medidas Las medidas implementadas para el control de la amenaza resultan inexistentes o insuficientes.
Media
Las medidas implementadas para el control de la amenaza resulta potencialmente ineficaz.
Baja
Las medidas implementadas para el control de la amenaza resulta eficaz.
© Universidad Internacional de La Rioja (UNIR)
30
Capítulo 2: Evaluación de los riesgos de seguridad de un SGSCS
Deberíamos documentar el criterio de aplicación para cada criterio. Una vez identificadas la cuantía de acciones a realizar para el control o eliminación de una amenaza, sus consecuencias o probabilidad, debemos proceder a su definición. El objetivo es llegar a unos escenarios bajo control en los que podamos operar el sistema de gestión en la cadena de suministro de modo controlado. De este modo podremos operar de un modo ordenado nuestra cadena de suministro sabiendo a qué atenernos. Al implementar las acciones buscamos mantener la actividad bajo control. Las acciones a implementar pueden operar bajo los siguientes criterios: Actuar sobre la situación problemática: Podemos afectar a la probabilidad, a la amenaza o al impacto que ejerce sobre la organización. Para ello dispondremos de medidas de contención o protocolos de actuación. Transferir el riesgo: Podemos realizar subcontrataciones o bien actuar sobre las que ya disponemos para transferirles el riesgo. No obstante debemos considerar el riesgo potencial al que incurrimos por el hecho de hacerlo ya que, recordemos, se puede delegar la actividad pero nunca la responsabilidad. Cese: Si el riesgo excede el riesgo asumible por la organización y, esta, dictamina que el coste, tanto en medios económicos como humanos y/o tiempo, es excesivo es posible que la conclusión lógica sea el cese de la actividad problemática. Una de las opciones que puede tomar la organización es decidir no actuar un riesgo. Debemos documentar la decisión tomada y ser consciente de los efectos potenciales a los que nos vemos sometidos. Llegados a este punto debemos implementar las contramedidas. Estas contramedidas, expresadas como acciones correctivas y/o preventivas, deberían llevar un plan de acción asociado. El plan de acción debería llevar, como vimos anteriormente, una descripción de los principales hitos, responsables, recursos destinados (incluidos económicos y tiempo del personal) para una eficaz implantación. Nuestras contramedidas modificarán la operatividad de la organización. Bien poniendo barreras físicas, bien por cambios en los trabajos realizados, bien por cambios en las rutas, etc. de modo que deberán ser aprobadas por la dirección.
© Universidad Internacional de La Rioja (UNIR)
31
Capítulo 2: Evaluación de los riesgos de seguridad de un SGSCS
Cuando estemos en disposición de implementar una contramedida debemos valorar el impacto que va a generar sobre el resto de actividades de la organización. Deberíamos valorar la eficacia de la contramedida. Para ello sería conveniente, dentro de su descripción, incluir la descripción de los controles que se le van a aplicar para su medida de eficacia. Esto se puede resumir en: Responsable del control Duración de la medición. Criterio de eficacia. Valores esperados obtener de la medición. Si la contramedida resultase insuficiente en su control y/o valoración o se estima en una primera aproximación falta de efectividad deberemos imponer cuantas medidas estimemos oportunas para disponer de la situación bajo control. Estas operaciones se repetirán a lo largo de todos los escenarios descritos hasta disponer de ellos bajo control. Recordemos que el proceso de evaluación es un proceso continuo. Esto significa que deberemos realizar un control continuado para la supervisión de la eficacia de las medidas implantadas así como una nueva evaluación de los escenarios cuando sea necesario. Típicamente se revisa al menos una vez al año. Los motivos que llevan a una re evaluación de un escenario son: Cambios significativos de operación. Cambios significativos de personal. Cambios significativos de la legislación aplicable. Cambios de significativos en las rutas de transporte. Cambios significativos en las externalizaciones. Aplicación de nuevas tecnologías al proceso productivo. Reducción de recursos a comprometer para el desarrollo de la actividad.
© Universidad Internacional de La Rioja (UNIR)
32
Capítulo 2: Evaluación de los riesgos de seguridad de un SGSCS
2.6.
Métodos
cuantitativos
vs
métodos
cualitativos
de
evaluación. Como hemos visto hemos desarrollado la explicación específica desarrollando matrices de decisión y priorización conforme a criterios cualitativos. Una de las opciones es realizar las valoraciones conforme medios cuantitativos. Así lo que se pretende es ganar cierto grado de objetividad. Para ello desarrollaremos fórmulas de cálculo. Por ejemplo: Riesgo=Probabilidad Amenaza x Impacto Amenaza De este modo podemos identificar el riesgo asumido por la organización y realizar una comparativa numérica contra los valores de riesgo. Es un método más directo pero perdemos la apreciación subjetiva. Al realizar las nuevas valoraciones siempre podemos desarrollar el método numérico ganando así objetividad al poder comparar valores concretos y no abstractos. Al añadir una dimensión más, la numérica, nos vemos forzados a elaborar escalas de valores. El problema de las escalas es su tamaño. Las escalas iniciales para la gestión deberían presentar valores enteros: uno, dos, tres, cuatro, etc. con no más de cuatro valores. De esta forma podemos centrar mucho la valoración. Por ejemplo: Numérico
Significado
1
Poco
2
Bastante
3
Mucho
Este es el punto en el que conviven ambos métodos. Es, quizás, la forma más simple de explicar el método de valoración en una primera instancia. De esta manera, las valoraciones
se
muestran
siempre
acotadas.
Además,
resulta,
que
si
implementamos la fórmula de riesgo anteriormente mostrada los valores del riesgo van de uno a nueve.
© Universidad Internacional de La Rioja (UNIR)
33
Capítulo 2: Evaluación de los riesgos de seguridad de un SGSCS
Tenemos que pensar que es algo bastante gráfico. Por nuestra educación estamos muy acostumbrados, prácticamente todos, a asociar valoraciones numéricas iguales o menores a diez. Valoración de riesgo Probabilidad
Impacto
Riesgo Numérico
Valoración
1
1
1
Riesgo Bajo
2
1
2
Riesgo Bajo
3
1
3
Riesgo Bajo
1
2
4
Riesgo Medio
2
2
5
Riesgo Medio
3
2
6
Riesgo Medio
1
3
7
Riesgo Alto
2
3
8
Riesgo Alto
3
3
9
Riesgo Alto
La valoración cuantitativa no es necesaria pero en muchos casos conveniente por su orientación. Si ponemos un riesgo asumido con valor de, por ejemplo seis, actuaremos sobre los valores emplazados entre siete y nueve. Es algo que, de haber realizado una valoración cualitativa, no dispondríamos la sutileza para la gestión. Lo bueno de la evaluación cuantitativa es que siempre podemos variar los rangos asociados a las medidas. Primer año de uno a tres, siguiente de uno a cinco, etc. según vayamos necesitando de mayor detalle para ganar exactitud al proceso de evaluación de riesgo. Realicemos un ejemplo de valoración de eficacia. Supongamos un riesgo asumido con valor seis en un escenario con la fórmula de cálculo de riesgo anteriormente expuesta: Riesgo
¿Desarrollar medida?
Descripción medida
Nuevo valor de riesgo
4
No
6
No
8
Sí
ACP01-2012
6
7
Sí
ACP02-2012
6
3
No
© Universidad Internacional de La Rioja (UNIR)
34
Capítulo 2: Evaluación de los riesgos de seguridad de un SGSCS
Este podría ser un extracto de una valoración de riesgo donde sea necesaria la implementación de una medida. En la descripción de la medida podemos hacer la referencia, como es el caso, a una codificación de acción correctiva o preventiva en la que se describa la actuación. La descripción de las acciones en las que se describiría los eventos sería, por ejemplo, como sigue: Tipo Acción
Correctiva
Codificación
AC01-2012
Responsable
Resp. Seguridad
Fecha
16/10/2012
Descripción de la acción problemática: Se ha encontrado un valor de riesgo excesivo para la amenaza "falta de formación del personal en materia de seguridad" dentro del escenario "gestión de la planificación de la cadena de suministro" Causa de la acción problemática: No se había identificado la necesidad formativa. Actuación Hito
Responsable
Fecha
Planificación formación Planificación Sensibilización seguridad anual Selección formador
Resp. RRHH
25/10/2012
Resp. RRHH
25/10/2012
Resp. RRHH
25/10/2012
Selección grupos formación Realizar formación
Resp. RRHH
27/10/2012
Resp. Seguridad
30/10/2012
Resp. RRHH
3/11/2012
Evaluación formación
Seguimiento Cumplimiento plazo Cumplimiento plazo Cumplimiento plazo Cumplimiento plazo Evaluación formación % Formación conforme >90%
Seguimiento Control
Responsable
Cumplimientos de plazo
Resp. Seguridad
% Eficacia >90%
Resp. RRHH
Alta Media Baja
Recursos Planificador de tareas de la organización y 1 h Resp. Seguridad 1 h Resp. RRHH
Eficacia de la Acción* Firma responsable
Tiempo uso control Medida única
Medida anual, revisión con la formación anual sensibilización Rsp. Seguridad
© Universidad Internacional de La Rioja (UNIR)
35
Capítulo 2: Evaluación de los riesgos de seguridad de un SGSCS
* Marcar la eficacia de la acción desarrollada con una X. Alta, media o baja Ahora, por último, a modo de ejemplo para ordenar todo lo expuesto durante este capítulo diseñaremos un ejemplo de procedimiento documentado para la evaluación de riesgos de seguridad dentro de un SGSCS. Como siempre, al ser un ejemplo, no dispondrá de todas las sutilezas de un procedimiento más riguroso pero bien podría ser una buena base para la implementación en una organización. Ejemplo: Codificación: P01_Procedimiento_Evaluación_Riesgos_SGSCS Revisión: 0 Objeto: Descripción de un procedimiento documentado para la identificación de amenazas, evaluación de riesgos y su gestión. Alcance: A todas las actividades de la organización dentro del alcance marco del SGSCS. Referencia normativa: ISO 28000, sub cláusula 4.3.1 Clasificación de la información: Restringida Editado por:
Revisado por:
Aprobado por:
Resp. Seguridad
Gerencia
Gerencia
Cambios en el documento Cambio
Fecha
Creación del documento
16/10/2012
Responsabilidades Responsabilidad seguridad: Coordinar e implantar el método de evaluación de riesgos dentro de su alcance. Comité de seguridad: Identificar las amenazas y escenarios para el SGSCS dentro del alcance marcado, evaluar su probabilidad e impacto para el mismo, determinar
© Universidad Internacional de La Rioja (UNIR)
36
Capítulo 2: Evaluación de los riesgos de seguridad de un SGSCS
las acciones a tomar y evaluar el riesgo para la organización de dichas amenazas en los escenarios marcados. Dirección: Definir y aprobar el riesgo asumido por la organización. Toda la organización: Colaborar en la detección de amenazas, incidentes de seguridad, implantación del SGSC y acciones a tomar. Desarrollo En vista del alcance del presente documento, el Comité de seguridad, identificará los flujos generados como parte del alcance. Dentro de dichos flujos se determinará desde el inicio de la actividad hasta la entrega del producto en las instalaciones del cliente. Esta operación se realizará para tantas actividades como se vean contemplado en el alcance marco del sistema de gestión. Dentro de cada actividad se enumerarán las sub actividades desarrolladas dentro de la misma, esto es, todas aquellas actividades dentro del troncal vitales para su consecución. Por ejemplo: Actividad: Producción, distribución y entrega de Cable ARJ. Producción. Preparación de pedido. Expedición. Ruta. Entrega. Para cada actividad, el responsable de seguridad, identificará los controles de seguridad existentes: barreras físicas, contratos de confidencialidad, etc. Coordinado por el responsable de seguridad se identificará, para el SGSC, por parte del Comité de seguridad, los escenarios de amenazas para la seguridad y el modo en que aplica a la organización. Se listarán de la forma expuesta en el siguiente ejemplo: Actividad Producción, distribución y entrega Cable ARJ
Escenario
Amenaza Manipulación indebida por
Integridad de la carga
parte
de
personal
no
autorizado.
© Universidad Internacional de La Rioja (UNIR)
37
Capítulo 2: Evaluación de los riesgos de seguridad de un SGSCS
Una vez identificados, para cada actividad, los escenarios con sus respectivas amenazas, el Comité de seguridad, coordinado por el responsable de seguridad, evalúan las consecuencias de cada amenaza. Para ello aplicarán el siguiente criterio. Valor
Consecuencia Fallecimiento
Alto
Daño en activos críticos para las actividades de la organización Destrucción de un gran área de un ecosistema Mutilación e incapacidad total
Medio
Daño en activos no críticos para actividades de la organización Daño a largo plazo en un ecosistema Incapacidad temporal
Bajo
Leve perjuicio sobre activos no críticos para actividades de la organización Daño leve al ecosistema
A cada valor se le asignará un numérico, de uno a tres, siendo uno el valor «bajo» y tres el valor «Alto». Una vez clasificadas las consecuencias, el Comité de seguridad, se encargará de clasificar la probabilidad de los incidentes de seguridad. Para ello valorará el valor de eficacia de las medidas aportadas por el responsable de seguridad. De este modo el criterio a seguir, condicionado por las medidas aplicadas, sería: Probabilidad Alta
Efectividad de las medidas Las medidas implementadas para el control de la amenaza resultan inexistentes o insuficientes.
Media
Las medidas implementadas para el control de la amenaza resulta potencialmente ineficaz.
Baja
Las medidas implementadas para el control de la amenaza resulta eficaz.
A cada valor se le asignará un numérico, de uno a tres, siendo uno el valor «bajo» y tres el valor «Alto». © Universidad Internacional de La Rioja (UNIR)
38
Capítulo 2: Evaluación de los riesgos de seguridad de un SGSCS
De este modo tendremos un listado tal que: Actividad
Escenario
Amenaza
Consecuencia Probabilidad
Manipulación
Producción, distribución y
Integridad de
entrega Cable
la carga
ARJ
indebida por parte de
2
2
personal no autorizado.
La organización ha establecido como fórmula de cálculo para el riesgo derivado de dichos escenarios: Riesgo = Consecuencia x Probabilidad De este modo calcularemos todos los riesgos para todas las amenazas incluidas en cada escenario de cada actividad. Una vez obtenidos los valores y tras reflexionar sobre los requisitos legales de aplicación, política de gestión, indicadores establecidos, elementos estratégicos de aplicación, futuras líneas de negocio a desarrollar se valora la validez de los resultados obtenidos y se procede a definir el riesgo asumido por la organización. Dirección, aprobará en última instancia, el riesgo asumido. Todo este proceso será documentado en un acta de reunión con las conclusiones establecidas así como los criterios aplicados para identificar el riesgo asumido así como para las acciones a desempeñar por parte de la organización. Para el tratamiento de los riesgos a tratar se agruparán las acciones a tomar y, para cada grupo, se desarrollará una acción correctiva y/o preventiva indicando, en cada caso, la resolución a tomar con el riesgo a tratar: Tratar el riesgo. Transferir el riesgo. Terminar con la actividad.
© Universidad Internacional de La Rioja (UNIR)
39
Capítulo 2: Evaluación de los riesgos de seguridad de un SGSCS
En el caso de asumir valores de riesgo el comité de seguridad, dentro del acta, documentará los riesgos asumidos, escenarios, amenazas, probabilidad y consecuencia así como el motivo por el cual, en vista de los datos prestados, se opta por asumir el riesgo. En caso de asumir riesgos, de forma adicional, se notificará expresamente a gerencia a través de un comunicado formal. En las acciones tomadas habrán sido consensuados, por parte del comité de seguridad,
los plazos de implementación de las medidas así como sus
responsables y controles que les son de aplicación. Conforme venzan los plazos para las fases de implantación de la medida, el responsable de cada plazo, se reunirá con el responsable de seguridad con quien, bajo acta de reunión, explicará el estado de implantación de la medida junto con los problemas que haya podido encontrar en la implantación de su fase. Una vez acabadas las fases el responsable de seguridad valorará la eficacia de la medida. Tras ello se volverá a reunir el responsable de seguridad con el comité de seguridad para la re evaluación de los puntos, ahora, bajo las medidas implantadas. Si se detectase alguna evaluación deficiente se identificarán e implementarán nuevas medidas. El comité de seguridad conjunto y el responsable de seguridad se reunirán para repetir la evaluación del riesgo con periodicidad anual. Todo ello será justificado y argumentado bajo acta de reunión con fecha, identificación de participantes, motivo de reunión, conclusiones y firma de los mismos. Dichas reuniones pueden presentar una periodicidad extraordinaria caso de presentarse uno de los siguientes eventos: Cambios significativos de operación. Cambios significativos de personal. Cambios significativos de la legislación aplicable. Cambios de significativos en las rutas de transporte. Cambios significativos en las externalizaciones. Aplicación de nuevas tecnologías al proceso productivo. Reducción de recursos a comprometer para el desarrollo de la actividad. Incidencias repetitivas asociadas a un escenario.
© Universidad Internacional de La Rioja (UNIR)
40
Capítulo 2: Evaluación de los riesgos de seguridad de un SGSCS
Problemas repetitivos asociados a un escenario. Nuevas actividades dentro del ámbito. Fallos críticos de actividad detectados.
© Universidad Internacional de La Rioja (UNIR)
41