Saltar al contenido
Te encuentras en Mejores comparativas > Blog > Normas ISO 14001 y 27001, todo lo que necesitas saber

Normas ISO 14001 y 27001, todo lo que necesitas saber

Las normas ISO 9001 e ISO 27001 es una organización internacional de normalización, fundada en 1947 por la Organización Internacional de Normalización (ISO) y la Organización Mundial de la Salud (OMS). En principio, se requiere que una organización realice uno o más controles de seguridad de la información enumerados en el Anexo A del estándar ISO 26001. Estos estándares, que se convirtieron en la norma ISO 27001, son estándares internacionales enfocados en la implementación de las mejores prácticas en la protección de la información y la seguridad del público y datos e información privados.

Normas ISO 14001 y 27001, todo lo que necesitas saber

Esta publicación de blog proporciona una breve descripción general de cómo funciona ISO 14001. Describe los requisitos que debe cumplir una empresa para implementar y tener un sistema de gestión ambiental certificado según la norma ISO-14001.

Norma ISO 27001

Nacida de la norma británica BS 7799 en 1995, la norma ISO 27001 ha sufrido varias evoluciones hasta convertirse en el referente internacional de gestión de la seguridad de la información que conocemos en la actualidad.

Ampliamente adoptado en todo el mundo, es uno de los cinco estándares más populares en España, especialmente desde la entrada en vigor del RGPD en 2018. Su implementación dentro de una organización demuestra un compromiso serio con la seguridad de la información, con un marco riguroso para gestionar los riesgos y garantizar la protección de datos. Descifrado…

ÉRASE UNA VEZ… LA NORMA ISO 27001

El estándar ISO 27001 tiene sus raíces en el estándar británico BS 7799, presentado por primera vez por BSI Group en 1995. BS 7799 fue una guía de gestión de seguridad de la información que sentó las bases para lo que vendría a ser el estándar ISO 27001.

En 2000, BS 7799 se revisó y se dividió en dos partes: BS 7799-1, que se ocupaba de los requisitos del Sistema de gestión de seguridad de la información (SGSI), y BS 7799-2, que se interesaba por las recomendaciones para establecer un SGSI. En 2002, se revisó BS 7799-2 con la intención de alinearlo con los estándares internacionales de sistemas de gestión, incluidos ISO 9001 e ISO 14001.

ISO/IEC 27001 fue publicado por primera vez en 2005 por la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC) como reemplazo de BS 7799-2. En 2013, se realizó una actualización importante, fortaleciendo y modernizando el estándar de acuerdo con el panorama cambiante de la seguridad de la información.

La 27001 es una de las 5 normas que más mercado tienen en España con las ISO 9001, 14001, 45001 y 50001, especialmente desde la entrada en vigor del RGPD en 2018. De hecho, el número de certificaciones se ha multiplicado por tres en 2018 en comparación hasta 2017. Ahora se estima que el número de organizaciones certificadas aumenta cada año en un 20 %, lo que convierte a ISO 27001 en el estándar estándar de facto para la certificación de sistemas de gestión de seguridad.

¿QUÉ ES LA NORMA ISO 27001?

Este es un estándar internacional que define los requisitos para establecer y administrar un Sistema de Gestión de Seguridad de la Información (SGSI). El propósito de un SGSI es proporcionar un marco para establecer, implementar, operar, monitorear, revisar, mantener y mejorar la seguridad de la información. Este sistema se basa en un enfoque de gestión de riesgos, en el que las organizaciones identifican las amenazas a la información que poseen y ponen en marcha los controles de seguridad adecuados para mitigar o gestionar esos riesgos.

La norma ISO 27001 se distingue por su enfoque holístico de la seguridad de la información. No se limita a la tecnología de la información y los sistemas informáticos, sino que cubre todos los aspectos de la seguridad de la información, incluidos los físicos y humanos. Requiere que las organizaciones tengan en cuenta este aspecto en todos sus procesos y en todas sus actividades.

Las organizaciones que cumplen con la norma ISO 27001 pueden ser certificadas por organismos de acreditación independientes. Esta certificación demuestra que la organización ha implementado un SGSI eficaz y que está comprometida con el mantenimiento y la mejora continua de la seguridad de la información.

¿CUÁLES FUERON LOS PRINCIPALES CAMBIOS EN LA NORMA ISO 27001?

El estándar ISO 27001 ha pasado por varias revisiones desde su introducción en 2005. Las revisiones se implementan para garantizar que el estándar siga siendo relevante para el cambiante panorama dinámico de la seguridad de la información:

  1. BS 7799: El estándar ISO 27001 se basa originalmente en el estándar británico BS 7799. Introducido en 1995, BS 7799 fue un código de buenas prácticas para la gestión de la seguridad de la información;
  2. ISO/IEC 17799: En 2000, ISO adoptó una versión revisada de BS 7799-1 como la norma internacional ISO/IEC 17799, “Tecnología de la información: Código de prácticas para la gestión de la seguridad de la información”. Al mismo tiempo, BS 7799-2 introdujo un Sistema de gestión de seguridad de la información (SGSI) certificable;
  3. ISO 27001:2005: En 2005, ISO publicó ISO/IEC 27001, que reemplazó a BS 7799-2 y proporcionó un conjunto de requisitos específicos para un SGSI. Fue en ese momento que la norma adoptó el enfoque de gestión de riesgos que es fundamental para la norma ISO 27001 que conocemos hoy;
  4. ISO 27001:2013: la norma se sometió a su última revisión en 2013 para adaptarse al cambiante panorama de la seguridad de la información. Esta revisión introdujo una serie de cambios, incluido un enfoque en el liderazgo ejecutivo, un enfoque de gestión de riesgos más detallado y una mayor flexibilidad sobre los controles de seguridad que las organizaciones pueden elegir implementar. Se ha modificado la estructura de la norma para alinearla con la de otras normas de sistemas de gestión, como la ISO 9001 (calidad) y la ISO 14001 (medio ambiente), facilitando así su integración.

EL PROCESO DE CERTIFICACIÓN ISO 27001

La obtención de la certificación ISO 27001 se realiza tras un riguroso proceso que requiere una inversión de tiempo y recursos. En primer lugar, la organización debe realizar un análisis detallado de sus riesgos de seguridad de la información y establecer los controles adecuados para gestionarlos. Estos controles, que pueden incluir políticas, procedimientos, capacitación y medidas técnicas, se incorporan luego al SGSI de la organización.

Una vez que se ha implementado el SGSI, la organización debe hacerlo auditar por un organismo de certificación independiente. Esta auditoría incluye una evaluación del cumplimiento de la organización con los requisitos de la norma ISO 27001, así como una evaluación de la eficacia del SGSI en la gestión de los riesgos de seguridad de la información. Si la auditoría tiene éxito, la organización obtiene la certificación ISO 27001.

Cabe señalar que la certificación no es un fin en sí mismo, sino el comienzo de un compromiso a largo plazo con la seguridad de la información. La duración del proceso de certificación ISO 27001 varía en función de varios factores como el tamaño de la organización, la complejidad de sus sistemas de información y el nivel de preparación inicial. Tarda entre 6 meses y un año. Una vez certificadas, las organizaciones deben realizar auditorías internas periódicas y aprobar auditorías de vigilancia por parte de un organismo externo, generalmente una vez al año. La certificación debe renovarse cada tres años, con una nueva auditoría de certificación completa (o auditoría de renovación).

¿CUÁL ES EL BENEFICIO DE OBTENER LA CERTIFICACIÓN ISO 27001?

Las empresas están recurriendo a la certificación ISO 27001 por varias razones, entre ellas:

  1. Mejorar la seguridad de la información : ISO 27001 ayuda a las empresas a identificar, administrar y reducir los riesgos de seguridad de la información en un contexto donde los datos son una ventaja competitiva real;
  2. Demostrar compromiso con la seguridad: la certificación ISO 27001 es una prueba tangible de que la empresa se toma en serio la seguridad de la información. Es un medio para asegurar a los clientes, socios, proveedores y otras partes interesadas que la empresa ha implementado un sistema de gestión de seguridad de la información que cumple con un estándar reconocido internacionalmente;
  3. Obtenga una ventaja competitiva : en ciertos sectores, como el digital y la fabricación, la certificación ISO 27001 puede otorgar a la empresa una ventaja sobre sus competidores, con un impacto directo en el volumen de negocios;
  4. Cumplir con los requisitos normativos o contractuales: los requisitos de seguridad de la información nunca han sido más estrictos. Las empresas que obtienen la certificación también buscan un marco efectivo para mejorar su cumplimiento. También debe tenerse en cuenta que la certificación puede ocurrir para cumplir con los requisitos contractuales de clientes potenciales, en particular, grandes cuentas;
  5. Mejorar las operaciones internas : el proceso de lograr el cumplimiento de la norma ISO 27001 puede ayudar a las empresas a optimizar sus operaciones e identificar áreas de mejora en su búsqueda de la excelencia operativa;
  6. Gestionar las relaciones con proveedores y socios : cuando una empresa comparte información sensible con sus proveedores y socios, puede exigirles que cuenten con la certificación ISO 27001, como parte de su gestión de riesgos de terceros;
  7. Gestione los riesgos de ciberseguridad : con el aumento de las amenazas de ciberseguridad, incluidos los ataques de rebote, la certificación ISO 27001 ayuda a las empresas a implementar un enfoque holístico y estructurado para identificar, evaluar y gestionar estos riesgos.

Norma ISO 14001: implantando una gestión ambiental eficaz en la empresa

Las actividades comerciales pueden afectar el medio ambiente de diferentes maneras, ya sea en la línea de producción, la gestión de residuos o el consumo de energía dentro de las instalaciones. Es posible prevenir (y limitar) estos impactos implementando un sistema de gestión ambiental. Esto, en base a los requisitos de la norma ISO 14001. Los clientes y consumidores son cada vez más atraídos por organizaciones comprometidas con el medio ambiente. La certificación ISO 14001 es, por tanto, una oportunidad para mostrar la cara de un actor eco-responsable. Veamos en detalle de qué se trata, con ejemplos de apoyo.

Norma ISO 14001: definición

La ISO 14001 es una norma internacional que define los criterios que debe cumplir un sistema de gestión ambiental eficaz. Establece una serie de requisitos que las empresas pueden aplicar para mejorar su desempeño ambiental. Por ejemplo, fomentando el uso racional de los recursos y la gestión óptima de los residuos.

ISO 14001 es un estándar voluntario para todas las organizaciones, independientemente de la industria. Da lugar a la certificación por una organización aprobada y por un período fijo. La certificación ISO 14001 tiene como objetivo demostrar el camino recorrido por la empresa en cuanto a la consideración de las cuestiones medioambientales. Esto es lo que le permite ganarse la confianza de las partes interesadas y le da una clara ventaja competitiva.

La serie de normas 14000, de la que forma parte la ISO 14001, está dedicada a la gestión medioambiental en todos sus aspectos. Fue desarrollado por el comité técnico ISO/TC 207. Los siguientes estándares se enfocan en enfoques específicos para establecer y monitorear un sistema de gestión efectivo: comunicación, auditorías, etiquetado, etc.

La gestión ambiental y los requisitos de la norma ISO 14001

La definición de la ISO 14001 otorga un lugar privilegiado a un concepto complejo: la gestión ambiental. Un sistema de este tipo tiene como objetivo ayudar a las empresas a identificar los procesos y actividades que tienen un impacto significativo en el medio ambiente, y luego aprender a controlar este impacto desde una perspectiva holística (global) movilizando a todos los departamentos y colaboradores. En definitiva, este sistema pretende conciliar el respeto por el medio ambiente con los imperativos de la empresa en términos de funcionamiento y objetivos estratégicos.

Para ello, un sistema de gestión ambiental debe cumplir una serie de requisitos definidos por la norma ISO 14001. Estos requisitos son los mismos independientemente de la actividad de la empresa. De esta manera, todas las organizaciones pueden cumplir con este estándar.

De hecho, el estándar se basa en el principio de la rueda de Deming (Planificar/Hacer/Verificar/Actuar), que es la búsqueda de la mejora continua.

Los requisitos de la norma se refieren, entre otros:

  • El inventario de los procesos y actividades de la empresa y su impacto en el medio ambiente;
  • La implementación de una política ambiental, que define los objetivos de la empresa.
  • La planificación que enmarca el plan de acción de la empresa para cumplir con su política ambiental
  • Implementación de acciones planificadas
  • Controles y actuaciones para medir la ejecución de las actuaciones y el buen funcionamiento del sistema de gestión ambiental
  • La revisión de gestión que verifica la eficacia de la política ambiental y el cumplimiento de las actuaciones previstas con la legislación, normativa aplicable y la norma ISO 14001

Los beneficios de la certificación

Obtener la certificación ISO 14001 permite a una empresa demostrar que está comprometida con la mejora de su desempeño ambiental. También contribuye a:

  • Alcanzar los objetivos estratégicos teniendo en cuenta las cuestiones ambientales;
  • Reducir los costos de los procesos y el consumo de energía y, al hacerlo, beneficiarse de una ventaja competitiva;
  • Fortalecer la participación y el compromiso de las partes interesadas;
  • Dar una imagen eco-responsable de la empresa a los ojos de socios, clientes y consumidores.

La certificación ISO 14001 es emitida por una organización acreditada que certifica la conformidad del sistema de gestión ambiental de la empresa con los requisitos de la norma. La organización también realiza anualmente una auditoría dentro de la empresa, y se esfuerza por controlar el cumplimiento de la normativa vigente, la política ambiental, la norma ISO 14001 y  la mejora del desempeño ambiental realizada a lo largo del tiempo.

Ejemplos concretos de puntos que se pueden mejorar en el desempeño ambiental

La aplicación de ISO 14001 puede tomar muchas formas y abarcar una amplia variedad de procesos y actividades. Estos son algunos ejemplos de puntos que una empresa puede mejorar para cumplir con la norma ISO 14001:

  • Tratamiento de residuos, en particular mediante la instalación de un sistema de clasificación selectiva dentro de las instalaciones y mediante el reciclaje de determinados residuos (como consumibles informáticos).
  • Gestión energética interior, gracias a gestos muy sencillos como la adopción de bombillas de bajo consumo en el local.
  • Reducir el consumo de papel, estableciendo límites estrictos en la impresión y copia.
  • La compra de insumos ecológicos, por ejemplo a través de la elección de papel reciclado o eco-responsable.

Son “pequeños” gestos a realizar en el marco de un sistema de gestión ambiental eficaz, pero sin embargo imprescindibles. El objetivo no es necesariamente obtener la certificación ISO 14001, sino avanzar hacia una organización respetuosa con el medio ambiente… y que se beneficie de las múltiples ventajas relacionadas.