ISO 28000:2007

Sistemas de Gestión de la Seguridad

l C d d S i i ten la Cadena de Suministro

Francisco RuizDirector de ProyectosABS Quality Evaluations Inc.

V 1.01

¿Quién es ABS?

AMERICAN BUREAU OF SHIPPING (ABS) Desde 1862AMERICAN BUREAU OF SHIPPING (ABS) Desde 1862

ABS BUREAUABS GROUP OF COMPANIES

Evaluaciones de Riesgos naturales, humanos o tecnológicos en operaciones e infraestructuras Software customizado Auditorias y Certificación de en operaciones e infraestructuras. Software customizado. Ingeniería Estructural y Control de Calidad para diseño, modificación, actualización o rehabilitación de infraestructuras.. Gestión de Riesgos: Mitigacion y control de riesgos. Continuidad de negocio. Preparación ante emergencias y

ud o as y Ce cac ó deSistemas de Gestión.

Formación

V 1.02

g p g ydesastres. Análisis de vulnerabilidad a explosiones y ataques terroristas.

ABS QE fue la primeraABS QE fue la primera

entidad de certificación

tifi b len certificar en base a la

norma ISO 28000

Año 2008

V 1.03

ObjetivosObjetivos

• Unificar conceptosp

• Explicar la norma ISO 28000:2007

• Enfoque de Riesgos

• Presentar los beneficios de la implantación

V 1.04

ConceptosConceptos

Cadena de suministro

Conjunto relacionado de recursos y

i lprocesos que comienza con la

provisión de materias primas y se

extiende hasta la entrega de

productos o servicios al usuario

final a través de los medios de

transporte

V 1.05

ConceptosConceptos

Seguridad

Resistencia al acto o actos

i t i d t i dintencionados y no autorizados,

destinados a causar daño o

perjuicio a la cadena de suministro

o a través de ella.

¿y no intencionados?

V 1.06

¿y

ConceptosConceptos

Gestión de la Seguridad

Actividades y prácticas sistemáticas y

coordinadas a través de las cuales unacoordinadas a través de las cuales una

organización gestiona de manera

ó ti i lóptima sus riesgos y las amenazas e

impactos potenciales asociados

V 1.07

ISO 28000. ¿Qué es?ISO 28000. ¿Qué es?

• Norma internacional que especifica losrequisitos de un sistema de gestión de laq gseguridad de la cadena de suministro

• Basada en• Basada en– La gestión del riesgo– El ciclo de mejora continua de Demming

• Integrable con otros sistemas de gestiónIntegrable con otros sistemas de gestión(calidad, medio ambiente, etc.)

V 1.08

ISO 28000. Campo de Aplicaciónp p

• De aplicación a organizaciones decualquier tamaño, en:q ,– La fabricación

El servicio– El servicio– El almacenaje– El transporte

• En cualquier etapa de la cadena deEn cualquier etapa de la cadena deproducción o suministro

V 1.09

ISO 28000. Ciclo de DemmingISO 28000. Ciclo de Demming

V 1.010

ISO 28000. Ciclo de DemmingISO 28000. Ciclo de Demming• PlanificarPlanificar

− Alineamiento Negocio – SeguridadH• Hacer− Implantar medidas de seguridadg

• Verificar¿Se hacen las cosas como se han definido?− ¿Se hacen las cosas como se han definido?

− ¿Se mitiga el riesgo en el nivel supuesto?• Actuar

− Corregir y mejorar

V 1.011

Corregir y mejorar

ISO 28000. PlanificarISO 28000. Planificar

• Política de Seguridad• Evaluación y Planificación de RiesgosEvaluación y Planificación de Riesgos

– Análisis de RiesgosM bj ti t– Marcar objetivos y metas

• Todo objetivo está compuesto por una serie de t id l d f lmetas, que unidas y alcanzadas conforman el

objetivoG tió d l i– Gestión del riesgo

V 1.012

ISO 28000. HacerISO 28000. Hacer

• Responsabilidades de seguridad

Competencia formación y concienciación• Competencia, formación y concienciación

• Control operacional• Control operacional

− Para las actividades relacionadas con laPara las actividades relacionadas con la

seguridad y la gestión del riesgo

• Respuesta ante incidentes

V 1.013

ISO 28000. VerificarISO 28000. Verificar

• Medición del desempeño Cuadro de

Mando

• Estudio de fallos e incidentes

• Auditorías

R i ió l Di ió• Revisión por la Dirección

V 1.014

ISO 28000. ActuarISO 28000. Actuar

• Mejora continua

• Planes de seguridad

• Aumento de eficacia y eficiencia

• Alineación con los requisitos del negocio

V 1.015

ISO 28000. Familia de NormasISO 28000. Familia de Normas

• ISO 28000:2007– Define los requisitos de un sistema de gestión de

seguridad. Es la norma certificable

• ISO 28001:2007• ISO 28001:2007– Mejores prácticas para implementar evaluaciones y

l d id dplanes de seguridad

• ISO 28003:2007ISO 28003:2007– Requisitos para entidades de auditoría y certificación

V 1.016

ISO 28000. Familia de NormasISO 28000. Familia de Normas

• ISO 28004:2007– Guía para la implementación de ISO 28000

• ISO/PAS 28005:2009– Aplicaciones informáticas para el despacho de

aduanas.– Contiene las especificaciones técnicas para el

correcto intercambio de información entre lab ió l t l t id d tembarcación, el puesto y las autoridades costeras

V 1.017

ISO 28000. Normas Relacionables

• ISO 20858:2007• ISO 20858:2007– Evaluaciones y Plan de Seguridad de la instalación

Marítima y PortuariaMarítima y Portuaria

• BS 25999-2:2007– Gestión de la Continuidad de Negocio

• ISO/IEC 27001:2005G tió d l S id d d l I f ió− Gestión de la Seguridad de la Información

Además de sistemas de gestión de calidad y medio ambiente

V 1.018

Análisis de RiesgosAnálisis de Riesgos

• La organización debe de establecer y mantener

procedimientos para la identificación y evaluación de lasprocedimientos para la identificación y evaluación de las

amenazas a la seguridad y su gestión así como la

identificación e implementación de las medidas de

control necesarias.

• Los métodos de identificación de amenazas y riesgos,

los de evaluación y los de control deberían de ser

apropiados a la naturaleza y escala de las operaciones.

V 1.019

p p y p

Análisis de RiesgosAnálisis de Riesgos

La evaluación de riesgos debe incluir:• Amenazas y riesgos de fallo físico.• Amenazas y riesgos operacionales.• Sucesos naturales que conviertan las medidas en

i fiineficaces.• Factores ajenos al control de la organización.

A i d l f d• Amenazas y riesgos de las partes afectadas.• Diseño e instalación del equipo de seguridad.• Gestión de la información y las comunicaciones.• Amenazas a la continuidad de las operaciones.

V 1.020

Análisis de RiesgosAnálisis de Riesgos

V 1.021

Análisis de RiesgosAnálisis de RiesgosIdentificar las actividades definidas en el alcancego

s

Identificar controles de seguridad presentes

n de

ries

Identificar escenarios de amenazas

y ge

stió

nne

xo B

)

Determinar impacto del escenario

D t i b bilid d d i d l inális

is y

2800

1 (A

n

Determinar probabilidad de ocurrencia del escenario

Determinar si las medidas de seguridad son adecuadasgía

de a

ISO

2

g

Desarrollar medidas adicionales de seguridad

Met

odol

o

V 1.022

M

Operador Económico Autorizadop

• Lo que dice el reglamento europeo1875/2006– Habla de un marco común de gestión de riesgos

A t 14 d i– Art. 14 decies• Disponer de medidas apropiadas de seguridad de las

tecnologías de la informacióntecnologías de la información

– Artículo 14 duodeciesEdifi i [ ] i t il l• Edificios […] que resistan un acceso ilegal

• Medidas de control de acceso• Controles de seguridad de los posibles futuros empleados

V 1.023

Controles de seguridad de los posibles futuros empleados

Operador Económico Autorizadop

– Artículo 14 duodecies (sigue)

• Programas de sensibilización en seguridad• Programas de sensibilización en seguridad

• Ser titular de un certificado de protección o

seguridad internacionalmente reconocido […] o de

una norma internacional de la Organizaciónuna norma internacional de la Organización

Internacional de Estandarización (ISO). No es

requisito

V 1.024

Operador Económico Autorizadop

• Lo que dice manual del OEA (Dpto. deAduanas))– Todo OEA debería incitar a sus socios comerciales a

que refuercen la seguridad de la parte de la cadena

de suministro en la que participen

– Entre los criterios para la concesión del estatuto de

OEA […] se contarán […] unos niveles de seguidad

adecuados.

V 1.025

Operador Económico Autorizadop

• Lo que dice manual del OEA (sigue)– Las medidas de protección y seguridad deben estarLas medidas de protección y seguridad deben estar

presentes en todas las áreas de la empresa.– Beneficios OEA Seguridad

• Notificación previa de controles• Conjunto reducido de datos• Menores controles físicos y documentales• Prioridad de controles• Posibilidad de designar un lugar específico para

V 1.026

tales controles

BeneficiosBeneficios

Ali i t N i S id d Alineamiento Negocio - Seguridad

Mejora la competitividad e imagen de las empresas

Amplía las oportunidades de negocios en mercados Internacionales.Amplía las oportunidades de negocios en mercados Internacionales.

Reduce los riesgos asociados al comercio internacional.

Fomenta un ambiente de trabajo seguro.

Mejora el control y la trazabilidad de su cadena logística

Permite garantizar que se llevan a cabo operaciones para el control de los riesgos y la implantación de medidas que los mitiguen.implantación de medidas que los mitiguen.

Es posible certificar por una tercera parte, que el sistema de gestión de la seguridad de la cadena de suministro de la organización se lleva bajo los estándares internacionales establecidos en la norma ISO 28000.internacionales establecidos en la norma ISO 28000.

Aporta un valor agregado para la organización en sus operaciones comerciales.

Poder comunicar a clientes, autoridades e inversores la implantación del sistema de tió d l id d tili l h i t titi dif i l

V 1.027

gestión de la seguridad y utilizarlo como herramienta competitiva y diferencial.

¡ MUCHAS GRACIAS !¡ MUCHAS GRACIAS !

V 1.028

ABS Quality EvaluationsInformación de contacto:

Francisco RuizFrancisco RuizDirector de ProyectosyABS Quality EvaluationsOrense 58, 11 AMadrid 28020Phone: 91 555 25 62E-mail: frRuiz@eagle.org

V 1.029