José Mª Zubieta Guillén
Gestión de la Seguridad para la Cadena de Suministros: ISO 28000
Gestión de la Seguridad para la
Cadena de Suministros ISO 28000
José María Zubieta Guillén
Gestión de la Seguridad para
la Cadena de Suministros
ISO 28000
Reservados todos los derechos. Está prohibido, bajo las sanciones
penales y el resarcimiento civil previstos en las leyes, reproducir,
registrar o transmitir esta publicación, íntegra o parcialmente, por
cualquier sistema de recuperación y por cualquier medio, sea
mecánico, electrónico, magnético, electroóptico, por fotocopia o por
cualquier otro, sin la autorización previa por escrito de UNIR.
© José María Zubieta Guillén
© Universidad Internacional de La Rioja
Gran Vía Rey Juan Carlos I, 41
26002 Logroño – La Rioja
© Edición y composición: UNIR
Impreso en España – Printed in Spain
ÍNDICE
Capítulo 1. Sistemas de gestión de seguridad de la cadena de suministro…..……..………..…………… 1
Capítulo 2. Evaluación de los riesgos de seguridad dentro de un SGSCS....…………..……………..… 22
Sistemas de gestión de seguridad de la cadena de suministro
Capítulo 1
Capítulo 1: Sistema de gestión de seguridad de la cadena de suministro
© Universidad Internacional de La Rioja (UNIR)
1.1. Introducción
ISO 28000 nace como una respuesta reglada a los actos terroristas causantes del
perjuicio de la seguridad de la cadena de suministro internacional. Esta
situación constituía una grave amenaza no solo para el comercio internacional en sí
mismo sino al crecimiento económico mismo de los países comerciantes.
De un modo u otro todas las organizaciones confían en su cadena de suministro
como medio para garantizar su continuidad de negocio y valorar su vulnerabilidad en
caso de ver su suministro irrumpido.
Por todo ello la necesidad de asegurar la cadena de suministro constituye día a día
una actividad en auge. Motivado principalmente por la economía global y el flujo
de transporte de mercancías en continua evolución debemos ver la garantía de la
seguridad en la cadena de suministro constituye un elemento básico para la
continuidad misma de las actividades económicas de nuestra organización y llevado
esto a un estamento mayor para el adecuado funcionamiento y desarrollo de la
sociedad.
Los distintos orígenes de las amenazas a las que se ven sometidas nuestras cadenas de
suministros han obligado tanto a gobiernos como a empresas a moverse y
posicionarse dado que dichas amenazas, como bien hemos mencionado
anteriormente, tienen raíces en el terrorismo y el crimen organizado. Esto ha
sido el catalizador de distintas iniciativas que han intentado surgir como respuesta a
ésta situación.
Así nace C-TPAT, Customs-Trade Partnership Against Terrorisme, Aduanas y Socios
de Negocios contra el Terrorismo. Constituye una iniciativa conjunta del Gobierno de
los EE.UU. conjunto a empresas del sector. Su objetivo es desarrollar un refuerzo a la
seguridad de las cadenas de suministro transfronteriza a través de la cooperación
comercial.
La Unión Europea, por otro lado, ha creado la figura del operador económico
autorizado como elemento capaz de desarrollar respuesta ante los riesgos a los que
los países miembros se enfrentan.
2
Capítulo 1: Sistema de gestión de seguridad de la cadena de suministro
© Universidad Internacional de La Rioja (UNIR)
Se debe a que para ello es necesario ir más allá de los controles aduaneros
preestablecidos incrementando así el papel de las aduanas en la seguridad de la
cadena logística internacional.
Con estas actuaciones se busca, más allá de minimizar el impacto de la amenaza que
supone el terrorismo, colaborar en la lucha contra el crimen organizado y
defender a los ciudadanos en un ámbito mayor tales como dar protección a los
consumidores y mejorar la protección medio ambiental.
C-TPAT y el Operador Económico Autorizado no son las únicas iniciativas
existentes. La Organización Mundial de Aduanas, así como la asociación TAPA
(Asociación para la Protección de Activos Transportados), constituye un foro en donde
se abarcan a los proveedores logísticos, agencias gubernamentales, principales
fabricantes, empresas de transporte, cuerpos del orden público y otras partes
interesadas para poder reducir las pérdidas en la cadena logística y de distribución.
A través de estas iniciativas se busca cubrir ciertas necesidades de seguridad en la
cadena de suministro. Pero identificar medidas y comités no es suficiente;
debemos gestionar. De este modo cobra fuerza la imagen de una gestión basada en un
estándar internacionalmente reconocido como lo es ISO 28000 que nos permite
realizar un sistema de gestión global de la seguridad de la cadena de suministros.
Al desarrollar este estándar, las empresas de logística y trasporte han encontrado un
arma para englobar la gestión de seguridad de modo que son capaces de
mejorar la seguridad global de las cadenas de suministro. Constituye un sistema de
gestión integrable con otros estándares tales como: ISO 9001, 14001, 27001, etc. así
como con otros programas, tanto obligatorias como voluntarias, tales como: C-TPAT,
OEA y TAPA.
Aquellas organizaciones capaces de ver la seguridad no como un gasto sino como un
valor añadido para su organización consiguen despuntar en el mercado como
una organización con una nueva ventaja competitiva y una mayor diferenciación en el
mercado.
3
Capítulo 1: Sistema de gestión de seguridad de la cadena de suministro
© Universidad Internacional de La Rioja (UNIR)
La implantación de la norma ISO 28000 en la organización revierte los siguientes
beneficios:
Garantía de una sistemática de operaciones orientadas al control de los riesgos
así como la implantación de medidas para su mitigación.
Optimización de los procesos de la organización con la consecuente mejora de
costes, seguridad, eficacia, etc.
Asegura el cumplimiento con los requisitos exigidos por las principales
iniciativas internacionales.
Da valor añadido a la empresa en sus operaciones comerciales.
Da a la empresa una herramienta competitiva y diferencial que puede ser
esgrimida como arma comercial ante clientes, autoridades e inversores.
Recordemos que todo lo anteriormente aprendido sobre seguridad de la información
sigue siendo válido en el ámbito de la norma ISO 28000 al ser estándares
perfectamente integrables.
La norma ISO 28000, tal como ella misma indica, es aplicable a organizaciones de
cualquier tamaño y tipo en la fabricación, servicio, almacenaje o transporte en
cualquier etapa de la cadena de producción o suministro.
4
Capítulo 1: Sistema de gestión de seguridad de la cadena de suministro
© Universidad Internacional de La Rioja (UNIR)
1.2. Elementos necesarios para la implementación de la norma
ISO 28000
Bajo la cláusula 4 de la norma descansa la obligatoriedad de establecer, documentar,
implementar, mantener y mejorar un sistema de gestión de seguridad que
puede ayudar a la organización a cumplir con los requisitos, leyes y regulaciones
sobre seguridad.
Tanto el detalle como la complejidad aplicada al sistema de gestión, así como la
cantidad de documentación desarrollada, recursos asignados dependerá tanto del
tamaño como la complejidad de la compañía así como de la naturaleza de sus
actividades.
Al igual que ocurre con la norma ISO 27001 no existe obligatoriedad de
implementar la norma 28000 a toda la organización si bien es cierto que, para su
certificación, debe estar bajo su alcance alguna de sus actividades principales.
A la hora de elegir el alcance de la norma deberíamos integrar dentro del mismo las
actividades principales de la organización así como el resto de actividades críticas
requeridas para su funcionamiento o bien actividades que puedan afectar a la seguridad
de empleados y/o partes interesadas.
Política de Seguridad según ISO 28000
Constituye la sub cláusula 4.2 de la norma. Constituye una declaración clara del
compromiso de la alta dirección en materia de seguridad. Marca las tanto las
directrices como los principios en dicha materia para la Organización. Determina
los objetivos globales en materia de seguridad así como su responsabilidad a lo largo
de la empresa.
La política de seguridad de la organización puede incluir información crítica o
clave para la organización por lo que suele ser habitual publicar una segunda política
general resumen de la anterior que pueda hacerse pública.
5
Capítulo 1: Sistema de gestión de seguridad de la cadena de suministro
© Universidad Internacional de La Rioja (UNIR)
Las entradas típicas para una política de estas características son:
El resto de políticas u objetivos de la organización críticas para su negocio.
Actividades tanto pasadas como presentes en materia de seguridad de la empresa.
Necesidades de los grupos de interés de la compañía: Accionistas, clientes, etc.
Oportunidades de mejora para la organización.
Recursos a comprometer para su consecución.
Contribución de los empleados, contratistas y terceros.
La alta dirección, para una formular y comunicar una Política de Seguridad
eficazmente, debería:
Adecuarla a la naturaleza y los riesgos de seguridad de la organización
mediante una identificación de amenazas, evaluación y gestión del riesgo como
núcleo de gestión del sistema de seguridad.
Manifestar un compromiso con la mejora continua: Vinculándolo con las
responsabilidades legales, nacionales, regulatorias así como cualquier pauta
adicional de aplicación por la organización para la mejora del desempeño en materia
de seguridad de la cadena de suministro. Esto debería hacerse eco a su vez a través
de los objetivos de seguridad y gestionarse conforme el programa de gestión de
seguridad.
Incluir un compromiso para dar, al menos, conformidad a las regulaciones
aplicables y requisitos adicionales contemplados por la organización en materia de
seguridad. Por ejemplo el marco normativo WCO SAFE.
Documentar, implementar y mantener. La eficacia de la política de seguridad
radica en su documentación y revisión periódica para la ajustarse a las nuevas
necesidades de la organización en materia de seguridad.
Comunicarse a todos los empleados: Los empleados deben participar y
comprometerse activamente con la seguridad. Deben ser conscientes de los efectos
sobre la seguridad de la compañía así como su propio trabajo que tienen sus
acciones.
6
Capítulo 1: Sistema de gestión de seguridad de la cadena de suministro
© Universidad Internacional de La Rioja (UNIR)
Estar disponible: Cualquier grupo de interés debería ser capaz de consultar la
política activamente para el correcto desempeño de su actividad. Ya sea interno o
externo. De ahí la idea de la «doble política» anteriormente expuesta.
Revisarse periódicamente: Debe adaptarse a los cambios técnicos,
reglamentarios, de requisitos de negocio, etc. de la organización. La política de
seguridad constituye un documento vivo y por tanto su actualización resulta
indispensable.
Evaluación de riesgos
Dado que el próximo capítulo constituye un análisis pormenorizado sobre cómo
implementar en una organización un método de evaluación de riesgos no nos
extenderemos más en este apartado.
Cumplimiento legal y reglamentario
La organización debe ser consciente del modo en que la normativa legal así como el
resto de reglamentación aplicable afecta a su actividad y comunicar, dichos
requisitos, al personal oportuno.
La cláusula 4.3.2 ampara dicho requisito. Bajo esta cláusula buscamos implementar
el conocimiento y la comprensión de las responsabilidades heredadas por las
leyes y reglamentos.
Debemos desarrollar un procedimiento para lo cual podríamos emplear las siguientes
elementos a considerar:
Detalles de la cadena de suministro de la organización.
Resultados de las amenazas identificadas, la evaluación y gestión del riesgo.
Buenas prácticas.
Requisitos legales, asociaciones de comercio, etc.
Listado de fuentes de información.
Normas de aplicación.
Requisitos de los grupos de interés.
Procesos para el desempeño de la cadena de suministro.
7
Capítulo 1: Sistema de gestión de seguridad de la cadena de suministro
© Universidad Internacional de La Rioja (UNIR)
Una vez identificados los objetivos de nuestro procedimiento podemos definir los
medios de tratamiento de la información tales como los soportes. Otra práctica
habitual es definir los accesos a la misma.
Nuestro procedimiento debería ser capaz de establecer la implementación de
controles adecuados para la nueva legislación y reglamentación de seguridad cuando
aparezca.
Objetivos desarrollados para la gestión de la seguridad de la cadena de
suministro
Cubierto por la sub cláusula 4.3.3 se describe cómo han de establecerse los
objetivos de la empresa asociados a esta norma.
Los objetivos de seguridad deben estar alineados con la política de seguridad de la
compañía. Los objetivos deben ser medibles y emplearse allí donde sea necesario
para la organización.
Para la organización establecer objetivos debemos tener en consideración:
Políticas y objetivos generales de la organización. Líneas claves de actuación,
líneas estratégicas, etc.
Política de seguridad así como el compromiso con la mejora continua.
Resultados de las amenazas de seguridad, evaluación y gestión de riesgo.
Requisitos tanto legales como reglamentarios
Tecnología aplicable a la cadena de suministro.
Requisitos financieros, operacionales y comerciales.
Requisitos de los grupos de interés y los empleados.
Retroinformación del sistema de gestión, evaluaciones y actividades de mejora
del lugar del trabajo.
Análisis de objetivos anteriores.
Acciones correctivas y preventivas previas. Incidentes y no conformidades.
Resultado de la revisión por la dirección.
Como podemos apreciar la norma ISO 28000 establece una sinergia que perdura a
través de sus apartados. Al establecer un ciclo de gestión basado en el PDCA las salidas
de un proceso constituyen entradas del siguiente.
8
Capítulo 1: Sistema de gestión de seguridad de la cadena de suministro
© Universidad Internacional de La Rioja (UNIR)
Tras ello deberíamos ser capaces de identificar, establecer y priorizar los
objetivos de seguridad. Para ello debemos considerar cuantas fuentes de
retroinformación podamos. Muchas veces la gestión de incidencias al dar soporte a
tratamiento con terceros aporta un gran valor añadido a éste respecto.
La evolución de los objetivos de gestión de la seguridad de la cadena de suministro
deberían ser revisados periódicamente para analizar tanto su evolución como su
validez.
Los objetivos de seguridad deberían englobar:
o Seguridad Corporativa: Objetivos de alto nivel para la compañía.
o Objetivos Específico: De más bajo nivel y más cercano a la actividad in situ.
Los objetivos de seguridad corporativa suelen ir vinculados a planes que por tiempo
e inversión suelen retrasarse su implementación y suelen incluir políticas generales
de la corporación. Los objetivos específicos son mucho más cercanos a la
actividad como, por ejemplo, la disminución de incidencias relativas a un evento de
seguridad.
Cada objetivo debería tener asociado indicadores cuando corresponda. La evolución de
los indicadores será el semáforo que marque la evolución de dichos objetivos. Los
objetivos deben ser razonables y alcanzables tanto en su consecución como en su
monitorización. Deben encontrarse planificados.
Dependiendo del tamaño de la organización, los objetivos, se descompondrán en
metas. Deberíamos identificar la interconectividad existente entre las metas y los
objetivos de seguridad.
Se deben comunicar los objetivos al personal de la organización y ser parte de los
programas de gestión de la misma.
Metas
Amparado en la cláusula 4.3.4 de la norma se definen los requisitos a emplear por
el sistema de gestión para su definición e implementación.
9
Capítulo 1: Sistema de gestión de seguridad de la cadena de suministro
© Universidad Internacional de La Rioja (UNIR)
Constituyen métricas parciales para el análisis de la implementación y evolución de
los objetivos dentro de una horquilla temporal. Las entradas que deberían considerar
las metas de la organización son los mismos que constituyen para los objetivos.
Las metas siempre deberán ser alcanzables al igual que los objetivos a los que están
asociados. Los programas de seguridad deberían incidir en las metas a aplicar así como
en el método de implementación y medición a emplear. Deben ser específicas,
medibles y estar siempre planificadas bajo un horizonte temporal.
Debemos estar atentos a la retroinformación específica de las metas, esto es, estar
atentos a cuanta información tal como incidentes de actividades sobre las que incide
directamente la meta. Debido a la relación causa- efecto establecida entre
objetivos y metas debemos valorar la información obtenida de las metas para valorar
los objetivos. Puede ser que a tenor de los datos obtenidos de las metas descubramos
fallos en la planificación de los objetivos.
Cuando analicemos las metas, necesariamente, deberíamos analizar los objetivos a los
que están asociados. Al modificar una meta debemos valorar el efecto potencial que
ocasionará sobre el objetivo.
Deberemos definir indicadores oportunos para cada meta de seguridad. Cada
indicador debe mostrarnos un seguimiento veraz de la implementación de las metas.
Deberíamos definir un período de tiempo en el que alcanzar la meta. Debemos
comunicar las metas al personal oportuno como parte de la información referida a
sus funciones y responsabilidades.
Programas
Constituyen la relación establecida entre metas y objetivos. Cada programa describe el
modo en que la organización materializará tanto sus objetivos como sus
compromisos de su política en acciones claras para conseguir la consecución tanto de
metas como objetivos de seguridad.
Los programas implicarán el desarrollo de estrategias y planes de acción a
desarrollar. Todo ello debe estar documentado y comunicado.
10
Capítulo 1: Sistema de gestión de seguridad de la cadena de suministro
© Universidad Internacional de La Rioja (UNIR)
Debe haber un seguimiento, registro y revisión de los programas desarrollados.
Deben considerar en los resultados establecidos por las amenazas, riesgos
identificados y la evaluación de riesgo.
Las entradas a aplicar a los programas serían:
Los objetivos y metas de seguridad.
Requisitos legales y reglamentarios.
Amenazas, evaluación y gestión del riesgo.
Actividades de la organización.
Actividades de supervisión y mejora del lugar de trabajo.
Nuevas tecnologías aplicables al negocio.
Mejora continua.
Recursos disponibles para la obtención de los objetivos.
Para implementar el programa debemos establecer:
o Responsabilidades para lograr los objetivos.
o Medios para lograr los objetivos.
o Espacio temporal para lograr los objetivos.
Debemos considerar reducir las amenazas a través del desarrollo e
implementación de soluciones procedimentadas y/o tecnológicas así como analizar qué
han hecho empresas de similar naturaleza en situaciones similares. Para ello debemos
considerar las limitaciones financieras, operacionales y comerciales de la
organización así como los límites establecidos por los grupos de interés de nuestra
compañía.
La planificación de tareas debe realizarse de manera unitaria para cada tarea
dentro del plan identificando su responsable. Debemos asociar a cada tarea un grupo
de recursos.
El programa deberá considerar allí donde se incurra en alteraciones o
modificaciones significativas en las prácticas de trabajo, procesos, equipos o medios,
deberá identificar la amenaza para la seguridad que ello supone y evaluar su riesgo.
Debe analizar los cambios esperados.
11
Capítulo 1: Sistema de gestión de seguridad de la cadena de suministro
© Universidad Internacional de La Rioja (UNIR)
Autoridades y responsabilidades
Desarrollado a través de la sub cláusula 4.4.1 de la norma se definen los requisitos para
establecer y mantener la estructura necesaria en cuanto a responsabilidades.
Para realizar una gestión de seguridad en la cadena de suministro es necesario definir,
documentar y comunicar los roles y responsabilidades del personal que afecte a dicha
seguridad.
En aquellas tareas críticas de seguridad deberíamos emplear solo personal propio de
seguridad y dotarles de los recursos necesarios para su ejecución.
Debemos considerar para la definición de roles y responsabilidades:
Estructura de la compañía.
Resultados de los riesgos identificados, evaluados y controlados.
Metas, objetivos y programas de seguridad.
Requisitos legales y reglamentarios.
Descripción de las actividades de la organización.
Personas identificadas como personal de seguridad que necesiten o hayan recibido
autorización para el desempeño de actividades de seguridad.
Debemos definir las responsabilidades de todo el personal que afecten al sistema
de gestión de seguridad. En dichas definiciones debemos dejar claros los límites de
cada puesto de trabajo.
Recordemos que la seguridad es responsabilidad de todos. Idea que debe ser
comunicada, mantenida y publicada a todos los niveles de la organización así
como formar parte de las obligaciones de los perfiles de la compañía.
La alta dirección debería recibir la responsabilidad de la definición de la Política de
seguridad de la organización y la responsabilidad de que se implante el sistema de
gestión de la seguridad. Deberíamos definir a tal efecto las funciones y
responsabilidades del representante de la dirección.
El representante de la gestión de la seguridad debería ser responsable de la
implementación y documentación del sistema de gestión de la seguridad. Debe
ser responsable de mantener el acceso por parte de la alta dirección al mismo.
12
Capítulo 1: Sistema de gestión de seguridad de la cadena de suministro
© Universidad Internacional de La Rioja (UNIR)
También debe ser apoyado por el resto de la estructura para las actividades de
seguimiento y mejora en materia de seguridad. Debería informar de la evolución de los
objetivos y participar de las revisiones de dicho sistema de gestión.
Para documentar los roles y responsabilidades de la organización podemos
definirlos en los siguientes documentos:
Manual del sistema de gestión.
Procedimientos y descripciones de actividades.
Formación de bienvenida.
Perfiles de RRHH
Típicamente se generan perfiles para todos los ámbitos de gestión de la
organización, no sólo seguridad, se implementan a través de un procedimiento de
RRHH y se comunican conforme a la formación de bienvenida.
Los roles y responsabilidades que afecten a la seguridad de la organización deben
comunicarse a los afectados, indistintamente del documento oficial, tanto para
externos como para internos.
Recursos
La dirección deber garantizar los recursos adecuados para operar las actividades
referentes a la seguridad en la cadena de suministro. Esto incluye:
Equipos.
Recursos humanos
Formación.
Deben ser suficientes para desarrollar no solo las actividades in situ de seguridad sino
los programas asociados incluyendo tanto su medición como la supervisión del
desempeño.
Podemos comparar los resultados de las mediciones con los logros obtenidos como
una medida parcial del desempeño de la organización.
13
Capítulo 1: Sistema de gestión de seguridad de la cadena de suministro
© Universidad Internacional de La Rioja (UNIR)
Compromiso de la dirección
La dirección de la empresa, con la gerencia como uno de sus máximos exponentes, debe
demostrar un claro compromiso con la seguridad. Para ello la revisión por la
dirección es una medida probatoria pero no la única posibilidad a implementar.
La implicación de la dirección en el análisis del desempeño de la empresa así como
personarse en los emplazamientos de la misma pueden ser unas buenas prácticas
que den resultados en cuanto a la mejora no solo de la seguridad sino del desempeño
general de la compañía.
Formación y competencias
La formación en materia de seguridad es una de las actividades con mayor
controversia en los sistemas de gestión de seguridad. A través de la sub cláusula 4.4.2
de la norma se describe los requisitos para dotar formación al personal de la compañía
en materia de seguridad.
Como hemos hablado con anterioridad no hay nada más peligroso que la
desinformación. La frase más típica ante un problema es «yo no sabía...» Pero ISO
28000 favorece la implementación de sistemáticas capaces de asegurar la
competencia del personal en materia de seguridad así como la obligatoriedad de
mostrar consciencia de los riesgos de seguridad a los que se ven potencialmente
afectados.
Para la definición de un proceso correcto de formación, más allá de lo anteriormente
expuesto, deberíamos considerar:
Modos para identificar de forma periódica la toma de conciencia y
competencias de cada perfil en materia de seguridad.
Modos para identificar y solucionar las deficiencias de formación del personal de
la organización en materia de seguridad.
Dar la formación necesaria del modo correcto con la periodicidad adecuada.
Evaluar a las personas de modo que podamos asegurarnos el conocimiento que
han adquirido, su competencia así como su mantenimiento.
Mantener cuantos registros sean necesarios de la formación y competencia del
personal de la organización.
14
Capítulo 1: Sistema de gestión de seguridad de la cadena de suministro
© Universidad Internacional de La Rioja (UNIR)
Debería determinarse un plan de formación y sensibilización para la organización de
modo que podamos, de forma continuada, informar y formar al personal de:
o Conciencia de los riesgos y amenazas de seguridad.
o Roles y responsabilidades en materia de seguridad.
o Formación continua para las actividades desarrolladas por cada individuo.
o Formación en materia de seguridad que afecte a su puesto.
o Formación en sus competencias dentro del sistema de gestión de seguridad
dentro de la cadena de suministro.
o Formación para personal externo.
o Protocolos de actuación ante amenazas y riesgos.
Comunicación
Como se ha visto anteriormente a lo largo de este capítulo la organización debe
comunicar de forma adecuada la información oportuna al personal adecuado
todo ello se recoge a través de la sub cláusula 4.4.3 de la citada norma.
A la hora de establecer los procedimientos de información la organización debe
considerar los elementos de los que informar:
Política y objetivos de seguridad.
Documentación del sistema de gestión de seguridad.
Identificación de riesgos de seguridad, evaluación de riesgos y procedimientos de
control de riesgo.
Roles y responsabilidades del personal en materia de seguridad.
Consultas formales de seguridad.
Planificación de formación.
Información oportuna adicional; reglamentaria, legal, de grupos de interés, etc.
Sería conveniente la implementación de un procedimiento documentado y/o
protocolo de comunicación entre las partes de forma que la organización pueda
transmitir estos datos tanto dentro como fuera de la misma según sea oportuno.
De este modo la organización podrá obtener una retroalimentación a través de las
consultas realizadas en materia de seguridad por parte tanto de personal interno como
externo.
15
Capítulo 1: Sistema de gestión de seguridad de la cadena de suministro
© Universidad Internacional de La Rioja (UNIR)
Requisitos para la documentación del sistema de gestión de seguridad de la
cadena de suministro
Al igual que otros sistemas de gestión, ISO 28000, a través de su sub cláusula 4.4.4
establece los requisitos para establecer la documentación del sistema de gestión.
Debemos mantener la documentación que afecte a la gestión de la seguridad
actualizada para asegurarnos que podemos desempeñar sus actividades
eficazmente.
Cabe considerar para ello los detalles específicos desarrollados a través de la
documentación e información desarrollado para el cumplimiento de la presente
norma como de normas complementarias.
Además, también es importante considerar los roles y responsabilidades de su
personal y los soportes sobre los que disponer la información para su gestión así
como las reglas de operación a ellos impuestas para su uso.
Primeramente debemos considerar toda la documentación a desarrollar en este
sistema de gestión. Después deberíamos determinar el soporte en el que la vamos a
trabajar, custodiar, preservar, acceder y distribuir así como su clasificación.
Según su clasificación determinaremos los permisos para su consulta, acceso,
modificación y distribución. No olvidemos los requisitos de seguridad derivados del
soporte en el que se encuentre; no es lo mismo documentación en soporte papel a
soporte informático.
Tenemos considerar siempre las amenazas a las que se ve sometida nuestra
documentación. Asociado a este requisito nos encontramos la sub cláusula 4.4.5 donde
se estipula el control para los documentos y los datos del estándar.
Hay que tener en cuenta que todos los documentos y registros con información crítica
para el sistema de gestión deberían estar identificados y controlados.
Los procedimientos escritos deberían describir el modo en que se identifican,
aprueban, se accede y eliminan o bien recopilan una regla general que aplique a
todos ellos en un procedimiento formal.
16
Capítulo 1: Sistema de gestión de seguridad de la cadena de suministro
© Universidad Internacional de La Rioja (UNIR)
La documentación y los registros deben preservarse. Deben estar accesibles
para quien disponga de permisos suficientes.
Control operacional de la organización bajo la norma ISO 28000
Amparado en la sub cláusula 4.4.6, la organización, debe determinar el modo en que va
tanto a establecer como a mantener sus operaciones y actividades para alcanzar los
elementos dispuestos conforme a 4.4.6 a, b, c, d, e, f que no son sino un resumen de
los puntos principales ya identificados durante el desarrollo del capítulo.
Deberíamos definir procedimientos para el control de los riesgos identificados,
documentar dichos riesgos, los fallos asociados, así como los impactos sobre la
organización; incidentes, emergencias, no conformidades contra políticas y objetivos de
seguridad.
Los procedimientos de gestión del riesgo deberían ser revisados periódicamente
para comprobar que se encuentran actualizados y eficaces. Las actuaciones
identificadas como necesarias por los procedimientos de gestión del riesgo deberían
implementarse.
Dichos procedimientos deberían considerar las situaciones en las que se afectan a
terceros, o a su información, como parte de la cadena de suministro. Ejemplo:
Outsourcing o bodyshopping.
Estos procedimientos son transversales a la organización y forman parte de la actividad
de la misma como complemento para la garantía de la seguridad de la cadena
de suministro.
Respuesta ante emergencia y vuelta a la seguridad
Dicha respuesta se identifica bajo la sub cláusula 4.4.7 de la norma. Incluye los planes,
acciones preventivas y preparaciones a realizar para actuar caso de desatarse una
catástrofe.
17
Capítulo 1: Sistema de gestión de seguridad de la cadena de suministro
© Universidad Internacional de La Rioja (UNIR)
Un esquema clásico se encuentra en el capítulo anterior y, al igual que el resto de
información dispuesta en capítulos anteriores, sigue mostrando validez para dar
respuesta a dichos requisitos.
Verificación y acción correctiva
Requisito dispuesto conforme a la sub cláusula 4.5 ISO 28000. Debemos identificar
indicadores clave relacionados con el desempeño del sistema de gestión para
observar si:
Tanto la política como los objetivos de seguridad se logran y mantienen
eficazmente.
Las amenazas se encuentran bajo control o cercanas a estarlo debido a las
medidas preventivas aplicadas eficazmente.
Se está realizando una mejora eficaz a partir de los fallos conocidos de la
organización en materia de seguridad.
La planificación de formación se está llevando a cabo.
Se está captando información veraz para el análisis de la mejora del sistema de
gestión.
El análisis del sistema de seguridad de la organización debería ser:
o Proactivo: Verificar la concordancia con las actividades de seguridad de la
organización.
o Reactivo: Investigar, analizar y registrar fallos en el sistema de gestión de
seguridad.
Para realizar las mediciones emplearemos:
o Resultados de la identificación, evaluación y control de riesgos.
o Inspecciones periódicas del sistema de gestión.
o Inspecciones de seguridad.
o Evaluación de nuevos sistemas de logística para la cadena de suministro.
o Revisión y evaluación de modelos estadísticos.
o Estado de inspección del equipo de seguridad.
o Disponibilidad y efectividad del personal de seguridad.
o Evaluación de la aptitud de los trabajadores para la seguridad.
o Análisis de documentación y registros.
o Benchmarking de otras organizaciones similares.
o Retroalimentación de grupos de interés.
18
Capítulo 1: Sistema de gestión de seguridad de la cadena de suministro
© Universidad Internacional de La Rioja (UNIR)
Una vez identificado los elementos a los que vamos a realizar el seguimiento
deberíamos indicar los responsables, duración del seguimiento y recursos a
comprometer. Sería conveniente documentar un procedimiento de calibración
para los equipos de calibración y medida; integrable plenamente con ISO 9001.
Deberíamos realizar una calibración con trazabilidad ENAC para garantizarnos la
fiabilidad de la misma y un mantenimiento tanto correctivo como preventivo
para los equipos de medición.
Deberíamos identificar el estado de calibración de los equipos de medida,
especialmente los que se encuentren sin calibración, así como el período de validez
de la calibración.
Deberíamos documentar la revisión los planes de gestión de seguridad de modo
que podamos evidenciar la capacidad de la empresa para el cumplimiento de su
política, metas y objetivos.
Como se ha mencionado con anterioridad los requisitos legales deben ser
revisados periódicamente para analizar su repercusión sobre la seguridad de la
cadena de suministro y la organización.
Debemos asegurar que los planes y procedimientos de seguridad se mantienen
actualizados y alineados tanto con los requisitos como con las necesidades de la
organización.
Como parte de la revisión de los planes y procedimientos de seguridad debemos tomar
en consideración los incidentes detectados, evaluación y control del riesgo,
informes de auditoría, revisión por la dirección, objetivos, así como los cambios
detectados en la legislación vigente. Las condiciones de trabajo deberán ser una
entrada adicional para estas revisiones.
A través del análisis y revisión del sistema de gestión seremos capaces de:
Mejora en los procesos y actividades de la organización.
Disminución de no conformidades.
Mejora en el cumplimiento legal.
Identificación de amenazas, evaluación y registros de riesgos eficaces.
19
Capítulo 1: Sistema de gestión de seguridad de la cadena de suministro
© Universidad Internacional de La Rioja (UNIR)
Evidencia de la evaluación de la eficacia así como acciones correctivas y
preventivas.
Deberíamos desarrollar procedimientos para informar, evaluar e investigar las
emergencias, incidentes de seguridad así como las no conformidades detectadas
para prevenir que vuelvan a ocurrir.
Los procedimientos deberían describir el criterio para la detección, análisis y
eliminación de sus causas. Igualmente debería aplicar a la detección y eliminación
de efectos dañinos potenciales a través de las acciones preventivas.
Dicho procedimiento debería dictaminar los criterios a aplicar para la catalogación
de las acciones, su conservación y custodia.
Los registros de la organización deben ser capaces de demostrar la conformidad de
la actividad de la misma con los requisitos establecidos en la presente norma. Los
registros deberían ser mantenidos, estar debidamente identificados y ser
legibles.
Deberíamos describir los métodos para la conservación, acceso y custodia de los
registros, en especial, para los registros que contengan información crítica para el
sistema de gestión.
Debemos definir los tiempos de conservación para los registros del sistema de
gestión así como los requisitos reglamentarios, caso de haber alguno, que les afecten.
Debería definirse el método de protección para los registros críticos de la
organización.
Hacer mención que, como todos los sistemas de gestión, ISO 28000 establece la
auditoría interna como herramienta de gestión. Dado que con anterioridad
hemos dedicado, a las auditorías, tiempo suficiente al respecto no incidiremos más en
la materia en el presente capítulo.
Mejora continua y revisión por la dirección
Bajo la sub cláusula 4.6 de la norma se dictaminan los requisitos para la revisión
por la dirección y, por extensión, mejora continua del sistema.
20
Capítulo 1: Sistema de gestión de seguridad de la cadena de suministro
© Universidad Internacional de La Rioja (UNIR)
Algunos de los elementos que conviene analizar en la revisión por la dirección para su
buen desarrollo sería:
Resultados de las auditorías del sistema de gestión.
Acciones correctivas y preventivas en el presente ejercicio.
Resultados de los simulacros de seguridad y de los planes de continuidad.
Información sobre indicadores, objetivos, metas y planes de seguridad.
Informes sobre amenazas, riesgos y su gestión.
Efectividad de las medidas implementadas en el sistema.
Resultados de las métricas.
Revisiones por la dirección anteriores.
Informes sobre la compañía en materia de seguridad tanto internos como
externos.
Una revisión eficaz del sistema de gestión ayuda a garantizar la continuidad del
mismo así como que su efectividad perdure en el tiempo.
21
Evaluación de los riesgos de seguridad dentro de un SGSCS
Capítulo 2
Capítulo 2: Evaluación de los riesgos de seguridad de un SGSCS
© Universidad Internacional de La Rioja (UNIR)
2.1. Introducción
A través de la sub cláusula 4.3 de la norma se establecen los requisitos para la
implementación de una evaluación y planificación de los riesgos de la seguridad
dentro de un SGSCS.
El problema, dentro del requisito, es la indefinición de un método concreto para
su implantación; dejando solo un grupo de directrices como timón al que aferrarse para
su desarrollo.
Esto constituye un problema claro, de indefinición, pero una gran ventaja pues
nos permite adaptar nuestro método de evaluación de riesgos a nuestra
organización. Existen precedentes similares donde podemos observar casos parecidos:
ISO 14001, ISO 27001, etc.
La norma ISO 28000, como todas las normas de gestión, recordamos dispone de un
grado elevado dentro de su trazabilidad interna. Esto significa que los puntos de
la norma están interconectados entre sí. Su efecto, sobre la evaluación de riesgos, es
total pues es una actividad que resulta el corazón de la norma.
2.2. Finalidad
Nuestra empresa implementa una evaluación de los riesgos de seguridad dentro de un
SGSCS para obtener una visión de todos los riesgos de seguridad significativos,
las amenazas y vulnerabilidades asociadas. Para ello emplearemos los procesos
de identificación de amenazas, evaluación y gestión del riesgo.
Recordemos que para todo sistema de seguridad, incluido 27001, la identificación de
amenazas, la evaluación y gestión de los riesgos resultan procesos vitales.
Deberíamos identificar la relación entre dichos procesos, entradas y salidas, para
definir el modo en que interactuarán dentro del sistema de gestión.
Deberíamos definir también los modos de interacción entre el resto de sistema de
gestión y los procesos anteriormente descritos. Una vez identificada la amenaza a la
seguridad serán los procesos de evaluación y gestión del riesgo los que dictaminen
23
Capítulo 2: Evaluación de los riesgos de seguridad de un SGSCS
© Universidad Internacional de La Rioja (UNIR)
si la actuación sobre ella realizada es suficiente. Estos procesos constituyen una base
para la continuidad de negocio, de hecho, deberían constituir una entrada para la
misma.
Dada la importancia para la organización, los procesos de identificación de amenazas,
evaluación y gestión de los riesgos, deben ver asegurada su continuidad dentro de la
organización. La organización debería documentar el modo en que los revisará,
actualizará, tomará en consideración y alimentará con información de interés para los
mismos.
Tal y como hemos visto al inicio del apartado la norma nos deja campo abierto para la
definición de los procesos de identificación de la amenaza, evaluación y gestión
del riesgo para adecuarnos, así, al tamaño de la organización, ubicación, naturaleza de
su actividad, complejidad, etc.
Cabe pensar que la norma, en su concepción, está diseñada para todo tipo de
organizaciones independientemente del tamaño y actividad de modo que no puede
encorsetar en exceso dichos procesos. Dichos procesos deberían valorar tanto
económicamente como en tiempo los trabajos de ellos derivados.
La legislación aplicable así como otros reglamentos empleados por la organización
constituye una valiosa información de entrada para estos procesos. Deberíamos
considerar el nivel de control efectivo que podemos llegar a desempeñar sobre las
amenazas identificables. No siempre podremos eliminar en su totalidad una amenaza.
La valoración de amenazas debería considerar la organización en su conjunto,
actividades que desarrolla, etc. debemos recordar que, si bien el alcance puede aplicar
solo a una parte de la organización, las amenazas a nuestro ámbito de gestión pueden
llegar de actividades ajenas que se desarrollen en la empresa.
Deberíamos documentar la metodología empleada para la evaluación de riesgo de
modo que podamos asegurar su repetitividad, mantenimiento y
perdurabilidad en el tiempo.
Los encargados de liderar la evaluación de riesgo deberían ser personas calificadas
en materia de seguridad y versados en estas herramientas.
24
Capítulo 2: Evaluación de los riesgos de seguridad de un SGSCS
© Universidad Internacional de La Rioja (UNIR)
Podemos realizar una evaluación inicial para analizar el estado de la organización y, así,
obtener una comparativa clara del avance de la organización conforme
implementemos medidas. Dentro de la revisión inicial deberíamos considerar:
Requisitos legales y reglamentarios.
Amenazas de seguridad identificadas.
Información obtenida de cuerpos de seguridad.
Análisis de las prácticas que realiza la empresa, a fecha actual, en materia de
seguridad.
Histórico de incidentes de seguridad de la organización.
Una vez realizada la evaluación inicial procedemos a enumerar los pasos a seguir
para la realización de una evaluación de riesgos en una SGSCS.
2.3. Paso 1: Identificación del alcance de la evaluación de la
seguridad
Debemos asegurarnos que el alcance de la evaluación abraza las actividades
desarrolladas por la organización. Dicho alcance debe evaluarse periódicamente y
revisar también el plan de seguridad cuando proceda. Podemos hacernos eco de
estas evaluaciones a través de la revisión por la dirección.
El alcance debe cubrir:
Sistema de información.
Documentos.
Redes que afecten a la manipulación y movimiento de bienes mientras se
encuentren bajo custodia de la organización.
Acuerdos de seguridad.
25
Capítulo 2: Evaluación de los riesgos de seguridad de un SGSCS
© Universidad Internacional de La Rioja (UNIR)
2.4. Paso 2: Personal a cargo de la evaluación
La persona al cargo de la evaluación, recordamos, debería poseer destrezas y/o
conocimientos en los siguientes puntos:
Técnicas de evaluación de riesgos: Para así poder aplicarlos a la cadena de
suministro de inicio a fin de la misma.
Aplicación de medidas para mantener la confidencialidad de la información
de la compañía.
Las operaciones realizadas en las actividades de envío, trasporte, personal, etc.
aplicables en la cadena de suministro por la organización.
Amenazas de seguridad y metodologías para su tratamiento.
ISO 28000.
Deberíamos registrar el responsable o los responsables de la evaluación de riesgos
así como el grupo de personas que colaboran con ella. Una buena idea, al igual que en
ISO 27001, es constituir un comité de seguridad multidisciplinar para tareas
como esta.
En él deberíamos, al menos, contar con personal con capacidad de decisión de la
compañía así como personal con capacidad de aprobar presupuestos, personal de
los departamentos económico/financiero, para agilizar las medidas en ellas detectadas.
2.5. Paso 3: Evaluación
Debemos definir, implementar y mantener un método de evaluación para
identificar las acciones a emplear para actuar sobre las amenazas detectadas.
Debemos realizar una identificación de escenarios bajo amenazas; es decir, debemos
identificar las vulnerabilidades sobre las que operan estas amenazas y sus efectos
potenciales.
Para cada escenario debemos evaluar la probabilidad y las consecuencias de cada
escenario identificado. Deberemos implementar medidas hasta que el escenario
definido quede bajo control.
26
Capítulo 2: Evaluación de los riesgos de seguridad de un SGSCS
© Universidad Internacional de La Rioja (UNIR)
Deberíamos documentarlo, para asegurar su repetitividad y que perdure en el
tiempo, lo siguiente:
Situaciones bajo amenaza consideradas.
Métodos de evaluación de amenazas empleados.
Soluciones propuestas identificadas.
Para la identificación de amenazas deberíamos considerar si existe algún tipo de
amenaza del emplazamiento específico donde se desarrolla una actividad. Son
puntos clave para este análisis:
o Ubicación de procesado de producto previo a su preparación para el transporte.
o Punto de preparación de pedidos.
o Puntos de almacenaje de productos.
o Transporte de productos.
o Puntos de carga y descarga de pedidos.
o Puntos donde exista un cambio de custodia en la cadena de suministro.
o Puntos donde se desarrolle documentación relativa al producto transportado.
o Rutas de transporte.
o Puntos en los que terceros participan en la cadena de suministro.
o Puntos donde terceros tengan acceso a información referente a la cadena de
suministro y/o producto suministrado.
Pero antes de nada retomemos el orden. Es muy importante la identificación de
amenazas pero para una correcta identificación debemos efectuar los pasos
correctos dentro de la evaluación de riesgos:
o Listar todas las actividades identificadas bajo el alcance de la evaluación de
riesgos.
o Identificar los controles de seguridad ya existentes en la organización.
o Identificar las situaciones/escenarios de amenazas a la seguridad.
Una vez identificadas las actividades así como los controles pre existentes que afecten a
la seguridad en la organización damos paso a la identificación de escenarios.
27
Capítulo 2: Evaluación de los riesgos de seguridad de un SGSCS
© Universidad Internacional de La Rioja (UNIR)
Identificación de escenarios de amenazas a la seguridad
Algunos ejemplos son:
Tomar el control de los medios de transporte de la carga dentro de la cadena de
suministro.
Uso de la cadena de suministro con fines ajenos a los preestablecidos.
Manipulación de la información.
Daño de la integridad de la carga.
Uso no autorizado de los activos de la organización.
Intercepción del envío.
Desvío del envío de la ruta preestablecida.
Avería.
Filtrado de información.
Acceso por personal no autorizado a la carga.
Para una correcta evaluación de riesgo debemos considerar los siguientes aspectos
condicionantes dentro de la misma:
Accesos de la organización: Tanto físicos como lógicos, tanto a la cadena de
suministro como a la información a ella referida.
Medios de transporte: Los que empleamos bajo uso habitual y aquellos que
empleemos de forma esporádica en situación de emergencia. Incluir también a los
subcontratistas.
Fallos en el tratamiento de la carga: En la preparación del pedido, carga,
movimiento, descarga, etc.
Medio por el que circulará el transporte.
Inspecciones a realizar en la cadena de suministro.
Empleados: Formación y capacitación para el desempeño de sus tareas.
Comunicación: Tanto interna como externa. La desinformación constituye una
amenaza clara.
Actualización de la documentación en vigor en los puntos de aplicación.
Tratamiento de la información adecuado para aquella información referente a,
o, de aplicación a la cadena de suministro.
Una vez hecho esto debemos proceder a la evaluación de las consecuencias. La
evaluación de consecuencias debería considerar desde la pérdida de vidas a la pérdida
económica potencial. Una clasificación habitual de las consecuencias a aplicar a
28
Capítulo 2: Evaluación de los riesgos de seguridad de un SGSCS
© Universidad Internacional de La Rioja (UNIR)
cada incidente es la de alto, medio o bajo. Deberíamos documentar el criterio de
clasificación para asegurarnos la homogeneidad de aplicación del método.
Debemos tener cuidado con el método en los límites de valores. Es decir, en la
medida de lo posible, deberemos identificar unívocamente las situaciones a clasificar
cada uno para evitar dudas en la aplicación del criterio.
La horquilla para cada uno de los valores debe ser suficiente para la organización
según su tipo, tamaño y complejidad de tareas pero, a su vez, para la gestión.
Deberían resulta tales que la organización pueda realizar una gestión adecuada
permitiendo tener cabida a todos los eventos detectados.
Podemos realizar un cruce entre consecuencia y probabilidad para establecer un
criterio de actuación o priorización de medidas. Un ejemplo sería:
“Matriz de priorización de
actuación”
Gravedad consecuencia
Alta Media Baja
Probabilidad
amenaza
Alta Alta Alta Media
Media Alta Media Baja
Baja Media Baja Baja
En el criterio presentado para la priorización de actuaciones se pretende que,
aquellas amenazas, con probabilidad alta se acometan lo antes posible salvo que su
consecuencia sea baja.
Se ha combinado con el criterio de actuación sobre consecuencias con gravedad alta
salvo que la probabilidad sea baja. Al combinar criterios lo que conseguimos es
priorizar la actuación sobre las amenazas de mayor probabilidad y mantener bajo
control aquellas con peores consecuencias para la organización. Esto, en sí mismo,
ya es gestionar los riesgos.
29
Capítulo 2: Evaluación de los riesgos de seguridad de un SGSCS
© Universidad Internacional de La Rioja (UNIR)
La aceptabilidad es la cantidad de perjuicio está dispuesto a soportar la
organización bajo ciertas circunstancias. Un ejemplo de clasificación de
consecuencias sería:
Valor Consecuencia
Alto
Fallecimiento
Daño en activos críticos para las actividades de la organización
Destrucción de un gran área de un ecosistema
Medio
Mutilación e incapacidad total
Daño en activos no críticos para actividades de la organización
Daño a largo plazo en un ecosistema
Bajo
Incapacidad temporal
Leve perjuicio sobre activos no críticos para actividades de la
organización
Daño leve al ecosistema
Al clasificar los incidentes de seguridad potenciales hay que considerar el tipo de
medidas a aplicar en la cadena de suministro. Las medidas pueden ser de todo tipo:
Físicas.
Operacionales: Que afectan a la actividad.
Documentación.
Tecnológicas.
Un criterio a aplicar para la clasificación de los incidentes de seguridad son:
Probabilidad Efectividad de las medidas
Alta Las medidas implementadas para el control de la amenaza resultan
inexistentes o insuficientes.
Media Las medidas implementadas para el control de la amenaza resulta
potencialmente ineficaz.
Baja Las medidas implementadas para el control de la amenaza resulta
eficaz.
30
Capítulo 2: Evaluación de los riesgos de seguridad de un SGSCS
© Universidad Internacional de La Rioja (UNIR)
Deberíamos documentar el criterio de aplicación para cada criterio. Una vez
identificadas la cuantía de acciones a realizar para el control o eliminación de una
amenaza, sus consecuencias o probabilidad, debemos proceder a su definición.
El objetivo es llegar a unos escenarios bajo control en los que podamos operar el
sistema de gestión en la cadena de suministro de modo controlado. De este modo
podremos operar de un modo ordenado nuestra cadena de suministro sabiendo a qué
atenernos.
Al implementar las acciones buscamos mantener la actividad bajo control. Las acciones
a implementar pueden operar bajo los siguientes criterios:
Actuar sobre la situación problemática: Podemos afectar a la probabilidad, a
la amenaza o al impacto que ejerce sobre la organización. Para ello
dispondremos de medidas de contención o protocolos de actuación.
Transferir el riesgo: Podemos realizar subcontrataciones o bien actuar sobre
las que ya disponemos para transferirles el riesgo. No obstante debemos considerar
el riesgo potencial al que incurrimos por el hecho de hacerlo ya que, recordemos, se
puede delegar la actividad pero nunca la responsabilidad.
Cese: Si el riesgo excede el riesgo asumible por la organización y, esta, dictamina
que el coste, tanto en medios económicos como humanos y/o tiempo, es excesivo es
posible que la conclusión lógica sea el cese de la actividad problemática.
Una de las opciones que puede tomar la organización es decidir no actuar un riesgo.
Debemos documentar la decisión tomada y ser consciente de los efectos potenciales
a los que nos vemos sometidos.
Llegados a este punto debemos implementar las contramedidas. Estas
contramedidas, expresadas como acciones correctivas y/o preventivas, deberían llevar
un plan de acción asociado. El plan de acción debería llevar, como vimos
anteriormente, una descripción de los principales hitos, responsables, recursos
destinados (incluidos económicos y tiempo del personal) para una eficaz implantación.
Nuestras contramedidas modificarán la operatividad de la organización. Bien
poniendo barreras físicas, bien por cambios en los trabajos realizados, bien por
cambios en las rutas, etc. de modo que deberán ser aprobadas por la dirección.
31
Capítulo 2: Evaluación de los riesgos de seguridad de un SGSCS
© Universidad Internacional de La Rioja (UNIR)
Cuando estemos en disposición de implementar una contramedida debemos valorar
el impacto que va a generar sobre el resto de actividades de la organización.
Deberíamos valorar la eficacia de la contramedida. Para ello sería conveniente,
dentro de su descripción, incluir la descripción de los controles que se le van a aplicar
para su medida de eficacia. Esto se puede resumir en:
Responsable del control
Duración de la medición.
Criterio de eficacia. Valores esperados obtener de la medición.
Si la contramedida resultase insuficiente en su control y/o valoración o se estima en
una primera aproximación falta de efectividad deberemos imponer cuantas medidas
estimemos oportunas para disponer de la situación bajo control.
Estas operaciones se repetirán a lo largo de todos los escenarios descritos hasta
disponer de ellos bajo control.
Recordemos que el proceso de evaluación es un proceso continuo. Esto significa que
deberemos realizar un control continuado para la supervisión de la eficacia de las
medidas implantadas así como una nueva evaluación de los escenarios cuando sea
necesario. Típicamente se revisa al menos una vez al año.
Los motivos que llevan a una re evaluación de un escenario son:
Cambios significativos de operación.
Cambios significativos de personal.
Cambios significativos de la legislación aplicable.
Cambios de significativos en las rutas de transporte.
Cambios significativos en las externalizaciones.
Aplicación de nuevas tecnologías al proceso productivo.
Reducción de recursos a comprometer para el desarrollo de la actividad.
32
Capítulo 2: Evaluación de los riesgos de seguridad de un SGSCS
© Universidad Internacional de La Rioja (UNIR)
2.6. Métodos cuantitativos vs métodos cualitativos de
evaluación.
Como hemos visto hemos desarrollado la explicación específica desarrollando matrices
de decisión y priorización conforme a criterios cualitativos.
Una de las opciones es realizar las valoraciones conforme medios cuantitativos. Así
lo que se pretende es ganar cierto grado de objetividad. Para ello desarrollaremos
fórmulas de cálculo. Por ejemplo:
Riesgo=Probabilidad Amenaza x Impacto Amenaza
De este modo podemos identificar el riesgo asumido por la organización y realizar
una comparativa numérica contra los valores de riesgo. Es un método más directo
pero perdemos la apreciación subjetiva.
Al realizar las nuevas valoraciones siempre podemos desarrollar el método numérico
ganando así objetividad al poder comparar valores concretos y no abstractos. Al
añadir una dimensión más, la numérica, nos vemos forzados a elaborar escalas de
valores.
El problema de las escalas es su tamaño. Las escalas iniciales para la gestión deberían
presentar valores enteros: uno, dos, tres, cuatro, etc. con no más de cuatro valores.
De esta forma podemos centrar mucho la valoración. Por ejemplo:
Numérico Significado
1 Poco
2 Bastante
3 Mucho
Este es el punto en el que conviven ambos métodos. Es, quizás, la forma más simple
de explicar el método de valoración en una primera instancia. De esta manera, las
valoraciones se muestran siempre acotadas. Además, resulta, que si
implementamos la fórmula de riesgo anteriormente mostrada los valores del riesgo van
de uno a nueve.
33
Capítulo 2: Evaluación de los riesgos de seguridad de un SGSCS
© Universidad Internacional de La Rioja (UNIR)
Tenemos que pensar que es algo bastante gráfico. Por nuestra educación estamos muy
acostumbrados, prácticamente todos, a asociar valoraciones numéricas iguales o
menores a diez.
Valoración de riesgo
Probabilidad Impacto Riesgo Numérico Valoración
1 1 1 Riesgo Bajo
2 1 2 Riesgo Bajo
3 1 3 Riesgo Bajo
1 2 4 Riesgo Medio
2 2 5 Riesgo Medio
3 2 6 Riesgo Medio
1 3 7 Riesgo Alto
2 3 8 Riesgo Alto
3 3 9 Riesgo Alto
La valoración cuantitativa no es necesaria pero en muchos casos conveniente por
su orientación. Si ponemos un riesgo asumido con valor de, por ejemplo seis,
actuaremos sobre los valores emplazados entre siete y nueve. Es algo que, de haber
realizado una valoración cualitativa, no dispondríamos la sutileza para la gestión.
Lo bueno de la evaluación cuantitativa es que siempre podemos variar los rangos
asociados a las medidas. Primer año de uno a tres, siguiente de uno a cinco, etc. según
vayamos necesitando de mayor detalle para ganar exactitud al proceso de
evaluación de riesgo.
Realicemos un ejemplo de valoración de eficacia. Supongamos un riesgo asumido con
valor seis en un escenario con la fórmula de cálculo de riesgo anteriormente expuesta:
Riesgo ¿Desarrollar medida? Descripción medida Nuevo valor de riesgo
4 No
6 No
8 Sí ACP01-2012 6
7 Sí ACP02-2012 6
3 No
34
Capítulo 2: Evaluación de los riesgos de seguridad de un SGSCS
© Universidad Internacional de La Rioja (UNIR)
Este podría ser un extracto de una valoración de riesgo donde sea necesaria la
implementación de una medida. En la descripción de la medida podemos hacer la
referencia, como es el caso, a una codificación de acción correctiva o preventiva
en la que se describa la actuación.
La descripción de las acciones en las que se describiría los eventos sería, por ejemplo,
como sigue:
Tipo Acción Correctiva Codificación AC01-2012
Responsable Resp. Seguridad Fecha 16/10/2012
Descripción de la acción problemática:
Se ha encontrado un valor de riesgo excesivo para la amenaza "falta de formación del personal en materia de seguridad" dentro del escenario "gestión de la planificación de la cadena de suministro"
Causa de la acción problemática:
No se había identificado la necesidad formativa.
Actuación
Hito Responsable Fecha Seguimiento
Planificación formación
Resp. RRHH 25/10/2012 Cumplimiento plazo
Planificación Sensibilización seguridad anual
Resp. RRHH 25/10/2012 Cumplimiento plazo
Selección formador Resp. RRHH 25/10/2012 Cumplimiento plazo
Selección grupos formación
Resp. RRHH 27/10/2012 Cumplimiento plazo
Realizar formación Resp. Seguridad 30/10/2012 Evaluación formación
Evaluación formación
Resp. RRHH 3/11/2012 % Formación conforme >90%
Seguimiento
Control Responsable Recursos Tiempo uso
control
Cumplimientos de plazo
Resp. Seguridad Planificador de tareas de la organización y 1 h Resp. Seguridad
Medida única
% Eficacia >90% Resp. RRHH 1 h Resp. RRHH Medida anual, revisión con la formación anual sensibilización
Eficacia de la Acción* Alta Firma responsable Rsp. Seguridad
Media Baja
35
Capítulo 2: Evaluación de los riesgos de seguridad de un SGSCS
© Universidad Internacional de La Rioja (UNIR)
* Marcar la eficacia de la acción desarrollada con una X. Alta, media o baja
Ahora, por último, a modo de ejemplo para ordenar todo lo expuesto durante este
capítulo diseñaremos un ejemplo de procedimiento documentado para la
evaluación de riesgos de seguridad dentro de un SGSCS.
Como siempre, al ser un ejemplo, no dispondrá de todas las sutilezas de un
procedimiento más riguroso pero bien podría ser una buena base para la
implementación en una organización.
Ejemplo:
Codificación: P01_Procedimiento_Evaluación_Riesgos_SGSCS Revisión: 0
Objeto: Descripción de un procedimiento documentado para la identificación de
amenazas, evaluación de riesgos y su gestión.
Alcance: A todas las actividades de la organización dentro del alcance marco del
SGSCS.
Referencia normativa: ISO 28000, sub cláusula 4.3.1
Clasificación de la información: Restringida
Editado por: Revisado por: Aprobado por:
Resp. Seguridad Gerencia Gerencia
Cambios en el documento
Cambio Fecha
Creación del documento 16/10/2012
Responsabilidades
Responsabilidad seguridad: Coordinar e implantar el método de evaluación de
riesgos dentro de su alcance.
Comité de seguridad: Identificar las amenazas y escenarios para el SGSCS dentro
del alcance marcado, evaluar su probabilidad e impacto para el mismo, determinar
36
Capítulo 2: Evaluación de los riesgos de seguridad de un SGSCS
© Universidad Internacional de La Rioja (UNIR)
las acciones a tomar y evaluar el riesgo para la organización de dichas amenazas en
los escenarios marcados.
Dirección: Definir y aprobar el riesgo asumido por la organización.
Toda la organización: Colaborar en la detección de amenazas, incidentes de
seguridad, implantación del SGSC y acciones a tomar.
Desarrollo
En vista del alcance del presente documento, el Comité de seguridad, identificará los
flujos generados como parte del alcance. Dentro de dichos flujos se determinará desde
el inicio de la actividad hasta la entrega del producto en las instalaciones del
cliente. Esta operación se realizará para tantas actividades como se vean contemplado
en el alcance marco del sistema de gestión.
Dentro de cada actividad se enumerarán las sub actividades desarrolladas dentro
de la misma, esto es, todas aquellas actividades dentro del troncal vitales para su
consecución. Por ejemplo:
Actividad: Producción, distribución y entrega de Cable ARJ.
Producción.
Preparación de pedido.
Expedición.
Ruta.
Entrega.
Para cada actividad, el responsable de seguridad, identificará los controles de seguridad
existentes: barreras físicas, contratos de confidencialidad, etc.
Coordinado por el responsable de seguridad se identificará, para el SGSC, por parte
del Comité de seguridad, los escenarios de amenazas para la seguridad y el modo en
que aplica a la organización. Se listarán de la forma expuesta en el siguiente ejemplo:
Actividad Escenario Amenaza
Producción, distribución y
entrega Cable ARJ Integridad de la carga
Manipulación indebida por
parte de personal no
autorizado.
37
Capítulo 2: Evaluación de los riesgos de seguridad de un SGSCS
© Universidad Internacional de La Rioja (UNIR)
Una vez identificados, para cada actividad, los escenarios con sus respectivas amenazas,
el Comité de seguridad, coordinado por el responsable de seguridad, evalúan las
consecuencias de cada amenaza. Para ello aplicarán el siguiente criterio.
Valor Consecuencia
Alto
Fallecimiento
Daño en activos críticos para las actividades de la organización
Destrucción de un gran área de un ecosistema
Medio
Mutilación e incapacidad total
Daño en activos no críticos para actividades de la organización
Daño a largo plazo en un ecosistema
Bajo
Incapacidad temporal
Leve perjuicio sobre activos no críticos para actividades de la
organización
Daño leve al ecosistema
A cada valor se le asignará un numérico, de uno a tres, siendo uno el valor «bajo» y tres
el valor «Alto».
Una vez clasificadas las consecuencias, el Comité de seguridad, se encargará de
clasificar la probabilidad de los incidentes de seguridad. Para ello valorará el valor
de eficacia de las medidas aportadas por el responsable de seguridad. De este modo el
criterio a seguir, condicionado por las medidas aplicadas, sería:
Probabilidad Efectividad de las medidas
Alta Las medidas implementadas para el control de la amenaza resultan
inexistentes o insuficientes.
Media Las medidas implementadas para el control de la amenaza resulta
potencialmente ineficaz.
Baja Las medidas implementadas para el control de la amenaza resulta
eficaz.
A cada valor se le asignará un numérico, de uno a tres, siendo uno el valor «bajo» y tres
el valor «Alto».
38
Capítulo 2: Evaluación de los riesgos de seguridad de un SGSCS
© Universidad Internacional de La Rioja (UNIR)
De este modo tendremos un listado tal que:
Actividad Escenario Amenaza Consecuencia Probabilidad
Producción,
distribución y
entrega Cable
ARJ
Integridad de
la carga
Manipulación
indebida por
parte de
personal no
autorizado.
2 2
La organización ha establecido como fórmula de cálculo para el riesgo derivado
de dichos escenarios:
Riesgo = Consecuencia x Probabilidad
De este modo calcularemos todos los riesgos para todas las amenazas incluidas en cada
escenario de cada actividad.
Una vez obtenidos los valores y tras reflexionar sobre los requisitos legales de
aplicación, política de gestión, indicadores establecidos, elementos estratégicos de
aplicación, futuras líneas de negocio a desarrollar se valora la validez de los
resultados obtenidos y se procede a definir el riesgo asumido por la organización.
Dirección, aprobará en última instancia, el riesgo asumido.
Todo este proceso será documentado en un acta de reunión con las conclusiones
establecidas así como los criterios aplicados para identificar el riesgo asumido así como
para las acciones a desempeñar por parte de la organización.
Para el tratamiento de los riesgos a tratar se agruparán las acciones a tomar y, para
cada grupo, se desarrollará una acción correctiva y/o preventiva indicando, en
cada caso, la resolución a tomar con el riesgo a tratar:
Tratar el riesgo.
Transferir el riesgo.
Terminar con la actividad.
39
Capítulo 2: Evaluación de los riesgos de seguridad de un SGSCS
© Universidad Internacional de La Rioja (UNIR)
En el caso de asumir valores de riesgo el comité de seguridad, dentro del acta,
documentará los riesgos asumidos, escenarios, amenazas, probabilidad y
consecuencia así como el motivo por el cual, en vista de los datos prestados, se opta por
asumir el riesgo. En caso de asumir riesgos, de forma adicional, se notificará
expresamente a gerencia a través de un comunicado formal.
En las acciones tomadas habrán sido consensuados, por parte del comité de
seguridad, los plazos de implementación de las medidas así como sus
responsables y controles que les son de aplicación.
Conforme venzan los plazos para las fases de implantación de la medida, el responsable
de cada plazo, se reunirá con el responsable de seguridad con quien, bajo acta de
reunión, explicará el estado de implantación de la medida junto con los
problemas que haya podido encontrar en la implantación de su fase.
Una vez acabadas las fases el responsable de seguridad valorará la eficacia de la
medida. Tras ello se volverá a reunir el responsable de seguridad con el comité de
seguridad para la re evaluación de los puntos, ahora, bajo las medidas
implantadas. Si se detectase alguna evaluación deficiente se identificarán e
implementarán nuevas medidas.
El comité de seguridad conjunto y el responsable de seguridad se reunirán para repetir
la evaluación del riesgo con periodicidad anual. Todo ello será justificado y
argumentado bajo acta de reunión con fecha, identificación de participantes, motivo
de reunión, conclusiones y firma de los mismos.
Dichas reuniones pueden presentar una periodicidad extraordinaria caso de
presentarse uno de los siguientes eventos:
Cambios significativos de operación.
Cambios significativos de personal.
Cambios significativos de la legislación aplicable.
Cambios de significativos en las rutas de transporte.
Cambios significativos en las externalizaciones.
Aplicación de nuevas tecnologías al proceso productivo.
Reducción de recursos a comprometer para el desarrollo de la actividad.
Incidencias repetitivas asociadas a un escenario.
40
Capítulo 2: Evaluación de los riesgos de seguridad de un SGSCS
© Universidad Internacional de La Rioja (UNIR)
Problemas repetitivos asociados a un escenario.
Nuevas actividades dentro del ámbito.
Fallos críticos de actividad detectados.
41