BLOG ESCAE

Cargando

Archivos diciembre 2024

GESTIÓN DE LA CALIDAD , TRANSFORMACIÓN DIGITAL

Transformación Digital y la ISO 9001:2015: cómo modernizar tu Sistema de Gestión de Calidad

Introducción

La integración de tecnologías digitales en la gestión de calidad que se encuentra certificada según la norma ISO 9001:2015 resulta un reto importante para las organizaciones que buscan mantenerse competitivas en el panorama empresarial moderno. La transformación digital y la norma ISO 9001:2015 son conceptos interrelacionados que pueden modernizar y optimizar los sistemas de gestión de calidad en las organizaciones (Vogel, 2022) , lo que da paso a un nuevo paradigma, la Calidad 4.0.

En un entorno empresarial cada vez más digitalizado, es esencial que las empresas adapten sus
sistemas de gestión para cumplir con los estándares de calidad y aprovechar las oportunidades
que ofrece la tecnología. La transformación digital implica la adopción de nuevas tecnologías y
una reevaluación y adaptación del modelo de negocio. En este contexto, las organizaciones
deben considerar cómo generar ingresos y márgenes en un mundo digital, donde los
competidores disruptivos están redefiniendo las reglas del juego (BRIAND, 2017) .
En este artículo, se explora cómo la transformación digital puede integrarse eficazmente con la
ISO 9001:2015, proporcionando un marco para la modernización de los sistemas de gestión de
calidad.

Estrategias para modernizar el SGC

La modernización del SGC bajo ISO 9001:2015 puede lograrse mediante varias estrategias
claves. En primer lugar, la digitalización de procesos es esencial; transformar procesos
manuales en digitales mejora la eficiencia y permite una mejor supervisión y control,
facilitando el seguimiento del desempeño y la gestión de riesgos. Además, el uso de
tecnologías disruptivas, como la inteligencia artificial (IA), el internet de las cosas y el análisis
predictivo, optimiza los procesos de calidad al permitir el monitoreo de los procesos en tiempo
real para la toma de decisiones informadas y prever problemas antes de que ocurran, lo que
permite una respuesta proactiva.


Por otro lado, la capacitación continua del personal en nuevas tecnologías y metodologías
relacionadas con la calidad en el ámbito digital es fundamental; esta formación debe enfocarse
en el uso técnico y en cómo estas herramientas pueden mejorar los procesos existentes.
Finalmente, fomentar una cultura organizacional adaptativa que valore la innovación y la
adaptabilidad es crucial para el éxito de cualquier iniciativa de transformación digital,
promoviendo así una mentalidad abierta al cambio y al aprendizaje continuo entre todos los
niveles jerárquicos (NQA-ISO-27001-Guia-de-implantacion.pdf, s. f.) .

¿Cómo se puede integrar la norma ISO 9001:2015 con las tecnologías digitales?

La fusión de la ISO 9001:2015 con las tecnologías digitales emergentes, disruptivas y maduras, particularmente en el marco de la transformación digital, constituye un esfuerzo fundamental para las organizaciones que aspiran a modernizar sus sistemas de gestión de la calidad (SGC) de una manera estratégica y eficaz. Esta intrincada asociación no solo mejora la eficiencia operativa, sino que proporciona a las empresas las herramientas necesarias para navegar con destreza y adaptarse a un panorama empresarial dinámico y en constante evolución, garantizando así su sostenibilidad y competitividad (Graham, 2022) .

1. Automatización y digitalización de procesos

La automatización de procesos se destaca como uno de los elementos más importantes de la
transformación digital. Al integrar herramientas digitales en el sistema de gestión de la calidad
existente, las organizaciones tienen la oportunidad de documentar y estandarizar sus procesos
con mayor eficiencia y precisión. Esta integración sirve para reforzar la coherencia y la calidad
de los productos o servicios prestados y facilita el cumplimiento de los requisitos de
cumplimiento estipulados en la norma ISO 9001:2015, alineando así las prácticas operativas
con los puntos de referencia de gestión de la calidad reconocidos internacionalmente
(Graham, 2022) .

2. Análisis de Datos y Toma de Decisiones Basada en Evidencias

La llegada de las tecnologías digitales emergentes, particularmente en el ámbito del análisis de
datos y la inteligencia artificial (IA), ha permitido a las organizaciones recopilar, procesar y
analizar grandes cantidades de datos en tiempo real con una velocidad y precisión sin
precedentes. Esta capacidad es muy útil para la identificación de oportunidades de mejora y la
gestión eficaz de los riesgos, los cuales son componentes fundamentales del marco de la ISO
9001:2015. Al adoptar un enfoque de toma de decisiones basado en datos, las empresas
pueden adoptar una postura proactiva, anticipando los desafíos y las oportunidades en lugar
de limitarse a responder a ellos de manera reactiva (Alzate-Ibañez, 2017) .

3. Colaboración y comunicación efectiva

La utilización de herramientas digitales mejora significativamente la eficacia de la
comunicación entre los equipos y las partes interesadas por igual. Mediante el despliegue de
plataformas colaborativas, las organizaciones pueden facilitar el intercambio fluido de la
información pertinente relacionada con las métricas de calidad y rendimiento, lo que a su vez
fomenta una cultura organizacional sólida que se centra en la excelencia en la calidad. La
norma ISO 9001 subraya la importancia del liderazgo y el compromiso del personal, los cuales
pueden reforzarse mediante la implementación de tecnologías que promuevan y mejoren la
colaboración en varios niveles de la organización (Vogel, 2022) .

4. Gestión del conocimiento

En el ámbito de la transformación digital, la gestión eficaz del conocimiento surge como un
componente fundamental del éxito organizacional. Las plataformas digitales tienen la
capacidad de servir como repositorios de información sobre los procesos, las lecciones
aprendidas y las mejores prácticas, lo que permite a las organizaciones participar en el
aprendizaje y la adaptación continuos en respuesta a las fluctuaciones y cambios del mercado.
Esta capacidad dinámica se alinea perfectamente con el espíritu de mejora continua
promovido por la norma ISO 9001:2015, lo que refuerza el compromiso de la organización con
la mejora de la calidad y la excelencia operativa (Quality Assurance, 2023) .

Tecnologías emergentes para mejorar la gestión de calidad según ISO 9001:2015.

Inteligencia Artificial (IA)Automatización de la inspección
Análisis predictivo
Optimización de procesos
Internet de las Cosas (IoT)Monitoreo continuo
Recopilación de datos
Analítica de Big dataIdentificación de tendencias
Mejora continua
RobotizaciónConsistencia en la producción
Reducción del tiempo de ciclo
Computación en la NubeAcceso a información centralizada
Escalabilidad

Conclusiones

La integración de la transformación digital con la ISO 9001:2015 presenta una oportunidad
extraordinaria para que las organizaciones modernicen radicalmente sus sistemas de gestión
de la calidad de una manera innovadora y que responda a los desafíos contemporáneos. Al
adoptar una orientación proactiva hacia la digitalización y aprovechar estratégicamente las
tecnologías digitales más eficaces que mejoran las prácticas de gestión de la calidad. Las
empresas pueden lograr mejoras significativas en la eficiencia operativa y, al mismo tiempo,
ofrecer un mayor valor a sus clientes. Esta sinergia entre la calidad y la tecnología no solo es
ventajosa, sino que es esencial para afrontar con éxito las complejidades de un entorno
empresarial cada vez más digitalizado y competitivo.

Referencias Bibliográficas

Alzate-Ibañez, A. M. (2017). ISO 9001:2015 base para la sostenibilidad de las organizaciones en países emergentes.
22(80), 576-592. https://www.redalyc.org/journal/290/29055967003/html/

BRIAND, J.-M. (2017, junio 27). ¿Transformación digital y norma ISO 9001, es compatible? https://www.blog-
qhse.com/es/transformación-digital-norma-iso-9001

Graham, M. (2022, agosto 10). Calidad 4.0 e ISO 9001:2015 | NQA Blog. https://www.nqa.com/es-
pe/resources/blog/august-2022/quality40

NQA-ISO-27001-Guia-de-implantacion.pdf. (s. f.). Recuperado 22 de septiembre de 2024, de
https://www.nqa.com/medialibraries/NQA/NQA-Media-Library/PDFs/Spanish%20QRFs%20and%20PDFs/NQA-ISO-27001-Guia-de-implantacion.pdf

Quality Assurance. (2023, diciembre 22). Norma ISO 9001:2015 en el ciclo de desarrollo de software—SQDM US. https://sqdm.com/es/iso-9001-en-ciclo-de-desarrollo-de-software/

Vogel, M. (2022, abril 4). Apto para la digitalización: Tres puntos fuertes de la gestión de la calidad. DQS.
https://www.dqsglobal.com/es-ar/aprenda/blog/apto-para-la-digitalizacion-tres-puntos-fuertes-de-la-
gestion-de-la-calidad

Calidad ISO 9001 , GESTIÓN DE LA CALIDAD

Los beneficios de certificar tu empresa con ISO 9001:2015

Introducción

La Organización Internacional de Normalización (ISO), a través de su norma ISO 9001:2015,
establece los requisitos para la adopción de Sistemas de Gestión de Calidad (SGC), una decisión
estratégica para las organizaciones que les permitirá mejorar su desempeño global y les
facilitará una base sólida para mantener su desarrollo sostenible, lo cual les ayudará a actuar y
reaccionar ante un mercado cada día más volátil, incierto, complejo y ambiguo (Mazzei, 2023) .

Esta norma tiene como objetivo mejorar la eficiencia organizacional y la satisfacción del cliente
a través de prácticas sistemáticas de gestión de la calidad. Los cambios clave con respecto a su

predecesora, la ISO 9001:2008, incluyen un mayor enfoque en la participación del liderazgo, la
evaluación de riesgos, la atención a las partes interesadas y la mejora continua. La norma sirve
como marco para que las organizaciones establezcan, implementen, mantengan y mejoren
continuamente su SGC, fomentando una cultura de calidad y responsabilidad. Su
implementación puede generar beneficios significativos, incluido un mejor desempeño
operativo y una mayor confianza de las partes interesadas (Helmold, 2023) .

La certificación ISO 9001:2015 establece los requisitos para un (SGC) efectivo en cualquier
organización, independientemente de su tamaño o sector. Esta norma ayuda a mejorar la
calidad de los productos, los servicios y la satisfacción del cliente.

Beneficios de certificar tu empresa con ISO 9001:2015

1. Mejora de la satisfacción del cliente.

Una de las ventajas más significativas derivadas de la implementación de un SGC que cumpla
con la norma ISO 9001:2015 es que persigue la mejora en los niveles de satisfacción de los
clientes. Al poner un fuerte énfasis en las diversas necesidades y expectativas de los clientes,
las organizaciones están preparadas para modificar sus procesos operativos de modo que
estén alineados de manera efectiva con estos requisitos específicos. Esta alineación estratégica
se traduce en la entrega de productos y servicios que muestran un nivel de calidad superior, lo
que lleva al cultivo de la lealtad y la confianza de los clientes, que son fundamentales para
mantener relaciones comerciales a largo plazo (Certification, 2024) .

2. Eficiencia operativa.

La norma ISO 9001:2015 sirve como catalizador para establecer una estructura organizacional
lúcida, junto con procesos delineados con precisión, lo que contribuye a reducir las
ineficiencias dentro del marco operativo. La implementación de un sistema de gestión de la
calidad, facilita la identificación de las áreas potenciales que requieren mejoras en varios
procesos empresariales, lo que optimiza la utilización de los recursos y, en última instancia, se
traduce en un aumento de los niveles generales de productividad dentro de la
organización (LRQA, 2024) .

3. Ventaja competitiva.

La obtención de la certificación de acuerdo con la norma ISO 9001:2015 puede servir como un
diferenciador fundamental dentro del panorama competitivo del mercado. Un número
considerable de empresas acuerda que sus proveedores deben poseer esta certificación como
requisito previo para iniciar y establecer relaciones comerciales. Esto mejora la credibilidad y la
confiabilidad de la organización ante los posibles clientes, y también amplía el acceso a los
mercados emergentes que antes no estaban explotados (Certification, 2024) .

4. Compromiso con la mejora continua.

La norma ISO 9001:2015 acentúa la importancia de un compromiso inquebrantable con la
mejora continua. Requiere que las organizaciones realicen evaluaciones y ajustes continuos de
sus procesos operativos. Esta búsqueda incesante de la excelencia, facilita el mantenimiento
de estándares elevados, y también permite a las empresas adaptarse rápidamente a los
cambios dinámicos que se producen en el mercado o en respuesta a la evolución de las
expectativas de los clientes (SGS, s. f.) .

5. Cumplimiento normativo.

Lograr la certificación en el marco de la norma ISO 9001:2015 desempeña un papel vital a la
hora de ayudar a las organizaciones a cumplir con los requisitos legales y reglamentarios
aplicables. Mediante el establecimiento de un sistema de gestión de la calidad eficaz y bien
documentado, las empresas pueden demostrar su dedicación a mantener el cumplimiento
legal, mitigando así los riesgos asociados a las posibles sanciones o complicaciones legales que
podrían surgir en ausencia de tales medidas (ISO, 2015) .

6. Identificación y gestión de riesgos.

La norma ISO 9001:2015 impone a las organizaciones el requisito de identificar y evaluar
activamente los riesgos y las oportunidades que son pertinentes a su contexto operativo. Este
enfoque proactivo permite a las empresas prever los posibles desafíos que puedan surgir y
diseñar estrategias integrales destinadas a mitigar estos riesgos de manera efectiva,
reforzando así su resiliencia general y su capacidad para sortear las incertidumbres en un
entorno empresarial dinámico (Certification, 2024) .

Tabla comparativa: beneficios vs. costos.

BeneficioDescripción Costo Aproximado
Mejora en satisfacción del
cliente		Aumento en lealtad y
confianza del cliente		Confianza del cliente
Inversión inicial en
capacitación
Eficiencia operativaReducción de desperdicios y
optimización de recursos		Costos operativos
adicionales
Ventaja competitivaAcceso a nuevos mercados y
relaciones comerciales		Costo por auditoría externa
Compromiso con mejora
continua		Adaptabilidad ante cambios
en el mercado		Gastos recurrentes en
auditorías
Cumplimiento normativoReducción del riesgo legalCostos asociados al
cumplimiento
Gestión proactiva de riesgosIdentificación temprana de
problemas potenciales		Inversión en análisis de
riesgos

Conclusiones

Lograr la certificación para una empresa en el marco de la norma ISO 9001:2015 presenta una
multitud de ventajas importantes que van mucho más allá del simple cumplimiento de los
mandatos reglamentarios. Los beneficios de esta certificación van desde la mejora de la
satisfacción del cliente hasta la optimización de los procesos internos, lo que posiciona a esta
certificación como una herramienta estratégica indispensable para cualquier organización que
aspire a distinguirse en un mercado cada vez más competitivo.

Si bien el proceso de obtención de la certificación puede ser complejo y requerir una inversión
financiera inicial, las ventajas a largo plazo que se derivan de este esfuerzo justifican de
manera abrumadora los costos incurridos. La implementación competente del SGC garantiza
una calidad constante en los productos y servicios ofrecidos por la organización, y también
fomenta el establecimiento de una cultura organizacional que está firmemente arraigada en
los principios de mejora continua y excelencia. En consecuencia, invertir en la certificación ISO
9001:2015 representa una decisión estratégica que tiene el potencial de transformar
significativamente una organización, asegurando así su crecimiento sostenible y facilitando su
éxito futuro en un entorno empresarial dinámico.

Referencias Bibliográficas

Certification, G. (2024, octubre 7). Certificación ISO 9001—Sistemas de Gestión de Calidad. Global Standards.
https://www.globalstd.com/certificacion/iso-9001/

Helmold, M. (2023). Quality Management (QM). En M. Helmold (Ed.), Virtual and Innovative Quality Management
Across the Value Chain: Industry Insights, Case Studies and Best Practices (pp. 1-13). Springer International
Publishing. https://doi.org/10.1007/978-3-031-30089-9_1

ISO. (2015). ISO 9001:2015. ISO. https://www.iso.org/es/contents/data/standard/06/20/62085.html

LRQA. (2024). ISO 9001—Sistemas de gestión de calidad. LRQA. https://www.lrqa.com/es-cl/iso-9001/

Mazzei, D. E. S. (2023). La Certificación ISO 9001:2015 en Venezuela: Obstáculos, Retos e Impactos al Adoptar e
Implementar SGC Basados en esta Norma: ISO 9001:2015 Certification in Venezuela: Obstacles,
Challenges, and Impacts of Adopting and Implementing Quality Management Systems Based on this
Standard. Tekhné, 26(2), Article 2. https://doi.org/10.62876/tekhn.v26i2.6211

Normas ISO y Actualidad. (2023, abril 3). (28) PASOS PARA CERTFICAR TU EMPRESA EN ISO 9001:2015 | LinkedIn.
https://www.linkedin.com/pulse/pasos-para-certficar-tu-empresa-en-iso-90012015-alttosgroup/

SGS. (s. f.). ISO 9001:2015. SGS. Recuperado 7 de octubre de 2024, de https://www.sgs.es/es-es/campaigns/iso-
9001-2015

GOBERNANZA DE LAS TIC , SEGURIDAD, CIBERSEGURIDAD Y PROTECCIÓN DE DATOS

Gobernanza de datos: estrategias para una gestión eficiente y segura

Introducción

La gobernanza de datos es un factor indispensable en los marcos operativos de las
organizaciones contemporáneas que aspiran a gestionar eficazmente sus datos y al mismo
tiempo, garantizar la integridad y la seguridad de dichos activos de información. En un entorno
que cambia con rapidez, la información se reconoce como un activo valioso, pues resulta
fundamental que las organizaciones implementen estrategias rigurosas e integrales, que
faciliten la maximización del uso de los datos y garanticen el estricto cumplimiento de los
marcos normativos vigentes (Villa Rodríguez et al., 2024) .

La formulación de un plan de administración de datos integral y efectivo, es un requisito
fundamental para el gobierno de datos. A medida que las empresas generan y supervisan
volúmenes cada vez mayores de datos e información, el establecimiento de un marco claro,
coherente y estructurado para gestionar estos datos, resulta ventajoso y es crucial para el
éxito de la organización.

Importancia de la gobernanza de datos

La gobernanza de datos abarca una amplia gama de procesos, funciones, políticas, estándares
y métricas que, en conjunto, garantizan el uso efectivo, seguro y responsable de los datos
dentro del ecosistema operativo de una organización. La implementación de prácticas de
gobierno sólidas, mejora la calidad y la accesibilidad de los datos y también desempeña un
papel importante a la hora de mitigar los innumerables riesgos asociados con la seguridad y la
privacidad de los datos. De acuerdo con las estipulaciones establecidas en el Reglamento
General de Protección de Datos (GDPR) y otros marcos regulatorios similares, las
organizaciones tienen la obligación de tratar los datos personales con el máximo respeto y en
estricto cumplimiento de las obligaciones legales (REGLAMENTO, 2016) .

Estrategias para una gestión eficiente

Lograr el desarrollo de un plan de gestión de datos sólido resulta esencial para gestionar
adecuadamente los datos. Este debe incluir procedimientos claros sobre cómo se recopilan,
almacenan, protegen y eliminan los datos; y revisiones periódicas para adaptar el plan a las
necesidades cambiantes de la organización. La implementación de sistemas centralizados para
la gestión de datos, permite un acceso más fácil y seguro a la información. Esto reduce el
riesgo de errores y asegura que todos los empleados autorizados tengan acceso a los mismos
datos (FasterCapital, 2024) .

Una seguridad robusta debe ser una prioridad en cualquier estrategia de gobernanza. Esta
debe incluir cifrado de datos tanto en reposo como en tránsito, controles de acceso estrictos
para asegurar que solo el personal autorizado pueda acceder a información sensible y planes
de respuesta ante incidentes para actuar rápidamente en caso de violaciones (Power Data,
s. f.) .

Los empleados deben ser capacitados regularmente en las mejores prácticas relacionadas con
la gestión y seguridad de datos. Esto minimiza el riesgo de errores humanos, y también
asegura que todos estén alineados con las políticas organizacionales (Cookdata, 2024) . Realizar
auditorías y monitoreo continuo ayuda a identificar áreas problemáticas y asegurar que se
cumplan las políticas establecidas. El uso de sistemas SIEM (Gestión de Información y Eventos
de Seguridad) permite monitorear actividades sospechosas en tiempo real (Power Data, s. f.) .

Beneficios Tangibles

Implementar las estrategias mencionadas, mejora la seguridad y también proporciona
beneficios tangibles significativos. En primer lugar, se observa una mejora en la toma de
decisiones, ya que contar con datos organizados y accesibles permite que las decisiones se
basen en información precisa y relevante. Además, se logra una notable reducción del riesgo;
al establecer protocolos claros y medidas preventivas, se minimizan las posibles violaciones o
pérdidas. Por último, el cumplimiento normativo se convierte en un proceso más fluido, lo que
permite a las organizaciones adherirse a regulaciones sin complicaciones adicionales. Estos
beneficios no solo fortalecen la seguridad, sino que optimizan la operatividad general de la
organización (Cookdata, 2024) .

Tabla comparativa

Beneficios de la gobernanza de datosProblemas ante la falta de gobernanza de datos
Permite el intercambio y la integración
de datos entre empresas.		Existe redundancia de datos y de procesos.
Las empresas no saben qué pueden y qué no
pueden hacer con sus datos.
Facilita la entrega de servicios públicos
integrados y proactivos.		Los datos de las empresas son inconsistentes.
Permite que las personas y empresas
informen los datos solo una vez.		No existe una visión integrada y consistente de lo
que le acontece a cada individuo y a la empresa.
Aumenta la eficiencia de las empresas.Se le dificulta a las empresas el acceso a los datos
existentes.
Habilita la toma de decisiones y la
formulación de medidas basadas en
evidencias.		No permite innovar en base al uso de datos en
poder de las empresas.

Desafíos en la gobernanza de datos

A pesar del desarrollo e implementación de estrategias eficaces, la gobernanza de datos
enfrenta desafíos significativos que pueden comprometer su efectividad. En primer lugar, el
volumen creciente de datos representa un obstáculo considerable; con la generación
constante de información, mantener un control adecuado se vuelve cada vez más complicado.

Además, la evolución tecnológica exige adaptaciones constantes en las estrategias existentes,
lo que puede generar desajustes entre las herramientas disponibles y las necesidades
emergentes. Por último, el cumplimiento normativo es un reto adicional, ya que las
regulaciones están en constante cambio, lo que dificulta el cumplimiento continuo y genera
incertidumbre en la gestión de datos. Estos factores combinados subrayan la complejidad de
establecer una gobernanza de datos robusta y sostenible (SAP, s. f.) .

Conclusiones

El establecimiento de una gobernanza de datos eficaz es absolutamente vital para cualquier
organización que aspire a prosperar en un panorama digital cada vez más complejo y
multifacético. Al adoptar estrategias adecuadas, que pueden incluir el desarrollo de un plan de
gobierno sólido, el establecimiento de sistemas de administración de datos centralizados y la
implementación de medidas de seguridad estrictas, las organizaciones pueden lograr un alto
nivel de eficiencia en sus prácticas de administración de datos y, al mismo tiempo,
salvaguardar la integridad y la seguridad de sus activos de datos. Además, las organizaciones
deben prepararse para hacer frente a los desafíos actuales mediante la realización de
auditorías periódicas y programas integrales de capacitación del personal, garantizando así que
sus prácticas de administración de datos sigan siendo eficientes y seguras frente a un entorno
digital en constante evolución.

Referencias Bibliográficas

Cookdata. (2024, abril 12). Control y gestión de datos: Todo lo que debes saber en 2024. Cookdata.
https://cookdata.io/control-y-gestion-de-datos/

FasterCapital. (2024, junio 4). Gestión de datos gestión eficiente de datos con la base I Mejores prácticas.
FasterCapital. https://fastercapital.com/es/contenido/Gestion-de-datos–gestion-eficiente-de-datos-con-
la-base-I–Mejores-practicas.html

Power Data. (s. f.). Seguridad de datos: En qué consiste y qué es importante en tu empresa. Power Data. Recuperado 8 de octubre de 2024, de https://www.powerdata.es/seguridad-de-datos

REGLAMENTO, 4.5.2016 (2016). https://www.boe.es/doue/2016/119/L00001-00088.pdf

SAP. (s. f.). ¿Qué es la gobernanza de datos?| Definición, importancia, & tipos. SAP. Recuperado 9 de octubre de 2024, de https://www.sap.com/latinamerica/products/technology-platform/master-data-
governance/what-is-data-governance.html

Villa Rodríguez, Arleth, K., & Rodríguez, K. A. V. (2024). El futuro del gobierno de datos y la IA como motor del cambio empresarial. https://doi.org/10.13140/RG.2.2.20541.88800

Privacidad de la información ISO IEC 27701 , Seguridad de la información ISO IEC 27001 , SEGURIDAD, CIBERSEGURIDAD Y PROTECCIÓN DE DATOS

La norma ISO/IEC 27001:2022 simplificada: un enfoque paso a paso para la certificación.

Introducción

La norma ISO/IEC 27001:2022 ofrece un marco actualizado y simplificado para gestionar
eficazmente la seguridad de la información en un mundo donde las amenazas cibernéticas son
cada vez más prevalentes. Siguiendo este enfoque paso a paso para su certificación, las
organizaciones no solo mejorarán su postura frente a riesgos cibernéticos, sino que también
fortalecerán su reputación como entidades responsables en el manejo de información
crítica (Mendoza, 2023) .

La ISO/IEC 27001:2022 fue publicada el 25 de octubre de 2022, marcando una evolución
necesaria tras casi una década desde su versión anterior en 2013 (DIPREM Global, 2022) . La
transición hacia esta nueva norma debe ser vista como una oportunidad para mejorar
continuamente las prácticas organizacionales en materia de seguridad.

Esta además de adaptar los controles existentes, busca también introducir nuevos que
aborden las amenazas emergentes, como la gestión de servicios en la nube y el desarrollo
seguro de software (Iturriaga, 2022) . A continuación, se presenta un enfoque simplificado paso
a paso para la certificación bajo esta norma.

Estructura de la Norma

Manteniendo un formato estructural que se parece mucho a su predecesor, el estándar se
compone de 11 cláusulas distintas que delinean los requisitos específicos necesarios para un
SGSI efectivo. Cabe destacar, que se puede observar una transformación significativa en el
anexo A, donde el número total de controles se ha reducido juiciosamente de 114 a 93,
clasificándolos así en cuatro categorías principales: organizacionales, personales, físicos y
tecnológicos (DQS, s. f.) . Esta metodología simplificada facilita una identificación y gestión más
sencillas de los controles esenciales para garantizar una seguridad de la información sólida en
los diversos contextos organizacionales.

Paso a paso para la certificación

  1. Compromiso de la alta dirección

El primer paso esencial es obtener el compromiso y apoyo de la alta dirección. Esto implica que
los líderes deben entender la importancia de la seguridad de la información y estar dispuestos
a proporcionar los recursos necesarios para implementar y mantener el SGSI. La dirección
debe establecer políticas claras y objetivos alineados con los requisitos de la norma.

2. Evaluación inicial

Realizar una evaluación inicial del estado actual del SGSI es fundamental. Esto incluye
identificar los activos de información, evaluar los riesgos asociados y determinar las
vulnerabilidades existentes. Esta evaluación ayudará a establecer una línea base sobre la cual
se pueden implementar mejoras.

3. Definición del alcance

Es de suma importancia definir los límites y el alcance del SGSI que se está estableciendo. Este
proceso implica determinar qué segmentos específicos de la organización estarán bajo el
ámbito del sistema, así como identificar qué activos se clasificarán como críticos para
mantener la seguridad. Un alcance bien articulado y claramente definido sirve para centrar los
esfuerzos y asignar los recursos de manera eficaz hacia las áreas más críticas y vulnerables que
requieren atención y protección inmediatas.

4. Desarrollo e Implementación del SGSI

Con base en la evaluación inicial y el alcance definido, se procede a desarrollar e implementar
políticas, procedimientos y controles necesarios para cumplir con los requisitos de la norma.
Esto incluye:

Controles técnicos: implementar medidas como control de accesos, criptografía y seguridad
física.

Controles organizacionales: establecer roles y responsabilidades claras dentro del SGSI.

Capacitación: proporcionar formación continua al personal sobre las políticas y
procedimientos establecidos.

5. Monitoreo y revisión

Tras la implementación del SGSI, resulta necesario establecer un proceso de supervisión y
revisión completo, que garantice la eficacia y el cumplimiento continuos. Este proceso abarca
auditorías internas periódicas diseñadas para evaluar rigurosamente el cumplimiento de los
controles establecidos y, al mismo tiempo, permitir los ajustes y mejoras necesarios a medida
que evolucionen las circunstancias. La norma hace especial hincapié en el ciclo PDCA
(planificar, hacer, verificar, actuar), que es reconocido como un marco altamente eficaz para
fomentar la mejora continua en el panorama de la seguridad de la información (NQA-ISO-
27001-Guia-de-implantacion.pdf, s. f.) .

6. Auditoría externa

Para obtener la certificación según la norma ISO/IEC 27001:2022, es esencial someterse a una
auditoría externa realizada por un organismo certificador acreditado que posea la autoridad y
la experiencia necesarias. Esta auditoría externa evaluará si el SGSI en cuestión cumple con
todos los requisitos estipulados, tal como se describe en la propia norma. Es muy
recomendable que las organizaciones preparen toda la documentación necesaria y se
aseguren de que todos los procesos operativos se alineen perfectamente con lo que se ha
implementado.

7. Mantenimiento y mejora continua

Al obtener la certificación, es importante garantizar que el SGSI se mantenga actualizado y
responda a los riesgos y cambios emergentes en el entorno organizacional. Este proceso
continuo requiere la realización de revisiones periódicas del sistema, la actualización de los
controles según se considere necesario y la participación constante de todo el personal en la
promoción de prácticas seguras para mitigar las posibles vulnerabilidades.

Beneficios de certificarse

La certificación según la norma ISO/IEC 27001:2022 no solo confiere una ventaja competitiva
significativa al demostrar de manera visible un compromiso firme con la seguridad de la
información, tanto para los clientes como para los socios comerciales, sino que desempeña un
papel crucial a la hora de mitigar los riesgos sustanciales asociados con los ciberataques y otros
incidentes de seguridad (Solutions, 2023) . Además, al adoptar un enfoque basado en el riesgo,
las organizaciones pueden priorizar de manera efectiva sus recursos y esfuerzos en las áreas
que son más susceptibles a las vulnerabilidades y amenazas.

Conclusiones

La norma ISO/IEC 27001:2022 proporciona un marco actualizado y simplificado que es esencial
para la gestión eficaz de la seguridad de la información en un entorno en el que las
ciberamenazas son cada vez más frecuentes y generalizadas. Al adoptar este enfoque
detallado y gradual para sus iniciativas de certificación, las organizaciones no solo mejorarán
su postura general de seguridad frente a los persistentes riesgos cibernéticos, también
reforzarán su reputación como administradoras responsables de la gestión de la información
crítica y confidencial. La transición a este nuevo estándar debe aprovecharse como una valiosa
oportunidad para mejorar y perfeccionar continuamente las prácticas organizativas en el
ámbito de la gestión de la seguridad.

Referencias Bibliográficas

DIPREM Global. (2022, noviembre 15). (18) Actualización ISO/IEC 27001:2022 | LinkedIn. DIPREM Global.
https://www.linkedin.com/pulse/actualizaci%C3%B3n-isoiec-270012022-diprem-sa/

DQS. (s. f.). Cambios clave de la nueva ISO/IEC 27001:2022 I DQS. DQS. Recuperado 22 de septiembre de 2024, de
https://www.dqsglobal.com/es-sv/aprenda/blog/new-iso-27001-2022-key-changes

Iturriaga, I. (2022, diciembre 23). Cambios y novedades en la norma ISO/IEC 27001/2022 y su guía de desarrollo
ISO/IEC 27002/2022. Global Technology. https://globalt4e.com/cambios-en-la-norma-iso-iec-27001-2022-
y-su-guia-de-desarrollo-iso-iec-27002-2022/

Mendoza, M. Á. (2023, febrero 9). ISO 27001:2022: ¿qué cambios introdujo el nuevo estándar de seguridad?
welivesecurity. https://www.welivesecurity.com/la-es/2023/02/09/iso-270012022-cambios-nuevo-
estandar-seguridad/

NQA-ISO-27001-Guia-de-implantacion.pdf. (s. f.). Recuperado 22 de septiembre de 2024, de
https://www.nqa.com/medialibraries/NQA/NQA-Media-
Library/PDFs/Spanish%20QRFs%20and%20PDFs/NQA-ISO-27001-Guia-de-implantacion.pdf

Solutions, G. (2023, marzo 20). ¿Qué es la norma ISO 27001 y para qué sirve? GlobalSuite Solutions.
https://www.globalsuitesolutions.com/es/que-es-la-norma-iso-27001-y-para-que-sirve/