ISO 9001

¿Qué es un sistema de gestión de calidad?

Un sistema de gestión de calidad (SGC) comprende un conjunto de normas y
estándares a nivel internacional. Éstos están interrelacionados entre sí con la
finalidad de cumplir las expectativas en materia de calidad que una empresa debe
tener en cuenta para satisfacer a sus clientes. Se trata de que las actividades se
planeen y se controlen de modo que se logre la mayor calidad posible para
satisfacer al cliente (Leiva, et al., 2016).

El objetivo de los estándares y las normas internacionales es simplificar los

procesos de las empresas e incrementar la calidad de los servicios y productos de
uso cotidiano. A través de la mejora continua de los sistemas de producción de las
empresas, se asegura que, tanto las materias primas como el producto final
pasando por el proceso productivo, cumplen los requisitos establecidos y son
adecuados.

Existen varios sistemas de gestión de la calidad, todos ellos ideados y aprobados

por la Organización Internacional para la Estandarización. La norma ISO 9001 es
una norma genérica que se aplica en cualquier sector productivo o industria
afectando a todas las empresas independientemente de su tamaño. Éstas deben
tener un sistema efectivo mediante el cual se administre y se mejore la calidad de
sus outputs y se asegure el mantenimiento de la norma ISO 9001.

¿Se revisan los sistemas de gestión de calidad?

El ISO se ocupa de analizar el alcance de las normas y comprobar que esos

estándares siguen satisfaciendo las necesidades de calidad de los usuarios.
Cuando se publica una nueva norma, las anteriores quedan obsoletas. Por
ejemplo, con la aprobación de las normas ISO 9001, la norma ISO 9002 Y 9003
dejaron de aplicarse (Paz, 2015).
Cuando se da esta situación, las empresas pueden estar certificadas con las
normas anteriores durante un periodo de tiempo, que viene a ser un periodo de
transición, pero la certificación de la nueva norma ISO debe hacerse.

Cuando la norma ISO 9001:2015 entró en vigor, los cambios más importantes con
respecto a las normas ISO 9002 y 9003 y a las propias versiones anteriores de las
ISO 9001, hacen referencia a la mejora continua de los procesos empleados en
las empresas, a poder medir la satisfacción del cliente, a clarificar la terminología
para resultar más entendible y a prestar más atención al entorno de trabajo y a sus
condiciones.

¿Qué es ISO 9001?

La ISO 9001 es una norma internacional que toma en cuenta las actividades de
una organización, sin distinción de sector de actividad. Esta norma se concentra
en la satisfacción del cliente y en la capacidad de proveer productos y servicios
que cumplan con las exigencias internas y externas de la organización. Hoy por
hoy, la norma ISO 9001 es la norma de mayor renombre y la más utilizada
alrededor del mundo (Secretaria Central de ISO, 2008).

¿Qué es ISO 9001:2015?

La Norma ISO 9001:2015 es la base del Sistema de Gestión de la Calidad - SGC.

Es una norma internacional que se centra en todos los elementos de la gestión de
la calidad con los que una empresa debe contar para tener un sistema efectivo
que le permita administrar y mejorar la calidad de sus productos o servicios.

Los clientes se inclinan por los proveedores que cuentan con esta acreditación
porque de este modo se aseguran de que la empresa seleccionada disponga de
un buen SGC.

Existen más de 1 millón de empresas en el mundo que cuentan con la certificación

ISO 9001.
El objetivo de la ISO es llegar a un consenso con respecto a soluciones que
cumplan con las exigencias comerciales y sociales, tanto para los clientes como
para los usuarios. Estas normas se cumplen de forma voluntaria ya que la ISO,
siendo una entidad no gubernamental, no cuenta con la autoridad para exigir su
cumplimiento.

Sin embargo, tal como ha ocurrido con los sistemas de gestión de la calidad
adaptados a la norma ISO 9001, estas normas pueden convertirse en un requisito
para que una empresa se mantenga en una posición competitiva dentro del
mercado.

Cada seis meses, un agente de un ente certificador realiza una auditoría de las
empresas registradas con el objeto de asegurarse que se cumplen las condiciones
que impone la norma ISO 9001. De este modo, los clientes de las empresas
registradas se libran de las molestias de ocuparse del control de calidad de sus
proveedores y, a su vez, estos proveedores sólo deben someterse a una auditoría
y no a múltiples auditorías realizadas por los diferentes clientes. Los proveedores
de todo el mundo deben ceñirse a las mismas normas.

Sobre la revisión 2015 de ISO 9001

La Norma ISO 9001:2008 fue revisada y actualizada en 9001:2015 para poder

reflejar ciertas evoluciones provocadas por los cambios en el mundo. Su esencia
misma queda incambiada, sigue siendo siempre su objetivo el de satisfacer al
cliente con la conformidad de productos y servicios proporcionados. Sobresale una
importancia mayor dada al rol realizado por la dirección en cuanto a la eficacidad
del sistema de gestión de calidad. Tres evoluciones mayores intervienen:

El enfoque en procesos sigue siendo importante de la norma ISO 9001,

permitiendo así a las organizaciones planificar sus procesos e interacciones; Este
enfoque incorpora el ciclo PHVA e integra el pensamiento basado en riesgos.
(Santiago, 2015)
Se integra el pensamiento basado en riesgos: prevenir que cosas malas sucedan
y aprovechar oportunidades de lo bueno. Reconociendo así que no todos los
procesos tienen el mismo impacto en la capacidad de la organización en la
entrega de productos o servicios conformes.

Ciclo PDCA-Plan-Do-Check-Act, en español Planificar-Hacer-Verificar-Actuar

(PHVA). Cada proyecto, misión, proceso y actividad deben de ser gestionadas con
este método, permitiendo así a las organizaciones asegurarse por un lado de que
sus procesos cuentan con recursos y sean gestionados adecuadamente y por otra
parte de que las oportunidades de mejora sean determinadas y de que se actúe
en consecuencia.

La versión 2015 se estructura alrededor de nuevos ejes transversales para los

cuales se encuentran exigencias que deben ser satisfechas a todo lo largo de la
norma. Esos puntos son: liderazgo, trabajo, clientes, recursos, conocimientos y
competencias, riesgos y oportunidades, externalización de los procesos,
desempeño y mejora y SGC e información documentada. (Leiva, et al., 2016)

Estructura de la norma ISO 9001:2015

La nueva norma se ve diferente, pero al mismo tiempo tiene una estructura de

cláusulas idéntica a la nueva ISO 14001, esto en un esfuerzo de armonización. En
efecto, otro cambio importante ha sido que ISO ha optado por que los diferentes
sistemas de gestión se vean, toquen y sientan igual. Esto permitirá a las
organizaciones que opten por implementar diferentes Normas ISO que lo puedan
hacer bajo un mismo sistema coherente.

Beneficios de la Norma ISO 9001

 Mayor peso frente a la competencia al contar con un certificado ISO 9001 y
saber que sus productos superan unos estándares de calidad.
  Incremento de la calidad de los productos o servicios que aumentarán el
grado de satisfacción de los clientes.
 Al aplicar técnicas de trabajo más eficaces, se consigue un ahorro de
tiempo, dinero y recursos.
 Minimización del número de errores al tener las técnicas de trabajo mejor
definidas e incremento de los beneficios.
 El sistema de gestión de la calidad ISO 9001 mejora las condiciones de los
trabajadores, por lo que se produce un incremento notable en su motivación
y nivel de compromiso.
 La mejora de la calidad y del servicio de atención al cliente derivados de la
norma ISO 9001 desemboca en un incremento del número de clientes.
 El ser una empresa que cuenta con certificación ISO 9001 amplía las
oportunidades de negocio.

Elementos más relevantes de la Norma ISO 9001

La Dirección de la empresa
La norma ISO 9001 hace hincapié en el liderazgo de la organización como base
del éxito del sistema de gestión de la calidad. La Dirección de la empresa debe
tener un papel relevante y central.

Dentro de los requisitos estipulados por la Norma ISO 9001, encontramos que los
puestos de más responsabilidad de la compañía, deben mantener un ambiente
óptimo para el desarrollo del trabajo, donde los trabajadores se sientan
involucrados para operar de modo eficaz. (Mesquida, et al., 2010)

Las acciones de la Dirección según la norma ISO 9001, son:

 Fomentar la calidad como política y objetivos de la empresa.

 Animar a la participación de los trabajadores, motivándolos y
concienciándolos.
 Orientar a toda la empresa para conseguir la satisfacción del cliente.
  Proporcionar los recursos necesarios para conseguir el cumplimiento de los
requisitos de calidad de la norma ISO 9001.
 Garantizar la eficiencia y eficacia del sistema.
 Evaluar y revisar periódicamente el sistema.
 Buscar siempre mejoras para el Sistema de Gestión de la Calidad.

Al ser empresas que tienen el foco puesto en el cliente, la satisfacción de las

necesidades del cliente que refleja la norma ISO 9001 es clave. Por esto, las
necesidades del cliente, tanto presentes como futuras, deben estar perfectamente
identificadas.

Para garantizar el conocimiento en todo momento del grado de satisfacción del

cliente, la dirección de la empresa debe designar responsables que lo conozcan.
En caso de no cumplir con las expectativas, deben indicar el motivo y comunicarlo
a la Dirección. Ésta tomará medidas para conseguir esa satisfacción del cliente
como cambio de objetivos, de enfoque o destinando más recursos.

Documentación de la Norma ISO 9001

La norma ISO 9001 establece requisitos que se deben cumplir para poder
adaptarse al Sistema de Gestión de la Calidad. Lo que no establece son las
pautas a seguir, por lo que cada empresa debe buscar la manera más óptima y
eficaz de conseguir la certificación ISO 9001. (Acevedo, 2002)

Documentar los procedimientos que se van a llevar a cabo en la empresa puede

ser un procedimiento engorroso, pero es muy necesario ya que recoge los
objetivos que se persiguen y las acciones mediante las cuales se piensan
conseguir.

La revisión de la documentación de la norma ISO 9001 de un modo periódico es

un paso que también es relevante. Ésta puede establecerse según su uso, de un
modo regular o durante las auditorías internas. En el caso en que los trabajadores
manejen la documentación en su día a día, en el momento en que vean que es
necesaria una actualización lo deben comunicar para que sea sometida a una
revisión. Es un paso esencial para el mantenimiento de la norma ISO 9001.

El Manual de Calidad que se establecía obligatoriamente en la anterior versión de

la norma ISO, no tiene que mantenerse. El requisito establece que la información
debe estar documentada para el correcto mantenimiento del sistema de gestión de
calidad, el modo en que lo hagan, lo decide cada empresa. Las empresas que
antes utilizaban el Manual de Calidad dejaban constancia de las políticas a aplicar,
los procedimientos a llevar a cabo y los requisitos del propio sistema de gestión de
la calidad. En caso de que existan exclusiones, éstas deben estar detalladas con
las justificaciones pertinentes. (Yáñez, 2008)

Infraestructuras de la empresa

Para que el producto o servicio cumpla las estipulaciones de calidad de la norma

ISO 9001, la empresa debe contar con infraestructuras o instalaciones adecuadas
para el correcto desarrollo de la actividad.

Para ello, la empresa debe identificar los requisitos en los distintos planes: de
expansión, estratégicos, de calidad o instrucciones de trabajo. Posteriormente,
analizar si estos requisitos son cumplidos con los equipos y soportes con los que
se cuenta en la actualidad. Finalmente, asegurar el mantenimiento y conservación
de los equipos, edificios y demás activos de la empresa cuyo deterioro tendría
consecuencias negativas en la calidad del producto y en la actividad empresarial
en general.

Ambiente de trabajo
No hace referencia a las relaciones personales entre los trabajadores,
el certificado ISO 9001 se centra en el ambiente de trabajo que permite la
obtención de un producto o servicio final de calidad. Son aspectos como la
temperatura de las instalaciones, la humedad, el uso de los sistemas de
protección individual o las condiciones higiénicas entre otros aspectos.
Relación con los proveedores

Una empresa con certificado ISO 9001, también debe tener en cuenta los
proveedores con los que trabaja y la calidad del producto que se les compra. Por
proveedores se entiende todo tipo de suministradores de productos o servicios a la
empresa, ya sea en forma de proveedores de productos que se transformarán en
el proceso productivo o proveedores de procesos que intervienen en el mismo.

Se deben determinar métodos de control del proveedor estipulados mediante

criterios de selección y evaluación del producto conforme a los requisitos de la
norma 9001. El resultado del rendimiento de los proveedores debe quedar
registrado. (Roncacio, et al., 2015)

Medición de los procesos

Como en cualquier otro ámbito, el modo de conocer el funcionamiento de un

proceso es analizando los resultados que arroja. Es importante conocer los
resultados que se están manejando y ver si se están cumpliendo los objetivos
establecidos para introducir las mejoras necesarias para corregir.

La mejora continua recogida en la Norma ISO 9001

Los cargos responsables de las empresas se deben ocupar de estar inmersos en
la mejora continua de los procesos que se llevan a cabo en el día a día de la
compañía. La mejora continua de la que tanto se hace eco la norma ISO 9001,
puede enfocarse desde proyectos a largo plazo como a actividades de realización
diaria. De lo que se trata es de incrementar la satisfacción del cliente optimizando
las tareas que se dan durante el proceso productivo.

La mejora continua en una empresa es muy beneficiosa, se consigue mejorar el

rendimiento, crear nuevas oportunidades de negocio y poder reaccionar de un
modo rápido ante los cambios imprevistos.
Para conseguir esta mejora continua es necesario valerse de herramientas como
resultados de auditorías, acciones correctivas u objetivos de calidad para llevar a
cabo diversas acciones:

 Análisis de la situación de la empresa.

 Identificación de las diversas opciones de mejora.
 Búsqueda de alternativas para alcanzar los objetivos establecidos.
 Implementación de las alternativas más factibles.
 Evaluación de resultados.
 Afianzamiento de los cambios si los resultados son positivos.

ISO 27001

ISO 27001 es una norma internacional emitida por la Organización Internacional

de Normalización (ISO) y describe cómo gestionar la seguridad de la información
en una empresa. La revisión más reciente de esta norma fue publicada en 2013 y
ahora su nombre completo es ISO/IEC 27001:2013. La primera revisión se publicó
en 2005
y fue desarrollada en base a la norma británica BS 7799-2.
ISO 27001 puede ser implementada en cualquier tipo de organización, con o sin
fines de lucro, privada o pública, pequeña o grande. Está redactada por los
mejores especialistas del mundo en el tema y proporciona una metodología para
implementar la gestión de la seguridad de la información en una organización.
También permite que una empresa sea certificada; esto significa que una entidad
de certificación independiente confirma que la seguridad de la información ha sido
implementada en esa organización en cumplimiento con la norma ISO 27001.
(Mesquida, et al., 2010)

ISO 27001 se ha convertido en la principal norma a nivel mundial para la

seguridad de la información y muchas empresas han certificado su cumplimiento.

Grafica de la cantidad de certificados en los últimos años:

¿Cómo funciona la ISO 27001?

El eje central de ISO 27001 es proteger la confidencialidad, integridad y
disponibilidad de la información en una empresa. Esto lo hace investigando cuáles
son los potenciales problemas que podrían afectar la información (es decir, la
evaluación de riesgos) y luego definiendo lo que es necesario hacer para evitar
que estos problemas se produzcan (es decir, mitigación o tratamiento del riesgo).
(Ladino, et al., 2011)

Por lo tanto, la filosofía principal de la norma ISO 27001 se basa en la gestión de

riesgos: investigar dónde están los riesgos y luego tratarlos sistemáticamente.

Las medidas de seguridad o controles que se van a implementar se presentan, por

lo general, bajo la forma de políticas, procedimientos e implementación técnica
(por ejemplo, software y equipos). Sin embargo, en la mayoría de los casos, las
empresas ya tienen todo el hardware y software, pero utilizan de una forma no
segura; por lo tanto, la mayor parte de la implementación de ISO 27001 está
relacionada con determinar las reglas organizacionales (por ejemplo, redacción de
documentos) necesarias para prevenir violaciones de la seguridad.

Como este tipo de implementación demandará la gestión de múltiples políticas,

procedimientos, personas, bienes, etc., ISO 27001 ha detallado cómo combinar
todos estos elementos dentro del sistema de gestión de seguridad de la
información (SGSI).

¿Por qué ISO 27001 es importante para su empresa?

Hay 4 ventajas comerciales esenciales que una empresa puede obtener con la
implementación de esta norma para la seguridad de la información:
Cumplir con los requerimientos legales: cada vez hay más y más leyes,
normativas y requerimientos contractuales relacionados con la seguridad de la
información. La buena noticia es que la mayoría de ellos se pueden resolver
implementando ISO 27001 ya que esta norma le proporciona una metodología
perfecta para cumplir con todos ellos. (Mesquida, et al., 2010)

Obtener una ventaja comercial: si su empresa obtiene la certificación y sus

competidores no, es posible que usted obtenga una ventaja sobre ellos ante los
ojos de los clientes a los que les interesa mantener en forma segura su
información.

Menores costos: la filosofía principal de ISO 27001 es evitar que se produzcan

incidentes de seguridad, y cada incidente, ya sea grande o pequeño, cuesta
dinero; por lo tanto, evitándolos su empresa va a ahorrar mucho dinero. Y lo mejor
de todo es que la inversión en ISO 27001 es mucho menor que el ahorro que
obtendrá.

Una mejor organización: en general, las empresas de rápido crecimiento no

tienen tiempo para hacer una pausa y definir sus procesos y procedimientos; como
consecuencia, muchas veces los empleados no saben qué hay que hacer, cuándo
y quién debe hacerlo. La implementación de ISO 27001 ayuda a resolver este tipo
de situaciones ya que alienta a las empresas a escribir sus principales procesos
(incluso los que no están relacionados con la seguridad), lo que les permite reducir
el tiempo perdido de sus empleados.

¿Dónde interviene la gestión de seguridad de la información en una empresa?

Básicamente, la seguridad de la información es parte de la gestión global del
riesgo en una empresa, hay aspectos que se superponen con la ciberseguridad,
con la gestión de la continuidad del negocio y con la tecnología de la información:
¿Cómo es realmente ISO 27001?
ISO/IEC 27001 se divide en 11 secciones, las secciones 0 a 3 son introductorias (y
no son obligatorias para la implementación), mientras que las secciones 4 a 10
son obligatorias, lo que implica que una organización debe implementar todos sus
requerimientos si quiere cumplir con la norma. Los controles deben implementarse
sólo si se determina que corresponden en la Declaración de aplicabilidad.

De acuerdo con las Directivas ISO/IEC de la Organización Internacional para la

Normalización, los títulos de las secciones de ISO 27001 son los mismos que en
ISO 22301:2012, en la nueva ISO 9001:2015 y en otras normas de gestión, lo que
permite integrar más fácilmente estas normas. (Patiño, 2016)

¿Cómo implementar ISO 27001?

Para implementar la norma ISO 27001 en una empresa, se deben seguir 16
pasos:

 Obtener el apoyo de la dirección.

 Utilizar una metodología para gestión de proyectos.
 Definir el alcance del SGSI.
  Redactar una política de alto nivel sobre seguridad de la información.
 Definir la metodología de evaluación de riesgos.
 Realizar la evaluación y el tratamiento de riesgos.
 Redactar la Declaración de aplicabilidad.
 Redactar el Plan de tratamiento de riesgos.
 Definir la forma de medir la efectividad de sus controles y de su SGSI.
 Implementar todos los controles y procedimientos necesarios.
 Implementar programas de capacitación y concienciación.
 Realizar todas las operaciones diarias establecidas en la documentación
de su SGSI.
 Monitorear y medir su SGSI.
 Realizar la auditoría interna.
 Realizar la revisión por parte de la dirección.
 Implementar medidas correctivas.

Documentación obligatoria
ISO 27001 requiere que se confeccione la siguiente documentación:

 Alcance del SGSI.

 Objetivos y política de seguridad de la información.

 Metodología de evaluación y tratamiento de riesgos.

 Declaración de aplicabilidad.

 Plan de tratamiento de riesgos.

 Informe de evaluación de riesgos.

 Definición de roles y responsabilidades de seguridad.

 Inventario de activos.

 Uso aceptable de los activos.

 Política de control de acceso.

 Procedimientos operativos para gestión de TI.

  Principios de ingeniería para sistema seguro.

 Política de seguridad para proveedores.

 Procedimiento para gestión de incidentes.

 Procedimientos para continuidad del negocio.

 Requisitos legales, normativos y contractuales.

registros obligatorios:

 Registros de capacitación, habilidades, experiencia y calificaciones.

 Monitoreo y resultados de medición.

 Programa de auditoría interna.

 Resultados de auditorías internas.

 Resultados de la revisión por parte de la dirección.

 Resultados de medidas correctivas.

 Registros sobre actividades de los usuarios, excepciones y eventos de

seguridad.

Por supuesto que una empresa puede decidir confeccionar otros documentos de
seguridad adicionales si lo considera necesario.

¿Cómo obtener la certificación?

Existen dos tipos de certificados ISO 27001: para las organizaciones y para las
personas. Las organizaciones pueden obtener la certificación para demostrar que
cumplen con todos los puntos obligatorios de la norma; las personas pueden hacer
el curso y aprobar el examen para obtener el certificado.

Para obtener la certificación como organización, se debe implementar la norma tal

como se explicó en las secciones anteriores y luego se debe aprobar la auditoría
que realiza la entidad de certificación. La auditoría de certificación se realiza
siguiendo estos pasos:
  paso de la auditoría (revisión de documentación): los auditores
revisarán toda la documentación.
 paso de la auditoría (auditoría principal): los auditores realizarán la
auditoría in situ para comprobar si todas las actividades de una empresa
cumplen con ISO 27001 y con la documentación del SGSI.

 Visitas de supervisión: después de que se emitió el certificado, y durante

su vigencia de 3 años, los auditores verificarán si la empresa mantiene su
SGSI.

Las personas pueden asistir a diversos cursos para obtener certificados. Los más
populares son:
 Curso de Auditor Líder en ISO 27001: este curso de 5 días le
enseñará cómo realizar auditorías de certificación y está orientado a
auditores y consultores.
 Curso de Implementador Principal de ISO 27001: este curso de 5
días le enseñará cómo implementar la norma y está orientado a
profesionales y consultores en seguridad de la información.
 Curso de auditor interno en ISO 27001: este curso de 2 o 3 días le
enseñará los conceptos básicos de la norma y cómo llevar a cabo una
auditoría interna; está orientado a principiantes en este tema y a
auditores internos.

Revisiones 2005 y 2013 de ISO 27001

Como se mencionó anteriormente, la norma ISO 27001 fue publicada por primera
vez en 2005 y luego fue revisada en 2013; por lo tanto, la versión válida actual es
la ISO/IEC 27001:2013.

Los cambios más importantes de la revisión 2013 están relacionados con la

estructura de la parte principal de la norma, las partes interesadas, los objetivos, el
monitoreo y la medición; asimismo, el Anexo A ha disminuido la cantidad de
controles (de 133 a 114) y ha incrementado la cantidad de secciones (de 11 a 14).
En la revisión 2013 se eliminaron algunos requerimientos como las medidas
preventivas y la necesidad de documentar determinados procedimientos.

Sin embargo, todos estos cambios en realidad no modificaron mucho la norma en

su conjunto, su filosofía principal sigue centrándose en la evaluación y tratamiento
de riesgos y se mantienen las mismas fases del ciclo de Planificación,
Implementación, Revisión y Mantenimiento (PDCA, por sus siglas en inglés). Esta
nueva revisión de la norma es más fácil de leer y comprender y es mucho más
sencilla de integrar con otras normas de gestión como ISO 9001, ISO 22301, etc.

Las empresas que han sido certificadas en ISO/IEC 27001:2005 deben hacer la
transición a la nueva revisión 2013 hasta septiembre de 2015 si quieren mantener
la validez de su certificación. (Ladino, et al., 2011)