Documentos de Académico
Documentos de Profesional
Documentos de Cultura
MPDE
Ministerio de Trabajo -Operador Capacitación MDT-SCP-2022-0018
099 866-3385 / gerencia@rodrigoflores-consultores.com
www.rodrigoflores-consultores.net
GESTIÓN DE SISTEMAS
INTREGRADOS
El presente documento tiene como finalidad, dar una orientación metodológica para integrar sistemas de gestión
propuestos por estándares ISO, teniendo como principales áreas de conocimiento (AC) para su integración: Seguridad
de Información, Riesgos, Continuidad de Negocio.
3. Contexto Interno: asuntos o factores internos de la organización que pueden considerarse Fortalezas y Debilidades
en la implantación o adopción sistema de gestión (SG). Puede utilizarse metodología FODA
Esta cláusula invita a lograr un conocimiento de la organización, para tener una “idea” respecto a la factibilidad a priori
de la gestión y de la implantación del SG. La documentación resultante de este apartado retroalimentará la cláusula
4.3, en algunos estándares no es requisito obligatorio.
Categorizar las Partes Interesadas en función del grado de Poder, Legitimación y Urgencia; influencia e impacto.
Identificar las necesidades, expectativas y los REQUISITOS de partes interesadas que se deben cumplir al
implementar el sistema de gestión según norma ISO adoptada en la organización.
La identificación de Partes Interesadas puede aplicarse para cumplimiento de algunos estándares como ISO: 20000 (Gestión Servicios
Tecnológicos); 37001 (Anti soborno); ISO 31022 (Riesgo Legal), 9001, 27001 (Seguridad Información) , 22301 (Continuidad de Negocio)
entre otras; siempre que verifiquemos que la norma tenga como año mínimo de actualización 2013 en adelante.
2. Identificar las necesidades, expectativas y los REQUISITOS de partes interesadas que se deben cumplir al
implementar el sistema de gestión según norma ISO adoptada en la organización (4.2)
Partes interesadas son internas o externas: Persona u organización que puede afectar, ser afectada o
percibir que está afectada por una decisión o actividad.
Límite Organizacional
a. Productos y servicios (P/S) de la
organización: es decir enfocarse en el core del
negocio. Aquellos P/S relevantes, aplicando
matriz BCG.
Límite Geográfico
Se declara donde se ejecuta las operaciones
para la entrega de P/S + Proceso Misional, es
decir la localización o ubicación de sedes, instalaciones y su dirección.
Límite Tecnológico
Existirá en algunas estándares o normas ISO, que solicite la identificación de los recursos tecnológicos
esenciales que permite la ejecución de los procesos y la entrega de P/S seleccionados en los límites antes
descritos.
La declaración del alcance del SG, debe estar documentado y formalizado (firmas de aprobación), describiendo
CLARAMENTE los límites y las exclusiones (las demás P/S, Procesos u Tecnologías que no fueron considerados).
3. Comunicar las necesidades de gestión o mejoramiento que son resultado del análisis interno de la organización
(4.1).
La política:
Una declaración de principios generales que la empresa
u organización se compromete a cumplir, es decir define
Reglas y Directrices acerca del comportamiento.
2. Política del Sistema de Gestión: este mencionará como funcionar el sistema de gestión, y que este alineado a
políticas institucionales, valores corporativos, tome en consideración expectativas y requisitos de partes
interesadas (internas y externas).
OFICIAL según el estándar será de Calidad, Seguridad Información, Riesgos, etc. Tiene como principal
responsabilidad el desarrollo de metodologías, documentación para el cumplimiento de los requisitos obligatorios
para la certificación del SG según el estándar acogido por la organización.
DUEÑOS DE PROCESOS generalmente relacionados con el límite organizacional descrito el alcance del SG,
mismo que tiene la responsabilidad de aplicar las directrices, metodologías aprobadas por la organización para la
implantación del SG.
Por ejemplo: No disponibilidad de recursos (Humano, Técnico, Económico), Falta de compromiso e interés de
Alta Gerencia, Alta Rotación del Personal clave del proyecto de implementación, Insuficiente competencias del
personal para implementar el SG, entre otros.
2.Identificar aquellos riesgos que afecten con el propósito del estándar ((calidad, seguridad información, continuidad
de negocio, etc.) al momento de “aterrizarlo” hacia la organización.
Se puede utilizar ISO 31000 como marco metodológico para desarrollar la gestión de riesgos y que se destina a
cualquier área de aplicación (calidad, seguridad información, ocupacional, continuidad, etc).
criterios de impacto: permiten conocer la postura de la organización en cuanto a su predisposición (interés) a los
riesgos. Se debe establecer un conjunto de criterios cualitativos o cuantitativos con los cuales se podrá evaluar
el efecto del riesgo contra la misión y objetivos de la organización. Reputación/confianza del cliente, Financiera,
Productividad
Criterio de Probabilidad: son la medida referente a la frecuencia de ocurrencia del evento (Amenaza), si se ha
materializado (por ejemplo: número de veces en un tiempo determinado), o de factibilidad teniendo en cuenta la
presencia de factores internos y externos que pueden propiciar el riesgo, aunque este no se ha materializado.
Esta metodología debe ser documentada, probada, aprobada y comunicadamente a los diferentes actores dentro
del SG descritos en la cláusula 5 Liderazgo. (Comité, Oficial, Dueño de Procesos, entre otros). Es un requisito obligatorio
para algunos SG.
“La organización debe establecer los objetivos de XXX (calidad, seguridad información, riesgos, etc) en las funciones y
niveles pertinentes”.
• lo que se hará
• qué recursos serán necesarios
• quién será responsable;
• cuando se completará;
• y cómo se evaluarán los resultados.
7.1 Recursos
Como todo sistema de gestión, se apoya en el enfoque de procesos, es decir Entradas (insumos), Actividades Propias,
Salidas (productos), y los recursos requeridos para la interacción del proceso, se podría levantar un listado de
recursos considerando la siguiente clasificación: Instalaciones, Tecnología, Información, Suministros, RRHH,
Proveedores. Con este enfoque + recursos monetario y hora/hombre; en cada actividad clave para cumplir el requisito
del estándar se debería identificar los recursos necesarios para su ejecución.
7.2 Competencias
Una buena práctica es la revisión de las cláusulas de las normas, identificar los requisitos obligatorios y establecer que
conocimientos permiten dar cumplimiento al requisito para establecer las áreas de conocimiento y consecuentemente
las competencias.
7.3 Concienciación
Por ejemplo: Si gestionamos Seguridad de Información en el Sistema Integrado, los resultados de riesgos arrojan
que la mayoría de usuarios al gestionar sus claves, éstas se encuentran visibles en sus escritorios y adicional no son
“robustas y seguras”, al momento de aplicar la concienciación, se buscará los medios de comunicación más efectivos
(según la cultura organizacional) para reforzar un cambio de Hábito o de comportamiento sobre el uso correcto y
generación de claves, mostrando de ser posibles los efectos para la organización, sus procesos de negocio, y de igual
manera las sanciones establecidas por el incumplimiento de directrices, políticas establecidas, aprobadas y formalizadas
dentro de la organización.
7.4 Comunicación
Dependerá del público objetivo al interior de la organización la priorización de los contenidos a ser comunicado, por
ejemplo, la política de gestión del Sistema Integrado (qué) (son las directrices según el área de aplicación: seguridad
de información, continuidad de negocio, calidad, etc) es un contenido que DEBE ser comunicado a toda la organización,
en ese caso se determinará los medios más idóneos (intranet, mailing, sesiones informativas, etc) según la cultura
organizacional.
La periodicidad en la comunicación de contenidos, responde al seguimiento y los resultados obtenidos en la
implementación y maduración del sistema integrado; por ejemplo: al implantar “políticas de seguridad de información”
y su instrumentación a través de controles tecnológicos demanda que la comunicación sea continua, puesto que el
recurso humano debe comprender, adaptar las directrices y el uso de herramientas (controles) a su diario labor, lo cual
implica contar con medios de comunicación fluidos para “detectar” aquellos factores que inciden en el desarrollo del
sistema de gestión, y en algunos casos tomar los correctivos apoyados en algunos aspectos descritos en la
concienciación (7.3); roles y responsabilidades (5.3) entre otros.
7.5 Documentación
3. Es importante considerar el CICLO de VIDA de los DOCUMENTOS, para tener presente el nivel de protección, revisión, modificación,
eliminación.
4. Una buena práctica es la aplicación de LISTA MAESTRA DOCUMENTOS, donde se “mapea” los documentos generados por cumplimiento
de requisito según cláusula donde se tiene como principales elementos: Manual, política, procedimiento, instructivos técnicos, registros.
a) Política: describe los lineamientos generales que debe seguir una organización e indicar el compromiso de la organización con
respecto a las áreas de conocimiento adoptadas.
b) Procedimiento: describe el “cómo”, es decir dictan los pasos operativos específicos para cumplimiento de los requisitos.
c) Instructivo Técnico: Detallan las actividades a nivel de tareas que se tienen que llevar a cabo, enfocándose en la secuencia
de cada paso, y en las herramientas y métodos que serán utilizados con la exactitud requerida.