7 hábitos de las personas altamente productivas

Fuente: Alto Nivel México

Muchas veces los empleados se cuestionan si son productivos o no. Y es que, en la mayoría de los casos, esperamos la respuesta de nuestro jefe para saber si estamos haciendo bien o mal nuestra labor.

El experto en gestión de proyectos, Tony Wong, entregó las siguientes recomendaciones al sitio web Inc, para que adquieras hábitos que permitan realizar tu tarea laboral de manera productiva.

1. Trabajar por objetivos

Elabora una lista de tareas para que te visualices tus actividades en el día. Divide el trabajo en partes pequeñas hasta tareas específicas para que puedas realizar tu labor en unas pocas horas o, incluso, en menos tiempo.

2. No realices múltiples tareas a la vez

Esto no funciona porque al final te aturdas con tanta actividad. Al realizar muchas tareas, tu coeficiente intelectual se reduce en 10 puntos promedio, en el caso de los hombres baja 15 puntos, mientras que las mujeres sólo disminuyen en 5 puntos.

3. Elimina las distracciones

Cierra la puerta, pone un cartel, apaga el teléfono, cierra el correo electrónico y la mensajería instantánea. Anda a un lugar tranquilo y céntrate en completar tu tarea.

4. Programa tu correo electrónico

Revisa dos o tres veces al día tu email, ya que chequearlo constantemente durante todo el día te desconcentra y mata tu productividad.

5. Usa el teléfono

El correo electrónico no es adecuado para realizar conversaciones. No respondas más de dos veces a un e-mail, sino que mejor levanta el teléfono y llama a esa persona.

6. Trabaja en tu propia agenda

Establecer los objetivos prioritarios para el día y el resto de la semana.

7. Trabaja en intervalos de 60 a 90 minutos

El cerebro gasta mayor cantidad de glucosa que cualquier otra actividad física y, por lo general, disminuye después de 60 a 90 minutos. Pasado este tiempo, tómate un aperitivo y haz algo completamente distinto. Eso significa que necesitas una hora adicional para las pausas, sin incluir el almuerzo.

Si sigues estos consejos, podrás alcanzar las ocho horas de trabajo diarias y habrás completado tus labores con éxito. No dudes en cambiar tus hábitos de trabajo.

Lo negro de la Responsabilidad Social en el 2011

Fuente: Expok Noticias

El pasado viernes publicamos un recuento de las 120mejores noticias para la RSE en 2011; sin embargo, como mencionamos en ese post, este año también tuvo sus malos momentos y por supuesto hubo penumbras para nuestra disciplina en ciertos acontecimientos, mismos que hoy exponemos en un nuevo listado.

No obstante las noticias que presentamos a continuación, creemos que la RSE y el desarrollo sustentable avanzan y avanzan bien, por lo que tenemos la esperanza de que el próximo año, este post no tenga cabida aquí.

Siguiendo la misma mecánica para hacer nuestra selección de notas: las más leídas por ustedes en cada uno de los meses, es que les presentamos esta recopilación, escogida por nuestros lectores como los sucesos más oscuros para la RSE en el 2011

Enero 
Si no está roto no lo arregles: Porter y Kramer sobre RSE Esto más que una mala noticia, se trata de un brillante análisis de Antonio Vives al artículo de Porter y Kramer, señalando que éste NO es la Big Idea que proclama la HBR, sino incluso una irresponsabilidad de sus autores.

Febrero
UNICEF rechaza norma “chatarra” de México

Marzo
Receta México medicamentos prohibidos

Abril
Investigan lavado de dinero en Cruz Azul

Mayo
Avon investiga si sus empleados dieron sobornos

Junio
El lado negro del futbol mexicano

Julio
Acusan a GUTSA de corromper estela de luz del Bicentenario

Agosto
Un escándalo de trabajo esclavo salpica a la empresa española Zara en São Paulo

Septiembre
Reebok pagará 25 millones de dólares por publicidad engañosa en dos modelos de zapatillas

Octubre
Porter: “La filantropía no resuelve los problemas de una sociedad, sino los negocios pero hay que redefinirlos”Porter asegura que la filantropía y la Responsabilidad Social Empresarial (RSE) son modelos de negocios limitados que no permiten profundizar en los problemas de un país, por lo que se necesita un nuevo modelo

Noviembre
Empresas mexicanas, las terceras más corruptas del mundo: Transparencia Internacional

Diciembre
¿Podemos confiar en los sellos, distintivos y certificaciones responsables? Victoria’s Secret, con todo y su etiqueta de algodón de comercio justo es acusada de usar niños en Africa en su cadena de suministro.

La nueva ISO 19011:2011

Por Oscar Alvarez de la Cuadra López

Esta nueva norma que sustituye a la ISO 19011:2002, fue publicada por la ISO el 15 de noviembre del 2011 y representa una revision exhaustiva de dicha norma, ante la evolución que han tenido los sistemas de gestión y la necesidad de separar las auditorías de primera y segunda parte, de las de tercera parte realizadas por organismos encargados de la evaluación de la conformidad. El alcance y campo de aplicación de esta nueva ISO 19011 abarca a auditores, organizaciones que implementan sistemas de gestión, organizaciones que necesitan realizar auditorías de sistemas de gestión por razones legales o contractuales, organizaciones de necesiten realizan un autodeclaración o aquellas que tengan que formar o certificar auditores.

Uno de los aspectos más relevantes de esta nueva norma fue la separación de las auditorías de tercera parte de las de primera y segunda parte, ante la aparición de la norma ISO/IEC 17021:2011 por parte de ISO/CASCO que dicta los lineamientos de buenas prácticas para organismos certificadores.

Entre los cambios más importantes con los que cuenta  esta norma son:

·       Incorporación de dos nuevos principios para los auditores y para quienes gestionan el programa de auditoria:  integridad y confidencialidad.

·       Mención del “riesgo” como concepto y en el programa de auditorías.

·       Puntualización de la competencia de los responsables del programa de auditorías.

·       Ampliación de conocimientos y habilidades genéricas en sistemas de gestión de calidad, medio ambiente, salud y seguridad en el trabajo, riesgos, seguridad y capacidad de respuesta, continuidad, seguridad en el transporte y

·       Adición de nuevos anexos y eliminación de los cuadros de ayuda en el texto de la norma, como se manejaba en ISO 19011:2002.

El contenido de la nueva norma se presenta a continuación:

·       Principios de auditoría

·       Gestión de un programa de auditoría

·       Actividades de auditoría

·       Competencia y evaluación de auditores

·       Anexo A. Conocimientos y habilidades específicas por disciplina de auditores

·       Anexo B. Ejemplosdela evaluaciones específicas por disciplina de la competencia de equipos de auditoría

·       Anexo C.Guía adicional para auditors para planificar y realizar auditorías

El impacto de esta norma repercutirá en los auditores internos, de segunda parte, consultores, empresas certificadas, por certificarse y las que cuenten con sistemas integrales. Se estima un período de  transición  aún no definido, para actualizarse a los nuevos conceptos de esta norma.

Actualmente la norma puede adquirirse a través de la página de la ISO, http://www.iso.org a un costo de 142 francos suizos (aprox. $ 2075.40 MN al mes de diciembre de 2011) y únicamente en versiones en inglés y francés, tanto impresa como en pdf. El Instituto Mexicano de Normalización y Certificación ha sometido el proyecto de la  NMX-SAA-19011 a encuesta pública para que en 60 días pueda aparecer la ISO 19011:2011 en su equivalente en español como NMX en febrero o marzo del 2012.

Grupo CRASA y Asociados ha incorporado a sus cursos de formación de auditores ISO 9001, ISO 14001 y auditores integrales las provisiones de esta nueva ISO 19011:2011.

Empresas mexicanas, las terceras más corruptas del mundo: Transparencia Internacional

Las empresas mexicanas son percibidas como las terceras más propensas en el mundo a participar en actos de corrupción, superadas únicamente por las rusas y chinas, según un índice de Transparencia Internacional.

Transparencia Internacional consultó a 3 mil ejecutivos y empresarios de países desarrollados y en vías de desarrollo y elaboró una lista de 28 países medidos con un índice de 0, que indica que se recurre siempre al cohecho, a 10, que representa que jamás se ofrecen pagos ilegales.

Rusia, con un índice de 6.1 aparece como el país con las empresas más propensas a pagar sobornos a funcionarios en el exterior para conseguir beneficios. Después China, con un índice de 6.5, y México en el tercer sitio con índice de 7.0.

En el otro extremo de la tabla aparecen Holanda y Suiza, con 8.8, y Bélgica, con 8.7, como países cuyas empresas difícilmente se ven involucradas en sobornos a funcionarios extranjeros.

Brasil aparece a media tabla en el estudio de Transparencia Internacional, con un índice de 7.7, mientras que Argentina aparece con 7.3, empatada con Arabia Saudí.

“Es evidente que los sobornos son una rutinaria práctica empresarial para demasiadas compañías y atraviesa todos sus negocios, no apenas con funcionarios públicos”, señaló la directora de la entidad, Huguette Labelle.

El estudio de Transparencia Internacional analiza también el esfuerzo de los poderes públicos, tanto en China como en Rusia, para enfrentar las tentativas de corrupción por parte de sus empresas.

Responsables de la entidad en Rusia lamentaron la falta de severidad de las empresas en este sentido. En Rusia existe la ilusión que la corrupción es una cuestión de asuntos internos de las firmas, dijo Elena Panfilova, directora de Transparencia Internacional en Moscú.

En el caso específico ruso, el estudio destacó que en un análisis similar realizado en 2008 las empresas habían terminado con un índice de 5.9, mostrando inclinación aún más marcada todavía a pagar sobornos.

“Si no sancionamos a responsables en el país de forma activa y severa, los empresarios comienzan a emplear los mismos métodos en el extranjero”, añadió Panfilova.

Rusia, por ejemplo, tampoco posee una legislación que se ocupe de la protección de personas que denuncien casos de corrupción.

De acuerdo con Transparencia Internacional, el sector de la construcción y las obras públicas son los más afectados por el fenómeno, seguidos por los de servicios y el mercado inmobiliario. En tanto, la agricultura es la actividad menos comprometida por la corrupción.

Transparencia Internacional realiza numerosos estudios sobre el tema, siendo el más conocido el Índice de Percepción de la Corrupción en el mundo, que deberá ser divulgado el 1 de diciembre.

Fuente: Reforma.com
Publicada: 2 de noviembre de 2011.

ISO/IEC 20000-1:2011 Sistema de Gestión de Servicios de Tecnologías de la Información.

Los servicios de Tecnología de la Información deben estar enfocados a atender los objetivos y necesidades del negocio.

Por Hugo López Reyes. Consultor asociado

Los servicios de Tecnología de la Información deben estar enfocados a atender los objetivos y necesidades del negocio.

En los últimos años el área de Tecnologías de la Información (TI) en la empresa se ha enfrentado a mayores presiones por parte de la organización, a fin de proveer en tiempo y forma los servicios que sus usuarios demandan, ya sea que los servicios de TI se provean de manera interna y/o a través de un proveedor externo, la demanda es siempre la misma, mejorar el nivel de servicio de tal forma que la organización cuente con la infraestructura y los servicios que le permitan incrementar su productividad y alcanzar los objetivos del negocio. 

Un Sistema de Gestión de Servicios de Tecnologías de la Información es un enfoque integral para permitir que la organización cuente con servicios administrados de TI eficaces y eficientes que le permitan satisfacer los requerimientos del negocio y de sus clientes.

Las organizaciones dependen hoy en día de la infraestructura y servicios de TI y principalmente de la información (a la que la organización tiene acceso a través de ellos). El negocio como parte de su evolución y la competencia, demanda que los servicios de TI evolucionen a ritmos acelerados, entregando servicios cada vez más completos, más complejos y más eficientes. Esta evolución está determinada por la necesidad del negocio de incrementar su productividad, reducir costos y mejorar la calidad, de esta forma el área de TI en una organización es crítica y se ha constituido en un elemento clave para la competitividad y éxito de las empresas.

Los Proveedores de Servicios de TI (ya sean internos y/o externos) tienen el reto permanente de mantener altos niveles de servicio para sus clientes, en particular en un ambiente con una gran diversidad de tecnologías disponibles y cambiantes. Con frecuencia el área de TI invierte mucho tiempo reaccionando para atender las nuevas necesidades del negocio y muy poco en la planeación, entrenamiento, investigación y trabajo con sus usuarios y clientes. Al mismo tiempo a los proveedores del área de TI se les pide de manera continua que mejoren la calidad de sus productos y servicios, bajen los costos y den una respuesta más rápida a las nuevas necesidades.

 Ante este escenario se hace indispensable contar con un enfoque integral que nos permita entregar y administrar los servicios de TI, de tal forma que la empresa pueda tener mejor control, productividad y eficiencia. 

La norma ISO/IEC 20000-1:2011 es un estándar que provee un modelo para establecer, implementar, operar, monitorear, revisar, mantener y mejorar un Sistema de Gestión de los Servicios de Tecnologías de la Información. Esta norma considera a las personas, los procesos y los Sistemas de TI, pero sobre todo a los clientes y usuarios de estos servicios.

Un Sistema de Gestión de los Servicios de Tecnologías de la Información debidamente implementado busca optimizar los servicios de TI, satisfaciendo los requerimientos del negocio, administrando estratégicamente la infraestructura de TI y sobre todo cumpliendo con los niveles de servicio demandados por lo usuarios (internos y/o externos).

La norma ISO/IEC 20000-1:2011 establece 5 grupos de procesos clave para la gestión de los servicios de TI.

1. Procesos de Diseño y Transición de Servicios Nuevos o Modificados. Incluye la planeación de servicios nuevos o modificados, diseño y desarrollo de servicios nuevos o modificados, transición de servicios nuevos o modificados.

2. Procesos de Entrega del Servicio: Incluye la gestión de los niveles de servicio, reportes del servicio, gestión de la continuidad y disponibilidad del servicio, presupuesto y contabilidad de los servicios de TI,  gestión de la capacidad y gestión de la seguridad de la información.

3. Procesos de Relacionamiento: Incluye la gestión del relacionamiento del negocio (clientes) y gestión de proveedores.

4. Procesos de Resolución: Incluye la gestión de incidentes y solicitudes de servicio y la gestión de problemas.

5. Procesos de Control: Incluye gestión de la configuración, gestión de cambios y la gestión de la liberación e implementación (publicación).

El siguiente diagrama resume el contenido de la norma ISO/IEC 20000-1:2011:

Contenido de la Norma ISO/IEC 20000-1:2011

1.  Alcance

2.  Referencias Normativas

3. Términos y definiciones

4.  Requisitos Generales del Sistema de Gestión del Servicio (SGS)

4.1. Responsabilidad de la dirección

4.2. Gobernabilidad de los procesos operados por otras partes

4.3. Gestión de la Documentación

4.4. Gestión de Recursos

4.5. Establecer y Mejorar el SGS

4.5.1. Definir el Alcance

4.5.2. Planear el SGS (Planear)

4.5.3. Implementar y Operar el SGS (Hacer)

4.5.4. Monitorear y Revisar el SGS (Verificar)

4.5.5. Mantener y Mejorar el SGS (Actuar)

5. Diseño y transición de servicios nuevos o modificados

5.1. General

5.2. Planeación de servicios nuevos o modificados

5.3. Diseño y desarrollo de servicios nuevos o modificados

5.4. Transición de servicios nuevos o modificados

6. Procesos de entrega del servicio

6.1. Gestión de niveles de servicio

6.2. Reportes del servicio

6.3. Gestión de la continuidad y disponibilidad del servicio

6.4. Presupuesto y contabilidad de los servicios de TI

6.5. Gestión de la capacidad

6.6. Gestión de la seguridad de la información

7. Procesos de relacionamiento

7.1. Gestión del relacionamiento del negocio

7.2. Gestión de proveedores (terceros)

8. Procesos de resolución

8.1. Gestión de incidentes y solicitudes de servicio

8.2. Gestión de problemas

9. Procesos de control

9.1. Gestión de la configuración

9.2. Gestión de cambios

ISO/IEC 27001:2005 - Sistemas de Gestión de la Seguridad de la Información

Por Hugo López Reyes

La información es sin lugar a dudas uno de los activos más importantes de cualquier organización y requiere de una protección adecuada. La seguridad de la información protege a su organización de una amplia gama de amenazas y riesgos, busca garantizar la confidencialidad, disponibilidad e integridad de su información, reduciendo los daños potenciales y maximizando el retorno de la inversión y las oportunidades de negocio.

La información es la columna vertebral de la que dependen las organizaciones y existe en muchas formas y medios. Está impresa ó escrita en papel, se almacena, envía y transmite en medios electrónicos y redes de comunicaciones (como internet), se tiene en video ó audio y se maneja en nuestras conversaciones diarias. En un ambiente tan competido es un activo muy valioso y está expuesta constantemente a distintas amenazas, las cuales pueden ser internas, externas, accidentales ó deliberadas. Al utilizar cada vez más tecnología, se han abierto las puertas al número y tipos de amenazas.

La creciente exposición a violaciones de seguridad y el valor creciente de la información para la organización, determinan la necesidad de que las empresas protejan de manera sistemática su activo más importante: “La Información”. Un Sistema de Gestión de la Seguridad de la Información es una forma sistemática de manejar y administrar la información sensible de una compañía para reducir los riesgos de acceso no autorizado, alteración y pérdida de la información. Abarca a las personas, los procesos, las tecnologías de la información y toda la información de la empresa sin importar en que forma se encuentre.

Su organización debe establecer un Sistema de Gestión de la Seguridad de la Información, el cual le permita asegurar la confidencialidad, disponibilidad e integridad de la información Corporativa, de sus Clientes y Proveedores. La norma ISO/IEC 27001:2005 provee un modelo para establecer, implementar, operar, monitorear, revisar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información.

En esta norma se define la seguridad de la información como la preservación de la confidencialidad, integridad y disponibilidad de la información. Estas propiedades de la información la podemos definir de la siguiente manera:

Confidencialidad: Acceden a la información únicamente quienes están autorizados, trátese de personas, entidades o procesos.

Integridad: La información es precisa, confiable y completa.

Disponibilidad: La información está disponible cuanto la necesitan quienes están autorizados a acceder a ella.

La norma ISO/IEC 27001:2005 parte de una adecuada Gestión de Riesgos, podemos decir entonces que se trata de un Sistema de Gestión de la Seguridad de la información que contiene dentro de él, y como parte toral y fundamental, a un Sistema de Gestión de Riesgos.

La Gestión de Riesgos de la Seguridad de la información parte de una adecuada valoración de los riesgos, la cual incluye la definición de una metodología para llevarla cabo, la definición del criterio de aceptación de riesgos,  la adecuada identificación de: activos, amenazas, vulnerabilidades, impactos (por la pérdida de de confidencialidad, integridad y disponibilidad) y la evaluación del riesgo, para de esta forma identificar las opciones de tratamiento de riesgos, seleccionar controles cuando sea aplicable (utilizando como base el Anexo A de la norma, en primera instancia, más los controles adicionales que se consideren necesarios), determinar los riesgos residuales, documentar todo el proceso (en particular el Documento de Aplicabilidad) y una vez obtenida la aprobación de la alta dirección estaremos en condiciones de formular el Plan de Tratamiento de Riesgos e implementarlo. Por supuesto debemos implementar, mantener, monitorear, revisar  y mejorar, para completar el ciclo de la Gestión de Riesgos.

La norma cuenta con un Anexo A el cual identifica 37 objetivos de control y 133 controles, la norma no pide que  todos sean implementados, pero solicita que aquellos que no lo sean se documente la justificación de su exclusión.

La norma ISO/IEC 27001:2005 ha sido objeto de una gran atención y trabajo, de tal forma que se cuenta con una  cantidad muy importante de documentos, ya publicados o bien que se planea sean publicados, de los cuales incluimos a continuación algunos de ellos:

• ISO/IEC 27000 : 2009 – Information technology -- Security techniques -- Information security management systems -- Overview and vocabulary
• ISO/IEC 27001 : 2005 – Information technology -- Security techniques -- Information security management systems -- Requirements  (Certificable) (BS7799-2)
• ISO/IEC 27002 : 2005 – Information technology -- Security techniques -- Code of practice for information security management (ISO/IEC 17799:2005 BS7799-1:2005)
• ISO/IEC 27003 : 2010 – Information technology -- Security techniques -- Information security management system implementation guidance
• ISO/IEC 27004 : 2009 – Information technology -- Security techniques -- Information security management -- Measurement
• ISO/IEC 27005 : 2011 – Information technology -- Security techniques -- Information security risk management (ISO/IEC 27005: 2008, BS7799-3:2006)
• ISO/IEC 27006 : 2007 – Information technology -- Security techniques -- Requirements for bodies providing audit and certification of information security management systems
• ISO/IEC 27011 : 2008 – Information technology -- Security techniques -- Information security management guidelines for telecommunications organizations based on ISO/IEC 27002
• ISO/IEC 27799 : 2008 – Health informatics -- Information security management in health using ISO/IEC 27002
• etc.

El ciclo PHCA resume el contenido de la Norma ISO/IEC 27001:2005:

• Planear: Establecer el SGSI: Establecer la política, objetivos, procesos y procedimientos relevantes del SGSI  para gestionar el riesgo y mejorar la seguridad de la información, para entregar resultados de acuerdo con las políticas y objetivos de la organización.
• Hacer: Implementar y operara el SGSI: Implementar y operar la política, controles, procesos y procedimientos.
• Checar: Monitorear y revisar el SGSI: Evaluar y, donde aplique, medir el rendimiento de los procesos en relación a la política del SGSI, objetivos y experiencia práctica, y reportar los resultados a la dirección para su revisión.
• Actuar:    Mantener y mejorar el SGSI: Tomar acciones correctivas y preventivas basados en los resultados de auditorías internas al SGSI, revisiones de la  dirección o alguna otra información relevante, para lograr la mejora continua del SGSI.

Contenido de la Norma ISO/IEC 27001:2005:

0 Introducción

0.1 Generalidades

0.2 Enfoque basado en procesos

1 Objeto y campo de aplicación

1.1 Generalidades

1.2 Aplicación

2 Referencias normativas

3 Terminología

4 Sistema de Gestión de la Seguridad de la Información (SGSI)

4.1 Requisitos Generales

4.2 Establecer y gestiona el SGSI

4.2.1 Establecer el SGSI

4.2.2 Implementación y operación del SGSI

4.2.3 Monitoreo y Revisión del SGSI

4.2.4 Mantener y mejorar el SGSI

4.3 Requerimientos de documentación

4.3.1 General

4.3.2 Control de Documentos

4.3.3 Control de Registros

5 Responsabilidad de la Dirección

5.1 Compromiso de la Dirección

5.2 Gestión de recursos

5.2.1 Provisión de recursos

5.2.2 Entrenamiento, concientización y competencias

6. Auditorías internas del SGSI

7 Revisión por la Dirección del SGSI

7.1 Generalidades

7.2 Información para la revisión

7.3 Resultados de la revisión

8 Mejoras al SGSI

8.1 Mejora continua

8.2 Acción correctiva

8.3 Acción preventiva

ANEXO A

Incluimos a continuación los objetivos de control documentados en el Anexo A de la norma, no debemos olvidar que este anexo documenta 133 controles, los cuales no se incluyen aquí.

A.5 Política de Seguridad

A.5.1. Política de seguridad de la información

A.6 Organización de la Seguridad de la Información

A.6.1 Organización interna

A.6.2. Partes externas

A.7 Gestión de Activos

A.7.1 Responsabilidad por los activos

A.7.2 Clasificación de la información

A.8 Seguridad de los recursos humanos

A.8.1 Previo al empleo

A.8.2 Durante el empleo

A.8.3 Terminación o cambio de empleo

A.9 Seguridad física y ambiental

A.9.1 Areas seguras

A.9.2 Equipo de seguridad

A.10 Gestión de las comunicaciones y operaciones

A.10.1 Procedimientos de operación y responsabilidades

A.10.2 Gestión de la prestación de servicios de terceros

A.10.3 Planeación y aceptación de sistemas

A.10.4 Protección contra código malicioso y móvil

A.10.5 Respaldo

A.10.6 Gestión de la seguridad de la red

A.10.7 Manejo de media de almacenamiento

A.10.8 Intercambio de información

A.10.9 Servicios de comercio electrónico

A.10.10 Monitoreo

A.11 Control de acceso

A.11.1 Requisitos del negocio para control de acceso

A.11.2 Gestión del acceso de los usuarios

A.11.3 Responsabilidades de los usuarios

A.11.4 Control de acceso a la red

A.11.5 Control de acceso al sistema operativo

A.11.6 Control de acceso a las aplicaciones e información

A.11.7 Cómputo móvil y trabajo remoto

A.12 Adquisición, desarrollo y mantenimiento de sistemas de información

A.12.1 Requisitos de seguridad de los sistemas de información

A.12.2 Procesamiento correcto en las aplicaciones

A.12.3 Controles criptográficos

A.12.4 Seguridad de los activos del sistema

A.12.5 Seguridad en los procesos de desarrollo y soporte

A.12.6 Gestión de la vulnerabilidad técnica

A.13 Gestión de incidentes de seguridad de la información

A.13.1 Reporte de eventos y debilidades de la seguridad de la información

A.13.2 Gestión de incidentes y mejoras de la seguridad de la información

A.14 Gestión de la continuidad del negocio

A.14.1 Aspectos de la seguridad de la información de la gestión de la continuidad del    negocio

A.15 Cumplimiento

A.15.1 Cumplimiento con los requisitos legales

A.15.2. Cumplimiento con políticas y estándares de seguridad y cumplimiento técnico

A.15.3 Consideraciones de auditoría de los sistemas de información

En la siguiente liga podrá encontrar una presentación sobre este tema SEGURIDAD EN LA INFORMACION.pdf

Ing. Hugo López

Experto en sistemas de gestión enfocados a organizaciones de TI: Sistemas de Gestión de la Calidad (ISO 9001), Sistemas de Gestión de Seguridad de la Información (ISO27001), Sistemas de Gestión de Servicios de Tecnología de la Información (ISO20000), ITIL, COBIT, Gestión de Riegos.

Cuenta con más de 25 años de experiencia en la industria de TI, tanto a nivel nacional como internacional, cubriendo puestos gerenciales y directivos en

• IBM
• Hitachi Data Systems
• StorageTek
• Gobierno Mexicano (diferentes secretarías de estado y paraestatales)

En estas organizaciones fue responsable del diseño, planeación, implementación, administración, operación y soporte de soluciones de software, hardware, redes, telecomunicaciones, administración de activos, proyectos de outsourcing, etcétera. Fue reconocido en diversas ocasiones por su labor (Excellence Award, Management Excellence Award, Golden Circle Membership).

Si usted desea que publiquemos un articulo o colaboración favor de mandarlo a la  siguiente dirección  joseluis.arreola@calidad.com.mx

Alarmante realidad. Sept. 2011

El Financiero

Sólo 0.2% de empresas cuenta con certificación de calidad

•México ocupa el cuarto lugar de América Latina en acreditación ISO.

En México sólo 0.2 por ciento de las empresas cuentan con una certificación de calidad, y entre los países de América Latina ocupa el cuarto lugar, después de Brasil, Chile y Argentina, que tienen el mayor número de firmas con una acreditación del grupo de normas ISO.

Santiago Macías Herrera, coordinador general del Comité Nacional de Productividad e Innovación (Compite), señaló que en 2005 en el país había cinco mil empresas con un certificado de algún proceso de calidad y en la actualidad son nueve mil 500.

Es decir que en México hay 30.9 por ciento más negocios que cuentan con alguna certificación del grupo ISO.

Opinó que el país ha avanzado en materia de certificación de calidad, pero aún le falta un largo camino para pasar esta asignatura, porque, por ejemplo, para llegar a ser el país número uno de la región es necesario que 15 mil firmas cuenten con un título de ISO.

A nivel global, por las nueve mil 500 que cuentan con alguna de esas acreditaciones, el país está ubicado en el escalón 30, mientras que China lidera en esta materia.

Tan sólo en 2007 en el país asiático había 210 mil 773 empresas certificadas, seguido de Italia, con 115 mil 359, y Japón, con 73 mil 176.

Del total de empresas mexicanas con ISO, 60 por ciento son del sector industrial, 30 por ciento de servicios y las demás del comercio.

También destacó que 60 por ciento de las firmas con certificado son micro, pequeñas y medianas y el restante 40 por ciento son grandes empresas y del sector público.

Problemas

En conferencia de prensa, donde anunció la celebración del 13 Congreso Internacional de Calidad para Mipymes 2001 y el Noveno Congreso Internacional de Responsabilidad Social 2011, para el 26 y 27 de septiembre, respectivamente, indicó que entre los mayores problemas que se han identificado en las empresas antes de conseguir su certificación están: una deficiente organización y dificultades de operación.

Macías Herrera criticó que el presupuesto para apoyar a las pequeñas y medianas empresas (Pymes) sea pequeño, porque 97.7 por ciento de los establecimientos en el país son de este segmento productivo, además de que generan 80 por ciento del empleo.

México cuenta con cinco millones 144 mil 56 empresas, de las cuales, 95.2 por ciento (4.8 millones) son micro, 4.3 por ciento (221 mil 194) pequeñas, 0.3 por ciento (15 mil 432) medianas y 0.2 por ciento (diez mil 288) grandes.

Precisó que para una microempresa el costo de certificarse es de entre ocho mil y diez mil pesos, esto con apoyo del Fondo Pyme de la Secretaría de Economía (SE), mientras que para una pequeña puede ser de hasta 30 mil pesos, a pagar en diez meses.

Una norma ISO es una fórmula que tiene valor de regla y su finalidad es definir las características que debe poseer un objeto y los productos que han de tener una compatibilidad para ser usados a nivel internacional.

La finalidad principal de las normas ISO es orientar, coordinar, simplificar y unificar los usos para conseguir menores costos y efectividad.

En la actualidad, para que una empresa pequeña pueda convertirse en proveedora de las grandes firmas o tenga mayores posibilidad de colocar sus productos en el exterior, debe contar con una certificación de calidad

El Economista

México está rezagado en la certificación de sus empresas

Si bien México incrementó en 32% el número de empresas certificadas en calidad durante los últimos seis años, al llegar a 9,500 negocios, dicha cifra apenas representa 0.2% del universo total de empresas existentes en el país, lamentó Santiago Macías, director general del Comité Nacional de Productividad e Innovación Tecnológica (Compite).

Agregó que pese a ser la segunda economía más fuerte y grande de América Latina, México está posicionado en el cuarto sitio de la región en cuanto al número de empresas con certificado de calidad, después de Brasil, Argentina y Chile; mientras que a nivel mundial se ubica en el lugar 30.

Y es que una empresa sin certificación de calidad está limitada a vender en el exterior -los países europeos no importan productos si no están certificados-, además de que no pueden ser proveedoras de grandes empresas y mucho menos pueden aumentar sus volúmenes de ventas e ingresos, aseveró el directivo.

Por ejemplo, el Sistema ISO-9000 es la columna vertebral sobre la que se sustenta la calidad en las empresas más exitosas en el comercio internacional, la aplicación de estas normas tiene carácter voluntario y su uso garantiza la calidad homogénea e incrementa la credibilidad y confianza entre clientes y proveedores.

ara el Director del Compite resulta absurdo que los negocios no implementen sistemas de calidad en su empresa, puesto que el aspecto financiero ya no es un obstáculo para llevarlo a cabo debido a que los programas de este tipo son financiados por los gobiernos.

Contribución del gobierno

La Secretaría de Economía cuenta con un fondo para apoyar a las empresas con 65% del costo del programa -ya sea de calidad o de medio ambiente-, además de que los gobiernos estatales financian con 10 a 15%, mientras el resto lo paga la empresa.

Certificar a una empresa tiene un costo de 100,000 pesos, pero por el financiamiento otorgado el negocio pagaría aproximadamente 8,000 pesos por ocho meses, explicó en conferencia de prensa, luego de anunciar el Congreso Internacional de Responsabilidad Social.

México cuenta con 9,500 empresas certificadas, de las cuales 30% corresponde al sector industrial, 60% a servicios y 10% de comercio; mientras que en el 2005 había 7,200 negocios reconocidos.