Cyber
Normativa
Normativa
  • Practica1.1 Aplicacion Jerarquia Legislativa
  • ENS 1
  • Practica2.1 ISO37301 2021
  • Practica2.2 ISO31000
  • Presentacion normativa Ley Instalaciones Criticas
  • ENS (apuntes)
Powered by GitBook
On this page
  • EJERCICIO 1
  • Define que es un Sistema de Gestion de Compliance
  • Clasificacion de empresas según su función y la normativas que les afectan
  • EJERCICIO 2
  • ¿Es certificable?
  • ¿Cuáles son los principios fundamentales que guían la norma ISO 37301?
  • ¿Cuál es el propósito principal de la ISO 37301 en términos de gestión empresarial?
  • ¿Qué beneficios concretos puede ofrecer la implementación de la ISO 37301 a una organización?
  • ¿Cómo se diferencia la ISO 37301 de otras normas de gestión, como la ISO 9001 o la ISO 14001?
  • ¿Cuáles son los elementos clave que deben estar presentes en un sistema de gestión de cumplimiento según la ISO 37301?
  • ¿Cuáles son los desafíos más comunes que enfrentan las organizaciones al implementar la ISO 37301?
  • ¿Cómo puede la ISO 37301 adaptarse a diferentes tipos y tamaños de organizaciones?
  • ¿Cuáles son las etapas principales para la implementación exitosa de la ISO 37301 en una empresa?
  • ¿Cuál es el papel de la alta dirección en la implementación y mantenimiento de un sistema de gestión de cumplimiento según la ISO 37301?
  • ¿Cómo puede una organización evaluar la eficacia de su sistema de gestión de cumplimiento conforme a la ISO 37301?
  • CONCLUSION

Practica2.1 ISO37301 2021

PreviousENS 1NextPractica2.2 ISO31000

Last updated 1 year ago

INDICE

EJERCICIO 1 2

Define que es un Sistema de Gestion de Compliance 2

Clasificacion de empresas según su función y la normativas que les afectan 5

EJERCICIO 2 6

¿Es certificable? 6

¿Cuáles son los principios fundamentales que guían la norma ISO 37301? 6

¿Cuál es el propósito principal de la ISO 37301 en términos de gestión empresarial? 7

¿Qué beneficios concretos puede ofrecer la implementación de la ISO 37301 a una organización? 7

¿Cómo se diferencia la ISO 37301 de otras normas de gestión, como la ISO 9001 o la ISO 14001? 7

¿Cuáles son los elementos clave que deben estar presentes en un sistema de gestión de cumplimiento según la ISO 37301? 8

¿Cuáles son los desafíos más comunes que enfrentan las organizaciones al implementar la ISO 37301? 8

¿Cómo puede la ISO 37301 adaptarse a diferentes tipos y tamaños de organizaciones? 9

¿Cuáles son las etapas principales para la implementación exitosa de la ISO 37301 en una empresa? 9

¿Cuál es el papel de la alta dirección en la implementación y mantenimiento de un sistema de gestión de cumplimiento según la ISO 37301? 9

¿Cómo puede una organización evaluar la eficacia de su sistema de gestión de cumplimiento conforme a la ISO 37301? 10

CONCLUSION 10

EJERCICIO 1

Define que es un Sistema de Gestion de Compliance

El sistema de gestión de Compliance comprende todas las medidas, estructuras y procesos que una empresa u organización establece para garantizar el cumplimiento de las normas y la ley. Además, debe ser conocido y apoyado por la alta dirección, para mantener desde todas las áreas la identidad e integridad corporativa.

Los elementos más importantes de un sistema de gestión del cumplimiento son:

Análisis de riesgos:

Es el punto de partida de todo programa de cumplimiento. Es necesario establecer una auditoría interna para la evaluación de riesgos. Aquí se registran y analizan los riesgos para construir un programa de Compliance explícitamente adaptado a la empresa sobre la base de los resultados.

Programa de Compliance:

Entendido como el conjunto de herramientas y procesos que promueven el cumplimiento de las normas y leyes por parte de la empresa. Abarca el cumplimiento de la normativa externa (leyes y directrices), así como de las normas y políticas internas. Se pueden utilizar herramientas digitales para detectar infracciones e identificar riesgos. Dentro del programa de Compliance también se definen los procesos para la gestión interna y externa de las irregularidades. El programa de cumplimiento debe sentar varias bases:

Cultura de cumplimiento y comunicación: Garantizar que la integridad forme parte de la cultura de la empresa. De este modo, la ética corporativa y los requisitos legales no son elementos vacíos en una lista de control, sino principios que adquieren un sentido. Siga el ejemplo del tono desde arriba (“Tone from the Top”) y asegúrese de que todos, desde la alta dirección hasta el especialista técnico, entienden por qué es importante un programa de Compliance.

Políticas de cumplimiento:

Definir una normativa interna que proporcione a sus empleados instrucciones sobre buenas prácticas en el lugar de trabajo. Esto también hará que los compromisos voluntarios que la empresa gestione sean transparentes para los empleados. Las instrucciones pueden variar según el sector empresarial, pero las más importantes incluyen un código de conducta, una política de protección de datos, requisitos sobre salud y seguridad en el trabajo, la regulación de las jornadas laborales, las ausencias y las vacaciones, políticas sobre la igualdad de oportunidades y el uso de las redes sociales.

Marcar los objetivos de cumplimiento:

Establecer claramente el objetivo del programa de Compliance y lo que debe abarcar. Esto no sólo sirve para una comunicación interna abierta y transparente que contribuye a la cultura ética. En caso de infracción, también puede ayudar a las autoridades a investigar si el programa de Compliance de una empresa es suficiente, lo que podría tener un efecto atenuante sobre cualquier sanción.

Organización de los responsables de cumplimiento:

Identificar las responsabilidades del personal. La responsabilidad general del cumplimiento de la normativa recae en la alta dirección. Sin embargo, es aconsejable crear un departamento de Compliance que dependa de un Compliance Officer. El departamento necesita los recursos necesarios (presupuesto, personal, formación, software y herramientas) para garantizar el establecimiento del cumplimiento en toda la empresa.

Auditorías de cumplimiento para terceras partes:

No sólo hay que realizar un análisis de riesgos a nivel interno: también pueden surgir riesgos de cumplimiento y responsabilidad penal para su empresa a través de los socios comerciales. Por lo tanto, compruebe también las relaciones comerciales con terceros y defina políticas de cooperación basadas en los resultados.

Seguimiento y mejora del programa de Compliance:

Para garantizar el éxito del programa de Compliance, debe revisarse y actualizarse periódicamente. Esto se debe a que las nuevas políticas nacionales e internacionales o los requisitos internos pueden requerir procesos de revisión adicionales. En general, es aconsejable examinar de forma regular el sistema para detectar puntos débiles o riesgos que se hayan pasado por alto. El seguimiento y la auditoría interna se facilitan con:

Principios importantes del sistema de gestión del cumplimiento normativo

A la hora de introducir un sistema de gestión de Compliance, conviene tener en cuenta algunas reglas básicas:

Realice una evaluación previa:

Analice si necesita un sistema de gestión del cumplimiento normativo desde el punto de vista legal, qué contenido debe abarcar y cómo debe diseñarse. Por supuesto, también es importante asegurarse de que funcionará de forma correcta.

Definir claramente las líneas de actuación:

Los Compliance Officer no pueden simplemente asumir o sustituir determinados aspectos del departamento jurídico. Por lo tanto, hay que definir claramente las áreas de responsabilidad y establecer líneas de información para que la gestión del cumplimiento sea transparente y comprensible.

Concienciar y motivar a los empleados en la cultura ética:

No es tarea de los empleados conocer todas las normas. Formule las políticas de forma concisa y suficientemente comprensible para crear una cultura basada en el cumplimiento.

Integración de procesos:

Integre los procesos de Compliance en sus actividades empresariales; por ejemplo, anotando los requisitos para aceptar obsequios e invitaciones en los formularios utilizados para ello. Integre el departamento de cumplimiento normativo como un punto de contacto que pueda proporcionar información sobre cuestiones de cumplimiento.

Formación y comunicación:

Una buena gestión del cumplimiento no es sólo el resultado de publicar constantemente nuevas políticas, sino también de un intercambio con los empleados sobre la formación, los procesos cotidianos, etc. Esto le permitirá saber si se cumplen las normas. También proporciona información sobre si el programa de cumplimiento se adapta bien en la empresa y cómo las especificaciones o normas afectan a la aplicación práctica. Los intercambios con organizaciones del sector y expertos jurídicos también pueden ayudar a su empresa a definir consejos útiles y mejores prácticas.

Aproveche los recursos internos:

A la hora de diseñar y poner en marcha las medidas de cumplimiento, es útil intercambiar ideas con los departamentos internos. Sus expertos en comunicación le ayudan con el enfoque adecuado para informar a los empleados (con políticas, por ejemplo), el departamento de IT establece el marco técnico para la formación de e-learning, el departamento jurídico revisa las cuestiones críticas. No olvides involucrar al comité de empresa de la organización.

Transparencia y documentación:

El tratamiento transparente de las cuestiones polémicas o las infracciones facilita la gestión en todos los niveles. Si se combina con una documentación exhaustiva, también se protege a la empresa en caso de que se realicen auditorías tras una infracción.

Mida los efectos:

La realización de encuestas breves y periódicas entre los empleados le dan una idea de la aceptación de sus medidas de cumplimiento. De este modo, puede medir los efectos y mejorar o ajustar aspectos del programa si es necesario.

Clasificacion de empresas según su función y la normativas que les afectan

1º.-Cisco:

Tipo de Organización: Cisco es una empresa de tecnología de la información y redes.

Principales Normativas:

  • ISO 9001: Esta normativa se enfoca en la gestión de calidad.

  • ISO 27001: Relacionada con la seguridad de la información.

  • ISO 14001: Normativa de gestión ambiental.

  • Sarbanes-Oxley (SOX): Aplicable si la empresa cotiza en bolsa en los Estados Unidos.

  • HIPAA (Ley de Portabilidad y Responsabilidad del Seguro Médico): Si Cisco maneja información de salud en sus soluciones.

2º.-Amazon Web Services (AWS):

Tipo de Organización: AWS es un proveedor de servicios de computación en la nube.

Principales Normativas:

  • GDPR (Reglamento General de Protección de Datos): Aplicable debido al manejo de datos personales.

  • CSA STAR: Estándar de seguridad para proveedores de servicios en la nube.

  • PCI DSS (Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago): Relevante si AWS maneja transacciones con tarjetas de crédito.

  • FedRAMP (Programa de Administración de Autorizaciones de Sistemas): Si proporcionan servicios a agencias gubernamentales de EE. UU.

  • NIST (Estándares de Tecnología de la Información): Especialmente el Marco de Ciberseguridad de NIST.

3º.-Adobe:

Tipo de Organización: Adobe es una empresa de software, especialmente conocida por productos como Adobe Acrobat y Adobe Creative Cloud.

Principales Normativas:

  • ISO 27001: Enfocada en la seguridad de la información.

  • ADA (Ley de Estadounidenses con Discapacidades): Relevante para el diseño de software accesible.

  • DMCA (Digital Millennium Copyright Act): Importante para la protección de derechos de autor en el ámbito digital.

  • Ley de Privacidad del Consumidor de California (CCPA): Relevante si manejan datos de residentes de California.

  • Normativas de accesibilidad web, como las Pautas de Accesibilidad para el Contenido Web (WCAG).

4º.-Gigabyte:

Tipo de Organización: Gigabyte es una empresa de hardware, especialmente conocida por sus productos de tecnología de la información, como placas base y tarjetas gráficas.

Principales Normativas:

  • RoHS (Restricción de Sustancias Peligrosas): Regula el uso de ciertas sustancias en productos electrónicos.

  • Normativas de estándares de fabricación y seguridad de productos electrónicos.

  • Posiblemente normativas específicas del país en el que operan.

  • ISO 45001: Normativa de salud y seguridad ocupacional.

  • Normativas de la Comisión de Seguridad de Productos del Consumidor (CPSC): Especialmente relevante para productos electrónicos de consumo.

EJERCICIO 2

¿Es certificable?

Si ,se trata de una norma certificable. Además, completa su contenido con una guía que recoge directrices no obligatorias, pero que pueden resultar de gran ayuda para la aplicación y correcta interpretación de dichos requisitos.

¿Cuáles son los principios fundamentales que guían la norma ISO 37301?

La norma se caracteriza por:

  • Ser aplicable a cualquier tipo de empresa, sí, sin importar el tamaño o sector industrial al que se pertenezca, todas las empresas pueden implementar un sistema de gestión de cumplimiento con base en esta norma.

  • Basarse en los principios de buen gobierno, transparencia, integridad, proporcionalidad, rendición de cuentas y sostenibilidad.

  • Tener una estructura de alto nivel, es decir, una estructura que permite integrarse fácilmente con otros sistemas de gestión.

  • Ser flexible y fácilmente adaptable a los programas de cumplimiento que ya tengan implementados las empresas. La norma ISO 37301 puede complementarlos y fortalecerlos.

  • Ser certificable, sí, las empresas pueden obtener la certificación ISO en esta norma, contrario a lo que pasaba con su antecesora, la norma ISO 19600.

  • Ayudar a prevenir riesgos de incumplimiento a las empresas, riesgos que pueden tener consecuencias como sanciones y afectaciones a la reputación.

¿Cuál es el propósito principal de la ISO 37301 en términos de gestión empresarial?

Básicamente, ISO 37301:2021 se ha publicado para sustituir a ISO 19600. Una de las principales diferencias es que ISO 37301 es certificable y adopta la estructura propia de normativas Tipo A como ISO 9001, ISO 45001 e ISO 27001. En cambio, ISO 19600 está formada por recomendaciones.

El principal objetivo del ISO es que las empresas hagan una migración de ISO 19600 a ISO 37301, de forma que sus sistemas de Compliance pasen a ser certificables. Las empresas que hayan seguido las directrices de la ISO 19600, independientemente de la versión, no deberían tener problemas para poder hacer una transición eficiente.

¿Qué beneficios concretos puede ofrecer la implementación de la ISO 37301 a una organización?

  • Gestión Eficaz del Riesgo Legal y Reputacional. La implementación de un Sistema de Gestión de Compliance conforme a la ISO 37301 permite a las organizaciones identificar y gestionar de manera proactiva los riesgos legales y reputacionales, reduciendo la posibilidad de enfrentar sanciones legales o daños a la reputación.

  • Cultura de Cumplimiento Organizacional. La norma promueve la creación de una cultura de cumplimiento arraigada en todos los niveles de la organización, fomentando la ética y el comportamiento responsable entre los empleados y la alta dirección.

  • Eficiencia Operativa. La implementación de procesos de cumplimiento bien definidos mejora la eficiencia operativa al reducir la incertidumbre y facilitar la toma de decisiones informadas.

  • Mejora de Relaciones con Stakeholders. El cumplimiento normativo sólido y demostrable puede mejorar las relaciones con los stakeholders, incluidos los clientes, proveedores, inversores y reguladores, generando confianza y credibilidad.

  • Innovación Responsable. La ISO 37301 también puede fomentar la innovación responsable al impulsar a las organizaciones a considerar los impactos éticos y legales de nuevas iniciativas y productos desde su concepción.

¿Cómo se diferencia la ISO 37301 de otras normas de gestión, como la ISO 9001 o la ISO 14001?

La ISO 37301, la norma internacional de gestión de cumplimiento, se diferencia de otras normas de gestión en varios aspectos. En primer lugar, se centra específicamente en el cumplimiento de los requisitos legales y reglamentarios. En segundo lugar, proporciona un marco para la gestión del riesgo de incumplimiento. En tercer lugar, es una norma de gestión independiente, que no requiere la implementación de otras normas de gestión.

La ISO 9001, la norma internacional de sistemas de gestión de la calidad, se centra en la satisfacción del cliente. La ISO 14001, la norma internacional de sistemas de gestión ambiental, se centra en la protección del medio ambiente. Ambas normas se pueden utilizar para mejorar el desempeño de una organización, pero no están directamente relacionadas con el cumplimiento de los requisitos legales y reglamentarios.

A continuación se presenta una tabla que compara las principales diferencias entre la ISO 37301 y otras normas de gestión:

Característica ISO 37301 ISO 9001 ISO 14001

Enfoque Cumplimiento Calidad Medio ambiente

Requisitos Legales y reglamentarios Cliente Medio ambiente

Marco de gestión del riesgo Sí No No

Norma independiente Sí No No

¿Cuáles son los elementos clave que deben estar presentes en un sistema de gestión de cumplimiento según la ISO 37301?

1. Políticas, procedimientos y código de conducta

2. Administración del programa de cumplimiento

3. Formación y educación

4. Comunicación efectiva

5. Supervisión, monitoreo y auditoría

6. Sanciones disciplinarias

7. Respuesta ágil y efectiva a problemas

¿Cuáles son los desafíos más comunes que enfrentan las organizaciones al implementar la ISO 37301?

  • Implementar un registro de obligaciones de cumplimiento (cláusula 4.5)

  • Identificar las partes interesadas (cláusula 4.2)

  • Valorar y desagregar los riesgos de compliance (cláusula 4.6)

  • Desarrollar una matriz de controles operaciones (cláusula A.8.1)

  • Incorporar responsabilidades de compliance en las descripciones de los puestos (cláusula 5.1.1)

  • Extender el alcance a obligaciones por requisitos voluntarios (cláusula 3.25)

  • Mejorar la debida diligencia e incentivos de empleados, ejecutivos y consejeros (cláusula 7.2.2, 9.1.1)

  • Implementar controles para prevenir represalias de denunciantes (cláusula 8.3)

  • Cuantificar la medición de la eficiencia del sistema de cumplimiento (cláusula A.9.1/3)Reforzar el protocolo de investigaciones (cláusula A.8.4)

¿Cómo puede la ISO 37301 adaptarse a diferentes tipos y tamaños de organizaciones?

  • Comprender las necesidades específicas de la organización. ¿Cuáles son sus leyes y regulaciones aplicables? ¿Cuáles son sus riesgos de incumplimiento? ¿Cuáles son sus objetivos de cumplimiento?

  • Adaptando los elementos clave de la ISO 37301 a las necesidades de la organización. Por ejemplo, una pequeña organización puede tener un sistema de gestión de cumplimiento más sencillo que una gran organización.

  • Utilizando herramientas y recursos que puedan ayudarle a implementar la ISO 37301. Hay disponibles una serie de herramientas y recursos que pueden ayudarle a implementar la ISO 37301 de forma eficaz.

¿Cuáles son las etapas principales para la implementación exitosa de la ISO 37301 en una empresa?

  • Planificación

  • Implementación

  • Operación

  • Revisión

  • Mejora continua

¿Cuál es el papel de la alta dirección en la implementación y mantenimiento de un sistema de gestión de cumplimiento según la ISO 37301?

La alta dirección debe demostrar su compromiso con el cumplimiento y proporcionar los recursos necesarios para el éxito del sistema.

El papel específico de la alta dirección en la implementación y mantenimiento de un sistema de gestión de cumplimiento según la ISO 37301 se puede dividir en las siguientes áreas:

  • Liderazgo y compromiso: La alta dirección debe demostrar su liderazgo y compromiso con el cumplimiento mediante la definición de una política de cumplimiento, la asignación de recursos y la supervisión del sistema.

  • Asignación de responsabilidades: La alta dirección debe asignar responsabilidades claras para el cumplimiento a todos los niveles de la organización.

  • Provisión de recursos: La alta dirección debe proporcionar los recursos necesarios para implementar y mantener el sistema de gestión de cumplimiento.

  • Supervisión y evaluación: La alta dirección debe supervisar y evaluar el sistema de gestión de cumplimiento para garantizar que sea eficaz.

¿Cómo puede una organización evaluar la eficacia de su sistema de gestión de cumplimiento conforme a la ISO 37301?

La evaluación de la eficacia de un sistema de gestión de cumplimiento conforme a la ISO 37301 es un proceso continuo que debe realizarse de forma regular para garantizar que el sistema siga siendo eficaz. La evaluación debe centrarse en los siguientes elementos:

  • Cumplimiento: La organización debe evaluar si está cumpliendo con sus leyes y regulaciones aplicables.

  • Eficacia: La organización debe evaluar si su sistema de gestión de cumplimiento está logrando sus objetivos.

  • Mejora continua: La organización debe evaluar si está identificando y abordando las oportunidades de mejora.

  • Auditorías internas: Las auditorías internas son una herramienta importante para evaluar la eficacia de un sistema de gestión de cumplimiento. Las auditorías internas deben ser realizadas por auditores independientes y experimentados que sigan las directrices de la ISO 19011.

  • Revisones por la dirección: Las revisiones por la dirección son una evaluación formal del sistema de gestión de cumplimiento realizada por la alta dirección. Las revisiones por la dirección deben realizarse al menos una vez al año.

CONCLUSION

Me ha parecido una practica interesante para estar al dia de las normativas de la actualidad , además de hacerme un pequeño esquema mental en la cabeza de como esta estructurada una norma ISO. Ademas en lo referente a esta ISO he aprendido cosas como que es certificable , etc….