Preguntas frecuentemente realizadas

Seminario web de autoaprendizaje

Si el autoaprendizaje a través de seminarios web es mejor o peor que la capacitación en el aula, probablemente nunca se pueda responder más allá de toda duda. La personalidad de cada persona es crucial aquí. Y como todos sabemos, nuestras preferencias son muy diferentes.

Sin embargo, el autoaprendizaje ofrece algunas ventajas específicas sobre la formación presencial. Éstos son algunos de ellos:

1. Oportunidades de repetición: el autoaprendizaje permite a los alumnos revisar el material de aprendizaje según sea necesario. Pueden volver a temas cubiertos anteriormente para profundizar su comprensión o reforzar conceptos específicos. Esto es especialmente útil cuando el material de aprendizaje no se comprende de inmediato o para llenar lagunas de conocimiento o prepararse para exámenes o certificaciones. Un buen ejemplo aquí es "Fundamentos del control estadístico de procesos". El tema es difícil de entender, a menudo el tema no se puede entender de inmediato. A través del seminario web, puede aprender el contenido pieza por pieza.

¿Cuál es la estructura y el contenido de ISO/IEC 27001?

ISO/IEC 27001 es un estándar que define los requisitos para un sistema de gestión de seguridad de la información (SGSI). Consta de varias secciones que cubren lo siguiente:

1. Alcance: Describe el alcance del estándar y define su aplicación a todo tipo de organizaciones e información.

2. Referencias normativas: contiene una lista de otras normas y documentos relevantes a los que se hace referencia.

3. Términos y definiciones: define los términos y definiciones clave utilizados en el estándar para garantizar la coherencia de la comprensión.

4. Contexto de la organización: Describe los requisitos para que la organización defina el contexto y el marco para el SGSI. Esto incluye influencias internas y externas, partes interesadas y obligaciones de cumplimiento.

5. Liderazgo: enfatiza la importancia del compromiso de la alta dirección con el SGSI y establece los requisitos para el liderazgo, las políticas, los roles y las responsabilidades.

6. Planificación: incluye los requisitos para evaluar el riesgo, abordar los riesgos y las oportunidades, establecer objetivos y seleccionar los controles apropiados.

7. Soporte: Describe los requisitos de recursos, competencia, conocimiento, comunicación, documentación y control de documentos.

8. Operaciones: establece los requisitos para implementar el tratamiento de riesgos y realizar operaciones como la gestión de cambios, el manejo de incidentes de seguridad y la planificación de la continuidad del negocio.

9. Evaluación del desempeño: contiene los requisitos para monitorear, medir, analizar y evaluar el desempeño del SGSI, incluidas las auditorías internas y las revisiones de gestión.

 10. Mejora: Establece los requisitos para la mejora continua del SGSI en función de los resultados de la evaluación del desempeño, las auditorías internas y el manejo de las no conformidades.

 El estándar ISO/IEC 27001 proporciona un método sistemático para establecer y mantener un SGSI eficaz para garantizar la seguridad de la información en las organizaciones. Permite a las empresas identificar riesgos, implementar controles apropiados y mejorar continuamente la seguridad de la información.

¿Cuáles son los cambios del nuevo volumen de ISO/IEC 27001:2022?

En octubre de 2022, la norma internacional ampliamente reconocida para la seguridad de la información, ISO 27001:2013, se actualizó y se publicó la nueva versión, ISO/IEC 27001:2022.

Durante los últimos nueve años, ISO 27001 ha ganado una aceptación significativa en varias industrias. Aunque la última revisión introduce solo algunos cambios, es crucial examinar de cerca y comprender estas modificaciones. En esta discusión, exploraremos todos los cambios en ISO 27001:2022 y los compararemos con la versión anterior de 2013.

Resumen de cambios en ISO 27001:2022:

1. Sin cambios importantes en las cláusulas obligatorias 4 a 10 de ISO 27001:2013: Los requisitos esenciales descritos en las cláusulas obligatorias de ISO 27001:2013 permanecen prácticamente sin cambios en la versión 2022.

2. Controles ahora agrupados en 4 dominios principales: En ISO 27002:2022, que brinda orientación sobre la implementación de los controles de ISO 27001, los controles se han reestructurado. En lugar de las 14 categorías anteriores, los controles ahora se agrupan en 4 dominios principales: Organizacional, Personas, Físico y Tecnológico.

3. Hashtags para facilitar la referencia y la navegación: para mejorar la usabilidad y la facilidad de referencia, ISO 27002:2022 introduce el uso de hashtags. Estos hashtags pueden ayudar a navegar y ubicar controles específicos dentro del documento.

4. Disminución del número de controles: Se ha reducido el número de controles de seguridad del Anexo A de 114 en la versión 2013 a 93 en la edición 2022. Esta disminución es el resultado de la fusión de ciertos controles, mientras que ningún control se eliminó por completo.

5. Introducción de nuevos controles físicos y organizacionales: ISO 27002:2022 incluye nuevos controles en los dominios de seguridad física y organizacional. Estas adiciones tienen como objetivo abordar los desafíos de seguridad emergentes y alinearse con el panorama en evolución de la seguridad de la información.

En general, los cambios en ISO/IEC 27001:2022 se centran en la reestructuración y consolidación de los controles, lo que hace que el estándar sea más conciso y fácil de usar mientras se adapta al cambiante panorama de la seguridad.

What do companies need to consider with TISAX?

Companies which deal or want to deal with the automotive industry should make a point of implementing an ISMS that is specifically tailored to the automotive industry, which is based on ISO 27001:2022 and meets additional data protection requirements and the protection of prototypes.

There are three basic assessment levels or requirement types within TISAX®. The level is based on the necessary protection requirements of the information that is exchanged between the individual companies. Depending on whether the need for protection of the information is classified as normal (level 1), high (level 2) or very high (level 3), different methods and efforts are important for the audit. The scope of the audit and the effort required increase with each level:

Level 1: Basic test: self-assessment. 

Level 2: A test provider accredited by the ENX Association joins the test; the test provider examines the self-assessment, performs a plausibility check and asks questions.

Level 3: The test provider checks the self-assessments and the management system on site. 

What does TISAX® stand for?

TISAX® (Trusted Information Security Assessment Exchange) is a framework developed specifically for the automotive industry to ensure that information security standards and data protection requirements are met in the supply chain. TISAX® includes a set of elements and requirements to ensure information security and data protection in the automotive industry. The main components of TISAX® include:

1. the requirements of information security of TISAX® are based on ISO/IEC 27001:2022 and extends these standards to include specific requirements for the automotive industry.

This includes the known control target of the ISO 27001:2022 confidentiality, integrity and availability of information as well as protection measures for personal data from the EU General Data Protection Regulation GDPR  and customer-specific requirements such as prototype protection.

¿Dónde están las diferencias entre 27001:2022 y TISAX®?

1. Catálogo de requisitos

La base de TISAX® es el catálogo de requisitos VDA-ISA. Este catálogo de requisitos se basa en los controles de ISO y los adapta a los proveedores de la industria de la automoción.

A esto se suman...

• requisitos especiales para el procesamiento de datos personales
• acuerdos de no divulgación
• Protección de prototipos

..., que no están incluidos en la norma ISO 27001:2022.

Los Controles del catálogo VDA-ISA requieren evidencias específicas de implementación, mientras que las medidas de la ISO 27001:2022 son más genéricas.

En el catálogo de requisitos de TISAX® existe una diferencia entre "debe" y "debería", así como los requisitos para "necesidades de protección altas" y "necesidades de protección muy altas".

2. Proceso de prueba

La certificación ISO 27001:2022 requiere una auditoría para demostrar que se ha implementado efectivamente el cumplimiento de las medidas, requisitos y objetivos de requisitos.

TISAX® se centra en los objetivos de la auditoría.

Son 8 y se debe definir al menos un objetivo de auditoría, pero se pueden atraer varios.

Dependiendo del objetivo de la auditoría, se deben implementar diferentes procesos y medidas del SGSI.

Cada objetivo de auditoría se encuentra en el catálogo de requisitos VDA-ISA y es el punto de referencia para el SGSI.

En la certificación TISAX® existen tres niveles de auditoría diferentes, los llamados niveles de evaluación, con requisitos correspondientemente diferentes para cada nivel.

El nivel 1 significa autoevaluación y rara vez se acepta.

El nivel 2 incluye una revisión de documentos con una auditoría remota

El nivel 3 también cuenta con revisión de documentos, pero está asociado a una auditoría in situ.

A diferencia de ISO 27001:2022, el catálogo de requisitos TISAX® tiene un concepto de nivel de madurez definido en 6 niveles (de 0 a 5).

Cada medida requerida debe completarse con al menos un nivel de madurez objetivo 3.

APQP and Control Plan have evolved in response to industry changes — particularly in relation to technological advancements and vehicle complexity — with updates addressing increasing demands imposed by higher automation, autonomous driving, electrification, and the expanding definition of mobility.

Decoupling the two documents also emphasizes the importance of control plans in product development and will facilitate more timely updates as systems evolve.

Focusing on the "why" behind the "what" and "when," the APQP 3rd edition manual addresses how to improve successful new product launches, with updates to reflect agile product management, and new sections on sourcing, change management, APQP program metrics, risk assessment mitigation plans, and gated management.

Along with the removal of Control Plan content - now a standalone document - further revisions include new information on "part traceability," various checklists, and examples of several common analytical techniques used during the APQP process to help enhance your understanding.