SEGURIDAD OCUPACIONAL

SEGURIDAD OCUPACIONAL

Durante el segundo semestre de 1999, fue publicada la normativa OHSAS 18.000, dando inicio así a la serie de normas internacionales relacionadas con el tema "Seguridad ocupacional", que viene a complementar a la serie ISO 9.000 (calidad) e ISO 14.000 (Medio Ambiente).

Se puede indicar, entonces, que esta nueva serie de estándares en materia de salud ocupacional y administración de los riesgos laborales, integra las experiencias más avanzadas en este campo, y por ello está llamada a constituirse en el modelo global de gestión de prevención de riesgos y control de pérdidas.

Toda empresa debe tener medidas de seguridad que respalden a sus empleados tanto en caso de un accidente ocupacional como en caso de una enfermedad externa a sus labores, pero que de una manera u otra afecta su desenvoltura en el trabajo. Por esto, la gran importancia de OSHAS 18000 y su aplicación en las empresas que buscan la excelencia.

Seguridad Ocupacional OHSAS 18001.

Muchas organizaciones implantan un sistema de gestión de la salud y la seguridad en el trabajo (SGSST) como parte de su estrategia de gestión de riesgos para adaptarse a los cambios legislativos y proteger a su plantilla.

Un sistema de gestión de la salud y la seguridad en el trabajo (SGSST) fomenta los entornos de trabajo seguros y saludables al ofrecer un marco que permite a la organización identificar y controlar coherentemente sus riesgos de salud y seguridad, reducir el potencial de accidentes, apoyar el cumplimiento de las leyes y mejorar el rendimiento en general.

OHSAS 18001 es la especificación de evaluación reconocida internacionalmente para sistemas de gestión de la salud y la seguridad en el trabajo. Una selección de los organismos más importantes de comercio, organismos internacionales de normas y de certificación la han concebido para cubrir los vacíos en los que no existe ninguna norma internacional certificable por un tercero independiente.

OHSAS 18001 se ha concebido para ser compatible con ISO 9001 e ISO 14001 a fin de ayudar a las organizaciones a cumplir de forma eficaz con sus obligaciones relativas a la seguridad.

OHSAS 18001 trata las siguientes áreas clave:

• Planificación para identificar, evaluar y controlar los riesgos
• Programa de gestión de OHSAS 
• Estructura y responsabilidad
• Formación, concienciación y competencia
• Consultoría y comunicación
• Control de funcionamiento
• Preparación y respuesta ante emergencias
• Medición, supervisión y mejora del rendimiento
• Cualquier organización que quiera implantar un procedimiento formal para reducir los riesgos asociados con la salud y la seguridad en el entorno de trabajo para los empleados, clientes y el público en general puede adoptar la norma OHSAS 18001.
• Descripción de OHSAS 18001, Seguridad y Salud laboral.
• La Seguridad y Salud en el lugar de trabajo son claves para cualquier organización.

Un Sistema de Gestión en Seguridad y Salud Laboral (SGSSL) ayuda a proteger a la empresa y a sus empleados. OHSAS 18001 es una especificación internacionalmente aceptada que define los requisitos para el establecimiento, implantación y operación de un Sistema de Gestión en Seguridad y Salud Laboral efectivo.

Para complementar OHSAS 18001, BSI ha publicado OHSAS 18002, la cual explica los requisitos de especificación y le muestra cómo trabajar a través de una implantación efectiva de un SGSSL. OHSAS 18002 le proporciona una guía y no está pensada para una certificación independiente.

La OHSAS 18001 está dirigida a organizaciones comprometidas con la seguridad de su personal y lugar de trabajo. Está también pensada para organizaciones que ya tienen implementadas una SGSSL, pero desean explorar nuevas áreas para una potencial mejora.

Beneficios.

En un mercado competitivo los clientes esperan de sus proveedores algo más que unos precios competitivos. Las compañías necesitan demostrar que sus negocios se gestionan con eficacia y responsabilidad y que pueden prestar un servicio fiable sin excesivos tiempos de inactividad originados por accidentes o percances relacionados con el trabajo.

La certificación del sistema de gestión OHSAS 18001 permite a la organización demostrar que cumple las especificaciones y aporta las siguientes ventajas:

• Reducción potencial del número de accidentes
• Reducción potencial del tiempo de inactividad y de los costes relacionados
• Demostración de la conformidad legal y normativa
• Demostración a las partes interesadas del compromiso con la salud y la seguridad 
• Demostración de un enfoque innovador y progresista 
• Mayor acceso a nuevos clientes y socios comerciales
• Reducción potencial de los costes de los seguros de responsabilidad civil

Beneficios.

• Un lugar de trabajo más seguro: Un SGSSL permite identificar peligros, prevenir riesgos y poner las medidas de control necesarias en el lugar de trabajo para prevenir accidentes.
• Confianza del accionista: Una auditoría de SGSSL independiente dice a los accionistas que se cumple con un número determinado de requisitos legales, dándoles confianza en una organización en cuestión.
• Moral: La implantación de OHSAS 18001 demuestra un claro compromiso con la seguridad del personal y puede contribuir a que estén más motivados sean más eficientes y productivos.
• Reduce costos: Menos accidentes significa un tiempo de inactividad menos caro para una organización. OHSAS 18001 además mejora la posición de responsabilidad frente al seguro.
• Supervisión: Unas auditorías regulares ayudarán a supervisar continuamente y mejorar el funcionamiento en materia de Seguridad y Salud en el lugar de trabajo.
• Integrada OHSAS 18001 se ha escrito para ser integrada sin problemas con otras normas de sistemas de gestión tales como ISO 9001 e ISO 14001.
• Formación somos expertos en formación y evaluación, y disponemos de una red de cursos públicos y privados dedicados a impartir los conocimientos necesarios antes, durante y después del registro para la norma.
• Sistema es el conjunto de elementos mutuamente relacionados o que interactúan
• Gestión sn las actividades coordinadas para dirigir y controlar una organización

Sistema de Gestión.

Sistema para establecer la política y los objetivos y poderlos lograr

• Sistema de Gestión de Riesgos Laborales
• Sistema de Gestión de la Calidad
• Sistema de Gestión Medioambiental.
• Sistemas de Gestión de Prevención de Riesgos Laborales

Sistema legal español.

• Ley de Prevención de Riesgos Laborales (31/1995).
• R.D. 39/1997 Reglamento de los Servicios de Prevención.
• Ley de Reforma del Marco Normativo de Prevención de Riesgos Laborales (54/2003).
• R.D. 604/2006 que modifica a R.D. 39/1997 y R.D. 1627/1997.

LEY DE DELITOS INFORMÁTICOS

LEY DE DELITOS INFORMÁTICOS

LEY Nº 30096 PROMULGADA POR EL PRESIDENTE DE LA REPÚBLICA OLLANTA HUMALA

El 12 de septiembre, el Congreso de La República, por unanimidad, aprobó el dictamen de esta ley que fue enviada a Palacio de Gobierno para su visado. De inmediato, expertos en la materia señalaron los riesgos que implica esta iniciativa del propio Poder Ejecutivo.

Uno de los puntos controversiales es el peligro de la libertad de expresión, ya no solo en materia de la prensa, sino también de cualquier persona que utilice las nuevas comunicaciones.

CAPÍTULO I FINALIDAD Y OBJETO DE LA LEY

Artículo 1. Objeto de la Ley La presente Ley tiene por objeto prevenir y sancionar las conductas ilícitas que afectan los sistemas y datos informáticos y otros bienes jurídicos de relevancia penal, cometidas mediante la utilización de tecnologías de la información o de la comunicación, con la finalidad de garantizar la lucha eficaz contra la ciberdelincuencia.

CAPÍTULO II DELITOS CONTRA DATOS Y SISTEMAS INFORMÁTICOS

Artículo 2. Acceso ilícito El que accede sin autorización a todo o parte de un sistema informático, siempre que se realice con vulneración de medidas de seguridad establecidas para impedirlo, será reprimido con pena privativa de libertad no menor de uno ni mayor de cuatro años y con treinta a noventa días multa. Será reprimido con la misma pena el que accede a un sistema informático excediendo lo autorizado. Artículo 3. Atentado contra la integridad de datos informáticos El que, a través de las tecnologías de la información o de la comunicación, introduce, borra, deteriora, altera, suprime o hace inaccesibles datos informáticos, será reprimido con pena privativa de libertad no menor de tres ni mayor de seis años y con ochenta a ciento veinte días multa. 

CAPÍTULO III DELITOS INFORMÁTICOS CONTRA LA INDEMNIDAD Y LIBERTAD SEXUALES 

Artículo 5. Proposiciones a niños, niñas y adolescentes con fines sexuales por medios tecnológicos El que, a través de las tecnologías de la información o de la comunicación, contacta con un menor de catorce años para solicitar u obtener de él material pornográfico, o para llevar a cabo actividades sexuales con él, será reprimido con pena privativa de libertad no menor de cuatro ni mayor de ocho años e inhabilitación conforme a los numerales 1, 2 y 4 del artículo 36 del Código Penal. Cuando la víctima tiene entre catorce y menos de dieciocho años de edad y medie engaño, la pena será no menor de tres ni mayor de seis años e inhabilitación conforme a los numerales 1, 2 y 4 del artículo 36 del Código Penal.

CAPÍTULO IV DELITOS INFORMÁTICOS CONTRA LA INTIMIDAD Y EL SECRETO DE LAS COMUNICACIONES

Artículo 6. Tráfico ilegal de datos El que crea, ingresa o utiliza indebidamente una base de datos sobre una persona natural o jurídica, identificada o identificable, para comercializar, traficar, vender, promover, favorecer o facilitar información relativa a cualquier ámbito de la esfera personal, familiar, patrimonial, laboral, financiera u otro de naturaleza análoga, creando o no perjuicio, será reprimido con pena privativa de libertad no menor de tres ni mayor de cinco años.

 Artículo 7. Interceptación de datos informáticos El que, a través de las tecnologías de la información o de la comunicación, intercepta datos informáticos en transmisiones no públicas, dirigidas a un sistema informático, originadas en un sistema informático o efectuadas dentro del mismo, incluidas las emisiones electromagnéticas provenientes de un sistema informático que transporte dichos datos informáticos, será reprimido con pena privativa de libertad no menor de tres ni mayor de seis años. La pena privativa de libertad será no menor de cinco ni mayor de ocho años cuando el delito recaiga sobre información clasificada como secreta, reservada o confidencial de conformidad con las normas de la materia. La pena privativa de libertad será no menor de ocho ni mayor de diez años cuando el delito comprometa la defensa, la seguridad o la soberanía nacionales. 

CAPÍTULO V DELITOS INFORMÁTICOS CONTRA EL PATRIMONIO

Artículo 8. Fraude informático El que, a través de las tecnologías de la información o de la comunicación, procura para sí o para otro un provecho ilícito en perjuicio de tercero mediante el diseño, introducción, alteración, borrado, supresión, clonación de datos informáticos o cualquier interferencia o manipulación en el funcionamiento de un sistema informático, será reprimido con una pena privativa de libertad no menor de tres ni mayor de ocho años y con sesenta a ciento veinte días multa. La pena será privativa de libertad no menor de cinco ni mayor de diez años y de ochenta a ciento cuarenta días multa cuando se afecte el patrimonio del Estado destinado a fines asistenciales o a programas de apoyo social.

CAPÍTULO VI DELITOS INFORMÁTICOS CONTRA LA FE PÚBLICA

Artículo 9. Suplantación de identidad El que, mediante las tecnologías de la información o de la comunicación suplanta la identidad de una persona natural o jurídica, siempre que de dicha conducta resulte algún perjuicio, material o moral, será reprimido con pena privativa de libertad no menor de tres ni mayor de cinco años.

NORMA NTP – ISO 17799 – 2007 (27001) CUMPLIMIENTO

NORMA  NTP – ISO 17799 – 2007 (27001)

CUMPLIMIENTO

OBJETIVO

Tiene como objetivo evitar los incumplimientos de cualquier ley civil o penal, requisito

reglamentario, regulación u obligación contractual, y de todo requisito de seguridad. 

Para lograr el cumplimiento de la NTP ISO 17799 – 2007 toda Entidad debe cumplir con los

siguientes parámetros que se detallan a continuación:

1. CUMPLIMIENTO DE LOS REQUISITOS LEGALES

El diseño, operación, uso y gestión de los sistemas de información puede estar sujeto a requisitos estatutarios, regulatorios y contractuales de seguridad. 

Objetivo

Se debería buscar el asesoramiento sobre requisitos legales específicos de los asesores legales de la organización, o de profesionales del derecho calificados.

Los requisitos legales varían de un país a otro, al igual que en el caso de las transmisiones internacionales de datos (datos creados en un país y transmitidos a otro). 

Implementación

Los controles, medidas y responsabilidades específicos deben ser similarmente definidos y documentados para cumplir dichos requerimientos. 

2. REVISIONES DE LA POLÍTICA DE SEGURIDAD Y DE LA CONFORMIDAD TÉCNICA

El objetivo es asegurar la conformidad de los sistemas con las políticas y normas de seguridad. 

Control

Los gerentes deberían asegurarse que se cumplan correctamente todos los procedimientos de seguridad dentro de su área de responsabilidad cumpliendo las políticas y estándares de seguridad. 

Implementación

Los gerentes deben realizar revisiones regulares que aseguren el cumplimiento de las políticas y normas de seguridad. 

3. CONSIDERACIONES SOBRE LA AUDITORÍA INFORMÁTICA

Maximizar la efectividad y minimizar las interferencias en el proceso de auditoria del sistema. 

Control

Se deberían  planificar cuidadosamente y acordarse los requisitos y actividades de auditoria

que impliquen comprobaciones en los sistemas operativos, para minimizar el riesgo de interrupción de los procesos de negocio.

Implementación

Se debería observar las siguientes pautas:

• Deberían acordarse los requisitos de auditoria con la gerencia apropiada;
• Debería acordarse y controlarse el alcance de las verificaciones;
• Las verificaciones se deberían limitar a accesos solo de lectura al software y a los datos.
• Otro acceso distinto a solo lectura, únicamente se debería permitir para copias aisladas de archivos del sistema, que se deberían borrar cuando se termine la auditoria. 

La gestión de la continuidad del negocio

La gestión de  la continuidad  del negocio

La base de la gestión de la continuidad son las políticas, guías, estándar y procedimientos

implementados por una organización. Todo el diseño, implementación, soporte y

mantenimiento de los sistemas debe estar fundamentado en la obtención de un buen plan

de continuidad del negocio, recuperación de desastres y en algunos casos, soporte al

sistema. En ocasiones el plan de la continuidad se confunde con la gestión de la

recuperación tras un desastre, pero son conceptos diferentes. La recuperación de

desastres es una pequeña parte de la gestión de la continuidad.  Este plan puede ser

visto como la metodología utilizada por los usuarios de la organización diariamente para

asegurar el desarrollo normal del negocio.

Los componentes necesarios en el plan de continuidad necesarios para disponer de un

plan documentado incluye:

Políticas

Las políticas son una serie de normas impuestas por las esferas directivas de la

organización que soportan todos los procesos de negocio y que se desarrollan siguiendo

un plan determinado.

Guías

Las guías son una serie de conceptos de los que se  recomienda su seguimiento según el

plan designado. De todas formas, dependiendo de las necesidades y requisitos de

negocio, estas guías pueden ser ignoradas o alteradas durante la implementación.

Estándares

-Los estándares consisten en las especificaciones técnicas realizadas para la

implementación de todos los procesos de negocio. Son un derivado de las políticas y las

guías. En 2007 BSI, British Estándares Institución, publicó la norma BS 25999 partes 1 y

2 para establecer la gestión de la continuidad de negocio en las organizaciones.

-En 2012 se publicó la ISO 22301, norma internacional para la gestión de la continuidad

de negocio basada en la anterior BS 25999 y teniendo ya aplicación y reconocimiento

mundial.

Procedimiento

El estándar británico 25999-1 ofrece especificaciones para la implementación de un

sistema de gestión de la continuidad en una organización. Esta tarea puede resultar

compleja en grandes organizaciones, que contratan expertos y consultores que ofrecen

soporte y formación al respecto.

Planificación y despliegue  de recursos

El concepto de gestión de la continuidad implica que los recursos subyacentes se

encuentran implementados y desplegados de un modo determinado, que permite ser

reestructurado fácilmente dependiendo de las necesidades de la organización. Este nivel

de flexibilidad requiere que todas las funciones de negocio sean planeadas e

implementadas, desde el principio, con la mentalidad de disponer de un plan de

continuidad del negocio.

Estructura organizativa

Parte del trabajo de la gestión de la continuidad es asegurar que todo el personal de la 

organización comprende qué procesos del negocio son los más importantes para la

organización.

Este entendimiento debe quedar de manifiesto en la formación del personal, de forma que

los empleados puedan asegurar la continuidad del negocio incluso cuando hay una

entrada y salida de personal constante. Es importante también contar con diferentes

individuos con el mismo conocimiento, sobre todo en momentos críticos cuando la

persona con el conocimiento experto no se encuentra disponible.

Gestión de la seguridad

En el entorno empresarial, la seguridad debe ser la prioridad principal en la gestión de las

tecnologías de la información. Para la mayoría de organizaciones la seguridad está regida

por la legislación y el cumplimiento de estas normas está controlado por auditorías.

El no cumplimiento de estas normas tiene un impacto económico y organizativo en la

entidad.

Gestión documental

En el entorno de tecnologías de la información la rotación de personal es inevitable y

forma parte de la gestión de la continuidad. La solución a los problemas relacionados con

la rotación de personal es la creación de documentación completa y actualizada. Esto

asegura que el personal entrante dispone de la información necesaria sobre sus

funciones y tareas.

Esto implica que los procesos relacionados con la documentación es generada (no

escrita) desde los sistemas existentes y gestionada de forma automática.

Gestión del cambio

Las regulaciones determinan que los cambios relacionados con los procesos de negocio

deben ser documentados y clasificados para futuras auditorias, esto se denomina “control

de cambios”. Un nuevo nivel de estabilidad entra en la organización ya que requiere que

el personal de soporte documente y coordine todos los cambios en los sistemas. A

medida que este proceso se automatiza, el énfasis pasará del control de personal al

cumplimiento de la normativa.

Gestión de auditorias 

Uno de los aspectos que requieren más tiempo y recursos en la gestión de tecnologías de

la información son las auditorías. Uno de los objetivos de la gestión de la continuidad es la

automatización del data center, que incluye la gestión de las auditorías. Todos los

procesos de negocio modernos deberían ser diseñados de forma que generen

automáticamente la información y documentación necesaria para las auditorías como

parte del día a día de la organización. 

Acuerdos de nivel de servicios

El punto de encuentro entre la gestión y las tecnologías de la información son los

Acuerdos de Nivel de Servicio. Dichos acuerdos proporcionan un contrato escrito donde

se estipula el alcance de la gestión con respecto a la disponibilidad de un determinado

proceso de negocio y los recursos que las tecnologías de la información ofrecen como

soporte a ese proceso.

GESTIÓN DE INCIDENTES DE LA SEGURIDAD DE INFORMACIÓN

GESTIÓN DE INCIDENTES DE LA SEGURIDAD DE INFORMACIÓN

Es un hecho o amenaza que atenta contra la Confidencialidad , Integridad y Disponibilidad de un sistema informático.

¿QUÉ MEDIDAS TOMAR?

Medidas Preventivas

Son aquellas que se implementan el uso de contraseñas, Firewall, Procedimientos de Backup, Planes de continuidad, cifrado, etc.

Con esto nos referimos a toda acción que tenga como principal medida salvaguardar nuestros activos.

Medidas de Detección

Son las que tienen a controlar es decir, Registros de Auditoria, Revisiones de Seguridad, etc.

Medidas Correctivas

Consiste en tener a mano  el uso de esquemas de tolerancia a fallos, procedimientos de Restauración, etc.

La Gestión de Incidentes persigue como objetivo el uso de recursos necesarios y su uso adecuado, con el afán de Realizar prevención, detección y corrección de ser necesarios al momento de atender un incidente de seguridad de la información.

Para este fin se utilizan las siguientes pautas

• Prevención de incidentes.
• Detección y el reporte del incidente.
• Clasificación del incidente.
• Análisis del incidente.
• Respuesta al incidente.
• Registro de incidentes.
• Aprendizaje.

Beneficios

• Responder a los incidentes de manera sistemática, eficiente y rápida.
• Facilitar una recuperación en poco tiempo, perdiendo muy poca información.
• Realizar continuamente mejoras en la gestión y tratamiento de incidentes.
• Generar un Base de conocimientos sobre Incidentes.
• Evitar incidentes repetitivos.
• La posibilidad de apegar los incidentes acorde a legislación vigente.

El proceso de Gestión para el tratamiento de incidentes consta de 6 pasos

1. Preparación / Prevención

Si hablamos de estar preparados, es importante poder armar una especie de cuadro con una categorización de los tipos de incidentes como por ejemplo por tipo de incidente y envergadura de daños producidos, para esto podemos usar este criterio en donde sumamos los efectos negativos producidos por el incidente y  la criticidad de los recursos afectados y esto nos devuelve  la criticidad del incidente.

2. Detección / Notificación

En este segundo paso es cuando nos encontramos frente a una detección de un incidente y esta puede ser manual o automática ya sea por una advertencia que este indicando un incidentes o puede ser también por una señal de algún sistema que indique que está ocurriendo o en el peor de los casos que ya ocurrió el incidente.

3. Análisis Preliminar

Una vez que ya contamos con los indicadores o advertencias tenemos que saber si es verdaderamente un incidente de seguridad o solo se trata de un falso positivo, para poder lograr ver la luz al final del camino, tenemos que realizar la tarea de recolección de Información.

4. Contención, respuesta y recupero

Ya en esta instancia nos avocamos a la tarea de volver los sistemas a la normalidad para ello contamos con tres acciones:

• Contención es evitar que el incidente siga produciendo daños.
• Erradicación es eliminar la causa del incidente y todo rastro de los daños.
• Recupero es volver el entorno afectado a su estado  original.

5. Investigación

No hay nada mejor que aprender de los hechos desfavorables, es por eso que la investigación nos nutre de una base de Conocimiento que nos permite entender lo que paso, como subsanarlo y como evitarlo nuevamente. Nunca está de más tomar todas las medidas necesarias en la investigación, realizando una correcta adquisición de evidencia aplicando en todo momento el control de la cadena de custodia y utilizando elementos de validación.

6. Actividades Posteriores 

Es un hecho que al finalizar la gestión y tratamiento de incidentes donde debemos realizar lo siguiente:

• Organizar reuniones.
• Mantener la documentación.
• Crear bases de conocimiento.
• Integrar la gestión de incidentes al análisis de riesgos.
• Implementar controles preventivos.
• Elaborar Tableros de Control.