ISO 28000: seguridad en la cadena de suministro, paso a paso

·

La cadena de suministro es, hoy, uno de los vectores de riesgo más críticos para cualquier empresa que mueva mercancía o dependa de proveedores externos. Un incidente de seguridad —robo de carga, manipulación de contenedores, fraude en el origen— no solo genera pérdidas directas: puede detener la producción, comprometer la integridad del producto y dañar la reputación frente a clientes que cada vez exigen más garantías documentadas. La ISO 28000 es la norma internacional que da respuesta a este problema: un marco sistemático para identificar, evaluar y controlar los riesgos de seguridad en toda la cadena de suministro, desde el proveedor de primer nivel hasta la entrega al cliente final.

Qué es la ISO 28000 y cuál es su alcance

La ISO 28000:2022 —«Seguridad y resiliencia — Sistemas de gestión de la seguridad — Requisitos»— es la revisión más reciente de la norma publicada originalmente en 2007. Esta edición adoptó la estructura de alto nivel (HLS) común a toda la familia ISO (la misma que ISO 9001, ISO 14001 o ISO 45001), lo que facilita enormemente la integración con otros sistemas de gestión que la organización ya tenga implantados.

Su ámbito es amplio: se aplica a cualquier organización que participe en la cadena de suministro, independientemente de su tamaño o sector. Fabricantes, operadores logísticos, importadores, exportadores, operadores portuarios, empresas de transporte terrestre, marítimo o aéreo, y cualquier proveedor crítico pueden beneficiarse —o ser requeridos— de implantar esta norma.

El objetivo central no es eliminar el riesgo (algo imposible), sino gestionar los riesgos de seguridad de forma proactiva: identificarlos antes de que se materialicen, definir controles proporcionales y demostrar esa capacidad a clientes, aseguradoras, autoridades aduaneras y otras partes interesadas.

Diferencia entre ISO 28000 y otros programas de seguridad en la cadena de suministro

Existe cierta confusión entre la ISO 28000 y programas como C-TPAT (Customs-Trade Partnership Against Terrorism, de EEUU) o OEA (Operador Económico Autorizado, de la Unión Europea). La tabla siguiente aclara las principales diferencias:

Elemento ISO 28000:2022 OEA (UE) C-TPAT (EEUU)
Naturaleza Norma internacional certificable (ISO) Autorización aduanera pública Programa voluntario USCBP
Emisor ISO / organismo de certificación acreditado Aduana de cada Estado miembro UE U.S. Customs and Border Protection
Reconocimiento Global (ISO) Unión Europea + acuerdos bilaterales EEUU + acuerdos bilaterales
Compatible con HLS Sí (integrable con ISO 9001, 14001, 45001) No es un sistema de gestión No es un sistema de gestión
Beneficio aduanero directo Indirecto (puede apoyar solicitud OEA) Sí (simplificaciones aduaneras) Sí (revisiones prioritarias en frontera)
Auditoría periódica Sí, por organismo acreditado Sí, por autoridades aduaneras Sí, por USCBP

La ISO 28000 y el estatus OEA son complementarios, no excluyentes. De hecho, muchas empresas usan la implantación ISO 28000 como base documental para solicitar o mantener la autorización OEA ante la Agencia Estatal de Administración Tributaria (AEAT).

Requisitos clave de la ISO 28000:2022

La norma sigue la estructura de diez cláusulas del HLS. Los requisitos sustantivos para la gestión de la seguridad se concentran en los capítulos 4 al 10:

Contexto y partes interesadas (cláusula 4)

La organización debe mapear su cadena de suministro completa: quiénes son los actores (proveedores, transportistas, almacenistas, clientes), qué flujos de mercancía, información y dinero existen, y qué requisitos legales, contractuales o de sector aplican. También deben identificarse las partes interesadas relevantes en materia de seguridad: clientes, autoridades aduaneras, aseguradoras, certificadoras de producto.

Liderazgo y política de seguridad (cláusula 5)

La alta dirección debe asumir el liderazgo visible del sistema. Esto se traduce en una política de seguridad documentada, la asignación de roles y responsabilidades claros, y la garantía de recursos suficientes. No basta con delegar la seguridad al responsable de logística: la norma exige compromiso ejecutivo demostrable.

Planificación y evaluación de riesgos de seguridad (cláusula 6)

Es el núcleo técnico del sistema. La organización debe realizar una evaluación de riesgos de seguridad que cubra, al menos:

Los riesgos identificados se valoran en términos de probabilidad e impacto, y se priorizan para definir los controles correspondientes.

Operación y controles (cláusula 8)

La norma exige que los controles de seguridad estén planificados, documentados y verificados. Entre los controles habituales que las organizaciones implantan bajo ISO 28000 se encuentran:

Evaluación del desempeño y mejora continua (cláusulas 9 y 10)

El sistema debe medirse: indicadores de incidentes de seguridad, resultados de auditorías internas, revisión por la dirección y acciones correctivas ante desviaciones. La mejora continua no es un slogan: es un requisito verificable por el organismo certificador.

A quién aplica la ISO 28000 en la práctica

Aunque cualquier organización puede implantar voluntariamente la ISO 28000, hay perfiles donde la presión —contractual, regulatoria o de mercado— es más intensa:

En España, la AEAT tiene en cuenta la madurez de los sistemas de gestión de seguridad de la cadena de suministro en los procesos de concesión y renovación del estatus OEA. Una empresa con ISO 28000 implantada y certificada parte con ventaja documental frente a una que gestiona la seguridad de forma ad hoc.

Proceso de implantación: de cero al certificado

En Summum Calidad acompañamos la implantación de la ISO 28000 siguiendo un proceso estructurado que se adapta al tamaño y madurez de cada organización. El recorrido típico incluye estas fases:

Diagnóstico inicial (gap analysis)

Analizamos el estado actual de los controles de seguridad frente a los requisitos de la norma. Obtenemos una fotografía clara: qué está cubierto, qué falta y qué hay que construir desde cero. Esta fase evita sorpresas en la auditoría de certificación.

Mapeo de la cadena de suministro y evaluación de riesgos

Con el equipo interno, cartografiamos los flujos de mercancía, dinero e información. Aplicamos la metodología de evaluación de riesgos de seguridad y priorizamos los controles según el nivel de exposición real de la organización.

Diseño e implantación del sistema

Desarrollamos la política de seguridad, los procedimientos operativos, los criterios de selección de proveedores y los planes de respuesta ante incidentes. Formamos al personal clave y revisamos los contratos con proveedores críticos para incluir cláusulas de seguridad verificables.

Auditoría interna y revisión por la dirección

Antes de solicitar la certificación externa, realizamos una auditoría interna completa que simula la visión del organismo certificador. Las desviaciones detectadas se corrigen antes de la visita oficial.

Certificación por tercero acreditado

La certificación la emite un organismo acreditado (AENOR, Bureau Veritas, SGS, Lloyd's Register u otros), no Summum. Nuestro trabajo es que la organización llegue preparada y sin sustos a esa auditoría.

Si además la empresa necesita integrar la ISO 28000 con un sistema ISO 9001 o ISO 14001 ya existente, el trabajo previo realizado evita duplicar documentación y esfuerzo: la estructura HLS permite compartir política, objetivos, gestión de recursos y mejora continua.

Beneficios concretos para la empresa

La implantación de la ISO 28000 no es un fin en sí mismo. Los beneficios reales que justifican la inversión son:

Preguntas frecuentes

¿Cuánto tiempo lleva implantar la ISO 28000 en una pyme?

Depende del punto de partida. Una empresa con controles de seguridad ya documentados (por ejemplo, porque tiene estatus OEA o trabaja con protocolos de cliente) puede estar lista para auditoría de certificación en cuatro a seis meses. Si la gestión de la seguridad es informal o inexistente, el proceso suele requerir entre ocho y doce meses. El diagnóstico inicial es la mejor forma de obtener una estimación realista para tu caso concreto.

¿Es obligatoria la ISO 28000 en España?

No es una norma de obligado cumplimiento por ley en España con carácter general. Sin embargo, puede convertirse en una obligación de facto por dos vías: (1) contractual, si un cliente o licitador la exige como requisito de homologación; (2) regulatoria indirecta, si la empresa opera como Operador Económico Autorizado (OEA) o trabaja en sectores con regulación específica de seguridad en la cadena (transporte de mercancías peligrosas, alimentación, defensa). En esos contextos, no tenerla implantada supone una desventaja competitiva real.

¿La ISO 28000 cubre también los riesgos cibernéticos de la cadena de suministro?

La revisión de 2022 amplió el alcance de la norma para incluir explícitamente las amenazas cibernéticas con impacto en la cadena de suministro física: manipulación de sistemas de trazabilidad, fraude documental electrónico, acceso no autorizado a plataformas de gestión de pedidos. No obstante, para una gestión completa de la ciberseguridad, la ISO 28000 se complementa con la ISO 27001 (seguridad de la información). Ambas normas son integrables bajo la estructura HLS.

¿Qué diferencia hay entre un sistema ISO 28000 y un simple plan de seguridad logística?

Un plan de seguridad logística es un documento; un sistema de gestión ISO 28000 es un ciclo de mejora continua. La diferencia práctica está en que el sistema incluye: evaluación periódica de riesgos, objetivos medibles de seguridad, auditorías internas, revisión por la dirección y acciones correctivas documentadas. Además, está verificado por un organismo externo acreditado, lo que da credibilidad objetiva frente a clientes y autoridades. Un plan interno, por bien redactado que esté, no ofrece esa garantía de tercero.