La cadena de suministro es, hoy, uno de los vectores de riesgo más críticos para cualquier empresa que mueva mercancía o dependa de proveedores externos. Un incidente de seguridad —robo de carga, manipulación de contenedores, fraude en el origen— no solo genera pérdidas directas: puede detener la producción, comprometer la integridad del producto y dañar la reputación frente a clientes que cada vez exigen más garantías documentadas. La ISO 28000 es la norma internacional que da respuesta a este problema: un marco sistemático para identificar, evaluar y controlar los riesgos de seguridad en toda la cadena de suministro, desde el proveedor de primer nivel hasta la entrega al cliente final.
Qué es la ISO 28000 y cuál es su alcance
La ISO 28000:2022 —«Seguridad y resiliencia — Sistemas de gestión de la seguridad — Requisitos»— es la revisión más reciente de la norma publicada originalmente en 2007. Esta edición adoptó la estructura de alto nivel (HLS) común a toda la familia ISO (la misma que ISO 9001, ISO 14001 o ISO 45001), lo que facilita enormemente la integración con otros sistemas de gestión que la organización ya tenga implantados.
Su ámbito es amplio: se aplica a cualquier organización que participe en la cadena de suministro, independientemente de su tamaño o sector. Fabricantes, operadores logísticos, importadores, exportadores, operadores portuarios, empresas de transporte terrestre, marítimo o aéreo, y cualquier proveedor crítico pueden beneficiarse —o ser requeridos— de implantar esta norma.
El objetivo central no es eliminar el riesgo (algo imposible), sino gestionar los riesgos de seguridad de forma proactiva: identificarlos antes de que se materialicen, definir controles proporcionales y demostrar esa capacidad a clientes, aseguradoras, autoridades aduaneras y otras partes interesadas.
Diferencia entre ISO 28000 y otros programas de seguridad en la cadena de suministro
Existe cierta confusión entre la ISO 28000 y programas como C-TPAT (Customs-Trade Partnership Against Terrorism, de EEUU) o OEA (Operador Económico Autorizado, de la Unión Europea). La tabla siguiente aclara las principales diferencias:
| Elemento | ISO 28000:2022 | OEA (UE) | C-TPAT (EEUU) |
|---|---|---|---|
| Naturaleza | Norma internacional certificable (ISO) | Autorización aduanera pública | Programa voluntario USCBP |
| Emisor | ISO / organismo de certificación acreditado | Aduana de cada Estado miembro UE | U.S. Customs and Border Protection |
| Reconocimiento | Global (ISO) | Unión Europea + acuerdos bilaterales | EEUU + acuerdos bilaterales |
| Compatible con HLS | Sí (integrable con ISO 9001, 14001, 45001) | No es un sistema de gestión | No es un sistema de gestión |
| Beneficio aduanero directo | Indirecto (puede apoyar solicitud OEA) | Sí (simplificaciones aduaneras) | Sí (revisiones prioritarias en frontera) |
| Auditoría periódica | Sí, por organismo acreditado | Sí, por autoridades aduaneras | Sí, por USCBP |
La ISO 28000 y el estatus OEA son complementarios, no excluyentes. De hecho, muchas empresas usan la implantación ISO 28000 como base documental para solicitar o mantener la autorización OEA ante la Agencia Estatal de Administración Tributaria (AEAT).
Requisitos clave de la ISO 28000:2022
La norma sigue la estructura de diez cláusulas del HLS. Los requisitos sustantivos para la gestión de la seguridad se concentran en los capítulos 4 al 10:
Contexto y partes interesadas (cláusula 4)
La organización debe mapear su cadena de suministro completa: quiénes son los actores (proveedores, transportistas, almacenistas, clientes), qué flujos de mercancía, información y dinero existen, y qué requisitos legales, contractuales o de sector aplican. También deben identificarse las partes interesadas relevantes en materia de seguridad: clientes, autoridades aduaneras, aseguradoras, certificadoras de producto.
Liderazgo y política de seguridad (cláusula 5)
La alta dirección debe asumir el liderazgo visible del sistema. Esto se traduce en una política de seguridad documentada, la asignación de roles y responsabilidades claros, y la garantía de recursos suficientes. No basta con delegar la seguridad al responsable de logística: la norma exige compromiso ejecutivo demostrable.
Planificación y evaluación de riesgos de seguridad (cláusula 6)
Es el núcleo técnico del sistema. La organización debe realizar una evaluación de riesgos de seguridad que cubra, al menos:
- Amenazas físicas: robo de carga, acceso no autorizado a instalaciones, sabotaje.
- Amenazas en tránsito: desvíos de ruta, sustitución de carga, contaminación de contenedores.
- Amenazas en origen: proveedores con controles deficientes, países o zonas de alto riesgo.
- Amenazas cibernéticas con impacto en la cadena física: manipulación de sistemas de seguimiento, fraude documental electrónico.
- Amenazas de cumplimiento: contrabando, blanqueo de capitales a través de comercio.
Los riesgos identificados se valoran en términos de probabilidad e impacto, y se priorizan para definir los controles correspondientes.
Operación y controles (cláusula 8)
La norma exige que los controles de seguridad estén planificados, documentados y verificados. Entre los controles habituales que las organizaciones implantan bajo ISO 28000 se encuentran:
- Control de acceso físico a instalaciones y áreas de carga.
- Procedimientos de verificación de identidad de transportistas y conductores.
- Inspección y precintado de contenedores y vehículos.
- Selección y evaluación de proveedores con criterios de seguridad.
- Trazabilidad documental de la mercancía (Bill of Lading, packing list, CMR).
- Planes de respuesta ante incidentes de seguridad.
- Formación y concienciación del personal propio y subcontratado.
Evaluación del desempeño y mejora continua (cláusulas 9 y 10)
El sistema debe medirse: indicadores de incidentes de seguridad, resultados de auditorías internas, revisión por la dirección y acciones correctivas ante desviaciones. La mejora continua no es un slogan: es un requisito verificable por el organismo certificador.
A quién aplica la ISO 28000 en la práctica
Aunque cualquier organización puede implantar voluntariamente la ISO 28000, hay perfiles donde la presión —contractual, regulatoria o de mercado— es más intensa:
- Operadores logísticos y transitarios que trabajan con grandes distribuidores o con comercio exterior.
- Fabricantes industriales con cadenas de suministro internacionales (automoción, aeronáutica, defensa).
- Operadores portuarios y de terminales sujetos a regulación PBIP (Código ISPS).
- Empresas con certificación OEA que buscan reforzar su sistema de gestión con un marco normalizado.
- Proveedores de primer nivel de clientes que exigen por contrato evidencias de gestión de seguridad en la cadena.
- Empresas del sector alimentario que deben demostrar integridad de la cadena de frío y ausencia de contaminación intencionada.
En España, la AEAT tiene en cuenta la madurez de los sistemas de gestión de seguridad de la cadena de suministro en los procesos de concesión y renovación del estatus OEA. Una empresa con ISO 28000 implantada y certificada parte con ventaja documental frente a una que gestiona la seguridad de forma ad hoc.
Proceso de implantación: de cero al certificado
En Summum Calidad acompañamos la implantación de la ISO 28000 siguiendo un proceso estructurado que se adapta al tamaño y madurez de cada organización. El recorrido típico incluye estas fases:
Diagnóstico inicial (gap analysis)
Analizamos el estado actual de los controles de seguridad frente a los requisitos de la norma. Obtenemos una fotografía clara: qué está cubierto, qué falta y qué hay que construir desde cero. Esta fase evita sorpresas en la auditoría de certificación.
Mapeo de la cadena de suministro y evaluación de riesgos
Con el equipo interno, cartografiamos los flujos de mercancía, dinero e información. Aplicamos la metodología de evaluación de riesgos de seguridad y priorizamos los controles según el nivel de exposición real de la organización.
Diseño e implantación del sistema
Desarrollamos la política de seguridad, los procedimientos operativos, los criterios de selección de proveedores y los planes de respuesta ante incidentes. Formamos al personal clave y revisamos los contratos con proveedores críticos para incluir cláusulas de seguridad verificables.
Auditoría interna y revisión por la dirección
Antes de solicitar la certificación externa, realizamos una auditoría interna completa que simula la visión del organismo certificador. Las desviaciones detectadas se corrigen antes de la visita oficial.
Certificación por tercero acreditado
La certificación la emite un organismo acreditado (AENOR, Bureau Veritas, SGS, Lloyd's Register u otros), no Summum. Nuestro trabajo es que la organización llegue preparada y sin sustos a esa auditoría.
Si además la empresa necesita integrar la ISO 28000 con un sistema ISO 9001 o ISO 14001 ya existente, el trabajo previo realizado evita duplicar documentación y esfuerzo: la estructura HLS permite compartir política, objetivos, gestión de recursos y mejora continua.
Beneficios concretos para la empresa
La implantación de la ISO 28000 no es un fin en sí mismo. Los beneficios reales que justifican la inversión son:
- Reducción de incidentes de seguridad: la identificación proactiva de riesgos y la implantación de controles reducen la frecuencia y el impacto de robos, daños y fraudes en la cadena.
- Acceso a contratos exigentes: clientes de sectores como defensa, farmacia, alimentación o automoción incluyen cada vez con más frecuencia requisitos de seguridad en la cadena de suministro como condición de homologación de proveedores.
- Apoyo al estatus OEA: la certificación ISO 28000 es reconocida por las autoridades aduaneras como evidencia de madurez en la gestión de seguridad.
- Mejora de condiciones con aseguradoras: algunas aseguradoras de transporte y logística aplican primas más favorables a organizaciones con sistemas de gestión de seguridad certificados.
- Confianza de clientes y socios: disponer de un certificado de tercero acreditado es una señal objetiva de que la organización gestiona la seguridad de forma sistemática, no reactiva.
- Base para la continuidad de negocio: la gestión de riesgos de seguridad en la cadena de suministro es un pilar de la resiliencia operativa, complementario a la ISO 22301.
Preguntas frecuentes
¿Cuánto tiempo lleva implantar la ISO 28000 en una pyme?
Depende del punto de partida. Una empresa con controles de seguridad ya documentados (por ejemplo, porque tiene estatus OEA o trabaja con protocolos de cliente) puede estar lista para auditoría de certificación en cuatro a seis meses. Si la gestión de la seguridad es informal o inexistente, el proceso suele requerir entre ocho y doce meses. El diagnóstico inicial es la mejor forma de obtener una estimación realista para tu caso concreto.
¿Es obligatoria la ISO 28000 en España?
No es una norma de obligado cumplimiento por ley en España con carácter general. Sin embargo, puede convertirse en una obligación de facto por dos vías: (1) contractual, si un cliente o licitador la exige como requisito de homologación; (2) regulatoria indirecta, si la empresa opera como Operador Económico Autorizado (OEA) o trabaja en sectores con regulación específica de seguridad en la cadena (transporte de mercancías peligrosas, alimentación, defensa). En esos contextos, no tenerla implantada supone una desventaja competitiva real.
¿La ISO 28000 cubre también los riesgos cibernéticos de la cadena de suministro?
La revisión de 2022 amplió el alcance de la norma para incluir explícitamente las amenazas cibernéticas con impacto en la cadena de suministro física: manipulación de sistemas de trazabilidad, fraude documental electrónico, acceso no autorizado a plataformas de gestión de pedidos. No obstante, para una gestión completa de la ciberseguridad, la ISO 28000 se complementa con la ISO 27001 (seguridad de la información). Ambas normas son integrables bajo la estructura HLS.
¿Qué diferencia hay entre un sistema ISO 28000 y un simple plan de seguridad logística?
Un plan de seguridad logística es un documento; un sistema de gestión ISO 28000 es un ciclo de mejora continua. La diferencia práctica está en que el sistema incluye: evaluación periódica de riesgos, objetivos medibles de seguridad, auditorías internas, revisión por la dirección y acciones correctivas documentadas. Además, está verificado por un organismo externo acreditado, lo que da credibilidad objetiva frente a clientes y autoridades. Un plan interno, por bien redactado que esté, no ofrece esa garantía de tercero.