Hace unas semanas me invitaron a asistir al evento Seguridad de la información: Cómo diseñar y rentabilizar su inversión que organizó aquí en Murcia la asociación Murcya, conjuntamente a Oesía y Firma-e, para concienciar al sector de las TICs de la necesidad de implantar una gestión de la seguridad en las organizaciones.
El evento en general resultó muy interesante y esclarecedor, porque los ponentes tenían más que sobrada experiencia en la implantación de SGSI, y conocían las normas ISO y la legislación vigente para presentarlas de una manera sencilla y didáctica.
De todas las intervenciones, resaltaría:
- La presentación de Javier Cao, que estuvo muy brillante en su exposición. Nos hizo una presentación a los SGSI, y lo hizo de una manera muy amena y entretinida. Todo un descubrimiento.
- De la exposición de Santiago Dominguez Barrios destacar el pragmatismo con el que plantearon la certificación SGSI en la Consejería de Agricultura y Agua de la Comunidad Autónoma de la Región de Murcia. Tras un primer intento fallido en certificarse ISO 27000, decidieron cambiar la estrategis y certificarse primero en la ISO 9000, con lo que consolidaron los procesos de gestión interna, y luego tan sólo tuvieron que revisar para adecuarlos a la 27000, y entonces sí obtuvieron la certificación.
Esto tiene la ventaja de que hay muchas empresas que pueden certificarnos en la ISO 9000 y los costes disminuyen muchísimo. Luego para obtener la certificación ISO 27000 no existen tanta consultoras 27000 y los precios se disparan, pero es mucho más rápido y fácil a nivel interno, porque ya se trabaja en base a una norma y casi todo el trabajo duro está hecho. - La última intervención de José María Ortín Gimeno (Director de Firma-e) fue muy lúcida por su parte, porque señaló que si bien hay muchas organizaciones que están interesadas en adquirir los procedimientos e implantar las buenas prácticas en materia de seguridad y calidad a nivel interno, para una consultora siempre es una satisfacción que los clientes con los que han trabajado en un proceso tan tedioso algunas veces, obtengan la certificación ISO, como una forma también de reconocer que los consultores han hecho bien su trabajo. Y no le faltaba razón.
Esta reflexión final la considero muy interesante porque ya me encontrado varios clientes, que afirman haber adoptado los procesos que dictan las buenas prácticas de la norma de calidad, ITIL o 27000, y al trabajar con ellos, los que llegamos de fuera, hemos visto organizaciones donde sí funcionan las normas ISO y no estamos viciados con la rutina diaria, nos damos cuenta de que esto en realidad es una ilusión que tiene el cliente, porque para llevar un paquete de folios de una mesa a otra de la misma oficina, tienen que hacer un informe escrito y tres comunicaciones de régimen interior. Todos se justifican de la misma forma:
Pagar la certificación es lo que más dinero cuesta todo del proceso, y a fín de cuentas es para que nos reconozcan la forma en la que estamos trabajando, y eso se ve en el día a día. Pero claro, también es una forma que alguien que conoce la norma te diga que además lo estás haciendo bien y cada X tiempo de revise para ver si lo sigues haciendo bien, porque en otro caso, sólo estamos hablando de autocomplacencia y deja ver cierta inseguridad: Si tan seguro se está ¿porqué no dejar que un tercero venga y te lo diga?.
No hay comentarios:
Publicar un comentario