14/5/06

Otro blog de SGSI/Calidad

Me llega vía comentario en el blog la noticia de la aparición de otro blog dedicado a la seguridad de la información y los SGSI, pero además algo más extenso en su temática relacionada con la calidad.
Yo que llego a los SGSI desde la seguridad de la información he tenido la oportunidad de descubrir en estos dos últimos años el mundo de la calidad y la mejora continua que al final mediante los SGSI van a ser los responsables de la popularización de la seguridad en empresas. Y es que hacer las cosas bien motiva pero acreditar que las cosas se hacen bien estimula a la dirección, por el carácter de publicidad positiva que proporciona. En el mundo del outsourcing como es el de las tecnologías de la información, pronto podrán apretarse más las clavijas a las empresas proveedoras de servicios en relación a la seguridad que proporcionan. En cualquier caso, quiero dar la bienvenida al blog ISO 9000-ISO 27001-Gestión dado que seguro que proporciona interesantes post con un mayor conocimiento del mundo de la calidad que el que en este blog pueda publicarse. Añado una sección nueva en los enlaces donde dejo de forma permanente el link para que nadie lo pierda.

7 comentarios:

José Manuel Fernández dijo...

Lujazo. Todo un lujo el post que haces de mi nueva iniciativa. Muchísimas gracias en todos los sentidos. Realmente, al margen de la información que incluyes en tu sitio, tengo buenas referencias tuyas de mi amigo Sergio. Así que lo que necesites ...

Javier Cao Avellaneda dijo...

Cuantos más seamos y más difusión a la certificación de la seguridad de la información más importancia se le dará por parte de las empresas. Ahora solo los consultores/implantadores hemos de esforzarnos por no trivializar esta certificación y demostrar con resultados que la gestión mejora la situación de las organizaciones y las previene frente a posibles contingencias.

José Manuel Fernández dijo...

Pues llevas razón. Trivializar esto es hundir una gran iniciativa.

Los principales responsables de que esto no ocurra son los propios consultores y las entidades de certificación a mi entender. Deben marcar claramente a los malos consultores filtrando con los resultados de las previsibles auditorías (esto no es posible cuando el cliente no desea certificar). El mercado de ISO 9001 actualmente en nuestro país es un verdadero cachondeo en varios aspectos, fundamentalmente promovido por ciertas certificadoras que otorgan certificados a empresas con prácticas desastrosas por la miserable contrapartida de tener un cliente más en su portafolio y en su cuenta bancaria. Es deplorable en muchas ocasiones las cosas que se ven. Mercado totalmente prostituido por todos.

Pero es que, por lo que puedo comprobar, este mercado no sé no sé. He tenido contactos con empresas que desean implantarse una 27001 sin llegar a certificación. Loable en lo que al espíritu y compromiso con la Norma y el sistema respecta. También he tenido contacto con otras que lo único que desean es la certificación, cubriendo cables pelados con canaletas cogidas con 'plastilina' que luego quitarán porque estorba para el tráfico del personal (de esas que dicen ESTA PLASTILINA SE DESPEGARÁ EN 5 SEGUNDOS, al estilo Agente Secreto) ... Hay de todo.

Lo que realmente me alarma son cosas como las que escuchas en conferencias donde de forma abierta y clara, certificadoras exponen que van a dar tanta manga ancha como puedan para hacer una primera masa de clientes. Eso es muy peligroso. Craso error. La Norma da una serie de requisitos que las empresas deben cumplir. Si no los cumplen pues a mi juicio no debe darse certificación alguna (siempre teniendo en cuenta los mínimos y las distintas tipologías de No Conformidades que puedan ocurrir, claro).

Bien es cierto que el mercado ISO 27001 está todavía por explotar. Sistemas así, salvo por las iniciativas que PyMEs con ciertos conocimientos estamos intentando lanzar apoyándonos en partners tecnológicos 'grandes', son realizados por grandes consultoras a unos precios astronómicos, habida cuenta del número de horas de consultoría que hay que dedicar y del equipo humano que ello requiere.

Con todo esto vengo a referirme a que, si las certificadoras dan manga ancha en las auditorías, tendrán igual certificación tanto una empresa calamitosa como otra que tenga un SGSI de la ostia ya que las No Conformidades no se ponen en el certificado.

Acabo ya haciendo la aclaración de que, el fin último a mi entender de un SGSI es la implantación del sistema como tal, estando bien diseñado y correctamente mantenido. La certificación como tal debería ser un premio a las buenas prácticas, no un cajón de sastre donde entren todos y crear una masa crítica que haga atractiva la certificación para otro tipo de clientes.

Respecto de información SGSI, pues en mi blog he colgado un post donde se trata el punto 4.2.1. de la ISO 27001:2005 con algunos comentarios basados en las relaciones y experiencias que he podido tener a día de hoy.

Estás invitado a consultarlo y a hacer los comentarios oportunos.

Saludos.

Anónimo dijo...

Me podeis explicar un poco la evolución de la norma ISO/IEC 17799:2005 a la nueva 27001... No entiendo, cuales son las modificaciones y que ventajas conlleva la nueva norma

Javier Cao Avellaneda dijo...

A ver si lo consigo. La nueva norma ISO 27001 permite construir sistemas de gestión de la seguridad. Estos sistemas SON CERTIFICABLES por parte de una entidad certificadora. De alguna manera, sirve para evaluar en que medida la empresa controla y gestiona la seguridad de sus activos.

La norma ISO 17799 son un catálogo de controles recomendables, conocidos como "buenas prácticas".

La implantación de la seguridad requiere que las medidas de seguridad se ajusten a los riesgos que se quieren mitigar.

Lo que busca la ISO 27001 es que la empresa establezca un ciclo de mejora continua (Plan-Do-Check-Act) asociado a la seguridad de la información y que vaya incorporando controles de la norma ISO 17799 en función de los riesgos que producirían mayor daño a la organización.

Por tanto, ISO 27001 define en esquema de gestión de la seguridad entendido como un proceso de continua reducción del riesgo e ISO 17799 establece un catálogo de medidas a utilizar para reducir los riesgos detectados y de esa manera conseguir una adecuada gestión.

No se si con esta breve explicación es suficiente. Te recomiendo leer el post de titulado "Resumen de la norma ISO 27001:2005"

Anónimo dijo...

Mira tengo una duda, y me gustaria saber porque razon la ISO 17799 no es una norma certificable, o bajo que concepto una norma es certificable.
Gracias de ante mano por su respuesta.

Carlos P.

Javier Cao Avellaneda dijo...

Estimado Carlos P., te animo a usar el grupo Google para plantear estas cuestiones dado que recibirás respuesta de muchas más personas.
La ISO 17799 (Ahora ya ISO 27002) no es certificable porque simplemente es un catálogo de buenas prácticas a considerar.
Son certificables normalmente los sistemas de gestión (basados en el ciclo de Demming, Plan-Do-Check-Act) y donde el auditor externo solamente valora si la gestión del sistema es o no adecuada.

Sería muy dificil certificar seguridad dado que sabemos que el 100% de la seguridad no existe y que cada medida debe satisfacer un objetivo de control pero que no sería objetivable.