Establecimiento del sistema de gestión de seguridad según ISO 27001:2005

Traigo noticias fresquitas sobre ISO 27001:2005, y sobre la creación de un nuevo blog sobre gestión.

La cláusula 4.2.1. de la Norma ISO 27001:2005 se refiere al Establecimiento del Sistema de Gestión de Seguridad de la Información (SGSI). Expone los requisitos que debe cumplir toda organización que desee establecer su Sistema alegando conformidad con dicha norma. Analizo cada uno de los aparatados de dicha cláusula, incorporando algunos comentarios que espero sean de interés.

Este interesante aspecto administrativo de la norma ISO 27001:2005 es un extracto del artículo ISO 27001 – Establecimiento del SGSI, escrito por José Manuel Fernández, que inicia su actividad «blogueril» con el weblog ISO 9001, ISO 27001 y otros sistemas de gestión. En el artículo se hace un análisis completo de la cláusula 4.2.1 y de todo aquello que tenga que ver con el establecimiento del sistema.

José Manuel es, además de un amigo personal al que tengo el gusto de conocer desde hace muchos años, un especialista en sistemas de gestión, no sólo en el campo de la gestión de la seguridad según ISO 27001, sino también en otras disciplinas, como por ejemplo en calidad según ISO 9001:2000.

Es por tanto que conociendo lo que sabe hacer, y sabiendo que lo que hace lo hace bien, os recomiendo añadáis su feed a vuestro agregador favorito y hagáis seguimiento a sus publicaciones, que prometen ser interesantes.

Un saludo, y bienvenido a la blogocosa, Jose :)

34 comentarios sobre “Establecimiento del sistema de gestión de seguridad según ISO 27001:2005

  1. Muchas gracias Sergio. Qué decir de tí, pues que la gente sólo tiene que leer tus posts para enjuiciarte como profesional. Nuestra gran virtud es que nos hemos visto crecer profesionalmente desde hace tiempo y sabemos que cada uno en su campo podemos hacer las cosas bien hechas, como dices. Como era aquel slogan … Solac, lo que hacemos, lo hacemos bien. Hoy día eso no es poco.

    Muchas gracias de nuevo. Vaya dos lujazos: el tuyo y el de Javier Cao. Con esta bienvenida, la verdad es que coges ánimos para intentar colgar cosas cada vez más interesantes.

  2. Acabo de echar un vistazo tanto al blog de José Manuel como al de Javier Cao. Sólo tengo una palabra: gracias. Para todos aquéllos que, por nuestra profesión, nos «pegamos» con cosas como la LOPD, Basilea II, SOX, etc. y que no pasa día sin que pronunciemos al menos quince veces palabros como KRI, BCP, DRS y otras sopas de letras anglófonas, es todo un lujo tener blogs como éstos.

  3. Añadido s mis seguimientos RSS diarios.

    No es que sea muy partidario de las ISO, pero toca convivir con ellas. Algún día podríamos discutir en profundidad sobre la realidad de tales normas en general, de su aplicación y de su validez real. Ahora comienza a haber ISO para todo, ahí radica mi crítica principal, pero no es el momento ni el lugar.

    Llueva sobre Sergio toda clase de sapos y culebras si los futuros contenidos de José Manuel Fernándes (iso jmf ¿? como abreviatura para mis futuras reseñas), he dicho :-P

  4. maty,

    Con lo fácil que es quitar los RSS :), ¿me vas a poner perdio de culebras , sapos y demás? No por Dios, que tu te arrancas y no paras, susto me da.

    Sobre la utilidad de las ISO te seré sincero. Yo soy el primero que recela y mucho de ellas.

    Tiene que haber estándares internacionales, es obvio, pero la gracia la veo yo no en seguir paso a paso las normas porque sí, sino en saber extraer de ellas lo más interesante para cada despliegue organizativo.

    Seguir paso a paso las normas está bien para certificarse en algo, pero vamos, insisto, la certificación en este país es una bochornosa prostitución de la idea original de sistemas de gestión. La gente no se entera de que la certificación es un premio opcional para aquel que ha seguido las «guidelines» correctamente y ha implantado la norma correctamente. *NO* es bajo ninguna circunstancia el objetivo del sistema, que es lo que está pasando.

    Y eso se palpa en el aire: los gestores de seguridad que conocen el tema nunca demandan servicios de certificación en primera instancia. Siempre, siempre, siempre demandan servicios de consulting para ayudar a las empresas a alinearse con las partes de la norma que les son útiles a ellos, sin mirar de reojo a la certificación.

    Lo dicho: ISO, bien, certficaciones = verbena.

    Manu,

    A ver si te subes al carro tu también, ¿no? :)

  5. Lo malo y lo bueno. El bien y el mal. Las Normas ISO como tal aun no han digerido cuerpo humano alguno. No me imagino un trozo de papel ingiriendo una extremidad de alguna persona vinculada a una empresa. Pero claro, ISO ISO ISO, la gente escucha la palabra y parece que estás hablando de algún ente extraño o de dudosa reputación. Los papeles, papeles son.

    Parte de mi opinión sobre la certificación en sí (me refiero al acto de certificar cualquier sistema o artefacto) queda reflejada en el post que hice en el blog de Javier. En él pueden verse palabras que he visto más arriba, es decir, prostitución, etc.

    El hecho de certificar en sí, hoy día es negocio para certificadoras en varias de las ramas de la gestión actual. En algunos mercados como ISO 9001, la popular ‘de Calidad’, pues mientras haya 19-21, … o las que haya a día de hoy acreditadas por ENAC, pues ya se sabe. He presenciado auditorías bochornosas y auditorías muy serias. Es como todo. Pero la ISO no es mala, los malos son otros. En consultoría igual. He visto sistemas que daban pena, alguno de los cuales ha tenido que ser remodelado casi por completo. Empresas con nombres que pueden ser conocidos perfectamente por Sergio.

    Pero aquí la clave está en que un mal sistema de gestión es malo por naturaleza, al igual que uno bueno, es bueno por la misma razón si todo sigue por cauces normales. Evitar encorsetamientos, fomentar la participación del personal, … En lo que respecta al mercado como el de Seguridad de la Información, como digo en el post al que hago referencia, ya he empezado a ver cosas muy extrañas. Clientes con los que nos hemos reunido en bis a bis para intentar cerrar el diseño e implantación de una ISO 27001:2005 pues han desestimado la posibilidad de certificación en un primer instante argumentado ciertos comentarios sobre certificadoras. Pues chapeau, perfecto. Sin problemas. Lo que hay que buscar es el diseño e implantación de un buen Sistema que permita alcanzar lo que la empresa busca, que es la Seguridad de la Información.

    Resumiendo, de lo que se trata es de la implantación de un buen Sistema de Gestión de Seguridad de la Información, o un buen Sistema de Gestión de lo que sea. Las ISO sólo son esquemas voluntarios a los que la gente puede acogerse o no.

    Si las grandes consultoras (en cuanto a conocimiento, no en cuanto a tamaño) de SI se aliasen y sacasen el standard »maty-sc» (como abreviatura para mis futuras reseñas), pues si fuese cojonudo nos podríamos alinear todos con él no siendo una norma ISO.

    Entiendo la mala fama, yo soy el primero que veo cada cosa que … Pero también veo otras empresas en las que se puede decir de forma tranquila, vaya pedazo de ISO que tienen implantada estos mamones. Lo que no saben es que eso no lo ha hecho la ISO, sino que han sido dichos mamones los que lo han conseguido. Sistemas buenos, buenos son. Sistemas malos, malos son, y en esa frase no aparece el acrónimo ISO.

  6. Estoy de acuerdo contigo, Sergio.

    Hace ya seis años que alguien dejó encima de mi mesa la BS 7799 y me dijo: «De parte de la casa matriz, que tenemos que ajustarnos a esto». Siempre obediente a los deseos de la «casa matriz» (what is the matrix…house?), me puse con ello, y la conclusión fue que ciertos controles eran interesantes, otros simplemente inviables por nuestro tamaño (al menos según los describía la norma) y otros perfectamente inútiles por nuestra situación. Y basándonos en ese filtro, en nuestro conocimiento de nuestro propio negocio, y especialmente en determinar qué riesgos eran aceptados y cuáles no, hemos trabajado.

    Seguramente, nunca podríamos obtener la correspondiente certificación ISO (la ISO 107799, creo, pero yo sigo con mi querida BS). Sin embargo, lo que importa es que el control sobre la seguridad de la información está ahora más ajustado a los riesgos de nuestra actividad. Lo demás, como poner en la papelería corporativa un bonito «empresa certificada según ISO bla, bla, bla» es puro marketing.

    Es más: en mi trato con proveedores, he tenido incontables dolores de cabeza con empresas alicatadas hasta el techo de certificaciones ISO. Muchas de ellas han caído en la autocomplacencia de las certificaciones (¡qué buenos somos, por Dios, Tutatis y San ISO!), y han olvidado lo importante: prestar un servicio de calidad. Eso sí: cualquier paso con ellos implica rellenar mil y un formularios (porque la ISO tal y cual lo exige). Y cada año pasan las auditorías, cosa que no me sorprende, pero me preocupa.

    Como a Maty le gusta decir, con razón, en seguridad hay que buscar la excelencia. Las cosas han de estar bien hechas, tener calidad real y ser verdad (porque las amenazas a la seguridad son reales, no un mero rumor ni una cuestión de papeleo). Las normas son un punto de partida, pero en modo alguno representan un objetivo en sí.

    En cuanto a lo de subirme al carro, llevo algún tiempo pensándolo, pero estoy intimidado por el nivelón que veo. Quién sabe… ;-)

  7. Hola:

    Entro otra vez para ver cómo va el tema »guerra a las ISO» y dejo otra aportación en relación a las palabras de Manu. Primero aclarar que una empresa no puede certificarse por ISO 17799 (no es certificable), lo tendría que hacer por ISO 27001 (o BS 7799-2). Lo que describes con tu post es la situación real de las empresas con las que he tenido contacto. Pero es que lo que dice Manu es lo que hay que hacer. Determinar tus activos, hacer un Risk Assessment y gestionar los riesgos mediante la apliación de controles que van desde el establecimiento de políticas hasta planes completos de continuidad de negocio y recuperación de desastres. A medida de tu empresa …

    Los controles interesantes que comentas, pues esos, pa’dentro. Los que son inútiles pues a excluirlos en el Statement of Applicability (con su justificación). Los que parecen una pasada en la redacción de la Norma pues se puede explicar en el SOA el motivo de una posible sustitución por otros más acordes que permitan llevar los riesgos al Nivel Aceptable. Eso sí, deben de ser coherentes con la Política previamente definida y las características de la organización y sus sistemas de información.

    Desde el punto de vista OBTENCION DE CERTIFICACION, siempre que se desee (creo que tanto, maty, como Sergio, como Manu y como yo mismo estamos en la misma »honda (moto)» en cuando a seguir a pies juntillas el standard para certificación), ahí puede caber una interpretación por parte del equipo auditor que ejecute la auditoría. Pero el SOA se analiza siempre en FASE I de la misma, por lo que cualquier deficiencia puede ser retocada antes de entrar en FASE II.

    Respecto de lo de rellenar papeles con las ISO es otro tema para hablar largo y tendido. Yo expongo una introducción que es »vox populi» entre los más puristas ISO. Se tiene por sabido que, de manera general, los sistemas de gestión de cualquier índole, en alto porcentaje son desarrollados por consultoras de gestión o tecnológicas, en funición de la naturaleza del mismo. Muchos de los consultores (cuya labor es traducir lo que dice la norma para poder cumplirlo) son mas ‘amarrateguis’ en ese aspecto y para curarse en salud y poder evitar no conformidades en auditorías, empiezan a meter papeles y formularios como locos …. vaya que el auditor le ponga una no conformidad (fallo de cumplimiento del sistema). Eso es otra cosa que a mí particularmente me da cierto coraje, pues son los sistemas que pringan la imagen de todo esto. Uhhh qué miedo!!! Un ejemplo que ví hace poco:

    EL PARTE DE ACEPTACIÓN DE PEDIDOS – Bueno la ISO de Calidad por ejemplo te pide un registro o evidencia de que lo que te ha llegado de tu proveedor ha sido devidamente verificado y que está OK (o no). Lo explico así para que me entienda cualquiera que lea esto. Pues yo en esta empresa vi el famoso parte que he puesto como encabezado. Esto es una gilipollez suma. Hacer perder al pobre hombre de recepción como 7 min. rellenando un parte cuando firmando el albarán y poniendo el resultado vale. Eso es un registro. Otro ejemplo puede ser el formato de captación de datos para homologación inicial de proveedores … No es mejor hacerle un número de pedidos a prueba? Más papeles inútiles … aysss.

    Bueno, pues con ejemplos como este podría seguir largo y tendido. Mejor que no … verdad? Jeje.

    Lo dicho, que para quitar la mala imagen de la certificación en sí, deberían de entrar con una aspiradora bien potente y empezar a quitar ciertas cosillas. En algunos sectores ya es imposible … en otros más orientados a la Seguridad de la Información, esperemos que entre todos no dejemos que ocurra.

  8. Jose,

    Para que la certificación sea algo medianamente creíble,y no la prostitución de gestión que es hoy por hoy, la aspirador debería aspirar, y bien «padrentro»:

    a) A toda esa interminable lista de entidades acreditadas por ENAC que no tienen capacidad para certificar nada como es debido. Me atrevo a decir que prácticamente, todas.

    b) A esa interminable lista de consultores de poca monta que está llevando a la poca o nula credibilidad de los certificados obtenidos, ya que los consiguen no como premio por un sistema excelente y autónomo, sino a base de pulir no conformidades y falsificar registros 48 horas antes de la visita del auditor, para que el día de la auditoría todos estén felices, se mantenga el sellito, y al día siguiente las cosas se sigan haciendo como si el sistema no existiera.

    c) A cualquiera que vaya predicando que el objetivo de la certificación es vacilar de sellito de empresa certificada, porque NO, NO y NO lo es. Y eso es lo que se está vendiendo, con el consecuente desgaste de la credibilidad, que sin ir más lejos ya sufre como bien sabes, la calidad en España, donde a ver quién es el que se cree que una empresa certificada en ISO 9001 es una empresa que gestiona la calidad adecuadamente. Me preocupa que los SGSI acaben asi de desvirtuados, con fortuna, sobre el tapete, son sistemas más complejos, con lo que espero que no haya una horda masiva de consultores haciendo SGSI, porque de haberla al final la cosa va a terminar como en calidad: cualquiera te monta un sistema, y así salen los sistemas después.

    En fin, me indigna mucho este asunto. Me cabe cierta tranquilidad que, al menos de momento, los jefes de TI y los gestores con los que tengo trato suelen huír de la certificación porque saben que lo importante es alinearse primero con un estándar y unas buenas prácticas, y el día que eso esté logrado y bien diseminado en la organización, se van a poder certificar con muy poco esfuerzo. Mal camino llevan las empresas que sin haber rodado un sistema de gestión de seguridad un tiempo prudente se tiran al charco de cumplir con la 27001. Se van a estampar de bruces.

    En fin, saludos :)

    c) A

  9. Es lo que estoy diciendo en lo que he posteado. El idealismo que uno tiene al salir de la facultad se va perdiendo conforme ves la realidad. Y de la facultad salimos hace tiempo … ¿Verdad?

    Incido hasta la saciedad … Lo que importa es tener montado un buen sistema de gestión de lo que sea (SGICJFM – Sistema de Gestión de Ingresos a la Cuenta de Jose a Final de Mes, por ejemplo xD) la certificación es un mínimo añadido cada vez menos diferenciador (en algunos sectores nada diferenciador).

    Si mañana llega una empresa y desea implantarse un SGSI … ¿Crees que se lo vamos a hacer mal? Nosotros por lo menos no, a menos que nos echen algo en la bebida (pan para hoy, hambre para mañana). Y respecto de propuestas que hemos lanzado, ya te comenté en Hispasec que tenemos muchos contactos que no quieren ni oir hablar de la certificación. Propuestas que ojalá nos salgan y en las que podemos trabajar, teniendo nulo objetivo de certificar.

    Sergio, tú conoces clientes nuestros a los que hemos tenido que cambiarle el sistema prácticamente entero, y en su día fueron certificados (pista: crm o alabarce y no tener con qué limpiarce – xD). Eso lo hizo una consultora de 4 letras que factura la ostia por trabajos de cualquier índole y que puede estar en la mente de cualquiera relacionado con el mundo empresa.

    Lo dicho, que funcione la aspiradora, por lo menos a nosotros no debería de preocuparnos, no? Eso se nota cuando el tío para el que has trabajado llama a tu empresa y exige que vayas tú a solucionarle problemas, como por ejemplo el otro día, que me vi en CICE arreglando un tema de instalaciones de combustibles para uso propio a raíz de otra que no era ni parecida …

    Otra cosa que no has mencionado en tu enumeración de factores aspirantes en los que por mi experiencia se echan en falta algunos muy claros. Las puñeteras consultas del rango de 8 kilos como digo yo (aunque es un nombre orientado a ISO 9001 – serán las consultoras 50 kilos si hablamos de SGSI – xD – Es un ejemplo, delimitaciones de alcances aparte). ¿Cómo puede haber consultoras, generalmente de dos zonas geográficas concretas del país, que metan los clavos que meten a pobres empresarios? Es tremendo lo que he visto. En un caso argumentaban que costaba tanto porque llevarían la empresa a la certificación por ISO 9001, jaja, qué poca vergüenza ….

    Saludos.

  10. Hola,

    Sí que está interesante el tema, aunque veo que estamos todos de acuerdo en lo básico.

    De muchas de las cosas que contáis doy fe desde el lado del cliente. Lo de los 8, 50 y hasta 100 kilos por cualquier trabajo lo sufro a diario, pero no en silencio, como en el anuncio. Lo de los consultores y auditores de poca monta, también.

    Paralelamente, también he tenido el gusto de tratar con profesionales y empresas de quitarse el sombrero. Por suerte, todavía queda mucho orégano en el monte, aunque no todo el monte es orégano.

    Ahora bien, con independencia de que el objetivo sea certificar, implantar un sistema de gestión o simplemente pasar una auditoría del reglamento de la LOPD, los clientes también tenemos lo nuestro…

    ¿Por qué? Porque en muchas ocasiones hacer las cosas bien vende menos internamente que presentar papelitos, y preferimos meter los muertos en el armario y conseguir un informe favorable, antes que enfocar las cosas como es debido.

    El objetivo de verdad no es que el consultor o el auditor vengan a darnos una palmadita en el hombro (¡tío, qué bien lo tienes todo, eres un lince en lo tuyo, pero no te beso ahora, porque tengo sarna en los labios, jazmines en el pelo y rosas en la cara!). El objetivo es mejorar los procesos internos, que las cosas funcionen mejor. De eso, y no de los sellos y papeles, es de lo que vive la empresa, aunque a veces parezca mentira.

    Lo que sucede es que normalmente ese trabajo bien hecho, donde se identifican las deficiencias y se apuntan las mejoras necesarias, suele ir acompañado de una petición de presupuesto para resolver los problemas, y no siempre es fácil justificar un ROI a corto plazo. A los directores eso les incomoda, mientras que ver el papel donde dice «todo OK» les tranquiliza (aunque en la práctica estén sentando sus ejecutivos traseros en un bidé lleno de pirañas).

    Creo que para equilibrar ese efecto «muertos en el armario vs calidad real», un buen sistema de indicadores puede ayudar bastante. Si tenemos los papelitos «todo OK», pero los indicadores muestran que todo está hecho una mierda, alguien de arriba empezará a hacerse preguntas, y entonces será el momento de llamar a un buen consultor y decirle «ayúdame con esto, a ver cómo mejoramos». Claro que un buen sistema de indicadores ya es una medida de gestión de calidad o gestión del riesgo…La pescadilla que se muerde la cola.

    Sé que no es lo mejor, pero a veces unos indicadores (aunque sean toscos) ayudan a que la organización se dé cuenta de qué hay en el bidé, y de que a las pirañas les traen sin cuidado los informes favorables y los sellos de calidad, si no hay una realidad que los respalde.

    El indicador por excelencia suele ser la cuenta de resultados, pero normalmente cuando ese indicador «canta» suele ser demasiado tarde.

  11. Ufff… lo que me temía, ya estáis abordando en profundidad el tema.

    He de reconocer, el tema de las ISO, de la burocracia que la rodea es algo que tengo atragantado desde que tuve que aprendérmelas. Mas es un tema sobre el cual tenga el suficente control para manifestarme públicamente al respecto con el suficiente rigor.

    El problema no radica en las normas en sí, necesarias y un avance, sino en su aplicación y generalización a cualquier ámbito, productivo o no. Muchas veces se trata de un tema «político», de imagen comercial y poco más, no como una metodología útil para mejorar los procesos productivos, de comercialización y demás.

    En ESPAÑA es un tema bastante polémico, por los abusos que se cometen al respecto. Algunas empresas se dedican a coleccionar certificaciones y, aparentemente, son ejemplares. Mas la realidad del día a día demuestra lo contrario, por mucha certificación que se tenga.

    En otros países, ALEMANIA sin ir más lejos, sí que se toman las certificaciones en serio, no como un papelito para coleccionar y presumir de él.

    Ahora hay ISO para todo, desde hospitales a centros educativos. Centrémonos en los últimos. Desde hace años, los centros de secundaria catalanes son certificados. Aparentemente debieran ser de lo mejorcito, mas si se mira los resultados de los estudios PISA sobre el nivel educativo en los países de la OCDE, comprobaremos que los alumnos catalanes están en los últimos puestos en la escala autonómica española.

    A eso me refiero. Los políticos (o directivos sin formación ingenieril) gustan mucho de las certificaciones, mas sólo son eso, certificaciones, un papel.

    Cada vez más hay una gran distancia entre la ficción que nos venden y la realidad productiva. Y eso queda reflejado en otro de los grandes debes de nuestra economía: la continua pérdida en COMPETITIVIDAD, que nos va a pasar una dura factura a partir de pocos meses (no tenemos moneda propia para devaluar, como antaño).

    ¿De qué sirve tanta certificación en España si luego no se refleja en la mejora de la competitividad y productividad española? En comparación de otros países de nuestro entorno, se entiende.

    Pues eso, que en España, país latino, las certificaciones se están convirtiendo en un papeleo más, en más burocracia. A la hora de la verdad, bien pocos se la toman en serio, utilizándolas como base de partida para la mejora continua de los procesos productivos.

    Un símil

    ¿De qué me sirve utilizar un sistema de edición de contenidos -CMS- para bitacorear que cumpla los estándares, que quedará muy vistoso, si soy incapaz de generar CONTENIDOS DE CALIDAD?

    Contenidos, productos, alumnos, enfermos,… tanto da. Es como la compra de un vehículo, en España los hombres tienen tendencia a dar prevalencia a la línea, a la estética sobre otros factores más importantes, a diferencia de lo que sucede fuera.

  12. Concrección:

    a) Leche Pascual. Empresa que colecciona certificaciones, que utiliza como reclamo publicitario y para justificar el elevado coste de su productos lácteos. Sin embargo, los conocedores del sector, los catadores de leche, consideran que los productos que venden son bastante mediocres, eso sí, muy bien envueltos. Oiga no, yo si voy al supermercado y pago un sobreprecio quiero que el producto lo justifique, con un sabor excelente. No es lo mismo un Ribera del Duero del año que un vino de mesa del año, aunque ambos las empresas tengan idénticas certificaciones.

    b) Cuando compro un cachivache electrónico, lo que siempre miro es que haya pasado la certificación alemana, exigente y respetada en el mundillo. En un mundo globalizado, eso me ofrece más garantías como comprador que otras certificaciones. No digamos si es una estufa y demás componentes donde la seguridad física es importante.

    c) La Seguridad Informática. Que es sobre lo que va el hilo. En España, sus responsables no están a la misma algura decisora que el resto de directivos de la empresa, a diferencia de lo que suele suceder en países «más serios». Un ejemplo muy trivial, pero extremadamente molesto para los administradores de sistemas con clientes windows: la compra del antivirus. Viene impuesta desde arriba, decisión tomada por personas «incompetentes». Sí, se pasará la ISO, pero el antivirus en cuestión es deficiente. La seguridad real no coincidirá con la conseguida vía certificación.

    d) Windows 2000 de M$. Hará un par de años obtuvo el certificado de seguridad (el primero de sus S.O.). Sin embargo, como el resto de S.O. de la empresa de Redmond, padece la «dll injection», así como OTRAS numerosas vulnerabilidades muy graves, propias del núcleo (kernel). ¿Qué fiabilidad le voy a otorgar a esa certificación? N I N G U N A. Pero queda bien para el marketing, la imagen de la empresa.

    En fin, espero que haya quedado claro lo que denuncio. La realidad de las certificaciones, no sólo en España, dista mucho de los objetivos que se pretendían inicialmente.

    Al final es lo de siempre, el FACTOR HUMANO es lo más importante. Si no hay una auténtica política de mejora continua, de búsqueda de la excelencia, los papeles, papeles son. Necesarios para competir en el mercado global, pero cada vez más un simple requisito, cada vez menos valorado, al extenderse su uso/mal uso.

    He dicho, que no es poco :-)

  13. Termino, es de agradecer poder mantener una conversación de cierto nivel sobre éste o cualquier otro tema. Si otro día vuelve a abordarse el asunto de las ISO, procuraré ser más específico.

    ¿Qué creéis que pasaría si esta conversación fuese meneada? ¿Cuántos votos obtendría? Pues eso, que tiempo atrás decidí reducir mi presencia en la red, estando sólo en aquellos espacios donde pueda aprender de los demás, donde se aporten enfoques diferentes, debidamente argumentados.

    Sergio, eres afortunado por la presencia en los comentarios de gente valiosa, que tiene algo que contar desde su experiencia profesional. En la red no se prodigan. Por eso seguiré leyéndote, a pesar de mis admoniciones «bíblicas» sobre tu persona ;-)

  14. Pingback: meneame.net
  15. Hola Manu, Maty y Sergio. Aquí hay nivel. Se nota en las palabras que decís, las cuales reflejan la práctica hoy día en España y en otros países de Europa. Aporto otro dato sobre Alemania.

    Yo disculpadme que no cite nombres de empresas, pero una multinacional alemana (que esponsoriza a McLaren Mercedes a lo grande y de la que alguna conversación sobre invitaciones a boxes rechazadas por nuestra parte he podido tener con Sergio) con la que tuve relación en una de mis etapas profesionales, en cuanto a sistema de gestión de calidad era un completo desastre. Un ejemplo: componentes de su catálogo de piezas para desarrollar y ensamblar sus productos de PVC, no encajaban unas con otras, así como la atención de quejas: desastrosa. Recuerdo una reunión en la que tuve que demostrar al Director General en persona que un refuerzo para un perfil determinado no cabía (imaginaos la escena – yo hablo alemán pero de forma muy limitada y el tío todo rojo jugando con piezas que le dejé de la planta de producción).

    Si viéseis lo de veces que intentó meter el dichoso ‘hierrico’ dentro del perfil extruido de PVC y nada. La única respuesta que obtuvimos fue una mirada asesina al delegado en España que no varió los meses de nefasto servicio que nos proporcionó. En Alemania, también hay empresas que se las traen. También coleccionadoras de certificaciones, pero como apunta Maty, bien es cierto que se lo toman con otra mentalidad. Es otra cultura.

    Aquí la cultura del aparentar ‘se lleva mucho’. En todos los sentidos. Así como la cultura del recelo y del ‘yo soy más que nadie porque el otro es tonto y yo no’, a la que se puede hacer un paralelismo con el pensamiento ‘yo soy más que tú porque tengo más sellos’. Lo que no saben muchas de las empresas es que sus carteles promocionales en muchos casos parecen trajes de torero antes que buenas referencias reales (no entraré a hablar de los másters de popularidad … snifff).

    Certificaciones alemanas de producto, pues podemos pensar en TÜV. La infraestructura de TÜV en España para Sistemas de Gestión no es ni de lejos que le que desarrolla en Alemania por ejemplo. Es más, estamos hablando ya de certificaciones de producto, no de sistemas. Al margen de tener que pasar los correspondientes ensayos tipo, etc., donde pueden entrar en juego organizaciones terceras, la verdad es que los marcados CE, certificaciones de TÜV, …., más o menos lo que citaba Maty, sí es cierto que ofrecen mayores garantías. Eso lo asumen los usuarios que conozcan un poco la materia sobre la que versa tal certificación (nosotros podemos emitir juicios de valor sobre la misma).

    Lo que está ocurriendo en otras parcelas de certificación, me refiero a Sistemas de Gestión, es precisamente eso. Cada vez más personas de a pié conocen incluso la fama que persigue a determinadas certificadoras. Bien es cierto que no son muchas (personas), pero cada vez más. No es como antaño, que sólo se podían oir comentarios acerca de AENOR, y rara era la vez.

    Es más, sistemas de gestión casi perfectos, pueden verse manchados de mala forma por el sello que eligen para poner en su papelería corporativa. Eso es fuerte de decir y de enteneder. Pero más fuerte es que realmente pasa. Clientes de la empresa para la que trabajo, nos han pedido que ni intentemos acercarle propuestas de certificación de determinadas entidades. La parte consultora no sé como andará en otras zonas del país, pero en lo que nosotros atañe, no tenemos ningún tipo de ingreso económico por certificar por una u otra organización. Tenemos clientes de AENOR, de SGS, dentro de poco de BSI … Pero insisto, no tenemos beneficio económico, que es otra de las cosas que puedo aportar que creo que no hemos tratado todavía.

    Los importes económicos que cierran consultoras con entidades de certificación para hacer un pack ‘I cook I eat’ (que bien ha quedado el Yo me lo guiso, yo me lo como). Todo a media. Señor consultor, Usted no se preocupe que seguro le validamos el trabajo … Serán ingresos para todos y que siga la fiesta. Deplorable.

    Por último, y para no caer en la repetición (es lo que pasa cuando hay tantos buenos argumentos) hago unas consideraciones desde el punto de vista del consultor. No se si podéis imaginar la satisfacción personal que te entra por el cuerpo cuando ves que has implantado un sistema que le vale a la empresa para elevar la calidad de lo que oferta y de su organización interna. No se puede describir con palabras pues te quedas, creedme, totalmente realizado. Por contra, no sabes lo mal, pero mal, que te quedas cuando ves que todo el trabajo de fase de diseño es utilizado por las propias empresas para poco, más bien nada, salvo obtener la certificación. Te entran ganas reales de irte de allí. Pero bueno, el diseño ya está hecho y todo el trabajo ya están en su poder para poder darle mal uso.

    Manu ha hecho unos buenos pasajes al respecto. En las reuniones iniciales, los directivos te hacen un despliegue de intenciones de la ostia. Te ponen a tu disposición recursos importantes: personas, infraestructuras y dinero. Metes todos los requisitos en tu plan de diseño y sale un sistema que todos ven y te espetan un: sois unos monstruos.

    Pero claro, …, en la fase de implantación, esos comentarios se tornan en: ufff, no tenemos tiempo, déjame hoy al responsable de este área pues tiene que ver conmigo unos temas (luego, curiosamente te los encuentras en la cafetería mirando traseros femeninos … o masculinos …. de todo hay). El ROI marca mucho. También el interés en certificar cuanto antes.

    Sergio aportaba un buen comentario al hablar de SGSI no rodados. Es que en realidad este tipo de sistemas no rodados, no valen para nada, pues no tienes datos sobre los que tomar decisiones y mejoras. Son bebés. Unido a lo que citaba Manu, en esa fase de ‘no rodadura’ los indicadores están bajo mínimos, tu gestión no está desarrollada, … No tienes datos. En definitiva, tu gestión, todavía no es gestión, … y pasa lo que pasa …. Vas a certificar y te certifican.

    La verdad es que este debate es el que pretendía al abrir mi blog. Obtener todos los puntos de vista posibles de gente con argumentos válidos. Quizás no sé si bien o mal, activé el moderador de comentarios … Por lo menos la presentación del mismo por parte de Sergio, lo cual agradezco, ha servido para que digamos tres o cuatro cosas bien dicha en esta entrada, lo cual a mí me gusta de sobremanera, pues me da exactamente igual tener el debate en mi blog o en el de Sergio. De hecho, de no hablar con el del tema blog estoy seguro de que no hubiese ni clicado http://www.blogger.com.

    En fin, yo intentaré meter la información más interesante que obtenga de temas relacionadas con la gestión y si queréis ya debatimos sobre lo correcto o no de las mismas. En entradas de Sergio o en las mías, a mi me da igual realmente. Las informaciones que he puesto hasta ahora creo que lo son. De hecho toda información de gestión entiendo es interesante. Otra cosa es el uso que se le de a esta información por parte de empresas, o de quien sea.

    Saludos a todos y a vuestra disposición.

    Sergio, cuando vaya al Parque Tecnológico te llevo lo de la SIM. Yo ya lo he testado y parece que está bien. Además no te destripa cualquier tarjeta pues le tienes que quitar el PIN previamente en el terminal. Ya verás que pocholada (jeje).

    Lo dicho señores. Saludos a todos.

  16. Jaja. Bueno esto es ….. Especialista en ergonomía. Sabes lo que pasa Maty, que uno, como dices es Ingenieril, pero también ha sido Grunge. Entonces ya se sabe. Lo del fondo negro intentaré cambiarlo en breve. La verdad es que daña la vista en ocasiones, sí. Pero aunque parezca una tontería, no he tenido tiempo de llegar a eso en mi lista de prioridades. Espero cambiarlo en breve en honor a tu petición xD.

    Salu2.

  17. quisiera saber cuales son las dificultades que se presentan generalmente, en la implementacion de un sistema de gestion de la calidad

  18. Hola,

    La verdad que el tema es muy interesante. Me gustaría plantear una duda que tengo y que es motivo largas discusiones.
    Al implementar un SGSI, o crear el departamento de seguridad donde sería la ubicacion ideal dentro del organigrama de la empresa, para colocar al responsable de su administración?
    Tradicionalmente, las empresas ubican el departamento de seguridad dentro de TI, pero esto probablemente limita su alcance, y lo limitan a problemas tecnicos.

    Que opinan Uds?

    Saludos..

  19. Mariano,

    Es difícil ubicar un departamento de TI. Lo que es obvio es que el CIO, el máximo responsable de TIs, debe ser integrante de la directiva, o de lo contrario a duras penas se podrá alinear los requisitos de tecnología con los requisitos de negocio.

    Lo que es el departamento, pues ya dependerá. Es frecuente que seguridad esté dentro de TI, y es que la gestión de la seguridad, al menos para mí, es parte de la gestión TI, pero desde luego no es únicamente un área técnica. La seguridad contiene una parte procedimental que no es técnica.

    Un saludo,

  20. José Manuel, leyendo tu mensaje me has dejado preocupado.

    En la empresa en la que trabajo tenemos desde hace tiempo rodando un SGSI y tenemos previsto certificarlo. Yo tenía la visión de que la entidad seleccionada no era un tema crítico. Que independientemente de la entidad tendríamos el SGSI certificado lo que nos aportaría credibilidad principalmente. (El beneficio del SGSI interno lo tenemos independientemente del sellito)

    En este sentido, veo que al parecer hay entidades que más que aportar credibilidad su aporte sería más bien negativo. (O eso he entendido tras ves tu corre)

    No se si os podreis mojar pero si es posible me gustaría conocer cual es vuestra visión en relación a este tema. Que entidades recomendais, principalmente que aporte credibilidad, y que este debidamente acreditada para certificar Iso 27001….

    Saludos!

  21. Hola Iñaki,

    Fundamentalmente el comentario anterior versa sobre ISO 9001, en lo que a ciertas entidades de certificación respecta. En el ámbito de ISO 27001, en España se vienen otorgando certificados UNE 71502 por parte de AENOR desde hace tiempo: ETICOM, rumbo.es, … He visto que BELT IBÉRICA luce un certificado de SGS ICS, NEXTEL e IZENPE con BSI …

    El mercado aún no está lo suficientemente maduro para que un certificado desprestigie un Sistema como ocurre en ISO 9001. Desprestigio, naturalmente visto en términos de juicio a priori por parte del cliente. Me explico: huir de pavor ante determinados certificados.

    Una certificación BSI acreditada por UKAS para un SGSI es bastante importante. Sólo has de mirar el número de certificados que llevan en BS 7799-2 e ISO 27001, acometiendo ahora las transiciones.

    En España, al margen de AENOR, APPLUS+ se encuentra en proceso de acreditación, según indicaba Laura Prats (responsables SGSI) en mi blog. Están emitiendo certificados.

    Un poco por responder a tu pregunta, el estado en el que se encuentra la certificación SGSI en la actualidad hace que sea un caso distinto. Si vais a certificar lo que os recomiendo que hagáis es que veáis la experiencia que os puede aportar la entidad certificadora así como la solvencia previa y experencia de su equipo de auditores. No hay tanta experiencia acumulada en auditoría en España. De hecho muchas de las certificadoras se encuentran homologando auditores para ISO 27001 en la actualidad.

    Pregunta a BSI/AENOR/APPLUS+ y compara precios y prestaciones. Vigila la acreditación de estas entidades. Echa un vistazo a quién a certificado organizaciones imporantes de forma previa … Tendrás elementos de juicio para una buena selección.

  22. Si me permitís la intervención, me gustaría comentar que las certificaciones creo que no son o menos útiles en función de quién certifique y de qué sistema se esté certificando.

    La clave está, como siempre, el alcance del SGSI y el nivel de cumplimiento e impregnación del sistema en la cultura organizativa. Recurriendo al caso de la Calidad, ¿de qué sirve que Telefónica luzca un ISO 9001:2000 en menesteres administrativos, si en su alcance no se contempla la agilidad en el proceso de bajas y portabilidades de líneas de voz y datos? Ese sistema de calidad no implica que mi línea irá mejor, ni que serán rápidos si me quiero pasar a la competencia, ni que cuando llame al 1004 no esperaré más de 10 segundos hasta ser atendido.

    En los SGSI pasa igual. Si el alcance es ajeno a la realidad del negocio, y se tiene el certificado para lucirlo, estamos ante un SGSI inútil y marketoide, lo haya certificado AENOR, UKAS o Perico el de los Palotes Consulting Services, S.A. Así es como percibo yo el asunto.

    Un saludo ;)

  23. Sergio,

    lo que comentaba con Iñaki no va por ahí, sino por el comentario que hice acerca de determinadas certificadoras ISO 9001 con prácticas «especiales». Sobre la calidad el sistema SGSI, alcances, prácticas, etc., es otro tema que no admite discusión alguna, entiendo yo.

    Respecto de ISO 9001 como decía anteriormente hemos tenido casos en los que nos han dicho que con determinadas certificadoras los clientes no querían trabajar (es más, ni verlas). Eso me ha pasado a mí, y en varias ocasiones. Comentarios acerca de las prácticas de certificación ISO 9001 de determinadas entidades están a la orden del día en los foros de especialistas en el sector. Es un tema totalmente ajeno a la implantación del sistema, alcances o similares. Es específico de la imagen como empresa de las entidades de certificación.

    Sabes a quien ir por precio, por auditoría sencilla, por auditoría estricta, por auditores no formados, por auditores magníficos, …

    Es más, esta mañana en un lugar donde hicimos una LOPD, en este caso la hiciste tú mismo, hemos estado comentando sobre la certificadora que iban a seleccionar para certificar y su entidad consultora. Han sido sometidos a un robo absoluto por parte de alguien del noreste de la península y han puesto de manifiesto con quien desean certificar y con quien no.

    Respecto de la utilidad, una exportadora de Almería, la cual suministra productos a las grandes cadenas de UK, ha tenido que volver a certificar su sistema ISO 9001 porque la certificadora que tenía fue rechazada por los controladores de proveedores de los supermercados. Si nos vamos al listado de entidades acreditadas por ENAC para certificación de sistemas de gestión de calidad ISO 9001, allí vemos a la entidad cuyo certificado ha sido rechazado, ya que no estaba en la lista para ser aprobado de los procedimientos de estos colosos de la distribución a grandes superficies.

    Como decía, para SGSI se está en fase inicial de desarrollo, con entidades de certificación en pleno proceso de acreditación, formando auditores, etc. Si se respetan las reglas de la buena práctica en auditorías, la solvencia técnica auditando, la integridad, …, etc. y no se entra en una guerra de precios para ver qué certificadora gana más cuota de mercado, la cosa irá bien. Si se empiezan a pelear entre ellas conforme se acrediten, y se tiran los trastos a la cabeza echando pestes una de otra, esto llegará tarde o temprano al cliente, como ocurre en ciertos sectores ISO 9001, con lo que podría ocurrir lo que comentaba: que el mero hecho de ver un determinado logotipo o certificado, pueda provocar la risa jocosa de quien lo ve.

  24. lo que comentaba con Iñaki no va por ahí

    Si si si, no me refería a vuestro debate particular, era una idea general, pero que efectivamente, no va en sintonía con lo hablado por Iñaki y por tí :P

    Como decía, para SGSI se está en fase inicial de desarrollo, con entidades de certificación en pleno proceso de acreditación, formando auditores, etc. Si se respetan las reglas de la buena práctica en auditorías, la solvencia técnica auditando, la integridad, …, etc. y no se entra en una guerra de precios para ver qué certificadora gana más cuota de mercado, la cosa irá bien

    Efectivamente. E irá mejor si las gerencias y direcciones empiezan a darle a las TI la importancia que realmente tienen ;)

    Un salu2

  25. Estoy de acuerdo con el tema que comentais de las Iso 9001. Esperemos el la ISO 27001 no acabe igual.

    Sergio, tal y como comentas las certificaciones no son más o menos útiles en función de quién certifique y de qué sistema se esté certificando. Esto está claro.

    Lo que yo comentaba era, suponiendo un caso ideal, una empresa con un SGSI correctamente implantado, de acuerdo a sus objetivos y necesidades, desea certificarla en ISo 27001. En nuestro caso, se trata de una empresa internacional, muy abierta al mercado extranjero.
    En este sentido, no solo queremos que el SGSI nos sirva internamente(eso nos sirve sin certificarnos) , queremos que el certificado lo demuestre, que la entidad proporcione credibilidad, etc etc, en resumen que sea conocida y que no desprestigie el certificado.

    En este sentido, no nos gustaría certificarnos por una entidad no acreditada…por tanto Applus, y Aenor, quedaría descartadas, al menos de momento….. (¿Se sabe cuando estaran acreditadas aprox??)

    Por otro lado, queremos que sea conocida por nuestros clientes en mercados d emuchos paises del mundo (America, Asia, Africa…). Así, vemos que una certificado BSI, BVQI, DNV, LLOYDS,etc, nos sería más positivo. (¿Alguien se moja aconsejando alguna de ellas, o desaconsejando…??). Vemos que Applus o Aenor, proporcionan credibilidad…..pero no se hasta que punto serían conocidos en paises americanos o asiáticos (Bueno.., en sudamerica quizás sí, pero en norteamerica no lo tengo tan claro, y menos aun en Asia….)

    Lo dicho, finalmente no se que con la que nos quedaremos, pero dudo que seleccionemos una no acreditada. Supongo que esto no solo nos ocurrirá a nosotros por lo que más vale que ENAC ande rápida… Sinceramente, preferiría seleccionar una entidad acreditadas por ENAC. (Se sabe si BCQI u otras está previsto que se acrediten en España??)

    Vaya, parrafada….si alguien se lo lee, es que o le interesa mucho el tema de los SGSI….o se aburre…mucho……, en cualquiera de los casos, gracias

    Iñaki

  26. Al hilo de lo que se está hablando:

    ISO/IEC 17021:2006, Conformity assessment – Requirements for bodies providing audit and certification of management systems

    Recién salida del horno ;)

    Ref.: 1028
    15 September 2006
    New ISO/IEC standard to increase confidence in management system certification

    Hundreds of thousands of organizations worldwide, their customers, consumers and regulatory authorities stand to benefit from a new ISO/IEC standard designed to increase confidence in management system certification.

    Conformity assessmentISO/IEC 17021:2006, Conformity assessment – Requirements for bodies providing audit and certification of management systems, places rigorous requirements for competence and impartiality on the bodies that offer audit and certification to standards like ISO 9001:2000 (quality management) and ISO 14001:2004 (environmental management).

    The new standard has a huge potential impact since according to the latest figures, some 888 000 organizations in 161 countries are independently certified to ISO 9001:2000 and/or ISO 14001:2004.

    ISO/IEC 17021:2006 is compatible with a further expansion of management system certification. It has been designed as the single source of internationally harmonized requirements for certification bodies and their activities not only in relation to ISO 9001:2000 and ISO 14001:2004, but also to new management standards for food safety (ISO 22000), information security (ISO/IEC 27001:2005) and supply chain security (ISO/PAS 28000:2005), as well as to any others that may be developed.

    Alister Dalrymple, co-convenor of the group of experts that developed the standard, commented: “ISO/IEC 17021:2006 will be a common basis for any future work within ISO when a need is perceived to have the effective implementation of a management system standard verified by independent (“third party”) audit and certification. Because this will encourage consistent good practice, the standard provides value for the organizations that implement management systems, for the bodies that provide them with certification services and, ultimately, for customers, consumers and regulators of the products and services covered by the management systems.”

    Replacing and improving on two ISO/IEC Guides (62 and 66), ISO/IEC 17021:2006 distills an international consensus on the latest in good practice. In addition, it incorporates guidance developed by the International Accreditation Forum (IAF). This is an international association of the accreditation bodies set up in many countries to approve (“accredit”) certification bodies as competent.

    Co-convenor Randy Dougherty explained: “Because ISO/IEC 17021:2006 provides the requirements for performing certification to any management system, it becomes the unique requirements document for accrediting bodies that certify any management system. This will help to ensure consistent good practice both by accreditation and by certification bodies, which is good for confidence in these activities and therefore good for international trade.”

    ISO/IEC 17021:2006 represents a new model for the standards that make up ISO’s “tool box” for conformity assessment, which is the evaluation of products, services, systems, processes and materials against standards, regulations or other specifications. It innovates in presenting principles of certification, then the performance-based requirements that flow from them. These principles cover impartiality, competence, responsibility, openness, confidentiality and responsiveness to complaints. The standard underlines the need to ensure the competence of all the personnel of the certification body – not just auditors – in the management system certification process.

    Requirements for impartiality include the following: demonstration by the top management of certification bodies of the need to avoid conflicts of interest between certification and consultancy, training and internal auditing services; the marketing of certification services, and the subcontracting of audits.

    The certification body is required to set up a committee for safeguarding impartiality. The standard envisages that such a committee could include representatives of clients of the certification body, customers of these clients, trade associations, regulatory bodies, governmental and nongovernmental organizations, and consumer associations.

    Additionally, the certification body is required to implement a management system to ensure its conformity to ISO/IEC17021:2006.

    ISO/IEC 17021:2006, Conformity assessment – Requirements for bodies providing audit and certification of management systems, costs 108 Swiss francs and is available from ISO national member institutes (see the complete list with contact details) and ISO Central Secretariat (see below). It was developed by working group WG 21, Management system certification, of ISO/CASCO, Committee on conformity assessment.

    Note to Editors:
    Certification of conformity is not a requirement of ISO standards, including ISO 9001:2000 and ISO 14001:2004, which can be implemented without certification for the benefits that they help user organizations to achieve for themselves and for their customers. Nevertheless, many thousands of organizations have chosen certification because of the perception that an independent confirmation of conformity adds value.

    ISO itself does not perform certification to its standards, does not issue certificates and does not control certification performed independently of ISO by other organizations.

    ISO/CASCO, Committee on conformity assessment, develops voluntary standards and guides to encourage good practice and consistency worldwide in accreditation, certification and related activities.

  27. Iñaki, visto el mercado que pones, certificad con BSI. Contacta con Alejandro García y dile que llamas de parte de José Manuel Fernández de Nexus en Málaga. Solicítale presupuesto, examina las cuantías y ya decides.

    Alejandro ha colgado una entrevista donde trata el tema de la acreditación para SGSI así como la más que indudable influencia de BSI en mercados como el asiático.

    Respecto de acreditación por ENAC, APPLUS+ estaba en ello también, conforme comentó Laura Prats en mi blog Blog ISO 27001.

    Te dejo enlace también a la entrevista a Alejandro García de BSI AQUI

  28. Muchas gracias José Manuel,

    Muy interesante la entrevista, trata de modo claro el tema de la acreditación que comentaba.

    La verdad es que vistos los datos, nosotros también nos inclinamos más por BSI. Lo trataré con ellos, pero ¿Sabeis si tiene auditores en España?? (Aparte del propio Alejandro), me consta que hay entidades que no los tienen.

    Saludos y de nuevo gracias, habeis sido de mucha ayuda.

  29. Iñaki,

    BSI tiene un cuerpo de auditores realmente bueno. Conozco auditores españoles y puedo decirte que de solvencia indudable. De todas formas, independientemente del auditor, la experiencia de ‘sufrir’ una auditoría de este tipo te supondrá una experiencia bastante buena en las técnicas de auditoría y en el protocolo de la misma, ya que la escuela de BSI para la ejecución técnica de auditorías es tremenda. Protocolo ingles, ya se sabe.

    Saludos.

  30. Jose,

    Los mejores auditores son los de Nexus, los que conformaban la plantilla en el 2003 ;)

    Los de BSI a su lado, ná, aprendices :P :P

    Gracias a Iñaki y a Jose por el brillante hilo que han protagonizado. Creo que hemos aprendido mucho de ambos.

    Saludos,

Comentarios cerrados.