Esta es una pregunta que suele surgir con frecuencia en organizaciones que ya tienen uno o más sistemas de gestión implantados, y abordan un proyecto de implantación de SGSI. ¿Integramos, o los “llevamos por separado”? Nuestra experiencia nos dice que hay enfoques muy diversos a la hora de enfrentarse a esta pregunta.
Algunos clientes tienen claro desde el principio que quieren que su SGSI esté integrado con el Sistema de Gestión que ya tienen implantado, otros que prefieren mantenerlos independientes, y otros que aunque parten de un planteamiento definido, resistencias dentro de la organización (los responsables de los sistemas de gestión ya implantados, en ocasiones) o la detección de sinergias aprovechables les hacen cambiar de opinión. Tengo que decir que nosotros, como S2 Grupo, siempre recomendamos integrar el SGSI con cualquier Sistema de Gestión que se encuentre ya implantado, y ahora veremos porqué.
Es (para nosotros) obvio que de la integración de varios Sistemas de Gestión se obtienen muchos beneficios, y prueba de ello en la propia ISO 27001, en relación a un Sistema de Gestión de Calidad y un Sistema de Gestión Medioambiental, se indica que:
De hecho, si eso no fuese suficiente, la norma facilita una tabla en la que se muestra la relación de los capítulos de la ISO 27001 con las normas ISO 9001 e ISO 14001.
Ya tenemos claro por tanto que no sólo nosotros, sino que también ISO recomienda integrar el SGSI con el resto de los Sistemas de Gestión pero… ¿qué ventajas obtenemos con ello? Veamos las más importantes:
- El ciclo de mejora continua (PDCA) aplicado a los procesos es probablemente el vínculo de unión más fuerte entre todos estos estándares. De igual forma que la organización debe trabajar para mejorar la calidad de su servicio o producto, debe velar para que la Seguridad de su Información vaya también mejorando. Esta mejora se puede plantear de forma conjunta, y durante el seguimiento de los planes de acción y de las tendencias de los indicadores se evitará que, por ejemplo, se solucionen problemas relacionados con la calidad a expensas de reducir el nivel de seguridad de un activo concreto.
- Evitamos duplicar esfuerzos: hay muchos puntos en común entre estas normas. Por ejemplo, el procedimiento que definamos para controlar los documentos y registros relacionados con el Sistema de Gestión de Calidad, puede servir perfectamente para los documentos que se desprendan del SGSI.
Además de la gestión de la documentación, las auditorías internas se pueden planificar conjuntamente, el Informe de Revisión por la Dirección se puede unificar para que un único documento recoja las exigencias de todas las normas, el tratamiento de las No Conformidades y las Mejoras se pueden abordar de igual forma independientemente de la norma específica de la que desprendan, etc. - Si integramos el SGSI con otros Sistemas de Gestión, le damos a la seguridad tanta importancia como a la Calidad o a la Gestión Medioambiental, lo que, dado que a la Seguridad de la Información hasta la fecha no se le ha dado el peso que a nuestro juicio se merece, suele ser una buena postura.
- Se facilita tanto la comunicación como las sinergias entre áreas de trabajo.
- Si conseguimos que una misma entidad de certificación realice las auditorías de forma conjunta, ahorraremos costes de auditorías y tiempo dedicado por parte de nuestro personal a atender a los auditores, y este tiempo también tiene un coste importante. Si el auditor de ISO 9001 ha comprobado, por ejemplo, que existe un plan de formación adecuado y que la forma en la que se ha realizado es coherente, no hará falta que el auditor de la ISO 27001 vuelva a revisar dicho documento.
A pesar de estas ventajas, existen organizaciones que por diversas razones insisten en mantener el SGSI al margen de los otros Sistemas de Gestión, algo que por supuesto es totalmente respetable y tiene siempre una explicación. En nuestro caso, la mayoría de las organizaciones en las que hemos encontrado resistencia a dicha integración de Sistemas de Gestión eran empresas de producción en las que el área TIC no se encontraba especialmente vinculada con el Sistema de Gestión existente, lo que hacía que el SGSI se percibiese como su ‘propio’ sistema de Gestión.
Como no hay verdades absolutas, puede que lo recomendable en la mayoría de las organizaciones no sea válido en una en particular, así que lo primero que el consultor debe hacer es escuchar al cliente y detectar si se encuentra ante una situación general en la que la integración va a repercutir en un beneficio para la organización, o si las particularidades que envuelven a la empresa o al departamento TIC complicarían demasiado dicha integración.
Por supuesto, la integración de estos sistemas no es un “ahora o nunca”, sino que es un aspecto que, aunque conlleva su carga de trabajo, puede hacerse posteriormente a la implantación (y/o certificación) del SGSI.
Buen Articulo!!!