Hace casi diez años, trabajando de auditor para mi anterior empresa (AENOR), me correspondió organizar conjuntamente con mi actual empresa (S2 Grupo) la primera de una serie de jornadas divulgativas acerca de seguridad y sistemas de gestión de la seguridad de la información, en concreto sobre la norma española UNE 71502, precursora en España de la norma ISO 27001 y por ésta derogada.
Por aquel entonces la certificación se limitaba prácticamente a sistemas de gestión de la calidad según ISO 9001 (y sus secuelas sectoriales ISO/TS para automoción, EN 9100 para aeronáutica y espacio) y a sistemas de gestión ambiental según ISO 14001. La mayoría de las empresas que disponían de ambas certificaciones mantenían ambos sistemas de gestión segregados, siendo prácticamente estancos e incluso dependiendo su operación, mantenimiento y auditoría de personas de distintas áreas dentro de la organización, a menudo con escasa relación entre ellas.
En aquella jornada de la que les hablaba, además de buena parte de su organización, me correspondió intervenir como ponente. Las ventajas y bondades de implantar un SGSI en la organización estaban muy claras pero las alarmas habían saltado y los empresarios y los responsables de la operación y mantenimiento de dichos sistemas veían en el SGSI un tercer sistema de gestión, independiente a su vez de los otros, con sus auditorías, sus revisiones, su documentación, sus indicadores, sus necesidades de formación, etc., además de sus particularidades intrínsecas y nada triviales tales como el análisis de riesgos, el plan de tratamiento de riesgos y la implantación de los numerosos controles de la norma ISO 27002 (antes ISO 17799). El enfoque pues era claro: había que lanzar un mensaje tranquilizador acerca de la posibilidad de integración de los diferentes sistemas de gestión pues, aunque a veces no lo parezca, todos ellos se basan en el ciclo de mejora continua de Deming y tienen en común los requisitos indicados más arriba y otros cuantos más. Cabe decir que los requisitos comunes a las normas, si bien son iguales en esencia, difieren de una norma a otra tanto en alcance como en redacción. En cualquier caso en aquella jornada, allá por el año 2004, los demás ponentes hablaron sobre seguridad y yo lo hice acerca de las posibilidades de integración de diferentes sistemas de gestión.
Ha llovido.
Actualmente en S2 Grupo me encargo de la dirección de la Oficina de Gestión, órgano al que corresponde la coordinación de todo lo que tenga que ver con gestión, especialmente a nivel interno pero con mucha presencia también en determinados proyectos de cliente. Como no podía ser de otra manera, la operación, auditoría y mantenimiento de buena parte de nuestro sistema de gestión integrado (SGI) recae sobre la Oficina de Gestión. Además de otras calificaciones y distintivos como el conseguido hace escaso un mes de Igualdad en la empresa, en S2 Grupo disponemos ahora mismo de un SGI que cumple con los requisitos de cinco normas diferentes de sistemas de gestión:
- − Seguridad de la información según ISO 27001
- − Calidad según ISO 9001
- − Servicios TI según ISO 20000-1
- − Gestión de la I+D+i según UNE 166002
- − Gestión ambiental según ISO 14001
Los cuatro primeros hace años que fueron certificados; la certificación del sistema de gestión ambiental se prevé a corto plazo y además hay previsión de ampliación con una certificación de sistema de gestión de la energía según ISO 50001.
Como ven en S2 Grupo somos unos convencidos de las normas de gestión. Y no es cosa mía: es cosa de la Dirección. Y el tema de los sellos está muy bien pero les puedo asegurar que, a diferencia de tantas organizaciones (personalmente tuve ocasión de conocer varios centenares durante mis años como auditor) las certificaciones para nosotros no son un fin en sí mismo; podríamos entender una empresa sin certificaciones externas pero nos parece inconcebible una empresa moderna, cambiante y en crecimiento sin el soporte de un buen sistema de gestión integrado que nos obligue a huir de la improvisación y a planificar, a supervisar, a documentar aunque sea mínimamente y a mejorar. Y además de manera ágil, pese a todo lo que se ha dicho y escrito sobre la ineficiencia de los sistemas de gestión.
Nótese que en ningún momento hablamos de cinco sistemas de gestión implantados si no de un único sistema de gestión integrado (SGI) que ahora mismo da respuesta a los requisitos de cinco normas diferentes y que está además preparado para dar cabida a otras normas que pudieran venir en el futuro.
¿Cuál es la estructura de nuestro SGI? Pues el sentido común nos llevó en su momento a crear una base PDCA en la que la P, la C y la A se diseñaron para ser la misma para todas las normas y desarrollándose aparte las Ds particulares para cada una de las normas.
Aunque cronológicamente la primera certificación de S2 Grupo fue la de su SGSI, a principios de 2006, (y yo fui el auditor :-) ) como base estructural del SGI se tomó la de la norma ISO 9001. Podríamos decir que la ISO 9001 constituye los cimientos y estructura del edificio que alberga nuestro SGI, además de ocupar una de sus plantas. A partir de ahí, hemos venido analizando los requisitos comunes de cada nuevo referencial a integrar (ISO 14001 el más reciente) contra los de nuestro SGI para comprobar posibles implicaciones sobre lo que ya teníamos y posteriormente hemos ido desarrollando los procesos y procedimientos necesarios, específicos de cada nueva norma a integrar.
Resultado: un SGI a medida, escalable, que nos ayuda a gestionar, a anticiparnos a posibles problemas, a detectarlos rápidamente si llegan a producirse y a dedicar los recursos y soluciones adecuados en cada caso. En definitiva, un sistema de gestión imprescindible para nosotros sin el cual no podríamos mejorar, ni siquiera funcionar de manera eficiente.
No obstante, y en relación a la integración de normas de sistemas de gestión, ya está aquí el anexo SL. Llegó hace unos meses y ha venido para quedarse. ¿Lo conocen? ¿Aún no? Si aún no conocen el anexo SL tengan por seguro que a partir de ahora oirán hablar mucho acerca de él (ya sea con éste u otro nombre). Sin ir más lejos en una próxima entrada que pronto dedicaremos al mismo.
A mi, personalmente, el tema de las normativas ISO me da algo de pereza, supongo que no soy el único. Pero estoy totalmente deacuerdo en que resulta imprescindible llevar un control y una normativa que guíe el recorrido de la empresa.
Hacéis muy bien y se nota que os tomáis en serio este tema. Otros deberían seguir el ejemplo.
Saludos