Historia de un SGSI cualquiera: El sistema de Gestión
y la Seguridad de la Información I
Historia de un SGSI cualquiera: El sistema de Gestión
y la Seguridad de la Información II
*****************************************************************
[...]
El señor Gerente después de consultarlo con la almohada decide que eso de la 27001 no esta aún muy visto y que en su sector no hay casi nadie que la tenga y por tanto puede ser una ventaja competitiva de forma que: "qué leches!, lo vamos a hacer", "pongo a Don YoPuedoConTodo que también es responsable del Sistema de Gestión de la Calidad y el de Medio Ambiente, que hace de comercial, de programador, analista y jefe de proyecto y esto va para delante fijo".
De esta forma y casi sin darse cuenta, llega el día de la auditoría interna, el sistema ya está implantado y la Consultora se ha buscado una colaboración externa para hacer esa auditoría. El Auditor Interno comienza a solicitar documentación del Sistema de Gestión y a ver incoherencias con el funcionamiento de la empresa, partes en amarillo fosforito y otras partes sin instanciar y es que Don YoPuedoConTodo al fin y al cabo es humano y le ha echado a esto los ratos que ha podido y le dejaban libres sus otras 101 tareas.
Al finalizar la Auditoría Interna el Señor Gerente es Informado de la situación por el Auditor Interno, quien le transmite su preocupación y creencia de que la consultora ha hecho bien su trabajo pero ellos no le han podido dedicar el suficiente tiempo, que los procedimientos y normas no se adecuan al día a día de la organización y que hay documentos que no se han instanciado. El Gerente mira a Don YoPuedoConTodo y le dice "Esto hay que solucionarlo pero ya, así que te vas quitando del resto de cosas que tenemos la Auditoría de Certificación dentro de 2 semanas". Don YoPuedoConTodo haciendo honor a su nombre por encima de sus propias posibilidades y en un esfuerzo sobrehumano consigue adaptarlo todo, dejar toda la documentación impecable, pero... los controles están pishí pishá, algunos mejor y otros peor, algunos no están y otros sí, pero el Sistema de Gestión funciona y, al fin y al cabo esto es lo importante, el ciclo PDCA hará el resto de forma que "CERTIFICADO".
El final de la historia es una empresa con un Sistema de Gestión sin Seguridad de la Información durante algún tiempo y un Sello que no refleja lo que realmente hay por detrás.
Pero...
- ¿Dónde ha estado el problema aquí? El problema aquí es el objetivo del Gerente, conseguir la ISO 27000 por ventaja competitiva. Al final se obtiene pero... ¿para que sirve de puertas para adentro?. Amén de esto ha habido otros muchos problemas, asignación de recursos y colaboración de la organización entre otros.
- ¿Quien es responsable de esto? ...
- ¿Cual es el resultado? El resultado es un SG sin SI que irá adquiriendo Seguridad de la Información conforme va rodando el Sistema de Gestión en el mejor de los casos, cuando el señor Gerente apoye el SGSI y crea en él, más allá de la idea del sello inicial. En otro caso lo que tendremos es un SGSI Virtual perfectamente descrito por Javier Cao en su blog.
Para finalizar me gustaría lanzar preguntas al aire (al blog en este caso) con el único objeto de que sean reflexionadas:
- ¿Se debe aceptar cualquier punto de partida para un SGSI?
- ¿Qué está reflejando realmente una certificación en ISO 27001 el primer año si no se tiene especial consideración en el Anexo A?
- ¿Y si una empresa certificada en ISO 27001 desaparece por un incidente de seguridad durante el primer ciclo?
- ¿Puede ser la diferencia de criterio en la auditoría un problema o una garantía de un punto de partida adecuado?
2 comentarios:
Excelente post, lamentablemente muy representativo. Más allá del SGSI, muchas iniciativas de las Compañías no nacen basadas en el cumplimiento de los objetivos estratégicos sino de charlas de café de los altos mandos. ¿Cuántas metodologías han sido "incorporadas" por no ser menos que aquel otro que está en tal o cual empresa? Desde mi punto de vista la adopción de cualquier sistema de gestión incluído uno de seguridad, debe surgir por la toma de conciencia, análisis y conocimiento de la Compañía, sus objetivos/planes y obviamente debe contar con el compromiso y apoyo de la alta gerencia.
Saludos,
Mariano
Nada más que añadir, totalmente de acuerdo y gracias por tu comentario :)
Publicar un comentario