De 9001 a 27001: Integrando Calidad y Seguridad

De 9001 a 27001: Integrando Calidad y Seguridad

Por segundo año consecutivo, ISO Survey, la publicación de la International Organization for Standardization (ISO), recoge en su edición de 2007 las estadísticas relativas al número de certificados ISO/IEC 27001:2005 en todo el mundo.

Es de destacar que ISO Survey viene publicándose desde 1993, pero, como decimos, sólo desde hace dos años incluye datos sobre la certificación en ISO 27001:2005 Information technology – Security techniques – Information Security Management Systems – Requirements.

Esta inclusión no es más que el reflejo de un notable avance en grado de implantación a nivel mundial por parte del estándar que fija los requisitos para un Sistema de Gestión de Seguridad de la Información (SGSI). Es ya inestimable la importancia que para las Organizaciones tiene la certificación ISO 27001 tiene a la hora de mejorar sus procesos y resultados, y la ventaja competitiva que supone frente a las empresas que todavía no han dado el paso.

Tal avance no es comparable al de los dos “clásicos” del ISO Survey: ISO 9001 e ISO 14001, conocidos estándares de gestión de Calidad y Medio Ambiente, respectivamente. Si bien es frecuente encontrar sistemas de gestión de Calidad y Medio Ambiente conviviendo en un único Sistema de Gestión Integrado (SGI), no lo es tanto (aunque cada vez lo es más) ver un Sistema de Gestión de la Calidad integrado con un SGSI.

Y yendo aún más allá, ya hay empresas que, disponiendo de un Sistema de Gestión Integrado de Calidad y Medio Ambiente, se plantean lo que podríamos denominar “integración total”: un Sistema de Gestión Integrado de Calidad, Medio Ambiente y Seguridad de la Información.

Hoy no vamos a tratar la implantación integrada de los tres estándares en un único sistema, sino la extensión de un sistema existente de Gestión de la Calidad para su cumplimiento con ISO 27001, o en otras palabras, la creación de un Sistema de Gestión Integrado de Calidad y de Seguridad de la Información (en adelante, SGI).

Comenzaremos por decir, aunque es de sobra conocido, que la integración de ambos sistemas viene facilitada por el hecho de que tanto 9001 como 27001 se basan en el ciclo de Deming o modelo PDCA (Plan, Do, Check, Act) aplicado a los procesos del propio Sistema. Asimismo, ambas normas regulan los requisitos de un sistema que está orientado a los procesos de negocio de cada Organización.

La propia ISO/IEC 27001 nos aclara que si una organización tiene implantado 9001 ó 14001 “es preferible cumplir los requisitos de esta norma internacional dentro del sistema de gestión existente.

Vamos a ver hasta que punto la recomendación de la Norma es cierta o no. A pesar de que puedan existir ciertas Organizaciones en las que por motivos específicos se prefiera llevar la gestión de la Calidad de forma separada a la gestión de la Seguridad de la Información, no hay duda de que seguir la citada recomendación nos puede aportar innumerables ventajas (y ahorrarnos algo de trabajo también). Entre esas ventajas, sin duda las más valoradas por las empresas son el evitar duplicidades innecesarias y la mejora de la eficiencia en toda la Organización, con el consiguiente ahorro de costes que supone. 

Manos a la obra: una aproximación somera

De lo primero que nos daremos cuenta a la hora de comenzar a integrar ambos sistemas es de las enormes coincidencias en todo lo referido a lo que es el propio Sistema de Gestión en sí: requisitos generales, requisitos de documentación, responsabilidad de la Dirección, gestión de recursos, auditorías internas, revisión por la Dirección y mejora del Sistema. 

1) El primer paso será, como no, modificar el documento de alcance de nuestro Sistema de Calidad, que ahora incluirá también aquellos procesos de negocio que queramos certificar bajo ISO 27001 por tener especial trascendencia en ellos la Seguridad de la Información. El nuevo alcance no tiene por qué coincidir con el ya establecido para Calidad, y lo normal es que no coincidan, si bien esto depende de cada Organización y fundamentalmente de la amplitud de su objeto social.

2) A continuación deberemos modificar nuestra Declaración de Política de Calidad, haciéndola extensiva a la Seguridad de la Información y a los objetivos concretos de seguridad que nos marquemos como Organización.

3) Lo siguiente será aprovechar la estructura organizativa de la que disponíamos en nuestro Sistema de Calidad, para que gestione también la Seguridad de la Información. Ya empieza a ser habitual que las Organizaciones se doten de Responsables y/o Comités de Calidad y Seguridad.

4) Por último, nos centraremos en aquellos procedimientos de Calidad cuyo objeto y alcance vamos a ampliar para cumplir de manera unificada con los requisitos que comparten 9001 y 27001:

  • Control de Registros y Documentación
  • Responsabilidad y Revisión del Sistema por la Dirección
  • Gestión de No Conformidades, Acciones Preventivas y Acciones Correctivas
  • Auditoría Interna y Mejora Continua del Sistema

Otras ventajas de la integración: gestión unificada del cumplimiento legal y regulatorio

No queremos terminar esta aproximación a los Sistemas Integrados de Calidad y Seguridad sin hacer mención a otra indiscutible ventaja que nos proporcionará nuestro SGI. No es otra que la de poder gestionar de manera centralizada los numerosos requisitos legales y regulatorios con los que tienen que cumplir las Organizaciones en la actualidad.

En concreto en España, el caso más claro es el de la Ley Orgánica de Protección de Datos y su “nuevo” Reglamento de Desarrollo, sin olvidarnos de la Ley de Servicios de la Sociedad de la Información y Comercio Electrónico. Cumplir con estos tres cuerpos normativos requiere la dotación de unos recursos y la implantación de una cierta estructura organizativa para poder llevar a buen término el cumplimiento, de manera constante y permanente. Sólo de esta forma estaremos a salvo de sorpresas desagradables, normalmente en forma de elevadas sanciones económicas. Más allá de las citadas normas, el SGI nos permitirá cumplir con normativas como Sarbanes Oxley, Basilea II, etc.

Y todo ello, desde un único Sistema de Gestión. Interesante ¿no?

Manuel Díaz Sampedro

Áudea Seguridad de la Información

www.audea.com