Esta semana recibimos una de las visitas más temidas: el auditor de AENOR. Es lo más parecido a volver al colegio a examinarse de una asignatura. Y por muy bien que lo hayas preparado, siempre hay algunos temas que no llevas demasiado bien.
Este es ya nuestro cuarto «examen» y creo que en estos 4 años, desde que nos decidimos a implantar la norma ISO 27001, hemos aprendido algunas cosas que merecen comentarse. No es, en absoluto, un repaso a la norma ni pretendo ser académico (eso lo digo siempre). Se trata simplemente de algunas reflexiones y, sobre todo, algunas enseñanzas que se pueden aplicar a cualquier empresa.
En realidad fuimos muy osados (o inconscientes) e implantamos al mismo tiempo la norma ISO 9001, sistema de gestión de la calidad, y la 27001, sistema de gestión de la seguridad de la información (vaya nombrecito). Es como un matrimonio sin hijos que tiene gemelos: si con uno te cambia la vida, dos a la vez es una locura. La ventaja, tanto para los gemelos como para la implantación de la norma, es que hay bastantes «sinergias» y el trabajo y esfuerzo no es el doble.
La norma ISO 9001 es muy conocida y no creo que pueda aportar casi nada nuevo sobre ella. La 27001 es muy reciente (fuimos de las primeras empresas en implementarla en España) y relativamente desconocida. Cuando la quiero explicar en pocas palabras a un cliente o colega le digo que es «la hermana mayor de la LOPD», con lo cual queda bastante claro. Aunque a veces hay que explicar que la LOPD es la Ley Orgánica de Protección de Datos de carácter personal (de España), más conocida por ser la ley que debería evitar que los estúpidos comerciales de Yazztel te llamen a tu casa a las 4 de la tarde, sin conseguirlo.
Con las normas pasa como con algunas habilidades o cualidades de tu empresa o producto: si no se conocen no se valoran. En estos 4 años me he encontrado con las situaciones opuestas: profesionales de empresas, como Fujitsu, que valoran mucho el que tengas implantada la norma (un reconocimiento muy valioso en determinadas situaciones) y, con mucha más frecuencia, un desconocimiento absoluto, lo que significa que ese cliente o colega no le da valor al «sello» de tu folleto o página Web. Es a éstos a los que les explico aquello de «la hermana mayor de la LOPD», para hacerles ver que si estamos certificados en esta norma es que nos tomamos la seguridad de nuestros datos muy en serio (cosa que es estrictamente cierta).
Y aquí llego al punto más importante: ¿para qué certificarte? Porque es un proceso largo, complicado y bastante caro. ¿Qué obtienes a cambio? ¿Compensa?
La LOPD es de obligado cumplimiento y no se plantea esta discusión. Pero certificarse en estas dos normas (y en muchas otras) es una decisión voluntaria que debe aportar a la empresa más de lo que cuesta (si no es así, hay que cambiar de gerente).
En nuestro caso el objetivo fue, sin duda alguna, mejorar la «imagen». Poner los «sellos» en nuestros folletos, en la Web, en la cabecera de las facturas… Demostrar a los clientes, y posibles socios, distribuidores, colaboradores… que tenemos ese «extra» de calidad y seguridad. Que, a pesar de ser pequeños, somos una empresa «seria» que se toma muy «en serio» estos asuntos. Es, por supuesto, imposible cuantificar el impacto que tiene este reconocimiento en la cuenta de resultados, por lo que aún no hemos cambiado de gerente.
Teóricamente, el principal motivo para implantar estas normas es la mejora en la gestión de la empresa, tanto en calidad como en seguridad. Eso está muy bien, es deseable y perseguible y, sin duda alguna, pasar por un proceso de adaptación a la norma y posterior certificación (es decir, el examen), ayuda a mejorar la forma de trabajar. Pero no es necesario que venga un auditor «de fuera» para que la empresa funciona muy bien, tenga un nivel muy alto de calidad en sus procesos y cumpla con las normas de seguridad.
La gran diferencia entre hacerlo «por tu cuenta» o que venga un auditor de una empresa certicadora es que tiene mucho más valor cuando es «otro» el que dice que «haces las cosas bien». Si lo dices tú, no vale tanto. Y, esto es muy importante, este valor añadido se convierte en mucho más en cuanto a su trascendencia como prueba objetiva. Ante un «ataque» desde el exterior o una pérdida de datos, el hecho de que un auditor reconocido haya certificado que la empresa cumple con las medidas de seguridad que impone la norma tiene implicaciones ante una reclamación judicial. Nadie puede garantizar la seguridad «absoluta» de un sistema de protección pero la pérdida de datos de una empresa «certificada» no se podrá considerar negligencia (quizás el término correcto sea otro) ya que «se habían tomado medidas oportunas», comprobadas en la auditoría anual. Es una ventaja ¿inesperada? de la implantación de la norma ISO 27001. Obviamente al ser esta norma mucho más amplia y exigente que la LOPD, que un «capítulo» del índice de la norma, también nos protege en caso de reclamaciones asociadas a problemas de seguridad de datos de carácter personal.
Una duda que suele asaltar a las empresas que deciden certificarse (en cualquier norma) es si contratar un consultor para que les guíe en el proceso. Mi opinión al respecto es clara: sí. Después de 4 auditorías nos hemos familiarizado bastante con la documentación a presentar, pero no me puedo imaginar que hubiéramos hecho hace 4 años sin la ayuda de un consultor. Además, hay bastantes ayudas públicas que pagan gran parte del coste de la certificación inicial, por lo que intentar hacerlo sin «un guía» experto es innecesario, además de mucho más difícil.
Dentro de esta relación desordenada de consejos y notas, una consideración importante: lo que no está escrito no existe. El auditor escuchará todo lo que le quieras contar y se creerá, en primera instancia, la historia que le cuentes sobre tu implicación en la implantación de la norma, sobre el cuidado con el que tratas tus datos y los de los clientes… toda eso está muy bien, pero hay que probarlo. Hay que demostrarlo. Hay que recoger los hechos en un papel, un documento Word, un correo electrónico… Y no vale con hacer un esfuerzo las dos semanas antes de la auditoría anual: muchos de los documentos se deben recoger a lo largo del año, bien cuando se producen (incidencias de seguridad, recogida de datos de los clientes…) bien de forma regular, según se indica en los procedimientos (revisiones trimestrales de los servidores, reuniones del comité de seguridad…). La certificacion se basa en los documentos que el auditor pueda revisar, no en los comentarios que tú le hagas.
Es por este motivo por el que he añadido la coletilla «gestión documental» al título de esta entrada. La certificación, tanto de la norma 9001 cómo de la 27001 y muchas otras) implica un volumen importante de documentos. Pueden ser en papel, pero pueden ser ficheros en Word, Excel, correos, capturas de pantalla… Y, además, esos documentos deben estar perfectamente ordenados y con un nivel de acceso muy concreto. ¿No te suena todo ésto? !Son las características de un programa de gestión documental¡
Confieso que el primer año presentamos toda la documentación en papel. Aún no habíamos empezado a usar ArchivaTech (nuestro programa de gestion documental) en la empresa. La documentación completa ocupaba varios cientos de folios, encuadernados y ordenados. Un buen montón de papeles que a los pocos días de su impresión empezaron a quedarse anticuados, al incorporar sugerencias y cambios exigidos por el auditor.
Ya el segundo año nos dimos cuenta de que lo ideal era guardar todos esos documentos en formato electrónico en nuestro programa (evidentemente se pueden usar otros, pero nuestra elección era obvia). Desde entonces hemos dejado de imprimir los nuevos documentos que vamos generando y en su lugar guardamos los archivos «originales» directamente en su formato.
En realidad, la relación de los programas de gestión documental con la norma 27001 es más que evidente y fue uno de los motivos que nos animó a certificarnos. Como he comentado en muchas ocasiones (por ejemplo en mi video sobre las nociones básicas de la gestión documental), uno de los principales motivos que justifican la instalación de un programa, respecto al archivo de los documentos en Windows, es el incremento en la seguridad que proporcionan. Además, esto es menos evidente, el archivo de los documentos en una base de datos como Oracle, con niveles de acceso definidos para cada documento y usuario simplifica el cumplimiento de muchos de los controles exigidos por la norma.
En definitiva, ISO 27001 (y LOPD) y gestión documental hacen muy buena pareja.
Otra enseñanza importante que nos transmitió el consultor es que los procedimientos que reflejas en la documentación que presentas deben adaptarse a la forma de trabajar en la empresa, y no al revés. No tiene sentido «cortar y pegar» procedimientos más o menos estándar que dicen cómo hacer las cosas: una copia de seguridad, la atención telefónica ante incidencias… Debes ser tú el que digas cómo lo haces, siempre que sea de una forma «razonable» desde el punto de vista de la norma, y no al revés. Si no utilizas encriptación en los envíos porque tus datos no son relevantes, pues lo dices, lo justificas y punto. No tienes que empezar a encriptarlo todo sólo porque la norma lo recomienda. No tienes que cambiar «todo» el funcionamiento de la empresa (suponiendo que fueras capaz de hacerlo). Hay que documentar «lo que haces», con pequeños ajustes para que cumplas los mínimos exigidos.
Antes de terminar, una última reflexión: en la primera reunión con nuestro consultor-asesor de la norma 9001 nos hizo la pregunta habitual: ¿por qué habéis decidido certificaros? La respuesta más «políticamente correcta» (odiosa expresión que no sé porqué uso) es: «queremos mejorar la calidad de nuestros productos y servicios» y en el caso de la 27001 es «para mejorar la seguridad de nuestros datos y los de nuestros clientes«. En definitiva, usar la certificación para mejorar el funcionamiento de la empresa.
Mi respuesta fue otra. Después de todo, era un asesor, al que pagas, y lo conocía de antes, por lo que fuí totalmente sincero. Le contesté: «quiero poner los «sellos» en mi material de marketing para demostrar a clientes y socios que somos una empresa seria».
Me contestó que ese era, realmente, el motivo de la inmensa mayoría de las empresas, aunque no solían reconocerlo tan pronto (en la primera visita) ni tan explícitamente (yo no intenté siquiera disimularlo).
Sin embargo me dijo, y es cierto, que aún así, la implantación de las medidas necesarias para obtener la certificación en estas normas era una ocasión estupenda para mejorar, tanto en la forma de hacer las cosas (calidad) cómo en la seguridad de nuestros datos. Y llevaba mucha razón. Por muy bien que hagamos las cosas, siempre se puede mejorar. Con frecuencia más de lo que te imaginas. Cuando tienes que detallar en un papel los procesos que llevas a cabo diariamente, la forma en que trabajas, los procedimientos previstos para resolver incidentes… salen a la luz muchos problemas que no habías previsto. Descubres fallos en procesos aparentemente triviales. Te replanteas procedimientos que parecían muy bien resueltos, y no lo son.
¿Te suena todo ésto? Quizás ahora entiendas por qué escribí hace una semana sobre «Reingeniería del conocimiento» 😉
Gestión Documental Para Gente (Casi) Normal 
Enhorabuena Fernando, un artículo muy clarificador y bien escrito. Creo que hay dos premisas que garantizan que esto sea una herramienta fundamental para tener éxito en la empresa: convencimiento de la dirección y una buena empresa consultora, que aporte valor y experiencia adecuada, y que tire del proyecto con oficio y máxima involucración.
Totalmente de acuerdo. Por afinar aún más, creo que es labor importante del consultor asegurarse de que los procedimientos que se definan se adecúen a la forma de trabajar de la empresa (cuando sea posible) y no al revés. Esto hará mucho más fácil la tarea de implantar y hacer cumplir las directrices de la norma.
Gracias por el comentario.
[…] cualquier empresa y entidad DEBERÍA estar certificada en la LOPD y disponer de ficheros registrados en la Agencia Española de Protección de Datos. El tipo de […]