24 enero 2007

Sistemas de Gestión: Parecidos y diferencias


Con la proliferación de diversas normas que regulan los sistemas de gestión en distintos ámbitos, en muchas ocasiones aparecen dudas sobre el contenido de cada uno de ellos. La intención de este pequeño gráfico es indicar, a grandes rasgos, sus parecidos y diferencias más importantes.

Entre los parecidos principales, todas ellas definen sistemas de gestión, y como tal definen unas actividades básicos que se tienen que desarrollar: gestión de la documentación, revisión, auditoría, gestión de incidencias, gestión de no conformidades, acciones preventivas y correctivas, ... En definitiva, todas las actividades que garantizan el cumplimiento adecuado del ciclo PDCA en el que se basan.

A partir de ahí, aparecen las diferencias. El Sistema de Gestión de la Calidad (SGC) que define la ISO 9001 cubre a priori toda la organización, exige la definición de procesos y se centra principalmente en la satisfacción del cliente. No tiene aportaciones específicas para el área TIC, aparte de los requisitos generales que se deben cumplir, y regula desde aspectos estratégicos hasta aspectos tácticos y operativos.

Por su parte, el SGSI definido por la ISO 27001 combina la satisfacción de los requisitos del cliente en materia de seguridad con los de la propia compañía. Define una serie de requisitos de seguridad a cumplir, unos a nivel general y otros específicos para el área TIC, aunque su ámbito de aplicación sea a priori toda la organización, desde el apartado estratégico hasta el operativo. Muchos de sus requisitos coinciden con los exigidos por un SGC, tal y como se puede observar en los anexos de la propia norma, e incluso su alcance se define en base a procesos.

El Sistema de Gestión de la Continuidad del Negocio (SGCN) que especifica la BS 25999 se centra de forma exclusiva en una dimensión de la seguridad, como es la disponibilidad, principalmente desde un punto de vista de exigencia propia de la organización. Sin embargo, su ámbito de actuación va más allá del exigido por el SGSI en materia de continuidad, y exige la definición específica de una serie de medidas que garanticen en la práctica la continuidad del negocio a nivel global. Los requisitos para el área TIC son grandes, pero también exige que se contemple la continuidad de la actividad desarrollada por el resto de las áreas de forma independiente a ella.

Por su parte, el Sistema de Gestión de los Servicios TIC (SGSTIC) que define la ISO 20000 se centra exclusivamente en la gestión de este área, aunque en ella contempla desde los aspectos estratégicos hasta los operativos. Amplia los requisitos que en materia de definición de procesos realiza la ISO 9001, identificando los que deben desarrollarse en dicho área, y desarrolla de forma más extensa los requisitos de seguridad contemplados en la ISO 27001, estableciendo procesos para lo que antes sólo se definian controles. Además, contempla muchos de los requisitos que la BS 25999 establece para el área TIC en materia de continuidad, aunque evidentemente su marco de actuación se restringe exclusivamente a dicho área.

En definitiva, estamos ante normas con muchos elementos en común, aunque con ámbitos de aplicación específicos y diferenciados. No obstante, una adecuada definición de los alcances en los que se aplica cada una de ellas nos va a permitir acotar los esfuerzos de implantación y aprovechar todas las coincidencias y sinergias que puedan surgir entre ellas, de modo que el desarrollo de un sistema de gestión integrado certificable contra todas ellas sea no sólo una utopía sino una realidad alcanzable si dedicamos los esfuerzos necesarios de forma adecuada. Pero ojo! Que conste que estos esfuerzos necesarios pueden ser importantes...

2 comentarios:

Anónimo dijo...

Buena la aclaración pero en el caso de una implantación de un SGSI ¿quién debería liderar el proyecto? O sea, ahora mismo, en mi empresa, lanzamos la propuesta desde TI, quien además lleva tiempo trabajando en la implementación de procedimientos, controles y herramientas con muy buen resultado en las auditorías; resulta que ha conseguido muchos novios y otras áreas creen que deben liderar mas que participar.

¿En su experiencia, cómo se resuelve este conflicto en la implementación de un SGSI?

Joseba Enjuto dijo...

Buenas tardes,

La pregunta no es fácil. De hecho, el liderazgo del proyecto de implantación de un SGSI es uno de los factores que determinan en gran medida el éxito o fracaso del proyecto. Por éso creo que no están de más algunos consejos:

- Sería interesante que el líder del proyecto fuese la persona con mayor responsabilidad dentro del alcance seleccionado. Eso facilita la adopción de muchas decisiones.
- Es conveniente que, independientemente del alcance, exista un sponsor de nivel directivo, que garantice que el apartado de responsabilidades de la dirección se cubre adecuadamente.
- Es fundamental que, independientemente de quién lidere el proyecto, toda la organización participe en el proyecto. Si por ejemplo el alcance es TI pero no tenemos a RRHH de nuestro lado difícilmente conseguiremos establecer con éxito el cumplimiento de los controles de la cláusula A.8.

En resumen, hace falta un líder que asuma la dirección del proyecto pero sobre todo hace falta mucho trabajo de venta interna, para que aquellas áreas con implicaciones colaterales participen de forma proactiva y aporten al proyecto, ya que si no es así corremos el riesgo de chocar contra el muro infranqueable de los roces internos.

Espero haberte ayudado.


Saludos,


Joseba Enjuto