jueves, septiembre 03, 2015

Las 5 claves para certificar ISO 27001

Cuando me dieron la oportunidad de llevar adelante la Gerencia de TICs de PAMI, con todo lo que ello conlleva, armar equipo, estabilizar los sistemas, planificar los 4 años de gestión,  comunicar la visión, etc… me encontré que el Sub-Gerente de Seguridad Informática en su momento, Gustavo Litvin, ya tenía una contratación por ser adjudicada de una consultoría para implementar un Sistema de Gestión de Seguridad de la Información según la Norma ISO 27001. No les voy a mentir, hasta ese momento no sabía mucho de que se trataba, y tampoco me merecía demasiada prioridad para los problemas que tenía en ese momento. Pero luego de los primeros 100 días y durante la elaboración del Plan Estratégico de TICs 2012-2015, investigue  el tema, me reuní con algunos profesionales reconocidos en la materia y junto con las autoridades tomamos la decision de incluir entre las 10 Iniciativas del Plan, la certificación de la norma, en aquél momento versión 2007. En fin, tenía 4 años por delante para realizarlo y para ello sumamos uno de los mejores talentos en la materia que venía de la industria financiera, el Ing. Patricio Losa, y a fines del 2012 comenzó el proyecto.Recuerdo uno de los consultores llamado Diego Fojo al cual volví loco en reiteradas oportunidades pero siempre respondió increíblemente con sus habilidades interpersonales y una capacidad técnica absoluta. No los aburro más con el cuento, finalmente, certificamos ISO 27001 en el 2014 y ahora estamos trabajando en ampliar el alcance y actualizar el SGSI a la versión 2013 de la norma.
Si tendría que definir cuales son las claves para lograrlo, sin ningún orden:
  1. CONSULTORES CON EXPERIENCIA EN IT. Contar con consultores que hayan pasado más de 2 proyectos de diseño e implementación de un SGSI y que sean del palo de IT es fundamental (que no vengan exclusivamente de 9001) y más que importante que lo hayan hecho en organizaciones similares y con un alcance de igual magnitud. Esto permite sumar nuevas ideas y superar lecciones aprendidas.
  2. REFERENTE IDONEO. E encargado del SGSI, debe ser interno a la compañía, el va a ser quien lleve el proyecto adelante, quien seduzca a la organización y , evangelice a las diferentes áreas. Se trata de un perfil muy complejo que debe saber lidiar con la frustración de forma positiva..
  3. APOYO DE LA DIRECCIÓN: Es indispensable que quien tome el rol de la Dirección del SGSI debe involucrarse y brindar todo el apoyo necesario (y los recursos) a las áreas para que puedan alinearse en una gestión eficiente.
  4. PACIENCIA., Cumplir con los controles de la norma es extremadamente complejo y la gente no ve el beneficio hasta que no está implementado y  se da cuenta que es la manera correcta de trabajar. Los procesos deben ser claros y fáciles de internalizar por los técnicos, algo parecido a cuando  aprendes a manejar, una vez que aprendiste a pasar los cambios, lo único en lo que pensas es en llegar a destino sano y salvo, y el proceso de manejo se vuelve automático.
  5. EQUIPO RODANTE. Una vez pasado el  el diagnóstico, se prepararon los procedimientos, los registros, y luego al tema de adopción. Aquí comienza la etapa de madurez del SGSI. En este proceso, nos sirvió muchísimo que el equipo del proyecto pase una semana entera en cada área de la organización ayudando y apalancando la implementación, explicando on-the-job como debía registrar y adoptar el SGSI.

Creo que este aporte viene de mi experiencia como Gerente de TICs y el resto de las cosas se la pueden decir los consultores, en Argentina hay muy buenos y profesionales, me topé con más de uno. Acá les dejo una de las presentaciones que dimos en el SegurInfo.
Opiniones?