Cuando me dieron la oportunidad de llevar adelante la Gerencia de
TICs de PAMI, con todo lo que ello conlleva, armar equipo, estabilizar
los sistemas, planificar los 4 años de gestión, comunicar la visión,
etc… me encontré que el Sub-Gerente de Seguridad Informática en su
momento, Gustavo Litvin, ya tenía una contratación por ser adjudicada de
una consultoría para implementar un Sistema de Gestión de Seguridad de
la Información según la Norma ISO 27001. No les voy a mentir, hasta ese
momento no sabía mucho de que se trataba, y tampoco me merecía demasiada
prioridad para los problemas que tenía en ese momento. Pero luego de
los primeros 100 días y durante la elaboración del Plan Estratégico de
TICs 2012-2015, investigue el tema, me reuní con algunos profesionales
reconocidos en la materia y junto con las autoridades tomamos la
decision de incluir entre las 10 Iniciativas del Plan, la certificación
de la norma, en aquél momento versión 2007. En fin, tenía 4 años por
delante para realizarlo y para ello sumamos uno de los mejores talentos
en la materia que venía de la industria financiera, el Ing. Patricio
Losa, y a fines del 2012 comenzó el proyecto.Recuerdo uno de los
consultores llamado Diego Fojo al cual volví loco en reiteradas
oportunidades pero siempre respondió increíblemente con sus habilidades
interpersonales y una capacidad técnica absoluta. No los aburro más con
el cuento, finalmente, certificamos ISO 27001 en el 2014 y ahora estamos
trabajando en ampliar el alcance y actualizar el SGSI a la versión 2013
de la norma.
Si tendría que definir cuales son las claves para lograrlo, sin ningún orden:
Creo que este aporte viene de mi experiencia como Gerente de TICs y el resto de las cosas se la pueden decir los consultores, en Argentina hay muy buenos y profesionales, me topé con más de uno. Acá les dejo una de las presentaciones que dimos en el SegurInfo.
Opiniones?
Si tendría que definir cuales son las claves para lograrlo, sin ningún orden:
- CONSULTORES CON EXPERIENCIA EN IT. Contar con consultores que hayan pasado más de 2 proyectos de diseño e implementación de un SGSI y que sean del palo de IT es fundamental (que no vengan exclusivamente de 9001) y más que importante que lo hayan hecho en organizaciones similares y con un alcance de igual magnitud. Esto permite sumar nuevas ideas y superar lecciones aprendidas.
- REFERENTE IDONEO. E encargado del SGSI, debe ser interno a la compañía, el va a ser quien lleve el proyecto adelante, quien seduzca a la organización y , evangelice a las diferentes áreas. Se trata de un perfil muy complejo que debe saber lidiar con la frustración de forma positiva..
- APOYO DE LA DIRECCIÓN: Es indispensable que quien tome el rol de la Dirección del SGSI debe involucrarse y brindar todo el apoyo necesario (y los recursos) a las áreas para que puedan alinearse en una gestión eficiente.
- PACIENCIA., Cumplir con los controles de la norma es extremadamente complejo y la gente no ve el beneficio hasta que no está implementado y se da cuenta que es la manera correcta de trabajar. Los procesos deben ser claros y fáciles de internalizar por los técnicos, algo parecido a cuando aprendes a manejar, una vez que aprendiste a pasar los cambios, lo único en lo que pensas es en llegar a destino sano y salvo, y el proceso de manejo se vuelve automático.
- EQUIPO RODANTE. Una vez pasado el el diagnóstico, se prepararon los procedimientos, los registros, y luego al tema de adopción. Aquí comienza la etapa de madurez del SGSI. En este proceso, nos sirvió muchísimo que el equipo del proyecto pase una semana entera en cada área de la organización ayudando y apalancando la implementación, explicando on-the-job como debía registrar y adoptar el SGSI.
Creo que este aporte viene de mi experiencia como Gerente de TICs y el resto de las cosas se la pueden decir los consultores, en Argentina hay muy buenos y profesionales, me topé con más de uno. Acá les dejo una de las presentaciones que dimos en el SegurInfo.
Opiniones?