InfoSecMan Blog

Vengo asistiendo los últimos meses a la aparición de notas de prensa de algunas empresas que anuncian a bombo y platillo sus certificaciones ISO27001. Lo presentan ante sus clientes, los medios, etc. dando una imagen de “Seguridad” de la compañía, de sus servicios, de seriedad y de compromiso con la innovación y la mejora interna.

El gran público, ignorante como siempre de lo que significa tal o cuál norma, se queda con la cantinela de que el sello ISO27001 es igual a la seguridad, y de que una empresa certificada en ISO27001 es mucho más segura que otra que no lo esté.

Creo que empieza a hacerse necesario, si no queremos que el valor de la norma se desvirtúe, cierta divulgación al público en general (y me refiero como público en general, al tejido empresarial inicialmente) de un concepto muy sencillo e importante a la vez.

El Alcance. Como todos sabéis, este es un punto clave en la certificación de cualquier Sistema de Gestión. Desgraciadamente (para el público en general, no para las compañías que ostentan esas certificaciones), cuando se hace pública una certificación, e incluso cuando se revisa la misma para optar a un concurso, rara vez se hace público este dato, aún cuando debería publicarse siempre que se hiciese alusión a dicha certificación. ¿Por qué? Porque seamos realistas, probablemente más del 90% de las empresas que se certifican no buscan la mejora de sus sistemas de gestión de la seguridad (si es que los tienen), sino que buscan conseguir un sello que publicar en sus tarjetas, ofertas y material de marketing que el público identifique con “SEGURO”. Para ello, como es “lógico”, buscan el máximo beneficio con la mínima inversión, y lo que suelen hacer (y se suele hacer en el mercado) es reducir el alcance a un entorno controlado y lo más sencillo posible que nos permita realizar los cambios necesarios en el sistema de gestión (o incluso crearlo, sino existía) en el menor tiempo posible y obtener rápidamente el sello deseado.

Esto lleva a que por ejemplo puedas obtener un certificado ISO 27001, definiendo como alcance el proceso de control de accesos de la organización (esto es, el puesto de la recepcionista), lo que asegurará que el sistema de gestión de la seguridad de la información para ese puesto sea correcto, tenga una política implantada, procedimientos, indicadores, análisis de riesgos, etc…. pero el resto de la organización siga igual de mal (o de bien) que antes de obtener la certificación.

Evidentemente, como decía, cuando esa compañía publique su nota de prensa no hará referencia en ningún caso a dicho alcance. ¿¿Eso podría denominarse como engaño?? Como todo, está sujeto a interpretaciones. Yo siempre le he dicho a mi hija que no decir toda la verdad es como decir una mentira, pero como digo, es una interpretación personal (que se puede ajustar, según las necesidades) 😉

¿Y qué opinan las entidades certificadoras de todo esto? No debemos olvidar que, al fin y al cabo, todos estos organismos son empresas que tienen unos objetivos y cuyo fin, como el de cualquier empresa, es crecer y ganar dinero. A ellas (como a nosotros, no me tildéis de hipócrita 😉 ) nos conviene que el mercado de este tido de certificaciones crezca y crezca y genere mucho negocio, para que todos podamos ganar más y más dinero.

Hasta donde sé, un auditor cuando audita un sistema de gestión, como punto a revisar, debe tratar su eficacia. Es decir, teóricamente, un auditor que vaya a auditar un sistema de gestión para pelar manzanas y que realmente lo único que haga es arrancarle el rabillo, aunque lo arranque perfecta y ordenadamente y cumpla todos los requisitos del criterio de la auditoría, debería elevar una no conformidad mayor, puesto que estaría fallando uno de los objetivos del sistema de gestión.

Y yo me pregunto: en la práctica, ¿se está actuando realmente así? ¿tendrían algo que decir las entidades acreditadoras? (que se supone que son quienes auditan a las certificadoras)

Aún existen pocas organizaciones certificadas y por tanto aún es pronto para lo que voy a decir pero, ¿corremos el riesgo de que empiecen a emitirse certificados masivamente, la gran mayoría con el problema mencionado del alcance, y por tanto lo que debería ser un sello de “calidad” en seguridad se desvirtúe? y además, si fuese así, ¿realmente nos importaría? o ¿estamos más preocupados por ampliar este tipo de mercado que por la calidad del mismo?

Si el sello de la ITV (Inspección Técnica de Vehículos) de los coches, camiones, etc. pudiese obtenerse reduciendo el alcance (por ejemplo limitándose únicamente al estado de los frenos), ¿¿cuántos talleres surgirían que ofrecerían pasar la ITV a precios muy bajos, aún a costa de que la seguridad de esos vehículos fuese prácticamente nula?? Ya sabéis la respuesta… y la analogía es inmediata 😉

Lo cierto es que no sé muy bien por qué escribo esto, ya que estoy seguro que la mayoría de vosotros, lectores, tenéis muy claro este punto. Sirva como reflexión y por si algún lector ajeno “al ramo” cae por esta página y puede al menos despertar cierta inquietud sobre la situación que ahora comienza.

… espero no recibir un DDOS o algo similar por hablar sobre nuestras vísceras, que como en toda industria, las hay… 😉

… por cierto, yo también estoy deseando que ISO27001 se popularice y surgan muchas consultorías, auditorías, etc. 🙂

… y ya puestos, ¿pasará lo mismo con la recién estrenada BS25999 de Continuidad de Negocio? :-O