8 Estándares ISO que aportan valor a la empresa T.I.

Cuando mencionamos ISO o normas / estándares ISO, inmediatamente se empieza a pensar en costosos procesos de implementación, costosos consultores, costosos productos y servicios a adquirir para cumplir y muchos otros costosos "etc" que podrían ser necesarios, y todo para una certificación internacional que no necesariamente nos daría una ventaja competitiva en nuestro rubro y que posiblemente haga todo más burocrático y tedioso.

Nada más alejado de la realidad y es que para empezar, no todos los estándares ISO son certificables, de hecho los estándares ISO tienen el carácter de voluntario y muy lejos de lo que se piensa ISO no gana por "Certificar" (de hecho ISO es quien elabora las normas pero no las certifica) sino que el objetivo de ISO es desarrollar estándares que aporten valor a los diversos sectores de interés, esto basado en un proceso de intercambio de experiencias y mejores prácticas para obtener un marco lo suficientemente robusto como para ser aprobado y aceptado en un amplio número de países (ISO tiene participación de más de 160 paises).

Pero no profundizaré en la organización de ISO o el proceso de elaboración de estándares, sino que voy a centrarme en 8 de estos estándares, pero desde una perspectiva del valor pueden aportar cada uno a nuestra empresa, también debo señalar que aunque estoy orientando esto hacia empresas del rubro T.I. (tecnologías de la información), lo que desarrollaré a continuación puede aplicarse a empresas de cualquier tamaño, tipo, rubro u orientación.

Empecemos pensando en la empresa, como toda empresa tiene objetivos y metas (especialmente financieras) y para ello dependiendo del tamaño de la empresa puede tener una estructura organizacional simple o compleja, necesitar infraestructura pequeña o amplia, todo esto basado los recursos, tendencias, factores comerciales que llegan hacia los tomadores de decisiones de la empresa y en el más alto nivel eso se conoce como "Gobierno Corporativo".

Es ampliamente conocido que la información es un factor vital tanto en la operatividad como en la competitividad de una empresa y aquí hago una pregunta: ¿no sería bueno que alguien diera algún comentario sobre T.I a los responsables del "Gobierno Corporativo" de la empresa?, mi respuesta sin duda será  ISO/IEC 38500  - Gobierno Corporativo de T.I.  donde se presenta de manera bastante amigable un conjunto de principios de Gobierno Corporativo que se pueden adoptar para obtener mejores resultados en la utilización y aprovechamiento de las tecnologías de la información en la empresa, esta norma es bastante interesante y  sobre todo útil (Esta norma no es certificable ).

Desde otra perspectiva muchas empresas deben centrar esfuerzos en control interno por ejemplo o mantener niveles de seguridad ocupacional en niveles aceptables, donde la palabra comúnmente utilizada es "Riesgo" y aquí hacemos otra pregunta : ¿ Como saber iniciar o que tener en cuenta en materia de riesgos?, Mi respuesta sera ISO 31000 que desarrolla un marco general y ampliamente aceptado sobre gestión del riesgo y nos ayuda no solo a entrar en el tema sino que nos brinda un modelo que podemos utilizar (esta norma no es certificable).

Pero hasta ahora no hemos tocado ningún estándar certificable, en el caso del sector T.I. podemos apuntar a certificar nuestros servicios T.I entregados (brindados) a nuestros clientes y en esto la ISO/IEC 20000-1  es el estándar de referencia global y que brinda a nuestros servicios una certificación que respalde y sea garantía de un servicio entregado bajo requisitos de calidad de talla mundial (Sistema de Gestión del Servicio - SGS) o la ISO/IEC 27001 que define un Sistema de Gestión de Seguridad de la Información - SGSI y que es el estándar mundialmente reconocido para garantizar la confidencialidad, integridad y disponibilidad de la información de la empresa (incrementando la confianza entre clientes, colaboradores, partner, inversionoistas, etc), ambos estándares aportan valor importante al desplegar servicios T.I hacia clientes y cobra particular importancia cuando estos servicios son exportables, toda vez que estas certificaciones brindan a los clientes internacionales la confianza necesaria para obtener su preferencia y es una ventaja reconocida en competitividad de la empresa.

Uno de los aspectos importantes en materia de seguridad no solo es la implementación de controles, toda vez que los riesgos estan en constante cambio sino la gestión de incidentes (necesario también en ISO/IEC 20000-1 ) y como una guía podemos utilizar ISO/IEC 27035 que nos brinda un modelo bastante completo para implementar los procesos y actividades de gestión de incidentes de seguridad de la información.

Pero ahora vemos que muchas cosas se empiezan a juntar y es necesario una forma de poder llevar adelante esto de manera ordenada, ¿ como hacerlo?, mi respuesta sería sin duda ISO 21500 - Directrices para la gestión de proyectos (esta norma no es certificable), que nos brinda un marco de referencia para la gestión de proyectos y nos orienta para conocer cómo llevar adelante de manera exitosa nuestros proyectos entre los que podrían estar la aplicación de las recomendaciones de las normas señaladas previamente.

Hasta aquí tenemos un conjunto de normas tanto certificables como no certificables, no estoy indicando que la certificación sea necesaria pero si puede ser recomendable, lo que en verdad es bueno sin duda es conocer las recomendaciones de estas normas y aplicar las prácticas, procesos o recomendaciones (toda vez que estas normas son de aplicación voluntaria) para mejorar los aspectos en los que podrían aportar mayor valor en nuestra empresa (por ejemplo para diseñar o mejorar un proceso, gestionar de manera apropiada los riesgos, dirigir los proyectos o mantener el gobierno de los procesos que tercerizamos con otras empresas).

Finalmente hay 2 temas que tienen mucha relación entre ellos y que son en la actualidad aspectos ampliamente relevantes en el mercado, me refiero a la Protección de Datos Personales y la CIberseguridad, esto toda vez que tanto nuestra vida personal como las actividades de nuestra empresa actualmente tienen acceso al Ciberespacio o hacen uso de aplicaciones dentro del Ciberespacio con un conjunto nuevo de riesgos asociados al Ciberespacio lo cual es tratado como Seguridad en el Ciberespacio o Ciberseguridad y donde la ISO/IEC 27032 nos brinda un documento de referencia para comprender desde los conceptos base hasta poder identificar cual es nuestro rol dentro de la Ciberseguridad y en especial como empresa poder tomar en consideración múltiples aspectos donde podemos señalar también la Protección a los Datos Personales de nuestros clientes, empleados o colaboradores, socios de negocios entre otros y que son aspectos relevantes en Ciberseguridad pero también por la ley nacional de protección de datos personales (Ley 29733 y su reglamento) y sobre esto la ISO/IEC 29100 nos brinda un marco de referencia y que desde su publicación ha influenciado positivamente la privacidad en múltiples normas nacionales e internacionales.

Con esto completo mi lista de 8 estándares que aportan valor a la organización y que no es necesario certificarse para obtener valor, ni implementarlos completamente, de hecho al revisar estos estándares podremos darnos cuenta que muchas de las recomendaciones ya las cumplimos o las cumplimos parcialmente y que la forma como se recomienda sería más útil y beneficiosa para nuestra empresa, ademas de que nos brindara una visión de cómo se abordan estos temas de manera global.

Estos son solo 8 de decenas de estándares publicados que pueden ser de aplicación en nuestra empresa, pero solo he tomado en esta oportunidad 8 para ilustrar cómo nuestra empresa puede beneficiarse, cabe señalar que estos estándares tienen un costo y se pueden adquirir desde la web de ISO (www.iso.org), también pueden adquirirse como NTP (Norma Técnica Peruana) y pueden adquirirse a un costo mucho menor en INDECOPI (www.indecopi.org.pe).