Implantación integrada de normas
ANTECEDENTES:
Como resultado de más de 25 años de experiencia en el desarrollo e implantación de soluciones empresariales (ERP) en clientes de tamaño medio y sobre tecnología ORACLE, se constituye en el año 2.000 DATADEC ONLINE, s.a. con el objetivo de ofrecer soluciones empresariales (ERP, CRM, PORTALES, BI, …. ) en CLOUD COMPUTING (modalidad de pago por uso), para que el cliente final NO tenga que realizar ningún tipo de inversión en hardware, software o aplicaciones informáticas y utilizando simplemente un navegador de Internet.
Ofrecer estos servicios ha requerido un alto nivel de inversión para construir una plataforma tecnológica (INTERNET – DATA CENTER), capaz de ofrecer los niveles de alta disponibilidad y escalabilidad necesarios para ofrecer garantía de servicio del 100%.
El Grupo DATADEC lo forma un equipo de más de 70 profesionales. El equipo de Ingenieros de Sistemas de DATADEC ONLINE tienen como principal objetivo el garantizar la disponibilidad de la plataforma tecnológica 24 horas, 365 días al año, y el equipo de Consultores de Negocio ofrecer los servicios de consultoría, formación, puesta en marcha y soporte postventa.
RETOS:
DATADEC ONLINE, s.a. se compromete a proporcionar el máximo nivel de disponibilidad porque entiende que el Software como Servicio ininterrumpido es fundamental para su éxito. Objetivo de Disponibilidad: DATADEC ONLINE, s.a., se compromete a proporcionar el tiempo de actividad del 99,5% con respecto a las aplicaciones empresariales alojadas, excluido el mantenimiento programado regularmente.
¿Porqué una plataforma tecnológica de alta Disponibilidad?
Porque los negocios no puede permitirse paradas no planificadas.
Se trata de poner en marcha todos los recursos necesarios para permitir que los sistemas funcionen las 24 horas del día, manteniéndolos a salvo de interrupciones y con los niveles apropiados de dimensionamiento para garantizar tiempos de respuesta adecuados. Ofrecer alta disponibilidad y por tanto Disponibilidad Continuada de las aplicaciones significa realizar grandes inversiones para que todos los elementos que forman parte de los recursos de infraestructura sean Redundantes, Escalables y Seguros con planes de Contingencias y de mejora continuos.
DATADEC ONLINE, s.a., ha realizado estas inversiones y lo ofrece con un equipo de profesionales expertos que previenen cualquier tipo de incidencia, para que el cliente, se centre en sus clientes que son los que aportan beneficios a su negocio. Es por ello que dentro del plan estratégico trazado por DATADEC ONLINE, s.a., 2011 y 2012 eran muy importantes a nivel de despliegue y consolidación en la adopción de buenas prácticas organizativas, ya que desde Dirección se habían marcado la obtención de diversos certificados que demostraran externamente el buen hacer en las tareas de la empresa, tanto internas como externas. Los Sistemas de Gestión que DATADEC ONLINE, s.a. se propuso crear, implantar, operar, supervisar, revisar, mantener y mejorar; en estos plazos, fueron: un Sistema de Gestión de Seguridad de la Información (SGSI) según la norma ISO 27001 y un Sistema de Gestión de Servicios (SGS) según la norma ISO 20000-1.
DATADEC ONLINE, s.a. como cualquier empresa de corte tecnológico, tiene ingenieros y personal técnico muy especializado para la ejecución de proyectos de tecnologías de la información, así como para la adecuada gestión de los mismos. Para el soporte a los procesos, el GRUPO DATADEC dispone del Departamento MPM (Métodos, Procesos y Métricas) que define, implementa y controla las operaciones de gestión y de ingeniería, pero necesitaba el perfil mucho más específico para realizar una implantación óptima y exitosa de los diversos sistemas de gestión basados en las buenas prácticas de gestión que se pretendían instaurar en la organización.
Todo ello en sí suponía todo un reto por premura temporal de los ambiciosos plazos fijados, dedicación de personal interno y externo, así como adaptación de los procesos internos de la compañía a las distintas exigencias específicas de cada norma. Para estos trabajos de implantación de nuevas normas DATADEC ONLINE, s.a. siempre ha contado con el apoyo de diversos profesionales externos de manera puntual como asesoramiento y guía, pese a que gran parte de las tareas se lleven a cabo por personal de la casa, ya que finalmente y fuera de toda duda, quienes mejor conocen su funcionamiento interno son ellos mismos.
Es bien sabido que el mantener “vivas” las certificaciones supone una gran mentalización e implicación por parte de la Dirección, de manera que fluya al resto de personal y forme parte de su día a día, y que esto forme parte de la idiosincrasia de la compañía. No obstante, ello también implica una gran dedicación de tiempo y recursos para mantener toda la documentación y los registros en marcha, acorde a las exigencias sobre cada uno de los sistemas de gestión de las diversas normas. La gran ventaja aportada por DATADEC ONLINE es tener personal muy cualificado, gran rigor en los procesos, como exige la gestión de entornos críticos en outsourcing y una herramienta que permite la implantación COMPLETA de todos los procesos de negocio basados en EXPERT BPM (c), que proporciona definición, ejecución y demostración de las evidencias en las auditorías de calidad.
SOLUCIÓN PLANTEADA:
SETIVAL, Consultora experta en la mejora organizacional en materia de Gestión Empresarial, Calidad, Seguridad de la Información, Medio Ambiente, etc. en organizaciones de muy diversa índole es contactada para llevar a cabo los trabajos. El objetivo inicial fue asesoramiento y el apoyo a la implantación del Sistema de Gestión de Seguridad de la Información según la norma ISO 27001, para la certificación planificada por DATADEC ONLINE, s.a. durante la primera mitad del año 2012. Concretamente los experimentados consultores de SETIVAL, guiaron a DATADEC ONLINE, s.a. durante todo el proceso de análisis, implantación y posterior apoyo durante la auditoría de certificación. Concretamente participaron dos equipos: dividiéndose las tareas de implantación, seguimiento en la certificación, y la ejecución de las respectivas auditorías internas, previas a cualquier auditoría externa.
Debemos decir que, el departamento de Consultoría IT de SETIVAL está formado por expertos con amplísima experiencia en el campo de la seguridad de la información. Sus profesionales están acreditados con certificaciones internacionalmente reconocidas, entre otras: APEP Certified Privacy, ISO 20000 Lead Auditor, ISO 27001 Lead Auditor, Certified in Risk and Information Systems Control (CRISC), Certified Information Security Manager (CISM) o Certified Information Systems Auditor (CISA).
Una vez llevada a cabo la correspondiente implantación del SGSI con la exitosa obtención del certificado, por parte de la prestigiosa entidad de certificación ABS Quality Evaluations, se centraban los esfuerzos en establecer el SGS. SETIVAL, consciente del posterior esfuerzo que podría suponer el mantener las diversas normas de forma independiente, se propuso, con el apoyo de la Dirección de DATADEC ONLINE, s.a., llevar a cabo una tarea de integración y unificación de ambas normas con el fin de buscar un único sistema de gestión que englobara estas certificaciones de la organización. Es por ello que se consideró, se contempló y se aprovechó en la medida de lo posible las sinergias más evidentes entre la norma ISO 27001 y la ISO 20000-1, y se integraron en la base documental de DATADEC ONLINE, s.a. soportada con el producto EXPERT BPM (c).
El enfoque de SETIVAL para este proyecto fue unificar en la medida de lo posible la documentación, procesos, registros e indicadores siempre alrededor del ciclo de mejora continua, y sobre el núcleo documental de la ISO 27001 e ISO 20000-1, que constituye el “core” del negocio de DATADEC ONLINE, s.a., estando ambas normas muy embebidas en la forma diaria de trabajar de sus profesionales. Dando como resultado un sistema de gestión unificado (Sistema Integral de Gestión; SIG).
APLICACIÓN POR LA EMPRESA:
Tras los procesos de implantación en los que participó SETIVAL como consultora durante la segunda mitad del 2011, que tuvieron una duración aproximada de unos 8 meses, se consiguió de manera exitosa la certificación de la norma ISO 27001.Iniciándose trabajos en paralelo para la norma ISO 20000-1, sobre todo centrados en aquellos procesos que se veían afectados por la implantación de la norma ISO 27001, dejándolos alineados para la posterior integración.
Cabe destacar el reducido tiempo necesario para la implantación de estas normas, aspecto que vino marcado por el gran conocimiento técnico de DATADEC ONLINE, s.a., así como la rápida toma de decisiones y apoyo de la Dirección para las inversiones y asignación de tareas y trabajos necesarios. Es por ello que normas tan exigentes como por ejemplo la ISO 27001 fuera relativamente sencilla de implantar, al disponer previamente la organización de prácticamente todas las medidas técnicas y organizativas exigidas puestas en funcionamiento en sus procesos internos.
A través de un proceso de consultoría colaborativo, tanto de procesos de gestión como técnico con todos y cada uno de los responsables de proceso y servicio asignados en DATADEC ONLINE, s.a., el personal de SETIVAL, como un miembro más de la organización, arrancaron esta segunda fase del trabajo, esta vez enfocada a la integración de las normas y certificación de la ISO 20000-1.Durante el segundo y tercer trimestre del año 2012 se llevarán a cabo una revisión general de toda la documentación de los diversos procesos de la organización, en pos de la necesaria unificación. Adicionalmente se tratará de ir enfocando a instancias de la Dirección de DATADEC ONLINE, s.a., poco a poco los procedimientos, registros y en general los propios sistemas de gestión a una orientación a servicios, y no tanto a clientes o proyectos, en una clara influencia por la ISO 20000-1.
Como cierre de este proceso, uno de los aspectos clave será superar la prueba externa, es decir, la auditoría de certificación de la ISO 20000-1 a cargo de la entidad certificadora (en este caso ABS Quality Evaluations) y ya con un enfoque unificado. Ello sería la prueba de fuego a superar, la primera piedra de toque que indicaría si el proceso de integración se está llevando a cabo según lo establecido
RESULTADO DE ÉXITO:
DATADEC ONLINE, s.a. superó exitosamente durante el pasado mes de abril la auditoría del SGSI de ABS Quality Evaluations a falta de solucionar algunos aspectos menores identificados. A fecha de hoy DATADEC ONLINE, s.a., ha sido recomendada para la certificación. El personal de SETIVAL realizó el acompañamiento en la auditoría durante todo momento, e incluso fue interlocutor de algunos aspectos al formar parte del Comité de Seguridad, como uno de los requisitos de sus servicios como proveedor.
Una vez alcanzado este primer hito, los siguientes pasos y retos más importantes que se plantea la entidad para el futuro más inmediato son:
• Certificarse en la norma ISO 20000-1, Sistema de Gestión de Servicios, para todo el catálogo de servicios actual de DATADEC ONLINE, s.a..
• Culminar el proceso de integración de las diversas normas, para alcanzar un sistema integrado al 100%, compartiendo indicadores, objetivos, auditorías internas y revisiones del sistema, obviamente respetando las particularidades y especificaciones.
• Mejorar las herramientas empleadas para disponer de mejor información más orientada a la mejora de los Servicios, así como la gestión, la Calidad y la Seguridad de los mismos.
• Para el próximo ciclo, certificar las normas de forma integrada bajo el Sistema Integral de Gestión, SIG.
