Hoy hablamos con Juan Ignacio Pérez, Quality & Innovatión Manager de Grupo Neat y el responsable de que hayamos sumado una certificación ISO más, y van tres, en nuestra compañía. En este caso se trata de la ISO 27.001.
P: Nacho, explícanos qué son las certificaciones ISO
R: La organización ISO (Organización Internacional de Normalización) define normas internacionales para diferentes áreas y sectores como medicina, calidad, medioambiente, seguridad, etc., unas más genéricas y otras más específicas. En el desarrollo de las normas participan expertos internacionales en la materia objeto de normalización, lo que garantiza independencia y el más alto conocimiento. Son normas de carácter voluntario cuyo cumplimiento es comprobado por auditores independientes que tienen que pasar un proceso estricto de acreditación.
Tener una certificación ISO podemos verlo como una forma de demostrar la seguridad y calidad de los procesos, productos y servicios de una entidad, o su compromiso en áreas como el medioambiente, teniendo dichas certificaciones un reconocimiento internacional.
P: Y ¿en qué consiste la ISO 27001 que acaba de conseguir Neat?
R: La norma ISO 27001 define requisitos para que un sistema de información sea considerado seguro. Cuando se habla de un sistema de información no solo se quiere hacer referencia a elementos informáticos, sino que abarca el conjunto de tecnologías y herramientas orientadas a un fin que en este caso es el tratamiento de uno de los principales activos de las empresas, la información, independientemente del soporte en el que se encuentre (papel, discos duros, etc…).
Los requisitos de ISO 27001 ayudan a definir e implementar (es decir poner en funcionamiento) un sistema de gestión de la seguridad de la información (SGSI) y quizás lo más importante: ayuda a mantenerlo y a su mejora continua.
Y el SGSI implantado permitirá gestionar de una forma segura la información, es decir sin riesgos o minimizándolos.
P: ¿Cuál es el proceso para conseguirla?
R: Partimos de un proceso de indagación para descubrir las partes interesadas (clientes, usuarios, empleados, técnicos, socios, subcontratas, …) y los activos de información (locales, redes, hardware, software, personal, …), proceso con detalle, laborioso, en el que hay que trabajar con información relacionada con los productos, los procesos, la cultura y el entorno de la empresa.
Analizamos la relación entre unos y otros (partes interesadas y activos), valoramos la criticidad de los activos en función de su confidencialidad, integridad y disponibilidad. Esta fase nos permitió descubrir los activos críticos de la organización. Después realizamos un análisis de riesgo de estos activos teniendo en cuenta sus amenazas y vulnerabilidades y el impacto en la organización. Se analizaron los controles establecidos por la organización para tratar los riesgos y se definieron medidas adicionales para aumentar los efectos deseables, para prevenir o reducir los efectos no deseados y para lograr la mejora.
P: Por lo que nos cuentas, parece un proceso muy exigente, ¿verdad?
R: Sí, no es baladí. Como te decía antes, hay que trabajar con mucha información sobre productos, procesos y el entorno y la cultura de la empresa. Para que el proceso sea más ágil, se debe disponer de conocimiento en todo lo anterior o al menos conocer dónde encontrar esa información y tener acceso, así como tener conocimiento y experiencia en tecnologías de la información, tanto las aplicadas en la entidad como las disponibles. Con este planteamiento se ve que es necesario un equipo pluridisciplinar (o un/a Superman/Superwoman).
Resultó estimulante ir descubriendo las fortalezas y oportunidades, e incluso las debilidades y las amenazas ya que estas te brindan la oportunidad de mejorar, bueno realmente te lo exigen.
P: ¿Cuáles fueron las razones que llevaron a Neat a plantearse conseguir la certificación?
R: Nuestros clientes extranjeros solicitaron evidencias refrendadas por terceros sobre la seguridad de los sistemas que Grupo Neat pone a disposición de nuestros clientes para la prestación de servicios sociosanitarios, y que dichas evidencias fueran reconocidas internacionalmente.
Cuando se planteó la opción de una certificación ISO 27001, a nuestra alta dirección les pareció una buena opción que además redundaría en una mejora continua en aspectos tan importantes como lo son los relacionados con la seguridad de la información. Así que rápidamente, la propuesta se transformó en una solicitud.
P: ¿Qué supone esta certificación para Neat?
R: Por una parte, supone más dedicación, esfuerzo y recursos a asuntos relacionados con la seguridad, sin limitarse a cumplir con la regulación y la seguridad básica de los sistemas, y por otra es una oportunidad de mejora continua y una forma de garantizar la seguridad de nuestras soluciones en el sector sociosanitario.
P: ¿Y para los clientes de Neat?
R: Les proporcionará aún mayor tranquilidad, ya que esta certificación confirma que las soluciones para el sector sociosanitario de Grupo Neat son seguras, ratifica que las medidas de protección de los datos personales son adecuadas, minimiza los riesgos y asegura el desarrollo y continuidad del negocio .
P: Pues Nacho, muchas gracias por tu tiempo y enhorabuena por tu trabajo.
R: Gracias a vosotros.

Juan Ignacio Pérez es ingeniero en organización industrial e ingeniero en informática. Ha sido profesor en las facultades de informática en las universidades Pontificia de Salamanca (Campus de Madrid) y de la Carlos III (Campus de Colmenarejo). En la actualidad dirige el departamento de calidad e innovación de Grupo Neat.