Ni que decir que las subvenciones tienen gran parte de culpa al respecto, puesto que cuando la consultora llega y asedia al futuro cliente con promesas de implantaciones de SGSI, tiene que garantizar al cliente que la certificacion inicial tambien le va a salir gratis, puesto que actualmente es requisito de la subvencion de la implantación conseguir la acreditacion, lo que vengo a decir es que la consultora debe garantizar que la peluqueria de la vecina se va a certificar de lo contrario adios subvencion. Y muchas veces se trata de negociar con las certificadoras:
-Mira que te voy a pasar un paquete de tantas empresas para certificar , pero me lo tienes que hacer por este precio y estan flojitas
-No puedo porque pierdo costes.
-Pues entonces tendre que mirarla de hacerlo con otros.

Entonces el certificador recorta costes, intenta contratar un auditor de la zona para ahorrar desplazamiento, etc.

Conclusion que el tema de los SGSI “gratis” genera una espiral de “recorte” que al final queda todo en lo que decis un paripé, o como diria Ignatius Reily en algo “tan carente de teologia y geometría como de decencia y buen gusto”

Tambien comentar en cuanto auditoras que no creo que sea la empresa la que le da la credibilidad puesto que la mayoria no tienen a los auditores de 27000 en plantilla, y son subcontratados, si no el auditor que realiza la auditoria de certificación.

¿Solución? No la hay, pero por lo menos sería interesante tocar lo h… un poco y deninciar aunque sea anonimamente este tipo de mala praxis.

[PACO]:”No sé si es que ha visto alguno o es que ha visto consultoras que se mueven bastante más que la suya para poder entrar y hacer proyectos ayudándose de las subvenciones y en el fondo quisiera estar en esa situación.”[/PACO]

Jejeje, para nada. En la Región de Murcia que es donde me muevo no tenemos competencia (por ahora). Y hemos logrado también proyectos más grandes en un sector que tiene requisitos legales para tener que garantizar seguridad de la información donde nos toca arreglar los entuertos que montan las mega-consultoras que tienen mucho nombre pero a veces en temas extraños como este, poco conocimiento. El año 2009 ha sido particularmente bueno en lo profesional.

Paco, te voy a hablar desde la perspectiva puramente técnica. A mi las rentabilidades de los proyectos me preocupan relativamente dado que me asignan unas horas y unos proyectos que tengo que ejecutar de la mejor manera posible. Me joden cuando ves que para implantar un SGSI decente requieres unas X horas y por el presupuesto destinado sólo puedes dedicar X/2 con lo que toca al cliente currar bastante más si lo quiere por ese precio “subvencionado”. Por supuesto que en una PYME, 18.000€ dan para hacer las cosas bien, pero siempre que sea un trabajo compartido entre consultora y cliente. Por ese precio, la consultora no puede hacer todo lo que supone implantar el SGSI (Como por ejemplo, el diseño e implantación de los controles ISO 27002 bajo el criterio profesional que tengo del trabajo que habría que hacer. A lo mejor otros interpretan los controles de otra forma y así si es posible y viable).

Este año he visto de todo. Análisis de riesgos sin metodología, análisis de riesgos que se inventaban los resultados y seleccionaban las medidas que querían, hasta declaraciones de aplicabilidad que tenían sobre unos 40 controles “en blanco”. No se habían molestado ni en justificar las exclusiones. Han entendido que un SGSI no es más que el Documento de Seguridad de la LOPD con unas cuantas medidas más (las que les han apetecido porque no había un análisis de riesgos lógico) y poco más. Obviamente SGSI de esta naturaleza a 18.000€ son todo un chollo para quien tiene la jeta de montarlos.

Entiendo siempre que un buen trabajo es aquel que deja a la Empresa adecuada con un verdadero SGSI entre manos y que los hace autónomos para saber lo que llevan entre manos. Un buen SGSI debe proporcionar un cuadro de mandos que establezca qué eventos hay que monitorizar y que permita evaluar si la aplicación del plan de tratamiento de los riesgos está logrando modificar las tendencias indeseables que la Empresa haya detectado y que quiera lograr reducir en materia de seguridad.

Proyectos subvencionados no es trabajar mal pero clientes subvencionados a menudo si son clientes poco motivados que se suben a un barco que pasaba por alli. Desconocen verdaderamente qué supone afrontar el proceso de certificación ISO 27001 pero la Dirección o alguien de relevancia se apunta al proyecto aunque luego supone un marrón para otras áreas que no cogen el proceso con “ilusión y entusiasmo”. Además, se supone que en las subvenciones, ellos se comprometen en un grado de implicación alto porque a ellos también se les subvenciona la parte de trabajo que van a tener que realizar para conseguirlo. Sin embargo, al final esto es otro marrón que cae en el area TI que además suele ser la más saturada de la empresa.

Y hablo por experiencia porque este año hemos logrado certificar 14 SGSI con la 27001 (De ellos 12 son Pymes). Además, como auditor (interno) he podido revisar otros 16 SGSI realizados por diferentes consultoras también en Pymes. Total que opino con una muestra de 30 sistemas que me parecen suficientes para poder extrapolar resultados. Y los sintomas son similares:
-Malos análisis de riesgos que no reflejan los riesgos potenciales y reales (Cosas como que no aparezcan en el modelo las personas, la información en soporte papel, valoraciones de activos realizadas por la propia consultora, etc.)
-Mala o nula formación por parte del cliente.
-Ausencia de objetivos de mejora que planteen a la Dirección qué beneficios aporta realmente el SGSI.

Tampoco se de que te sorprendes. La norma ISO 27001 empieza a contaminarse de las malas aplicaciones de la ISO 9001. Muchas de las no conformidades que las empresas han recibido son fallos graves de la propia aplicación del proceso de mejora continua. Vamos, que son NC mayores tanto para calidad como para seguridad pero si se suponen que están certificados en ISO 9001, así que estos fallos no los deberían comenter. Se empiezan a dar circunstancias parecidas donde lo que vale es el sello y no el por qué de su existencia que no deja de ser algo tan sencillo como evitar problemas con la información.

Aceptamos 19000 euros como cantidad suficiente para certificar una PYME.

Pero Paco me gustaria que me contestases como justificas el otro porcentaje de la implantación que debe de pagar el cliente porque que yo sepa la subvención de la implantacion en el innoempresa es un 50%, en el inteco es un 90%, en el avanza lo desconozco), con lo que no existen SGSI de coste 0 que sean LEGALES.

¿Cual es el procedimiento? supongo que la empresa a implantar le pagará a tu empresa la parte que debe pagar y luego tu empresa contratara los servicios de la empresa implantada con lo que todos todos felices y aqui no paga nadie (llamalo triangulacion, contrafactura) y si ya metemos por medio los organismo intermedios hay entonces ya puedes disfrutrar de un verdaderas obras de arte a nivel de facturación.

Te hago esta reflexion, imaginate por una de aquellas que se hace una auditoria financiera de estas ayudas por parte del ministerio en tu empresa… ¿estariais preocupados?

En cualquier caso, dejando aparte el tema de chanchullos varios, que por desgracia los hay en todos los sectores donde existen subvenciones, en los SGSI’s a coste cero el problema que surge es que no en pocas ocasiones las subvenciones se basan en un esquema busca-y-captura por parte de la consultora (que no digo que sea ese tu caso) para encontrar clientes dispuestos a obtener un certificado ISO 27001, que en cualquier otra situación (aunque fuese a bajo coste) ni siquiera se plantearían ya sea por la carga de trabajo o por el coste económico. Esto deriva en sistemas mal diseñados, mal implementados, certificables por los pelos, y mal o nada mantenidos, que sí, son un desprestigio para el sector.

Obviamente, para conseguir estos clientes, algunas consultoras “evitan” trasladar al cliente el esfuerzo, implicaciones y necesidades que la implantación y mantenimiento de un SGSI conlleva, dejando únicamente el aspecto positivo más inmediato: Certificado ISO 27001. Clientes que, en realidad, nunca han tenido un interés real en incrementar o preocuparse por su nivel de seguridad, ni lo siguen teniendo, sino que únicamente buscan conseguir el dichoso certificado ISO 27001 que la consultora les ha vendido.

Resumiendo, no es lo mismo partir de un cliente que busca un respaldo “oficial” para la gestión de la seguridad que está haciendo, o un cliente que de manera sincera se plantea una mejora significativa de la gestión de su seguridad, y para los que una subvención es una buena ayuda pero no el motor del proceso, que partir de clientes que les da igual la seguridad, pero les atrae aquello del certificado porque les sale gratis y así se lo ha vendido la consultora. Estos últimos son a los que podríamos denominar “SGSIs virtuales”.

Supongo que en parte esto está motivado por el hecho de que hasta la fecha (yo al menos) no haya visto ningún certificado ISO 27001 que haya sido denegado.

En el fondo de la cuestión reside un hecho que la propia naturaleza de la subvención pervierte: los 19000 euros son para el cliente, no para la consultora; es decir, para que la PYME interesada busque una consultora que le ayude a implantar y certificar un SGSI, no para que la consultora busque un cliente a quien implantar un SGSI.

No he dicho de hacerlo a un gimnasio de mi amigo, ni he dicho de hacer el paripé, simplemente he dicho que con 19.000 hay dinero más que suficiente.

El tema de los “SGSI virtuales” tan predicados salieron a la luz en el blog de Javier Cao, y sinceramente no sé por qué, no sé si es que ha visto alguno o es que ha visto consultoras que se mueven bastante más que la suya para poder entrar y hacer proyectos ayudándose de las subvenciones y en el fondo quisiera estar en esa situación.

Javier, subvención no es lo mismo que trabajar mal, que veo que no lo tienes claro.