El doble juego de los auditores externos (de las entidades certificadoras)

No sé si recuerdan el primer post que José Rosell escribió en este blog, hace ya más de cuatro años. Hablaba del doble juego de las entidades de certificación, que deben velar por su negocio sin olvidar la obligación de poner unos límites a las entidades que certifican. No dejemos de lado que si la entidad A impone unos requisitos muy estrictos, los clientes acabarán por certificarse con la entidad B, porque algunas veces, un sistema de gestión sin «sello» es para gerencia casi como no tener nada. Es más, me juego con ustedes una cena a que entre un sello y un sistema de gestión bien implantado, muchas empresas escogerían el sello. Ya puedes ser buena persona, que como seas feo como un demonio, no te quiere nadie. Así que mejor ser guapo, que ya descubrirán lo mala persona que eres cuando te hayan conocido.

Dejemos eso de lado (pero no del todo). Como sabrán y si no es así se lo digo yo, entre S2 Grupo y AENOR hay una buena relación derivada de la realización de congresos y conferencias a lo largo de estos últimos años en el fomento de la seguridad, y en especial de la implantación de Sistemas de Gestión de Seguridad de la Información. Y trabajamos bien por dos razones: AENOR no realiza tareas de consultoría o implantación de SGSIs, y S2 Grupo no realiza tareas de certificación en nombre de nadie. Y esto último requiere una pequeña aclaración. Hubo un momento en el que S2 Grupo se planteó llegar a realizar procesos de auditoría bajo la marca AENOR, y de hecho el que escribe estas líneas es Auditor de Sistemas de Gestión de Seguridad de la Información por AENOR. No obstante, antes de lanzarse a la piscina, S2 Grupo consideró que implantar y auditar SGSIs eran aspectos que presentaban conflictos de intereses obvios, así que se descartó la idea; no era ético o aceptable jugar a las dos bandas, y nos decantamos por lo que hasta hoy seguimos haciendo: implantar SGSIs. Podría decirles que nos encantaría tener acceso a los procedimientos, formas de trabajar y documentación que la competencia utiliza para implantar SGSIs, pero déjenme decirles, créanme o no, que no lo necesitamos.

La cuestión es que la competencia y el exceso de trabajo han hecho que esta situación que nosotros rechazamos en su día (y que hoy volveríamos a rechazar, todo sea dicho) sea más común de lo habitual, sea con la certificadora que sea. En unos casos es la propia entidad certificadora la que tiene otra rama de negocio que se dedica a consultoría e implantación, en otros es el auditor que audita en nombre de la entidad acreditada el que realiza también tareas de implantación, y en otros no tienes ni idea de a qué se dedica la empresa a la que pertenece el auditor. Resumiendo, no es extraño sino más bien algo habitual, que la persona que está auditando el SGSI que has ayudado al cliente a implantar (y que incorpora procedimientos, normativas, modelos de trabajo y otro mucho know-how que ha llevado años pulir y desarrollar), al día siguiente esté en otro cliente implantando un SGSI. Si a eso le añadimos la predisposición de algunos clientes, que por falta de experiencia o miedo a decir que no «por si acaso» le dan al auditor toda la información del sistema documental y herramientas utilizadas que éste pide, pues «la tenemos montada». Esa es la principal razón por la que, como sabrán algunos de nuestros clientes, evitamos —en la medida de lo posible, ya que al final es un requisito propio que no podemos, debemos ni queremos trasladar íntegramente al cliente— trabajar con auditores que no sean, en este caso, de AENOR.

Antes de que alguien lo comente, por supuesto, un auditor de una entidad certificadora también puede abandonar su trabajo y llevarse con él parte del material al que ha accedido durante sus auditorías, como nos comentaron en este blog hace algún tiempo, pero en ese sentido sólo queda esperar que la empresa auditora tenga implantados procedimientos que garanticen que únicamente se solicita la información exclusivamente necesaria para la gestión del expediente del cliente, y por supuesto, encomendarse a la ética del auditor en cuestión.

Algunos dirán, correctamente, que diseñar e implantar un SGSI no es una labor de ingeniería aeronáutica, y tienen razón, pero tampoco es algo que se pueda «parir» en un par de semanas. Otros dirán que todo esto no es más que una pataleta, y seguramente tampoco les falta razón. No obstante, cuando me presento a un proceso de auditoría en calidad de consultor «de compañía» (chistes aparte), me gustaría saber que los modelos, experiencia y trabajos que he realizado durante esos meses no van a acabar (al menos, no de manera inmediata) en manos de la competencia, y creo que las entidades auditoras deberían velar por mantener la independencia de sus auditorías y proteger el material de sus clientes, aunque fuese únicamente por una cuestión de imagen.

Ya saben, primero guapo, y luego ya veremos.

Comments

  1. No voy a hablar de certificaciones en materia de SGSI, pero llama mucho la atención, que las mismas empresas certificadoras, «vendan» ISO 9000 a todas las academias que quieren ofrecer formación bonificada a trabajadores. Porque hay cada centro, que de calidad 0. Y encima, algunos hasta tienen los santos coj… de ofrecer la adaptación a la LOPD a costa de la Fundación Tripartita y de los derechos de los trabajadores.

  2. Me considero un firme defensor de los modelos de gestión en base a referenciales internacionales como pueden ser las normas ISO, estén o no certificados por entidades de clasificación o certificación. Creo que en todos estos modelos hay mucho trabajo y mucho conocimiento de gestión. También soy un firme convencido de que no se puede ser fundamentalista de nada y menos de los sistemas de gestión. Todos tiene cosas buenas y cosas no tan buenas.
    Comparto al 100% el sentimiento que expresa Manolo en este post y que ya expresé, de otra manera, hace bastante tiempo.
    Mucho tienen que mejorar las cosas para que las certificaciones sean lo que en nuestra opinión debería ser: una garantía de calidad, de seriedad, de cuidado del medioambiente, de seguridad, de respeto a las personas, etc…
    Son las entidades de certificación las que deben VELAR por que esto sea así. Cuando estos organismos, sean públicos o privados, no cumplen su cometido, TODOS perdemos un poco, ya seamos directivos, empresarios, trabajadores o ciudadanos.

  3. Pues sintiéndolo mucho no estoy nada de acuerdo con este post.

    AENOR, y casi el total de certificadoras que operan en España, se apoyan de CONSULTORES que trabajan para empresas que luego sí que implantan SGSIs; por lo tanto trabajar con AENOR (o con la que sea) no te da absolutamente ninguna garantía de que tu documentación va a pasar directamente a la competencia, salvo la garantía de la integridad como persona que pueda tener el consultor (vestido de auditor) en cuestión.

    Y que conste que esto no es un ataque a AENOR ni muchísimo menos. Esta duplicidad la podemos encontrar en casi todas las certificadoras. Yo personalmente con la gente de AENOR me llevo muy bien también y los considero buenos profesionales.

  4. Alejandro, no era mi intención defender a AENOR, sino poner de manifiesto el problema que supone que tanto éstos como otras certificadoras utilicen auditores que son también consultores cuando

    Cuando digo que intentamos que el auditor sea de AENOR, no me refiero que venga de la mano de AENOR, ya que como dices, eso no es ninguna garantía puesto que puede ser un externo que audita en nombre de AENOR. Quiero decir que sea específicamente plantilla de AENOR y por tanto no realice trabajos de consultoría para otra empresa. El problema es que AENOR tiene poca disponibilidad de auditores propios en la zona de levante, que es donde más he implantado, e insistir en este punto acaba siendo no ético con tu cliente, que puede tener sus propias necesidades de plazos y prioridades.

    Al final todo se reduce a la ética del profesional que te audita. Afortunadamente, los hay íntegros.

  5. consultor y auditor says

    Pues yo no estoy nada de acuerdo con el artículo. Por varios motivos.

    Por un lado, creo que lo que valoramos es la ética profesional (y legal) de cada persona. Ya sea un auditor externo subcontratado por una entidad de certificación (AENOR o cualquier otra), ya sea un auditor interno subcontratado, las cláusulas firmadas de confidencialidad y propiedad intelectual (todos los casos que conozco incluyen cláusulas aplicables a este hecho) prohíben esos usos, luego si ocurre están incumpliendo el contrato correspondiente. Y obviamente su ética profesional es cuestionable.

    Por otro, mal vamos si pensamos que un SGSI (o un SGQ) es un conjunto de documentos. Si el problema es que una consultora vende un SGSI «vendiendo» una documentación, sea propia o ajena, la gravedad no depende del autor de la documentación, sino de la filosofía del vendedor y el comprador.

    Además, qué aporta un documento? Sí, se tarda unas horas en escribirlo y depurarlo, pero… ese auditor subcontratado tiene know-how suficiente como para escribir él mismo esos documentos (u otros similares)? En ese caso, no hay necesidad de usar ningún documento de forma ilegítima, basta con «aprender» del auditado aquellos detalles que interesen y aplicarlos a un documento desarrollado por el auditor-consultor.

    No termino de entender el problema. En caso de reutilización ilegítima de contenidos, denuncia. En caso de reutilización de know-how, no hay nada de ilegítimo. ¿Se puede «proteger» el know-how evitando que otras empresas vean (a través de terceros, como la empresa certificadora) los documentos que desarrollamos? Quizás se pueda retrasar su difusión, pero… la seguridad por oscuridad siempre acaba siendo insegura.

  6. Supongo que decir esto es un poco raro, pero me fío más bien poco de las cláusulas de confidencialidad. Es difícil, por no decir casi imposible, probar que alguien ha violado una cláusula de confidencialidad, como no sea algo muy evidente o se le pille con las manos en la masa. Así que mejor que evitemos la situación.

    Completamente de acuerdo con el hecho de que un SGSI o SGQ no son un conjunto de documentos; incluyen mucho más, y efectivamente, si alguien piensa que son sólo documentos, o está tomando el pelo/se lo están tomando, o no sabe a lo que juega. Pero precisamente porque no son sólo un conjunto de documentos, e implican sistemas de implantación, modelos de funcionamiento, métodos de trabajo y otras muchas cosas, debería protegerse ese conocimiento.

    No acabo de entender tu último párrafo. Es más, estoy flipando con la normalidad con la que hablas de ‘“aprender” del auditado aquellos detalles que interesen y aplicarlos a un documento desarrollado por el auditor-consultor‘. ¿Y eso no es como mínimo, carente de toda ética? ¿Ves normal apropiarse de métodos de trabajo de terceros a los que se tiene acceso única y exclusivamente en calidad de auditor y llevarlos a tu negocio de consultoría? ¿Es decir, que si yo ideo un sistema diferente y válido para medir la eficacia de un control, o diseño una manera de controlar dinámicamente mis indicadores, el auditor es libre de llevarse esa información a otra empresa en calidad de consultor? ¿Es una broma?

    Y no, no sé si se puede proteger el know-how evitando que otras empresas vean los documentos que utilizamos/desarrollamos en nuestro sistema de gestión. Obviamente, no si esperamos que nuestro SGSI/SGQ sea certificado, pero sí, debería hacerse en la medida de lo posible, porque es información de negocio confidencial, al igual que un sistema de mejora de la eficiencia de una cadena de montaje.

    Esto no tiene absolutamente nada que ver con la seguridad por la oscuridad. Tiene que ver con proteger información de negocio. Lo dicho, estoy alucinado.

  7. Es que estamos en un sector que como poco, es para alucinar con las cosas que ves por ahí certificadas con su sellito y todo ;) (era por sacar otro muerto a relucir, jeje)

  8. Fernando Seco says

    Suscribo lo dicho, Manolo. Y no hablamos «simplemente» de documentos.

    Siempre trasladamos a nuestros clientes que el objetivo único NUNCA debe ser la certificación, sino la implantación del SG de que se trate (como bien ha dicho Pepe somos fervientes defensores de la utilidad de los modelos de gestión basados en referenciales internacionales). La implantación REAL de un SG eficiente aporta un indudable valor añadido a las organizaciones y a la eficiencia de sus procesos. Dicho esto, evidentemente la certificación también aporta un marchamo diferencial, con una evidente rentabilidad comercial y de diferenciación en su sector de negocio. Por eso siempre decimos que la certificación por una entidad acreditadora independiente es un beneficio añadido. Pero ahí está el detalle: independiente.

    Organizaciones que todos conocemos que son arte y parte, o consultores que trabajan también para entidades acreditadoras… no somos autómatas. No te cambian un chip interno que hace que olvides todo lo que has visto y no lo reutilices en beneficio propio o de la consultora para la que trabajas. No nos engañemos que ya somos todos mayorcitos y sabemos cómo funciona ésto.

  9. Desde mi punto de vista el sector ha entrado en una dinámica cuando menos peligrosa. Creo que es fundamental que se mantenga una independencia total sobre los procesos de auditoría y de implantación y no es de recibo que auditores de CERTIFICACIÓN, se dediquen a tareas de implantación unos meses después. Es más en algunos concursos públicos se llega a valorar que las tareas de implantación se desarrolen por persona con experiencia en auditorías de certificación.
    Este es un juego que creo que resta credibilidad al buen trabajo que se desarrolla desde el sector, junto con otros problemas derivados del desarrollo de proyectos masivos de implantación de sistemas de gestión en empresas que no estaban preparadas para ello.

  10. @Consultor

    Completamente de acuerdo.

  11. Efectivamente se ha entrado en la seguridad de la información en la misma dinámica en la que ya parece que cayera el mundo de la calidad, donde se el premio del esfuerzo se transforma en sí mismo en la meta y por tanto, desvirtúa el objetivo esencial que es disponer de una robustez, fiabilidad y sobre todo confianza basada y atesorada por una buena gestión de la seguridad de la información. Yo siempre digo lo mismo, el «Sello» en la pared no evita incendios y no mitiga riesgos. Por tanto, quien entre en esta dinámica muy de la cultura del escaparate está jugando con fuego y su «sensación de seguridad» puede verse rápidamente desmontada por «la realidad». Y si ocurre algo, disponer de la certificación solo pondrá de manifiesto la pésima gestión que se realizaba si el incidente se debe a uno de los «riesgos controlados».
    En cuanto a la problemática que apunta Manuel, los organismos de control sobre las entidades de certificación debieran empezar a hacer su trabajo y meter cierta presión para que esto no se transforme en un cachondeo. En la documentación Guía 802) sobre cómo se audita en R.D. 3/2010 (ENS) se deja claro que el proceso de auditoría debe ser completamente independiente del proceso de implantación y el auditor no puede ni podrá participar en ninguna fase que no sea estrictamente la auditoría.
    Lo más grave de todo es que muchas veces, esos auditores de certificación subcontratados no pertencen el mundo de la seguridad y tienen sus chiringuitos particulares montados. Cuando de repente ven un sistema bien construido, con unos procesos definidos y una excelente documentación, sobre todo en la parte de normas y procedimientos, se ven tentados a apropiarse de ese conocimiento porque es más rápida la cultura del cut&paste que la de tirarse horas pensando y escribiendo. Y dado que el mundo de la consultoría se factura normalmente por horas, te das cuenta que quien viene a supervisar y juzgar tu trabajo, se convierte por arte de magia en tu competencia y se lleva tu conocimiento y esfuerzo. Un día de fura ya postee sobre la pandemia del «cut&paste» en http://seguridad-de-la-informacion.blogspot.com/2010/11/conocimiento-inducido-y-la-pandemia-del.html

    Y encima, es quien tiene de valorar si tu trabajo es bueno o no. Como diría Trillo, manda huevos.