Una de mis partes favoritas y que he aprendido a disfrutar desde que empecé a trabajar de forma colaborativa en Swetekno, ha sido la de vivir la experiencia de una auditoría interna ISO27001. Esta vivencia me permitió romper ciertos paradigmas o prejuicios frente a la normalización y estandarización ISO, pues antes lo veía más como una obligación y carga en vez de una herramienta facilitadora de avance y mejora continua, que es lo que realmente es.

Pienso que cuando nos referimos a una norma, entendemos que es algo que establece parámetros de cumplimiento y exige unos requisitos documentados que evidencien la conformidad de esta. Por supuesto que estas exigencias son con el fin de estandarizar, o lo que se entiende, normalizar procesos y procedimientos para los departamentos de TI (Tecnologías de la información) en el caso de la 27001. Estamos hablando de la “International Standard Organization” por sus siglas en inglés ISO y que al español comúnmente se traduce en Organización Internacional de Normalización. Quiere decir que esta norma, tiene un alcance internacional y, por lo tanto, permite unificar procesos y procedimientos a través de las organizaciones a nivel mundial. 

Ahora bien, de entrada, esta norma es excelente porque nos permite hablar el mismo idioma entre países y empresas, unificando el qué se debe tener como mínimo para cumplir con los estándares. Entendí que la norma establece el qué y las empresas, cada una, según su nivel de madurez, según su alcance, según sus circunstancias particulares, establece el cómo la van a implementar. Por tanto, en realidad la norma no es una camisa de fuerza o una carga para las empresas, sino todo lo contrario, da las directrices fundamentales que se deben tener en cuenta como pilar para construir, de forma flexible y anatómica sobre las particularidades de cada empresa. Esto es algo maravilloso, debido a que la norma se adapta al ritmo del crecimiento de las empresas, así como también se adapta a la forma en que las empresas deciden implementarla. Al final, lo que vale, es la estructura central de la norma, las pautas, las directrices de las familias de las normas y a través de su estudio detallado, las organizaciones tienen la oportunidad de implementar los controles de acuerdo con su alcance establecido. 

En Swetekno he tenido la oportunidad de vivenciar lo que es la teoría de la norma. Una cosa es tener la capacidad de estudiar, de aprenderte las definiciones, los términos y los conceptos, saber la teoría. Pero otra cosa totalmente diferente es implementar una auditoría a una organización. No basta sólo con saberte la norma al derecho y al revés. La riqueza de la experiencia es un factor adicional, diferente, único y totalmente novedoso al momento de implementarla.

Esto se debe fundamentalmente a que detrás de la teoría y lo que está escrito en un documento avalado por la ISO, están las personas. Las personas son el centro de trabajo de las auditorías. Es en las personas donde recae el aprendizaje, la vivencia, el proceso de discutir y vivir un espacio de trabajo-taller, donde varias personas intervienen, son los momentos que generan aprendizaje profesional.

Por esto, la riqueza de la experiencia suma a la teoría conceptual. Pero por supuesto, se necesitan de las dos. Sin la investigación y la conceptualización, no se podría normalizar la experiencia. La dinámica entre teoría y experiencia es lo que en Swetekno se ha vivido en los últimos diez años, a través de las auditorías implementadas.

Aprender de la experiencia, ha sido lo que con el tiempo en Swetekno nos ha permitido ir afinando nuestros servicios. Inicialmente las auditorías que impartíamos se hacían en modo presencial, con ciertas exigencias de confidencialidad. Con los tiempos cambiantes y más precisamente con la pandemia COVID-19, nos vimos en la necesidad de adaptarnos a realizar auditorías en modo virtual. Para esto, establecimos ciertos procedimientos básicos y es de ahí que sale incluso nuestras auditorías automatizadas que ofrecemos de forma gratuita en www.infoutil.org.

Además, no sólo por la pandemia, sino por la experiencia misma, logramos establecer nuestros propios documentos base para disponer para nuestros clientes que requieren adaptar la documentación para sus organizaciones, ya que son documentos que deben permanecer vivos y forman parte transversal para el cumplimiento de los procesos y procedimientos de la norma. Así que en Swetekno, contamos ya con la documentación mínima requerida y exigida en la implementación de las auditorías y la ponemos a disposición de nuestros clientes, para que puedan usar esta documentación y hacerla parte de sus procesos, en caso de requerirse. 

Por último, a raíz de la implementación de varias auditorías, en Swetekno identificamos de forma consciente la necesidad de modificar la forma en que el auditor presenta sus informes calificativos. Implementamos así, una nueva metodología disruptiva, de forma consciente, frente a la ISO. Esta forma ha sido avalada y declarada como innovadora por el Comité Interamericano contra el Terrorismo de la OEA para Latinoamérica. Consiste en lo siguiente:

Como bien se sabe en general, ningún auditor puede generar algún juicio de valor o recomendación o asesoría frente a la auditoría. En nuestro caso, manteniendo la objetividad de la norma, el auditor de Swetekno establece asesoría al cliente, basado en su experiencia y recomendación, con la plena libertad del cliente de tomar o no estas recomendaciones. Sin embargo, estas recomendaciones no afectarán los resultados objetivos del informe de auditoría. Desde Swetekno somos conscientes de este cambio y de esta intervención desde la función del auditor, manteniendo la extrema confidencialidad y profesionalidad del caso, respetando al cliente en sus decisiones. 

Además de lo anterior, si bien se sabe que la calificación de las auditorías está basada fundamentalmente en cuatro o cinco calificativos, así: conformidad, cuando el control está conforme con la norma, no conformidad, cuando no está conforme con la norma, acción correctiva, consecuencia de la no conformidad, acción preventiva, consecuencia de alguna conformidad o leve no conformidad, entre otros. Así, Swetekno rompe con este criterio calificativo e introduce una metodología de medición conjunta con el cliente, con una escala de medición CMMI® de 1 a 5, de acuerdo con el nivel de madurez de la organización.

Esta escala de medición se trabaja en conjunto entre el auditor y el cliente, a lo largo de varias sesiones, revisando los controles que fueron asignados de acuerdo con el alcance de la auditoría. Al final de la calificación, el cliente tendrá el resultado promedio de la calificación entre 1 y 5, permitiendo así visualizar de forma de mejoramiento continuo, los puntos críticos a tratar.

Las auditorías de Swetekno están enfocadas al plan de acción. El plan de acción hace referencia a un ejemplo paralelo que ponemos normalmente a nuestros clientes para explicarles que es parecido a cuando uno va al médico. El médico te realiza todos los exámenes de diagnóstico, pruebas de sangre, test de esfuerzo, nivel de azúcar, etc., esperamos que el médico no sólo te entregue los resultados, sin al contrario, con base a los resultados, te pueda dar la receta necesaria, los remedios requeridos para tratar la enfermedad identificada, en caso de encontrarse. Con nuestras auditorías ocurre algo parecido. Nos enfocamos en encontrar la solución a los aspectos débiles encontrados durante la auditoría. Nos enfocamos así en el plan de acción concreto, una vez se encuentran las causas de los problemas que impiden el cumplimiento de la norma.

Todo este trabajo de las auditorías no sería posible sin la disposición de los clientes a colaborar durante el proceso. No sirve de nada que sea sólo un chulo en la lista de cumplimiento, sin que realmente estén involucradas las personas que participarán en la auditoría, especialmente desde la parte directiva de la organización, así como los líderes del área de TI. 

Este artículo se queda corto frente a la explicación de nuestras auditorías, pero al menos da una pequeña muestra general de esta experiencia. Espero que les haya gustado este artículo y no duden en contactarme si tienen comentarios o sugerencias frente a este tema.