I2E implementa Fixner como Software de gestión de Certificaciones ISO
El pasado 13 de mayo de 2022 la empresa de desarrollo de software a medida Ingeniería Informática Empresarial SL (i2e) adquirió la certificación ISO 27001 utilizando nuestro software de gestión “Fixner” como herramienta principal para la gestión de la Seguridad de la Información en la auditoría realizada por AENOR.
Este logro adquirido por i2e ofrece a todos vosotros un modelo a seguir para la gestión de cualquier tipo de certificación para la que vuestra empresa esté aspirando. Desde modelos de gestión de sistemas de procesos de calidad ISO 9001 hasta la gestión de sistemas de seguridad de la información basados en el estándar ISO 27001.
Para conocer un poco más cómo es trabajar con nuestro software en una auditoría de esta dimensión, nos hemos puesto en contacto con la encargada del proceso de certificación de la empresa i2e, Arleth Torres, quién nos hablará de cómo fue esta experiencia y qué herramientas de Fixner les ayudó en el proceso de evaluación del sistema de gestión de seguridad de la información implantado en su empresa.
Entrevista a Arleth Torres encargada del proceso
Entrevistador:
Buenos días, Arleth.
Para comenzar cuéntanos un poco, ¿Qué significa para vuestra empresa un hito como este?
Arleth:
¡Buenos días!
Para nosotros es un logro muy importante, ya que siempre hemos sido conscientes de la importancia de realizar una gestión adecuada de la seguridad de la información. De hecho, la empresa la establece como un factor clave para la competitividad del negocio.
Por lo tanto, contar con esta certificación nos da la tranquilidad de que estamos haciendo las cosas bien en cuanto a conseguir y mantener nuestros objetivos de seguridad. También es importante para nosotros, porque traslada confianza a los clientes, refuerza la imagen corporativa y se adquiere un elemento o valor diferenciador ante la competencia.
Entrevistador:
¿Cómo les ayudó Fixner en este proceso?
Arleth:
Para implantar un sistema de gestión, es necesario contar con una herramienta informática que sirva de soporte para gestionar los procesos y la documentación referente al proceso de certificación.
En este sentido, la utilización de Fixner fue un punto fuerte y clave durante todas las fases del proceso, ya que nos permitió automatizar procesos técnicos y organizativos de forma centralizada, con la garantía de ser una plataforma con amplio funcionamiento en el mercado.
Entre las utilidades más importantes de Fixner, puedo mencionar la gestión de activos dentro de la organización, incluyendo el inventario, la gestión de incidencias sobre ellos, la planificación de los trabajos referentes a la implantación y mantenimiento del sistema de gestión, así como la gestión de la documentación.
Entrevistador:
¿Fue fácil la adopción del software?
Arleth:
Sí, primero que todo al ser un software en la nube, proporciona accesibilidad en todo momento, lo que brinda practicidad y agilidad para gestionar la información. Además, el diseño es bastante predictivo, por lo que la navegación se desarrolla de forma sencilla.
Una ventaja es que dispone de un buen servicio de soporte que está dispuesto a ayudar cuando sea necesario. Sobre todo en casos en los que se requiera que el software se adapte a algún proceso en específico, siempre podrán instruirte en cómo realizarlo utilizando las funcionalidades que la plataforma tiene disponible.
El modelo de trabajo de i2e te resultará atractivo si aspiras a obtener un certificado de Calidad en tu empresa
Jorge Méndez – CMO en i2e
Entrevistador:
¿Cuáles funcionalidades de nuestro software fueron las de mayor utilidad?
Arleth:
Para ejecutar el proyecto de certificación de forma organizada, nos ayudó mucho las funcionalidades relacionadas con la planificación. Permitiéndonos, a través de las órdenes de trabajo y tareas, la programación de las distintas actividades que conlleva el proceso, asignando responsables, tiempos, prioridades, recursos, recurrencias y llevar un seguimiento sobre el avance de las mismas mediante los cambios de estados.
También, para gestionar los activos de la empresa, fue fundamental las utilidades de instalaciones e incidencias, así hemos conseguido inventariar los activos tal y como exige la norma y llevar el control de los incidentes que afectan a cada uno de ellos, pudiendo registrar tipos de incidencias, trabajo realizado y guardar el histórico del ciclo de vida de los activos.
En cuanto a la documentación que conforma el sistema de gestión, como políticas, procedimientos, entrega de documentos a los trabajadores, solicitudes y recolección de evidencias de procesos, entre otras. La funcionalidad de creación de formularios web fue de gran utilidad, ya que permite crearlos a medida, y vincularlos a otras entidades como órdenes de trabajo y proyectos.
Entrevistador:
¿Consideras que Fixner funciona solo para la certificación ISO 27001?
Arleth:
No, Fixner tiene capacidad para adaptarse a otras normas. Cuenta con funcionalidades que son genéricas y adaptables para gestionar trabajos, tareas y procesos dentro de la organización.
Además de la creación de nuevas funcionalidades totalmente personalizables/configurables, como por ejemplo: el diseño de informes y formularios para registrar información específica de nuevos procesos según surjan las necesidades.
A corto plazo en i2e tenemos marcado como objetivo certificarnos con la norma ISO 9001, el cual es un estándar enfocado a la mejora continua de la calidad y la satisfacción del cliente, por lo que será necesario seguir apoyándonos en Fixner como herramienta para la gestión de los procesos relacionados a esta ISO.
En i2e, tenemos hoy en día más del 80% de la administración del sistema de gestión de la seguridad de la información en Fixner. Por esto, damos fe de la implantación eficaz utilizando el software como herramienta.
Entrevistador:
¿Cómo es el proceso de adquisición de una ISO?
Arleth:
Para la certificación de esta norma, la 27001, en primer lugar, es necesario la implicación de la dirección de la empresa y la formación y concienciación de todos los colaboradores que participan en el proceso de implantación y mantenimiento del sistema de gestión de seguridad de la información.
Podemos dividir el proceso de adquisición en tres etapas: una etapa de preparación, otra etapa de adquisición y una última de mantenimiento.
En la primer etapa se definen una serie de políticas y procedimientos para gestionar, controlar y garantizar la seguridad de la información.
En cuanto se dispone de un sistema de gestión maduro, se puede continuar a la segunda etapa. Donde se somete a una evaluación externa de un órgano avalado en la certificación, en nuestro caso AENOR.
La etapa de adquisición comienza con una auditoría inicial en la que se determina si el sistema de gestión implantado cumple con los requisitos que establece la norma.
Esta se lleva a cabo en dos fases:
- En la fase uno, se confirma el alcance solicitado, se audita la documentación del sistema de gestión, el nivel de comprensión de los requisitos de la norma, las condiciones en la que se encuentra implantado el sistema y se determina el grado de preparación para la siguiente fase.
- En la fase dos, se comprueba que el sistema está correctamente implantado, según los registros y la documentación y que cumple con los requisitos normativos.
Una vez se pasa satisfactoriamente la auditoría inicial, la entidad certificadora concede el certificado válido por un máximo de tres años y comienza la tercera etapa, la de mantenimiento. Esta se lleva a cabo a través de auditorías de seguimiento anuales para verificar que el sistema permanece implantado según el alcance certificado.
Al tercer año se debe renovar el certificado, para ello es necesario efectuar por lo menos tres meses antes de finalizar el periodo de validez del certificado, una auditoría de renovación del sistema de gestión.
Para asegurar la efectividad del sistema, este debe evaluarse de forma periódica mediante auditorías internas y revisiones por parte de la dirección, que permitan constatar el cumplimento de la norma.
Entrevistador:
¿Quiénes participan al momento de adquirir una certificación ISO?
Arleth:
Podría variar según la estructura organizativa y/o los recursos de la empresa, pero por lo general se delega la certificación a un equipo o comité de seguridad, conformado por la dirección y por el personal encargado de la seguridad de la información, calidad y de sistemas.
Es fundamental la participación y el respaldo de todo el personal y colaboradores de la empresa, para que la implantación, mantenimiento y mejora del sistema de gestión se lleve a cabo según los requerimientos que establece la norma, procurando siempre en la efectividad y cumplimiento de los controles.
En cuanto a personal externo, se podría contar con consultores que proporcionen la formación y guía durante todo el proceso, auditores externos para la revisiones internas y por último, los auditores asignados por la entidad certificadora.