Integración de ISO 20000, ISO 27001 e ISO 9001 Juan Manuel Rosauro Director Telecomunicaciones y Calidad SANDETEL
SANDETEL Empresa Pública de la Junta de Andalucía Solo trabaja para la Administración Pública Repercutimos solo costes - Beneficio 0 Valores: Excelencia y Calidad Orientación Cliente Orientación Resultados Transparencia 2
SANDETEL - ACTIVIDADES Proyectos Sociedad de la Información Seguridad de la Información Desarrollo de Aplicaciones Alojamiento, Producción de Sistemas y CAUs Telecomunicaciones Red Corporativa de la Junta de Andalucía 3
SANDETEL VALOR APORTADO Empresa de confianza e independiente del mercado. Alta cualificación y especialización. 249 empleados / 185 Titulados Universitarios. Sinergias y ahorro de costes. Know-How en Tecnologías de la Información, Comunicaciones y Consultoría. Disponibilidad 24x7x365 días 4
2009 - Objetivo Cumplido!! Conseguimos ISO 20.000k e ISO 27.000, además de ISO9001!!! Auditoría Vaya Lío!! Auditoría ER-0151/2008 SI-0065/2009 STI-0006/2009 5
Historia 2006 Implantación Sistema de Gestión orientado a procesos y conforme a ISO 9001. 2007 Certificación ISO 9001. 2007-2008 Decidimos implantar Procesos ITIL (G.Incidencias, G. Cambios, G. Problemas, G. Configuración). 2008 Decidimos certificarnos ISO 20.000 e ISO 27.001. 2009 Conseguimos certificaciones. 6
2008-2009 Inmadurez Implantación Integrada de Normas Normas prácticamente independientes. Consultoras y Auditoras sin experiencia. Auditorías Independientes Poquísimas empresas con los tres sistemas de gestión. Muchas dudas sobre cual es la mejor forma de implementarlas simultáneamente. 7
Plan Trabajo ISO 20.000 e ISO 27.001 Fijamos Fecha Objetivo Evaluación Inicial Selección Servicios Equipo de Proyecto Participativo Soporte Externo Especializado Implantación paralela 8
2009 Situación Límite!!! 10 Auditorías Preauditoría - Internas Externas ISO 9001, ISO 20000 e ISO 27001 Y esto va a ser todos los años igual? Documentación Triplicada 3 Manuales de Gestión, 3 Informes Revisión Dirección, etc. Comités Triplicados 9
Solución: Sistema Gestión Integrado - SGI Qué Significa? Evitar duplicidades y visión global. Ejes visualizar grado integración: Mapa Procesos Procedimientos Documentación Comités Auditorías 10
Enfoque SANDETEL hacia el SGI Fase 1 SISTEMAS DE GESTIÓN BASADA EN ISO 9.001 SISTEMAGESTIÓN DE SERVICIOS BASADA EN ISO/IEC 20.000 GESTIÓN DE LA SEGURIDAD BASADA EN ISO 27.001 Fase 2 PARTE COMÚN DE LOS SISTEMAS DE GESTIÓN BASADA EN ISO 9.001 GESTIÓN DE SERVICIOS BASADA EN ISO/IEC 20.000 GESTIÓN DE LA SEGURIDAD BASADA EN ISO 27.001 Manual de gestión único Una sola estructura documental. Reducción de documentación. Auditorias integradas ER-0151/2008 SI-0065/2009 STI-0006/2009 11
Fase 1 SGI : Alineación (2008-2009) Antes de las certificaciones ISO20000 e ISO 27001. Utilizamos Procedimientos comunes ISO 9001 (Gestión documentación, Formación, Revisión por la Dirección) Consideramos la ISO 27001 como un proceso. 12
Fase 2 SGI: Integración (2010-2012) Después de las certificaciones ISO20000 e ISO 27001. Eliminación de Triplicidades donde es posible: Manuales de Gestión Auditorías Internas y Externas Comités de Calidad Informes Revisión por la Dirección 13
Fase 2 SGI: Integración (2010-2012) SGI toma requisitos base SGC SGC SGSI SGS SGI Añaden requisitos diferenciales del SGS y SGSI Requisitos Comunes Responsabilidad Dirección Control Documentación Formación Ciclo PDCA Mejora Continua 14
Fase 2 SGI: Integración (2010-2012). Evolución 2009 2010 2011 2012 Servicios Certificados 2 4 4 4 Auditorías 8+2=10 6 5 2 Manuales Gestión 3 3 1 1 Revisión Dirección 3 2 2 1 Comité Calidad 1 1 1 1 Documentación General -10% 15
Madurez Actual Mercado en Sistemas Gestión Integrados ISO 20000 Edición 2011 más alineada con la ISO 9001. Mayor experiencia: Empresas Consultoras Auditoras ISO 27013: Guidelines on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1 (Octubre 2012) Requisitos Idénticos. Requisitos Relacionados (con algunas diferencias). Requisitos específicos. 16
Lecciones Aprendidas: Puntos Clave Éxito ISO 20000 Apoyo de la Dirección. Formación Intensiva toda la plantilla. Responsabilidades claras. Retribución variable ligada la consecución de la implantación. Mezcla dedicación interna responsabilidad interna con apoyo muy especializado externo. COMPROMISO y DEDICACIÓN PERSONAS!! 17
Lecciones Aprendidas: Dificultades ISO 20000 Gestionar la resistencia al Cambio Competiciones internas por responsabilidades Asunción de roles por las personas Dedicación tiempo Asunción autoridad 18
Lecciones Aprendidas: Beneficios ISO 20000 Ordenación actividades Producción Sistemas. Mejora Calidad Objetiva y subjetiva servicios Lenguaje Común en la organización. Cambio Cultural (Procesos y Servicios) Capacidad crecimiento prestación de servicios 19
Lecciones Aprendidas: Ventajas Integración Sistemas Supervivencia!! Eficiencia: ahorro de costes. Reducción esfuerzo empleados. Facilita visión global y coherente. Menos Documentación. Sinergias. Unificación de Roles. 20
Conclusiones Ser pioneros en la integración de ISO 20000, ISO 27001 e ISO 9001 nos ha supuesto un esfuerzo extraordinario. Imprescindible enfoque de SGI desde inicio. El mercado ya empieza a estar maduro en cuanto a SGI para conseguir desde el inicio una integración máxima. 21
Juan Manuel Rosauro juanmanuel.rosauro@juntadeandalucia.es Twitter:@jmrosauro Linkedin: http://es.linkedin.com/in/juanmanuelrosauro