ISO - Anexo SL

ISO acordó que los estándares que se basen en sistemas de gestión deberán cumplir con un conjunto de requisitos, contenidos en el llamado Anexo SL (en el momento de escribir esta nota aquí hay un pdf en inglés).

Si el paradigma “Sistema de Gestión” (mi visión del paradigma aquí) surge a fin de estructurar de forma “científica” la actividad en relación a una cierta “disciplina” (seguridad de la información, medio ambiente, riesgos laborales, etc.), generalmente transversal, el Anexo SL surge como respuesta a la dispersión que ha generado la estandarización no homogeneizada de “Sistemas de Gestión” (SG) de diversas disciplinas. ISO persigue, mediante el Anexo SL, uniformizar los SG, así como configurarlos con las mejores ideas y prácticas actuales.

El Anexo SL, apéndice 3, aborda dichos objetivos en dos ejes. Por un lado, normaliza (esto es, hace obligatorio para todos los estándares ISO de SG) la estructura “de alto nivel” (los títulos de secciones y subsecciones), el texto (de secciones y subsecciones) y la terminología común - una excelente idea por muchas razones. Por otro lado, delimita en la estructura y texto los asuntos referidos a SG y los referidos a la disciplina. Así, facilita el trabajo de los grupos de estandarización, liberándolos de tareas asociadas a la estructuración del SG y permitiendo que se enfoquen en la disciplina, y evita la dispersión de los aspectos de SG en los diferentes estándares.

Puntos fuertes y mejorables

En las tareas de ISO, y la creación del Anexo SL es una de ellas, siempre intervienen muchas fuerzas vivas desde la concepción de la idea hasta la aprobación del texto que la plasma, cincelado por el trabajo de diversos voluntarios y fruto del consenso (o sea, equilibrio de compromisos) internacional. Estas fuerzas vivas no tienen siempre una visión cohesiva sobre la idea, la manera de abordarla o el texto que lo describe. Por tanto, el texto de un estándar siempre representa la mejor (única) aproximación posible, si bien cada parte interesada considera que es mejorable. Y más cuando las partes interesadas sobre el Anexo SL han sido tan amplias y diversas. El Anexo SL, y los estándares que se basan en el mismo, presentan ciertos aspectos manifiestamente mejorables – y que sin duda lo harán en sus siguientes revisiones.

Ciertamente ya se ha producido dislocaciones; por ejemplo, ISO/IEC 27001:2013, que además de incluir puntos adicionales en la estructura común (permitido) ha cambiado texto común (no admitido por el Anexo), por ejemplo en 4.2b o suprimiendo un punto en 6.2.
Un importante elemento perturbador, en mi opinión, es que los requisitos sobre el SG y sobre la disciplina (que tienen procesos diferenciados aunque interrelacionados) están entreverados e incompletos, o cuanto menos no nítidamente perfilados, según se puede ver en esta tabla.

De la tabla se concluye que a lo largo de los distintos puntos del Anexo –y por lo tanto de los diversos aspectos del programa de gestión- se establecen requisitos, para el SG y relacionados con la disciplina -en unos casos para ambos, en otros solo el SG o solo la disciplina; no todo ello encaja completamente:

• Se requiere el establecimiento de requisitos de las partes interesadas sobre el SG y sobre los aspectos de la disciplina, pero solo se requiere que se determinen las partes interesadas del SG, que no coinciden, strictu sensu y necesariamente, con las de la disciplina.

• Se requiere determinar objetivos para la disciplina pero no explícitamente para el SG, más allá de requerirse la determinación de las cuestiones internas y externas que le afectan para conseguir los resultados previstos (4.1). Nótese que el Apéndice 4, recomienda que los estándares que incluyan SG incluyan en su punto 1 “Alcance” (del estándar, no del SG), los resultados previstos del SG; ISO/IEC 27001:2014 no lo hace, más allá de indicar algo en esa dirección en el punto 0 Presentación, 0.1 General, segundo párrafo (El SGSI preserva la confidencialidad, integridad y disponibilidad de la información por vía del proceso de gestión de riesgo, y da confianza a las partes interesadas que los riesgos son gestionados adecuadamente.).

• Se requiere una política de la disciplina pero no del SG, sin embargo se requiere un compromiso (a través de la política de la disciplina) con la mejora continua del SG; por otra parte no se requiere una mejora continua relacionada con la disciplina, y el compromiso de la dirección entronca con el SG pero no con la disciplina.

• En soporte, existen requisitos relativos a recursos, eficacia y comunicación sobre el SG pero no sobre la disciplina, y competencia y desempeño sobre la disciplina pero no sobre el SG.

• Se requiere planificación del SG pero no su operación … al contrario que de lo que se requiere para la disciplina.

• Si bien el Apéndice 4 recomienda, para aquellos estándares que gestionan riesgo, que apreciación y tratamiento vayan en el punto 6 o el 8; en el caso de ISO/IEC 27001:2014, van en ambos …

• Debe evaluarse y revisarse por la Dirección el desempeño relativo a la disciplina pero solo evaluarse, revisarse por la Dirección la eficacia y auditarse internamente, el SG.

• Finalmente, solo hay requisitos de mejora en relación al SG y no a la disciplina.

Vale la pena un ejemplo. Los requisitos sobre el SG de una parte interesada puede incluir que el SG esté certificado (por ejemplo, por mero requisito contractual) , mientras que los requisitos de una parte interesada pueden incluir que el equipamiento esté a resguardo de aplicativos perniciosos. Otro puede ser que no es lo mismo medir la eficacia del SG que la eficacia de los controles que una disciplina decide introducir, como tampoco debe confundirse las acciones para tratar riesgos y oportunidades del punto 6.1 del Anexo –referidas a riesgos y oportunidades en relación al SG- con la gestión de riesgo asociada a la disciplina.

En fin, no esta claro si se ha entrado o no en la metonimia de considerar que los procesos asociados a la disciplina solo son un subconjunto del SG. Puede que sea conveniente o no; sea lo que sea, ¡pongáse en claro!

IMHO, para la mejora del Anexo SL -que conllevaría una mejora de los SG basados en el mismo- el Anexo debería:

• incluir algunos requisitos relativos a Liderazgo y a planificación (que ya he descrito aquí);

• hacer más nítida la separación de requisitos sobre el SG y sobre la disciplina;

• evitar las “adaptaciones locales” de textos comunes (ahora se admiten ciertos cambios especificados); y

• concentrar en una zona unificada los aspectos relativos a la disciplina.

Así, el Anexo SL podría incluir los requisitos de establecimiento y tratamiento de cuestiones, partes interesadas, requisitos, política, mejora continua, recursos, competencia, toma de conciencia, eficacia, desempeño, auditoría y revisión tanto del SG como de la disciplina. Dichos requisitos pueden convivir con los diversos epígrafes del estándar si necesidad de romper en bloques de Sg y de disciplina.

También deberían reorganizarse los puntos 6 y8. El primero para incluir un espacio predefinido para la definición y establecimiento de los procesos asociados a la disciplina (tal como ha fabricado ISO/IEC 27001:2014 en los puntos 6.1.2 y 6.1.3, que tal vez debieran haber ido tras el 6.2 y no ser subapartados del 6.1 –aquí el estándar ha mezclado un poco los riesgos y oportunidades del SG con los de seguridad de la información) y su planificación. El segundo para proporcionar una plantilla más directa para empotrar los aspectos de la disciplina.

No hay que esperar

En cualquier caso, las organizaciones no tienen que esperar a que mejore el Anexo SL para adoptar dichas mejoras. Creo que disponer de un SG que solvente dichas carencias conlleva una mejora de sus resultados con un escaso coste marginal, proporcionando una claridad meridiana que conlleva mejora del entendimiento del SG por la organización y posicionamiento interno, que a su vez mejoran su eficacia.

Carlos Bachmaier
http://www.linkedin.com/in/carlosbachmaier
Último cambio el 26 Feb 2014 15:07

Mis actividades y novedades: visita mi blog