ISO 27001: Transformación estratégica luego de la certificación
Cabe
hacer una pequeña reseña de la compañía para comprender el motivo de
haber impulsado este proyecto de alineación y certificación de la ISO
27001.
Grupo Peñaflor es el mayor productor de
vino de la Argentina y uno de los primeros diez productores de vinos a
nivel mundial. Exporta actualmente a más de 88 países, y año tras año,
los vinos de sus diferentes bodegas reciben más de un centenar de
premios por su calidad y reconocimiento internacional. Su sistema de
aseguramiento de la calidad está avalado con certificaciones de las más
exigentes normas internacionales.
Grupo
Peñaflor está integrado por las Bodegas Trapiche, El Esteco, Finca las
Moras, La Rosa, Santa Ana y Andean Viñas. Con una trayectoria de bodegas
de más de 100 años, 1.800 empleados, más de 5.000 hectáreas propias
caracterizadas por su diversidad geográfica, climática y de altura, su
filosofía está basada en la calidad de sus productos y una fuerte
orientación por comprender y satisfacer las necesidades y tendencias de
los consumidores locales y globales.
En este
contexto y con el objetivo de mantener la continuidad de las operaciones
, se decidió adoptar un estándar internacional en lo referente a la
seguridad de la información y con ese objetivo se lanzo el proyecto de
alineación con la norma ISO 27001.
Esta es la
única empresa argentina que certificó todos sus servicios de información
y procedimientos de gestión de seguridad de la información, que dan
soporte a sus procesos de negocios desde la elaboración hasta la
comercialización de sus productos , para todas las bodegas que componen
el grupo y también es la primer bodega de nivel mundial en obtener esta
certificación.
Dependiendo
del tipo de organización y los objetivos que ésta persigua con la
certificación, el proceso puede ser intenso o relativamente relajado,
pero de ninguna manera finito.
En una compañía
como la nuestra, donde no se “vende” seguridad, como podría ser un
banco o una empresa que maneje secretos industriales, donde el objetivo
primario es comercializar vino, la implementación de este tipo de
proyectos puede resultar una tarea muy compleja.
Entonces,
el verdadero desafío para Grupo Peñaflor no consistió en aprobar la
auditoria de certificación, cosa que con más o menos esfuerzo,
metodología y recursos se puede lograr, sino en generar un cambio
cultural dentro de la organización, entendiendo que esa era la única
forma de poder mantener este proceso vivo en el tiempo.
En
el gap análisis que realizamos al comenzar el proceso, sobre un máximo
de 5 puntos que significa estar totalmente alineados con el estándar
ISO, suponíamos estar a la mitad de camino.
La
realidad nos golpeó con un 0,92 y esto fue durísimo, pero a la vez nos
urgió a mejorar rápidamente esta situación extremadamente peligrosa.
Se plantearon objetivos de mínima (lograr una alineación razonable con la norma) y de máxima (obtener la certificación).
Para lograrlo, entendimos que había que obtener la colaboración de todos y para eso decidimos informar claramente cuáles eran nuestros objetivos y como lo íbamos a llevar adelante.
Se organizaron
charlas de concientización, en grupos reducidos de no más de 20
personas, que dada la cantidad de empleados y la dispersión geográfica
de nuestra empresa, significo un esfuerzo logístico importante y una
ardua tarea por parte del área de RRHH que se encargó de aportar la
logística.
Luego y con la ayuda de una consultora
externa comenzamos a trabajar sobre cada uno de los puntos de la norma.
Esta tarea nos llevo 18 meses de intenso trabajo, durante el cual se
trabajo en forma permanente en estrecha colaboración con las áreas de
RRHH y de Legales de la compañía.
Si miramos
nuestra empresa hoy, luego de haber certificado y pasado nuestra 1er
revalidación, vemos una empresa distinta, que para quien mira la foto le
parecerá perfectamente normal, pero para quienes vivimos la película ,
no nos deja de sorprender.
Hace apenas 3 años ,
increíblemente , en una empresa de la magnitud de nuestro grupo, no
teníamos un adecuado control de ingreso en las plantas, los site del
interior no tenían los mínimos elementos de seguridad, no teníamos
instaladas UPS en algunos equipamientos críticos de nuestra red, no
había en las plantas sistemas de detección de incendios, los procesos no
estaban debidamente documentados, no existían apropiados controles para
la gestión de cambios, el personal no estaba capacitado en el uso de
las herramientas informáticas puestas a sus disposición, no existía
conciencia del adecuado uso de cosas tan simples como el correo ,
internet, etc.
Estas cosas y muchas otras más,
son las evidencias palpables que han quedado de este proceso, pero esto
no es para nosotros lo más importante.
Lo
importante radica en que hoy dentro de esta organización nadie discute o
cuestiona las medidas adoptadas, lo importante es que la gente hoy ve
que sin estos cambios sería imposible mantener la continuidad de las
operaciones al nivel de excelencia que nuestro mercado exige.
Lo
importante que dejó éste y otros procesos de mejoras realizados en la
compañía, es la necesidad de mejora continua que ha quedado flotando en
la conciencia de todos los que de una u otra forma participamos de este
cambio.
En resumen, lo importante, lo
enriquecedor, es el cambio cultural generado y nuestro desafió actual
pasa por lograr mantener vivo este espiritu de superación.
"Creo
que el proceso de alineación con la norma ISO 27001 nos desafió a
repensar como hacíamos las cosas dentro del área de TI y nos ayudo a
formalizar algunos procesos clave, por otra parte al haber obtenido la
certificación nos compromete con la mejora continua a futuro", concluye Norberto Galarraga, CIO - Gerencia Corporativa de Sistemas Grupo Peñaflor.
No hay comentarios.