payhip

ISO 27001: Transformación estratégica luego de la certificación

4/23/2015 08:47:00 a.m. 0
Cabe hacer una pequeña reseña de la compañía para comprender el motivo de haber impulsado este proyecto de alineación y certificación de la ISO 27001.

Grupo Peñaflor es el mayor productor de vino de la Argentina y uno de los primeros diez productores de vinos a nivel mundial. Exporta actualmente a más de 88 países, y año tras año, los vinos de sus diferentes bodegas reciben más de un centenar de premios por su calidad y reconocimiento internacional. Su sistema de aseguramiento de la calidad está avalado con certificaciones de las más exigentes normas internacionales.

Grupo Peñaflor está integrado por las Bodegas Trapiche, El Esteco, Finca las Moras, La Rosa, Santa Ana y Andean Viñas. Con una trayectoria de bodegas de más de 100 años, 1.800 empleados, más de 5.000 hectáreas propias  caracterizadas por su diversidad geográfica, climática y de altura, su filosofía está basada en la calidad de sus productos y una fuerte orientación por comprender y satisfacer las necesidades y tendencias de los consumidores locales y globales.

En este  contexto y con el objetivo de mantener la continuidad de las operaciones , se decidió adoptar un estándar internacional en lo referente a la seguridad de la información y con ese objetivo se lanzo el proyecto de alineación con la norma ISO 27001.

Esta es la única empresa argentina que certificó todos sus servicios de información y procedimientos de gestión de seguridad de la información, que dan soporte a sus procesos de negocios desde la elaboración hasta la comercialización de sus productos ,  para todas las bodegas que componen el grupo y también es la primer bodega de nivel mundial en obtener esta certificación.

Haber logrado esto, parecería a priori, haber terminado con el proceso. Sin embargo, esto es solo parte del proceso y no el proceso en sí mismo.

Dependiendo del tipo de organización  y los objetivos que ésta persigua  con la certificación, el proceso puede ser intenso o relativamente relajado, pero de ninguna manera finito.

En una compañía como la nuestra, donde no se “vende”  seguridad, como podría ser un banco o una empresa que maneje secretos industriales, donde el objetivo primario es comercializar vino, la implementación de este tipo de proyectos puede resultar una tarea muy compleja.

Entonces, el verdadero desafío para Grupo Peñaflor no consistió en aprobar la auditoria de certificación, cosa que con más o menos esfuerzo, metodología  y recursos se puede lograr, sino en generar un cambio cultural dentro de la organización, entendiendo que esa era la  única forma de poder mantener este proceso  vivo en el tiempo.
En el gap análisis que realizamos al comenzar el proceso, sobre un máximo de 5 puntos que significa estar totalmente alineados con el estándar ISO, suponíamos estar a la mitad de camino.
La realidad nos golpeó con un 0,92  y esto fue durísimo, pero a la vez nos urgió a mejorar rápidamente esta situación extremadamente peligrosa.

Se plantearon objetivos de mínima (lograr una alineación razonable con la norma) y de máxima (obtener la certificación).

Para lograrlo, entendimos que había que obtener la colaboración de todos y para eso decidimos informar claramente cuáles eran nuestros objetivos  y como lo íbamos a llevar adelante.
Se organizaron charlas de concientización, en grupos reducidos de no más de 20 personas, que dada la cantidad de empleados y la dispersión geográfica de nuestra empresa, significo un esfuerzo logístico importante y una ardua tarea por parte del área de RRHH que se encargó de aportar la logística.

Luego y con la ayuda de una consultora externa comenzamos a trabajar sobre cada uno de los puntos de la norma. Esta tarea nos llevo 18 meses de intenso trabajo, durante el cual  se trabajo en forma permanente en estrecha colaboración con las áreas de RRHH y de Legales de la compañía.

Si miramos nuestra empresa hoy, luego de haber certificado y pasado nuestra  1er revalidación, vemos una empresa distinta, que para quien mira la foto le parecerá perfectamente normal, pero para quienes vivimos la película , no nos deja de sorprender.

Hace apenas 3 años , increíblemente , en una empresa de la magnitud de nuestro grupo, no teníamos un adecuado control de ingreso en las plantas, los site del interior no tenían los mínimos elementos de seguridad, no teníamos instaladas UPS en algunos equipamientos críticos de nuestra red, no había en las plantas sistemas de detección de incendios, los procesos no estaban debidamente documentados, no existían apropiados controles para la gestión de cambios, el personal no estaba capacitado en el uso de las herramientas informáticas puestas a sus disposición, no existía conciencia del adecuado uso de cosas tan simples como el correo , internet, etc.

Estas cosas y muchas otras  más, son las evidencias palpables  que han quedado de este proceso, pero esto no es para nosotros  lo más importante.

Lo importante radica en que hoy dentro de esta organización nadie discute o cuestiona las medidas adoptadas, lo importante es que la gente hoy ve que sin estos cambios sería imposible mantener la continuidad de las operaciones al nivel de excelencia  que nuestro mercado exige.

Lo importante que dejó éste y otros procesos de mejoras realizados en la compañía, es la necesidad de mejora continua que ha quedado flotando en la conciencia de todos los que de una u otra forma participamos de este cambio.

En resumen, lo importante, lo enriquecedor, es el cambio cultural generado y nuestro desafió actual pasa por lograr mantener  vivo  este espiritu de superación.

"Creo que el proceso de alineación con la norma ISO 27001 nos desafió a repensar como hacíamos las cosas dentro del área de TI y nos ayudo a formalizar algunos procesos clave, por otra parte al haber obtenido la certificación nos compromete con la mejora continua a futuro", concluye Norberto Galarraga, CIO - Gerencia Corporativa de Sistemas Grupo Peñaflor.

Autor: Roberto Demaria


Tags:

No hay comentarios.

Suscribirse a: Comentarios de la entrada ( Atom )
Imágenes del tema de enot-poloskun. Con tecnología de Blogger.