Barrapunto

¿De verdad sirven para algo estas normas? me he tenido que empapar métrica v3 para un examen y ... en serio, nunca lei mayor montón de palabrería inútil. Por otro lado, conozco bien ISO9000 y soy evaluador de los premios EFQM, así que puedo hablar con propiedad sobre esas normas y modelos. Son un montón de basura que sólo sirve para que las consultoras ganen dinero.

Técnicos competentes = buen sistema de seguridad sin ISO.

Técnicos incompetentes = mala seguridad, por mucha ISO que le pongas. Esa es mi experiencia y ya digo que hablo con bastante conomiento de causa.

Hombre, yo la estoy implantando para conseguir la certificación y te digo que si de verdad cumpliéramos todo lo que pone en la norma sería la rehostia.

Principalmente porque no se queda en requisitos técnicos, sino que involucra a todo el mundo, especialmente a la dirección. Obliga a documentar todo, a llevar registros de todos los activos y todas las intervenciones que se efectúan sobre ellos, a establecer procedimientos de aceptación y dimensionamiento antes de implantar o actualizar sistemas, a formar al personal en materia de seguridad y hacérle firmar compromisos de confidencialidad y buen uso... Bueno habrás visto los controles de la norma, son la leche.

En fin, algo completamente inabarcable tal y como funcionan las empresas españolas, en lo que algo tiene que estar para mañana, tienes decenas de proyectos por delante y sistemas por mantener. En nuestro caso va a suponer que vamos a poder dedicar horas de proyecto "útiles" a documentar y procedimentar (que como bien sabrás eso no es percibido como "trabajo útil" por la dirección), pero llevar a cabo de continuo todo lo que dice nos es imposible con el personal que somos.

Así que resumiendo, sí, principalmente vale para que las consultoras se lleven la pasta.