Ver vídeo
¿Puede explicar qué es AENOR y cuáles son sus actividades fundamentales?
AENOR tiene dos actividades básicas. Por un lado, es la entidad nacional de normalización, la única que por ley desarrolla normas técnicas, que son las UNE, y por tanto es equivalente a otras entidades que hay en el mundo como el DIN en Alemania, el BSI en el Reino Unido, AFNOR en Francia o ANSI en Estados Unidos. En esa labor de normalización, el catálogo de normas que tiene actualmente es elevado, asciende a 28.000 las normas que contempla, y le sitúa en el ranking de los organismos de normalización en los primeros niveles. Además de esta función de normalización, de desarrollar normas propias, participa en todos los comités de normalización de todos los organismos internacionales, entre ellos el más importante es ISO (Organización Internacional de Normalización) que se fundó en 1947 y que tiene 165 países miembros y que se encarga del desarrollo de las normas a escala internacional.
Además, ¿qué otras actividades desarrolla AENOR?
Por otro lado, y de forma completamente independiente, la otra función es la de certificación; siempre actúa avalado por las organizaciones de acreditación que garantizan que el trabajo de certificación de AENOR se realiza con rigor. En el caso español, estamos acreditados por ENAC (Entidad Nacional de Acreditación), y tenemos acreditaciones en numerosos países y para todos los ámbitos. Por citar un ejemplo, AENOR está acreditada por la ONU como entidad operacional designada para poder validar y verificar proyectos de mecanismos de desarrollo limpio y de actuación conjunta, que son los que producen reducción de emisión de gases de efecto invernadero.
¿Qué certificaciones tienen concretamente para el ámbito TI?
Las cuatro certificaciones más importantes son: la certificación de los sistemas de gestión de seguridad de los sistemas de información (ISO 27001); la certificación del sistema de gestión de servicio de TI (ISO 20000), la certificación del desarrollo de la madurez de las factorías de software (ISO 15504) y la accesibilidad de páginas web (UNE 139803). Siempre certificamos con respecto a normas que pueden ser nacionales o internacionales (UNE e ISO, respectivamente) que marcan unos requisitos, y nosotros como organismo independiente y tercera parte certificamos que se cumplen.
¿Cómo realiza AENOR el seguimiento?
La certificación la hacemos mediante auditoría. Un certificado suele tener una vigencia de tres años, en los que las empresas se someten a auditorías periódicas. El primer año, el de concesión, hacemos la visita a la empresa y vemos que se cumplen los requisitos y otorgamos la concesión del certificado. Luego hay dos años de seguimiento y el cuarto año se procede al certificado de renovación. Por lo que si para las empresas es importante conseguir el certificado, lo es más conservarlo a lo largo de un tiempo. Esta es la diferencia sobre un premio que se concede en un momento determinado.
¿Se puede cuantificar el porcentaje de lo que una empresa gana en productividad consiguiendo una certificación?
Todas las empresas (hay más de un millón en el mundo que tienen un certificado de gestión de calidad ISO 9001 o gestión ambiental ISO 14001) tienden a certificarse por sus ventajas: aumenta la competitividad y elimina los costes de la denominada ‘no calidad’, incluidos los directamente monetarios. Además, cada vez más las Administraciones Públicas valoran la certificación para acceder a contratos. Varios estudios europeos han demostrado los beneficios económicos de la normalización. En Alemania, la aplicación de las normas supone el 1 por ciento del PIB, como señala el Instituto Alemán de Normalización (DIN). En Alemania todas las actividades industriales están muy regladas y normalizadas.
¿Existe algún ranking de países en cuanto al nivel de certificación y en dónde se encuentra España?
España, por número de normas y número de sistemas, está muy bien situada. En el sistema de gestión de calidad ISO 9001, somos el cuarto país del mundo y el segundo de Europa. En número de gestión medioambiental ISO 14001, el tercero del mundo y el primero del Viejo Continente. Si nos referimos a normas de TI, en sistemas de gestión de seguridad de información ISO 27001, nos acabamos de colocar en el noveno puesto del ranking mundial.
La seguridad de la información y la protección de datos es una prioridad para las empresas. ¿En qué trabaja AENOR con relación a esta materia?
AENOR trabaja en sus dos actividades fundamentales en este ámbito, que son las normas y los certificados. Por un lado, en normalización, adoptamos la norma internacional ISO 27001 de Seguridad de la Información como norma española UNE, ya que creemos en la implantación de un sistema de gestión de seguridad de la información como herramienta para proteger uno de los activos más importantes de las empresas: su información. Por otro lado, como entidad de certificación, ponemos a disposición de las organizaciones el certificado según la norma ISO 27001. El año pasado cerramos con casi el centenar de las primeras organizaciones españolas certificadas, y vamos a acabar este ejercicio duplicando el número, hasta las 200 empresas. Además, y como complemento a estas actividades básicas, realizamos otras actividades complementarias, de Formación y Difusión. En concreto, hacemos cursos de formación para los profesionales de las empresas. Asimismo, acabamos de lanzar la Guía de aplicacación ISO 27001 en las Pymes.
¿Son conscientes las empresas españolas de la necesidad de adoptar las certificaciones en general?
Se han dado pasos de gigante. España es el cuarto país del mundo y segundo de Europa por número de certificados de Calidad, con más de 65.000 reconocimientos. En Medio Ambiente, España es el tercero del mundo y primero de Europa, con cerca de 14.000 certificados. Pese a los buenos datos, aún queda un largo camino por recorrer en la implantación sistemática de la calidad. Y ya ceñidos a la seguridad de la información, se puede considerar que ha sido un éxito. Tenemos previsto llegar a final de año con 200 empresas certificadas en ISO 27001 y hemos empezado a certificar hace cuatro años. En el último hemos duplicado y esto es un índice de que las empresas lo están aceptando muy bien. Este éxito nos ha permitido entrar, por primera vez, entre los diez países del mundo con mayor número de certificados de Seguridad de la Información.
¿Qué sectores se muestran más receptivos a las certificaciones (banca, utilities, sector público, etc.) y por qué razones específicas?
Las aplicaciones de las normas y los sistemas de gestión son independientes del tamaño y la actividad de la empresa. Pero sí que es verdad que para ISO 27000, las empresas que manejan datos sensibles son las primeras que han venido. Me refiero a entidades financieras, organismos públicos como hospitales, Ministerio de Sanidad… También son más proclives las que hacen outsourcing porque les exigen que tengan sistemas de seguridad de los datos, con la confidencialidad necesaria. En cuanto a ISO 20000, bancos y cajas de ahorro son unos usuarios muy frecuentes; pero también industria y otro tipo de sectores de actividad.
Una de las asignaturas pendientes de las páginas web de las Administraciones es la accesibilidad. ¿Perciben un cambio de tendencia?
En la accesibilidad web aplicamos la UNE 139803. Tenemos 24 organizaciones certificadas, que no son muchas. La verdad es que todavía queda un largo recorrido. El cumplimiento con la LSSI es una exigencia, y la certificación ayuda a cumplir la ley.
¿Qué proyectos inmediatos tiene su asociación en el ámbito de las Tecnologías de la Información?
Aparte de los cuatro mencionados, en los que estamos centrados porque son los que demanda el mercado, estamos trabajando en IT Governance (gobierno de las TI) que está contemplado por la norma internacional ISO 38500, del que vamos a hacer una prueba piloto el año próximo. Estamos trabajando también en Business Continuity Management (gestión de continuidad de negocio) y Software Assets Management (gestión de los activos de software de las empresas) que se acoge a la ISO 19770. Estamos constantemente innovando para dar respuesta a las necesidades que detectamos tienen las empresas en el ámbito TI. Luego tenemos algunos productos menores como es el de buenas prácticas en el comercio electrónico, un producto dirigido a dar confianza en la compra en el mercado electrónico. Hace tiempo sacamos un producto que no ha tenido tanta vigencia, que era una marca situada en la web que garantizaba que el que compraba tuviera la confianza completa pues ofrecía todas las credenciales del comprador. Y por la otra parte también se garantizaba la transacción.
¿Cuánto pagan las empresas por normalizarse?
La tarifa depende del número de jornadas que se inviertan en hacer las certificaciones y es variable en función del tamaño de la empresa y de si ésta tiene un sistema de gestión ya implantado y con la gente formada. No es lo mismo instalar un sistema de gestión de seguridad en una organización donde no hay un sistema de gestión de calidad. Se cobra por horas de auditoría. Asesoría no podemos dar, somos independientes y sólo podemos hacer auditoría. La independencia es el valor más importante al hacer la auditoría, la confidencialidad y la competencia, y en realidad lo que tenemos que dar es confianza.
¿Ha llegado a detectar AENOR la práctica de implantaciones sobredimensionadas o inadecuadas por parte de los proveedores? ¿En tal caso cuál es el procedimiento a seguir? Los auditores de AENOR realizan una visita a la entidad para comprobar el grado de cumplimiento de los requisitos de la norma. Si se detectan las denominadas “no conformidades” -o incumplimientos de la norma-, se hacen notar a la entidad y se da un plazo para subsanarlas. Si los incumplimientos persisten después de este tiempo, evidentemente procedemos a la retirada del certificado. El rigor y la independencia son las señas de identidad de AENOR. Por otro lado, es cierto que cuando una empresa acude, de forma voluntaria a AENOR, es porque ya ha realizado el trabajo previamente, normalmente verificado por una consultora
