Para AQU Catalunya (Agència per a la Qualitat del Sistema Universitari de Catalunya) la integración de los sistemas de seguridad de la información ISO 27001 y de la calidad ISO 9001 siempre ha sido un factor clave para unificar y aprovechar al máximo las prácticas ya consolidadas en la organización. La implantación de criterios y normativas para la gestión de los recursos informáticos o el desarrollo de nuevos requerimientos técnicos que garantizan la disponibilidad, integridad y confidencialidad de la información son algunas de las ventajas de apostar por esta integración de sistemas.
Las agencias de calidad en educación superior en Europa son las responsables de la evaluación y la acreditación, de acuerdo con estándares académicos internacionales, de las universidades, de sus centros de investigación y de las titulaciones oficiales (grados, másteres o doctorados). También de la elaboración de información estadística y de indicadores sobre la educación superior, el impulso de la generación de conocimiento y el análisis temático.
AQU Catalunya tiene su origen en el consorcio Agència per a la Qualitat del Sistema Universitari a Catalunya que, constituida el 29 de octubre de 1996, fue la primera agencia de calidad creada en España. Con la aprobación de la Ley de Universidades de Cataluña en 2003 y la posterior Ley 15/2015, el consorcio se convirtió en la actual agencia. Así, constituye el principal instrumento para la promoción y la evaluación de la calidad en el sistema universitario catalán. AQU Catalunya tiene como objetivo la evaluación, la acreditación y la certificación de la calidad en el ámbito de las universidades y de los centros de enseñanza superior de Catalunya (titulaciones, profesorado, centros y servicios). Asimismo, es miembro fundador y de pleno derecho de la European Association for Quality Assurance in Higher Education (ENQA), y ha sido una de las tres primeras agencias incluidas en el European Quality Assurance Register for Higher Education (EQAR). También forma parte de la International Network for Quality Assurance Agencies in Higher Education (INQAAHE) en calidad de miembro, de la que ejerce el secretariado desde 2013, y de la Red Española de Agencias de Calidad Universitaria (REACU).
Si se tuviera que resumir el resultado de la implantación en un solo documento sería en el Plan de Tratamiento de Riesgos, herramienta clave de gestión que engloba y recoge el conjunto de acciones que deben realizarse: formación, documentación, gestión y acciones técnicas que requieren de personal especialista
Como agencia de calidad ya desde sus inicios se consideró clave obtener la certificación ISO 9001, con el fin de mejorar su sistema de gestión de la calidad. Así en el año 2000, AQU Catalunya se certificó en la Norma ISO 9002:1994, convirtiéndose en la primera agencia europea de calidad en educación superior que consiguió este certificado. Posteriormente, en 2006 adaptó su certificado a la Norma ISO 9001:2000. En el año 2012, AQU inició el proceso para incorporar la seguridad de la información dentro de su Sistema de Gestión de acuerdo con la Norma ISO 27001, consiguiendo en 2015 el certificado de AENOR. Por último, en 2017 ha superado con éxito la adaptación a la Norma ISO 9001:2015 consiguiendo igualmente el certificado AENOR.
Desde el inicio se consideró un aspecto clave la integración de la visión estratégica, los procesos y la gestión. De esta manera, tanto el mapa de procesos que gestiona la actividad como las líneas estratégicas están alineados.
En el año 2010 se publica el Real Decreto 3/2010 que establece el Esquema Nacional de Seguridad (ENS), en el que se determina la política de seguridad que se ha de aplicar en la utilización de los medios electrónicos en las Administraciones Públicas para asegurar el acceso, integridad, disponibilidad, autenticidad, confidencialidad, trazabilidad y conservación de los datos, informaciones y servicios utilizados en medios electrónicos necesarios en el ejercicio de sus competencias. Asimismo, la aplicación de la Ley de Protección de datos (LOPD) exigía nuevos requisitos y garantías.
AQU Catalunya estimó que una buena manera de acercarse al cumplimiento del ENS sería a través de la implantación de un Sistema de Seguridad de la Información. La Norma ISO 27001 permitía aprovechar las sinergias y el conocimiento de varios años desarrollando la ISO 9001 con buenos resultados. Desde el primer momento se consideró clave que los sistemas de seguridad de la información y de la calidad estuvieran integrados, unificando y aprovechando al máximo las prácticas ya consolidadas en AQU. De esta forma se tuvo claro que los principios que persigue la gestión de la seguridad de la información eran un requisito más para alcanzar la calidad de nuestros servicios y garantizar la satisfacción de nuestros grupos de interés. Así, como premisas iniciales se consideró imprescindible:
Integrar la seguridad de la información (SI) en el comité de calidad.
Para su implantación, tras un largo periodo de formación, la primera etapa fue la creación de un comité interno, encargado de coordinar dicha implantación. Este comité estaba integrado por el responsable del área informática, con el objetivo de cubrir todos los aspectos técnicos y en especial los controles de la ISO 27002; el responsable del ámbito jurídico para alcanzar los aspectos legales, como todo lo relacionado con la LOPD, propiedad intelectual, contratos, etc.; y la responsable de calidad interna, con la intención de abarcar los aspectos de gestión interna y potenciar al máximo la integración con los procedimientos de calidad. Así, se diferenciaron dos tipos de requerimientos: los nuevos requisitos o aspectos que no recogía la ISO 9001: 2008 y aquellos que se podían integrar de forma fácil en el sistema de gestión de la calidad.
Los requisitos que AQU consideró fácilmente integrables fueron liderazgo; planificación; gestión de los recursos humanos, competencia y concienciación; comunicación; gestión y clasificación de la documentación; medición y análisis; auditorias; revisión por la dirección; y no conformidades. Los nuevos requisitos, que requirieron mucho más trabajo y dificultades se centraron fundamentalmente en el análisis y gestión de los riesgos de seguridad de la información; encontrar la herramienta de gestión de riesgos más adecuada para AQU; dar respuesta a los controles que se especifican en la Norma ISO 27002; y la elaboración del Plan de contingencia.
En 2017, con un plantilla de 48 profesionales y un conjunto de 700 evaluadoresse realizaron:
Si se tuviera que resumir el resultado de la implantación en un solo documento sería en el Plan de Tratamiento de Riesgos, herramienta clave de gestión que engloba y recoge el conjunto de acciones que deben realizarse. Se incluyen todo tipo de acciones: formación, documentación, gestión y especialmente un gran conjunto de acciones técnicas que requieren de personal adecuado y formado (especialista), así como de recursos económicos para poderlas asumir. El seguimiento constante del plan por parte del Comité de Calidad y Seguridad de la información asegura la consecución de los objetivos y la reducción del riesgo aceptado año a año.
Si bien la implantación de la ISO 27001 ha supuesto una mayor carga de trabajo, y nuevos hábitos, los beneficios son relevantes:
Por último, hay que destacar que la implantación y la aplicación de la ISO 27001 han facilitado enormemente la transición a la nueva versión de la ISO 9001:2015. En concreto hay que subrayar el conocimiento de la nueva estructura de la norma, la experiencia obtenida en la gestión de riesgos, el análisis del contexto, y la comprensión de las necesidades y expectativas de las partes interesadas realizado.