Casos prácticos / Servicios

La integración como aspecto clave de gestión

Para AQU Catalunya (Agència per a la Qualitat del Sistema Universitari de Catalunya) la integración de los sistemas de seguridad de la información ISO 27001 y de la calidad ISO 9001 siempre ha sido un factor clave para unificar y aprovechar al máximo las prácticas ya consolidadas en la organización. La implantación de criterios y normativas para la gestión de los recursos informáticos o el desarrollo de nuevos requerimientos técnicos que garantizan la disponibilidad, integridad y confidencialidad de la información son algunas de las ventajas de apostar por esta integración de sistemas.

  • Facebook
  • Twitter
  • Pinterest
  • LinkedIn
Núria Comet
Responsable de Calidad Interna
AQU Catalunya

Las agencias de calidad en educación superior en Europa son las responsables de la evaluación y la acreditación, de acuerdo con estándares académicos internacionales, de las universidades, de sus centros de investigación y de las titulaciones oficiales (grados, másteres o doctorados). También de la elaboración de información estadística y de indicadores sobre la educación superior, el impulso de la generación de conocimiento y el análisis temático.

 

AQU Catalunya tiene su origen en el consorcio Agència per a la Qualitat del Sistema Universitari a Catalunya que, constituida el 29 de octubre de 1996, fue la primera agencia de calidad creada en España. Con la aprobación de la Ley de Universidades de Cataluña en 2003 y la posterior Ley 15/2015, el consorcio se convirtió en la actual agencia. Así, constituye el principal instrumento para la promoción y la evaluación de la calidad en el sistema universitario catalán. AQU Catalunya tiene como objetivo la evaluación, la acreditación y la certificación de la calidad en el ámbito de las universidades y de los centros de enseñanza superior de Catalunya (titulaciones, profesorado, centros y servicios). Asimismo, es miembro fundador y de pleno derecho de la European Association for Quality Assurance in Higher Education (ENQA), y ha sido una de las tres primeras agencias incluidas en el European Quality Assurance Register for Higher Education (EQAR). También forma parte de la International Network for Quality Assurance Agencies in Higher Education (INQAAHE) en calidad de miembro, de la que ejerce el secretariado desde 2013, y de la Red Española de Agencias de Calidad Universitaria (REACU).

Si se tuviera que resumir el resultado de la implantación en un solo documento sería en el Plan de Tratamiento de Riesgos, herramienta clave de gestión que engloba y recoge el conjunto de acciones que deben realizarse: formación, documentación, gestión y acciones técnicas que requieren de personal especialista

Como agencia de calidad ya desde sus inicios se consideró clave obtener la certificación ISO 9001, con el fin de mejorar su sistema de gestión de la calidad. Así en el año 2000, AQU Catalunya se certificó en la Norma ISO 9002:1994, convirtiéndose en la primera agencia europea de calidad en educación superior que consiguió este certificado. Posteriormente, en 2006 adaptó su certificado a la Norma ISO 9001:2000. En el año 2012, AQU inició el proceso para incorporar la seguridad de la información dentro de su Sistema de Gestión de acuerdo con la Norma ISO 27001, consiguiendo en 2015 el certificado de AENOR. Por último, en 2017 ha superado con éxito la adaptación a la Norma ISO 9001:2015 consiguiendo igualmente el certificado AENOR.

Tabla 1. Integración del mapa de procesos con las líneas estratégicas

Tabla 1. Integración del mapa de procesos con las líneas estratégicas

Proceso de integración de la ISO 27001 con la ISO 9001

Desde el inicio se consideró un aspecto clave la integración de la visión estratégica, los procesos y la gestión. De esta manera, tanto el mapa de procesos que gestiona la actividad como las líneas estratégicas están alineados.

 

En el año 2010 se publica el Real Decreto 3/2010 que establece el Esquema Nacional de Seguridad (ENS), en el que se determina la política de seguridad que se ha de aplicar en la utilización de los medios electrónicos en las Administraciones Públicas para asegurar el acceso, integridad, disponibilidad, autenticidad, confidencialidad, trazabilidad y conservación de los datos, informaciones y servicios utilizados en medios electrónicos necesarios en el ejercicio de sus competencias. Asimismo, la aplicación de la Ley de Protección de datos (LOPD) exigía nuevos requisitos y garantías.

AQU Catalunya estimó que una buena manera de acercarse al cumplimiento del ENS sería a través de la implantación de un Sistema de Seguridad de la Información. La Norma ISO 27001 permitía aprovechar las sinergias y el conocimiento de varios años desarrollando la ISO 9001 con buenos resultados. Desde el primer momento se consideró clave que los sistemas de seguridad de la información y de la calidad estuvieran integrados, unificando y aprovechando al máximo las prácticas ya consolidadas en AQU. De esta forma se tuvo claro que los principios que persigue la gestión de la seguridad de la información eran un requisito más para alcanzar la calidad de nuestros servicios y garantizar la satisfacción de nuestros grupos de interés. Así, como premisas iniciales se consideró imprescindible:

Integrar la seguridad de la información (SI) en el comité de calidad.

 

  • Integrar los requisitos de la SI en la actividad diaria y proyectos de AQU.
  • Aprovechar al máximo los procedimientos implantados
  • Incorporar en el equipo de auditores internos a una persona del área de informática.
  • No duplicar responsabilidades.

 

Para su implantación, tras un largo periodo de formación, la primera etapa fue la creación de un comité interno, encargado de coordinar dicha implantación. Este comité estaba integrado por el responsable del área informática, con el objetivo de cubrir todos los aspectos técnicos y en especial los controles de la ISO 27002; el responsable del ámbito jurídico para alcanzar los aspectos legales, como todo lo relacionado con la LOPD, propiedad intelectual, contratos, etc.; y la responsable de calidad interna, con la intención de abarcar los aspectos de gestión interna y potenciar al máximo la integración con los procedimientos de calidad. Así, se diferenciaron dos tipos de requerimientos: los nuevos requisitos o aspectos que no recogía la ISO 9001: 2008 y aquellos que se podían integrar de forma fácil en el sistema de gestión de la calidad.

 

Los requisitos que AQU consideró fácilmente integrables fueron liderazgo; planificación; gestión de los recursos humanos, competencia y concienciación; comunicación; gestión y clasificación de la documentación; medición y análisis; auditorias; revisión por la dirección; y no conformidades. Los nuevos requisitos, que requirieron mucho más trabajo y dificultades se centraron fundamentalmente en el análisis y gestión de los riesgos de seguridad de la información; encontrar la herramienta de gestión de riesgos más adecuada para AQU; dar respuesta a los controles que se especifican en la Norma ISO 27002; y la elaboración del Plan de contingencia.

El sistema universitario de Cataluña cuenta con:

El sistema universitario de Cataluña cuenta con:

En 2017, con un plantilla de 48 profesionales y un conjunto de 700 evaluadoresse realizaron:

 

  • 632 evaluaciones de títulos universitarios
  • 51 evaluaciones institucionales
  • 3.860 evaluaciones de profesorado
  • Siete estudios, entre los que destaca el estudio de Inserción Laboral que en 2017 encuestó a 27.000 graduados para valorar la calidad de su inserción laboral tres años después de finalizar sus estudios.

Resultados de la implantación de la ISO 27001

Si se tuviera que resumir el resultado de la implantación en un solo documento sería en el Plan de Tratamiento de Riesgos, herramienta clave de gestión que engloba y recoge el conjunto de acciones que deben realizarse. Se incluyen todo tipo de acciones: formación, documentación, gestión y especialmente un gran conjunto de acciones técnicas que requieren de personal adecuado y formado (especialista), así como de recursos económicos para poderlas asumir. El seguimiento constante del plan por parte del Comité de Calidad y Seguridad de la información asegura la consecución de los objetivos y la reducción del riesgo aceptado año a año.

Si bien la implantación de la ISO 27001 ha supuesto una mayor carga de trabajo, y nuevos hábitos, los beneficios son relevantes:

 

  • Sensibilización del personal sobre la seguridad de la información, con la incorporación de nuevos hábitos de trabajo.
  • Implantación de criterios y normativas para la gestión de los recursos informáticos.
  • Plan de continuidad que ha permitido analizar diferentes escenarios de riesgo, la realización de pruebas y el establecimiento de medidas en un plan de contingencia.
  • Nuevos requerimientos técnicos que garantizan la disponibilidad, integridad y confidencialidad y aportan orden y seguridad en el trabajo diario: incorporación de controles de seguridad en la red y los equipos de AQU, así como medidas para garantizar el funcionamiento de estos controles; incorporación de los controles de seguridad en el diseño de los desarrollos de las aplicaciones; incremento de las herramientas de monitoreo, análisis de las situaciones y anticipación de problemas; definición de procedimientos, workflows y controles de las tareas de los técnicos de sistemas; y formación continuada de los técnicos de sistemas en materia de seguridad de la información.

 

Por último, hay que destacar que la implantación y la aplicación de la ISO 27001 han facilitado enormemente la transición a la nueva versión de la ISO 9001:2015. En concreto hay que subrayar el conocimiento de la nueva estructura de la norma, la experiencia obtenida en la gestión de riesgos, el análisis del contexto, y la comprensión de las necesidades y expectativas de las partes interesadas realizado.

Números anteriores

Consulta números anteriores en esta sección, los números a partir de marzo de 2018 están disponibles en versión Online y todos están disponibles para descarga en PDF. Utiliza los cursores o desplace las revistas para acceder a los contenidos.
Utilizamos cookies propias y de terceros con finalidades analíticas y para mostrarte publicidad relacionada con tus preferencias a partir de tus hábitos de navegación y tu perfil. Puedes configurar o rechazar las cookies haciendo click en “Configuración de cookies”. También puedes aceptar todas las cookies pulsando el botón “Aceptar todas las cookies”. Para más información puedes visitar nuestra Política de Cookies.