22 diciembre 2006
Feliz Navidad y Próspero 2007!
Feliz navidad a todos, y hasta el año que viene.
Zorionak, eta urte berri on.
Nos vemos,
Joseba
19 diciembre 2006
Gestión de la Continuidad de Negocio
Esta norma viene a dar respuesta a las crecientes necesidades del mercado de contar con una guía válida para este tipo de actividades, puesto que ni la SS507:2004 (estándar de Singapur para los proveedores de servicios de BC/DR) ni la guía británica PAS 56:2003 (también editada por BSI) cubrían adecuadamente las necesidades corporativas actuales. La norma, que durante algún tiempo se especuló que podría publicarse como norma ISO bajo el número 27006, cubre todos los aspectos relacionados con las mejores prácticas de la industria en materia de gestión de la continuidad a nivel global, y va desde el propio sistema de gestión a nivel de gobierno corporativo hasta los requisitos de negocio asociados a los sistemas de información, entre otros muchos aspectos.
En esta línea, se espera que para mediados de 2007 se publique la parte 2 de la norma, en la que ya se especificarán los requisitos que debe tener un Sistema de Gestión de la Continuidad del Negocio, y por lo tanto será certificable. ¿Cuánto tardarán estas normas en llegar a ser normas ISO? En realidad nadie lo sabe, pero dados los antecedentes de BSI y las exigencias del mercado en este tipo de iniciativas, es probable que los plazos sean realmente breves, si no se interponen otro tipo de intereses "colaterales".
Problemas de confianza
Tal y como señalaba Diario TI hace unos días en esta noticia, el mayor riesgo percibido por las organizaciones proviene del interior. Sencillamente, los directivos no confían en sus propias organizaciones, y ponen en duda la capacidad de mantener la confidencialidad tanto a nivel interno como de cara a sus clientes y colaboradores. Evidentemente, esto supone un grave problema en términos de confianza y credibilidad de la propia compañía, dada la repercusión que puede tener este hecho a nivel de negocio.
El propio artículo identifica algunos de los elementos asociados a esta falta de confianza, como son:
- No se definen roles y responsabilidades encaminados a garantizar la confianza de clientes y colaboradores.
- Se aprecia una falta de formación de los directivos en este ámbito.
- No existe una visión conjunta de los elementos que favorecen esta confianza.
- No se dedican recursos de forma adecuada para logran un aumento de dicha confianza.
Evidentemente, este panorama no es nuevo, y probablemente todos conoceremos ejemplos concretos en los que se pueden aplicar estos y otros criterios. Desde mi punto de vista, este es uno de los principales motivos por los que los SGSIs están teniendo un auge tan importante: las empresas buscan algún salvavidas al que aferrarse, que les permita librarse de la sensación de inseguridad que se cierne sobre ellas. Y resulta que la ISO 27001, entre otros aspectos, resulve todos los citados anteriormente...
12 diciembre 2006
Introducción a la continuidad de negocio
El artículo, dividido en cuatro secciones (1 - 2 - 3 - 4), explica la transición que se está llevando a cabo en el mundo empresarial actual desde el backup hacia la continuidad de negocio. El artículo comienza con una breve exposición de algunos motivos de dicho cambio, y continúa con una breve exposición de los servicios que las empresas están empezando a ofrecer para dar respuesta a estas necesidades. En su tercer apartado profundiza en las características básicas que definen los requisitos para desarrollar un completo Plan de Continuidad de Negocio, y en su último apartado se presentan distintas soluciones de cada uno de estos fabricantes de acuerdo con dichas necesidades.
En definitiva, es un artículo que probablemente no aporte nada nuevo a quienes ya están metidos de lleno en el mundo de la continuidad de negocio, pero que supone una perfecta introducción a todos los profanos en la materia que quieran informarse, en pocas líneas, sobre cómo se mueve este mundillo y cuál es el estado del arte en este campo.
11 diciembre 2006
El secreto de los mejores
- Existe una política para evitar la realización de cambios no autorizados
- Se han definido y comunicado claramente las consecuencias para aquellos que realicen cambios no autorizados de forma voluntaria
Así de sencillo. Una estricta gestión de cambios, tanto a nivel de definición como de cumplimiento. Que cómo se consigue? Con disciplina, según el autor. Que no tiene por qué ser lo mismo que con régimen disciplinario. Convencer es preferible a vencer, y más en estos temas.
Y qué deben hacer las organizaciones que únicamente aspiran a mejorar su gestión TIC? Pues según parece, una buena idea podría ser la de comenzar por implantar un proceso de gestión de cambios...
Carencias de ITIL
- ITIL no tiene un modelo de madurez.
- Las métricas que propone son pobres y obsoletas.
- No contempla la gestión de requerimientos.
- No contempla el proceso de operaciones.
- La seguridad sufre un tratamiento muy deficiente.
- No contempla el ciclo de vida de los servicios.
- No contempla la gestión de proveedores.
- No integra desarrollo y sistemas.
- No se contemplan adecuadamente los pasos a producción.
- No presenta ningún programa de gestión de proyectos propio.
- No llega a muchos aspectos relativos a la gestión de personas.
- Prácticamente no habla de planes estratégicos de IT.
- No contempla la gestión de riesgos.
- No habla de la finalización del servicio.
- No presenta guías ni ejemplos de implantación.
En caso de que alguien quiera profundizar un poco más, le remito al post inicial. Creo que el autor se merece que este post sea consultado in-situ en su blog.
Por lo demás, sólo quiero destacar dos aspectos. El primero, que no hay que tirarse de los pelos, ya que estas carencias son bastante conocidas y, en mayor o menor medida, resueltas en otras metodologías, como bien refleja el post original. Y el segundo, que no sólo los elementos señalados, sino también muchos otros, son comunes a otros sistemas de gestión como los SGSIs o los BCMS (Sistemas de Gestión de la Continuidad del Negocio). Por lo tanto, y hasta la aparición de un buen sistema de gestión integrado que recoja de forma unificada todos estos requerimientos dispersos, la adopción de metodologías complementarias a ITIL ya permite, a muchas organizaciones, suplir las deficiencias que aquí se presentan.
07 diciembre 2006
Certificados ISO 27001 en España
A día de hoy, todavía no se ha publicado una norma específica que permita acreditar los esquemas de certificación de ISO 27001. Dicha norma será la ISO 27006, y se espera su publicación para principios (o mediados) del año que viene. En la práctica, esto supone que a día de hoy no hay una norma internacional que permita a las entidades de acreditación (ENAC, en este caso) acreditar certificados bajo ISO 27001. Sin embargo, la mitad de los certificados ISO 27001 expedidos en España llevar acreditación UKAS. Por qué UKAS sí que ha sido capaz de acreditar certificados ISO27001?
UKAS ha utilizado una adaptación de la EN45012, la norma para acreditar los esquemas de certificación de ISO 9001, para acreditar las certificaciones de BS7799-2 en el pasado y las de ISO 27001 en la actualidad. Esta misma norma modificada ha sido adoptada por otras entidades de acreditación, tanto en Europa como en Asia, pero ENAC no se sumó al acuerdo. Probablemente, esto se debiera a que esta norma (EN45012 adaptada para SGSIs) fue impulsada por el ISMS International User Group (ISMS IUG) para poder acreditar las certificaciones bajo BS7799-2, mientras que en España se trabajaba en su versión nacional alternativa, la UNE 71502.
El resultado final es que, por el motivo que sea, ENAC no ha suscrito el MLA que permite acreditar SGSIs bajo dicha norma. Y como ENAC no ha desarrollado ninguna alternativa, y la ISO 27006 todavía no está publicada, el caso es que ENAC no dispone, por el momento, de ningún esquema de acreditación que permita acreditar certificados de SGSIs, ni bajo ISO 27001 ni bajo UNE 71502.
Por lo tanto, si una entidad de certificación quiere que sus certificados de ISO 27001 estén acreditados, a día de hoy tendrá que acreditarlos contra una entidad extranjera. Estas entidades tienen, como aval adicional y elemento de marketing, el respaldo del ISMS IUG, y aparecen listadas en la web que mantiene este organismo. Este mismo organismo también es el responsable de mantener actualizada la lista de SGSIs certificados y acreditados a nivel internacional, y que puede consultarse en esta web.
Y qué ocurre con los certificados sin acreditación? Pues que la credibilidad que tienen es, por el momento, la que la sociedad les otorgue a las entidades que los expiden. Sin embargo, esto puede cambiar, ya que hay entidades de certificación, como Applus y AENOR, que están en proceso de acreditación por parte de ENAC.
Para poder acreditar un esquema de certificación se necesita tener una serie de certificados emitidos, ya que son precisamente esas auditorías de certificación las que la entidad de acreditación tiene que examinar y validar. Y cuando la acreditación sea positiva, los certificados cuyas auditorías se han evaluado para otorgar esa acreditación pasan a estar automáticamente acreditados. Por tanto, que en la actualidad existan certificados sin acreditar no quiere decir que ese mismo certificado no vaya a poder estar acreditado en un futuro.
Resumiendo: A día de hoy hay en España varios certificados ISO 27001 (y también alguno BS7799-2:2002 expedido por BSI, DQS GMBH y LSTI SAS RCS) con acreditación internacionalmente reconocida, expedidos por BSI y LRQA, que pueden consultarse en http://www.iso27001certificates.com. También hay otros certificados, expedidos principalmente por Applus+ y AENOR, que actualmente no están acreditados pero están en proceso de hacerlo (ENAC está utilizando el draft de la ISO 27006 para acelerar el proceso). Y por último, seguro que existen certificados ISO 27001 sin acreditación y que por el momento no tienen visos de tenerla.
05 diciembre 2006
Certificando al certificador
Como todos sabemos, una entidad de certificación lleva a cabo una auditoría a la empresa en cuestión y, si la supera, le otorga el certificado correspondiente. Cualquiera puede otorgar, en principio, un certificado. Lo importante es la validez que ese certificado tenga. Y eso depende, sencillamente, de la credibilidad que tenga la organización que lo ha expedido. Yo puedo montarme mi empresa CertificadoresUnidos, S.L. y certificar sistemas de gestión de la calidad bajo la norma ISO9001, por ejemplo. Pero... qué credibilidad tienen esos certificados? Sencillamente, la que me quieran dar. Soy conocido? Soy respetable? Qué nivel de credibilidad tiene que darle la sociedad a ese certificado que yo he expedido? El que tenga mi nombre.
Es probable que yo quiera darle una mayor credibilidad a mis certificados. Cómo lo puedo lograr? Pues... intentando que alguien me certifique a mí como entidad certificadora. A esto se le llama acreditación. De forma similar al caso inicial, una entidad de acreditación tendrá que llevar a cabo una auditoría a mi empresa, CertificadoresUnidos, S.L. y, si la supero, acreditarme como certificador de sistemas de gestión de la calidad bajo ISO9001. Lo que van a auditar es mi esquema de certificación, es decir, si yo realizo bien las auditorías, si tengo capacitación suficiente, si mis registros y logs son correctos, etc. Y me acreditarán para certificar SGCs bajo ISO9001 (y ninguna otra cosa más). Si quisiera certificar SGSIs, por ejemplo, tendría que obtener una nueva acreditación, que en este caso correspondería a mi esquema de certificación para SGSIs bajo la norma ISO 27001.
Ahora mis certificados tienen la misma validez que cualquier certificado de ISO 9001 que haya emitido otra empresa acreditada por la misma entidad de acreditación. En qué ámbito son válidos? En principio, en el ámbito en el que actúe la entidad de acreditación, que es el nacional. En nuestro caso, la entidad de acreditación es ENAC, y por tanto la garantía del certificado abarcaría a todo el territorio nacional. Fuera de él, la credibilidad del certificado que yo he emitido dependerá de la credibilidad que tenga ENAC como entidad acreditadora.
Pero todavía es posible llegar más allá. Para que el certificado ISO 9001 que CertificadoresUnidos, S.L. ha emitido tenga validez internacional, ENAC debe establecer acuerdos multilaterales de reconocimiento (MLAs) en foros de carácter internacional (a nivel de europa o a nivel mundial). Estos acuerdos, que se verifican mediante la realización de auditorías cruzadas entre entidades de acreditación, homologan las acreditaciones que en relación a una misma norma establecen distintas entidades de acreditación. En pocas palabras, la credibilidad de ese certificado pasa a ser internacionalmente reconocida (al nivel que alcance el MLA).
Esta explicación, que espero que haya sido clara, es aplicable para cualquier tipo de certificación, no sólo para los sistemas de gestión. Sin embargo, probablemente sea necesario explicar en qué situación se encuentran los certificados de ISO 27001 en nuestro país. Aunque lo haré en unos días en un post independiente, que creo que el tema da lo suficiente de sí.