ISMS la otorga a aquellos profesionales con un alto nivel de especialización en privacidad, especialmente en la normativa española en material de Protección de Datos de carácter personal (LOPD). La obtención del título obliga a superar un exámen y acreditar tres años de experiencia en el ámbito de la Privacidad y la Protección de datos. Hasta el pasado 31 de diciembre, se ha podido obtener alternativamente mediante la acreditación de méritos académicos y profesionales (grandfathering).

La certificación está dirigida a directores de seguridad, responsables de privacidad, gestores de protección de datos, consultores, abogados y técnicos de seguridad y de sistemas con responsabilidades en esta área de creciente importancia en todo tipo de organizaciones.

En el prólogo aparece: “Un SGSI basado en ISO/IEC 27001:2005 puede potenciar a las pequeñas empresas para competir con éxito en los mercados globalizados de hoy. Este manual está destinado a proporcionar la llave para abrir la puerta.”

Los consejos que se dan se basan en la premisa de que la información es un activo que añade valor a una organización y por lo tanto debe ser protegida. La seguridad de la información protege ésta a fin de garantizar la continuidad del negocio, maximizar el retorno de las inversiones y generar oportunidades de negocio. Un SGSI proporciona un enfoque sistemático para la gestión de la información confidencial de la empresa para que siga siendo segura. Abarca las personas, procesos y sistemas de tecnología de la información.

ISO/IEC 27001:2005 especifica los procesos para permitir a una organización establecer, implementar, revisar y controlar, administrar y mantener un SGSI eficaz.

El manual puede obtenerse aquí.

El temario se estructura en torno a los siete dominios que componen el corpus de conocimiento de la certificación, a saber:

• Fundamentos de la protección de datos
• Marco general de la protección de datos en España
• Marco sectorial de la protección de datos en España
• Marco internacional y de la Unión Europea
• Protección de los activos de información
• Gestión y respuesta ante incidentes
• Control y auditoría de los sistemas de información

El primer examen se celebrará el próximo 19 de junio en Madrid, Barcelona y Valencia y la inscripción ya está abierta en la página web de ISMS hasta el 31 de mayo.

Las ayudas concedidas a las PYMES TIC para apoyar la certificación dentro del Plan Avanza 2006-2010, puesto en marcha por la Secretaria de Estado de Telecomunicaciones y para la Sociedad de la Información han jugado un papel importante en este resultado. Así lo atestigua el balance final de la convocatoria de ayudas del año 2008, que muestra una tendencia de consolidación en el interés de las PYMES en abordar la certificación, como un elemento no sólo de prestigio, sino de utilidad real a la hora de acometer sus procesos de negocio.

En la búsqueda de la certificación de la calidad, la empresa española apunta a CMMI (Capability Maturity Model Integration) como el modelo más valorado en la actualidad. Esta apuesta por CMMI se traduce en un incremento constante del número de organizaciones evaluadas en CMMI en España en los últimos años. Según el último informe publicado por el SEI (Software Engineering Institute) correspondiente a septiembre de 2009, contamos en nuestro país con 155 organizaciones evaluadas, frente a un número que no alcanzaba la decena a comienzos del 2005, fecha en la que el Plan Avanza comienza su andadura. España, de esta forma, se posiciona a la cabeza de Europa, superando a Francia (153 organizaciones evaluadas) que hasta la fecha ostentaba el liderazgo europeo. A nivel mundial, España ocupa la quinta posición, por detrás de Estados Unidos (1405), China (946), India (460) y Japón (290).

INTECO, y concretamente el Laboratorio Nacional de Calidad del Software, también pretende respaldar y contribuir a esta tendencia, con iniciativas como la colaboración en la traducción al castellano de CMMI o en la elaboración, junto con la Asociación Española para la Calidad, de una guía de gestión de proyectos basada en CMMI y adaptada a la pequeña empresa.

La jornada que tenía como subtítulo “Continuidad de Negocio, el ser o no ser de una organización”, sirvió para poner de manifiesto los avances realizados a nivel mundial, durante el pasado año, en la adopción de la norma BS 25999 como estándar para dotar de mecanismos de continuidad de negocio a las organizaciones (BS 25999-1) e implementar un sistema de gestión para ello (BS 25999-2). Recordemos que no hace aún un año desde la presentación de la norma en España.

La jornada sirvió también para trasladar a los asistentes diversas experiencias prácticas en la implantación de mecanismos de continuidad de negocio. Las ponencias en este sentido han corrido a cargo de Julio San José, Gerente de Seguridad de Bankinter (primera y única empresa española certificada BS 25999-2); Roger McLoughlin, Continuity & Risk Assurance Specialist de Vodafone UK; y Tomás Roy y David Forner del Centre de Telecomunicacions i Tecnologies de la Informació (CTTI) de la Generalitat de Catalunya.

Algunos de los datos presentados y conclusiones de la jornada fueron los siguientes:

• BCI y BSI, lejos de competir, muestran un enfoque complementario y perfectamente alineado, como partners. 
• En este sentido, la última guía de buenas prácticas de continuidad de negocio que ha publicado BCI, ya ha sido recientemente adaptada al vocabulario y principios de la BS 25999-1.
• Actualmente hay 50 organizaciones en todo el mundo que han certificado sus sistemas de gestión de la continuidad de negocio contra la norma BS 25999-2. Hay 100 organizaciones más en proceso de certificación.
• Se confirma que la norma BS 25777  de continuidad de TI no va a tener una parte certificable. Su propósito será sólo el de complementar la BS 25999-1 aportando buenas prácticas en el ámbito específico de continuidad de TI.

Así mismo, se constataron diversos problemas en los procesos de implantación de un Sistema de Gestión de la Continuidad de Negocio (SGCN), entre los que destacamos:

• Confusión. Sigue confundiéndose continuidad de negocio con continuidad de TI, planes de continuidad de negocio con planes de recuperación de desastres, etc. Lo que indica que es preciso seguir fomentando la divulgación de estos conceptos.
• BIA. Existe muy poca información, y menos en la norma, sobre cómo realizar el Business Impact Analysis (BIA), parte fundamental del proceso de implantación del SGCN. En este sentido se apunta a los consejos de la guía del BCI como un buen punto de partida.
• Análisis de riesgos. Al igual que sucede con el análisis de riesgos en un SGSI, se constata un cultura bastante pobre al respecto de los conceptos asociados y su aplicación práctica en continuidad de negocio.
• Alcance de la certificación. Muchas organizaciones certificadas lo están haciendo con un alcance “estrecho”. Esto es un problema si tras obtener la certificación no se amplía progresivamente el alcance. En todo caso, sí es recomendable empezar con el tema de forma progresiva.

Finalmente, y quizás una de las conclusiones que más debiera hacernos reflexionar, es que ya son varias las organizaciones que están adoptando los principios de la continuidad de negocio como modelo de gestión del negocio en su conjunto. Y es que garantizar el servicio continuado a los clientes es una buena forma de garantizar el mantenimiento de los ingresos y una alta reputación. En este sentido, la certificación frente a una norma estándar, aparece como un paso más del proceso de mejora continua en dicha forma de gestión, permitiendo demostrar periódicamente a todos los stakeholders el compromiso con ellos, de manera objetiva y por boca de un tercero independiente. Así pues, parece que la gestión de la continuidad de negocio podría tornarse en una poderosa herramienta de gobernanza.

Para acabar una cita de Charles Darwin que resume muy bien el concepto de resilencia que subyace en los mecanismo de gestión de la continuidad:

“It is not the strongest of the species that survives, nor the most intelligent that survives. It is the one that is the most adaptable to change.”

• CMMI – Capability Maturity Model Integration, niveles 2 a 5.
• ISO 15504 – Tecnologías de la Información. Proceso de valoración del Software (SPICE – Software Process Improvement and Capability Determination), niveles 2 a 5.
• ISO 9001:2000 – Sistemas de gestión de la calidad.
• UNE-ISO 20000-1:2005 – Tecnologías de la Información. Gestión del Servicio TI.
• ISO 27001:2005 – Tecnologías de la Información. Gestión de la Seguridad de la Información.

El Plan Avanza 2, en su Subprograma Avanza I+D, contempla ayudas para proyectos de modernización de las PYMEs del sector TIC, destinadas a la obtención de certificaciones en los ámbitos de la calidad del software, la gestión del servicio TI y la seguridad de la información. El objetivo de las sesiones informativas es dar a conocer estas ayudas, así como el procedimiento para acceder a ellas.

AETIC agrupará empresas (mínimo 6 y máximo 20) que soliciten el mismo modelo de certificación, para pedir y gestionar conjuntamente las ayudas del Ministerio.

Calendario de las sesiones:

• 21 de abril AETIC, Barcelona.
• 22 de abril 22@Network, Barcelona.
• 30 de abril Foment del Treball, Barcelona.
• 30 de abril Aseitec, Barcelona.
• 6 de mayo Cambra de Comerç, Girona.

Para inscribirse en las sesiones u obtener información adicional contactar con AETIC.

Las ayudas se ofrecen a proyectos en cooperación, de entre 6 y 20 PYMES. Cada proyecto debe orientarse a un solo tipo de certificación. La ayuda se consigue antes de empezar el proyecto, pero su concesión definitiva es vinculante a la obtención de la certificación que se haya elegido como objetivo.

Las ayudas orientativas son:

• ISO/IEC 27001                     19.000 €
• UNE-ISO/IEC 20000-1          20.000 €
• ISO 9001                               6.000 €
• CMMI o SPICE 2                     20.000 €
• CMMI o SPICE 3                     25.000 €
• CMMI o SPICE 4                     30.000 €
• CMMI o SPICE 5                     35.000 €

Toda la información de la convocatoria 2009 puede encontrarse aquí .

Sin embargo, aún hoy existe cierta confusión al respecto de lo que significa “Gestión de la Continuidad de Negocio”. Y es que hemos podido constatar cómo a menudo ésta se relaciona directa, incluso exclusivamente, con los planes de continuidad TI. Es evidente que las TI son fundamentales para la continuidad del negocio de muchas organizaciones, sin embargo no lo son en todos los casos, ni la garantía de su continuidad, por sí misma, garantiza siempre la del negocio. La continuidad de éste tiene mucho más que ver con la gestión de la información, el conocimiento, las relaciones, etc.

Pero volvamos a lo esencial, y es que la interrupción de las TI en una organización puede representar un gran riesgo para ésta, pudiendo afectar gravemente a las operaciones, socavar su reputación pública, etc. Así pues, y dadas sus peculiaridades, es preciso disponer de procesos de Gestión de la Continuidad TI (GCTI) que den soporte específico a la GCN, asegurándose de que las infraestructuras y los servicios TI son robustos ante las amenazas y, cuando menos, en caso de interrupción pueden recuperarse en un marco temporal de acuerdo a las necesidades del negocio. Justamente éste es el propósito de la, recién publicada, norma BS 25777:2008. Esto es, proporcionar recomendaciones al respecto de la gestión de la continuidad TI, allí donde la norma BS 25999-1 no proporcionaba el detalle suficiente, dado su enfoque primordial en el negocio.

El origen de esta nueva norma se sitúa en 2006 cuando el British Standards Institution (BSI) publicó, en colaboración con diversas empresas del sector TI, un documento denominado PAS 77, como código de buenas prácticas para crear un plan de continuidad de servicios de TI. Originalmente se pensó en desarrollar el estándar BS 25777 a partir de PAS 77 en dos partes entre 2008 y 2009. Por una parte, BS 25777-1, como código de buenas prácticas sobre cómo abordar la gestión de la continuidad de servicios TI en una organización. Por otra parte, BS 25777-2, que especificaría los requisitos para establecer, implementar, operar, supervisar, revisar, probar, mantener y mejorar un sistema de gestión de continuidad de servicios TI, además de permitir auditar y certificar los sistemas de gestión de las organizaciones. La norma publicada el 31 de diciembre de 2008 corresponde a la primera parte, pero, a la vista de la numeración con la que se ha publicado y lo que se comenta en el sector, es posible que la segunda parte no llegue nunca, dando por bueno lo que al respecto ya especifica la norma BS 25999-2.

Así pues, habrá que ver cómo evoluciona esta nueva norma, qué grado de acogida tiene por sí misma, o si sólo la veremos en el contexto de la implementación de su hermana mayor la BS 25999. Por otra parte, será interesante ver hasta qué punto encaja con las buenas práctica recogidas en el proceso de Gestión de la Continuidad del Servicio TI de ITIL o con los objetivos de control de la ISO 27001 al respecto de la Gestión de la Continuidad de Negocio, por ejemplo.

Hace varios años que la SOX traspasó fronteras y hoy existen ya versiones de la misma normativa fuera de EEUU: existe la J-SOX (desde mediados del 2006) con el mismo propósito para Japón y la EuroSOX para la comunidad europea. Esta última cubre las directivas europeas de Auditoría Estatuaria y Representación de Informes de la Compañía.

La dirección de TI ocupa un importante papel a la hora de ayudar en el cumplimento de la SOX. Mediante el uso de mecanismos de control y gestión tales como los que proporcionan Committee of Sponsoring Organizations of the Treadway Commission (COSO),  Control Objectives for Information and related Technology (CoBIT) e Information Technology Infrastructure Library (ITIL) es posible implementar controles, identificar flujos, responsabilidades, …, que ayuden a monitorizar y mejorar dichos procesos de trabajo.

Dada la coyuntura actual, con una crisis financiera mundial y los numerosos casos de fraude como el de Bernard Madoff, que están apareciendo recientemente, es hora de reflexionar sobre qué está fallando. Lo que sí parece claro, es que disponer de estándares de control no és lo único necesario para garantizar el buen hacer de las empresas y el cumplimiento de las Leyes.

Esta nueva norma fija los estándares para una buena gestión de los procesos y decisiones empresariales relacionados con los servicios de información y comunicación que, suelen estar gestionados tanto por especialistas en SI/TI internos o ubicados en otras unidades de negocio de la organización, como por proveedores de servicios externos.

En esencia, todo lo que esta norma propone puede resumirse en tres propósitos fundamentales:

• Asegurar que, si la norma es seguida de manera adecuada, las partes implicadas (directivos, consultores, ingenieros, proveedores de hardware, auditores, etc.), puedan confiar en el gobierno corporativo de TI.
• Informar y orientar a los directores que controlan el uso de los SI/TI en su organización.
• Proporcionar una base para la evaluación objetiva por parte de la alta dirección de la gestión de las TI.

Marco de gobierno de TI

Así mismo, la norma alienta a adoptar un conjunto de medidas de mínimos para que la organización pueda obtener sus objetivos de TI. Dichos mínimos se traducen en 6 principios básicos:

1. El establecimiento de responsabilidades
2. Una buena planificación del apoyo a la mejora de la organización
3. La adquisición de bienes de TI adecuados
4. Calidad en el funcionamiento de los sistemas de TI
5. La garantía de conformidad legal o normativa
6. La implicación del factor humano así como el respeto al mismo

Cabe destacar dos de ellos.

Por una parte, la conformidad con el entorno legal es una necesidad creciente en el contexto de los SI/TI de organizaciones de cualquier tamaño, ya que existe una gran cantidad de legislación que regula el uso de la información, sus comunicaciones, etc. y que no puede obviarse.

Por otra parte, visto aquí parece obvio, pero el factor humano suele tratarse de manera muy tangencial en muchas estrategias empresariales y, sobre todo, de SI/TI. Por fortuna, esta norma, al igual que la ISO 27001 por ejemplo, lo incorpora como un pilar fundamental más.

Aunque esta norma nace inspirada en normas similares que el gobierno australiano viene impulsando desde hace tiempo, la ISO/IEC 38500:2008 es todavía muy nueva en su forma actual, así que habrá que esperar cierto tiempo para ver qué calado consigue. Estaremos expectantes.