ISO/IEC 27001 para pequeñas empresas: consejos prácticos

23 11 2010

ISO y IEC han lanzado un manual para las PYME sobre cómo lograr los beneficios de implementar un Sistema de Gestión de Seguridad de la Información (SGSI) basado en ISO/IEC 27001, con consejos prácticos paso a paso.

En el prólogo aparece: “Un SGSI basado en ISO/IEC 27001:2005 puede potenciar a las pequeñas empresas para competir con éxito en los mercados globalizados de hoy. Este manual está destinado a proporcionar la llave para abrir la puerta.”

Los consejos que se dan se basan en la premisa de que la información es un activo que añade valor a una organización y por lo tanto debe ser protegida. La seguridad de la información protege ésta a fin de garantizar la continuidad del negocio, maximizar el retorno de las inversiones y generar oportunidades de negocio. Un SGSI proporciona un enfoque sistemático para la gestión de la información confidencial de la empresa para que siga siendo segura. Abarca las personas, procesos y sistemas de tecnología de la información.

ISO/IEC 27001:2005 especifica los procesos para permitir a una organización establecer, implementar, revisar y controlar, administrar y mantener un SGSI eficaz.

El manual puede obtenerse aquí.


Comentarios : Deja un Comentario »
Etiquetas: , ,
Categorías : Normas y estándares, Seguridad de la información

Lean … o simplemente pragmatismo y sentido común

1 09 2009

Que el sector TIC es de los más inflacionistas de nuestro entorno es algo prácticamente fuera de toda duda. En los últimos tiempos, sin embargo, dicha inflación está tomando aires de exponencialidad, quizás no en lo estrictamente tecnológico pero sí en lo que respecta a las siglas y los “conceptos”.

Sólo hay que mirar un poco hacia atrás para ver como el marketing alrededor del sector propugnó lo novedoso de los servicios Web (WS) hace unos años. Al poco tiempo casi quedaron eclipsados por las arquitecturas orientadas a servicios (SOA), más recientemente por el software como servicio (SaaS), la computación en la nube (cloud computing), etc. Ninguno de estos conceptos es exactamente lo mismo que los otros, ni se substituyen en entre sí tecnológicamente hablando, se trata más bien de evoluciones naturales, … Sin embargo la maquinaria del mercado acaba generando momentum, o hype como gusta a la prensa americana, alrededor de cada nueva sigla (tenga un nuevo concepto asociado detrás o no).

Por otra parte, esta dinámica inflacionista, provoca cierta apetencia por adoptar términos provenientes de otros sectores. Dichos términos tienen un contenido real y original en su sector de origen, pero no siempre lo acaban teniendo al traerlos al contexto TIC, por lo menos no como para crear productos, servicios, cursos, etc. O al menos así lo vemos.

Uno de los términos que ha aparecido en el espectro recientemente es el término Lean, aplicado en diversas formas como Lean IT, Lean IT Service Management, etc. El término proviene del Lean Manufacturing o Lean Production, como filosofía genérica de gestión de procesos, términos acuñados anos después de que Toyota idease una forma de producción eficaz y eficiente, eliminado lo superfluo de sus procesos.

Por supuesto, todo ello puede aplicarse a la implementación de servicios TI, a su gestión, al desarrollo de software, a la gestión de proyectos, etc. sobre todo debido a dos factores:

  1. De un tiempo a esta parte es cada vez más frecuente pensar en TI en base a procesos, sobre todo desde la irrupción en masa de frameworks de buenas prácticas, normas y estándares de gestión, e.g. CMMI, ITIL, COBIT, ISO 20000, ISO 27000, etc.
  2. Estamos en plena crisis económica.

Dicho simplemente: hay mucho escepticismo sobre la aplicabilidad práctica y el éxito de todos esos frameworks que resultan muy complejos a los no iniciados (los clientes), y debido a la crisis económica todo lo que suene a reducir, simplificar, … ahorrar, es más que bienvenido (por los clientes).

Así pues, lo Lean se ha convertido en un poderoso argumento de marketing (otra vez) para que algunos vendan “nuevos” productos de gestión y “nuevos” servicios de consultoría, re-etiquetados pero que, muy probablemente, no son sustancialmente diferentes a lo que ya se venía ofreciendo.

¿O es que alguien prestaba servicios de adaptación de procesos a ITIL, por ejemplo, y lo hacía siguiendo al pie de la letra lo que ponía el manual correspondiente, sin entrar a comprender el negocio del cliente, su cultura organizativa, etc., y consecuentemente eliminado del modelo todo aquello que no aplicaba, no encajaba, etc.?

¿No será simplemente que el pragmatismo y el sentido común ahora tienen una etiqueta? ¿Una etiqueta más vendible?

Son suficientes preguntas para la reflexión, pero para ayudar en ella, ahí van un par de citas:

Todo lo que hemos aprendido en la era industrial se ha orientado a crear más y más complicaciones. Pienso que ahora cada vez más gente está entendiendo que lo mejor es simplificar, no complicar. La simplicidad es la máxima sofisticación.
John Sculley, Ex CEO de Apple y ex Vicepresidente de Pepsi.

Y del libro “The power of simplicity“:
… la vida profesional es mucho más sencilla de lo que muchos creen. Lo que pasa es que hay demasiada gente dedicada a complicarla…
Y más adelante da una receta simple y compleja a la vez para sobreponerse a la situación. A saber:
… simplificar lo complejo y, sobretodo, no complicar lo simple“.
Jack Trout, Presidente de Trout & Partners.

Lo dicho, no hace falta tanto marketing, tanta fachada, para proporcionar valores que deberían ser consustanciales a la propia consultoría: el pragmatismo y el sentido común, para aplicar lo esencial, lo que aplica, lo que tiene valor y nada más.


Comentarios : Deja un Comentario »
Etiquetas: , , , , ,
Categorías : Dirección SI/TI, Gestión de servicios TI

Avanza2: Sesiones informativas sobre certificaciones en el ámbito TIC

21 04 2009

La Asociación de Empresas de Tecnologías de la Información y Comunicaciones de España (AETIC), concretamente AETIC Cataluña, organiza junto a varias entidades una serie de sesiones informativas sobre las ayudas del Plan Avanza 2 para la obtención de los siguientes modelos de certificación:

  • CMMI – Capability Maturity Model Integration, niveles 2 a 5.
  • ISO 15504 – Tecnologías de la Información. Proceso de valoración del Software (SPICE – Software Process Improvement and Capability Determination), niveles 2 a 5.
  • ISO 9001:2000 – Sistemas de gestión de la calidad.
  • UNE-ISO 20000-1:2005 – Tecnologías de la Información. Gestión del Servicio TI.
  • ISO 27001:2005 – Tecnologías de la Información. Gestión de la Seguridad de la Información.

banner_avanza2separado2

El Plan Avanza 2, en su Subprograma Avanza I+D, contempla ayudas para proyectos de modernización de las PYMEs del sector TIC, destinadas a la obtención de certificaciones en los ámbitos de la calidad del software, la gestión del servicio TI y la seguridad de la información. El objetivo de las sesiones informativas es dar a conocer estas ayudas, así como el procedimiento para acceder a ellas.

logo_aeticAETIC agrupará empresas (mínimo 6 y máximo 20) que soliciten el mismo modelo de certificación, para pedir y gestionar conjuntamente las ayudas del Ministerio.

Calendario de las sesiones:

  • 21 de abril AETIC, Barcelona.
  • 22 de abril 22@Network, Barcelona.
  • 30 de abril Foment del Treball, Barcelona.
  • 30 de abril Aseitec, Barcelona.
  • 6 de mayo Cambra de Comerç, Girona.

Para inscribirse en las sesiones u obtener información adicional contactar con AETIC.


Comentarios : Deja un Comentario »
Etiquetas: , , , , ,
Categorías : Eventos, Normas y estándares, Noticias

Plan Avanza2: Ayudas para la obtención de certificaciones

12 03 2009

Uno de los principales ejes de actuación del Plan Avanza2 (2009-2012) se centra en fomentar los proyectos de Innovación (Subprograma Avanza I+D), en materia de procesos y de organización en la PYME Española. Pará ello se ofrece ayudas a las PYMES en la obtención de certificaciones en las áreas de Calidad del software (ISO 9001, CMMI, SPICE), la Gestión de los Servicios TI (ISO 20000) y la Gestión de la Seguridad (ISO 27001).

Las ayudas se ofrecen a proyectos en cooperación, de entre 6 y 20 PYMES. Cada proyecto debe orientarse a un solo tipo de certificación. La ayuda se consigue antes de empezar el proyecto, pero su concesión definitiva es vinculante a la obtención de la certificación que se haya elegido como objetivo.

Las ayudas orientativas son:

  • ISO/IEC 27001                     19.000 €
  • UNE-ISO/IEC 20000-1          20.000 €
  • ISO 9001                               6.000 €
  • CMMI o SPICE 2                     20.000 €
  • CMMI o SPICE 3                     25.000 €
  • CMMI o SPICE 4                     30.000 €
  • CMMI o SPICE 5                     35.000 €

Toda la información de la convocatoria 2009 puede encontrarse aquí .


Comentarios : Deja un Comentario »
Etiquetas: , , , , ,
Categorías : Calidad, Gestión de servicios TI, Normas y estándares, Organizaciones, Seguridad de la información

Certificación ISO/IEC 27001 Lead Auditor

10 03 2009

Marco A. Peña, socio-director de TATAKI, obtiene la certificación ISO/IEC 27001 Lead Auditor otorgada por BSI, British Standards Institution, según el programa de formación acreditado (IRCA 2016) por el International Register of Certificated Auditors (IRCA).

logo_bsi_irca

ISO/IEC 27001 es la única norma internacional auditable que define los requisitos para un sistema de gestión de la seguridad de la información (SGSI). Concebida para garantizar la selección de controles de seguridad adecuados y proporcionales, lo que contribuye a proteger los activos de información y otorgar confianza a las partes interesadas, sobre todo a los clientes. La norma adopta un enfoque por procesos para establecer, implantar, operar, supervisar, revisar, mantener y mejorar un SGSI.


Comentarios : 4 Comentarios »
Etiquetas: , , ,
Categorías : Formación, Seguridad de la información, TATAKI

« Entradas anteriores


Seguir

Get every new post delivered to your Inbox.