Norma BS 25777 sobre Gestión de la Continuidad TI

9 02 2009

En junio del año pasado tuvimos la oportunidad de asistir a la presentación de la traducción al castellano de la norma BS 25999 sobre Gestión de la Continuidad de Negocio (GCN). Desde entonces se han sucedido los eventos y los artículos sobre el tema, lo que ha contribuido a la difusión de esta norma así como a su progresiva implantación y al incremento de las organizaciones certificadas en ella en nuestro entorno.

Sin embargo, aún hoy existe cierta confusión al respecto de lo que significa “Gestión de la Continuidad de Negocio”. Y es que hemos podido constatar cómo a menudo ésta se relaciona directa, incluso exclusivamente, con los planes de continuidad TI. Es evidente que las TI son fundamentales para la continuidad del negocio de muchas organizaciones, sin embargo no lo son en todos los casos, ni la garantía de su continuidad, por sí misma, garantiza siempre la del negocio. La continuidad de éste tiene mucho más que ver con la gestión de la información, el conocimiento, las relaciones, etc.

Pero volvamos a lo esencial, y es que la interrupción de las TI en una organización puede representar un gran riesgo para ésta, pudiendo afectar gravemente a las operaciones, socavar su reputación pública, etc. Así pues, y dadas sus peculiaridades, es preciso disponer de procesos de Gestión de la Continuidad TI (GCTI) que den soporte específico a la GCN, asegurándose de que las infraestructuras y los servicios TI son robustos ante las amenazas y, cuando menos, en caso de interrupción pueden recuperarse en un marco temporal de acuerdo a las necesidades del negocio. Justamente éste es el propósito de la, recién publicada, norma BS 25777:2008. Esto es, proporcionar recomendaciones al respecto de la gestión de la continuidad TI, allí donde la norma BS 25999-1 no proporcionaba el detalle suficiente, dado su enfoque primordial en el negocio.

bsi_business_information

El origen de esta nueva norma se sitúa en 2006 cuando el British Standards Institution (BSI) publicó, en colaboración con diversas empresas del sector TI, un documento denominado PAS 77, como código de buenas prácticas para crear un plan de continuidad de servicios de TI. Originalmente se pensó en desarrollar el estándar BS 25777 a partir de PAS 77 en dos partes entre 2008 y 2009. Por una parte, BS 25777-1, como código de buenas prácticas sobre cómo abordar la gestión de la continuidad de servicios TI en una organización. Por otra parte, BS 25777-2, que especificaría los requisitos para establecer, implementar, operar, supervisar, revisar, probar, mantener y mejorar un sistema de gestión de continuidad de servicios TI, además de permitir auditar y certificar los sistemas de gestión de las organizaciones. La norma publicada el 31 de diciembre de 2008 corresponde a la primera parte, pero, a la vista de la numeración con la que se ha publicado y lo que se comenta en el sector, es posible que la segunda parte no llegue nunca, dando por bueno lo que al respecto ya especifica la norma BS 25999-2.

Así pues, habrá que ver cómo evoluciona esta nueva norma, qué grado de acogida tiene por sí misma, o si sólo la veremos en el contexto de la implementación de su hermana mayor la BS 25999. Por otra parte, será interesante ver hasta qué punto encaja con las buenas práctica recogidas en el proceso de Gestión de la Continuidad del Servicio TI de ITIL o con los objetivos de control de la ISO 27001 al respecto de la Gestión de la Continuidad de Negocio, por ejemplo.


Comentarios : Deja un Comentario »
Etiquetas: , , , ,
Categorías : Continuidad de negocio, Normas y estándares

IT Governance Global Status Report

15 10 2008

En los últimos tiempos el área de SI/TI está siendo inundada por diferentes normas y marcos de trabajo que tratan de llevar a la función informática hacia nuevas cotas de madurez, lo cuál está plenamente justificado dada la consabida importancia estratégica de esta área para las organizaciones.

Si bien la definición de los procesos de gestión de SI/TI se ha afrontado desde diferentes ángulos (COBIT, ISO 20000, ITIL, ISO 27001, …) se tiene la sensación generalizada de que es necesario algo más, en concreto, la función de Gobierno de TI. En este sentido, el IT Governance Global Status Report—2008 deja muy claro que el área de SI/TI todavía está lejos de poder constituirse en un departamento sólido respecto a otras funciones estructurales de toda organización. El estudio es una continuación a las encuestas del 2003 y el 2005 y da continuidad a las tendencias en TI en los cuatro últimos años.

A continuación resumimos algunos de los resultados extraídos:

  • El 93% de los encuestados dijeron que las TI son de algo a muy importantes dentro de la estrategia corporativa, lo que representa un incremento del 6% respecto al 2005.
  • Las TI están siempre presentes en la agenda del consejo directivo, de acuerdo a la opinión del 32% de los encuestados, en comparación con el 25% en el 2005.
  • El 18% de los encuestados dijeron que el departamento de TI siempre informa a la empresa acerca de oportunidades potenciales de negocio, siendo sólo el 14% en el 2005.
  • El conocimiento de la existencia del marco de trabajo de COBIT (Control de Objetivos de Información y Tecnología Relacionada) para el gobierno de las TI ya sobrepasa el 50%, lo que casi duplica el resultado de 2005.
  • El uso de COBIT se ha pasado del 8% en 2005 al 16% actualmente.
  • Como área de mejora preferente aparece el alineamiento estratégico. El 36% de los encuestados indicó que el alineamiento entre la estrategia de TI y la corporativa es mala o muy mala.

Estos resultados corresponden a encuestas realizadas a distintos perfiles (695 en 2005 y 749 en 2007) en empresas de diversos tamaños en todo el mundo (aproximadamente el 55% entre EEUU y Europa, a partes iguales), por lo que tiene una relevancia global. Si bien se aprecia una tendencia hacia el incremento en el nivel de madurez de àrea de TI en las organizaciones, también queda claro que aún hay mucho que mejorar.


Comentarios : Deja un Comentario »
Etiquetas: , , ,
Categorías : Dirección SI/TI, IT Governance

Gestión de la continuidad de negocio

30 09 2008

Las organizaciones se enfrentan a un amplio espectro de situaciones que pueden amenazar la continuidad de las actividades que permiten llevar a cabo el negocio. Algunas amenazas son provocadas deliberadamente, pero muchas otras surgen como resultado de acontecimientos internos o externos inesperados. Acontecimientos recientes demuestran que, aunque relativamente poco probables,  dichas amenazas son reales y no pueden pasarse por alto:

Distribución estadisitca de amenazas a la continuidad de negocio

Distribución estadística de amenazas a la continuidad de negocio

En la era del conocimiento, proteger los activos de información es una de las actividades más importantes que toda organización debe asumir para garantizar su supervivencia. Por ello, a menudo se piensa que la continuidad del negocio es una cuestión de seguridad de los sistemas y tecnologías de la información. Eso es cierto, pero la continuidad del negocio depende de muchos más factores, debiendo ocuparse necesariamente de aspectos organizativos, de infraestructuras, de las personas, etc. mesurando los posibles riesgos y su impacto para el negocio. El resultado debe ser un plan de continuidad de negocio (Business Continuity Plan (BCP)) que asegure la recuperación de un desastre y la continuidad de las operaciones, todo ello englobando el conjunto de la organización.

Cada vez más los reguladores, los inversores y los directivos están buscando garantías de que las organizaciones disponen de los mencionados planes, en marcha y actualizados, con el fin de reducir al mínimo cualquier perturbación de la buena marcha del negocio debida a circunstancias imprevistas. Actualmente, pues, esta es una cuestión que las organizaciones no pueden permitirse el lujo de ignorar.

Por fortuna, tanto las administraciones como organismos internacionales de estandarización están tomando cartas en el asunto y de ahí la existencia de normas como la Sarbanes-Oxley Act (SOX), la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD), la ISO/IEC 27001 para la implantación de Sistemas de Gestión de la Seguridad de la Información (SGSI) y la BS 25999 para la Gestión de la Continuidad de Negocio, entre otras. Todas ellas, en mayor o menor medida, hacen referencia a aspectos organizativos y técnicos para salvaguardar los activos de una organización, empezando por su información.

Para acabar una cita de la norma BS 25999 que, en su definición de continuidad de negocio, resume buena parte de todo lo anterior:

Proceso de gestión holístico que identifica las amenazas potenciales para una organización y el impacto en las operaciones de negocio que esas amenazas podrían causar si se materializasen, y que proporciona un escenario para la incorporación de resiliencia con la capacidad de respuesta efectiva para proteger los intereses de los accionistas, partes interesadas, la imagen, marca o actividades de valor. “ Cláusula 2.3 BS 25999-2:2007.


Comentarios : 1 comentario
Etiquetas: , , ,
Categorías : Continuidad de negocio, Normas y estándares, Seguridad de la información

ISO 27000: introducción y estado actual

29 05 2008

ISO/IEC 27000 es un conjunto de estándares desarrollados -o en fase de desarrollo- por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña.

La información es un activo vital para el éxito y la continuidad en el mercado de cualquier organización, por lo que el aseguramiento de dicha información y de los sistemas que la procesan ha de ser un objetivo de primer nivel para la organización.

Para la adecuada gestión de la seguridad de la información, es necesario implantar un sistema que aborde esta tarea de forma metódica, documentada y basada en unos objetivos claros de seguridad y una evaluación de los riesgos a los que está sometida la información de la organización.

Seguidamente se resumen las distintas normas que componen la serie ISO 27000:

  • ISO/IEC 27000 proporcionará una visión general del marco normativo y un vocabulario común  utilizado por todas las normas de la serie.
  • ISO/IEC 27001:2005. Especificaciones para la creación de un sistema de gestión de la seguridad de la información (SGSI). Publicada en 2005.
  • ISO/IEC 27002:2005. Código de buenas prácticas para la gestión de la seguridad de la información describe el conjunto de objetivos de control y controles a utilizar en la construcción de un SGSI (actualizada desde la ISO/IEC 17799:2005 y renombrada en el 2007 como ISO 27002:2005). Publicada en 2005 y renombrada en 2007.
  • ISO/IEC 27003 proporcionará una guía de implantación de la norma ISO/IEC 27001.
  • ISO/IEC 27004 describirá los criterios de medición y gestión para lograr la mejora continua y la eficacia de los SGSI.
  • ISO/IEC 27005 proporcionará criterios generales para la realización de análisis y gestión de riesgos en materia de seguridad. Se espera su publicación en breve.
  • ISO/IEC 27006:2007 es una guía para el proceso de acreditación de las entidades de certificación de los SGSI. Publicada en 2007.
  • ISO/IEC 27007 será una guía para auditar SGSI.
  • ISO/IEC TR 27008 proporcionará una guía para auditar los controles de seguridad de la norma ISO 27002:2005.
  • ISO/IEC 27010 proporcionará una guía específica para el sector de las comunicaciones y sistemas de interconexión de redes de industrias y Administraciones, a través de un conjunto de normas más detalladas que comenzarán a partir de la ISO/IEC 27011.
  • ISO/IEC 27011 será una guía para la gestión de la seguridad en telecomunicaciones (conocida también como X.1051).
  • ISO/IEC 27031 estará centrada en la continuidad de negocio.
  • ISO/IEC 27032 será una guía para la cyberseguridad.
  • ISO/IEC 27033 sustituirá a la ISO/IEC 18028, norma sobre la seguridad en redes de comunicaciones.
  • ISO/IEC 27034 proporcionará guías para la seguridad en el desarrollo de aplicaciones.
  • ISO/IEC 27799 no será estrictamente una parte de la serie ISO 27000 aunque proporcionará una guía para el desarrollo de SGSI para el sector específico de la salud.

Aunque parte de las normas ya llevan tiempo publicadas, desde no hace mucho podemos encontrar traducciones libres (no oficiales) de algunas de ellas, como la 27001 y la 27002.


Comentarios : 1 comentario
Etiquetas: , ,
Categorías : Normas y estándares

Entradas siguientes »


Seguir

Get every new post delivered to your Inbox.