22 diciembre 2006

Feliz Navidad y Próspero 2007!

Antes de irme de vacaciones, quería desear a todos los visitantes del blog una feliz navidad y un próspero año nuevo. Son fechas en las que, además de juntarnos con la familia, solemos aprovechar para hacer balance de los momentos vividos durante el año y, sobre todo, para plantear los propósitos del año venidero. Aunque sepamos que no vamos a cumplirlos! Lo bonito de estas fechas es que, por una vez, todos soñamos con un futuro mejor y, aunque sea por un instante, nos parece que realmente podemos conseguirlo. Yo sólo quiero animar a todo el mundo a que no olvide estos sueños, a que realmente trate de que se cumplan. Porque aunque no logremos alcanzar las metas fijadas, un pequeño paso en el camino soñado realmente merecerá la pena. Y en navidad, todo parece más fácil...

Feliz navidad a todos, y hasta el año que viene.

Zorionak, eta urte berri on.

Nos vemos,

Joseba

19 diciembre 2006

Gestión de la Continuidad de Negocio

El pasado 4 de Diciembre se presentó oficialmente en Londres la norma BS 25999-1:2006. Esta norma recoge los esfuerzos de BSI por desarrollar un código de buenas prácticas en materia de Gestión de la Continuidad de Negocio (BCM, Business Continuity Management).

Esta norma viene a dar respuesta a las crecientes necesidades del mercado de contar con una guía válida para este tipo de actividades, puesto que ni la SS507:2004 (estándar de Singapur para los proveedores de servicios de BC/DR) ni la guía británica PAS 56:2003 (también editada por BSI) cubrían adecuadamente las necesidades corporativas actuales. La norma, que durante algún tiempo se especuló que podría publicarse como norma ISO bajo el número 27006, cubre todos los aspectos relacionados con las mejores prácticas de la industria en materia de gestión de la continuidad a nivel global, y va desde el propio sistema de gestión a nivel de gobierno corporativo hasta los requisitos de negocio asociados a los sistemas de información, entre otros muchos aspectos.

En esta línea, se espera que para mediados de 2007 se publique la parte 2 de la norma, en la que ya se especificarán los requisitos que debe tener un Sistema de Gestión de la Continuidad del Negocio, y por lo tanto será certificable. ¿Cuánto tardarán estas normas en llegar a ser normas ISO? En realidad nadie lo sabe, pero dados los antecedentes de BSI y las exigencias del mercado en este tipo de iniciativas, es probable que los plazos sean realmente breves, si no se interponen otro tipo de intereses "colaterales".

Problemas de confianza

Estamos muy habituados a que el principal motivo por el que se hable de la seguridad sean los "ataques" externos. Cada día aparecen nuevos virus, cientos de e-mails de spam y phising inundan los buzones de correo, se difunden nuevos exploits, y cientos de crackers intentan acceder de forma ilegítima a servicios webs a lo largo de todo el ciberespacio. Y sin embargo, cada día las empresas ignoran más a menudo este tipo de amenazas. Por qué? Sencillamente, porque el mayor riesgo está en el interior.

Tal y como señalaba Diario TI hace unos días en esta noticia, el mayor riesgo percibido por las organizaciones proviene del interior. Sencillamente, los directivos no confían en sus propias organizaciones, y ponen en duda la capacidad de mantener la confidencialidad tanto a nivel interno como de cara a sus clientes y colaboradores. Evidentemente, esto supone un grave problema en términos de confianza y credibilidad de la propia compañía, dada la repercusión que puede tener este hecho a nivel de negocio.

El propio artículo identifica algunos de los elementos asociados a esta falta de confianza, como son:
  • No se definen roles y responsabilidades encaminados a garantizar la confianza de clientes y colaboradores.
  • Se aprecia una falta de formación de los directivos en este ámbito.
  • No existe una visión conjunta de los elementos que favorecen esta confianza.
  • No se dedican recursos de forma adecuada para logran un aumento de dicha confianza.

Evidentemente, este panorama no es nuevo, y probablemente todos conoceremos ejemplos concretos en los que se pueden aplicar estos y otros criterios. Desde mi punto de vista, este es uno de los principales motivos por los que los SGSIs están teniendo un auge tan importante: las empresas buscan algún salvavidas al que aferrarse, que les permita librarse de la sensación de inseguridad que se cierne sobre ellas. Y resulta que la ISO 27001, entre otros aspectos, resulve todos los citados anteriormente...

12 diciembre 2006

Introducción a la continuidad de negocio

Hoy quiero destacar un artículo publicado hace ya algún tiempo por Redes&Telecom. En él, varios representantes de diversas empresas del sector, encuadrados en distintos campos (fabricantes, consultores, integradores, ...) revisan la evolución que están sufriendo las empresas desde el punto de vista de la continuidad.

El artículo, dividido en cuatro secciones (1 - 2 - 3 - 4), explica la transición que se está llevando a cabo en el mundo empresarial actual desde el backup hacia la continuidad de negocio. El artículo comienza con una breve exposición de algunos motivos de dicho cambio, y continúa con una breve exposición de los servicios que las empresas están empezando a ofrecer para dar respuesta a estas necesidades. En su tercer apartado profundiza en las características básicas que definen los requisitos para desarrollar un completo Plan de Continuidad de Negocio, y en su último apartado se presentan distintas soluciones de cada uno de estos fabricantes de acuerdo con dichas necesidades.

En definitiva, es un artículo que probablemente no aporte nada nuevo a quienes ya están metidos de lleno en el mundo de la continuidad de negocio, pero que supone una perfecta introducción a todos los profanos en la materia que quieran informarse, en pocas líneas, sobre cómo se mueve este mundillo y cuál es el estado del arte en este campo.

11 diciembre 2006

El secreto de los mejores

Ya que hoy estoy de homenaje a Antonio Valle, no quiero dejar de destacar otro post publicado por él que, si bien ha tenido mucho menor impacto que el señalado anteriormente, me parece muy revelador. Antonio reflexiona sobre un estudio que analiza los elementos que diferencian a las buenas organizaciones en gestión TIC de las no tan buenas. La conclusión no puede ser más clara: los mejores tienen dos secretos (cito textualmente):
  • Existe una política para evitar la realización de cambios no autorizados
  • Se han definido y comunicado claramente las consecuencias para aquellos que realicen cambios no autorizados de forma voluntaria

Así de sencillo. Una estricta gestión de cambios, tanto a nivel de definición como de cumplimiento. Que cómo se consigue? Con disciplina, según el autor. Que no tiene por qué ser lo mismo que con régimen disciplinario. Convencer es preferible a vencer, y más en estos temas.

Y qué deben hacer las organizaciones que únicamente aspiran a mejorar su gestión TIC? Pues según parece, una buena idea podría ser la de comenzar por implantar un proceso de gestión de cambios...

Carencias de ITIL

Al igual que otros muchos blogs, no puedo sino hacer mención al fantástico post publicado por Antonio Valle en su blog. En él detalla algunos ámbitos en los que la archiconocida ITIL presenta carencias. Los aspectos que señala son, resumiendo, los siguientes:
  1. ITIL no tiene un modelo de madurez.
  2. Las métricas que propone son pobres y obsoletas.
  3. No contempla la gestión de requerimientos.
  4. No contempla el proceso de operaciones.
  5. La seguridad sufre un tratamiento muy deficiente.
  6. No contempla el ciclo de vida de los servicios.
  7. No contempla la gestión de proveedores.
  8. No integra desarrollo y sistemas.
  9. No se contemplan adecuadamente los pasos a producción.
  10. No presenta ningún programa de gestión de proyectos propio.
  11. No llega a muchos aspectos relativos a la gestión de personas.
  12. Prácticamente no habla de planes estratégicos de IT.
  13. No contempla la gestión de riesgos.
  14. No habla de la finalización del servicio.
  15. No presenta guías ni ejemplos de implantación.

En caso de que alguien quiera profundizar un poco más, le remito al post inicial. Creo que el autor se merece que este post sea consultado in-situ en su blog.

Por lo demás, sólo quiero destacar dos aspectos. El primero, que no hay que tirarse de los pelos, ya que estas carencias son bastante conocidas y, en mayor o menor medida, resueltas en otras metodologías, como bien refleja el post original. Y el segundo, que no sólo los elementos señalados, sino también muchos otros, son comunes a otros sistemas de gestión como los SGSIs o los BCMS (Sistemas de Gestión de la Continuidad del Negocio). Por lo tanto, y hasta la aparición de un buen sistema de gestión integrado que recoja de forma unificada todos estos requerimientos dispersos, la adopción de metodologías complementarias a ITIL ya permite, a muchas organizaciones, suplir las deficiencias que aquí se presentan.

07 diciembre 2006

Certificados ISO 27001 en España

Como lo prometido es deuda, hoy intentaré aclarar el "barullo" que hay en torno a los certificados ISO 27001:2005 en España. Y creo que lo más fácil es empezar por la parte de arriba, es decir, por las entidades de acreditación.

A día de hoy, todavía no se ha publicado una norma específica que permita acreditar los esquemas de certificación de ISO 27001. Dicha norma será la ISO 27006, y se espera su publicación para principios (o mediados) del año que viene. En la práctica, esto supone que a día de hoy no hay una norma internacional que permita a las entidades de acreditación (ENAC, en este caso) acreditar certificados bajo ISO 27001. Sin embargo, la mitad de los certificados ISO 27001 expedidos en España llevar acreditación UKAS. Por qué UKAS sí que ha sido capaz de acreditar certificados ISO27001?

UKAS ha utilizado una adaptación de la EN45012, la norma para acreditar los esquemas de certificación de ISO 9001, para acreditar las certificaciones de BS7799-2 en el pasado y las de ISO 27001 en la actualidad. Esta misma norma modificada ha sido adoptada por otras entidades de acreditación, tanto en Europa como en Asia, pero ENAC no se sumó al acuerdo. Probablemente, esto se debiera a que esta norma (EN45012 adaptada para SGSIs) fue impulsada por el ISMS International User Group (ISMS IUG) para poder acreditar las certificaciones bajo BS7799-2, mientras que en España se trabajaba en su versión nacional alternativa, la UNE 71502.

El resultado final es que, por el motivo que sea, ENAC no ha suscrito el MLA que permite acreditar SGSIs bajo dicha norma. Y como ENAC no ha desarrollado ninguna alternativa, y la ISO 27006 todavía no está publicada, el caso es que ENAC no dispone, por el momento, de ningún esquema de acreditación que permita acreditar certificados de SGSIs, ni bajo ISO 27001 ni bajo UNE 71502.

Por lo tanto, si una entidad de certificación quiere que sus certificados de ISO 27001 estén acreditados, a día de hoy tendrá que acreditarlos contra una entidad extranjera. Estas entidades tienen, como aval adicional y elemento de marketing, el respaldo del ISMS IUG, y aparecen listadas en la web que mantiene este organismo. Este mismo organismo también es el responsable de mantener actualizada la lista de SGSIs certificados y acreditados a nivel internacional, y que puede consultarse en esta web.

Y qué ocurre con los certificados sin acreditación? Pues que la credibilidad que tienen es, por el momento, la que la sociedad les otorgue a las entidades que los expiden. Sin embargo, esto puede cambiar, ya que hay entidades de certificación, como Applus y AENOR, que están en proceso de acreditación por parte de ENAC.

Para poder acreditar un esquema de certificación se necesita tener una serie de certificados emitidos, ya que son precisamente esas auditorías de certificación las que la entidad de acreditación tiene que examinar y validar. Y cuando la acreditación sea positiva, los certificados cuyas auditorías se han evaluado para otorgar esa acreditación pasan a estar automáticamente acreditados. Por tanto, que en la actualidad existan certificados sin acreditar no quiere decir que ese mismo certificado no vaya a poder estar acreditado en un futuro.

Resumiendo: A día de hoy hay en España varios certificados ISO 27001 (y también alguno BS7799-2:2002 expedido por BSI, DQS GMBH y LSTI SAS RCS) con acreditación internacionalmente reconocida, expedidos por BSI y LRQA, que pueden consultarse en http://www.iso27001certificates.com. También hay otros certificados, expedidos principalmente por Applus+ y AENOR, que actualmente no están acreditados pero están en proceso de hacerlo (ENAC está utilizando el draft de la ISO 27006 para acelerar el proceso). Y por último, seguro que existen certificados ISO 27001 sin acreditación y que por el momento no tienen visos de tenerla.

05 diciembre 2006

Certificando al certificador

En muchas empresas, el tema de las certificaciones no lo tienen muy claro. Normalmente conocen los "sellos" que tienen y que quieren, pero normalmente no conocen las implicaciones que tiene que sea una u otra entidad quien te otorgue esa certificación.

Como todos sabemos, una entidad de certificación lleva a cabo una auditoría a la empresa en cuestión y, si la supera, le otorga el certificado correspondiente. Cualquiera puede otorgar, en principio, un certificado. Lo importante es la validez que ese certificado tenga. Y eso depende, sencillamente, de la credibilidad que tenga la organización que lo ha expedido. Yo puedo montarme mi empresa CertificadoresUnidos, S.L. y certificar sistemas de gestión de la calidad bajo la norma ISO9001, por ejemplo. Pero... qué credibilidad tienen esos certificados? Sencillamente, la que me quieran dar. Soy conocido? Soy respetable? Qué nivel de credibilidad tiene que darle la sociedad a ese certificado que yo he expedido? El que tenga mi nombre.

Es probable que yo quiera darle una mayor credibilidad a mis certificados. Cómo lo puedo lograr? Pues... intentando que alguien me certifique a mí como entidad certificadora. A esto se le llama acreditación. De forma similar al caso inicial, una entidad de acreditación tendrá que llevar a cabo una auditoría a mi empresa, CertificadoresUnidos, S.L. y, si la supero, acreditarme como certificador de sistemas de gestión de la calidad bajo ISO9001. Lo que van a auditar es mi esquema de certificación, es decir, si yo realizo bien las auditorías, si tengo capacitación suficiente, si mis registros y logs son correctos, etc. Y me acreditarán para certificar SGCs bajo ISO9001 (y ninguna otra cosa más). Si quisiera certificar SGSIs, por ejemplo, tendría que obtener una nueva acreditación, que en este caso correspondería a mi esquema de certificación para SGSIs bajo la norma ISO 27001.

Ahora mis certificados tienen la misma validez que cualquier certificado de ISO 9001 que haya emitido otra empresa acreditada por la misma entidad de acreditación. En qué ámbito son válidos? En principio, en el ámbito en el que actúe la entidad de acreditación, que es el nacional. En nuestro caso, la entidad de acreditación es ENAC, y por tanto la garantía del certificado abarcaría a todo el territorio nacional. Fuera de él, la credibilidad del certificado que yo he emitido dependerá de la credibilidad que tenga ENAC como entidad acreditadora.

Pero todavía es posible llegar más allá. Para que el certificado ISO 9001 que CertificadoresUnidos, S.L. ha emitido tenga validez internacional, ENAC debe establecer acuerdos multilaterales de reconocimiento (MLAs) en foros de carácter internacional (a nivel de europa o a nivel mundial). Estos acuerdos, que se verifican mediante la realización de auditorías cruzadas entre entidades de acreditación, homologan las acreditaciones que en relación a una misma norma establecen distintas entidades de acreditación. En pocas palabras, la credibilidad de ese certificado pasa a ser internacionalmente reconocida (al nivel que alcance el MLA).

Esta explicación, que espero que haya sido clara, es aplicable para cualquier tipo de certificación, no sólo para los sistemas de gestión. Sin embargo, probablemente sea necesario explicar en qué situación se encuentran los certificados de ISO 27001 en nuestro país. Aunque lo haré en unos días en un post independiente, que creo que el tema da lo suficiente de sí.

04 diciembre 2006

Check-lists de seguridad técnica

Hoy quiero hacer referencia al repositorio de guías de seguridad y checklists que publica el NIST. Para muchos profesionales de la seguridad probablemente esta referencia pueda ser de gran ayuda a la hora de abordar aspectos de seguridad técnica a nivel de configuración de seguridad y bastionado en ámbitos tan concretos como las bases de datos, los sistemas operativos o los servidores web. Este repositorio recopila distintas guías técnicas de configuración y testeo de una gran cantidad de aplicaciones y plataformas, se actualiza periódicamente y cuenta con la garantía del NIST (National Institute of Standards and Technology), una entidad dependiente del departamento de comercio de EE.UU. con una contrastada calidad en sus trabajos dentro del campo de la seguridad de la información. Para todo aquél que todavía no conozca sus trabajos, recomiendo una visita a este link, donde se referencian todas las guías (gratuitas) que este organismo ha publicado en materia de seguridad. Que tengais una buena lectura! :-)