31 enero 2012

ISO 20000 de alcance global

Como ya comenté en su momento, la nueva ISO 20000 (ahora también UNE-ISO/IEC 20000-1:2011, desde el pasado 21 de Diciembre) introduce importantes cambios, siendo el principal la "universalización" de su alcance, puesto que se elimina el término TI y se convierte en aplicable a cualquier tipo de servicios.

La versión española de la norma incluye, además, un anexo informativo en el que se relacionan, en forma de tabla de correspondencia, los apartados de la ISO 20000 con los apartados de la ISO 9001. Y si se analizan uno por uno... Sorpresa! Prácticamente todos los apartados de la ISO 9001 encuentran una relación directa con los apartados de la ISO 20000.

¿Qué quiere decir esta correspondencia? A mí se me ocurren dos consecuencias interesantes. La primera, que cualquier SGS (Sistema de Gestión de Servicios) certificado bajo ISO 20000 requiere de muy poco trabajo adicional para cumplir con los requisitos de la ISO 9001, y por lo tanto ser certificable por ella como SGQ (Sistema de Gestión de la Calidad). Y la segunda, vista en la dirección contraria, que cualquier empresa de servicios (una mayoría a nivel nacional) certificada en ISO 9001 podría utilizar la ISO 20000:2011 como modelo de referencia para el despliegue de sus procesos de soporte.

Teniendo esto en cuenta, y sabiendo que la mayor parte de las organizaciones han adoptado un enfoque global para la certificación ISO 9001, la consecuencia es clara: a futuro, el sistema de gestión propuesto por la ISO 20000 debería tender a un alcance global, en el que cualquiera de los servicios de la organización se gestione a través del modelo de procesos propuesto por el estándar, de modo que fuesen procesos transversales. Es cierto que antes de dar este paso tendremos que ser capaces de soltar el lastre TIC que todavía fluye por las venas de la ISO 20000, de forma que adaptemos los conceptos tecnológicos a la filosofía de gestión clásica, la aplicable de manera general a los procesos de negocio (por ejemplo, tendremos que asumir que, en un caso general, la gestión de la capacidad es más gestión de recursos humanos que otra cosa). Sin embargo, una vez que consigamos dar ese paso, nos daremos cuenta de que el modelo de gestión propuesto por la ISO 20000 es mucho más completo y eficaz que el levemente esbozado por la ISO 9001 a la hora de gestionar servicios. Aunque no creo que lleguemos a ver, ni siquiera en un futuro lejano, cómo la ISO 20000 sustituye a la ISO 9001 en las empresas de servicios (el peso -y poso- de la ISO 9001 a nivel mundial es demasiado grande), sí que creo que podremos contemplar, de aquí a unos años, cómo la ISO 20000 va calando en las empresas de servicios, que irán adoptando progresivamente ciertas prácticas de gestión derivadas de esa norma, si no el modelo de gestión completo.

27 enero 2012

Protección de datos europea

Hace unos días recibíamos la noticia de que esta misma semana íbamos a poder ver las nuevas propuestas europeas de protección de datos personales. Se hablaba de notificaciones públicas de incidentes de seguridad sufridos, de multas proporcionales a los ingresos, de derecho al olvido... ¿Qué había de cierto en esos adelantos?¿Cuál iba a ser el conetenido exacto de las propuestas?

Finalmente, el pasado miércoles la Comisión Europea publicaba la propuesta de reforma general de las normas de protección de datos europeas. Los rumores se confirmaban, con algunos detalles específicos como la cuantía máxima de las multas (1M€ o el 2% de la facturación anual) o la previsión de desarrollo de una directiva específica para el mundo policial y judicial. La nota de prensa oficial presentaba la propuesta como un gran avance para los ciudadanos y un importante ahorro para las empresas, aunque al parecer hay fuentes que creen que la propuesta no sólo incorpora luces en su contenido, sino que también incluye algunas sombras. De hecho, ya ha habido empresas que se han mostrado contrarias a esta nueva normativa, aduciendo que provocará importantes pérdidas económicas.

Desde mi punto de vista, creo que es demasiado pronto como para posicionarse en torno a esta nueva normativa. A partir de ahora se abren dos años de discusiones en el Parlamento Europeo, en los que seguro que se introducen cambios en el texto. Muchos detalles serán modificados, y es posible que incluso pueda desaparecer alguna de las grandes líneas de actuación presentadas, a causa de los diversos intereses que confluyen en este ámbito. Por lo tanto, no creo que este sea el momento para preocuparse de detalles que probablemente variarán, sino para alegrarse de que finalmente vea la luz una iniciativa para actualizar y armonizar la protección de datos personales a nivel europeo. Y qué mejor fecha para celebrar esta iniciativa que este sábado, no?

25 enero 2012

Seguridad industrial

A estas alturas, hablar de la seguridad en torno a los sistemas de control industrial no es nada novedoso. Stuxnet supuso el punto de inflexión, el hito a partir del cual la industria comenzó a prestar más atención a la seguridad en este tipo de entornos. Se había demostrado que era posible atentar contra la población civil a través de Internet, y era imposible que la sociedad no reaccionase ante tal constatación.

Sin embargo, que el verano de 2010 fuese el detonante de los cambios en la concepción de la seguridad en torno a los sistemas SCADA no quiere decir que año y medio más tarde la situación real haya cambiado mucho. Cualquier cambio tecnológico de envergadura es lento, y la adopción de nuevas tecnologías en este tipo de entornos industriales lo es todavía más. No obstante, iniciativas como la publicación de fallos de seguridad en sistemas SCADA llevada a cabo en el S4 demuestra que la concepción de la seguridad en este tipo de entornos está cambiando, pareciéndose cada vez más a la existente en el mundo TIC "clásico", el conectado a Internet. Ver cómo prácticas como el full disclosure empiezan a abrise camino en el cerrado mundo de los sistemas de control industrial es una prueba de que la seguridad empieza a tener la relevancia que se merece.

En cualquier caso, no es momento de echar las campanas al vuelo. Una compañía como Microsoft ha tardado casi diez años en integrar la seguridad en sus desarrollos, y ha necesido desarrollar una iniciativa global específica para seguridad y desarrollar dos nuevos sistemas operativos (desde el Windows XP hasta el Windows 7, sin contar el Windows XP SP2) para conseguir un entorno que puede considerarse aceptablemente seguro. Vistos los antecedentes, no creo que podamos esperar grandes revoluciones de los fabricantes de productos SCADA, y mucho menos de empresas que a día de hoy utilizan versiones de estos productos que funcionan sobre equipos Windows 98 o incluso anteriores. No obstante, las bases poco a poco se están asentando, de modo que quizás dentro de 10 años alguien pueda escribir, en torno a estos productos, un artículo similar al referenciado para Microsoft.

16 enero 2012

ISO 20000 y ENS

En mi último post sobre el ENS y la mejora continua incluía al final un breve apunte para la reflexión, acerca de los estándares de referencia que podrían ser utilizados para cumplir con las exigencias del Esquema Nacional de Seguridad. ¿Es necesariamente la ISO 27001 la mejor referencia para su implementación?

La verdad es que las analogías entre la ISO 27001 y el ENS son tantas que parece obvio tomar este estándar como referencia para la implantación de un "buen" ENS. Sin embargo, creo que esa facilidad en el paralelismo ha hecho que no nos preocupemos en buscar alternativas, en ser críticos y plantearnos seriamente la existencia de otras opciones. ¿Qué supondría basar una implementación de un ENS en la implantación de un SGSTI (Sistema de Gestión de Servicios TI) que cubra los servicios electrónicos prestados por una administración pública?

Uno de los procesos que forman parte de un SGSTI que cumpla con la ISO 20000 es el proceso de gestión de la seguridad. Por lo tanto, el desarrollo de un proceso de gestión de la seguridad de la información tal y como establece el ENS estaría directamente contemplado. Este hecho supone, además, que podemos articular a través de él todas las medidas de seguridad que requiere el ENS. Aunque... son realmente tales las medidas de seguridad del Anexo II?

Desde mi punto de vista, una gran cantidad de medidas de seguridad propuestas por el ENS no lo son estrictamente hablando. O dicho de otra forma (antes de que los más puristas se lleven las manos a la cabeza), son antes medidas de "gestión correcta de las TIC" que medidas de seguridad. Actividades como la gestión de la capacidad, la gestión de la configuración,  el mantenimiento de los sistemas, la gestión de cambios, la gestión de incidentes, el acondicionamiento de los locales, la formación al personal, la gestión de medios removibles u otras de similares características no son patrimonio exclusivo de la seguridad. Todas estas actividades son necesarias en cualquier organización que quiera prestar servicios TIC de calidad, independientemente de que la seguridad sea o no una preocupación expresa. Y la ISO 20000 establece un modelo general de gestión de servicios TIC mucho más completo que el propuesto por la ISO 27001. ¿No sería, por tanto, mejor opción utilizar el modelo de gestión propuesto por la ISO 20000 como referencia para el cumplimiento de los requisitos del ENS?

Por supuesto, en términos de eficiencia es fácil encontrar una objeción a este planteamiento. Dado un mismo alcance, desplegar un SGSI (Sistema de Gestión de la Seguridad de la Información) conforme con ISO 27001 es más sencillo, fácil y rápido que desplegar un SGSTI que cumpla con ISO 20000. En los tiempos que corren, la premisa general de reducción de costes vigente en todas las administraciones públicas es un argumento contundente a favor del modelo basado en ISO 27001. No obstante, también es habitual encontrar en los objetivos de muchas administraciones públicas una gran cantidad de iniciativas relacionadas con la búsqueda de la excelencia, de altas cotas de calidad en los servicios ofrecidos, etc. Si ofrecer servicios de calidad es uno de los eslóganes más repetidos, por qué no utilizar como modelo de referencia el estándar más completo? Quizás no sea tiempo de correr, y la ISO 27001 pueda ser un primer paso, pero... por qué no utilizar la sistemática de mejora continua para que la evolución cubra no sólo las propias medidas de seguridad, sino también el modelo de gestión seleccionado?

09 enero 2012

ENS y la mejora continua

Hace algunos años era habitual que existieran empresas que vendían "malas adecuaciones" a la ISO 27001. Empresas que lo que hacían era diseñar proyectos de implantación sistemática de los 133 controles que componen el Anexo A de la norma, es decir, implantaban la ISO 27002. Eran proyectos que se olvidaban de la parte fundamental de la ISO 27001, del cuerpo de la norma: la gestión de riesgos, la mejora continua, el compromiso de la dirección... Afortunadamente, en la actualidad esa situación prácticamente ha sido desterrada por completo (aunque ahora existan casos en los que se da el caso contrario, pero bueno, eso es otra cuestión).

Sin embargo, a veces tengo la sensación de que en la actualidad se está dando una situación similar con el Esquema Nacional de Seguridad. En cierto modo, tengo una sensación de deja-vu al ver que, en muchos casos, cuando se habla del ENS se piensa automáticamente en su Anexo II, en el catálogo de medidas de seguridad que incorpora, obviando (al igual que en el caso anterior) la parte fundamental del documento, el cuerpo del Real Decreto: los principios básicos y requisitos mínimos que debe cumplir la política de seguridad de cualquier administración pública. ¿No aprendemos de los errores del pasado?

Digo esto porque una de las carencias que se le suelen achacar al ENS, desde mi punto de vista de manera completamente errónea, es que no contempla la mejora continua. Es más, yo creo que la contempla de manera explícita y bastante completa:
  • Uno de los principios básicos de la seguridad es su reevaluación periódica (Art.9), donde establece la necesidad de reevaluar las medidas de seguridad hasta replantear la seguridad de forma completa si fuera necesario.
  • Uno de los requisitos mínimos de la seguridad es la mejora continua del proceso de seguridad (Art. 26), donde se exige la actualización y mejora continuas del proceso integral de seguridad, aplicando para ello mecanismos reconocidos a nivel nacional e internacional.
¿No es suficiente con esa referencia? Está claro que no establece ningún tipo de sistemática de mejora continua, ni regula la gestión de mejoras mediante la articulación de acciones preventivas y/o correctivas como hacen los estándares ISO de gestión, pero... es necesario?

Y como tema adicional de reflexión, por si alguien le quiere dar una vuelta: el citado artículo 26 habla de mecanismos reconocidos relativos a gestión de las tecnologías de la información, no relativos a gestión de riesgos o gestión de la seguridad. ¿Qué lectura hacéis de este hecho?

03 enero 2012

ENS, ENI y sociedades públicas

A estas alturas no creo que ninguno de los lectores de este blog desconozca la Ley 11/2007 (LAECSP) ni los Reales Decretos que se derivan de ella (ENS y ENI, respectivamente). Pero sí que me gustaría abordar una cuestión sobre la que muchos pasan de puntillas, pero que me parece muy importante: ¿Aplican estas regulaciones a las sociedades públicas?

Uno de los análisis "oficiales" más profundos que conozco respecto de la aplicabilidad del ENS es el realizado por el CCN en sus FAQ. En ellas viene a decir que, en el ámbito de las sociedades públicas, cada caso es diferente y que hay que analizarlos uno por uno. Sin embargo (y disculpad mi osadía, supongo que se debe a que no soy jurista), yo tengo la sensación de que hay muchas similitudes entre ellas, y que se pueden establecer algunas pautas generales.

En general, yo soy de la opinión de que TODAS las sociedades públicas DEBEN CUMPLIR con el ENS/ENI. Al menos, en parte de sus servicios. Me explico.

Hasta donde yo sé (y espero que si hay algún jurista que lea esto y detecte algún error, me lo notifique), todas las sociedades públicas están sujetas al régimen de licitación pública. Y ese régimen entiendo que es un derecho de los ciudadanos y/o un deber de las administraciones públicas. Por lo tanto, debería ser accesible electrónicamente según la Ley 11/2007 (de hecho, la mayoría de las sociedades públicas tienen un "perfil del contratante" en Internet)... y por consiguiente, debería cumplir con el ENS y el ENI. Al menos, el servicio de licitaciones públicas debería hacerlo.

Por otro lado, entiendo que cualquier sociedad pública cuyos servicios impliquen la concesión de becas, subvenciones y/o ayudas económicas utilizando dinero público también realiza esa concesión de dinero en régimen de derecho público... y de nuevo dicho servicio de concesión de ayudas debería estar sujeta a la LAECSP y por tanto al ENS y al ENI.

En definitiva, creo que hay una gran cantidad de sociedades públicas cuyos servicios se prestan en régimen de derecho público y que implican la interacción con los ciudadanos y el ejercicio de derechos y/o deberes. Y lo que me parece destacable es que, hasta donde yo sé, tengo la sensación de que el sector está pasando de puntillas sobre este hecho... dejando pasar oportunidades de negocio y dejando sin las garantías asociadas a dicho cumplimiento legal a los ciudadanos que utilizan dichos servicios.