Análisis de Impacto en el Negocio

Os dejamos esta presentación de una herramienta que ayuda a implantar planes de continuidad de negocio.

La presentación habla sobre cómo hacer un BIA, Análisis de impacto en el negocio.

Cómo hacer un BIA

Subvenciones Plan Avanza para 2012

Ya han salido las concesiones provisionales de las subvenciones que Audisec pidió para un gran grupo de empresas para los esquemas ISO 27001 ISO 20000 e ISO 15504, con resultados muy satisfactorios, ya que gran parte de las empresas que se presentaron a las subvenciones para certificarse en estos esquemas han conseguido subvención.

En España hay mucha polémica con el tema de las subvenciones y los sistemas de gestión que se crean alrededor, que muchas veces no son reales ya que todo se hace deprisa y corriendo. Desde luego que no es el enfoque.

Las subvenciones deben verse como un facilitador, como una ayuda (que es lo que es) para que a la PYME en cuestión no le salga tan caro (lo de gratis pasó a la historia) implantar un esquema de este tipo y por supuesto certificarlo.

¿Cuál es el problema que nos hemos encontrado sobre todo en los dos últimos años?, la crisis pega con fuerza a las empresas y los recortes de personal están a la orden del día, sin embargo la carga de trabajo no disminuye o disminuye en menor porcentaje, por lo que al final te encuentras con la situación de que entre menos personas deben sacar prácticamente el mismo trabajo adelante, dejando siempre al final de la cola de tareas todo lo que tenga que ver con la implantación y certificación de una 27 o una 20, que es algo opcional y que no genera beneficios a corto plazo (aunque sí muchos a medio y largo plazo).

Esta circunstancia, que normalmente se da más en las PYMEs, hace que se asocien las subvenciones a montar sistemas de gestión débiles, y sin embargo nadie se ha parado a pensar en cómo estaría el sector sin el plan avanza o los innoempresa…probablemente mal.

Ahora el sector ha madurado y por suerte tanto PYMEs como grandes empresas empiezan a plantearse de manera seria estos proyectos, agradeciendo una subvención pero ni mucho menos desestimando el proyecto si ésta no llega. Aún queda mucho camino por recorrer, y probablemente queden todavía varios años hasta que las empresas tomen conciencia de la importancia que las TICs tienen en su negocio y de cómo y de qué manera hay que cuidarlas.

Hasta entonces, a los que estamos en el candelero no nos queda otra que empujar para que esto avance, con o sin plan avanza.

 

 

Plazo para cambiar a la nueva ISO 20000:2011

Ya tenemos plazo publicado por APMG para actualizar nuestras ISO 20000:2005 a la nueva versión ISO 20000:2011.

Ha sido publicado en la web de APMG con fecha 19 de Mayo y la noticia en concreto está en este enlace:: http://www.isoiec20000certification.com/home/News/19May2011ISOIEC20000TransitionStatement.asp

Si queréis conocer las diferencias entre la nueva ISO 20000:2011 y la anterior ISO 20000:2005 podéis consultar el artículo escrito hace unas semanas en este mismo blog.

Resumiendo: si nos certificamos antes del 1 de Junio de 2o11 podremos usar la versión 2005 hasta el 1 de Junio de 2013; a partir de esa fecha es obligatoria la actualización a la versión de 2013.

Para las empresas que se certifiquen después del 1 de Junio de 2011: tienen de plazo hasta el 1 de junio de 2012 para cambiar a la nueva versión.

Esperemso que todo le quede claro a todo el mundo y pasemos pronto a la nueva e interesante versión ISO 20000:2011.

 

Publicada la nueva ISO 20000:2011

Ya tenemos nueva versión de nuestra querida ISO 20000:2011 “Information Technology – Service Management”, o lo que es lo mismo, ha eliminado de su título las palabras “Tecnologías de la Información” para simplemente hablar de gestión de servicios, aunque siga muy enfocado a servicios TIC.

Por lo tanto ya no vamos a implantar un SGSTI (Sistema de Gestión de Servicios de Tecnologías de la Información) si no que vamos a implantar un SGS (Sistema de Gestión de Servicios), haciéndole de paso un favor a la certificadora ‘SGS’, por aquello de la coincidencia de las siglas del sistema de gestión con las de la marca de la certificadora.

La norma también aumenta considerablemente de tamaño, pasamos de 22 a 36 páginas. Y por cierto, está en inglés hasta que AENOR tenga a bien traducirla (finales de este año o probablemente mediados de 2012).

Hay muchos cambios:

  • Cláusula 1: aquí lo más importante es que nos dice que el cumplimiento de las cláusulas 5 a 9 (ahora veremos de qué van) se puede demostrar ejerciendo el gobierno de los procesos, aunque estos sean operados a través de un tercero (proveedor o cliente). La cláusula 4 (el PDCA) debe cumplirlo sí o sí el proveedor del servicio (la empresa que se certifica o implanta un SGS, vaya).
  • Se establecen requisitos para definir un alcance correcto.
  • Hay más términos y definiciones; ver cláusula 3.
  • EL PDCA es mucho más claro, más detallado y está más estructurado. La cláusula 4 ahora es todo el PDCA; me gusta. No hay grandes nuevos requisitos (salvo uno que ahora comentaré), pero la integración con 27001 o 9001 es más directa ahora.
  • En el punto 4.2 se habla del “Gobierno de procesos operador por terceras partes”. Muy interesante.
  • Revisión por Dirección, en la cláusula 4.5.4.3: aquí si hay novedades, ya que POR FIN establecen requisitos claros para llevar a cabo dicha revisión. Este era uno de los puntos que generaba más debate con la ISO 20000:2005 ya que no había puntos objetivos para realizar esta revisión.
  • La cláusula 5 es el diseño y la transición (como ITIL) de nuevos servicios o servicios modificados. Muy bien redactada y estructurada, establece muchos y nuevos requisitos para operar este proceso. Pasa de ocupar 3/4 de folio a ocupar prácticamente 2 folios, dividiéndose en “generalidades”, “planificación”, “diseño y desarrollo” y “transición”.

Hasta aquí el PDCA. En los procesos también hay muchos cambios, pero sólo comentaré los que considero más importantes o sorprendentes:

GESTIÓN DE NIVELES DE SERVICIO:

  1. Ahora obliga a tener un catálogo de servicios.

INFORMES DEL SERVICIO

  1. Sin cambios relevantes.

CONTINUIDAD Y DISPONIBILIDAD DEL SERVICIO

  1. Se divide en “requisitos”, “planes” y “monitorización y pruebas”.
  2. Detalla los requisitos que deben tener los planes. No hay mucho nuevo, ni nada raro.
  3. Especifica que el plan de continuidad y el de disponibilidad pueden estar integrados dentro de un único documento :O

PRESUPUESTOS Y CONTABILIDAD DE LOS SERVICIOS.

  1. Sin novedad en el frente, salvo la mejor redacción intrínseca a la nueva norma.

GESTIÓN DE LA CAPACIDAD

  1. La vida sigue igual. Especifica mejor la relación que tiene este proceso con la gestión de niveles de servicio, continuidad y disponibilidad.

GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

  1. Se divide en: política, controles y cambios e incidentes.
  2. Detalla lo que debe contener la política a través de lo que debería hacer la dirección, con la voz “Management shall…”.
  3. Algún pequeño requisito para los controles, como que deben conseguir cumplir los objetivos de seguridad (obvio, para eso están).

RELACIONES CON EL NEGOCIO

  1. Aquí copio literal y que cada uno saque sus conclusiones “the service provider shall have a designated individual who is responsible for managing the customer relationship and customer satisfaction“. Hecha la ley, hecha la trampa (no digo más…).
  2. Novedad importante: para medir la satisfacción del cliente simplemente hay que coger una “muestra significativa” de los clientes y usuarios del servicio, no todos. Y no es que antes obligase a hacerlo con todos, pero tampoco decía que valía con una muestra.

GESTIÓN DE SUMINISTRADORES

  1. Ídem de lo del “individual who is responsible….” aunque en este caso es para gestionar la relación con el suministrador, así como el acuerdo y el rendimiento del mismo.
  2. Especifica muy bien lo que debe tener el acuerdo con el suministrador; llega hasta el apartado ‘L’.

GESTIÓN DE INCIDENTES Y PETICIONES DE SERVICIO

  1. Introduce el concepto de “peticiones del servicio”, que hacía falta como el comer. Antes lo nombraba tímidamente dentro del proceso, pero sin grandes consecuencias prácticas. Ahora adquiere casi la misma importancia que los incidentes, debiendo cumplir prácticamente los mismos requisitos que un incidente.
  2. Para los incidentes graves no se queda simplemente diciendo que debe haber un procedimiento, si no que añade requisitos como por ejemplo que la alta gerencia debe conocerlos (…).

GESTIÓN DE PROBLEMAS

  1. Especifica cuándo registrar un “Error conocido”: cuando hayamos encontrado la causa raíz pero el problema no ha sido completamente resuelto. Antes esto pasaba sin pena ni gloria y cada uno lo hacía cuando quería o cuando decía ITIL, que es justo ahí, por cierto.

GESTIÓN DE LA CONFIGURACIÓN

  1. Especifica qué debe contener cada CI.
  2. Asociar a los CIs sus errores conocidos.

GESTIÓN DE CAMBIOS

  1. Hay que definir qué CIs estarán sujetos al proceso de gestión de cambios.
  2. Hay que establecer criterios para identificar cambios que puedan ocasionar grandes impactos en el servicio. Esos cambios deberán ser llevados a través de la cláusula 5 (verla más arriba), dándoles así mucha más importancia. Además, es de sentido común que un cambio que pueda tener un impacto importante sea gestionado como una modificación del servicio, con todos sus formalismos.
  3. La eliminación o la transferencia de un servicio debe ser gestionado como un cambio que potencialmente tenga un impacto importante en el servicio, es decir, con la cláusula 5.
  4. Especifica que deben actualizarse los registros de la CMDB justo después de implementar con éxito un cambio.

GESTIÓN DE ENTREGAS E IMPLEMENTACIÓN

  1. Pocas novedades. Simplemente dice que si es posible se prueben los planes de vuelta atrás.

Hay más cambios, pero a priori no tienen consecuencias prácticas. Ahora espero que entre todos podamos ir completando esta lista. Os animo a leer estos cambios que hay propuestos aquí e ir alimentando el post con más novedades o diferencias de criterio, ya que es una norma que acaba de salir y como siempre, habrá polémica :)

Saludos.

 

ISO 27001, ISO 20000 y Calidad del Software; Subvenciones Plan Avanza

Como se ha comentado en algún otro post, desde Audisec se han ido desarrollando una serie de eventos/jornadas para difundir las normas ISO 27001, ISO 20000 y los modelos de Calidad del Software como SPICE y/o CMMI.

Han sido un total de 8 eventos en los que se ha tenido contacto con más de 200 organizaciones interesadas en alguno de estos esquemas de mejora de procesos (seguridad de la información, gestión de servicios y calidad del software).

Se ha explicado de manera detallada la forma de conseguir subvenciones que ayuden a financiar estos proyectos al máximo posible, y la experiencia de Audisec en ello, con un éxito de consecución de subvenciones cercano al 100% desde el año 2007.

¿Son necesarias las subvenciones?, desde luego si no son necesarias, al menos son bien recibidas. Estos modelos se están convirtiendo en estándares de facto en las empresas y con el paso de los años serán requisito imprescindible si queremos seguir dentro de este mercado que está en constante movimiento y que cuya competencia cada vez es más feroz. Si para conseguir estas certificaciones nos financian una parte muy importante del proyecto mejor que mejor, ¿no?.

Para más información podéis contactar con Audisec en su web www.audisec.es

EVENTOS GRATUITOS PLAN AVANZA 2011 (ISO 20000, ISO 27001, CALIDAD DE SOFTWARE)

Quizá pueda interesaros asistir a alguno de los eventos organizados por Audisec sobre el plan avanza 2011. Aquellos que se estén planteando abordar alguna certificación relacionada con la calidad del software, ISO 20000, ISO 27001 encontrareis en estos eventos toda la información necesaria para acometer un proyecto de este tipo.

PRÓXIMOS EVENTOS GRATUITOS DE PRESENTACIÓN DEL PLAN AVANZA 2011

  • ISO 20000
  • ISO 27001
  • CALIDAD DE SOFTWARE (15504 – CMMI)

Los eventos tendrán lugar en:

  • Madrid día 12, de abril, por la mañana. (Paseo Castellana 182, 9º Planta, 28046, Madrid)
  • Madrid día, 14  de abril, por la mañana. (C/ Valentín Beato 22, Bajo Dcha –Deiser)
  • Murcia día, 14  de abril, todo el día (SICARM, Stand Fundación Dintel)
  • Valladolid día 15 de abril, por la mañana (Parque Tecnológico Boecillo)
  • León día 6 de abril, por la mañana
  • Valladolid día 6 de abril, por la tarde

mas info: www.audisec.es

Las TIC están de moda

Estoy viendo el telediario y veo la cifras del paro en España……34.000 más……un panorama desolador se mire por donde se mire. Pero a continuación dicen que el sector del comercio electrónico ha crecido un 30% y que no hay plazas suficientes para la oferta existente.

¿Moda, tendencia, un simple pico?, yo creo que no. Las tecnologías de la información están cada día más presentes en todas las empresas y eso trae consecuencias muy sencillas: hace falta más desarrollo, más diseño, más sistemas, más gestión, más seguridad, más TIC!. Las empresas, además, cada vez son mas conscientes de que las TIC son el principal vehículo para alcanzar el éxito: una simple web, las redes sociales, herramientas, desarrollos propios que te posicionan frente a tu competencia, etc, y por suerte a las personas que trabajan en ello parece que se les empieza a valorar como lo que son en su mayoría: ingenieros.

Todo eso si miramos al sector privado. Pero si miramos al sector público vemos que hace algo más de un año que es obligatorio el ESQUEMA NACIONAL DE SEGURIDAD (ENS), un Real Decreto que obliga a las administraciones públicas (AAPP) a llegar a unos niveles de seguridad de la información más que aceptables. Esto al final es más negocio para las TIC, ya que en la mayoría de los casos dichas AAPP contratarán los servicios de empresas privadas para poder cumplir con los requisitos del ENS, lo cual derivará en más negocio para dichas empresas, lo que derivará en más contrataciones, en más formación, en más dinamización en general. ¿No pinta bien todo esto?.

Si echamos un vistazo a lo que suele ocupar a este blog -LOPD, ISO 27001 e ISO 20000- las tendencias no son nada diferentes: cada vez más empresas se preocupan por adaptarse a estos estándares de mejora de procesos o a la propia ley de protección de datos.  En España ya somos punteros a nivel mundial en 27001, lo vamos a ser este año en ISO 20000, y por ejemplo, somos los primeros de Europa en Calidad de Software.

El panorama no puede ser más alentador. Sólo hace falta trabajar bien, y seguir con ese cambio de mentalidad que parece que está consiguiendo que los españoles, por fin, nos preocupemos por hacer las cosas bien.

¡Ya han llegado, ya están aquí!

La XV edición de los Premios Protección de Datos Personales, organizados y convocados por la Agencia Española de Protección de Datos, ya está siendo anunciada a bombo y platillo por la web de la AEPD.

El objetivo de esta convocatoria es premiar los trabajos de investigación individuales o colectivos de mayor mérito, que evidentemente traten sobre protección de datos de carácter personal, desde un plano jurídico, económico, social o técnico, ya sea con un enfoque estrictamente teórico o a partir de experiencias concretas relativas a la realidad nacional e internacional.

En cuanto a la participación, los candidatos pueden ser españoles o extranjeros, aunque hay límites porque no podrán participar ni los miembros del jurado ni trabajadores de la AEPD (en activo o que lo hayan sido), ni tampoco premiados de anteriores ediciones y respecto del idioma, podrán presentarse proyectos en cualquiera de las lenguas oficiales de España o de los Estados miembros de la Unión Europea.

Hay dos tipos de modalidades en las que se puede concursar:

1)      Trabajos inéditos que sean trabajos individuales o colectivos, monografías, artículos científicos, tesis doctorales o trabajos de investigación

2)      Trabajos publicados que sean monografías individuales o colectivas publicadas.

En todo caso los autores de las obras cederán a favor de la AEPD los correspondientes derechos de autor, de forma gratuita, sin límite temporal para la publicación electrónica de la obra y con limitación a 700 ejemplares para la publicación en soporte papel.

Quien resulte premiado en la primera modalidad, ganará seis mil euros, existiendo la posibilidad de que el jurado otorgue otro premio adicional por la misma cantidad cuando considera que existe determinada calidad en las obras presentadas. Además, se podrá conceder un accésit de tres mil euros. En caso de que el premio quedara desierto, se podrán conceder tres accésits de tres mil euros cada uno.

En la segunda modalidad, el premio será de seis mil euros, aunque el jurado también podrá conceder un accésit de tres mil euros.

El jurado estará compuesto por el Presidente (Director de la AEPD), Vocales (miembros del Consejo Consultivo que se encuentren ejerciendo su mandato en el momento de efectuarse el fallo) y la Secretaría (con voz y sin voto, corresponderá al Secretario de dicho Consejo). En caso de empate decidirá la votación el voto del Presidente.

La decisión del jurado se publicará el 29 de enero de 2012, Día Europeo de Protección de Datos.

Las solicitudes de participación se deberán presentar ante la Secretaría General de la AEPD, hasta el 15 de octubre de 2011.

La LOPD, modificada!

El 6 de marzo ha entrado en vigor la Ley 2/2011, de 4 de marzo, de Economía Sostenible, normativa que ha venido formando parte de la estrategia del Gobierno para sentar las bases para un modelo de desarrollo y crecimiento más sostenible de la economía española. La Ley fomenta la competitividad, fortalece la supervisión financiera, establece medidas contra la morosidad, aporta transparencia en las remuneraciones de las sociedades cotizadas y facilita la contratación público-privada. A la vez, promueve la innovación, la reforma de la Formación Profesional e introduce, además, criterios de ahorro y eficiencia energética y de movilidad sostenible.

En esa estrategia, la Ley ha modificado muchas otras normas, entre ellas la Ley Orgánica 15/1999 de 13 de diciembre, de Protección de Datos de Carácter Personal y la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico.

En la disposición final quincuagésima sexta de la Ley recién entrada en vigor se exponen las modificaciones que a continuación se exponen resumidamente:

1)      Se crea la figura del apercibimiento, lo que significa que la Agencia Española de Protección de datos podrá, de forma excepcional, no iniciar un procedimiento sancionar solo en casos de infracción leve o grave y si el infractor no hubiese sido sancionado o apercibido con anterioridad.

2)      Se amplían el número de criterios de graduación de sanciones, y aplicación de atenuantes, por ejemplo, en función del volumen de negocio del infractor o el reconocimiento de la infracción.

3)      Modificación de la calificación de ciertas infracciones, como la cesión de datos especialmente protegidos (que pasa de muy grave a grave) o la comunicación de datos a un prestador de servicios con acceso a datos sin la regulación contractual necesaria que recoja los requisitos formales del artículo 12 de la LOPD (que pasa a ser una infracción leve).

4)      Se modifican los criterios económicos, de forma que las infracciones leves se sancionan con 601,01 a 900 Euros y las infracciones graves con 60.101,01 a 40.000 Euros.

En general, la conclusión puede ser que se desea, por parte del organismo de control, seguir consiguiendo el cumplimiento de la normativa, haciendo algo más llevadero el posible incumplimiento. Una de las cuestiones de la que siempre nos hemos quejado los que ayudamos a aplicar la norma a las empresas y empresarios es que el régimen sancionador de la LOPD era excesivamente rígido además de injusto en el sentido de que no distinguía entre infracciones y sanciones cometidas por empresas de diferente entidad, tamaño y envergadura.

Para ser claros, una infracción cometida por una empresas de 5 empleados podía ser tratada de forma similar (económicamente hablando) que la cometida por una empresa de 500, con los perjuicios en todos los sentidos que a una micro-micro pyme esto podía causarle . En más de una ocasión le hemos oído decir a un cliente que, en una situación de este tipo, se vería obligado a “cerrar el chiringuito”.

Cuestiones como el apercibimiento, las medidas de graduación, los atenuantes y la disminución de las sanciones vienen, cuando menos, a aplicar algo de coherencia y sentido común a la norma de la Unión Europea que se considera de las más rígidas traspuestas de la Directiva europea.

Este podría ser el principio de dejarle de tener miedo a la LOPD

Cambio de tendencia: ahora la gente quiere ISO 20000

De un tiempo a esta parte vengo notando una tendencia hacia la ISO 20000, dejando un poco de lado la ISO 27001, ¿por qué?. Bueno, en primer lugar decir que la ISO 20000 es una norma para la gestión de servicios (muy enfocado a las TIC) y la ISO 27001 es una norma de gestión de seguridad de la información.

Esta tendencia la estoy viendo en mi empresa en base a los proyectos que nos van saliendo, y la estoy viendo en el propio mercado, en los eventos, en el plan avanza y en un sin fin de sitios más.

¿Por qué?, no quisiera pensar que es simple y llanamente porque ahora lo que está subvencionado es la 20000  y como en España somos así sólo nos fijamos en lo gratis, me gustaría pensar que es porque la gente, las empresas, los empresarios, se preocupan cada vez más por tener sus servicios gestionados correctamente (…) que es lo que nos viene a decir la 20000.

¿La seguridad?, importantísima, de ahí que yo siempre recomiende las dos normas, y si hay que empezar por una, primero cerramos bien la casa para que no entre nadie y luego ya la ordenamos por dentro.