viernes, 26 de octubre de 2012

Resiliencia como medida de madurez de una Organización


La definición de “resiliencia” la podemos encontrar en varias disciplinas como por ejemplo en física de materiales, donde el concepto se aplica a la capacidad de un material de volver a su estado original después de una deformación.

También tiene acepciones en psicología, en biología,…  y en todas ellas, la definición de este término se corresponde aproximadamente con el término entereza o elasticidad, relacionada con la superación de obstáculos.

Aplicado a una Organización podemos emplear este término como la capacidad que tiene un sistema para recuperarse tras un desastre o perturbación, es decir, medición de la habilidad para volver a la normalidad  tras un incidente que interrumpa las actividades del Negocio.

Podemos concebir la resiliencia como una medida de  madurez en la gestión y mejora de los procesos de la Organización, de la misma forma que existen criterios CMMI.


Podemos medir la resiliencia de la Organización analizando el nivel de adecuación de sus activos en base a la:
  • Gestión de riesgos.
  • Gestión de la seguridad: protección.
  • Gestión de la continuidad : estrategias, planes y respuesta a incidentes.
  • Gestión de la información y el conocimiento.


Un ejemplo de elementos para establecer criterios de medición serían los siguientes:
  • % de actividades que soportan o que no soportan los objetivos de Negocio.
  • Probabilidad de entrega un servicio a lo largo de un evento disruptivo.
  • Porcentaje de activos o servicios que no satisface los requerimientos de seguridad.
  • % de los riesgos por debajo del umbral establecido.
  • # de servicios cubiertos con un plan de continuidad.
  • % de servicios que podrían o no podrían ofrecer un servicio en un evento disruptivo.
  • % de escenarios de desastre probados.

La valoración de estos elementos, según su clasificación por categoría y su peso específico establecerían valores que en un cuadro de mando nos daría índices que aportarian una visión global del nivel de madurez del producto, servicio o proceso de la Organización.

Además de los conceptos anteriores, una organización “resiliente” debería:
  • Promocionar el  aprendizaje (interpretando las experiencias de forma constructiva).
  • Desarrollar la tolerancia ante la incertidumbre. 

viernes, 19 de octubre de 2012

Publicada la norma ISO27013: Integración de ISO20000 e ISO27000


La reciente publicación de la norma ISO/IEC 27013:2012 ofrece una guía sobre cómo implementar de forma integrada los sistemas de gestión descritos por las normas ISO27001 e ISO20000-1. De esta forma se aprovechan sus aspectos comunes para la creación de un sistema conjunto de gestión.

El propósito de la ISO/IEC 27013:2012 es ofrecer una guía a las organizaciones que:
  • Ya disponen de uno de los sistemas de gestión y desean implementar el otro.
  • Desean implementar conjuntamente la ISO/IEC 27001 y la ISO/IEC 20000-1.
  •  Desean integrar ambos sistemas ya existentes en la organización.

Con la publicación de esta norma se demuestra nuevamente la visión estratégica de integrar y homogeneizar cada vez más los sistemas de gestión existentes. Así se facilita a las organizaciones la optimización de los recursos dedicados a la implementación y mantenimiento de sus sistemas de gestión.

Como eliminar la subjetividad de un Análisis de Impacto al Negocio

El BIA (Business Impact Analysis) es uno de los pilares esenciales para  la implantación de un Plan de Continuidad de Negocio.

Este análisis identifica, cuantifica y califica los impactos sobre el negocio en una pérdida, interrupción o trastorno  de los procesos de una organización y responde a los requerimientos de disponibilidad necesarios para restablecer la actividad tras una parada inesperada.

El BIA nos proporciona:

  • Relación de todos los procesos críticos del Negocio
  • Visión global de criticidad de cada área :
    • Por procesos
    • Por impacto
  • Requerimientos de recuperación para Tecnología
  • Identificación de dependencias (relación entre procesos, con proveedores, clientes, etc.)
  • Identificación de soporte necesario (Proveedores críticos, Infraestructuras, personal clave, etc.)
  • Identificación de otra información necesaria (Registros vitales, etc.)
No obstante,  el método de recopilar esta información basada en entrevistas y encuestas a interlocutores clave de cada Unidad de Negocio es su principal debilidad. Debido a esto  es  importante establecer controles para que la percepción de la situación y de lo que es realmente crítico sea tratada y presentada de forma homogénea.

Existen varias formas para reducir la subjetividad :

1) Durante las entrevistas situar al entrevistado en el peor de los casos. No se trata de valorar incidencias ni afectación a la Unidad, se trata de centrarse en un desastre con afectación a toda la Organización.

2) Revaluación de los tiempos  de recuperación objetivos considerando las dependencias entre procesos. Corregir parámetros en función de las relaciones internas (inputs/outputs) de las diferentes actividades críticas de cada Unidad de Negocio.

 

3) Precisar y analizar el tipo de impacto de la parada del proceso. Si no podemos plantear un impacto (tangible o intangible), el procesos no puede ser crítico.

4) Consolidación de la información en un mapa general de procesos y criticidades. La visión en conjunto nos permitirá detectar exceso o carencia.

 

5) Elevar el informe al nivel más alto de gerencia posible dando una visión más estratégica a las valoraciones.

El resultado nos permitirá tener una base solida y fiable para establecer las estrategias de continuidad adecuadas.

lunes, 15 de octubre de 2012

Disponible la nueva versión de MAGERIT

El CCN-CERT presenta la nueva versión de la Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información (MAGERIT v3). 

Esta metodología es toda una referencia para la gestión de riesgos en los sistemas de información, especialmente en el ámbito de la administración pública. Algunos la conocerán porque se trata de la metodología que está detrás de la herramienta EAR/PILAR. 

Según los propios responsables de su creación, la versión 3 de MAGERIT introduce los siguientes cambios respecto a la versión anterior: 
  • Mejor alineamiento con la normativa ISO, buscando una integración de las tareas de análisis de riesgos dentro de un marco organizacional de gestión de riesgos dirigido desde los órganos de gobierno. 
  • Aligerar el texto. 
  • Se eliminan partes poco importantes o poco usadas. 
  • Se normalizan las diferentes actividades: 
    • MAR – Método de Análisis de Riesgos. 
    • PAR – Proyecto de Análisis de Riesgos. 
    • PS – Plan de Seguridad. 

Los tres libros que componen la metodología puede descargarse gratuitamente en el siguiente enlace.

lunes, 1 de octubre de 2012

Datos elocuentes en la publicación de la Memoria Anual de la AEPD

La Agencia Española de Protección de Datos ha hecho pública su Memoria de Actividades de 2011 a través de su página web (www.agpd.es) mostrando datos muy interesantes que dejan patente que existe un mayor conocimiento de la LOPD en la sociedad, además de una creciente preocupación en los ciudadanos por la seguridad de los datos.
La Memoria hace una exposición de las actuaciones llevadas a cabo por la Agencia en el año 2011 y expone cifras muy relevantes entre las que me gustaría destacar:
-          El número de escritos de denuncia han aumentado un 51,60% respecto al periodo anterior, alcanzado la cifra de 7.648 denuncias, frente a las 5.045 de 2010. Este dato ha generado un crecimiento en el número de resoluciones declarativas de infracción del 37,7%, alcanzándose un total de 898 resoluciones declarativas de infracción, de las cuales 817 tuvieron como destinatarios a responsables privados y 81 a Administraciones Públicas.







-          El montante total de las sanciones económicas superó la suma de 19,5 millones de euros, incrementándose un 12% respecto al año anterior.


-          En cuanto a la distribución de la cuantía de las sanciones, los sectores con mayor importe global de sanciones fueron: el sector de telecomunicaciones -que aglutinó más del 63% del global de las sanciones- con 12,3 millones de euros, seguido por el sector financiero, con 3,8 millones, las entidades de suministro y comercialización de gas, electricidad y agua, con algo más de 1 millón de euros, la videovigilancia con 494.000 euros y las comunicaciones electrónicas comerciales - spam (LSSI)-, con 305.000 euros.

-          De las sanciones impuestas en 2011, un 66,49% de ellas son graves, un 32,78% leves y solo 0,73% muy graves.

-          La Memoria pone de relieve que «el derecho al olvido» en internet se ha configurado como un derecho cada vez más reclamado por los ciudadanos, ya que de las tres solicitudes recibidas en la Agencia en 2007 se ha pasado a las 160 de 2011. La Agencia da respuesta a esta demanda ciudadana «a través de los derechos de cancelación y oposición». Este último se aplica para evitar la indexación de datos personales por los motores de búsqueda.
-          En cuanto a las áreas temáticas en las que se produce un mayor crecimiento de las actuaciones, destacan la difusión de datos personales en internet y la vulnerabilidad de las medidas de seguridad en la red, así como la inclusión de datos de morosidad en ficheros. 
 
Por tanto concluyendo:
Hay una tendencia al alza en el número de resoluciones declarativas de infracción, las cuantías económicas se han elevado significativamente y además, la gran mayoría de ellas son graves.  Uno de los motivos que ha provocado el aumento del  número de sanciones es tal y como muestran los números, el crecimiento exponencial que ha sufrido la solicitud del derecho de cancelación y oposición y la imposibilidad de respuesta por parte de muchas organizaciones. La ley cada vez es más conocida por la sociedad y así se refleja en este dato, ya que los ciudadanos cada vez ejercitan más a las organizaciones los derechos ARCO. Durante mi trayectoria profesional, he adecuado y auditado a empresas de muy diferentes tipos a los requerimientos de la LOPD y de RD 1720/2007, y las solicitudes que se producían de los derechos ARCO eran poco frecuentes por lo general. La Agencia siempre ha insistido en la importancia de estos derechos como uno de los principios básicos de la LOPD, y yo como consultor, siempre he intentado trasladar esto a mis clientes. Sin embargo, en ocasiones, he visto como las organizaciones se han relajado en recomendaciones sobre la “ejercitación de derechos”  convencidas de que el desconocimiento de la ley por parte de la sociedad garantizaba que nadie los solicitaría. Por tanto estos datos deben “poner en alerta” a las organizaciones definiendo procedimientos de atención y respuesta a los derechos ARCO y cumpliendo las medidas de seguridad del Titulo VIII del RD 1720/2007, ya que sin duda 2011 ha supuesto el “empujón definitivo” que los derechos ARCO necesitaban para ser finalmente reconocidos en las organizaciones como uno de los pilares fundamentales de la protección de datos.