¿ Qué es el Anexo SL? #ISO
A lo largo de los años ISO ha publicado muchas normas de sistemas de gestión en temas de calidad y medioambiente, hasta la seguridad de la información y la gestión de la continuidad del negocio. A pesar de compartir elementos comunes, todas las normas ISO de sistemas de gestión tienen diferentes estructuras. Esto, a su vez, da lugar a cierta confusión y dificultades en la fase de implantación. Para abordar este problema, ISO desarrolló el Anexo SL – el marco para un sistema de gestión genérico y la estructura para todas las normas de sistemas de gestión nuevas y revisadas de ahora en adelante. Para hacer frente a las necesidades específicas de la industria, los requisitos adicionales de sectores particulares se añadirán a este marco genérico. Todas las futuras normas de sistemas de gestión tendrán la misma estructura de referencia, texto básico idéntico, así como términos y definiciones comunes. Aunque la estructura de referencia no se puede modificar, se pueden añadir sub-cláusulas y texto específico de la disciplina.
Cuestiones sobre el Sistema de Gestión de la Seguridad de la Información ISO 27001
Consideraciones sobre el Sistema de Gestión de la Seguridad de la Información ISO 27001 La norma/estándar UNE ISO/IEC 27000:2013 es un estándar para la seguridad de la información aprobado y publicado como estándar internacional en octubre de 2005 por International Organization for Standardization y por la comisión International Electrotechnical Commission. En el campo de la tecnología de la información, ISO e IEC han establecido un comité técnico conjunto, el ISO/IEC JTC1 Esta norma especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un SGSI (Sistema de Gestión de la Seguridad de la Información) según el conocido PDCA o “Ciclo de Demming”. Acrónimo de Plan (planificar), Do (hacer), Check (verificar), Act (actuar). Estas acciones son vitales, siendo más laboriosa la planificación, si partimos de cero. Podremos apoyarnos en herramientas informáticas, diagramas de actividad, bases de datos, Gantt, etc. La seguridad de la información, según ISO 27001, consiste en la preservación de su confidencialidad, integridad y disponibilidad, así como de los sistemas implicados en su tratamiento, dentro de una organización. Para metaforizar y recordar esto, pilares vitales en la norma, yo suelo usar la frase,”Nos movemos en tierras del CID”. En España en el 2004 se publicó la UNE 71502 titulada Especificaciones para los Sistemas de Gestión de la Seguridad de la Información (SGSI) y que fue elaborada por el comité técnico AEN/CTN 71. Es una adaptación nacional de la norma británica British Standard BS 7799-2:2002. Con la publicación de UNE-ISO/IEC 27001 (traducción al español del original inglés) dejó de estar vigente la UNE 71502 y las empresas nacionales certificadas en esta última están pasando progresivamente sus certificaciones a UNE-ISO/IEC 27001. En un mundo donde cada vez más la gestión TI es externalizada (outsourcing) a sistemas que no son propiedad de la organización, es necesario al menos tener identificados los riesgos y garantizar sobre todo que a pesar de eso, podemos proporcionar
Herramientas para la implantación de un SGSI
Listado de herramientas para la implantación de un Sistema de Gestión de la Seguridad de la Información. Veamos cuales existen …
Breve introducción a ITIL
Un servicio TI es la entrega de valor al cliente, facilitándole los resultados que el cliente quiere y que le permiten alcanzar los objetivos y deseos sin que él sea el dueño de los costos y riesgos específicos. Los clientes que demandan tecnología no quieren saber los riesgos, desean la disponibilidad y funcionalidad. Pagan por un servicio, quieren servicios de forma confiable. Esta forma de pensar ha creado toda una disciplina la gestión de servicios de tecnologías informáticas IT Service Management. En definitiva es la Gestión optimizada que se realiza sobre un conjunto de capacidades organizacionales especiales que trabajan juntas para proveer valor al cliente en términos de servicios de tecnología. Estas capacidades pueden ser software, infraestructuras, servicios, servidores, redes, comunicación, recursos humanos, supone la gestión de una forma óptima de aspectos tecnológicos. Es debido a esto, hace ya unas décadas, por un esfuerzo del gobierno del Reino Unido y de una serie de compañías británicas se crea todo un marco de trabajo para el IT Service Management o gestión de servicios de tecnologías informáticas que contiene un conjunto de directrices que son el resultado de las mejores prácticas de estas grandes compañías que se centra en esencia en la medición y mejora continua de la calidad de los servicios convirtiéndose en un estándar de facto aceptado por la industria y que ha dado muy buenos resultados. Actualmente se sigue manteniendo y seguramente se mantendrá como un marco de trabajo público. Ninguna marca es propietaria de este framework. Por lo tanto, ITIL es un marco de trabajo que no se queda estancado, que ha pasado por 3 versiones, en constante evolución y donde existe toda una comunidad alrededor.