Blog

Nueva Norma ISO/IEC 20000

Ya en la gran mayoría de nuestras organización se emplean Tecnologías de la Información como soporte de los procesos de negocio, y con toda seguridad habrá oído hablar del principal Sistema de Gestión que lo gestiona: la norma ISO/IEC 20000 para la gestión de servicios. Y es difícil  imaginar una empresa en la que no se utilicen TIC, absolutamente asombroso resultaría ignorar la naturaleza vital y dinámica de cualquier marco de gestión: Ya la ISO ha publicado en septiembre 2018  la tercera edición de la norma.

Bajo el paraguas de la norma ISO 9001, de Sistemas de Gestión de la Calidad, e integrado con otros sistemas de gestión, como el de Seguridad de la Información (ISO/IEC 27001) o el de Continuidad de Negocio (ISO 22301), ISO 20000-1 define un amplio catálogo de requisitos para un desempeño eficaz y eficiente de las Tecnologías de la Información que, además, debe ser capaz de seguir el vertiginoso ritmo de unos procesos de negocio cada vez más ágiles y digitalizados. La vigente versión fue publicada en 2011 (para Colombia 2012).

Cabe recordar que, precisamente un año más tarde, en 2012, ISO establecía que toda nueva edición de un estándar para un sistema de gestión debería adecuarse a una estructura de alto nivel (HLS) común definida en el Anexo SL de ISO; es decir, el índice y, consecuentemente, parte del contenido, debían unificarse. De este modo, se favorece la comprensión de los estándares y su aplicación conjunta e integrada. Por lo tanto, éste era un ejercicio de alineamiento y convergencia pendiente para el Sistema de Gestión de Servicios ISO/IEC 20000-1.

Ya en 2015 el Grupo de Trabajo internacional ISO/IEC JTC1 SC40 WG2 inició sus trabajos bajo la dirección de la editora del estándar, Lynda Cooper, quien, a finales del pasado mes de enero, ha sometido al procedimiento de votación internacional el primer borrador “committee draft” dejando atrás tres borradores preliminares; en él se trazan las líneas maestras de lo que será la nueva edición de esta norma.

Entre las principales novedades que anticipa este borrador se encuentran las siguientes:
El proceso de gestión de niveles de servicio se dividirá en dos: gestión del catálogo de servicios y gestión de niveles de servicio. También se separan en dos, gestión de la disponibilidad y gestión de la continuidad de servicios o gestión de incidencias y peticiones de servicio. Se añaden procesos nuevos como gestión de activos, la gestión de la demanda o la gestión del conocimiento. Sin embargo, el nuevo estándar hace énfasis en que la organización por procesos es a nivel de requisitos que se han de cumplir. El número de procesos que efectivamente se implementen en cada organización pueden variar, siempre y cuando se pueda evidenciar cumplimiento de todos los requisitos.

Se elimina la necesidad de tener planes de disponibilidad o capacidad, aunque se mantiene el plan de continuidad y plan de gestión de servicios. Eso no quiere decir que no haya que planificar la disponibilidad o la capacidad, pero deja de ser obligatorio tener un documento específico para cada plan.

Los requisitos de muchos procesos se actualizan y clarifican para asegurar su aplicación en paradigmas actuales de computación como cloud computing o outsourcing. También se mejora la redacción de algunos requisitos que resultaban confusos.

Existen otro tipo de cambios, derivados de la adaptación al anexo SL de ISO que, aunque puedan parecer menores, están teniendo cierto impacto. Es el caso de tener que sustituir “proveedor de servicio” por “organización”, añadir nuevos requisitos sobre el contexto del sistema de gestión o hacer mayor énfasis en la gestión de objetivos.

Sin duda, la nueva edición de la norma aportará una mejora en el alineamiento de este sistema de gestión de servicios con otros marcos de referencia ampliamente reconocidos y, por ende, implicará un aumento de la integración y del protagonismo de las Tecnologías de la Información en unos procesos de negocio que necesitan de ellas como elemento dinamizador y diferencial.

Los nuevos requisitos del estándar en su versión 2018 afectan principalmente a:

  • La planificación de servicios
  • La gestión administrativa
  • La gestión de activos
  • Gestión de la demanda
  • Servicios de entrega

Requisitos en la documentación de procesos

  • Se reduce el número de procedimientos documentados requeridos
  • El requisito de documentar el plan de Capacidad y Disponibilidad se sustituye por requisitos para planificar la disponibilidad del servicio y la capacidad
  • Los requisitos de CMDB (configuration management database) se sustituye por nuevos requisito de información de configuración
  • La definición de una Política de liberación de servicios ahora son requisitos para definir tipos de liberación y frecuencia.
  • La Política de mejora continua ahora debe de considerarse en requisitos para determinar los criterios de evaluación y oportunidades de mejora
  • La cláusula de notificación del servicio ahora se contempla dentro de las cláusulas para elaboración de informes

Más información aqui

 

Ingeniero informático de 23 años filtró los datos de 250.000 tarjetas bancarias

30/Ago/18 Chile: La Brigada del Cibercrimen de la PDI detuvo a ingeniero informático de 23 años, por la filtración de datos de 250.000 tarjetas bancarias ocurrida esta semana. El imputado está confeso y será formalizado este jueves en el Centro de Justicia por el delito de sabotaje informático.

Los antecedentes de la detención los entregó el subcomisario Cristián González, subjefe del Cibercrimen, quien informó que el imputado con sus conocimientos logró vulnerar los sistemas de seguridad bancarios y accedió a los números de series de las tarjetas bancarias, con las cuales después armó una base de datos.

El imputado, quien trabaja como asesor independiente, agregó a los números de series los nombres y los RUT de los afectados, y después subió la base de datos a las redes sociales con el fin de darse a conocer entre los grupos organizados que se dedican a este tipo de ilícitos.

González agregó que los peritajes informáticos forenses al computador del imputado dieron con la evidencia suficiente para su detención, tras lo cual el joven declaró y confesó el delito. Se investiga si pertenece a algún grupo internacional y si recibió ayuda desde el exterior. No registra antecedentes penales.

Más información aquí

Ley 1928 24/Jul/18

“Por medio de la cual se aprueba el “Convenio sobre la Ciberdelincuencia”, adoptado el 23 de noviembre de 2001, en Budapest.

Publicado en el Diario Oficial No. 50664 del 3 de agosto de 2018

Más información aqui

 

 

Nueva Iso19011:2018

El propósito de la norma ISO 19011:2018 es actualizar el estándar para asegurar que siga orientando de manera efectiva los cambios del mercado, la dirección de evolución de la tecnología, y que mantenga un enfoque coherente y armonizado para auditar sistemas de gestión de procesos.Dichos sistemas ayudan en el día a día a cumplir con los requisitos legales y avanzar en la mejora continua en cualquiera de dichos campos, sea en una pequeña, mediana o gran empresa.Para conocer si estos sistemas de gestión funcionan adecuadamente, se pueden realizar auditorías por parte de la propia organización o internas (de primera parte), por proveedores o partes interesadas externas (segunda parte), o por parte de organismos de certificación o reguladores (tercera).La manera de cómo hay que auditar dichos sistemas está marcada por la norma ISO 19011, que estaba hasta ahora en su versión de 2011. Pero en los últimos años las normas de sistemas de gestión más usadas han sufrido actualizaciones con estructuras compartidas de alto nivel, así como presentan nuevos desarrollos que unifican conceptos entre ellas.ISO 19011:2018 es su nueva versión, y tiene como objetivo dar respuesta a numerosas actualizaciones y cambios que se presentan a continuación:

  • Se agregó en los principios de la auditoría un enfoque basado en el riesgo, así como su programación en el programa de auditoría. Este enfoque debe derivarse del contexto organizacional y de sus problemas internos y externos.
  • Se amplió la orientación sobre la planificación de la auditoría.
  • Se han ampliado los requisitos generales de competencia que deben cumplir los auditores, en los que se remarca que deberán tener en cuenta el sector o disciplina a la que pertenezcan
  • La terminología de la norma se ajustó para reflejar el proceso y no el objeto. De esta forma se redefinen conceptos tales como:
  • requerimiento, proceso, eficacia, auditoría combinada, auditoría conjunta, desempeño y evidencia objetiva.

Eliminación del anterior Anexo A

  • Se eliminó el anterior Anexo A de la anterior versión del 2011, en el que se mostraban ejemplos de conocimientos y habilidades que debían de tener los auditores, ya que era imposible abarcar todos esos saberes y destrezas para cualquier disciplina.
  • El anterior Anexo B de la versión 2011 se convierte en el Anexo A del 2018, que facilita orientación sobre diversas definiciones tales como contexto organizacional, liderazgo y compromiso, auditorías virtuales, cumplimiento y cadena de suministro.
  • En cuanto a la estructura de la norma en si, ISO 19011:2018 tiene como novedades el punto 3.2 (definiciones); 4.g (enfoque basado en el riesgo);  aparece un nuevo 5.3 (Determinando y evaluando los riesgos y oportunidades del programa de auditoría), subpuntos en el punto 6.3 (planificación de la auditoría) y 6.4 (disponibilidad y acceso, determinación y conclusiones del informe de auditoría y eliminación del anterior Anexo A, pasando el B de 2011 a ser el A

Más información aqui

Comparativo

ISO 19011

:2011

:2018
1. Objetivo y campo de aplicación. 1. Objetivo y campo de aplicación.
2. Referencias normativas. 2. Referencias normativas.
3. Términos y definiciones. 3. Términos y definiciones.
3.2 Auditoría combinada: auditoría llevada a cabo conjuntamente en un único auditado en dos o más sistemas de gestión.

3.3 Auditoría conjunta: Cuando dos o más organizaciones auditoras cooperan para auditar a un único auditado.

3.8 Evidencia objetiva: Datos que respaldan la existencia o la verdad de algo.

3.23 Requerimiento: Necesidad o expectativa establecida, generalmente implícita u obligatoria.

3.24 Proceso: Conjunto de actividades mutuamente relacionadas que utilizan las entradas para proporcionar un resultado previsto.

3.25 Desempeño: Resultado medible.

3.26 Eficacia: Grado en el que se realizan las actividades planificadas y se logran los resultados planificados.
4. Principios de auditoría. 4. Principios de auditoría. 

g) Enfoque basado en el riesgo: un enfoque de auditoría que considera riesgos y oportunidades.
5. Gestión de un programa de auditoría. 5. Gestión de un programa de auditoría.
5.1 Generalidades 5.1 Generalidades.
5.2 Establecimiento de los objetivos del programa de auditoría. 5.2 Establecimiento de los objetivos del programa de auditoría.
5.3 Determinando y evaluando los riesgos y oportunidades del programa de auditoría.
5.3 Establecimiento del programa de auditoría. 5.4 Establecimiento del programa de auditoría.
5.4 Implementación del programa de auditoría. 5.5 Implementación del programa de auditoría.
5.5 Seguimiento del programa de auditoría. 5.6 Seguimiento del programa de auditoría.
5.6 Revisión y mejora del programa de auditoría. 5.7 Revisión y mejora del programa de auditoría.
6. Realización de una auditoría. 6. Realización de una auditoría.
6.1 Generalidades. 6.1 Generalidades.
6.2 Inicio de la auditoría. 6.2 Inicio de la auditoría.
6.3 Preparación de las actividades de la auditoría. 6.3 Preparación de las actividades de la auditoría.

6.3.2 Planificación de la auditoría.

6.3.2.1 Enfoque basado en el riesgo para la planificación de la auditoría.
6.4 Realización de las actividades de la auditoría. 6.4 Realización de las actividades de la auditoría.

6.4.5 Disponibilidad y acceso a la información de la auditoría. 

6.4.9 Determinación de conclusiones de la auditoría. 

6.4.9.2 Contenido de las conclusiones de la auditoría.
6.5 Preparación y distribución del informe de auditoría. 6.5 Preparación y distribución del informe de auditoría.
6.6 Finalización de la auditoría. 6.6 Finalización de la auditoría.
6.7 Realización de las actividades de seguimiento de una auditoría. 6.7 Realización de las actividades de seguimiento de una auditoría.
7. Competencia y evaluación de auditores. 7. Competencia y evaluación de auditores.
7.1 Generalidades 7.1 Generalidades
7.2 Determinación de la competencia del auditor para cumplir con las necesidades del programa de auditoría. 7.2 Determinación de la competencia del auditor para cumplir con las necesidades del programa de auditoría.
7.3 Establecimiento de los criterios de evaluación del auditor. 7.3 Establecimiento de los criterios de evaluación del auditor.
7.4 Selección del método apropiado de evaluación del auditor. 7.4 Selección del método apropiado de evaluación del auditor.
7.5 Realización de la evaluación del auditor. 7.5 Realización de la evaluación del auditor.
7.6 Mantenimiento y mejora de la competencia del auditor. 7.6 Mantenimiento y mejora de la competencia del auditor.
Anexo A (Informativo) Orientación y ejemplos ilustrativos de conocimientos y habilidades de un auditor en disciplinas específicas. Anexo A (Informativo) Orientación adicional destinada a los auditores para planificar y realizar las auditorías.
Anexo B (Informativo) Orientación adicional destinada a los auditores para planificar y realizar las auditorías.

Solicite más información aqui

22301 Continuidad

ISO 22301:2012 ha sido una conclusión de los esfuerzos del ámbito empresarial internacional por obtener un estándar que nos ayude a gestionar la Continuidad de un negocio y/o actividades de una organización. Como precedente a este estándar nos encontramos con la norma Británica BS 259999 que actuó como base e impulsora de la actual ISO 22301 Gestión de la Continuidad del Negocio publicada por la Organización Internacional de estandarización ISO.

Las claves para entender la norma ISO 22301 pasan entender que se trata de:

  • Establecer una base común de conocimiento para entender la continuidad del Negocio
  • Desarrollar e implantar una política de Continuidad del Negocio en una organización
  • Acreditar la conformidad y compromiso de una organización con las mejores prácticas internacionales en Continuidad del Negocio.

EL principal objetivo de esta norma es mantener la continuidad de las actividades de una organización, proteger sus intereses defendiendo los intereses de sus empleados y partes interesadas, mantener la reputación su reputación ante cualquier amenaza o circunstancia adversa.

La norma ISO 22301 está pensada para que sea implementada por cualquier tipo de organización ya sea pública o privada sin importar su tamaño

Ahora bien, aplicar este estándar en pequeñas organizaciones surge la duda si el esfuerzo necesario y los requisitos de la norma se pueden adaptar a estas organizaciones de forma que se obtengan los resultados que se pretenden.

Ante este interrogante se debe tener en cuenta:

  • El daño que se puede producir a una organización por no haber previsto que hacer en circunstancias adversas puede ser causa de cierre o de suspensión de actividades y pérdidas patrimoniales
  • El método de la norma ISO 22301 puede ser utilizado por cualquier empresa para conocer y tomar medidas no siempre costosas para disminuir el riesgo
  • Las políticas y la cultura de prevención del riesgo reduce los costes operacionales y fomenta las buenas prácticas

Concordancia con otras normas

Mas información aqui

Gobierno de TIC

En abril de 2015 se publicó ISO/IEC  TS 38501,  la nueva guía para la implementación de gobierno de las Tecnologías de la Información y Comunicaciones (TIC). La familia 38500 es aplicable a todas las organizaciones, desde las más pequeñas hasta las más grandes, independientemente de qué tipo sea.

El objetivo de ISO / IEC 38500 es proporcionar principios, definiciones, y un modelo que los órganos de gobierno puedan utilizar para evaluar, dirigir y supervisar el uso de tecnología de la información  en sus organizaciones.

ISO / IEC 38500: 2015  hace referencia a ISO/IEC  TS 38501: 2015   Guía de implementación de gobierno de las TIC, e ISO / IEC TR 38502: 2014 Marco y modelo de Gobierno de TI.

El Informe Cadbury fue publicado por el Comité de Aspectos Financieros del Gobierno Corporativo,  en 1992.  Sirvió como fundamento para la definición de Gobierno Corporativo presentada en el documento “Principios de Gobierno Corporativo” publicado por la OECD (Organización para la Cooperación y el Desarrollo Económico) en 1999 (revisada en 2004). 

Como una extensión natural del concepto de Gobierno Corporativo surge la definición de Gobierno Corporativo de las TIC, presentado en la primera edición de la norma internacional ISO/IEC 38500 Gobierno Corporativo de las TIC, la cual se publicó en junio del 2008: El sistema por el cual el uso actual y futuro de TI es dirigido y controlado.

En febrero de 2015 fue publicada la segunda edición de ISO / IEC 38500, esta vez con el título “Gobierno de TI para la organización”.  En la cláusula de Términos y Definiciones se aclara con una nota que el gobierno corporativo es el gobierno organizacional aplicado a las corporaciones y  que la definición gobierno corporativo  se incluye para aclarar la evolución en la terminología respecto a la edición anterior.

ISO / IEC 38500: 2015  presenta los beneficios de contar con un buen gobierno de las TIC, basado en principios y un modelo  que los órganos de gobierno  pueden utilizar.  ¿Qué órganos de gobierno? El principio número uno del Informe King III nos responde diciendo “La junta directiva  debe ser responsable del gobierno de tecnología de la información”.  En las matrices RACI de COBIT 5, se puede observar que la letra “A”  por Accountability que indica la rendición de cuentas de cada una de las prácticas de gobierno está asignada al Board. En la traducción al español de ISACA de Madrid figura el Consejo de Administración. 

ISO / IEC 38501: 2015 plantea un enfoque de implementación en el que se requiere establecer y mantener un entorno apropiado para  el gobierno de las TIC y llevar a cabo una revisión continua.  Se centra en los resultados en vez de los medios para lograrlos.

ISO / IEC 38502: 2014 trata acerca del Modelo Evaluar-Dirigir-Supervisar  para el Gobierno de las TIC, hace la distinción entre gobierno y gestión de TI, y provee una guía para la aplicación del modelo, reconociendo que  para que exista un buen gobierno de TI se requiere  establecer un sistema eficaz de control interno en la organización.  Habla también de delegación e indica que los aspectos del gobierno de las TIC pueden ser atendidos por los gerentes, si tienen la responsabilidad y autoridad apropiada asignada por el órgano de gobierno.

Si considera que las TIC  juega un papel importante en su organización, debería leer y estudiar estas normas. Muchos problemas a los que se enfrentas las organizaciones hoy en día como por ejemplo: proyectos que terminan tarde y se pasan del presupuesto, entregables que no cumplen con los requerimientos, servicios interrumpidos, personal de las TIC frustrado que trabaja en un horario excesivo y que aun así no logra satisfacer la demanda, etc., no son problemas de raíz, sino apenas el síntoma de un mal mayor, la deficiencia o carencia del Gobierno de las TIC.

Más información aqui