5.3 Strategy for Solid Waste Management
5.3.4 Solid Waste Service
Es el primer estándar internacional certificable para la gestión de servicios TI. Proviene del estándar británico BS 15000.
ISO 20000-1: especificaciones en las cuales se describe la adopción de un proceso de mejora integrado para el desempeño y gestión de los servicios acorde a los requisitos del negocio y del cliente. Este documento comprende 10 secciones: “Alcance”, “Términos y definiciones”, “Requisitos de un sistema de gestión”, “Planificación e implantación de la gestión de servicio”, “Planificación e implantación de servicios nuevos o modificados”, “Proceso de entrega de servicios”, “Procesos de relación”, “Procesos de resolución”, “Procesos de control” y “Procesos de liberación”.
ISO 20000-2: código de prácticas donde se describen las mejores prácticas para la gestión de los servicios y dentro del ámbito indicado por la norma ISO 20000-1.
ISO 20000 incorpora el ciclo de vida Plan-Do-Check-Act y, como su norma predecesora BS 15000, fue inicialmente desarrollada para indicar las mejores prácticas contenidas dentro del marco ITIL. Por tanto, aunque ITIL no es de obligada aplicación para la implantación en la norma ISO 20000, sí suele ser una adecuada referencia para aquellas organizaciones que desean la implantación de éste norma mediante la introducción de un paso intermedio. ITIL
“IT Infrastructure Library” (ITIL) es un conjunto de publicaciones para las mejores prácticas en la gestión de servicios TI e incluye opciones que pueden ser adoptadas y adaptadas según necesidades, circunstancias y experiencia de cada proveedor de servicios.
Fue integrada en las series BS 15000 (ISO 20000 desde Diciembre 2005) con el consenso de BSI, itSMF y OGC, con el propósito de que los dos conjuntos de publicaciones formen parte de la misma estructura lógica para mejor comprensión en su publicación y difusión.
ITIL sirve de base para el estándar ISO 20000 y consta de 7 bloques principales: “Managers Set”, “Service Support”, “Service Delivery”, “Software Support”, “Networks”, “Computer Operations” y “Environmental”:
• Soporte al servicio: asegurar que el cliente (externo o interno) recibe adecuadamente un servicio, que es gestionado además de la mejor forma posible.
• Entrega del servicio: administración de los servicios de soporte y mantenimiento que se prestan al cliente.
• Planificación de la implantación: determina las ventajas de implantar ITIL en una determinada organización.
• Administración de aplicaciones: conjunto de buenas prácticas para la gestión de todo el ciclo de vida de las aplicaciones, centrándose sobre todo en definición de requisitos e implementación de soluciones.
• Administración de la infraestructura de tecnologías de la información y comunicaciones: gestión de la administración de sistemas como máquinas, redes o sistemas operativos, entre otros.
• Administración de seguridad: proceso para la implantación de requerimientos de seguridad; relaciona las áreas ITIL de soporte y entrega de servicio.
• Administración de activos de software: pautas necesarias para la gestión del software adquirido y/o de desarrollo propio.
• Entrega de servicios desde un punto de vista de negocio: fidelización de clientes, servicios de externalización y gestión del cambio, entre otros.
NIST Serie 800
El National Institute of Standards and Technology (NIST), fundado en 1901, es un organismo federal no regulador que forma parte de la Administración de Tecnología (Technology Administration) del Departamento de Comercio (Department of Commerce) de los EE.UU.
La misión del NIST consiste en elaborar y promover patrones de medición, normas y tecnología con el fin de incrementar la productividad, facilitar el comercio y mejorar la calidad de vida.
Distintos principios y prácticas en seguridad comunes y de aplicación tanto en agencias gubernamentales como en corporaciones privadas están recogidos en una larga lista de publicaciones identificadas bajo la Serie 800 y disponibles para su libre descarga.
Estas guías y directrices son documentos muy elaborados y de reconocido prestigio, que cubren múltiples aspectos relacionados con la seguridad de la información y que pueden servir de apoyo a la hora de desarrollar políticas, procedimientos y controles.
CobiT
El IT Governance Institute fue establecido por ISACA (Information Systems Audit and Control Association) en 1998 para aclarar y orientar en cuestiones actuales y futuras relativas a la administración, seguridad y aseguramiento TI. Como consecuencia de su rápida difusión internacional, ambas instituciones
disponen de una amplia gama de publicaciones y productos diseñados para apoyar una gestión efectiva de las TI en el ámbito de la empresa.
Uno de sus documentos más conocidos, referencia a nivel mundial, es CobiT (Objetivos de control para tecnologías de la información y similares).
Se trata de un marco compatible con ISO 27002 (anterior ISO 17799:2005) y COSO, que incorpora aspectos fundamentales de otros estándares relacionados; por tanto, aquellas empresas y organizaciones que hayan evolucionado según las prácticas señaladas por CobiT están más cerca de adaptarse y lograr la certificación en ISO 27001.
CobiT se estructura en cuatro partes; la principal de ellas se divide de acuerdo con 34 procesos de TI. Cada proceso se cubre en cuatro secciones (objetivo de control de alto nivel para el proceso, los objetivos de control detallados, directrices de gestión y el modelo de madurez para el objetivo) que dan una visión completa de cómo controlar, gestionar y medir el proceso. Utiliza un ciclo de vida de tipo PDCA que lo integra en los procesos de negocio.
No existe un certificado en las prácticas indicadas por CobiT, aunque ISACA sí ofrece la posibilidad a título personal de obtener certificaciones como “Certified Information Systems Auditor” (CISA), “Certified Information Security Manager” (CISM) y "Certified in the Governance of Enterprise IT" CGEIT.
UNE 71502:2004
Norma española certificable, desarrollada en base a BS7799-2:2002, que establece las especificaciones para los sistemas de gestión de seguridad de la información. Guarda relación con UNE-ISO/IEC17799:2002 mediante su Anexo
A.
Elaborada por el comité técnico AEN/CTN 71 de la Tecnología de la Información, especifica los requisitos para establecer, implantar, documentar y evaluar un SGSI dentro del contexto de los riesgos identificados por la organización.
Fue publicada en Febrero de 2004 ante la perspectiva de la publicación de la norma internacional para el 2008-2009. Sin embargo, la publicación anticipada de ISO 27001 en el año 2005 acortó la vigencia de la
norma española. Con la traducción al español de ISO 27001 y su publicación como UNE-ISO/IEC 27001, UNE 71502 quedará anulada el 31-12-2008.
Puede adquirirse en AENOR. Normas para consulta:
UNE71501-1 IN – Parte 1: Conceptos y modelos para la seguridad TI UNE71501-2 IN – Parte 2: Gestión y planificación de la seguridad TI UNE71501-3 IN – Parte 3: Técnicas para la gestión de la seguridad TI
UNE-ISO/IEC 17799:2002 Código de buenas prácticas para la gestión de la seguridad de la información.
Aquellas empresas y organizaciones que hayan evolucionado según las prácticas señaladas por UNE 71502:2004 requieren de un esfuerzo mínimo para su reconocimiento internacional bajo la norma ISO 27001.
Puede descargar esta tabla comparativa en formato .pdf aquí. BS 7799-3
BSI (British Standards Institution) publicó en 2006 la tercera parte de BS 7799, dedicada a la gestión de riesgos de seguridad de la información.
ISO 27001 (evolucionada a partir de BS 7799-2) indica que las organizaciones deben identificar, evaluar, tratar y gestionar los riesgos de seguridad de la información, pero no da indicaciones más detalladas de cómo realizar dicho proceso ni de cómo situar dichos riesgos en el marco de los riesgos generales de la empresa.
BS7799-3 profundiza en estos aspectos y da directrices sobre evaluación de riesgos, tratamiento de riesgos, toma de decisiones por parte de la Dirección, re-evaluación de riesgos, monitorización y revisión del perfil de riesgo, riesgos de seguridad de la información en el contexto del gobierno corporativo y conformidad con otros estándares y regulaciones sobre el riesgo.
PAS 99
BSI (British Standards Institution) publicó en 2006 el documento PAS 99 (PAS = Publicly Available Specification), que especifica los requisitos comunes de los sistemas de gestión y puede ser utilizado por las organizaciones como un marco de integración de sistemas.
Hoy en día, es bastante habitual que las organizaciones tengan implantados varios sistemas de gestión: calidad según ISO 9001, medio ambiente según ISO 14001, seguridad y salud laboral según OHSAS 18001, seguridad de la información según ISO 27001... Todos estos sistemas tienen metodologías, procesos, objetivos, documentación, etc., en común, lo que abre el camino a la integración de los mismos en un solo sistema de gestión, buscando sinergias, mejoras en la productividad, mayor sencillez de uso y facilidad de implantación y mantenimiento.
PAS 99 da directrices sobre cómo abordar un proceso de integración de
sistemas de gestión, teniendo en cuenta los seis requisitos comunes establecidos en la Guía ISO 72 y siguiendo el enfoque PDCA (Plan-Do-Check- Act). BSI pone a disposición otras publicaciones relacionadas con la integración de sistemas.
BS 25999
Cada vez resulta más importante para las empresas el disponer de planes de continuidad de negocio que minimicen la inactividad de la organización en caso
de cualquier tipo de interrupción.
BSI (British Standards Institution) publicó en 2006 BS25999-1, que es un código de buenas prácticas dedicado a la gestión de la continuidad de negocio.
Con origen en PAS 56:2003, BS 25999-1 establece el proceso por el cual una organización puede desarrollar e implementar la continuidad de negocio, incluyendo una completa lista de controles basada en las mejores prácticas de BCM (Business Continuity Management). Está pensada para su uso por cualquier organización grande, mediana o pequeña, tanto del sector público como privado.
En 2007, fue publicada BS 25999-2, que especifica los requisitos para establecer, implementar, operar, supervisar, revisar, probar, mantener y mejorar un sistema de gestión de continuidad de negocio documentado en el
contexto de la gestión global de riesgos de una organización. En base a esta norma pueden ser certificados los sistemas de gestión de continuidad de negocio.
BS 25777
BSI (British Standards Institution) publicó en 2006 un documento llamado PAS 77 (PAS = Publicly Available Specification), que es un código de buenas prácticas que establece un marco y da unas directrices generales para crear un plan de continuidad de servicios de tecnologías de la información. Desarrollado por BSI en conjunto con Adam Continuity, Dell Corporation, Unisys y SunGard, está orientado para organizaciones de todo tipo.
BSI tiene el objetivo de desarrollar este documento PAS como un estándar llamado BS 25777 a lo largo de 2008 y 2009.
Está previsto que en otoño de 2008 se publique BS 25777-1, que será un código de buenas prácticas sobre cómo abordar la gestión de la continuidad de servicios TI en una organización.
A finales de 2009, se publicará la segunda parte, BS 25777-2, que especificará los requisitos para establecer, implementar, operar, supervisar, revisar, probar, mantener y mejorar un sistema de gestión de continuidad de servicios TI. En base a esta segunda parte, podrán ser auditados y certificados los sistemas de gestión de las organizaciones por entidades de certificación.
COSO-Enterprise Risk Management / SOX
El Committee of Sponsoring Organizations of Treadway Commission (COSO) es una iniciativa del sector privado estadounidense formada en 1985. Su objetivo principal es identificar los factores que causan informes financieros fraudulentos y hacer recomendaciones para reducir su incidencia. COSO ha establecido una definición común de controles internos, normas y criterios contra los cuales las empresas y organizaciones pueden evaluar sus sistemas de control.
COSO está patrocinado y financiado por cinco de las principales asociaciones e institutos profesionales de contabilidad: American Institute of Certified Public Accountants (AICPA), American Accounting Association (AAA), Financial Executives Institute (FEI), The Institute of Internal Auditors (IIA) y The Institute of Management Accountants (IMA).
El modelo COSO ERM-Framework de 2004 introduce nuevos elementos a modelos anteriores (CoCo de 1995 y COSO de 1992/94).
Existe una relación directa entre los objetivos que la entidad desea lograr y los componentes de la gestión de riesgos corporativos, que representan lo que hace falta para lograr aquellos. La relación se representa con una matriz tridimensional, en forma de cubo.
Las cuatro categorías de objetivos (estrategia, operaciones, información y conformidad) están representadas por columnas verticales, los ocho componentes lo están por filas horizontales y las unidades de la entidad, por la tercera dimensión del cubo.
Desde este enlace se puede acceder a la lista completa de publicaciones que incorpora.
Información adicional en el informe ejecutivo y marco general de la norma. COSO se puede combinar con CobiT o con ITIL como modelo de control para procesos y gestión TI.
COSO está teniendo una difusión muy importante en relación a la conocida como Ley Sarbanes-Oxley. No se trata de un marco o estándar específico de seguridad de la información pero, por el impacto que está teniendo en muchas empresas y por sus implicaciones indirectas en la seguridad de la información, conviene mencionarlo en esta sección.
La Sarbanes-Oxley Act of 2002 (SOX) se introdujo en EEUU como ley para proteger a los inversores frente a una falsa presentación de la situación de las empresas. Entró en vigor el 30 de julio de 2002 y tiene validez tanto para empresas nacionales estadounidenses como para extranjeras que coticen en las bolsas de aquel país.
Además del registro en un servicio de inspección pública, SOX exige el establecimiento de un sistema de control interno para la elaboración de informes financieros. La ley requiere una mayor transparencia de información, amplía los deberes de publicación y formaliza los procesos que preceden a la elaboración de un informe de la empresa.
Es la ya famosa Sección 404 la que establece que la gerencia debe generar un informe anual de control interno, en el cual se confirme la responsabilidad de la dirección en la implantación y mantenimiento de unos procedimientos y una estructura de control interno adecuados para la información financiera. El marco más empleado por las empresas para cumplir con esta obligación es, precisamente, el de gestión del riesgo empresarial de COSO.
Este sistema de control tiene también un importante reflejo en el área de seguridad de la información. Uno de los marcos que más se utilizan para
implantar el sistema en esta área es CobiT. Más específicamente, ISACA ha publicado un documento de controles TI para Sarbanes-Oxley, basado en directrices de COSO, con referencias cruzadas a CobiT.
Certificación
La norma ISO 27001, al igual que su antecesora BS 7799-2, es certificable. Esto quiere decir que la organización que tenga implantado un SGSI puede solicitar una auditoría a una entidad certificadora acreditada y, caso de superar la misma con éxito, obtener una certificación del sistema según ISO 27001. En las siguientes secciones, se abordan diferentes temas relacionados con la certificación.
Acceda directamente a cada una de ellas desde el menú del recuadro verde de la izquierda o descargue en pdf el documento completo.
Implantación del SGSI
Evidentemente, el paso previo a intentar la certificación es la implantación en la organización del sistema de gestión de seguridad de la información según ISO 27001. Este sistema deberá tener un historial de funcionamiento demostrable de al menos tres meses antes de solicitar el proceso formal de auditoría para su primera certificación.
ISO 27001 exige que el SGSI contemple los siguientes puntos: • Implicación de la Dirección.
• Alcance del SGSI y política de seguridad. • Inventario de todos los activos de información. • Metodología de evaluación del riesgo.
• Identificación de amenazas, vulnerabilidades e impactos. • Análisis y evaluación de riesgos.
• Selección de controles para el tratamiento de riesgos. • Aprobación por parte de la dirección del riesgo residual. • Declaración de aplicabilidad.
• Plan de tratamiento de riesgos.
• Implementación de controles, documentación de políticas, procedimientos e instrucciones de trabajo.
• Definición de un método de medida de la eficacia de los controles y puesta en marcha del mismo.
• Formación y concienciación en lo relativo a seguridad de la información a todo el personal.
• Realización de auditorías internas.
• Evaluación de riesgos periódica, revisión del nivel de riesgo residual, del propio SGSI y de su alcance.
• Mejora continua del SGSI.
La documentación del SGSI deberá incluir: • Política y objetivos de seguridad. • Alcance del SGSI.
• Procedimientos y controles que apoyan el SGSI.
• Descripción de la metodología de evaluación del riesgo. • Informe resultante de la evaluación del riesgo.
• Plan de tratamiento de riesgos.
• Procedimientos de planificación, manejo y control de los procesos de seguridad de la información y de medición de la eficacia de los controles. • Registros.
• Declaración de aplicabilidad (SOA -Statement of Applicability-). • Procedimiento de gestión de toda la documentación del SGSI.
Hay una serie de controles clave que un auditor va a examinar siempre en profundidad:
• Política de seguridad.
• Asignación de responsabilidades de seguridad. • Formación y capacitación para la seguridad. • Registro de incidencias de seguridad.
• Gestión de continuidad del negocio. • Protección de datos personales.
• Salvaguarda de registros de la organización. • Derechos de propiedad intelectual.
El SGSI puede estar integrado con otro tipo de sistemas (ISO 9001, ISO 14001…). La propia norma ISO 27001 incluye en su anexo C una tabla de correspondencias de ISO 27001:2005 con ISO 9001:2000 e ISO 14001:2004 y sus semejanzas en la documentación necesaria, con objeto de facilitar la integración.
Es recomendable integrar los diferentes sistemas, en la medida que sea posible y práctico. En el caso ideal, es posible llegar a un solo sistema de gestión y control de la actividad de la organización, que se puede auditar en cada momento desde la perspectiva de la seguridad de la información, la calidad, el medio ambiente o cualquier otra.
Auditoría y certificación
Una vez implantado el SGSI en la organización, y con un historial demostrable de al menos 3 meses, se puede pasar a la fase de auditoría y certificación, que se desarrolla de la siguiente forma:
• Solicitud de la auditoría por parte del interesado a la entidad de certificación y toma de datos por parte de la misma.
• Respuesta en forma de oferta por parte de la entidad certificadora. • Compromiso.
• Designación de auditores, determinación de fechas y establecimiento conjunto del plan de auditoría.
• Pre-auditoría: opcionalmente, puede realizarse una auditoría previa que aporte información sobre la situación actual y oriente mejor sobre las posibilidades de superar la auditoría real.
• Fase 1 de la auditoría: no necesariamente tiene que ser in situ, puesto que se trata del análisis de la documentación por parte del Auditor Jefe y la preparación del informe de la documentación básica del SGSI del cliente, destacando los posibles incumplimientos de la norma que se verificarán en la Fase 2. Este informe se envía junto al plan de auditoría al cliente. El periodo máximo entre la Fase 1 y Fase 2 es de 6 meses.
• Fase 2 de la auditoría: es la fase de detalle de la auditoría, en la que se revisan in situ las políticas, la implantación de los controles de seguridad y la eficacia del sistema en su conjunto. Se inicia con una reunión de apertura donde se revisa el objeto, alcance, el proceso, el personal, instalaciones y recursos necesarios, así como posibles cambios de última hora. Se realiza una revisión de las exclusiones según la Declaración de Aplicabilidad (documento SOA), de los hallazgos de la Fase 1, de la implantación de políticas, procedimientos y controles y de todos aquellos puntos que el auditor considere de interés. Finaliza con una reunión de cierre en la que se presenta el informe de auditoría.
• Certificación: en el caso de que se descubran durante la auditoría no conformidades graves, la organización deberá implantar acciones correctivas; una vez verificada dicha implantación o, directamente, en el caso de no haberse presentado no conformidades, el auditor podrá emitir un informe favorable y el SGSI de organización será certificado según ISO 27001.
• Auditoría de seguimiento: semestral o, al menos, anualmente, debe realizarse una auditoría de mantenimiento; esta auditoría se centra, generalmente, en partes del sistema, dada su menor duración, y tiene como objetivo comprobar el uso del SGSI y fomentar y verificar la mejora continua. • Auditoría de re-certificación: cada tres años, es necesario superar una
auditoría de certificación formal completa como la descrita.
Las organizaciones certificadas a nivel mundial en ISO 27001 (o, anteriormente, en BS 7799-2) por entidades acreditadas figuran listadas en http://www.iso27001certificates.com. Para aquellas organizaciones que lo han