A través del blog de Javier Cao me entero de una buena noticia, y es que habrá una norma ISO dedicada exclusivamente a dos parámetros cruciales en los sistemas de gestión de la seguridad, como son la continuidad de los negocios y la recuperación ante de los desastres, factores que van, obviamente, de la mano.
La norma estará disponible a finales de 2007, y se llamará ISO 27006 “Guidelines for information and communications technology disaster recovery services”. Comenta Javier que estará basada en buena parte en SS507 (Standard for Business Continuity / Disaster Recovery Service Providers), un estándar con bastante menos popularidad que las ISO.
Una norma especialmente indicada a aquellos que proveen/proveemos servicios y tecnologías para la recuperación ante desastres, que sólo hace refrendar lo que se está viendo venir desde los albores del siglo XXI: la seguridad informática tradiconal está muriendo y la seguridad de la informacióne está sólida e inexorablemente tomando su lugar.
La norma tendrá los siguientes puntos básicos:
- Introducción
- Alcance
- Definiciones
- Buenas prácticas generales
- Instalaciones para la recuperación ante desastres
- Capacidad de los servicios de recuperación
- Guías para la selección de los emplazamientos de recuperación
- Guías adicionales para los proveedores de continuidad profesionales
Sobre este boceto de norma, quiero destacar especialmente dos cosas: el primero es que por fin se le van a dar a las instalaciones físicas de recuperación el valor que realmente tienen (me imagino que lo del Katrina mucho habrá tenido que ver en esto) y por otro lado, es una norma que se aplicará intera y externamente a la empresa, y por tanto hará que las relaciones con los proveedores de seguridad y recuperación estén sujetas a criterios de control, por ejemplo, mediante indicadores.
Me gusta la idea, sí :)
PD: ¿Para qué sirven los boletines de información de ISO si no mandan NADA a los suscriptores?
ACTUALIZACIÓN
Fernando Aparicio se hace eco y proporciona un enlace interesante, donde se vislumbra un poco más la nueva norma. Sobre Fernando, recomendaros su blog Comentarios sobre Riesgo Electrónico, con excelentes contenidos sobre Seguridad de la Información. Fernando es docente del Instituto de Empresa.
Felicitaciones por tu sitio, tienes temas de gran interés como este post sobre la recuperación de desastres.
Suerte
Un cordial saludo
Carlos,
Gracias. Pero sigue las referencias del post, verás que el que ha promovido este asunto de la 27006 es el amigo Javier, yo sólo me he limitado a reproducir la noticia :)
Saludos y bienvenido.
El WG1 del grupo SC27 ha modificado la nomenclatura de sus normas 2700x y la ISO 27006 ha sido nombrada para dar cabida a la norma para los requerimientos de los certification bodies en los SGSI. Actualmente la EA703 es utilizada por los organismos de acreditación para la certificación de un SGSI.
Actualmente la ISO FCD 27006 está en proceso de votación y no se puede hacer referencia a ella puesto no que está a disposición pública todavía.
Que yo sepa no existe todavía numero oficial para la norma de plan de continuidad de negocio
Toni Martin
Consultor de seguridad
Toni,
Gracias por las aclaraciones. Los datos de los que dispongo son los que liberó la gente de http://www.iso27001security.com/html/iso27006.html, los cuales obviamente han tenido acceso al cuerpo del borrador, y que han sindicado lo que la propia ISO comentó en nota de prensa.
Si bien no es oficial, todo apunta a que por ahí van los tiros. La última confirmación es la aparición de la BS 25999, cuyo draft está públicamente disponible en http://www.bsi-global.com/Risk/BusinessContinuity/bs25999.xalter
Casualmente, BS 25999-1 se llama \»Code of Practice for Business Continuity Management\» y es, como te digo, un \»Draft for Public Comment (DPC)\» que puedes leer cuando desees.
Un saludo atento,
Sergio,
Gracias a Toni por las aclaraciones que son, efectivamente, correctas. No hay número oficial para la gestión y planificación de Gestión de Continuidad de Negocio.
La BS 25999 no es una confirmación de que esta será una norma ISO. La BS 25999 o «Code of Practice for Business Continuity Management» saldrá oficialmente antes de final de año (2006) y seguirá siendo un «Code of Practice». Hoy en día ya no es un DPC puesto que la posibilidad de someter comentarios se terminó el día 31 de agosto, 2006.
Debo apoyar el comentario de Toni en el que dice que no se puede hacer referencia a la ISO 27006 ya que está en proceso de votación.
Acabo de asistir a una conferencia del BSI y todavía estamos bastante lejos de una norma ISO. Recordamos que la BS 17799 ha tardado casi 10 años en transformarse en una norma ISO.
Un cordial saludo
Joanne Gagnon, ABCI
Interesante apreciación, Joanne :)
Gracias por la aclaración. Si tienes ocasión de enterarte de algo, no dejes de contárnoslo.
Saludos,
Hola como estan? estoy demasiado interasada por la norma esa, pero como todavia no salio, me podrias facilitar la forma de armar un plan de recuperacion ante desastres o alguna ayuda sera bien recibida.
Desde ya muchas gracias por su cordial atencion
Mariel,
En AuditNet.org hay bastantes manuales sobre BRS y PRS. Deberías echar un ojo por allí :)
Un saludo,