ISO 27001 e ISO 20000: lo que nos piden con ellas

Lo primero que pensé es que iba a necesitar ser capaz de recuperar la empresa en caso de terremoto y caída del edificio en 5 minutos. Nada más lejos de la realidad.

Lo que miran los auditores no es que todo sea perfecto a nivel de funcionamiento sino que esté bien gestionado:

  • alineado con los objetivos de la dirección
  • que le permitan a uno cumplir las SLAs acordadas con los clientes
  • que aseguren la continuidad de la empresa en caso de desastre
  • ...

La definición chabacana de lo que se pretende viene a ser "Conjunto de perogrulladas que deberían estar implementadas en el sistema de gestión de la empresa".
Pero por algún motivo muchas no se implementan. Los motivos por los que pueden no haberse implementado van desde el aislamiento de los grupos de la empresa llegando al punto de no saber que hacen los unos y los otros, hasta hasta la imposibilidad de implementar unos sistemas decentes por falta de presupuesto (aquí entra la parte de darle en la boca al jefe con la ISO que es la que más me gusta).

¿Que es estar bien gestionado?

En la mayor parte de ocasiones gestionar bien no tiene mucho que ver con el dinero invertido.

Un sistema de backup no alineado

Por ejemplo, imagínate que te gastas 30000€ en un sistema de backup en cinta con red independiente que permite hacer backup de todas la empresa en 8 horas y recuperar cualquier servidor en caso de fallo físico en 2 horas.

Si la SLA que tienes con tus clientes es de 1 hora te garantizo que no pasas la ISO. Tienes dos opciones: o desechas el sistema anterior por imposibilitar el cumplimiento de la SLA y lo sustituyes por otro o renegocias con los clientes las SLAs.

Un caso extremo de sistema de backup alineado con las SLAs podría consistir en ir a la tienda de al lado y gastarte 200€ en un PC. El sistema de backup puede consistir en tener a unos becarios que se dedican cada hora a la apasionante tarea de ejecutar un rsync desde los servidores al PC de backup.

La recuperación desde disco siempre es más rápida que desde cinta así que cumplirás tu SLA a un coste menor.

Vale que a nadie se le va a ocurrir hacer esto y que si el auditor ve esto se va a partir de risa peeeeeero, si evidencias que tu sistema de backup funciona y cumple con las SLAs no va a tener más remedio que darlo por bueno y pasar al siguiente punto.

Información crítica solo conocida por una persona

Vale, a todos nos llama la atención la palabra Gurú. Si te dicen que eres un Gurú hasta te sientes guay y necesario dentro de la empresa. Y para el Gurú eso está genial ... pero no lo está para la empresa.

Muchos gurús no documentan las cosas así que en caso de faltar por enfermedad o muerte pueden llegar a suponer un enorme gasto para la empresa. Además, siempre va a tener agarrados por los huevos a los demás miembros de la empresa. ¡Que no se te cabree un gurú!

Más adelante, cuando hagamos el análisis de riesgos, veremos que los gurús que no documentan y se guardan toda la información para ellos deben ser, o bien convencidos para que documenten todo lo que hacen, o bien despedidos cuanto antes porque suponen un gran riesgo para la empresa y por consiguiente para sus clientes.

Sin embargo una persona un poco más lenta, si cumple objetivos y documenta todo lo que hace, da un cero en el análisis de riesgos y no será un obstáculo para pasar la ISO.

Para la próxima entrega

Por fin vamos a entrar en materia con la CMDB o "inventario" para los amigos.

El álbum de hoy

Classic Pop piano de Vladimir Sterzer (caché):