ISO 31000:2009, Risk management

ISO31000The ISO 31000:2009 is a standard published on the 13th of November 2009, and provides a standard on the implementation of risk management which provides principles, framework and a process for managing risk. It can be used by any organization regardless of its size, activity or sector.

Using ISO 31000 can help organizations increase the likelihood of achieving objectives, improve the identification of opportunities and threats and effectively allocate and use resources for risk treatment.

ISO 31000 family is expected to include:

* ISO 31000:2009 – Principles and Guidelines on Implementation
* ISO/IEC 31010:2009 – Risk Management – Risk  Assessment Techniques
* ISO Guide 73:2009 – Risk Management – Vocabulary

For more details, read this article published on Slideshare:
http://www.slideshare.net/RamiroCid/iso-31000-risk-management-30985355

Lean IT principles

LeanIT

Lean IT is an extension of Lean manufacturing and Lean services principles to the development and management of information technology (IT) products and services.

Lean concept and principles are not new because they were developed by Toyota some decades ago, but the use of Lean on IT is new.

Lean IT central concern, applied in the context of IT, is the elimination of waste (or fat), where waste is work that adds no value to a product or service developed/delivered by the company.
The approach is a way of thinking and acting, focussing heavily on organizational culture.
Lean IT is associated with the development and management of Information Technology products and services.

As lean manufacturing has become more widely implemented, the extension of lean principles is beginning to spread to IT (and other service industries). Industry analysts have identified many similarities or analogues between IT and manufacturing.

Consultants and evangelists for Lean IT identify an abundance of waste across the business service “production line”, including legacy infrastructure and fractured processes.

Lean Principles are concerned with:

– Increasing customer value
– Eliminating waste (work that does not add value)
– Management as a facilitator
– The involvement of all employees
– Continual improvement
– Preserving value with less work.

Growing with Lean IT:

– Lean management applied to IT maintenance and operations
– Lean IT to develop outstanding products
– Lean as a competitive advantage for IS service providers
– Information systems supporting the lean company.

ISO/IEC 38500 y el buen Gobierno de las TI

itgov_framework

El Gobierno de las TI (IT Governance) posee una norma ISO asociada, se trata de la
ISO/IEC 38500:2008 “Corporate governance of information technology”.

Esta norma se publicó en junio de 2008 y complementa el conjunto de estándares ISO que afectan a los sistemas y tecnologías de la información, (como la ISO/IEC 27001, ISO/IEC 20000, etc.).

Esta norma fija los estándares para una buena gestión de los procesos y decisiones empresariales relacionadas con los servicios de información y comunicación que, suelen estar gestionados tanto por especialistas en IS/IT internos o dentro de otras unidades de negocio de la organización, como por proveedores de servicios externos.   En esencia, todo lo que esta norma propone puede resumirse en tres propósitos fundamentales:

a) Asegurar que, si la norma es seguida de manera adecuada, las partes implicadas (directivos, consultores, ingenieros, proveedores de hardware, auditores, etc.), puedan confiar en el gobierno corporativo de TI.

b) Informar y orientar a los directores que controlan el uso de los IS/IT en su organización/empresa

c) Proporcionar una base para la evaluación objetiva por parte de la alta dirección de la gestión de las TI.   Marco de gobierno de TI   Así mismo, la norma alienta a adoptar un conjunto de medidas de mínimos para que la organización pueda obtener sus objetivos de TI.

Dichos mínimos se traducen en 6 principios básicos:

1. El establecimiento de responsabilidades a las personas competenters para la toma de decisiones
2. Alineamiento de las TI con los objetivos estratégicos de la organización (una buena planificación del apoyo a la mejora de la organización)
3. La inversión en bienes de TI adecuados
4. Calidad en el funcionamiento de los sistemas de TI
5. La garantía de conformidad legal o normativa de los sistemas TI
6. La implicación del factor humano así como el respeto al mismo

Cabe destacar los 2 últimos:

- La conformidad con el entorno legal es una necesidad creciente en el contexto de los IS/TI de organizaciones de cualquier tamaño, ya que existe una gran cantidad de legislación que regula el uso de la información, sus comunicaciones, etc. conformando un marco legal de obligado cumplimiento que no puede obviarse.

– El factor humano
suele tratarse de manera muy tangencial en muchas estrategias empresariales y, sobre todo, de IS/TI. Por fortuna, esta norma (al igual que la ISO 27001 por ejemplo en su dominio “8. Seguridad ligada a los Recursos Humanos”), lo incorpora como un pilar fundamental más.

Reputación online e Identidad digital de las empresas

TheSevenLawsWordle

Las empresas cada vez poseen más presencia en Internet, siendo esta de forma activa o por la acción de usuarios y clientes en foros de opinión, blogs, etc.

Debido a ello, cada vez se torna más importante la monitorización de la valoración que el público (Internet) hace de nuestra empresa u organización en Internet. Tornándose cada vez más crítico el contar con una adecuada gestión de reputación online corporativa.

La identidad digital y la reputación online corporativa son hoy en día aspectos muy importantes que las empresas no deben descuidar, ya que de no contar con una adecuada gestión de la misma, se está exponiendo la organización a riesgos relacionados con la privacidad y seguridad que pueden afectar a la imagen de la compañía en el entorno virtual.

Para intentar buscar remedio a estos problemas sumado al posicionamiento y reputación online que la organización quiera llevar a cabo, existe la opción que cualquier empresa puede optar que es llevar a cabo una correcta creación y gestión de la identidad digital corporativa.

En los últimos años, puestos como “Community Manager” o SEO están teniendo cada vez más presencia en procesos de selección de personal, dando a ver que las empresas comienzan a tomarse en serio el contar con una correcta gestión de su identidad y reputación en Internet.

INTECO ha desarrollado una guía completa en formato PDF.

Como crear un BIA

Business-Impact-Analysis-Impact-Matrix1

En este post introduciré brevemente aspectos relacionados con la realización de un BIA (Business Impact Analysis), primero una definición de lo que entendemos por BIA: Un BIA es un proceso de análisis de las funciones del negocio y el efecto que una ruptura en el negocio podría en dichas funciones. La organización debe determinar y documentar el impacto de una ruptura en las actividades que dan soporte a los productos y servicios claves.

En un BIA se identifican las áreas críticas para el alcance de la organización, así como la magnitud potencial del impacto operativo y financiero.

Por cada actividad que soporta un producto o servicio clave, la organización debe:

a) Evaluar los impactos que ocurrirían con el tiempo sí la actividad fuese interrumpida

b) Establecer el máximo período de tiempo que la actividad puede estar interrumpida:

i.
El máximo período de tiempo desde la incidencia y el tiempo en el que la actividad necesita ser reanudada
ii. El mínimo nivel que la actividad necesita para ser realizada correctamente en el momento de su reanudación
iii. Lapso de tiempo en el que los niveles de operación normal necesitan ser reanudados

c) Identificar cada interdependencia de actividades, activos, infraestructura de soporte de recursos que tenga que ser mantenida o recuperada continuamente

Al evaluar los impactos, la organización debe considerar aquéllos que se relacionan con sus objetivos de negocio e intereses. Los mismos pueden ser:

• El impacto en el personal y en la calidad de vida de la organización
• El impacto de daños o pérdida de: premisas, tecnología o información
• El impacto de brechas de deberes estatutarios o requisitos de regulación
• Peligro de pérdida de reputación
• Peligro de viabilidad financiera
• Deterioro de la calidad del producto o servicio
• Daño medioambiental

Espero que este primer alcance de algunos puntos destacados de lo que debe incluir un BIA les haya parecido útil.