De que hablo cuando hablo de… (2ª Parte)

 

Tras los comentarios recibidos sobre el post “De que hablo cuando hablo de…”, he creído conveniente dedicar a nuestros lectores una segunda parte del mismo. Me gustaría matizar que en esta ocasión la entrada está más enfocada al mundo legal y normativo relacionado con las TIC. Por otra parte intentaré ser más descriptivo en las definiciones de estos términos. Así que sin más dilación prosigamos con el mundo de los acrónimos TIC:

BCMS/SGCN (Business Continuity Management System / Sistema de Gestión de Continuidad de Negocio): Sistema de gestión definido en el marco de la norma ISO 22301, anteriormente BS25999-1, que se implementa siguiendo el ciclo de Deming también conocido como PDCA (Plan-Do-Check-Act) que comprende la política, la estructura organizativa, los procedimientos, los procesos y los recursos necesarios para implantar la continuidad de negocio en una entidad.

BIA (Business Impact Analysis): Análisis de los procesos de negocio de una entidad, que contempla los efectos y el impacto que tienen para el negocio la detención de los mismos. En estas valoraciones suelen emplearse entre otros los parámetros RTO y RPO, descritos en la anterior entrada.

BSC (Balance Score Card): Conocido como cuadro de mando integral, es una herramienta de apoyo a la toma de decisiones que centraliza y simplifica la medición de indicadores claves asociados a procesos de negocio.

CAB (Change Advisory Board): Conocido como Comité de cambios, es un término generalmente empleado en el marco de ITIL y más concretamente en el proceso de gestión de cambios, no obstante también aparece en otros marcos como el PMBOK. Hace referencia a un equipo generalmente formado por personal de TI (en ámbito ITIL) y otros interesados, el cual tiene en última instancia la responsabilidad de aprobación del cambio.

CGEIT (Certified in the Governance of Enterprise IT): Certificación otorgada por ISACA a profesionales de las TIC, en el marco del gobierno de la TI, tomando marcos de gestión como ITIL y COBIT.

CISA (Certified Information System Auditor): Certificación otorgada por ISACA a profesionales de las TIC, en el marco de las auditorías de sistemas de información.

CISM (Certified Information Security Manager): Certificación otorgada por ISACA a profesionales de las TIC, en el marco de la gestión de la seguridad de la información.

CISSP (Certified Information Systems Security Professional): Certificación otorgada por la ISC2 para profesionales de las TIC, en el área de seguridad de la información.

COBIT (Control Objectives for Information and related Technology): Marco desarrollado por ISACA para la gestión y gobierno de las TI. Recoge un conjunto de buenas prácticas en el ámbito de la gestión de TI, que incluyen objetivos de control, guías de auditoría, así como métricas y modelos de madurez. La última versión de este marco es COBIT 5, y se encuentra alineado con otros marcos de gestión como por ejemplo ISO, ITIL y PMBOK.

CRAMM (CCTA Risk Analysis and Management Method): Metodología de análisis de riesgos desarrollado por la Agencia Central de Comunicación y Telecomunicación del gobierno británico.

CRISC (Certified in Risk and Information Systems Control): Certificación otorgada por ISACA a profesionales de las TIC, en el marco de la gestión de riesgos y control de los sistemas de información.

DPO (Data Protection Officer): Figura definida en el borrador del Reglamento EU que modifica la actual normativa en materia de protección de datos, requerida en todas las entidades con más de 250 empleados. Se encarga de velar por el cumplimiento de la normativa de protección de datos aplicable.

ENI (Esquema Nacional de Interoperabilidad): Real Decreto 4/2010, establece los criterios en cuanto a normalización de información, aplicaciones y formatos que las Administraciones Públicas deben seguir en el desarrollo y mantenimiento de sus plataformas tecnológicas, dentro del ámbito de la administración electrónica definida en la LAECSP.

ENS (Esquema Nacional de Seguridad): Real Decreto 3/2010, define un marco obligatorio para la gestión de la seguridad de la información y de los servicios prestados por las Administraciones Públicas a los ciudadanos en el ámbito de la LAECSP. Este esquema recoge medidas de seguridad tanto en el plano organizativo como en el operacional, así como medidas de protección concretas. Estableciendo a su vez los criterios a los que se deben escoger las Administraciones para determinar qué medidas deben implantar. Su fecha de implantación efectiva es enero de 2014.

ISACA (Information System Audit and Control Association): Asociación internacional encargada de proponer y patrocinar el desarrollo de metodologías y certificaciones en el ámbito de auditoría y control de sistemas de información, seguridad de la información, gobierno de las TI y gestión de riesgos TI.

ISMS/SGSI (Information Security Management System / Sistema de Gestión de Seguridad de la Información): Sistema de gestión definido en el marco de la norma ISO 27001, que se implementa siguiendo el ciclo de Deming también conocido como PDCA (Plan-Do-Check-Act) que comprende la política, la estructura organizativa, los procedimientos, los procesos y los recursos necesarios para implantar la gestión de la seguridad de la información.

ITIL (Information Technology Infrastructure Library): Es un marco de gobierno de TI, que define un conjunto de procesos para la gestión de servicios de las tecnologías de la información. Desarrollado inicialmente por la CCTA (Central Computer and Telecommunications) del gobierno británico. La versión vigente es la V3 y define 5 etapas en el ciclo de vida del servicio: Estrategia del Servicio, Diseño del Servicio, Transición del Servicio, Operación del Servicio y Mejora Continua del Servicio. Este marco tiene un esquema definido para certificaciones de los profesionales que realizan funciones vinculadas a este marco.

ITSMS/SGSTI (IT Service Management Sistema de Gestión Servicios de TI): Sistema de gestión definido en el marco de la norma ISO 20000-1, que se implementa siguiendo el ciclo de Deming también conocido como PDCA (Plan-Do-Check-Act) que comprende la política, la estructura organizativa, los procedimientos, los procesos y los recursos necesarios para implantar los servicios de TI de modo efectivo en una organización. Esta alineado con lo descrito en ITIL V3.

KPI (Key Performance Indicators): Conocidos como indicadores claves del rendimiento, son métricas que sirven para cuantificar y evaluar el nivel de rendimiento o cumplimiento de un proceso. Su uso está altamente extendido en el ámbito del Business Intelligence, y son los principales elementos que conforman el BSC.

LAECSP (Ley Acceso Electrónico de los Ciudadanos a los Servicios Públicos): Ley 11/2007, establece el derecho al acceso electrónico de los ciudadanos en cuanto a la tramitación de las relaciones con las Administraciones Públicas. Definiendo un marco para la administración electrónica.

LOPD (Ley Orgánica de Protección de datos): Ley 15/1999, deroga la anterior LORTAD y al igual que la misma tiene por objetivo garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar. Destacar la inclusión de los tratamientos no automatizados, la incorporación de la videovigilancia como tratamiento automatizado de datos, así como la identificación de otros conceptos como el de Encargado de Tratamiento.

LORTAD (Ley Orgánica de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal): Ley 5/1992, que regula el tratamiento automatizado de datos de carácter personal. Sienta las bases en protección de datos definiendo los conceptos de: Dato de carácter personal, fichero automatizado, tratamiento de datos y responsable del fichero.

MAGERIT (Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información de las adminisTraciones públicas): Metodología de análisis y gestión de riesgos desarrollada por un equipo del Comité Técnico de Seguridad de los Sistemas de Información y Tratamiento Automatizado de Datos Personales, del consejo Superior de Administración Electrónica. Actualmente se encuentra en su tercera versión.

PILAR (Procedimiento Informático Lógico de Análisis de Riesgos): Herramienta desarrollada en java que implementa la metodología MAGERIT de análisis y gestión de riesgos, desarrollada por el Centro Criptológico Nacional (CCN) y de amplia utilización en la administración pública española.

RA_1 (Risk Analysis): De acuerdo con la metodología MAGERIT, es un proceso sistemático para la estimar la magnitud de los riesgos a que está expuesta una organización.

RA_2 (Risk Appetite): Nivel de riesgo que una organización acepta.

RDLOPD (Reglamento de Desarrollo de la Ley Orgánica de Protección de Datos): Real Decreto 1720/2007 que deroga el anterior RMS, y tiene como objetivo desarrollar la LOPD, mediante la definición de medidas organizativas y técnicas. Las principales novedades de este nuevo Reglamento incluyen la revisión de las medidas de seguridad previamente establecidas en el ámbito de los tratamientos automatizados con cambios de un calado menor y la inclusión de medidas de seguridad para los tratamientos no automatizados de datos de carácter personal.

RMS (Reglamento de Medidas de Seguridad): Real Decreto 994/1999, que establece las medidas de índole técnica y organizativa necesarias para garantizar la seguridad (tales como copias de respaldo, control de acceso, gestión de incidencias) que deben implantar las entidades que realicen tratamientos automatizados de datos de carácter personal sujetos al régimen de la LORTAD y posteriormente la LOPD. Esta derogado por el vigente RDLOPD.

SOX (Ley Sarbanes Oxley): Ley de Estados Unidos de 2002, cuyo objetivo es la monitorización de las empresas que cotizan en la bolsa de valores de NY, así como sus filiales. Con el fin de evitar que las acciones de las mismas sean alteradas de forma dudosa. Por lo que respecta a TI son de aplicación, tanto la sección 302 que hace referencia a la certificación de los informes anuales, como la 404 sobre la implantación de controles. En la mayoría de ocasiones los requisitos establecidos por las SOX se implementan siguiendo lo establecido en el marco COBIT.

Y con este post seguimos con esta serie de entradas, en las que trataremos de facilitar a nuestros estimados lectores la compresión de ese lenguaje tan propio de la gente que trabajamos en el sector de las TIC. No obstante, como dije en el anterior post muchos acrónimos se han quedado pendientes (y soy consciente de ello), pero el mundo de las siglas es vasto e infinito y nunca se detiene… así que sigan atentos a una próxima entrada. Por último y como consejo de este humilde consultor no se dejen amilanar por unas cuantas siglas y tan pronto como se enfrenten a un nuevo acrónimo busquen su significado ASAP ;).

SAW aka SecurityArtWork

*Para la definición de algunos de los términos anteriormente descrito se ha empleado fuentes como wikipedia.org, normas, leyes y decretos

Comments

  1. Desconocía bastantes de estos acrónimos y algunos son bastante interesantes.
    En cuanto a “MAGERIT” resulta gracioso la coincidencia que hay con la palabra árabe para referirse a Madrid.
    Saludos