Para ello han elaborado un poster en diferentes formatos, que reproduzco a continuación:

Lo que sale abajo a la derecha es el slogan principal de la ODF Alliance:

As documents and services are increasingly transformed from paper to electronic form, there is a growing problem that governments and their constituents may not be able to access, retrieve and use critical records, information and documents in the future. To enable the public sector to have greater control over and direct management of their own records, information and documents, the ODF Alliance seeks to promote and advance the use of OpenDocument Format (ODF).

The alliance works globally to educate policymakers, IT administrators and the public on the benefits and opportunities of the OpenDocument Format, to help ensure that government information, records and documents are accessible across platforms and applications, even as technologies change today and in the future.

Yo soy de los que creo que el camino a seguir es Open Document Format. No necesitamos otros formatos, porque ODF es un formato documental abierto verdadero, porque ha sido elevado a estándar internacional, y porque cumple con nuestras expectativas de interoperabilidad. Y si ya tenemos un estándar, no necesitamos más.

Lo he visto en Barrapunto.

El detonante de esta polémica es una carta que firma D. José María Rodríguez Sánchez, Director General de Sistemas de Información y Telecomunicaciones del Consejo de Presidencia de la Junta de Andalucía, y que va dirigida al Presiente del Comité Técnico de Normalización 71 de AENOR:

Os dejo un extracto de la carta que lo resume todo:

Me dirijo a usted, porque he tenido conocimiento de que se ha comunicado a los miembros del Comité CTN71 de AENOR que la Junta de Andalucía había manifestado su apoyo a la aprobación del estándar ISO DIS 29500. En ese sentido quiero ponerle de manifiesto nuestro profundo malestar por la tergiversación de la carta que remití a D. Gonzalo Sotorrío González, Director de la División de Normalización de AENOR, el 29 de enero de 2007. En ese sentido quiero hacerle saber que la Junta de Andalucía nunca ha hecho manifestaciones a favor de la aprobación del estándar ISO DIS 29500, que no existía en la fecha de la firma de la mencionada carta, y de forma exacta y cito textualmente, nuestro escrito iba en la línea de que “la apuesta de la Junta de Andalucía por la adopción de los estándares abiertos en materia de Tecnologías de la información entronca directamente con las recomendaciones de la Unión Europea recogidas en el Marco Europeo de Interoperabilidad, y se encuentra firmemente sustentada por el estándar ISO/IEC 26300 en formatos de documentos”.

La carta continúa con aseveraciones dignas de ser leídas y que reproduzco a continuación

En la comunicación realizada a los miembros del CTN71 se hace mención a un párrafo, sacado de contexto, de una carta, firmada por mí como Director General de Innovación y Administraciones Públicas de la Junta de Andalucía, con motivo del estudio de la conveniencia de la tramitación del estándar ISO CP 29500 por vía rápida (fast track) y en el que la Junta de Andalucía manifestaba su ofrecimiento de ayuda al Comité CTN71 y su interés en un estudio de la mayor profundidad posible por su incidencia en el terreno de los estándares abiertos. En ese sentido, mi carta manifestaba el apoyo al estándar abierto ISO/IEC 26300 en materia de formatos de documentos, y en ningún caso al estándar ISO DIS 29500.

Como sabrán la Junta de Andalucía lleva muchos años impulsado con absoluta convicción la interoperabilidad y los estándares abiertos, y en ese sentido, siempre hemos pretendido manifestar nuestro ofrecimiento de colaboración - desde una posición muy relevante en el uso de las TIC en España – al comité CTN71 para procurar una mayor claridad y promoción en el uso de los estándares abiertos y de las TIC en general.

Por tanto, les rogamos que hagan llegar en tiempo y forma esta rectificación a los miembros del CTN71 antes de que puedan tomar una decisión sobre una base errónea, o al menos, con una información incierta de cual es la postura de la Junta de Andalucía en relación a los estándares abiertos.

A su vez, les rogaría que nos informaran como ha sido posible que se haya producido semejante confusión en un proceso de tal magnitud y trascendencia, en la medida en la que pone en cuestión la convicción de la Junta de Andalucía en relación con la interoperabilidad y los estándares abiertos.

Días como hoy hacen que sienta orgullo de ser andaluz, y que los políticos que allí gobiernan defienden con firmeza y elegancia sus ideas.

Bravo, José María. Yo también apoyo el estándar abierto ISO/IEC 26300.

Que no se asusten los consultores y empresas que trabajen con ISO/IEC 17799:2005, ya que el cambio es, a priori, sólo estético. Los contenidos de la norma son exactamente los mismos que los de antaño, aunque las páginas Web, el material de marketing y otros elementos de la fuerza de ventas deberán cambiar sus contenidos para adaptarse al cambio de nomenclatura.

ISO 27002:2005 es un conjunto de buenas prácticas que centra su foco de estudio en una serie de dominios de control que podríamos considerar esenciales en un Sistema de Gestión de Seguridad de la Información:

* Gestión y tratamiento del riesgo
* Política de seguridad
* Aspectos organizativos para la seguridad
* Clasificación y control de activos
* Seguridad ligada al personal
* Seguridad física y del entorno
* Gestión de comunicaciones y operaciones
* Control de accesos
* Adquisición, desarrollo y mantenimiento de sistemas
* Gestión de incidentes de seguridad de la información
* Gestión de continuidad de negocio
* Conformidad legal

Podéis adquirir vuestras copias en la tienda online de ISO.

Un saludo,

La cláusula 4.2.1. de la Norma ISO 27001:2005 se refiere al Establecimiento del Sistema de Gestión de Seguridad de la Información (SGSI). Expone los requisitos que debe cumplir toda organización que desee establecer su Sistema alegando conformidad con dicha norma. Analizo cada uno de los aparatados de dicha cláusula, incorporando algunos comentarios que espero sean de interés.

Este interesante aspecto administrativo de la norma ISO 27001:2005 es un extracto del artículo ISO 27001 - Establecimiento del SGSI, escrito por José Manuel Fernández, que inicia su actividad "blogueril" con el weblog ISO 9001, ISO 27001 y otros sistemas de gestión. En el artículo se hace un análisis completo de la cláusula 4.2.1 y de todo aquello que tenga que ver con el establecimiento del sistema.

José Manuel es, además de un amigo personal al que tengo el gusto de conocer desde hace muchos años, un especialista en sistemas de gestión, no sólo en el campo de la gestión de la seguridad según ISO 27001, sino también en otras disciplinas, como por ejemplo en calidad según ISO 9001:2000.

Es por tanto que conociendo lo que sabe hacer, y sabiendo que lo que hace lo hace bien, os recomiendo añadáis su feed a vuestro agregador favorito y hagáis seguimiento a sus publicaciones, que prometen ser interesantes.

Un saludo, y bienvenido a la blogocosa, Jose :)

Desde ayer el estándar documental OpenDocument es oficialmente un estándar internacional y será numerado como ISO/IEC DIS 26300.

La nota de prensa emitida por la OpenDocument Format Alliance ha sido rápidamente diseminada por la blogocosa, así por ejemplo, se hacen eco de la noticia Consortium Info, Slashdot y Groklaw entre otros.

OpenDocument es un estándar documental abierto cuyo propósito es estandarizar los formatos documentales comúnmente empleados en ofimática, y así de una vez por todas, ofrecer capacidad plena a las aplicaciones ofimáticas para poder intercambiar y operar documentos ofimáticos sin ningún problema de interoperabilidad, es decir, sin dependencia alguna ni del sistema operativo de ni la aplicación ofimática empleada.

Eso sí, si queréis haceros con el estándar en ISO.org, hay que pasar por caja. 64 francos suizos (el día que la tienda online de ISO trabaje en otras divisas, daré palmas con las orejas) lo que viene a ser aproximadamente 41 euros, 6817 pesetas de las antiguas. De momento, hay que conformarse con las specs publicadas en oasis-open.org.

La ofimática necesita urgentemente que se adopten medidas de estandarización. Vamos a ver qué hace Microsoft con esta patata caliente. Como era de esperar, la compañía de Redmond sigue en su afán de reinventar la rueda, y en vez de adoptar OpenDocument sigue erre que erre con su formato XML propiterario en proyecto.

Lo que es innegable es que desde ayer, con total rotundidad y a la vista están las pruebas, la paquetería ofimática de Microsoft no verifica ni cumple los estándares internacionales.

La norma estará disponible a finales de 2007, y se llamará ISO 27006 “Guidelines for information and communications technology disaster recovery services”. Comenta Javier que estará basada en buena parte en SS507 (Standard for Business Continuity / Disaster Recovery Service Providers), un estándar con bastante menos popularidad que las ISO.

Una norma especialmente indicada a aquellos que proveen/proveemos servicios y tecnologías para la recuperación ante desastres, que sólo hace refrendar lo que se está viendo venir desde los albores del siglo XXI: la seguridad informática tradiconal está muriendo y la seguridad de la informacióne está sólida e inexorablemente tomando su lugar.

La norma tendrá los siguientes puntos básicos:

• Introducción
• Alcance
• Definiciones
• Buenas prácticas generales
• Instalaciones para la recuperación ante desastres
• Capacidad de los servicios de recuperación
• Guías para la selección de los emplazamientos de recuperación
• Guías adicionales para los proveedores de continuidad profesionales

Sobre este boceto de norma, quiero destacar especialmente dos cosas: el primero es que por fin se le van a dar a las instalaciones físicas de recuperación el valor que realmente tienen (me imagino que lo del Katrina mucho habrá tenido que ver en esto) y por otro lado, es una norma que se aplicará intera y externamente a la empresa, y por tanto hará que las relaciones con los proveedores de seguridad y recuperación estén sujetas a criterios de control, por ejemplo, mediante indicadores.

Me gusta la idea, sí :)

PD: ¿Para qué sirven los boletines de información de ISO si no mandan NADA a los suscriptores?

ACTUALIZACIÓN

Fernando Aparicio se hace eco y proporciona un enlace interesante, donde se vislumbra un poco más la nueva norma. Sobre Fernando, recomendaros su blog Comentarios sobre Riesgo Electrónico, con excelentes contenidos sobre Seguridad de la Información. Fernando es docente del Instituto de Empresa.

La gente de BSI ha publicado muy recientemente la revisión del 2006 de la tercera parte de esta conocida norma, piedra angular de los sistemas de gestión de seguridad de la información. El título original es Information security management systems. Guidelines for information security risk management y según la nota de prensa de BSI, está orientada a la identificación, evaluación, tratamiento y gestión de los riesgos inherentes a la seguridad de la información, como procesos clave si los despliegues corporativos basados en este estándar.

Estos procesos clave de la seguridad relacionados con la gestión del riesgo, como bien sabemos, se especifican en el estándar internacional ISO/IEC 27001:2005, y esta extensión BS7799-3:2006 lo que hace es proporcionar asistencia precisamente en la gestión del riesgo, en lo relativo al análisis y tratamiento de los riesgos, toma de decisiones, revisión del análisis y la gestión del riesgo y monitorización de los perfiles de riesgo, con un adecuado perfil de controles, y todo con un foco principal de visión, la ubicación o contextualización de la gestión del riesgo dentro de la gestión corporativa, así como el cumplimiento de estándares y regulaciones que tengan que ver con el riesgo. En resumen, todo lo necesario para definir el ciclo de la gestión del riesgo.

Javier resume esto en una acertada frase: no existe todavía un criterio consensuado sobre cómo y de qué manera desarrollar esta actividad. Cuánta razón tiene :)

El precio: 70 libras esterlinas (ISBN 0 580 47247)

Common Criteria (CC) es un estándar internacional relativo a seguridad informática. Concretamente, está fundamentado en las normas ISO/IEC 15408:2005 e ISO/IEC 18405:2005.8. El propósito de esta norma es permitir la especificación de los requisitos de seguridad a todos los niveles: usuarios, desarrolladores y evaluadores, siendo éstos últimos los que verifican si los requisitos que un usuario o desarrollador proclama se cumplen de un modo efectivo para un producto determinado. Podéis descargar CC en su última versión para curiosear por la documentación (advertencia: es muy espesa)

Es importante notar aquí que CC utiliza una graduación de requisitos llamada Evaluation Assurance Levels, normalmente conocidas como EALs, las cuales están numeradas del 1 al 7, siendo creciente el número de controles y requisitos a cumplir. Los niveles altos de EAL NO IMPLICAN necesariamente que el producto sea más seguro (por eso el título tiene la palabra "seguros" entrecomillada), sino que los niveles de seguridad que un desarrollador o usuario proclama tener en su producto han sido analizados de un modo más exhaustivo.

¿Y cuáles son los sistemas operativos más seguros, si atendemos a su graduación EAL? Para ello nos vamos al portal de Common Criteria, y buscamos, para usuarios, la lista de sistemas operativos evaluados. Y es aquí donde pueden surgir las sorpresas. Este es el listado de los 10 productos testados que mejores resultados han dado en el cumplimiento de EAL, en el apartado de sistemas operativos,ordenados de mayor a menor puntuación (nótese que la lista es simbólica, ya que dos productos con el mismo EAL tienen el mismo grado de cumplimiento, luego los puestos 1, 2 y 3 son permutables, entre sí, así como los 4 a 10)

Puesto 1: Processor Resource/ System Manager (PR/SM) on IBM zSeries 800 and 900
Grado de cumplimiento: EAL5
Fecha: Junio de 2003
Informe de certificación

Puesto 2: Processor Resource/ System Manager (PR/SM) forthe IBM eServer zSeries 900
Grado de cumplimiento: EAL5
Fecha: Febrero de 2003
Informe de certificación

Puesto 3: PR/SM on IBM zSeries 990
Grado de cumplimiento: EAL5
Fecha: Mayo de 2004
Informe de certificación no disponible

Puesto 4: XTS-400 / STOP 6.0.E
Grado de cumplimiento: EAL4+
Fecha: Marzo de 2004
Informe de certificación

Puesto 5: Windows 2000 Professional, Server, and Advanced Server with SP3 and Q326886
Grado de cumplimiento: EAL4+
Fecha: Octubre de 2002
Informe de certificación

Puesto 6: Microsoft Windows Server 2003 and Microsoft Windows XP
Grado de cumplimiento: EAL4+
Fecha: Noviembre de 2005
Informe de certificación

Puesto 7: Microsoft Internet Security and Acceleration Server 2004 - Standard Edition - Version 4.0.2161.50
Grado de cumplimiento: EAL4+
Fecha: Septiembre de 2005
Informe de certificación

Puesto 8: IBM i5/OS V5R3MO running on IBM eServer models 520, 550, and 570 with Software Feature Code 1930
Grado de cumplimiento: EAL4+
Fecha: Agosto de 2005
Informe de certificación

Puesto 9: SuSE Linux Enterprise Server Version 9 with certification-sles-ibm-eal4 package
Grado de cumplimiento: EAL4+
Fecha: Marzo de 2005
Informe de certificación

Puesto 10: AIX 5L for POWER Versi- on 5.2, Program Number 5765-E62
Grado de cumplimiento: EAL4+
Fecha: Noviembre de 2002
Informe de certificación

Otros sistemas que también están certificados como EAL4+

• Solaris 9 Release 08/03
• IBM LPAR for POWER 4 for the IBM pSeries Firmware Releases3R031021 (p630), 3K031021
• IBM AIX 5L for POWER V5.2 with Recommended Maintenance Package 5200-01, Program Number 5765-E62

El sistema operativo con peor valoración

Hewlett Packard Tru64 UNIX V5.1A
Grado de cumplimiento: EAL1
Fecha: Febrero de 2004
Informe de certificación

No deja de tener su interés esta clasificación. Un saludo :)

Hoy os propongo un enlace sobre la gestión de activos en ISO 17799. El documento original lo he localizado en Infosecwriters.com, y su título es bastante explicativo por sí mismo.

La idea de este escueto PDF, de sólo dos páginas, es resumir en qué consisten los activos de información, ya sean tangibles o intangibles, y cómo proceder a la gestión y control elemental de los mismos, mediante su inventariado, asignación de propiedad, políticas de uso y su correcta clasificación.

Que lo disfrutéis :)

El documento se titula ISO 17799: Scope and implementation – Part 1 Security Policy. y está escrito por Gregory Yhan. Comentaba antes que considero interesante el documento principalmente porque es escueto, son sólo 3 páginas, y porque es una manera rápida de documentarse sobre qué es ISO 17799, cuál es su estructura y qué es la política de seguridad, así como un par de controles de los 133 que totaliza la norma revisada, relativos a dicha política: un primer control basado en la existencia de un documento que plasme la política de seguridad que emane de la dirección, y un lógico segundo control derivado del primero, la necesidad de revisión periódica de dicho documento.

Es una parte primera, ya que de los 11 dominios de la norma sólo se habla de política de seguridad, con lo que os iré enlazando el resto de contenidos, según se vayan publicado. El artículo procede, cómo no, de Infosecwriters.com