Análisis comparativo ITIL/ISO 27001/OISM3
Adela HgDocumentos de Investigación23 de Agosto de 2019
4.186 Palabras (17 Páginas)1.233 Visitas
[pic 1][pic 2]
Asignatura | Datos del alumno | Fecha |
Sistemas de Gestión de la Seguridad de la Información | Apellidos: | |
Nombre: |
A c t iv id a d es
Actividad: Análisis comparativo ITIL/ISO 27001/OISM3
Para profundizar más en la complementariedad de la guía de buenas prácticas ITIL, la norma ISO 27001 y el modelo de madurez OISM3, es necesario entender conceptualmente:
1. Las diferencias en su ámbito y aplicabilidad, es decir «para qué sirve cada una».
2. Su audiencia, es decir «a quién están destinadas».
3. Su marco conceptual, por ejemplo, qué se entiende en cada una por política o proceso y si son conceptos completamente equivalentes o no.
4. Cómo pueden hacerse correspondencias entre sus diferentes elementos, dependiendo del análisis
realizado en el punto anterior.
Para fijar bien los conceptos, haz un diagrama y/o tablas para especificar las correspondencias y diferencias.
TEMA 2 – Actividades
Asignatura | Datos del alumno | Fecha |
Sistemas de Gestión de la Seguridad de la Información | Apellidos: | |
Nombre: |
CUADRO COMPARATIVO ENTRE ITIL - ISO 27001 - OISM3
ASPECTOS | ISO 27001 | ITIL | OISM3 |
DEFINICIÓN | Es una norma internacional que permite y busca garantizar, así como, asegurar que la existencia de controles sean los adecuados y se encuentren en vigor para abordar la confidencialidad, la integridad y la disponibilidad de los datos, la información y sistemas que los procesan, de las partes involucradas. [1][2] | En una metodología, de alcance global, que permite la gestión de servicios de las tecnologías de la información, la calidad del servicio, el desarrollo eficaz y eficiente de los procesos que se llevan a cabo en cada actividad del SGSI. Su significado se traduce como Biblioteca de Infraestructura de la Tecnología de la Información (ITIL- Information Technology Infrastructure Library). [12][13] | Es el único método estándar que introduce el uso de la mejora continua de ciclo corto en la administración de la seguridad de la información, con la finalidad de garantizar la consecución de los objetivos de negocio. Además, se considera como un modelo de madurez, el cual consiste en un conjunto estructurado de elementos que describen los niveles de madurez mediante un orden claro y absoluto, y de manera explícita enmarca la evolución de la organización en este sentido. [18] [19] [20] Su significado es Open Information Security Management Maturity Model (O- ISM3). |
ORIGEN | Originalmente introducida por el DTI (Department of Trade and Industry) en UK como la norma BS 7799 en 1995, en donde se establecía el código de mejores prácticas para la administración de la seguridad de la información. Sin embargo, fue hasta el año 2005, que se creó la | Creada en los años 80´s por el gobierno de Inglaterra, con la finalidad de establecer los conocimientos respecto a la gestión de los sistemas de TI, es decir, la creación de una biblioteca que combina las mejores prácticas y estándares, incluyendo libros y otros recursos empleados por las | Publicado por The Open Group, líder en el desarrollo de estándares y certificaciones de TI abiertas, independientes del proveedor. La motivación que dio otigen a este estándar fue la reducción de la brecha entre la teoría y la práctica de los sistemas de gestión de seguridad de la información, |
Asignatura | Datos del alumno | Fecha |
Sistemas de Gestión de la Seguridad de la Información | Apellidos: | |
Nombre: |
familia ISO-27001, que se emplean para la certificación del SGSI en las organizaciones. [4][9][1] | organizaciones. [12] | así como de la vinculación de la administración de seguridad con los modelos de madurez. [18] [22] | |
CARACTERÍSTICAS | Brinda un modelo que permite crear, implementar, supervisar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI) y su auditoría. [9][5][6] Posee un enfoque sistemático para gestionar y proteger la información y/o activos importantes. [5] Existe un manejo de las medidas de seguridad a través de procesos de seguridad y estableciendo la conexión entre las responsabilidades. [5] Se caracteriza por poseer, definir y aplicar cada uno de los controles y el conjunto de reglas de seguridad de la información, con la finalidad de mitigar o eliminar el riesgo, previa evaluación de éste. [3][5] Se fundamenta en el ciclo PDCA | Se enfoca en el desarrollo, administración y operación de la gestión de servicios de TI de manera eficiente, y para alcanzar los objetivos estratégicos. [12] Se encuentra vinculada con la gobernalidad de las TI, a través de la determinación de jerarquías de acceso, toma de decisiones y responsabilidades, satisfaciendo en mayor medida a los usuarios y clientes, para alcanzar los objetivos de la organización. [12] Su objetivo es crear un sistema de clase mundial que sirva de guía para el desarrollo de procesos en las organizaciones. [12] Propone la gestión de los Sistemas de Información, a través de 10 procesos, | Considera la métrica de Seguridad de la información, que permite la gestión de los aspectos a mejorar. [19] Contempla 5 niveles de madurez. [19] Relaciona los objetivos de negocio (entrega, tiempos, calidad, etc.) con los de seguridad (confidencialidad, integridad y disponibilidad). Esto es, que relaciona la entrega de los productos a tiempo con el acceso a las BD, sólo a usuarios autorizados. [19] Pretende alcanzar cierto nivel de seguridad (riesgo aceptable), en lugar de buscar vulnerabilidades. [19] Permite el autoanálisis (madurez y capacidad), la evaluación comparativa entre lo sectorial y nacional- internacional-local, la identificación de las oportunidades de mejora- |
TEMA 2 – Actividades
Asignatura | Datos del alumno | Fecha |
Sistemas de Gestión de la Seguridad de la Información | Apellidos: | |
Nombre: |
(Planear, Hacer, Verificar y Actuar, siglas en inglés), también conocidos como ciclo Deming o de mejora continua. [3][4][9] Emplea la evaluación de riesgos y el análisis de impacto, con la finalidad de identificar y administrar los riesgos respecto a la confidencialidad, integridad y disponibilidad de los activos o de la información más relevante. [5] | con enfoque en la Gestión del Servicio. [13] Busca reducir los costos y dar soporte a los servicios de IT. [13] Garantiza los requerimientos de la información respecto a la seguridad, al mantener e incrementar los niveles de fiabilidad, consistencia y calidad. [13] Brinda la descripción del número de prácticas en TI, mediante el listado de verificación, responsabilidades, tareas y procedimientos. [13] Ofrece guías para la administración de procesos de TI respecto con: Administración orientada a servicios, Requerimientos generales del negocio, Infraestructura, Servicios de soporte, Gestión de aplicaciones y de seguridad. [13] Las prácticas de ITIL, se caracterizan por ser predictivas y no reactivas, además de ser estables, medibles y adaptables. Su enfoque de proceso de ésta | optimización y rectificación respecto con estrategias y requerimientos, planificar (proyectos, tareas), así como, gestionar, medir y corregir la evolución y crecimiento de la organización. [20] Emplea un modelo de gestión que busca diferenciar las tareas operativas, con el objetivo de prevenir y mitigar los incidentes de tareas, estrategias y tácticas que se dedican a la identificación de los activos a proteger. [19] Define los procesos de seguridad para la administración del Sistema de Gestión de la Seguridad de la Información (ISMS) de una organización. [18] [22] Hace la designación de responsabilidades del negocio, con el objetivo de definir los requerimientos de la seguridad empresarial en su Política de seguridad y, de esta manera, ofrecer y seleccionar un |
...