Comparativo ITIL/ISO 27001/OISM3

Para profundizar más en la complementariedad de la guía de buenas prácticas ITIL, la norma ISO 27001 y el modelo de madurez OISM3, es necesario entender conceptualmente:

Introducción

En un mundo tan dependiente de la información, es necesario que todas las empresas empleen las mejores prácticas, normas y modelos de madurez que les permitan prevenir los riesgos de sus activos más valiosos. Es por ello que a continuación se realizara una comparativa entre ITIL, ISO 27001 y OISM3

Antecedentes

ITIL

Es un conjunto de buenas prácticas que se enfoca principalmente en alinear los servicios de TI con las necesidades del negocio y no viceversa. En la que se nos enseñan las mejores prácticas para la configuración de equipos, soporte de servicios, entrega del servicio, la forma en la que se va a operar en las TI.

ISO 27001

Las normas de la familia ISO 27,000 busca definir los requerimientos para un sistema de gestión de la seguridad de la información (SGSI), garantizando la selección de controles de seguridad que aseguren la información de las organizaciones.

OISM3

(Information Security Management Maturity Model, que se pronuncia ISM), es un estándar de abierto para la gestión de la seguridad de la información. ISM3 pretende alcanzar un nivel de seguridad definido, también conocido como riesgo aceptable, en lugar de buscar la invulnerabilidad. ISM3 ve como objetivo la seguridad de la información. ISM3 relaciona directamente los objetivos de negocio de una organización con los objetivos de seguridad.

1. Las diferencias en su ámbito y aplicabilidad, es decir «para qué sirve cada una».

Ámbito y Aplicabilidad

ITIL ITIL da descripciones detalladas de un extenso conjunto de procedimientos de gestión ideados para ayudar a las organizaciones a lograr calidad y eficiencia en las operaciones de TI. Estos procedimientos han sido desarrollados para servir como guía que abarque toda infraestructura, desarrollo y operaciones de TI.

ISO 27001 El principal objetivo de esta norma es proteger la confidencialidad, integridad y disponibilidad de los activos de información, para así minimizar los riesgos y amenazas sobre la misma.

Se trata de una norma relacionada con la Gestión de Riesgos, puesto que busca evaluar los riesgos inherentes a la información para establecer medidas de control con el fin de mitigarlos.

No obstante, la ISO 27001 va más allá de una cuestión tecnológica a la hora de definir los requisitos que ha de tener un SGSI. Es decir, no sólo se centra en los antivirus, softwares que la organización ha de usar para proteger su información. Sino que también incluye una definición de la gestión de procesos, recursos humanos o asuntos jurídicos relacionados con la seguridad de la información.

OISM3 ISM3 por ser un modelo de madurez para la seguridad, con 5 niveles que facilita la mejora y alineación con las necesidades del negocio de los sistemas de gestión de la seguridad de organizaciones de cualquier tipo y tamaño.

Este estándar plantea objetivos básicos de seguridad y evalúa el nivel de madurez que se tiene en la empresa para poder llegar a un nivel de riesgo conocido como aceptable.

2. Su audiencia, es decir «a quién están destinadas».

Audiencia

ITIL Profesionales de TI o de otras áreas de conocimiento, que están trabajando dentro de una organización que ha adoptado y adaptado ITIL, que necesitan estar informados sobre ITIL, o contribuir con un programa de mejora continua del servicio. Gerentes de negocio y dueños de proceso.

Orientado para cualquier empresa que maneje procesos claros y definidos y desee enfocarlos a las mejores prácticas de seguridad de la información

ISO 27001 La norma ISO 27001 es adecuada para cualquier organización, grande o pequeña, de cualquier sector o parte del mundo. La norma es particularmente interesante si la protección de la información es confidencial, como en finanzas, sanidad, sector público y tecnología de la información.

También puede ir dirigida a organizaciones que gestionan la información por encargo de otros y se utiliza para demostrar a los clientes que su información está protegida.

OISM3 Se adapta a cualquier empresa tanto madura como emergente ya que es muy adaptable a los objetivos de seguridad de las organizaciones así como a los recursos disponibles.

3. Su marco conceptual, por ejemplo, qué se entiende en cada una por política o proceso y si son conceptos completamente equivalentes o no.

(E) = Equivalente

(D) = Distinto para los 3

(M) = Mayoritario. Al menos 2 coinciden

ITIL ISO 27001 OISM3

Proceso

(E) Conjunto de actividades interrelacionadas o que interactúan entre sí, transformando entradas en salidas. Un proceso toma una o más entradas definidas y las transforma en salidas concretas. Los procesos determinan la secuencia de las acciones y sus dependencias. Conjunto de actividades interrelacionadas o interactuantes que transforman unas entradas en salidas. Un conjunto organizado de tareas con un objetivo común que utiliza recursos e insumos para producir productos valiosos.

Política

(E) Gestión de expectativas e intenciones formalmente documentadas para su uso directo en la toma de decisiones y actividades. Intenciones y dirección de una organización, según lo expresado formalmente por su alta dirección Reglas documentadas para observar durante la implementación y mantenimiento que sirven como principios rectores cuando los procedimientos no están lo suficientemente

...