UNIVERSIDAD MARIANO GÁLVEZ DE GUATEMALA CENTRO UNIVERSITARIO PETÉN FACULTAD DE INGENIERIA EN SISTEMAS DE INFORMACION CURSO: SEGURIDAD DE SISTEMAS ING. ROBERTO CARLOS GONZÁLEZ VÁSQUEZ
TEMA: COBIT, ITIL E ISO 27000
Nombre Nelson Neftalí Hernández Sermenio Selvin Rolando Izaguirre Urrutia
Carné No. 1690-09-3140 1690-09-4156
Santa Elena, Flores, Petén, Octubre de 2016.
ÍNDICE INTRODUCCIÓN ..................................................................................................................................4 OBJETVOS ...........................................................................................................................................5 COBIT: ................................................................................................................................................6 Misión del COBIT ............................................................................................................................6 BENEFICIOS COBIT ..........................................................................................................................6 PRINCIPIOS .....................................................................................................................................6 Principio 1. .................................................................................................................................6 Principio 2: .................................................................................................................................7 Principio 3: .................................................................................................................................7 Principio 4: .................................................................................................................................7 Principio 5: .................................................................................................................................7 Características ................................................................................................................................8 Niveles COBIT .................................................................................................................................8 COMPONENTES COBIT ...................................................................................................................8 Resumen Ejecutivo: ....................................................................................................................8 Marco de Referencia (Framework): ............................................................................................8 Objetivos de Control: .................................................................................................................8 PLANEAR Y ORGANIZAR .................................................................................................................8 ADQUIRIR E IMPLANTAR ................................................................................................................9 MONITOREAR Y EVALUAR ..............................................................................................................9 PRESTACIÓN Y SOPORTE ................................................................................................................9 ITIL:...................................................................................................................................................10 Los ocho libros de ITIL y sus temas son: .......................................................................................11 Gestión de Servicios de TI.........................................................................................................11 Otras guías operativas ..............................................................................................................11 Soporte de Servicio ......................................................................................................................12 Provisión de Servicio ....................................................................................................................12 Ciclo de Vida del Servicio ..............................................................................................................12 Fases de ITIL v3.............................................................................................................................13 Estrategia del Servicio ..............................................................................................................13 Cambios en la versión 2011..........................................................................................................13 Financial Management for IT services (Gestión Financiera de TI) ............................................13
Business Relationship Management (Gestión de Relaciones del Negocio) ..............................13 Governance (Gobierno) ............................................................................................................14 Cloud Computing (Computación en la nube) ...........................................................................14 Diseño del Servicio ...................................................................................................................14 Cambios en la versión 2011..........................................................................................................14 Transición del Servicio ..................................................................................................................15 Cambios en la versión 2011..........................................................................................................15 Operación del Servicio..................................................................................................................16 Mejora Continua del Servicio .......................................................................................................16 ISO/IEC 27001 ..................................................................................................................................16 ISO 27001:2013 ............................................................................................................................17 Beneficios que aporta este a los objetivos de la organización .....................................................17 Implantación ................................................................................................................................18 Certificación .................................................................................................................................18 Serie 27000 ..................................................................................................................................19 TABLA DE COMPARACIÓN ................................................................................................................20 ¿Qué debe implementarse primero? ...............................................................................................20 ¿Cuál es el estándar más fácil? .........................................................................................................20 ¿Cómo elegir el proveedor adecuado? ............................................................................................21 CONCLUSIÓN ....................................................................................................................................22 BIBLIOGRAFÍA ...................................................................................................................................23
INTRODUCCIÓN En muchas ocasiones escuchamos hablar de seguridad informática y de los peligros que cada día son más grandes para los activos tecnológicos de las empresas y/u organizaciones, pero en muy pocas ocasiones encontramos ¿qué debemos hacer? ¿Cómo lo debemos hacer? ¿Qué guía o recomendaciones tomar en cuenta? Y entre más investigamos no topamos con más preguntas llegando en algunos casos hasta confundirnos más de lo que estábamos al principio, por estas razones en el presente documento se exponen material que pueden ser de utilidad para responder algunas de las tantas preguntas que pueden surgir a la hora de querer fortalecer la seguridad en nuestro activos tecnológicos; en el presente documentos se hace mención de COBIT, ITIL e ISO 27000. Con este material nosotros podemos obtener en el caso de ITIL como su nombre lo indica siendo esta una biblioteca, podemos obtener recomendaciones para la gestión de los servicios de tecnologías de información, para el desarrollo de tecnologías de información y todas las operaciones relacionadas con tecnología. En el caso de COBIT es un modelo de evaluación y monitoreo, enfatizando en el control de negocios y en la seguridad de la tecnología involucrada en el negocio. Con la ISO 27000 lo que tenemos son estándares con los cuales podemos demostrar que se tiene una gestión competente y efectiva de la seguridad de recursos e información, con estos estándares podemos también detectar riesgos, crear e implementar medidas que se adoptarán para una mejor gestión de la seguridad de la información.
4
OBJETVOS Incrementar nuestros conocimientos en Seguridad Informática. Proveer material útil para la implementación de políticas y acciones en Seguridad Informática. Contribuir en una mejor gestión de los recursos tecnológicos. Orientar en el uso de COBIT, ITIL e ISO 27000
5
COBIT: Las siglas COBIT significan Objetivos de Control para Tecnología de Información y Tecnologías relacionadas (Control Objectives for Information Systems and related Technology). El modelo es el resultado de una investigación con expertos de varios países, desarrollado por ISACA (Information Systems Audit and Control Association). COBIT, lanzado en 1996, es una herramienta de gobierno de TI que ha cambiado la forma en que trabajan los profesionales de tecnología. Vinculando tecnología informática y prácticas de control, el modelo COBIT consolida y armoniza estándares de fuentes globales prominentes en un recurso crítico para la gerencia, los profesionales de control y los auditores. Se aplica a los sistemas de información de toda la empresa, incluyendo los computadores personales y las redes. Está basado en la filosofía de que los recursos TI necesitan ser administrados por un conjunto de procesos naturalmente agrupados para proveer la información pertinente y confiable que requiere una organización para lograr sus objetivos.
Misión del COBIT Buscar, desarrollar, publicar y promover un autoritario y actualizado conjunto internacional de objetivos de control de tecnologías de la información, generalmente aceptadas, para el uso diario por parte de gestores de negocio y auditores.
BENEFICIOS COBIT
Mejor alineación basada en una focalización sobre el negocio. Visión comprensible de TI para su administración. Clara definición de propiedad y responsabilidades. Aceptabilidad general con terceros y entes reguladores. Entendimiento compartido entre todos los interesados basados en un lenguaje común. Cumplimiento global de los requerimientos de TI planteados en el Marco de Control Interno de Negocio COSO.
PRINCIPIOS Principio 1. Satisfacer las Necesidades de las Partes Interesadas—Las empresas existen para crear valor para sus partes interesadas manteniendo el equilibrio entre la realización de beneficios y la optimización de los riesgos y el uso de recursos. COBIT 5 provee todos los procesos necesarios y otros catalizadores para permitir la creación de valor del negocio mediante el uso de TI. Dado que toda empresa tiene objetivos diferentes, una empresa puede personalizar COBIT 5 para adaptarlo a su propio contexto mediante la cascada de metas, traduciendo metas corporativas de alto nivel en otras metas 6
más manejables, específicas, relacionadas con TI y mapeándolas con procesos y prácticas específicos. Principio 2: Cubrir la Empresa Extremo-a-Extremo—COBIT 5 integra el gobierno y la gestión de TI en el gobierno corporativo: – Cubre todas las funciones y procesos dentro de la empresa; COBIT 5 no se enfoca sólo en la “función de TI”, sino que trata la información y las tecnologías relacionadas como activos que deben ser tratados como cualquier otro activo por todos en la empresa. – Considera que los catalizadores relacionados con TI para el gobierno y la gestión deben ser a nivel de toda la empresa y de principio a fin, es decir, incluyendo a todo y todos – internos y externos – los que sean relevantes para el gobierno y la gestión de la información de la empresa y TI relacionadas. Principio 3: Aplicar un Marco de Referencia Único Integrado—Hay muchos estándares y buenas prácticas relativos a TI, ofreciendo cada uno ayuda para un subgrupo de actividades de TI. COBIT 5 se alinea a alto nivel con otros estándares y marcos de trabajo relevantes, y de este modo puede hacer la función de marco de trabajo principal para el gobierno y la gestión de las Ti de la empresa. Principio 4: Hacer Posible un Enfoque Holístico—Un gobierno y gestión de las TI de la empresa efectivo y eficiente requiere de un enfoque holístico que tenga en cuenta varios componentes interactivos. COBIT 5 define un conjunto de catalizadores (enablers) para apoyar la implementación de un sistema de gobierno y gestión global para las TI de la empresa. Los catalizadores se definen en líneas generales como cualquier cosa que puede ayudar a conseguir las metas de la empresa. El marco de trabajo COBIT 5 define siete categorías de catalizadores: 1. 2. 3. 4. 5. 6. 7.
Principios, Políticas y Marcos de Trabajo Procesos Estructuras Organizativas Cultura, Ética y Comportamiento Información Servicios, Infraestructuras y Aplicaciones Personas, Habilidades y Competencias
Principio 5: Separar el Gobierno de la Gestión—– El marco de trabajo COBIT 5 establece una clara distinción entre gobierno y gestión. Estas dos disciplinas engloban diferentes tipos de actividades, requieren diferentes estructuras y organizaciones.
7
Características
Orientado al negocio. Alineado con estándares y regulaciones "de facto". Basado en una revisión crítica y analítica de las tareas y actividades en TI. Alineado con estándares de control y auditoria (COSO, IFAC, IIA, ISACA, AICPA).
Niveles COBIT Se divide en 3 niveles, los cuales son los siguientes: Dominios: Agrupación natural de procesos, normalmente corresponden a un dominio o una responsabilidad organizacional. Procesos: Conjuntos o series de actividades unidas con delimitación o cortes de control. Actividades: Acciones requeridas para lograr un resultado medible.
COMPONENTES COBIT Resumen Ejecutivo: Es un documento dirigido a la alta gerencia presentando los antecedentes y la estructura básica de COBIT Además, describe de manera general los procesos, los recursos y los criterios de información, los cuales conforman la "Columna Vertebral" de COBIT. Marco de Referencia (Framework): Incluye la introducción contenida en el resumen ejecutivo y presenta las guías de navegación para que los lectores se orienten en la exploración del material de COBIT haciendo una presentación detallada de los 34 procesos contenidos en los cuatro dominios. Objetivos de Control: Integran en su contenido lo expuesto tanto en el resumen ejecutivo como en el marco de referencia y presenta los objetivos de control detallados para cada uno de los 34 procesos.
PLANEAR Y ORGANIZAR
PO1 Definir el plan estratégico de TI. PO2 Definir la arquitectura de la información PO3 Determinar la dirección tecnológica. PO4 Definir procesos, organización y relaciones de TI. PO5 Administrar la inversión en TI. PO6 Comunicar las aspiraciones y la dirección de la gerencia. PO7 Administrar recursos humanos de TI. PO8 Administrar calidad. 8
PO9 Evaluar y administrar riesgos de TI PO10 Administrar proyectos. PO11Administración de Calidad
ADQUIRIR E IMPLANTAR
AI1 Identificar soluciones automatizadas. AI2 Adquirir y mantener el software aplicativo. AI3 Adquirir y mantener la infraestructura tecnológica AI4 Facilitar la operación y el uso. AI5 Adquirir recursos de TI. AI6 Administrar cambios.
MONITOREAR Y EVALUAR
ME1 Monitorear y evaluar el desempeño de TI. ME2 Monitorear y evaluar el control interno ME3 Garantizar cumplimiento regulatorio. ME4 Proporcionar gobierno de TI.
PRESTACIÓN Y SOPORTE
DS1 Definir y administrar niveles de servicio. DS2 Administrar servicios de terceros. DS3 Administrar desempeño y capacidad. DS4 Garantizar la continuidad del servicio. DS5 Garantizar la seguridad de los sistemas. DS6 Identificar y asignar costos. DS7 Educar y entrenar a los usuarios. DS8 Administrar la mesa de servicio y los incidentes. DS9 Administrar la configuración. DS10 Administrar los problemas. DS11 Administrar los datos. DS12 Administrar el ambiente físico. DS13 Administrar las operaciones.
9
ITIL: es un conjunto de conceptos y prácticas para la gestión de servicios de tecnologías de la información, el desarrollo de tecnologías de la información y las operaciones relacionadas con la misma en general. ITIL da descripciones detalladas de un extenso conjunto de procedimientos de gestión ideados para ayudar a las organizaciones a lograr calidad y eficiencia en las operaciones de TI. Estos procedimientos son independientes del proveedor y han sido desarrollados para servir como guía que abarque toda infraestructura, desarrollo y operaciones de TI.
10
En pocas palabras, ITIL asegura una gestión de servicios de IT eficiente, gracias al control y posteriormente la mejora continua del servicio. Sirve para aquellos servicios que se encuentran en la fase operacional. Dicha fase forma parte de la etapa de mayor tiempo y costo para cualquier solución de IT y es, justamente, donde el negocio depende casi inminentemente de los servicios de TI. Cabe destacar que ITIL no es una metodología de desarrollo de software: mientras el desarrollo de software (o cualquier tipo de soluciones de IT) hace foco en sistemas que aún no existen o están en desarrollo, ITIL ofrece métodos de control y mejoras para los servicios/productos que se encuentra en la etapa productiva. La biblioteca de infraestructura de TI (ITIL) toma este nombre por tener su origen en un conjunto de libros, cada uno dedicado a una práctica específica dentro de la gestión de TI. Tras la publicación inicial de estos libros, su número creció rápidamente (dentro la versión 1) hasta unos 30 libros. Para hacer a ITIL más accesible (y menos costosa) a aquellos que deseen explorarla, uno de los objetivos del proyecto de actualización ITIL versión 2 fue agrupar los libros según unos conjuntos lógicos destinados a tratar los procesos de administración que cada uno cubre. De esta forma, diversos aspectos de los sistemas de TIC, de las aplicaciones y del servicio se presentan en conjuntos temáticos. Actualmente existe la nueva versión ITIL v3 que fue publicada en mayo de 2007. Aunque el tema de Gestión de Servicios (Soporte de Servicio y Provisión de Servicio) es el más ampliamente difundido e implementado, el conjunto de mejores prácticas ITIL provee un conjunto completo de prácticas que abarca no sólo los procesos y requerimientos técnicos y operacionales, sino que se relaciona con la gestión estratégica, la gestión de operaciones y la gestión financiera de una organización moderna.
Los ocho libros de ITIL y sus temas son: Gestión de Servicios de TI 1. Mejores prácticas para la Provisión de Servicio 2. Mejores prácticas para el Soporte de Servicio Otras guías operativas 3. Gestión de la infraestructura de TI 4. Gestión de la seguridad 5. Perspectiva de negocio 6. Gestión de aplicaciones 7. Gestión de activos de software Para asistir en la implementación de prácticas ITIL, se publicó un libro adicional con guías de implementación (principalmente de la Gestión de Servicios): 11
8. Planeando implementar la Gestión de Servicios Adicional a los ocho libros originales, más recientemente se añadió una guía con recomendaciones para departamentos de TIC más pequeños: 9. Implementación de ITIL a pequeña escala
Soporte de Servicio El libro de Soporte de Servicio (Service Support , ITIL V2 ) se ocupa de asegurar que el Usuario tenga acceso a los servicios apropiados que soporten las funciones de negocio. Los temas que se tratan en el libro incluye los siguientes Procesos:
Gestión del Incidente Gestión del Problema Gestión de Configuración Gestión del Cambio Gestión de la Entrega Centro de Servicio al Usuario (Función)
Provisión de Servicio El libro de Provisión de Servicio analiza qué servicio requiere el negocio del proveedor (entendiendo como proveedor la organización interna o externa que provee el servicio de TI), para ofrecer un soporte adecuado a los Usuarios y/o Clientes de negocio. El libro cubre los siguientes temas:
Gestión del Nivel de Servicio Gestión Financiera de Servicios TI Gestión de la Capacidad Gestión de la Continuidad del Servicio de TI Gestión de la Disponibilidad
Ciclo de Vida del Servicio ITIL® Foundation estructura la gestión de los servicios TI sobre el concepto de Ciclo de Vida de los Servicios. Este enfoque tiene como objetivo ofrecer una visión global de la vida de un servicio desde su diseño hasta su eventual abandono sin por ello ignorar los detalles de todos los procesos y funciones involucrados en la eficiente prestación del mismo. En ITIL v3 reestructura el manejo de los temas para consolidar el modelo de "ciclo de vida del servicio" separando y ampliando algunos subprocesos hasta convertirlos en procesos especializados. Esta modificación responde a un enfoque empresarial para grandes corporaciones que utilizan ampliamente ITIL en sus operaciones y aspira a consolidar el 12
modelo para conseguir aún mejores resultados. Es por ello que los especialistas recomiendan que empresas emergentes o medianas no utilicen ITIL v3 si no cuentan con un modelo ITIL consolidado y aspiran a una expansión a muy largo plazo. El Ciclo de Vida del Servicio consta de cinco fases también llamadas disciplinas, correspondientes a los nuevos libros de ITIL®: 1. 2. 3. 4. 5.
Estrategia del Servicio Diseño del Servicio Transición del Servicio Operación del Servicio Mejora Continua del Servicio
Fases de ITIL v3 Estrategia del Servicio Se enfoca en el estudio de mercado y posibilidades mediante la búsqueda de servicios innovadores que satisfagan al cliente tomando en cuenta la real factibilidad de su puesta en marcha. Así mismo se analizan posibles mejoras para servicios ya existentes. Se verifican los contratos con base en las nuevas ofertas de proveedores antiguos y posibles nuevos proveedores, lo que incluye la renovación o revocación de los contratos vigentes. Procesos
Gestión Financiera Gestión del Portafolio Gestión de la Demanda
Cambios en la versión 2011 Los conceptos dentro de la publicación se han aclarado, sin necesidad de cambiar el mensaje general. La publicación actualizada incluye una orientación más práctica y con más ejemplos. Financial Management for IT services (Gestión Financiera de TI) La gestión financiera de TI ha ampliado para incluir algunos de los elementos clave de la ITIL publicaciones anteriores que habían sido excluidos en la edición 2007 de la Estrategia del Servicio – tales como contabilidad, elaboración de presupuestos y de cargos. Business Relationship Management (Gestión de Relaciones del Negocio) Este es un nuevo proceso que se asemeja al existente en la ISO 20.000. Se hace una diferenciación para los distintos proveedores de servicio: tipo I, II y III. Se brinda una explicación diferente para cada tipo de proveedor.
13
Governance (Gobierno) Ahora hay más detalles sobre el concepto de Gobierno, incluida una definición más completa de su significado, la diferencia entre el gobierno y gestión, un marco de gobierno, y cómo la gestión del servicio se relaciona con el gobierno. Cloud Computing (Computación en la nube) Se ha incluido en qué forma la gestión de servicios se ve afectada por la aparición de la computación en la nube. Se agregó un nuevo apéndice que cubre específicamente la estrategia de servicio y la nube: características, tipos, tipos de servicio, y los componentes de la arquitectura de nube. Diseño del Servicio Una vez identificado un posible servicio el siguiente paso consiste en analizar su viabilidad. Para ello se toman factores tales como infraestructura disponible, capacitación del personal y se planifican aspectos como seguridad y prevención ante desastres. Para la puesta en marcha se toman en consideración la reasignación de cargos (contratación, despidos, ascensos, jubilaciones, etc), la infraestructura y software a implementar. Procesos
Gestión del Catálogo de Servicios Gestión de Niveles de Servicios Gestión de la Disponibilidad Gestión de la Capacidad Gestión de la Continuidad de los Servicios de TI Gestión de Proveedores Gestión de la Seguridad de Información Coordinación del Diseño (nuevo en la versión 2011)
Cambios en la versión 2011 Las principales modificaciones del libro de ITIL V3 Diseño del Servicio en su versión 2011 incluye: un cambio a los denominados 5 aspectos del diseño y primordialmente la inclusión de un nuevo proceso de Coordinación del Diseño. De esta manera esta fase incluye ahora 8 procesos, en lugar de 7. Nuevo Proceso ITIL V3 2011: Coordinación del Diseño (Design Coordination Process) Se adicionó este proceso para hacer más claro el flujo de actividades en el ciclo de vida del diseño. El propósito del proceso de Coordinación del Diseño es garantizar que las metas y los objetivos de la etapa de diseño del servicio entregando y manteniendo un punto único
14
de coordinación y control de todas las actividades y procesos dentro de esta etapa del ciclo de vida de servicio. Las salidas del proceso de coordinación del diseño son potencialmente:
Diseño de servicios integrado y consistente a través del SDP (paquete de diseño del servicio) Revisión de la arquitectura empresarial Revisión del sistema de gestión Revisión de las métricas y métodos de medición Revisión de procesos Actualización del Portafolio de Servicios Actualización de los Registros de Cambios
Transición del Servicio Antes de poner en marcha el servicio se deben realizar pruebas. Para ello se analiza la información disponible acerca del nivel real de capacitación de los usuarios, estado de la infraestructura, recursos IT disponibles, entre otros. Luego se prepara un escenario para realizar pruebas; se replican las bases de datos, se preparan planes de rollback (reversión) y se realizan las pruebas. Luego de ello se limpia el escenario hasta el punto de partida y se analizan los resultados, de los cuales dependerá la implementación del servicio. En la evaluación se comparan las expectativas con los resultados reales. Procesos
Gestión de la Configuración y Activos Gestión del Cambio Gestión del Conocimiento Planificación y Apoyo a la Transición Gestión de Release y Despliegue Gestión Validación y Pruebas Evaluación (Evaluación del cambio)
Cambios en la versión 2011 En la edición ITIL V3 2011 del libro de Transición del Servicio, se realizaron modificaciones y aclaraciones, a efectos de mejorar el entendimiento de los conceptos. Se aclaró la estructura, el contenido y las relaciones entre el Sistema de Gestión de Configuraciones (CMS) y el Sistema de Gestión del Conocimiento del Servicio (SKMS) para hacer más entendibles los conceptos. Se incorporó un nuevo contenido relacionado con la forma que debe ser usado un Requerimiento de Cambio (RFC). 15
El proceso de Evaluación (que no se ve en fundamentos sino en el Intermediate RCV) fue renombrado como Evaluación del cambio. Se modificó su propósito y alcance, a efectos de clarificar cuando debe ser usado. El proceso de Gestión de Activos y Configuraciones del Servicio tiene información adicional y se mejoraron los flujos de interacción con otros procesos, incluidos Gestión de Cambio, Gestión de Versiones y Entrega, y Evaluación del Cambio. Por último se mejoraron las descripciones de los Elementos de Configuración (CI) , Sistema de Gestión de Configuraciones (CMS) y el Sistema de Gestión del Conocimiento del Servicio (SKMS)11
Operación del Servicio En este punto se monitoriza activa y pasivamente el funcionamiento del servicio, se registran eventos, incidencias, problemas, peticiones y accesos al servicio. La percepción que el cliente y los usuarios tenga de los servicios adquiridos está condicionada por la última instancia fase en la cual se ven involucrados todas las partes de la organización. En todas las otras fases del ciclo de vida, como último objeto es medir y verificar que los servicios han aportado valor a la organización, con los niveles de ANS acordados. Es primordial la entrega a satisfacción del cliente del servicio con calidad de acuerdo a lo acordado. Procesos
Gestión de Incidentes Gestión de Problemas Cumplimiento de Solicitudes Gestión de Eventos Gestión de Accesos
Mejora Continua del Servicio Se utilizan herramientas de medición y feedback para documentar la información referente al funcionamiento del servicio, los resultados obtenidos, problemas ocasionados, soluciones implementadas, etc. Para ello se debe verificar el nivel de conocimiento de los usuarios respecto al nuevo servicio, fomentar el registro e investigación referentes al servicio y disponer de la información al resto de los usuarios.
ISO/IEC 27001 Es un estándar para la seguridad de la información (Information technology - Security techniques - Information security management systems - Requirements) aprobado y
16
publicado como estándar internacional en octubre de 2005 por International Organization for Standardization y por la comisión International Electrotechnical Commission. Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un sistema de gestión de la seguridad de la información (SGSI) según el conocido como “Ciclo de Deming”: PDCA - acrónimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar). Es consistente con las mejores prácticas descritas en ISO/IEC 27002, anteriormente conocida como ISO/IEC 17799, con orígenes en la norma BS 7799-2:2002, desarrollada por la entidad de normalización británica, la British Standards Institution (BSI).
ISO 27001:2013 Existen varios cambios con respecto a la versión 2005 en esta versión 2013. Entre ellos destacan:
Desaparece la sección "enfoque a procesos" dando mayor flexibilidad para la elección de metodologías de trabajo para el análisis de riesgos y mejoras. Cambia su estructura conforme al anexo SL común al resto de estándares de la ISO. Pasa de 102 requisitos a 130. Considerables cambios en los controles establecidos en el Anexo A, incrementando el número de dominios a 14 y disminuyendo el número de controles a 114. Inclusión de un nuevo dominio sobre "Relaciones con el Proveedor" por las crecientes relaciones entre empresa y proveedor en la nube. Se parte del análisis de riesgos para determinar los controles necesarios y compararlos con el Anexo A, en lugar de identificar primero los activos, las amenazas y sus vulnerabilidades.
Beneficios que aporta este a los objetivos de la organización
Demuestra la garantía independiente de los controles internos y cumple los requisitos de gestión corporativa y de continuidad de la actividad comercial. Demuestra independientemente que se respetan las leyes y normativas que sean de aplicación.
Proporciona una ventaja competitiva al cumplir los requisitos contractuales y demostrar a los clientes que la seguridad de su información es primordial.
Verifica independientemente que los riesgos de la organización estén correctamente identificados, evaluados y gestionados al tiempo que formaliza unos procesos, procedimientos y documentación de protección de la información. Demuestra el compromiso de la cúpula directiva de su organización con la seguridad de la información. 17
El proceso de evaluaciones periódicas ayuda a supervisar continuamente el rendimiento y la mejora.
Nota: las organizaciones que simplemente cumplen la norma ISO/IEC 27001 o las recomendaciones de la norma del código profesional, ISO/IEC 27002 no logran estas ventajas.
Implantación La implantación de ISO/IEC 27001 en una organización es un proyecto que suele tener una duración entre 6 y 12 meses, dependiendo del grado de madurez en seguridad de la información y el alcance, entendiendo por alcance el ámbito de la organización que va a estar sometido al Sistema de Gestión de la Seguridad de la Información elegido. En general, es recomendable la ayuda de consultores externos. Aquellas organizaciones que hayan adecuado previamente de forma rigurosa sus sistemas de información y sus procesos de trabajo a las exigencias de las normativas legales de protección de datos (p.ej., en España la conocida LOPD y sus normas de desarrollo, siendo el más importante el Real Decreto 1720/2007, de 21 de diciembre de desarrollo de la Ley Orgánica de Protección de Datos) o que hayan realizado un acercamiento progresivo a la seguridad de la información mediante la aplicación de las buenas prácticas de ISO/IEC 27002, partirán de una posición más ventajosa a la hora de implantar ISO/IEC 27001. El equipo de proyecto de implantación debe estar formado por representantes de todas las áreas de la organización que se vean afectadas por el SGSI, liderado por la dirección y asesorado por consultores externos especializados en seguridad informática generalmente Ingenieros o Ingenieros Técnicos en Informática, derecho de las nuevas tecnologías, protección de datos y sistemas de gestión de seguridad de la información (que hayan realizado un curso de implantador de SGSI).
Certificación La certificación de un SGSI es un proceso mediante el cual una entidad de certificación externa, independiente y acreditada audita el sistema, determinando su conformidad con ISO/IEC 27001, su grado de implantación real y su eficacia y, en caso positivo, emite el correspondiente certificado. Antes de la publicación del estándar ISO 27001, las organizaciones interesadas eran certificadas según el estándar británico BS 7799-2. Desde finales de 2005, las organizaciones ya pueden obtener la certificación ISO/IEC 27001 en su primera certificación con éxito o mediante su recertificación trienal, puesto que la certificación BS 7799-2 ha quedado reemplazada. 18
El Anexo C de la norma muestra las correspondencias del Sistema de Gestión de la Seguridad de la Información (SGSI) con el Sistema de Gestión de la Calidad según ISO 9001:2000 y con el Sistema de Gestión Medio Ambiental según ISO 14001:2004 (ver ISO 14000), hasta el punto de poder llegar a certificar una organización en varias normas y con base en un sistema de gestión común.
Serie 27000 La seguridad de la información tiene asignada la serie 27000 dentro de los estándares ISO/IEC: ISO 27000: Publicada en mayo de 2009. Contiene la descripción general y vocabulario a ser empleado en toda la serie 27000. Se puede utilizar para tener un entendimiento más claro de la serie y la relación entre los diferentes documentos que la conforman. UNE-ISO/IEC 27001:2007 “Sistemas de Gestión de la Seguridad de la Información (SGSI). Requisitos”. Fecha de la versión española 29 noviembre de 2007. Es la norma principal de requisitos de un Sistema de Gestión de Seguridad de la Información. Los SGSI’s deberán ser certificados por auditores externos a las organizaciones. En su Anexo A, contempla una lista con los objetivos de control y controles que desarrolla la ISO 27002 (anteriormente denominada ISO 17799). ISO/IEC 27002: (anteriormente denominada ISO 17799). Guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información con 11 dominios, 39 objetivos de control y 133 controles. ISO/IEC 27003: En fase de desarrollo; probable publicación en 2009. Contendrá una guía de implementación de SGSI e información acerca del uso del modelo PDCA y de los requisitos de sus diferentes fases. Tiene su origen en el anexo B de la norma BS 7799-2 y en la serie de documentos publicados por BSI a lo largo de los años con recomendaciones y guías de implantación. ISO 27004: Publicada en diciembre de 2009. Especifica las métricas y las técnicas de medida aplicables para determinar la eficiencia y eficacia de la implantación de un SGSI y de los controles relacionados. ISO 27005: Publicada en junio de 2008. Consiste en una guía para la gestión del riesgo de la seguridad de la información y sirve, por tanto, da apoyo a la ISO 27001 y a la implantación de un SGSI. Incluye partes de la ISO 13335. ISO 27006: Publicada en febrero de 2007. Especifica los requisitos para acreditación de entidades de auditoría y certificación de sistemas de gestión de seguridad de la información.
19
TABLA DE COMPARACIÓN ÁREA Función
Área Editor Implementación
Consultor
COBIT ITIL Mapeo de proceso Mapeo de la gestión TI del nivel de servicio de TI 4 Procesos y 9 procesos 34 Dominios ISACA OGC Auditoría de Administrar el nivel Sistemas de de servicio Información Firma de Firma de Contabilidad, Firma Consultoría de TI de Consultoría de TI
ISO 27000 Marco de Seguridad de la Información 10 Dominios Junta ISO Cumplimiento del estándar de seguridad Firma de Consultoría de TI, Firma de Seguridad, Consultora de Redes
¿Qué debe implementarse primero? No hay una respuesta exacta sobre esta pregunta, pero creo que realmente depende de su empresa y su requisito. La mayor parte de las empresas comienza a implementar Cobit primero, porque cubre su sistema de información general. Y después de eso suelen elegir entre ITIL o ISO27001. Otra consideración es sobre presupuesto y autoritario. Cobit ejecución por lo general se ejecutan desde el presupuesto de auditoría interna y ITIL o ISO27001 por lo general se realiza con el presupuesto de departamento de TI. Por lo general esta consideración sobre el tipo de norma a implementar en primer lugar depende de la política de gestión.
¿Cuál es el estándar más fácil? Desde la vista implementación, ITIL es el estándar más fácil de implementar. Debido a que, ITIL podría implementarse parcialmente y aún no tener impacto en el rendimiento. Por ejemplo, si el departamento de TI carece de presupuesto y él puede optar por implementar sólo la capa de prestación de servicios de TI, y el próximo año tratará de implementar la gestión de versiones de TI o la gestión de problemas de TI.
20
Sin embargo, COBIT e ISO27001 es bastante difícil de implementar parcialmente, ya que debería ver un proceso en mayor visión primero antes de que pudieran implementarse parcialmente.
¿Cómo elegir el proveedor adecuado? Muchos vendedores dijeron que él podría ayudar a su empresa a implementar estos estándares de manera efectiva, de hecho no hay una solución para todos. Por lo general, el proveedor de COBIT proviene de Publci Accounting Firm que tiene un brazo de auditoría de TI, por ejemplo, PWC, DTT, KPMG, EY. Este tipo de proveedor es la mejor opción para COBIT, ya que también trabajan para la implementación COBIT derivado como COBIT para Sarbanes Oxley. La otra norma ITIL e ISO27001 suelen venir de compañías de consultoría de TI, por ejemplo. IBM, Accenture. Y para ISO27001 la mayoría de la empresa de redes de TI también podría ofrecer esta consulta estándar.
21
CONCLUSIÓN COBIT, ITIL E ISO 27000 son marcos de referencia, normas que en un modo general podemos decir han sido creados para apoyar en la gobernanza de los activos tecnológicos, COBIT puede ayudar en los análisis, monitoreo de tecnologías y procesos de una forma general ente tanto ITIL puede ser subdividida su utilización y/o aplicación en la organización, entonces a mi forma de ver si no queremos cubrir toda la organización podríamos utilizar ITIL e ir avanzando cada una de las áreas de forma segmentada. Si nuestro interés es una implementación a nivel general en la organización pues deberíamos empezar por COBIT para obtener información y análisis que nos permitan tener una base de conocimiento que nos ayudará a tener una idea de dónde empezar y que tan profunda será nuestra implementación. Como lo hemos dado a conocer en este documento en su mayoría COBIT es, la primera elección de los consultores a la hora de trabajar. En la práctica, por lo general un consultor se dirige a COBIT en el primer lugar, para evaluar, formular, definir y justificar, auditar. En segundo lugar, viene ITIL, cuando se necesitan más detalles, puesto que ITIL se presta para ser usado en la justificación de las recomendaciones. Para empezar de esta manera nos basamos en las siguientes razones: Primero decimos que COBIT es más completo y sistemático; COBIT define qué debemos controlar e ITIL define cómo debemos hacerlo, siendo esto último la clave a la hora de implementar COBIT E ITIL. COBIT sirve para planear, organizar, dirigir y controlar toda la función informática dentro de una empresa. Actúa sobre la dirigencia y ayuda a estandarizar la organización. ITIL actúa sobre los procesos y, a través del conjunto de buenas prácticas que lo conforman, mejorar el servicio que ofrece la empresa y medirlos (para una mejora continua). Finalmente, debemos destacara que si se trata de elegir una de ellas, debemos prestar atención en la necesidad de la empresa. Sin embargo, siempre habrá que considerar que una integración de ambos marcos derivará en el cumplimiento eficiente de la mayoría de las regulaciones que se les exige a las organizaciones.
22
BIBLIOGRAFÍA
http://www.bitcompany.biz/diferencia-itil-y-cobit/#.WB9ndcmz44A
http://www.monografias.com/trabajos105/itil-y-cobit/itil-ycobit.shtml#ixzz4PLOyuQDn
http://jevq.blogspot.com/2014/04/descarga-cobit-5-en-espanol.html
http://www.bitcompany.biz/que-es-itil-cursos/#.WCDNhy19600
http://www.monografias.com/trabajos93/cobit-objetivo-contro-tecnologiainformacion-y-relacionadas/cobit-objetivo-contro-tecnologia-informacion-yrelacionadas.shtml#ixzz4PMP6Iass
https://es.wikipedia.org/wiki/ISO/IEC_27001
23