La diferencia entre la norma ISO 27001 e ITIL
ISO 27001
Los servicios TI son una de las principales vías que siguen las organizaciones para que la información fluya, sus clientes y socios, y como los requisitos legales y contractuales se encuentran incluidos en las demandas de protección de la información, estos servicios y sus prácticas de gestión tienen que evolucionar para adaptarse a la norma ISO 27001.
Durante este post queremos presentar una visión general de cómo la norma ISO 27001 se ha centrado en gestionar la seguridad de la información y de ITIL, en un marco público-privado que se centra en los servicios TI de gestión, se encuentran relacionados considerando la protección de la información, y como se puede utilizar en conjunto para incrementar los beneficios del negocio.
Conceptos generales
En el siguiente recuadro vamos a poner alguna información que puede resultar útil para realizar una comprensión inicial de la norma ISO 27001 y de ITIL:
La norma ISO 27001 tiene una definición directa en cuanto a la protección de la información, mientras que ITIL es más indirecto. Esto se debe a que el término ITIL se refiere a la multitud de prácticas que existen para administrar y proporcionar una calidad de servicios de TI, con la gestión financiera y la solicitud de cumplimiento. Sin embargo, desde la seguridad de la información existe un aspecto crítico en cuanto a la gestión de servicios y la calidad de estos servicios de TI, ITIL cubre la seguridad de la información como uno de los procesos de apoyo y se integra la seguridad de la información en la mayoría de procesos.
Estructura de la norma ISO 27001
La norma ISO 27001 se compone de 11 cláusulas y 114 genéricos controles de seguridad agrupados en 13 secciones.
Una de las limitaciones de la norma ISO 27001 es que no proporciona detalles sobre lo que tiene que hacer para cumplir con los requisitos o implementar los controles, sólo de los que necesita para alcanzar.
Estructura de ITIL y similitudes y diferencias con la norma ISO 27001
Por otro lado, el marco ITIL se forma con 26 procesos y cuatro funciones que están basadas en el enfoque de servicio del ciclo de vida en 5 etapas:
- Estrategia de servicio (4 procesos): se debe alinear la estrategia de TI con los objetivos y las expectativas generales de la organización, para asegurarse de que se agrega valor a la empresa. Esta etapa puede relacionarse con la cláusula 4 de la norma ISO 27001.
- El diseño del servicio (7 procesos): se deben asegurar todos los servicios de TI para cumplir con los objetivos del negocio equilibrando los costes, la funcionalidad y el rendimiento. Uno de los procesos de diseño del servicio es la gestión de la seguridad, ya que la utilización de muchos conceptos similares puede estar cubierto por la cláusula 6 de la norma ISO 27001.
- La transición del servicio (7 procesos): se asegura de que los nuevos, modificados y se retira el servicio TI para que esté satisfecho con las necesidades de la organización, además de la gestión de los cambios y se controlan de forma eficaz. Esta etapa se puede relacionar con la cláusula 8 de la norma.
- Operación de servicio (5 procesos): se deben asegurar de que los servicios TI funcionan de forma segura y fiable para apoyar las necesidades de negocio. Esta etapa puede estar relacionada con la cláusula 8 de la norma.
- Mejora continua del servicio (3 procesos): consiste en la mejora de la calidad, la eficacia y la eficiencia de todos los servicios de TI, el tiempo reduce los costos. Esta etapa se puede relacionar con la cláusula 9 y 10 de la norma.
Aunque la norma ISO 27001 e ITIL tienen distintas prestaciones, comparten un enfoque similar al ciclo PHVA, lo que facilita el trabajo con ellos juntos.
Como la ISO 27001, ITIL carece de detalles sobre cómo se deben implementar los procesos, a pesar de que ofrece descripciones detalladas sobre los objetivos, las actividades, las entradas y salidas, además de los listados de control, todo esto proporciona espacio para que las empresa se adopten según sus necesidades. Una comparación aproximada sería pensar que ITIL es el contenido de la norma ISO 27002 y que se incluye en la ISO 27001.
¿Cómo utilizamos ITIL e ISO 27001 juntos?
No existe ninguna respuesta exacta a esta pregunta, ya que depende de la empresa y sus requisitos. Un método consiste en iniciar la implantación de la norma ISO 27001, ya que abarca la gestión general de la seguridad de la información y después de eso van para ITIL, que proporciona más detalles de implantación. Otra alternativa es considerar los elementos de ISO 27001 para cada etapa de ITIL y se pone en práctica en la secuencia de acuerdo con un programa de implantación de ITIL.
Lo importante aquí es que se va tanto en la norma ISO 27001 e ITIL como material complementario que puede ayudar a una empresa para proporcionar servicios al cliente con la seguridad adecuada.
Software ISO 27001
El estándar internacional ISO 27001, junto con todas las normas que componen su familia, generan todos los requisitos necesarios para poder implementar un Sistema de Gestión de Seguridad de la Información de una forma rápida y sencilla, además el Software ISOTools Excellence para ISO 27001 presta solución a todas estas cuestiones que se plantean a la hora de implementar un Sistema de Gestión de Seguridad de la Información en una empresa.