La presente entrada tiene como finalidad realizar un comparativo sobre los modelos, guías y normas: COBIT, ISM3, MAGERIT, ITIL e ISO 27001, exponiendo mi punto de vista después de haber estudiado dichos temas.
Veremos los conceptos de cada una de estas metodologías con su finalidad,
que conllevará al lector a ilustrarse sobre el uso que se les da y cual se
podría ajustar a la organización en la que se desea implementar el Sistema de
Gestión de Seguridad de la Información.
No se hablará de
cuál es la mejor, teniendo en cuenta que todas tienen su enfoque diferente
relacionado con la seguridad de la información y las Tecnologías de la Información
que pueden ser usadas como plantillas para obtener la certificación en las
normas ISO 27001 e ISO 9001.
Para realizar un
comparativo entre COBIT, ISM3, MAGERIT, ITIL e ISO 27001, primero hablaremos
sobre el significado de cada una.
COBIT (Objetivos de Control para la Información y
Tecnologías Relacionadas), es una guía o marco de referencia de mejores
prácticas de los procesos que lleva a cualquier organización que la desee
implementar para controlar y supervisar el correcto funcionamiento y gestión de
las Tecnologías de la Información que se encuentran dentro de la misma o bajo
su responsabilidad, con el fin de comprender de una mejor manera los riesgos
asociados a TI.
ISM3 (Modelo de Madurez para la Seguridad de la
Información), modelo basado en la medición de los procesos, cuya finalidad
es la mejora continua de la eficiencia y calidad de los objetivos de la
organización y los objetivos de seguridad, sin olvidar que cada uno depende del
otro.
MAGERIT (Metodología de Análisis y Gestión de
Riesgos de los Sistemas de Información), es una metodología que posee como
finalidad la de realizar un manual de procedimientos para la gestión de
riesgos, a raíz de los incidentes relacionados con las TI que se puedan
presentar dentro de una organización.
ITIL (Biblioteca de Infraestructura de TI), es
un compendio de conceptos y buenas prácticas para la gestión de servicios
relacionada con las TI, cuya finalidad es la de ofrecer un servicio de calidad,
por parte de las empresas que la deseen implementar.
ISO 27001 es un
estándar internacional para la seguridad de la información que establece los
requisitos que requiere una organización para implantar, mantener, operar,
supervisar, auditar y mejorar su Sistema de Gestión de Seguridad de la
Información.
Como podemos
observar los anteriores modelos, guías y estándares están relacionados el uno
con el otro, cuya finalidad es la de establecer una serie de objetivos,
controles y procesos que van de la mano con los objetivos de una empresa para
la adopción de mejores prácticas, establecer los objetivos de control, medición
y evaluación de los procesos para la mejora continua, mediante la asignación de
valor a sus activos que permitan la implementación de un Sistema de Gestión de
Seguridad de la Información.
Si bien es cierto
pocas son las empresas que han adoptado uno o más modelos y se han certificado,
aunque no es una obligación, muchas organizaciones desde la alta dirección y/o
gobierno no ven productiva ni necesaria una inversión para establecer un SGSI,
puesto que no ven una retribución económica a corto, mediano o largo plazo.
Pienso que el tema
no debiera ser tanto la retribución económica, sino el costo que podría generar
un incidente informático donde se deba responder pecuniariamente,
administrativamente y en el peor de los casos penalmente, de acuerdo a las
normas y leyes del país.
Es por esto el
llamado a que el personal profesional encargado de los departamentos de TI en
cada una de las pequeñas, medianas y grandes empresas, sepan elaborar una muy
buena propuesta a la alta dirección, fundamentada en un análisis exhaustivo de
los riesgos tanto físicos como lógicos que se realice a toda la infraestructura
de la empresa, así como los costos que le podrían generar un robo, alteración,
pérdida, secuestro y/o borrado de la información.
Emplear uno o
varios de estos modelos para la posterior obtención de las certificaciones en
las normas ISO 27001 y/o ISO 9901, conlleva a darle a la empresa una mayor
credibilidad y confianza a sus clientes y demás personas o entidades que tengan
contacto con ella.
Algunas
organizaciones por ejemplo al momento de contratar servicios con otra o abrir
un proceso de licitación, solicita a los interesados tener este tipo de
certificaciones.
CONCLUSIONES
- Cualquiera de las guías, modelos y/o certificaciones que se desee emplear dentro de una empresa, se hace necesario el compromiso y acompañamiento de la alta dirección para que se tenga éxito.
- Las guías, modelos y/o certificaciones, pueden ser implementados en cualquier tipo de empresa sin importar la cantidad de empleados que posean.
- Los activos hacen referencia a las personas, infraestructura, instalaciones, información, software, aplicaciones, entre otros.
- Trabajar dentro de una organización con cualquiera de los modelos, guías o normas anteriormente descritas relacionadas con el Sistema de Gestión de Seguridad de la Información, conllevan a la asignación de responsabilidades de todos los miembros de la entidad, así como la de terceras personas que prestan sus servicios.
- Cuando a las personas se les asignan responsabilidades, realizan su trabajo de una manera más eficiente y cuidadosa, porque saben que cometer un incidente le acarrearía una sanción disciplinaria, administrativa y/o penal.
BILBLIOGRAFÍA
http://www.isaca.org/cobit/pages/cobit-5-spanish.aspx
http://www.bitcompany.biz/que-es-cobit/
http://www.eafit.edu.co/escuelas/administracion/consultorio-contable/Documents/boletines/auditoria-control/b13.pdf
http://seguridadinformacioncolombia.blogspot.com.co/2010/07/que-es-cobit.html
http://www.ism3.com/
http://www.criptored.upm.es/guiateoria/gt_m446a.htm
https://agustinzaidti.wordpress.com/2014/09/20/cuadro-comparativo-de-normas-y-estandares-ti/
http://www.idg.es/cio/estructura/imprimir.asp?id=79338&cat=not
No hay comentarios.:
Publicar un comentario