jueves, agosto 19, 2010

Alineando CobiT 4.1, ITIL V3 e ISO 27002 para beneficio del negocio


Como pudieron darse cuenta, las dos últimas entradas fueron sobre ITIL y CobiT respectivamente. Que relación tienen CobiT, ITIL e ISO 27000? La experiencia demuestra que resulta algo complicado implementar un SGSI sin tocar aunque sea tangencialmente a Cobit o ITIL por la gestión de la información que exista en una Organización. Así las cosas, Ud. puede estar implementando su SGSI pudiendo mejorar este sistema mediante la inclusión de indicadores de ITIL, o midiendo el estado de maduración de su SGSI a través de CobiT. Para cerrar este ciclo de CobiT, ITIL e ISO 27000, observemos brevemente que nos ofrece cada una de ellas:

CobiT
Marco de referencia para objetivos de control sobre la información y recursos tecnológicos asociados. Cobit fue creado por ISACA  (Information System Control Standard) la cual es una organización sin ánimo de lucro enfocada en el Gobierno y control de IT. La función principal de CobiT es ayudar a las Organizaciones a mapear sus procesos de acuerdo a las mejores prácticas recopiladas por ISACA. Cobit usualmente es implementado por compañías que realizan auditorías de sistemas de información, ya sea relacionadas con la auditoría financiera o auditoría de TI en general.

ITIL
Marco de referencia para Infraestructura de Tecnologías de Información. ITIL fue creado por la OGC (Office of Government Commerce), y es un marco de referencia para gestionar los diferentes niveles de servicios IT. Aunque ITIL es similar a CobiT en muchos aspectos, CobiT se enfoca en los procesos base y en riesgos, mientras que ITIL se enfoca en los servicios IT.

ISO 27000
Estándar enfocado exclusivamente en la seguridad, lo cual le hace muy diferente a los estándares manejados por CobiT o ITIL. Esta diferencia hace que la ISO 27000 tenga un alcance menor pero más profundo en el tema obviamente de seguridad comparándole con ITIL o CobiT

A continuación, una tabla de comparación de estos tres modelos:



Bien, por que entonces el titulo de esta entrada es Alineando CobiT 4.1, ITIL V3 e ISO 27002 para beneficio del negocio? Existe un excelente texto desarrollado por ITGI y OGC titulado Alineando COBIT® 4.1, ITIL® V3 e ISO/IEC 27002 en beneficio del negocio (ó de la empresa, dependiendo si miran la portada o el encabezado de todas las paginas del libro), que mediante un mapeo realizado a traves de tablas nos permite ver al implementar un control de ISO 27002, que estamos cumpliendo en ITIL y CobiT o en cualquier sentido: desde CobiT ,  ITIL ó ISO 27002 podemos verificar que cumplimos en cualquiera de los otros dos modelos.


Veamos el prefacio de este titulo:

Cada empresa necesita ajustar la utilización de estándares y prácticas a sus requerimientos individuales. En este sentido, los tres estándares/prácticas cubiertos en esta guía pueden desempeñar un papel muy útil, COBIT® e ISO/IEC 27002 para ayudar a definir lo que debería hacerse, e ITIL proporciona el cómo para los aspectos de la gestión de servicios.

La creciente adopción de mejores prácticas de TI se explica porque la industria de TI requiere mejorar la administración de la calidad y la confiabilidad de TI en los negocios y para responder a un creciente número de requerimientos regulatorios y contractuales. Sin embargo, existe el peligro de que las implementaciones de estas mejores prácticas, potencialmente útiles, puedan ser costosas y desenfocadas si son tratadas como guías puramente técnicas. 

Para ser más efectivos, las mejores prácticas deberían ser aplicadas en el contexto del negocio, enfocándose donde su utilización proporcione el mayor beneficio a la organización. La alta dirección, los gerentes, auditores, oficiales de cumplimiento y directores de TI, deberían trabajar en armonía para estar seguros que las mejores prácticas conduzcan a servicios de TI económicos y bien controlados.

Este libro que inicialmente fue lanzado en idioma ingles, ahora ya se encuentra disponible en español en este link: Aligning COBIT 4.1, ITIL V3 and ISO/IEC 27002 for Business Benefit  Espero que aprovechen este texto, ya que para mi fue una herramienta muy valiosa al momento de afrontar mi primera auditoría externa del SGSI. 

1 comentario:

Elizabeth dijo...

Excelente documento Ingeniero, lo felicito, espero poder leer mas publicaciones al respecto
Excelente el libro.

Elizabeth Zuñiga