CUADRO COMPARATIVO

NORMA ISO 27001 NORMA ISO 27002 COBIT ITIL

El término ITIL corresponde a un acrónimo,

Es una norma internacional de seguridad de la
informacion que pretende asegurar la confidencialidad
e integridad de los datos y de la informacion, asi como
de los sistemas que lo procesan.
La ISO 27001 se basa en la teoría de
gestión de la calidad PDCA (también conocida como
ciclo de Deming).
1 Planificar: Identificar las necesidades, establecer
Que es? objetivos, programar activiades, y establecer rubricas
2.
Realizar: llevar a acabo lo planeado,seguir la secuencia
de activiades y recabar infiormacion y evidencias.
3. Evaluar:
Revisar evidencias, revisar cumplimiento y comprobar
resultados 4. Mejorar: analizar resultados, identificar
oportunidades, retroalimentar y proponer cambios.
El objetivo que persigue la norma ISO 27002 es que la organización
conozca de forma precisa todos los activos, algunos de estos activos son :
1.
Recursos de la informacion: bases de datos y archivos, la documentación
de los sistemas, los manuales de usuario, el material utilizado durante la
capacitación, los procedimientos operativos, los planes de continuidad y
contingencia. 2.
Recursos de software: oftware de aplicaciones, sistemas operativos,
herramienta utilizadas para llevar a cabo los desarrollos, etc.
3.activos fisicos:
equipamiento informático, equipos de comunicación, mobiliario.
4. servicios: los servicios informáticos
y de comunicaciones.Esta información es una parte muy importante de la
administración de riesgos.
Esta información es una parte muy importante
de la administración de riesgos.
Modelo creado para ayudar a las organizaciones a
obtener el valor óptimo de TI manteniendo un
balance entre la realización de beneficios, la
utilización de recursos y los niveles de riesgo sido desarrollados para servir como guía que abarque toda
asumidos. Se puede aplicar a organizaciones de se establece lo siguiente:
todos los tamaños, tanto en el sector privado,
público o entidades sin fines de lucro.
concretamente a Biblioteca de Infraestructura de
Tecnologías de Información, por su significado en inglés
Information Technology Infrastructure Library, este es un
Conjunto de conceptos y buenas prácticas usadas para la
gestión de servicios de tecnologías de la información, el
desarrollo de tecnologías de la información y las
operaciones relacionadas con la misma en general. Estos
procedimientos son independientes del proveedor y han
infraestructura, desarrollo y operaciones de TI, en el cual
1. Mejores
prácticas para la Provisión de Servicio 2. Mejores
prácticas para el Soporte de Servicio. 3. Gestión
de la infraestructura de TI. 4. Gestión
de la seguridad 5.Perspectiva de
negocio. 6. Gestión de
aplicaciones. 7. Gestión
de activos de software. 8.
Planeando implementar la Gestión de Servicios

Las normas ISO no son leyes que una empresa deba
cumplir de manera obligatoria, pero las ISO pueden ser
Quien las de ayuda para mejorar la gestión de la seguridad de la
debe usar y información lo cual es el objetivo de la (ISO 27001)
que NOTA: la ISO 27001 es certificable y
beneficios la ISO 27002 no lo es ¿Por qué motivo? Se preguntarn.
trae para las La ISO 27002 no es certificable debido a que no
empresas?? contiene requisitos, es decir, en su contenido no
contiene exigencias que toda organización que quiera
certificarla debería cumplir
No son obligatorios, pero trae la siguintes ventajas que proporciona esta No es obligatorio, pero propone una serie de prácticas
certificacion (ISO 27002), estas ventajas son representativas para las estandarizadas que nos ayudan a mejorar la prestación de
empresas, sobre todo porque son reconocidas mundialmente, algunos COBIT es empleado en todo el mundo por quienes un servicio, reorganizando la manera que tiene la empresa
beneficios asociados a la aplicación de la norma: tienen como responsabilidad primaria los de trabajar y en particular, la del departamento de TI,
procesos de negocio y la tecnología, aquellos de Además, establece unos estándares que posibilitan el
1.Mejor concienciación sobre la seguridad de la información; quien depende la tecnología y la información control, la operación y administración de los recursos,
2.Mayor control de activos e información sensible; confiable, y los que proveen calidad, confiabilidad además de reestructurar los procesos e identificar las
3.Ofrece un enfoque para la implementación de políticas de control; y control de TI. carencias, con el fin de mejorar la eficiencia y conducir a la
4.Oportunidad de identificar y corregir puntos débiles; organización hacia la mejora continua.
5.Reducción del riesgo de responsabilidad por la no implementación de un
SGSI (SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION) o
determinación de políticas y procedimientos;
Se convierte en un diferencial competitivo para la conquista de clientes
que valoran la certificación;
6.Mejor organización con procesos y mecanismos bien diseñados y
gestionados;
Promueve reducción de costos con la prevención de incidentes de
seguridad de la información;
7.Conformidad con la legislación y otras reglamentaciones.

1.Concoer los principios, politicas de la empresa.

2. Procesos La implementación de una biblioteca de infraestructura de
que tiene la empresa 3.La TI (ITIL) puede ayudar a las organizaciones que tratan de
Que debo estructura organizacional. 4. El conseguir un mejor manejo de los recursos y servicios de
TI, Pero ITIL es sólo un marco de referencia por lo tanto
hacer o 1. Conocer la organización 2. La ISO 27002, la cual establece un catálogo de buenas prácticas que personal de la empresa en habilidades y Para saber si ITIL debería ser adoptado por la empresa se
conocer Comprender las necesidades. 3. Re determina, desde la experiencia, una serie de objetivos de control y competencia, de esta menar se pueden delegar a debe establecer lo siguiente:
antes de quisistos del SGSI 4. controles que se integran dentro de todos los requisitos de la norma ISO funciones al personal con las capacidades 1. ¿Qué problema(s) se está tratando de resolver? 2.
implementa Alcances y limites 27001 en relación con el tratamiento de los riesgos. requeridas por cada area Cuál es la razón de ser de ITIL?. 3.
rla? 5. Cultura, etica y comportamiento.
6. Informacion. Cuál es la ruta para la mejora continua del servicio?
7. Servicios, infraestructura y aplicaciones con 4. Cuál es el alcance
las que cuenta la empresa y la escala de este Proyecto de ITIL?

1. Se deberán definir un conjunto de políticas para la seguridad de la

información, aprobada por la dirección, publicada y comunidacada a los
empleados y a las partes externas pertinentes. 2. Se deben identificar
responsabilidades para la protección de los activos individuales y para
llevar procesos de la seguridad de la información.
3. Se deben verificar los antecedentes de
todos los empleados y hacer seguimiento frecuente, en especial a aquellos
que manejan información confidencial.
4. Se debe elaborar y mantener un inventario de los activos 1. Los objetivos de beneficio de negocio, su 1. Estrategia del servicio: alinear la estrategia de TI con los
asociados con la información alineación con la estrategia de negocio y los objetivos y expectativas generales del negocio y asegurar
5. Establecer, documentar y revisar una política de control de acceso con propietarios asociados del beneficio (quién dentro que las decisiones resulten en valores mensurables para la
base en los requisitos del negocio y la seguridad d ela información. del negocio será responsable de asegurarlos). Esto organización. 2. Diseño del
6. Se debe desarrollar e podría basarse en puntos débiles o servicio: garantizar que los servicios de TI equilibren los
implementar una política sobre el uso de la criptografía para proteger la desencadenantes de eventos. 2. Los costos, funcionalidades y desempeño y que estén
confidencialidad, autenticidad y la integridad de la infromación. cambios de negocio requeridos para crear el valor diseñados para cumplir los objetivo de negocio
1. Definir el alcance 2. 7. Se deben definir y usar perímetros de previsto. Esto podría basarse en comprobaciones (asegurando que logre tanto el objetivo como el uso).
Pasos para Definifr politicas de seguridad 3. seguridad y usarlos para proteger áreas que contienen información y análisis de deficiencias de capacidad, y deberían 3. Transición del servicio: asegurar que los servicio de TI
su Definir responsables 4.Gestionar los sensible o crítica, e instalaciones de manejo de información. indicar claramente qué está dentro del ámbito y nuevos, modificados y retirados cumplan las necesidades
implementa riesgos 5. Definir objetivos y 8. Preparar procedimientos documentados para realizar qué está fuera de él. 3. Las inversiones precisas del negocio, que los cambios sean gestionados y
cion? controles 6. Evaluacion y actividades operacionales que influyan en la seguridad lógca de la para realizar los cambios de gobierno y gestión de controlados eficientemente, logrando el cambio en forma
seguimiento información. 9. Se deben definir e implementar directrices que aseguren TI corporativa (basado en estimaciones de rápida, a bajo costo y, al mismo tiempo, otorgando mayor
que la información transmitida en redes de comunicación, siempre va a proyectos necesarios). valor.
estar protegida y seguda. 4. Los costes ordinarios de TI y de negocio. 5. 4. Operación del servicio: asegurar que los servicios
10. Se deben crear e implementar directrices que definan Los beneficios esperados de operar en el nuevo de TI sean operados en forma segura y confiable para dar
los requisistos de seguridad de deben cumplir los sistemas de información. modo. 6.El apoyo a las necesidades de su negocio.
11. Se debe riesgo inherente en los puntos anteriores, 5. Mejora continua del servicio: se centra en mejorar
hacer seguimiento y revisión a los servicios de los proveedores, que incluyendo cualquier restricción o dependencia la calidad, eficiencia y efectividad de sus servicios de TI y
asegure el cumplimiento de los términos y condiciones de seguridad de la (basado en los desafíos y factores de éxito). en reducir costos.
información. 12. Se deben establecer
directrices de responsabilidades, que permitan desarrollar y comunicar
adecuadamente los procedimientos de gestión..
13. Se debe encaminar los aspectos de seguridad de la
información, a medidas que permitan la continuidad del negocio. Ejemplo:
definir planes de contingencia ante un desastre o crisis.
14.Se definen los requisitos legales y
contractuales que deben cumplir los empleados, como también se dan a
conocer las sanciones que acarrean por incumplimiento de las políticas.

Elaboro: Cindy Lorena Quintero Cardenas