Asignatura Datos del alumno Fecha

Sistemas de Gestión de Apellidos: Villanueva Arquinigo

la Seguridad de la 25/06/2021
Información Nombre: Jesus Angel

Análisis comparativo ITIL/ISO 27001/O-ISM3

Jesus Angel Villanueva Arquinigo

Maestría en Seguridad Informática, UNIR
Sistemas de Gestión de la Seguridad de la Información
Mg. María del Carmen García de Ureña
25 de junio de 2021
 Análisis comparativo ITIL/ISO 27001/O-ISM3

En la siguiente tabla, estableceré las diferencias o correspondencias en el ámbito y aplicabilidad, audiencia y el marco conceptual de la guía de
buenas prácticas ITIL, la norma ISO 27001 y el modelo de madurez OISM3.

Análisis comparativo ITIL/ISO 27001/O-ISM3

Criterio ITIL
El enfoque de ITIL eleva el perfil de la gestión
de los servicios en las organizaciones e
industrias ubicándolas en un contexto más
estratégico. Su enfoque tiende a estar en la
gestión integral de productos y servicios, desde
la demanda hasta el valor. Proporciona una
orientación que las organizaciones necesitan
para abordar los nuevos desafíos de la gestión de
servicios y aprovechar el potencial de la
tecnología moderna. Es diseñado para garantizar
Ámbito y un sistema flexible, coordinado e integrado para
Aplicabilidad la eficaz gobernanza y gestión de servicios de TI
(AXELOS, 2019).
ITIL “es una serie de normas y buenas prácticas
usadas principalmente en la gobernanza de
tecnología, donde se involucra el desarrollo,
implementación, mantenimientos y operaciones
relacionadas. Dichas normas dan descripciones
detalladas de un extenso conglomerado de
procedimientos de gestión, creados con la
finalidad de ayudar a las organizaciones a lograr
la eficiencia y calidad en las operaciones de sus
ISO 27001
“Proporciona los requisitos para el
establecimiento, implementación,
mantenimiento y mejora continua de un sistema
de gestión de la seguridad de la información. El
establecimiento e implementación de un sistema
de gestión de la seguridad de la información por
una organización está condicionado por sus
necesidades y objetivos, sus requisitos de
seguridad, los procesos organizativos utilizados
y su tamaño y estructura” (UNE-ES, 2017).
“Esta norma internacional puede ser utilizada
por partes internas y externas para evaluar la
capacidad de la organización para cumplir con
sus propios requisitos de seguridad” (UNE-ES,
2017).
O-ISM3
Su objetivo es garantizar que los procesos de
seguridad en cualquier organización se
implementen para operar a un nivel
consistente con los requisitos comerciales de
esa organización. Define un número completo
pero manejable de procesos de seguridad de
la información suficiente para las necesidades
de la mayoría de las organizaciones, con los
controles de seguridad relevantes
identificados dentro de cada proceso como un
subconjunto esencial de ese proceso (The
Open Group, 2011).
 departamentos TI” (InGenio Learning, 2020).
Su audiencia abarca desde estudiantes de TI y
negocios dando sus primeros pasos en la gestión
de servicios hasta profesionales experimentados
familiarizados con versiones anteriores de ITIL
y otras fuentes de buenas prácticas de la
industria (AXELOS, 2019).
Audiencia
 Procesos: Un conjunto de actividades
interrelacionadas o interactivas que
transforman las entradas en salidas. Un
proceso toma una o más entradas
definidas y las convierte en salidas
definidas. Los procesos definen la
secuencia de acciones y sus
Marco conceptual dependencias (AXELOS, 2019).
 Políticas: Establecen los requisitos de
comportamiento en toda la organización
y, cuando sea relevante, de proveedores,
socios y otras partes interesadas. Se
deben establecer políticas con respecto a
qué solicitudes de servicio se cumplirán
con aprobaciones limitadas o incluso sin
aprobaciones adicionales para que el
Esta norma internacional, es útil “para aquellas
organizaciones que deciden implantar un sistema
de gestión que cumpla con los requisitos de dos
o más normas de sistemas de gestión” (UNE-ES,
2017).
“La norma ISO 27001 es adecuada para
cualquier organización, grande o pequeña, de
cualquier sector o parte del mundo. También
puede ir dirigida a organizaciones que gestionan
la información por encargo de otros y se utiliza
para demostrar a los clientes que su información
está protegida” (OCA Group, s. f.).
 Procesos: “Conjunto de actividades
interrelacionadas o interactivas que
transforman entradas en salidas”
(INGERTEC, s. f.).
 Política: “Intenciones y dirección de una
organización, según lo expresado
formalmente por su alta dirección”
(INGERTEC, s. f.).
 Sistema de Gestión: “Conjunto de
elementos interrelacionados o
interactivos de una organización para
establecer políticas y objetivos y
procesos para alcanzar esos objetivos”
(INGERTEC, s. f.).
 Medida: “Variable a la que se asigna un
valor como resultado de la medida”
Está dirigido a organizaciones de diferentes
sectores comerciales y países que tienen
diferentes requisitos comerciales y tolerancias
de riesgo. Ayuda a los gerentes de seguridad
de la información a evaluar su propio entorno
operativo y a planificar sus procesos de
administración de seguridad para que sean
consistentes y rentables para los objetivos
comerciales de su organización (The Open
Group, 2011).
 Proceso: Es la unidad atómica más
pequeña del estándar. Todo lo que
hace ISM3 se centra en el concepto de
proceso. Los procesos tienen
capacidades y se gestionan mediante
prácticas de gestión (The Open
Group, 2011).
 Políticas: Documentos para
especificar requisitos, prioridades y
reglas para el proceso (The Open
Group, 2011).
 Capacidad: Las métricas de un
 cumplimiento pueda ser simplificado.
Debe incluirse para documentar y
redirigir las solicitudes que se envían
como solicitudes de servicio, pero que en
realidad deberían gestionarse como
incidencias o cambios. (AXELOS,
2019).
 Gestión de servicios: Un conjunto de
capacidades organizativas especializadas
para generar valor para los clientes en
forma de servicios (AXELOS, 2019).
 Valor: Los beneficios percibidos, la
utilidad y la importancia de algo.
 Organización: Una persona o un grupo
de personas que tiene sus propias
funciones con responsabilidades,
autoridades y relaciones para lograr sus
objetivos (AXELOS, 2019).
 Cliente: Una persona que define los
requisitos de un servicio y toma
responsabilidad por los resultados del
consumo de servicios (AXELOS, 2019).
 Usuario: Una persona que usa servicios
(AXELOS, 2019).
 Patrocinador: Persona que autoriza
presupuesto para consumo de servicios
(AXELOS, 2019).
 Servicios: Un medio para posibilitar la
(INGERTEC, s. f.).
 Medición: “Proceso para determinar un
valor” (INGERTEC, s. f.).
 Organización: “Persona o grupo de
personas que tiene sus propias funciones
con responsabilidades, autoridades y
relaciones para lograr sus objetivos”
(INGERTEC, s. f.).
 Parte interesada: “Persona u
organización que puede afectar, verse
afectada o percibirse como afectada por
una decisión o actividad” (INGERTEC,
s. f.).
 Alta dirección: “Persona o grupo de
personas que dirige y controla una
organización al nivel más alto”
(INGERTEC, s. f.).
 Seguridad de información: “Preservación
de la confidencialidad, integridad y
disponibilidad de la información”
(INGERTEC, s. f.).
 Sistema de Seguridad de la Información:
“Conjunto de elementos
interrelacionados o interactuantes
(estructura organizativa, políticas,
planificación de actividades,
responsabilidades, procesos,
procedimientos y recursos) que utiliza
una organización para establecer una
política y unos objetivos de seguridad de
proceso habilitan sus prácticas de
gestión y revelan su capacidad. Desde
el punto de vista de un auditor, la
métrica de un proceso determina su
capacidad (The Open Group, 2011).
 Madurez: los procesos ISM3
seleccionados recopilados y operados
con una capacidad suficiente
determinan la madurez de la gestión
de seguridad de la información de una
organización o simplemente madurez.
La madurez y los niveles de capacidad
se pueden utilizar como base para el
desarrollo de un esquema de
certificación, que sería de especial
valor para las autoridades de
certificación (auditores) (The Open
Group, 2011).
 Dueño del proceso: Persona o equipo
responsable de la ejecución de un
proceso (The Open Group, 2011).
 Rol: Un conjunto de
responsabilidades asignadas a una
persona o un equipo (The Open
Group, 2011).
 Cliente: Como en la definición de
 creación conjunta de valor al facilitar los
resultados que los clientes quieren lograr,
sin que el cliente tenga que gestionar
costos y riesgos específicos (AXELOS,
2019).
 Producto: Una configuración de los
recursos de una organización diseñada
para ofrecer valor para un consumidor
(AXELOS, 2019).
 Oferta de servicios: Una descripción
formal de uno o más servicios, diseñada
para abordar las necesidades de un grupo
de consumidores objetivo. Una oferta de
servicio puede incluir bienes, acceso a
recursos y acciones de servicio
(AXELOS, 2019).
 Producción: Un entregable tangible o
intangible de una actividad (AXELOS,
2019).
 Resultado: Un resultado para un
stakeholder habilitado por uno o más
productos (AXELOS, 2019).
 Costo: La cantidad de dinero gastada en
una actividad o recurso específico
(AXELOS, 2019).
 Riesgo: Un posible evento que podría
causar daños o pérdidas o dificulta
la información y alcanzar dichos ITIL, un cliente es el rol que
objetivos, basándose en un enfoque de proporciona recursos y establece
gestión del riesgo y de mejora continua” requisitos para un proceso y un dueño
(ISO27000.ES, s. f.). del proceso (The Open Group, 2011).
 Objetivo: “Un objetivo se define como  Usuario: Alguien autorizado para usar
un resultado a lograr. Un objetivo puede un sistema de información (The Open
ser estratégico, táctico u operacional” Group, 2011).
(INGERTEC, s. f.).  Stakeholder: Accionista, propietario,
 Riesgo: “Efecto de la incertidumbre tenedor de bonos, miembro no
sobre los objetivos” (INGERTEC, s. f.). ejecutivo de la junta u otro, que tiene
 Auditoría: “Proceso sistemático, un interés en el desempeño de la
independiente y documentado para organización, pero no tiene un rol
obtener evidencia de auditoría y directo en la administración (The
evaluarla objetivamente para determinar Open Group, 2011).
hasta qué punto se cumplen los criterios
de auditoría” (INGERTEC, s. f.).
 Disponibilidad: “Propiedad de ser
accesible y utilizable a solicitud de una
entidad autorizada” (INGERTEC, s. f.).
 Confidencialidad: “Propiedad por la que
la información no se pone a disposición o
se divulga a personas, entidades o
procesos no autorizados” (INGERTEC,
s. f.).
 Integridad: “Propiedad de la exactitud y
la integridad” (INGERTEC, s. f.).
 Mejora continua: “Actividad recurrente
para mejorar el rendimiento”
(INGERTEC, s. f.).
 alcanzar los objetivos. También se puede
definir como la incertidumbre del
resultado y puede ser utilizado en el
contexto de la medición de la
probabilidad de resultados positivos y
resultados negativos (AXELOS, 2019).
 Utilidad: La funcionalidad ofrecida por
un producto o servicio para cumplir con
una necesidad. La utilidad se puede
resumir como "lo que hace el servicio" y
se puede utilizar para determinar si un
servicio es "adecuado para su propósito".
Para tener utilidad, un servicio debe
apoyar el desempeño del consumidor o
eliminar limitaciones del consumidor.
Muchos servicios hacen ambas cosas
(AXELOS, 2019).
De acuerdo al análisis, el concepto de proceso está bien definido en los tres como la parte fundamental de toda la organización. El concepto es
compartido de manera idéntica entre ITIL y la norma ISO27001 y en el caso de O-ISM3 se establece que es la unidad más pequeña y en la cual se
centra todo este modelo de madurez.
Además, hay una correspondencia similar sobre el concepto de política. Los tres la definen como una serie de procedimientos y directrices hacia los
Correspondencia que se orienta la organización.
s Podemos hacer un contraste también en el sentido de que los elementos de la norma ISO 27001 se enfocan en la gestión de la seguridad de la
información y construir un SGSI para satisfacer requisitos de una auditoría. En cambio, O-ISM3 establece un marco para implementar y construir un
conjunto de procesos de seguridad que permite medir lo que las personas hacen las actividades que respaldan a la seguridad. Por otro lado, ITIL
brinda una serie de herramientas de buenas prácticas para servicios de TI en general que pueden adoptar elementos de la norma ISO27001 y
metodologías de O-ISM3 para sus procesos de seguridad.
Referencias:

AXELOS. (2019). ITIL Foundation. TSO.

InGenio Learning. (2020). ITIL. Todo lo que necesitas saber sobre esta gran
herramienta. https://ingenio.edu.pe/itil-todo-lo-que-necesitas-saber/

Asociación Española de Normalización. (2017). ISO/IEC 27001.

OCA Group. (s. f.). ISO/IEC 27001. Gestión de la seguridad de la información.

https://ocacert.com/certificacionISO27001.php#:~:text=A%20qui%C3%A9n%20va
%20dirigido,y%20tecnolog%C3%ADa%20de%20la%20informaci%C3%B3n.

INGERTEC. (s. f.). Referencias Normativas ISO 27000.

https://normaiso27001.es/referencias-normativas-iso-27000/#ISO27000

ISO27000.ES. (s. f.). Glosario. https://www.iso27000.es/glosario.html

The Open Group. (2011). Open Information Security Management Maturity Model(O-
ISM3). The Open Group.