Asignatura Datos del Alumno Fecha

Sistemas de Gestión de la Seguridad Apellidos: Ocampo Bobadilla

26/06/21
de la Información Nombre: César

Introducción

El documento describe las principales características de ITIL, ISO27001 y OISM3 mediante

la investigación y conceptualización en los términos oficiales para cada una de ellas.

Objetivo

Muestro, por medio de un cuadro comparativo, las principales directrices y procesos que
definen los métodos y estándares estudiados.

Desarrollo

Existen diferencias dentro de los 3 conceptos, a continuación describo de manera puntual

las directrices principales.

ITIL

Aspectos Generales:

 Proporciona la estructura y certifica a particulares. Es una biblioteca de cinco libros

de consulta basada en las mejores prácticas de organizaciones.

 Esta orienta a TI como negocio.

 Propone un enfoque del ciclo de vida para gestionar los servicios de TI.

 Es un complemento de la norma ISO/IEC 20000.

Las cinco fases del ciclo de vida de los servicios que propone ITIL V3 son las siguientes:

1) Estrategia de servicio: se ocupa del diseño, desarrollo e implantación de la gestión de

servicios de TI como activo estratégico para la organización. El proceso de la estrategia de
servicios comprende: la gestión de la cartera de servicios, la gestión financiera de TI y la
gestión de la demanda.

2) Diseño del servicio: se encarga del diseño y desarrollo de los servicios y de los
correspondientes procesos necesarios para apoyar dichos servicios. Entre los procesos del
diseño de servicios figuran: la gestión del catálogo de servicios, la gestión de los niveles de
servicio, la gestión de la disponibilidad, la gestión de la capacidad, la gestión de la
continuidad de los servicios de TI, la gestión de la seguridad de la información y la gestión
de proveedores.

1
 Asignatura Datos del Alumno Fecha
Sistemas de Gestión de la Seguridad Apellidos: Ocampo Bobadilla
26/06/21
de la Información Nombre: César
3) Transición del servicio: se ocupa de la gestión y coordinación de los procesos, los
sistemas y las funciones que se precisan para crear, comprobar e implantar servicios
nuevos o modificados en las operaciones. Entre los procesos de transición del servicio
figuran: la planificación y soporte de la transición, la gestión del cambio, la gestión de la
configuración y los activos del servicio, la gestión del lanzamiento y el despliegue, la
validación y comprobación del servicio, la evaluación y la gestión del conocimiento.

4) Operaciones de servicio: se ocupa de la coordinación, las actividades y los procesos

necesarios para gestionar los servicios destinados a usuarios y clientes de empresas
dentro de los niveles de servicio acordados. Los procesos de las operaciones de servicio
son los siguientes: la gestión de eventos, el cumplimiento de peticiones, la gestión de
incidencias, la gestión de problemas y la gestión del acceso.

5) Mejora continua: se ocupa de mejorar los servicios de forma constante para garantizar
a las organizaciones que los servicios responden a las necesidades del negocio. La mejora
continua trata sobre cómo mejorar el servicio, los procesos y las actividades de cada una
de las fases del ciclo de vida.

ISO27001

Aspectos Generales:

 El estándar ISO 27001:2013 para los Sistemas Gestión de la Seguridad de la

Información permite a las organizaciones la evaluación del riesgo y la aplicación de
los controles necesarios para mitigarlos o eliminarlos.

 La aplicación de ISO-27001 significa una diferenciación respecto al resto, que

mejora la competitividad y la imagen de una organización.

 La Gestión de la Seguridad de la Información se complementa con las buenas

prácticas o controles establecidos en la norma ISO 27002.

Es una norma internacional que permite el aseguramiento, la confidencialidad e

integridad de los datos y de la información, así como de los sistemas que la procesan.

Puede ser implementada en cualquier tipo de organización, con o sin fines de lucro,
privada o pública, pequeña o grande. Está redactada por los mejores especialistas del
mundo en el tema y proporciona una metodología para implementar la gestión de la
seguridad de la información en una organización. También permite que una empresa sea
certificada; esto significa que una entidad de certificación independiente confirma que la
seguridad de la información ha sido implementada en esa organización en cumplimiento
con la norma ISO 27001.

2
 Asignatura Datos del Alumno Fecha
Sistemas de Gestión de la Seguridad Apellidos: Ocampo Bobadilla
26/06/21
de la Información Nombre: César

Estructura de la norma ISO 27001

1. Objeto y campo de aplicación: La norma comienza aportando unas orientaciones

sobre el uso, finalidad y modo de aplicación de este estándar.
2. Referencias Normativas: Recomienda la consulta de ciertos documentos
indispensables para la aplicación de ISO27001.
3. Términos y Definiciones: Describe la terminología aplicable a este estándar.
4. Contexto de la Organización: Este es el primer requisito de la norma, el cual recoge
indicaciones sobre el conocimiento de la organización y su contexto, la
comprensión de las necesidades y expectativas de las partes interesadas y la
determinación del alcance del SGSI.
5. Liderazgo: Este apartado destaca la necesidad de que todos los empleados de la
organización han de contribuir al establecimiento de la norma. Para ello la alta
dirección ha de demostrar su liderazgo y compromiso, ha de elaborar una política
de seguridad que conozca toda la organización y ha de asignar roles,
responsabilidades y autoridades dentro de la misma.
6. Planificación: Esta es una sección que pone de manifiesto la importancia de la
determinación de riesgos y oportunidades a la hora de planificar un Sistema de
Gestión de Seguridad de la Información, así como de establecer objetivos
de Seguridad de la Información y el modo de lograrlos.
7. Soporte: En esta cláusula la norma señala que para el buen funcionamiento
del SGSI la organización debe contar con los recursos, competencias, conciencia,
comunicación e información documentada pertinente en cada caso.

OISM3

Aspectos Generales:

- Los SGSI basados en ISM3 pueden certificarse bajo ISO9001 o ISO27001, lo que
quiere decir que se puede usar ISM3 para implementar un SGSI basado en ISO
27001. Esto también puede ser atractivo para organizaciones que ya están
certificadas en ISO9001 y que tienen experiencia e infraestructura para ISO9001.

ISM3 v1.20 es un estándar para la creación de sistemas de gestión de la seguridad de la

información. ISM3 puede usarse por si solo o para mejorar sistemas basados en ITIL,
ISO27001 o Cobit. 

ISM3 pretende alcanzar un nivel de seguridad definido, también conocido como riesgo
aceptable, en lugar de buscar la invulnerabilidad. ISM3 ve como objetivo de la seguridad

3
 Asignatura Datos del Alumno Fecha
Sistemas de Gestión de la Seguridad Apellidos: Ocampo Bobadilla
26/06/21
de la Información Nombre: César
de la información el garantizar la consecución de objetivos de negocio. La visión
tradicional de que la seguridad de la información trata de la prevención de ataques es
incompleta. ISM3 relaciona directamente los objetivos de negocio (como entregar
productos a tiempo) de una organización con los objetivos de seguridad (como dar acceso
a las bases de datos sólo a los usuarios autorizados).

Algunas características significativas de ISM3 son: 

- Métricas de Seguridad de la Información - ISM3 hace de la seguridad un proceso

medible mediante métricas de gestión de procesos. Esto permite la mejora
continua del proceso, dado que hay criterios para medir la eficacia y eficiencia de
los sistemas de gestión de seguridad de la información. 

- Niveles de Madurez – ISM3 se adapta tanto a organizaciones maduras como

a emergentes mediante sus cinco niveles de madurez, los cuales se adaptan a
los objetivos de seguridad de la organización y a los recursos que están
disponibles. 

- Bases de los Procesos - ISM3 v1.20 está basado en procesos, al igual que
sistemas de gestión populares como ISO9001 o ITIL. ISM3 fomenta la
colaboración entre proveedores y usuarios de seguridad de la información,
dado que la externalización de procesos de seguridad se simplifica gracias a
mecanismos explícitos, como los ANS y la distribución de
responsabilidades. 

Adopción de las Mejores Prácticas – Una implementación de ISM3 tiene extensas

referencias a estándares bien conocidos en cada proceso, así como la distribución explícita
de responsabilidades entre los líderes, gestores y el personal técnico usando el concepto
de gestión Estratégica, Táctica y Operativa.

4
 Asignatura Datos del Alumno Fecha
Sistemas de Gestión de la Seguridad Apellidos: Ocampo Bobadilla
26/06/21
de la Información Nombre: César
Cuadro Comparativo

5
 Asignatura Datos del Alumno Fecha
Sistemas de Gestión de la Seguridad Apellidos: Ocampo Bobadilla
26/06/21
de la Información Nombre: César

Conclusiones:

No son lo mismo, tienen diferencias y ambientes de aplicación, mientras ITIL esta hecho
para particulares y cubre principalmente TI, la norma ISO 27001 es un estándar mucho
más complejo y abarca todos los aspectos de la seguridad de información, su enfoque es a
todo lo relacionado con la implementación de un SGSI y la organización completa.

En el estándar OISM3 esta claro que define una mejora dentro de las organizaciones, es un
complemento para ITIL e ISO 27001, realiza una descripción de procesos, más granulares,
dentro de la organización y busca que la seguridad de la información no se trata solo de la
prevención de ataques a los sistemas de información, se trata de lograr la misión de la
organización a pesar de los ataques, accidentes y errores. No existe alineación entre los
objetivos de seguridad (la tradicional confidencialidad, integridad, disponibilidad) y los
objetivos comerciales; pero en O-ISM3, son lo mismo.

6
 Asignatura Datos del Alumno Fecha
Sistemas de Gestión de la Seguridad Apellidos: Ocampo Bobadilla
26/06/21
de la Información Nombre: César

Referencias:

- Hanna Guijarro. (2018). ISO 27001 y su política de seguridad de la información. 06-

26-2021, de it Governance Sitio web: www.itgovernance.eu

- Oscar Fabián Cardoso Caicedo. (2014). Modelo ISM3. En Modelado de Procesos de

Seguridad de la Información basado en el estándar O-ISM3(p.12). Buenos Aires:
Universidad de Buenos Aires.

- Norberto Figueroa. (2012). ITIL V3 Por dónde empezar. 06-26-2021, de

academia.edu Sitio web: academia.edu

- Vicente Canal. (2020). INFORMATION SECURITY MANAGEMENT USING O-ISM3. 06-

26-2021, de Open Group Sitio web: www.opengroup.org