Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Introducción
Objetivo
Muestro, por medio de un cuadro comparativo, las principales directrices y procesos que
definen los métodos y estándares estudiados.
Desarrollo
ITIL
Aspectos Generales:
Propone un enfoque del ciclo de vida para gestionar los servicios de TI.
Las cinco fases del ciclo de vida de los servicios que propone ITIL V3 son las siguientes:
2) Diseño del servicio: se encarga del diseño y desarrollo de los servicios y de los
correspondientes procesos necesarios para apoyar dichos servicios. Entre los procesos del
diseño de servicios figuran: la gestión del catálogo de servicios, la gestión de los niveles de
servicio, la gestión de la disponibilidad, la gestión de la capacidad, la gestión de la
continuidad de los servicios de TI, la gestión de la seguridad de la información y la gestión
de proveedores.
1
Asignatura Datos del Alumno Fecha
Sistemas de Gestión de la Seguridad Apellidos: Ocampo Bobadilla
26/06/21
de la Información Nombre: César
3) Transición del servicio: se ocupa de la gestión y coordinación de los procesos, los
sistemas y las funciones que se precisan para crear, comprobar e implantar servicios
nuevos o modificados en las operaciones. Entre los procesos de transición del servicio
figuran: la planificación y soporte de la transición, la gestión del cambio, la gestión de la
configuración y los activos del servicio, la gestión del lanzamiento y el despliegue, la
validación y comprobación del servicio, la evaluación y la gestión del conocimiento.
5) Mejora continua: se ocupa de mejorar los servicios de forma constante para garantizar
a las organizaciones que los servicios responden a las necesidades del negocio. La mejora
continua trata sobre cómo mejorar el servicio, los procesos y las actividades de cada una
de las fases del ciclo de vida.
ISO27001
Aspectos Generales:
Puede ser implementada en cualquier tipo de organización, con o sin fines de lucro,
privada o pública, pequeña o grande. Está redactada por los mejores especialistas del
mundo en el tema y proporciona una metodología para implementar la gestión de la
seguridad de la información en una organización. También permite que una empresa sea
certificada; esto significa que una entidad de certificación independiente confirma que la
seguridad de la información ha sido implementada en esa organización en cumplimiento
con la norma ISO 27001.
2
Asignatura Datos del Alumno Fecha
Sistemas de Gestión de la Seguridad Apellidos: Ocampo Bobadilla
26/06/21
de la Información Nombre: César
OISM3
Aspectos Generales:
- Los SGSI basados en ISM3 pueden certificarse bajo ISO9001 o ISO27001, lo que
quiere decir que se puede usar ISM3 para implementar un SGSI basado en ISO
27001. Esto también puede ser atractivo para organizaciones que ya están
certificadas en ISO9001 y que tienen experiencia e infraestructura para ISO9001.
ISM3 pretende alcanzar un nivel de seguridad definido, también conocido como riesgo
aceptable, en lugar de buscar la invulnerabilidad. ISM3 ve como objetivo de la seguridad
3
Asignatura Datos del Alumno Fecha
Sistemas de Gestión de la Seguridad Apellidos: Ocampo Bobadilla
26/06/21
de la Información Nombre: César
de la información el garantizar la consecución de objetivos de negocio. La visión
tradicional de que la seguridad de la información trata de la prevención de ataques es
incompleta. ISM3 relaciona directamente los objetivos de negocio (como entregar
productos a tiempo) de una organización con los objetivos de seguridad (como dar acceso
a las bases de datos sólo a los usuarios autorizados).
- Bases de los Procesos - ISM3 v1.20 está basado en procesos, al igual que
sistemas de gestión populares como ISO9001 o ITIL. ISM3 fomenta la
colaboración entre proveedores y usuarios de seguridad de la información,
dado que la externalización de procesos de seguridad se simplifica gracias a
mecanismos explícitos, como los ANS y la distribución de
responsabilidades.
4
Asignatura Datos del Alumno Fecha
Sistemas de Gestión de la Seguridad Apellidos: Ocampo Bobadilla
26/06/21
de la Información Nombre: César
Cuadro Comparativo
5
Asignatura Datos del Alumno Fecha
Sistemas de Gestión de la Seguridad Apellidos: Ocampo Bobadilla
26/06/21
de la Información Nombre: César
Conclusiones:
No son lo mismo, tienen diferencias y ambientes de aplicación, mientras ITIL esta hecho
para particulares y cubre principalmente TI, la norma ISO 27001 es un estándar mucho
más complejo y abarca todos los aspectos de la seguridad de información, su enfoque es a
todo lo relacionado con la implementación de un SGSI y la organización completa.
En el estándar OISM3 esta claro que define una mejora dentro de las organizaciones, es un
complemento para ITIL e ISO 27001, realiza una descripción de procesos, más granulares,
dentro de la organización y busca que la seguridad de la información no se trata solo de la
prevención de ataques a los sistemas de información, se trata de lograr la misión de la
organización a pesar de los ataques, accidentes y errores. No existe alineación entre los
objetivos de seguridad (la tradicional confidencialidad, integridad, disponibilidad) y los
objetivos comerciales; pero en O-ISM3, son lo mismo.
6
Asignatura Datos del Alumno Fecha
Sistemas de Gestión de la Seguridad Apellidos: Ocampo Bobadilla
26/06/21
de la Información Nombre: César
Referencias: