Análisis comparativo ITILISO 27001OISM3

...

Mientras tanto OISM3 en Establecer y Mejorar el SGSI. ITIL considera diversas actividades que tienen que ver con servicios de seguridad y de calidad.

(Rioja, 2017), (CINTEL, 2010)

- MODELO PDCA (PLANEAR, HACER, CHECAR Y ACTUAR):

Básicamente la norma ISO 27001 hace uso de las fases de ciclo de vida del PDCA. Para OISM3 se identifican entradas, salidas, responsable y objetivo del proceso, métricas lo que permite también la adopción del modelo PDCA. Para ITIL se da la misma condicionante ya que está enfocado a procesos y por lo tanto adquiere también el modelo PDCA.

(Rioja, 2017), (CINTEL, 2010)

- NIVELES DE MADUREZ:

En el caso de OISM3 establece de manera clara 5 niveles de madurez cuyo objetivo es adaptarse a los objetivos de seguridad de la organización y a sus recursos. En ITIL e ISO27001 no se especifican. (CINTEL, 2010)

- GESTIÓN DE RIESGOS:

En ISO 27001 se define la gestión de riesgos al efectuar una valoración de riesgos, identificación, análisis, evaluación así como seleccionar controles para su tratamiento.

OISM3 también establece una política en la administración de riesgos así como el diseño y evolución de los mismos. La gestión de Riesgos en ITIL se encuentra enfocada a la disponibilidad, eficacia y eficiencia del servicio.

(CINTEL, 2010)

- INVOLUCRAMIENTO A NIVEL DIRECCIÓN

En ISO 27001 se plasma el involucramiento de la Dirección al proporcionar evidencias del compromiso y responsabilidad planteada. En ITIL se menciona en la Estrategia de servicio, mientras para OISM3 se establece de manera implícita ya que se basa en alinear los objetivos del negocio con los de seguridad efectuando el involucramiento de la Organización. (CINTEL, 2010)

- DOCUMENTACIÓN

ITIL efectúa su documentación en los procesos, en la administración del conocimiento así como en el diseño y la planeación de documentos. OISM3 es en la Administración de Documentos. Finalmente ISO27001 lo establece en los requisitos de documentación (control y generalidades de documentos).

(CINTEL, 2010)

- AUDITORIA

En ITIL este aspecto se encuentra plasmado en el Mejoramiento Continuo del Servicio; para ISO 27001 en las propias Auditorías Internas así como en la Revisión del SGSI. Mientras en OISM3 queda definido en la Auditoría del SGSI.

(CINTEL, 2010)

- PROCESO DE MEJORA

ISO 27001 se define en la mejora continua es decir en la acción preventiva y correctiva. Para OISM3 el proceso de mejora se establece mediante el diseño y la evolución del SGSI y para ITIL se define en el Mejoramiento Continuo del Servicio.

(CINTEL, 2010)

- GESTIÓN DE RECURSOS

OISM3 lo define en la administración Táctica (Entrenamiento y selección del personal de seguridad, gestión de la asignación de recursos y niveles de servicios entre otros). En el ámbito de ITIL se plasma en el ciclo de vida de la gestión del servicio. Por último ISO 27001 en la Provisión de recursos así como en toma de conciencia, formación y competencia de los mismos. (CINTEL, 2010)

CONCLUSIONES

Primeramente es importante mencionar que la implantación de un Sistema de Seguridad de la Información es vital en cualquier organización ya que una de sus finalidades es garantizar la protección y seguridad de la información. Durante el análisis pude notar que toda norma, modelo o mejor práctica debe efectuar los 4 procesos básicos (planear, hacer, verificar y actuar) dentro de un SGSI. Así mismo, cada una de ellas presenta su propia naturaleza sin embargo todas van encaminadas a brindar a la Organización los principios de disponibilidad, integridad y confidencialidad de la información. La forma de determinar ¿cuál es la ideal? Desde mi punto de vista es algo complejo ya que dependerá del tipo de organización, de cómo y qué es lo que se desea proteger, otro factor fundamental a tomar en cuenta es efectuar la Identificación de Procesos Críticos de la Organización y el involucramiento de la Alta Dirección.

Aunando un poco más en el análisis comparativo de ISO 27001, ITIL y OISM3 visualizo que EXISTEN más CORRESPONDENCIAS que DIFERENCIAS, quizás ITIL es más extenso y su enfoque se encuentra muy marcado hacia la GESTIÓN DE SERVICIOS IT lo que desde mi opinión, puede dar origen a no tener muy claro el contexto de la implantación del SGSI una ventaja que veo es que ITIL trata de garantizar una calidad y mejora en los Servicios IT. En cuanto a ISO 27001 sin duda alguna es el estándar más conocido, de los tres es el que me parece más definido en cuanto a la implantación del SGSI además de que establece desde un principio el concepto de AUDITORÍA lo cual permitirá siempre la mejora continua. Otro punto es que al tener un enfoque orientado a controles la Organización contará con un preámbulo más digerible para alinear las políticas de seguridad de la información que sean definidas.

En relación a OISM3 considero que es el menos utilizado o conocido, éste modelo presenta un aspecto relevante que ISO 27001 e ITIL no especifican o al menos no de manera clara; que es el hecho de establecer NIVELES DE MADURACIÓN y cuenta con la ALINEACIÓN DE LOS OBJETIVOS DEL NEGOCIO Y SEGURIDAD. Otro punto es que al enfocarse en procesos este modelo establece una compatibilidad con ISO 27001 e ITIL.

Por último, resalto dos situaciones: Al implantar un SGSI se debe de estar siempre en posibilidades de MEDIR lo que se hace y como se hace porque lo que no es medible no puede existir, ni puede ser mejorado (afortunadamente los casos estudiados efectúan la medición.

¿Cuál elegiría? Para mí es una reflexión muy interesante ya que no he tenido oportunidad de trabajar con alguno de ellos, pero a pesar de que no es el más común OISM3 logra cubrir lo que a mi punto de vista toda organización busca la alineación de lo que es el negocio con la seguridad y poder ubicar el tipo de nivel de madurez en el cual se encuentra la Organización.

---------------------------------------------------------------

REFERENCIAS