Alineando CobiT 4.1, ITIL V3 e ISO 27002 para beneficio del negocio


La experiencia demuestra que resulta algo complicado implementar un SGSI sin tocar aunque sea tangencialmente a Cobit o ITIL por la gestión de la información que exista en una organización.
Una pequeña descripción de lo que abarca cada uno de estos conceptos se muestra a continuación:

CobiT
Marco de referencia para objetivos de control sobre la información y recursos tecnológicos asociados. Cobit fue creado por ISACA  (Information System Control Standard) la cual es una organización sin ánimo de lucro enfocada en el Gobierno y control de IT. La función principal de CobiT es ayudar a las Organizaciones a mapear sus procesos de acuerdo a las mejores prácticas recopiladas por ISACA. Cobit usualmente es implementado por compañías que realizan auditorías de sistemas de información, ya sea relacionadas con la auditoría financiera o auditoría de TI en general.

ITIL
Marco de referencia para Infraestructura de Tecnologías de Información. ITIL fue creado por la OGC (Office of Government Commerce), y es un marco de referencia para gestionar los diferentes niveles de servicios IT. Aunque ITIL es similar a CobiT en muchos aspectos, CobiT se enfoca en los procesos base y en riesgos, mientras que ITIL se enfoca en los servicios IT.

ISO 27000
Estándar enfocado exclusivamente en la seguridad, lo cual le hace muy diferente a los estándares manejados por CobiT o ITIL. Esta diferencia hace que la ISO 27000 tenga un alcance menor pero más profundo en el tema obviamente de seguridad comparándole con ITIL o CobiT.

A continuación, una tabla de comparación de estos tres modelos:

Bien, por que entonces el titulo de esta entrada es Alineando CobiT 4.1, ITIL V3 e ISO 27002 para beneficio del negocio? Existe un excelente texto desarrollado por ITGI y OGC titulado Alineando COBIT® 4.1, ITIL® V3 e ISO/IEC 27002 en beneficio del negocio (ó de la empresa, dependiendo si miran la portada o el encabezado de todas las páginas del libro), que mediante un mapeo realizado a través de tablas nos permite ver al implementar un control de ISO 27002, que estamos cumpliendo en ITIL y CobiT o en cualquier sentido: desde CobiT ,  ITIL ó ISO 27002 podemos verificar que cumplimos en cualquiera de los otros dos modelos.

Este libro que inicialmente fue lanzado en idioma ingles, ahora ya se encuentra disponible en español en este link: Aligning COBIT 4.1, ITIL V3 and ISO/IEC27002 for Business Benefit.  Espero que aprovechen este texto, ya que para mí fue una herramienta muy valiosa al momento de afrontar mi primera implementación del SGSI.