La
experiencia demuestra que resulta algo complicado implementar un SGSI sin tocar
aunque sea tangencialmente a Cobit o ITIL por la gestión de la información que
exista en una organización.
Una
pequeña descripción de lo que abarca cada uno de estos conceptos se muestra a continuación:
CobiT
Marco
de referencia para objetivos de control sobre la información y recursos
tecnológicos asociados. Cobit fue creado por ISACA (Information System Control Standard) la cual
es una organización sin ánimo de lucro enfocada en el Gobierno y control de IT.
La función principal de CobiT es ayudar a las Organizaciones a mapear sus
procesos de acuerdo a las mejores prácticas recopiladas por ISACA. Cobit
usualmente es implementado por compañías que realizan auditorías de sistemas de
información, ya sea relacionadas con la auditoría financiera o auditoría de TI
en general.
ITIL
Marco
de referencia para Infraestructura de Tecnologías de Información. ITIL fue
creado por la OGC (Office of Government Commerce), y es un marco de referencia
para gestionar los diferentes niveles de servicios IT. Aunque ITIL es similar a
CobiT en muchos aspectos, CobiT se enfoca en los procesos base y en riesgos,
mientras que ITIL se enfoca en los servicios IT.
ISO
27000
Estándar
enfocado exclusivamente en la seguridad, lo cual le hace muy diferente a los
estándares manejados por CobiT o ITIL. Esta diferencia hace que la ISO 27000
tenga un alcance menor pero más profundo en el tema obviamente de seguridad
comparándole con ITIL o CobiT.
A
continuación, una tabla de comparación de estos tres modelos:
Bien,
por que entonces el titulo de esta entrada es Alineando CobiT 4.1, ITIL V3 e
ISO 27002 para beneficio del negocio? Existe un excelente texto desarrollado
por ITGI y OGC titulado Alineando COBIT® 4.1, ITIL® V3 e ISO/IEC 27002 en
beneficio del negocio (ó de la empresa, dependiendo si miran la portada o el
encabezado de todas las páginas del libro), que mediante un mapeo realizado a través
de tablas nos permite ver al implementar un control de ISO 27002, que estamos
cumpliendo en ITIL y CobiT o en cualquier sentido: desde CobiT , ITIL ó ISO 27002 podemos verificar que
cumplimos en cualquiera de los otros dos modelos.
Este
libro que inicialmente fue lanzado en idioma ingles, ahora ya se encuentra
disponible en español en este link: Aligning COBIT 4.1, ITIL V3 and ISO/IEC27002 for Business Benefit. Espero que
aprovechen este texto, ya que para mí fue una herramienta muy valiosa al
momento de afrontar mi primera implementación del SGSI.
