Seguridad al alcance de todos!


sábado, 4 de febrero de 2017

Interacciones entre ITIL, COBIT e ISO27001

Este documento no es de mi autoria pero lo he encontrado muy bueno a la hora de realizar analisis entre los diferentes marcos regulatorios en la TI.

Muchas de las empresas de hoy en día invierten en el departamento de TI para mantener los beneficios de sus empresas (cliente, documentos de abeto secreto ...) . Nuevamente muchas de las grandes empresas implementan ITIL, Cobit e ISO27001 a sus departamentos de TI y en áreas de inversión. Hay muchas conexiones e interacciones entre estas tecnologías. Para mostrar las interacciones entre ITIL, Cobit e ISO27001, debería explicar las definiciones de estos términos. En el primer encabezado trataré de expresar ITIL.


ITIL ( Biblioteca de Infraestructura de Tecnologías de la Información ):



            ITIL, anteriormente una sigla de Information Technology Infrastructure Library, es un conjunto de prácticas para la gestión de servicios de TI (ITSM) que se centra en la alineación de los servicios de TI con las necesidades de las empresas. (ITIL)

En respuesta a la creciente dependencia de TI, la Agencia Central de Computadoras y Telecomunicaciones (CCTA) del Gobierno del Reino Unido en los años 80 desarrolló un conjunto de recomendaciones. Reconoció que, sin prácticas estándar, los organismos gubernamentales y los contratos del sector privado habían comenzado a crear de forma independiente sus propias prácticas de gestión de TI.

            En ITIL edición 2011 ITIL publica 5 volúmenes principales que definen la etapa ITSM que son:
  • ITIL Estrategia de Servicio: entiende los objetivos de la organización y las necesidades del cliente.
  • ITIL Service Design: convierte la estrategia de servicio en un plan para entregar los objetivos de negocio.
  • ITIL Transición de servicios: desarrolla y mejora las capacidades para introducir nuevos servicios en entornos compatibles.
  • Operación de servicio de ITIL: administra servicios en entornos compatibles.
  • ITIL Mejora Continua del Servicio: logra mejoras incrementales y de gran escala de los servicios.
  • Principales beneficios de ITIL:
  • Administrar el riesgo del negocio y la interrupción o interrupción del servicio
  • Mejorar y desarrollar relaciones positivas con sus clientes mediante la prestación de servicios eficientes que satisfagan sus necesidades
  • Establecer sistemas rentables para gestionar la demanda de sus servicios
  • Apoyar el cambio de negocio manteniendo un entorno de servicio estable

(Axelos, 2016)


COBIT:


Objetivos de control para la información y la tecnología relacionada (COBIT) es un marco creado por ISACA para la gestión de la tecnología de la información (TI) y la gobernanza de TI. Es un conjunto de herramientas de apoyo que permite a los administradores superar la brecha entre los requisitos de control, las cuestiones técnicas y los riesgos empresariales.

ISACA lanzó COBIT por primera vez en 1996; ISACA publicó la versión actual, COBIT 5, en 2012. (Cobit, 2016)

COBIT tiene 5 componentes principales que son:

  • Marco de referencia
  • Descripción del proceso
  • Objetivos de control
  • Directrices de gestión
  • Modelos de madurez

COBIT se centra en las decisiones más amplias en la gestión de TI y no se detiene en detalles técnicos. Es un marco de mejores prácticas en la gestión de recursos, infraestructura, procesos, responsabilidades, controles, etc.

Es una buena solución cuando los gerentes buscan un marco que sirva como una solución integrada dentro de sí mismo, en lugar de tener que ser implementado junto con otros marcos de gobierno de TI. Sin embargo, su mayor brevedad es que no da "cómo" las directrices para lograr los objetivos de control. Esto no se prefiere cuando el empuje en la correcta aplicación de los controles de seguridad. (Arora, 2016)

 ISO27001:


La serie ISO 27000 es una familia de estándares de gestión de SI. Es el conjunto de normas de esta familia que se centra en la Gestión de Sistemas de Información (ISM). Inicialmente conocido como el estándar BS7799, este se incluyó en el conjunto de normas ISO cuando ISO decidió incluir los estándares del SGSI como uno de los estándares ISO. Como resultado de esto, el nombre de las normas / número fue adoptado y se llamó la serie ISO17799: 2005. ISO 27001 define los métodos y prácticas de implementación de la seguridad de la información en las organizaciones con pasos detallados en la norma ISO 27001. La norma ISO 27001 Cómo estos implementados. Su objetivo es proporcionar una comunicación fiable y segura y el intercambio de datos en las organizaciones. Asimismo, hace hincapié en un enfoque de riesgo para el cumplimiento de sus objetivos. Esta norma se sumerge profundamente en formas de implementar sus subobjetivos. Esto pone a los gerentes que buscan aclaraciones sobre la implementación, en una ventaja. Sin embargo, no logra el objetivo de integrarse en un sistema más grande. Es independiente en su naturaleza, y no funciona como una solución completa ISM. (Arora, 2016)


 

(Comparación entre COBIT, ITIL e ISO 27001, 2016)


PROPÓSITO GENERAL:



  • COBIT (publicado por ITGI) es un marco de alto nivel (relativo a ITIL, ISO 27002 y NIST) que mapea procesos centrales de TI de una manera que permite a los órganos de gobierno -normalmente ejecutivos de negocios- ejecutar con éxito políticas y procedimientos claves. Al igual que ISO 27002, responde al 'qué' que se está manejando, en contraposición al 'cómo' respondido por ITIL. Sin embargo, mientras que ITIL e ISO 27002 se centran sólo en la seguridad de la información, COBIT permite un alcance mucho más amplio, teniendo en cuenta todos los procesos de gestión de TI.
  • ITIL es un conjunto de prácticas recomendadas que una organización puede implementar para alinear los recursos de TI y las ofertas con las metas de negocio. Se ofrece en una serie de cinco publicaciones principales cada una correspondiente a una etapa en el ciclo de vida de TI. Este proceso produce documentación de procesos, tareas y listas de control no específicas de la organización con el objetivo de poder crear una línea de base a partir de la cual implementar controles y medir el éxito.
  • ISO27001 producido por la ISO (International Organization for Standard). Formula un sistema de gestión que para controlar la seguridad de la información, no proporciona controles específicos o relacionados con la industria 
Cuándo usar:
  • COBIT es un buen candidato cuando una organización desea crear un marco de toda la organización para la gestión que se delimita fuera de la seguridad de la información solamente. Aunque no proporciona acreditación directa, la certificación se puede lograr a través de caminos estrechamente alineados.
  • ITIL apunta a los estándares ISO como un marco en el que implementar una solución. Esto es válido también para las organizaciones que deseen utilizar las normas ISO con reconocimiento global sin necesariamente obtener la certificación ISO 27001.

La certificación asociada a la ISO 27001 proporciona un reconocimiento y aceptación mundial, por lo que las organizaciones que deseen operar a través de fronteras internacionales pueden considerar que la implementación y la certificación son ventajosas. Además, algunas empresas certificadas ISO 27001 requieren que los socios se certifiquen también.

(Una comparación de COBIT, ITIL, ISO 27002 y NIST, 2016)

Interacciones:


  • ITIL fue diseñado como un marco de administración de servicios para ayudarle a entender cómo usted apoya procesos, cómo usted entrega servicios
  • COBIT fue diseñado como un modelo de gobierno de TI, en particular e inicialmente con la auditoría en mente para darle objetivos de control y prácticas de control sobre cómo debe comportarse ese proceso
  • La diferencia entre los dos es, COBIT le dice lo que debe hacer, mientras que ITIL le dice cómo debe hacerlo
  • Ponga COBIT e ITIL juntos, y usted tiene un modelo muy poderoso de lo que usted necesita hacer y cómo usted necesita hacerlo, cuando viene a su gerencia de proceso
  • Básicamente, la ISO da seguridad, pero no proporciona reconocer cómo integrarlos en el proceso de negocio
  • ITIL enfoca los procesos de TI
  • COBIT se centra en el control y las métricas
  • Por lo tanto, una combinación de los tres suele ser el mejor enfoque. COBIT se puede utilizar para determinar si las necesidades de la empresa están siendo adecuadamente apoyados por IT.ISO puede ser utilizado para determinar y mejorar la postura de seguridad de la empresa. Y ITIL se puede utilizar para mejorar los procesos de TI para cumplir con los objetivos de la empresa (incluida la seguridad).
(Verma, 2016)


 (Una comparación de los factores empresariales y técnicos para ISO 27001, ISO 27002, COBIT e ITIL, 2016)

REFERENCIAS:

1.    Una comparación de COBIT, ITIL, ISO 27002 y NIST . (2016, 03 04). Agnosticationater.blogspot.com.tr: http://agnosticationater.blogspot.com.tr/2013/12/a-comparison-of-cobit-itil-iso-27002.html

2.    Una comparación de los factores técnicos y de negocio para ISO 27001, ISO 27002, COBIT e ITIL . (2016, 03 04). Http://trongbang86.blogspot.com.tr/ : http://trongbang86.blogspot.com.tr/2010/11/comparison-of-business-and-technical.html

3.    Arora, V. (2016, 03 03). Comparando diferentes estándares de seguridad de la información: COBIT v s. ISO 27001. Qatar CMU: https://qatar.cmu.edu/media/assets/CPUCIS2010-1.pdf

4.    (2016, 03 03). Beneficios clave de ITIL . Axelos: https://www.axelos.com/best-practice-solutions/itil/key-benefits-of-itil

5.    Cobit . (2016, 03 03). Wikipedia: https://en.wikipedia.org/wiki/COBIT

6.    Comparación entre COBIT, ITIL e ISO 27001. (2016, 03 04). Beefchunk: http://beefchunk.com/documentation/security-management/comparison_between_COBIT_ITIL_and_ISO_27001.pdf

7.    ITIL .. 03 03, 2016 Wikipedia: https://en.wikipedia.org/wiki/ITIL

8.    Verma, M. (2016, 04 03). Comparación de su marco de gobierno-COBIT, ITIL, BS7799 . Slideshare.net: http://www.slideshare.net/meghnaverma3956/comparison-of-it-governance-frameworkcobit-itil-ds

FUENTE: https://abdulkadirerkmen.wordpress.com/2016/03/04/interactions-in-between-itil-cobit-and-iso27001/




Compartir:

Siguenos en Facebook

Patagonia Hacking

Etiquietas

4GLTE ACS Actualidad Actualizaciones ADB Adblocker Adguard Adobe Adware Amazon AMD Analitica Android AndroidP Annabelle App Store Apple Argentina ARM ARPSpoofing ASA Assa Abloy Asus ATM Auditoria Australia Auth0 Avast Aviso AWS Azure Sphere backdoor Banco de Chile Bancos Banking Bitcoins Blackberry BlackEnergy Blizzard BlockChain Botnet Brambul Bromas Bug Bug Bounty Cambridge Analytica Cambrige Analytica CannibalRAT CERT Certificados Challenge Chile China Chrome CIA CiberAtaques CiberCrimen CiberEjercito CiberEspionaje CiberGuerra CiberSeguridad Cifrado Cisco Cisco DNA Cisco Talos CloudFlare Coca-Cola CoinHive Colegio Combojack Copiapo Corfo Correo correos Cortana CredSSP Criptografía Criptomonedas CryptoMonedas Cryptovirus CSP CVE Cyberbit D-Link DASAN Database Databreach DDOS DefaultPassword Defensa DHCP DHS DigiCert Digital Shadows Dmitri Kaslov DNS DNS Spoofing Dockers Dofoil Doppelganging DPI DrayTek dropbox Drupal Drupalgeddon DrWeb EarlyBird Eclypsium Educación eFail EFF Electron Electroneum Equifax ESNIC Espionaje EstadosUnidos Etherium Ethical Hacking Europol Excel Exploit Exposición de Datos Extensión Chrome F5 Facebook Falla Fallo FBI FBS FedEx Fingerprint Finlandia Firebase Firewall FlawsCloud FlightRadar24 FortiGuard Fortinet Fortnite GandCrab Git GitHub Google google chrome Google Drive Google Play Google Proyect Zero Gpg Gpon Hackers Hacking hcsshim HDD Hidden Cobra Hispasec Hoteles HTTP Injector Huawei IBM idleBuddy IE Ingenieria Social Instagram Intel Internet InternetExplorer IonCube iOS Iot Iran Irán ISO/IEC JavaScript Joanap JSCRIPT Juegos Junos OS Kali Kane Gamble Karim Baratov Kaspersky KillDisk Kronos leaks Lenovo linkedin Linux Luka MAC MacOS Magento Mails Malware MalwareHunterTeam MalwareTech MBR MBRLock McAfee Medicina Meltdown Memcached Microsoft Mikrotik Millennials Mirai MitM Mobef Monero Mozilla Municipios My Cloud MySql NanoCore Nas Netflix Neutralidad Never Defender NewSky Security Nintendo Noticias Noticias. NSA NTLM NYT OceanLotus Office Omni OpenSSL Oracle OrangeWorm Outlook Owari OWASP PDF PenTestPartner PGP Phishing PHP PoC PornHub PowerHammer Privacidad Profinet PsicoHacking Python Qihoo360 QNAP Radware ransomware RAT RBL RCE RDP Recompensas Reconocimiento Facial RedDrop Redes RedHat RGPD Roaming Mantis Router Routers Rumanía. Rusia Salud SAMBA Samsung SAP Satori Saturn SCADA screenlocker ScreenOS SecurityList Segurdad Seguridad Seguridad Informatica Sev shodan Signal Sistemas Operativos SiteLock skype SlingShot SMB SMIME SMM Softzone Sonido Sophos Sora Spam Spectre Squid SSLER StalinLocker Switches SWITF Symantec Taiwan Tecnologia Telegram The Shadow Brokers TheMoon ThunderBird TLS Tor Torrent Transmission TrendMicro Troyanos Trustico TrustJacking Tutorial Twitter Ubiquiti Ubuntu UltraSonido Unix UPnP Noticias UPVel Utorrent Vault7 videojuegos VingCard Virus VM VPN VPNFilter VPNHub VRP Vulnerabilidad Vulnerabilidades Wandera WannaCry Watchguard WaveThrough Webinars WeChat Western Digital WhatsApp Wicked WIFI Windows Windows 10S Windows Defender Windows Remote Assistance Windows Vulnerabilidad WindowsUpdate WinstarNssmMiner Wireless Ruckus WordPress WPA3 wpscan XSS Yahoo Youtube Z-shave Z-wave ZDI ZeroDays ZeroFont ZTE

Vistas a la página totales