Revista Pensamiento AMERICANO

Revista Pensamiento Americano

ISSN: 2027-2448 Vol 2 No. 6. Enero Junio 2011
(Pgs 21-23)

La gestin en la seguridad de la informacin

segn Cobit, Itil e Iso 27000
Vladimir Montao Orrego*
vmontano@coruniamericana.edu.co

Resumen:
Qu relacin tienen Cobit, ITIL e ISO 27000 en la seguridad informtica? La experiencia demuestra que resulta
algo complicado implementar un Sistema de Gestin de Seguridad de la Informacin SGSI sin tocar aunque
sea tangencialmente este tipo de modelos en los aspectos de seguridad de la informacin que existe en una
Organizacin.
Por ende, usted puede estar implementando su SGSI pudiendo mejorar este sistema mediante la inclusin de
reas de aplicacin ISO 27000, o midiendo el estado de maduracin de su SGSI a travs de Cobit o ITIL.

Palabras Clave:
ISO (Organizacin de Estndares Internacionales), ITIL (Biblioteca de Infraestructura de Tecnologas de la
Informacin), OGC (Oficina Gubernamental de Comercio), TI (Tecnologas de la informacin), COBIT (Objetivos de
Control para la Informacin y Tecnologas relacionadas), IEC (Comisin Internacional de Electrotecnia)

Abstract:
Is there any relationship between COBIT and ITIL and ISO 27000 about the information security? Experience
shows up that is very complex try to implement a Information Security Management System ISMS without touch
this kind of models in subjects related with information security of the organization.
For the time, you may be implementing the ISMS for improving this system through the inclusion of application
areas about ISO 27000, or measuring the maturing state of ISMS through COBIT or ITIL.

Key Words:
ISO, ITIL, OGC, TI, COBIT, IEC.

Acerca de iso 27000 que aborde esta tarea de una forma metodolgica,
documentada y basada en unos objetivos claros

C
uantos de ustedes no han tenido que abordar de seguridad y una acertada evaluacin de los
o participar en un proyecto corporativo en riesgos a los que est sometida la informacin de la
donde se tiene que implementar un plan organizacin.
de seguridad informtica basado en un modelo o
metodologa, el cual no se debe mezclar con las t
gi
co
Poltica de Seguridad
ra
herramientas operativas de firewall, antivirus o Est
Aspectos organizativos
de deteccin de intrusos que se requieren para la ctic
o para la seguridad
T
seguridad perimetral. Clasificacin y control
Control de accesos
l de activos
na
io
ac Conformidad
La informacin se ha convertido en un activo O
pe
r
Seguridad ligada Seguridad fsica
vital para el xito y la continuidad en el mercado de al personal y del entorno

cualquier organizacin. Por ende, el aseguramiento Desarrollo y mantenimiento

de sistemas
Gestin de comunicaciones
y operaciones
Gestin de continuidad
del negocio
de dicha informacin y de los sistemas que la
procesan es un objetivo de primer nivel para la Seguridad Organizativa

organizacin. DOMINIOS DE LA NORMA ISO 27001 Seguridad lgica

Seguridad fsica
Seguridad legal

Para la corrrecta gestin de la seguridad de la Dominio de la norma ISO 27001 Fuente: TCP. Sistemas e
informacin, es necesario implantar un sistema Ingeniera

* Especializacin en Gerencia Integral

Artculo recibido: Abril 27/2011. Aceptado: Agosto 16/2011.

21
Revista Pensamiento AMERICANO La gestion en la seguridad de la informacin

ISO/IEC 27000 es un conjunto de estndares al alineamiento con el negocio y simplifica la im-

desarrollados o en fase de desarrollo por la ISO
(International Organization for Standardization) e
IEC (International Electrotechnical Commission),
que brindan un marco de gestin de la seguridad
de la informacin utilizable por cualquier tipo de
organizacin de tipo pblico o privada, grande o
pequea.
Acerca de Cobit
El modelo COBIT (Control Objectives for In-
formation and related Technology) es el marco
aceptado internacionalmente de buenas prcticas
para el control de la informacin TI y los riesgos
que conllevan. COBIT se usa para implementar el
gobierno de TI y mejorar los controles de TI. De igual
manera, contiene objetivos de control, directrices
de aseguramiento, mediciones de desempeo y
resultados, factores crticos de xito y modelos de
madurez.
Para apoyar a las organizaciones a satisfacer
exitsamente los desafos de los negocios ac-
tualmente, el IT Governance Institute (ITGI) public
la versin de COBIT 4.1
plantacin de COBIT. Esta versin no invalida el
trabajo efectuado con las versiones anteriores del
COBIT, sino que puede ser empleado para mejorar
el trabajo previo.
Acerca de Itil
La Biblioteca de Infraestructura de Tecnologas
de la Informacin ITIL est basado en un conjunto
de mejores prcticas para la gestin de servicios
de tecnologas de la informacin en lo referente a
personas, procesos y tecnologa, las cuales fueron
desarrolladas por la OGC (Oficina Gubernamental
de Comercio) del Reino Unido.
A travs de buenas prcticas especificadas
en ITIL se hace posible para departamentos y
organizaciones reducir costos, mejorar la calidad del
servicio, tanto a clientes externos como internos y
optimizar al mximo las habilidades y destrezas del
personal mejorando su productividad.

En
in tr
ac ica Va ega
l ineatg lor de
A str
E
iesgacin

Gobernabilidad
Meddesemp

os

de Tl
tr
ici eo

inis
de R
n de

Adm
l

Administracin
de Recursos
Modelo ITIL V.3 Fuente: IT Process Map

Modelo COBIT 4.1 Fuente: www.fedeac.com

ITIL V3 maneja tres niveles de formacin los
COBIT es un marco de Gestin de TI y un conjunto cuales se pueden identificar por los siguientes cursos
de herramientas de soporte para el gobierno de TI, de training:
que permite a los gerentes cubrir la brecha entre los
requisitos de control, los aspectos tcnicos y riesgos Foundation in IT Service Management
de negocio. Intermediate Qualification:
COBIT hace viable el desarrollo de una poltica
Operational Support and Analysis (OSA)
clara y buenas prcticas para los controles de TI a
Release, Control and Validation (RCV)
travs de las organizaciones.
Service Offerings and Agreements (SOA)
COBIT hace nfasis en la conformidad de
Planning, Protection and Optimization (PPO)
regulaciones, ayuda a las organizaciones a incre-
Service Strategy (SS)
mentar el valor alcanzado desde la TI, permite el
Service Design (SD)
alineamiento y simplifica la implementacin de
Service Transition (ST)
COBIT.
Service Operation (SO)
Continual Service Improvement (CSI)
En sntesis, la ltima versin de COBIT 4.1 en-
Managing Across the Lifecycle (MALC)
fatiza el cumplimiento normativo, ayuda a las or-
Implementing ITIL V3
ganizaciones a incrementar el valor de TI, ayuda

22
Revista Pensamiento AMERICANO La gestion en la seguridad de la informacin

Comparativo de modelos
En el cuadro que se muestra a continuacin se
muestra un comparativo de los modelos COBIT, ITIL
e ISO 27000 basado en las funciones, las reas de
cobertura, la organizacin que cre el modelo, para
qu se implementa y quienes los orientan (evalan).
Es importante concluir que un modelo no ser
mejor que otro, debido a que inicialmente hay que
evaluar la pertinencia, la cobertura (reas) y ante
todo que cada organizacin, cada empresa tiene su
particularidad, por ende, lo importante ser adoptar
un modelo pertinente, tomar los elementos que sean
aplicables y adaptar el modelo de referencia para
generar un modelo propio para la empresa.

REA CobiT ITIL ISO 27000

Funciones Mapeo de procesos Mapeo de la Marco de
IT Gestin de referencia de
Niveles de seguridad de la
Servicio de IT Informacin

reas 4 Procesos y 34 9 Procesos 10 Dominios

Dominios

Creador ISACA OGC ISO International

Organization for
Standardization

Para qu se Auditora de Gestin de Cumplimiento del

implementa? Sistemas de Niveles de estndar de
Informacin Servicio seguridad

Quines lo Compaas de Compaas de Compaas de

evalan? contabilidad Consultora en IT Consultora en IT,
Compaas de Empresas de
consultora en IT Seguridad
Consultores de
seguridad en
redes

Comparativo COBIT, ITIL, ISO 27000 - Fuente: Seguridad de la informacin en
Colombia

Referencias bibliogrficas:

ISO 27000. Boletn de asesora presencial.

http://www.iso27000.es/iso27000.html
Qu es COBIT?.
http://www.cibertec.edu.pe/2/modulos/JER/JER_
Interna.aspx?ARE=2&PFL=2&JER=3749
http://es.scribd.com/doc/51456904/Aplicabilidad-
de-esta%CC%81ndares-internacionales-y-
mejorespra%CC%81cticas-CobiT%C2%AE-
ITIL%C2%AE-Serie-ISO-IEC-27000-PwC-
Venezuela

Seguridad de la Informacin en Colombia. COBIT ISO 20000 ITIL ISO 27000

http://seguridadinformacioncolombia.blogspot. h t t p : / / w w w. d e r k e i l e r. c o m / M a i l i n g - L i s t s /
com/2010/08/alineando-cobit-41-itil-v3-e-iso-27002. securityfocus/security-basics/2008-02/msg00487.
html html

23