Desde Áudea Seguridad de la Información venimos constatando como cada vez más empresas y Administraciones Públicas deciden abordar el reto de implantar un Sistema de Gestión de Seguridad de la Información (SGSI) en paralelo con un Sistema de Gestión de Servicios TI (SGSTI). Para ello, lógicamente, apuestan por los estándares internacionalmente reconocidos para estos sistemas: las normas ISO/IEC 27001:2005 e ISO/IEC 20000-1:2005 respectivamente.
Y esta opción en alza no es un capricho de las organizaciones, sino que se fundamenta principalmente en las posibilidades de integración de ambos estándares y en la demostrada capacidad que tienen estos dos Sistemas de Gestión para coexistir con un alto grado de compenetración.
Si entramos en detalle en cada uno de los estándares mencionados, vemos como casi pareciera que se hubieran diseñado para complementarse, ya que al margen de compartir los requisitos generales en lo que respecta al Sistema de Gestión en sí mismo (enfoque a procesos, provisión de recursos, Revisión por la Dirección, etc.) nos encontramos con varios aspectos que son observados por ambas normas. Entre esos aspectos, podemos destacar los siguientes:
- Gestión de las prestaciones de servicios de terceros
- Gestión de la Capacidad de los sistemas e infraestructura de comunicaciones
- Gestión de la Disponibilidad
- Gestión de la Continuidad de Negocio
- Gestión de Cambios, tanto propia como en servicios de terceros
- Gestión de Incidencias
- Y, cómo no, Gestión de la Seguridad de la Información
Es evidente que la combinación de ambos Sistemas de Gestión en un Sistema Integrado atraerá más a unas organizaciones que a otras en función de la actividad que desarrollen y de los servicios y productos que ofrezcan en el mercado, pero en aquellas en las que debido precisamente a su actividad haya surgido ya la necesidad de gestionar servicios de TI de forma eficiente, segura y con altos niveles de calidad, parece difícil encontrar actualmente una opción más útil y ventajosa que apostar por ISO 27001 e ISO 20000.
Manuel Díaz
Consultor de Seguridad
Áudea Seguridad de la Información.