ISO/IEC 27013 SGSI e ITIL/gestión de servicios

¿Qué es la norma ISO 27013?

La Organización Internacional de Normalización (ISO) mantiene una amplia gama de normas como organismo internacional. En general, los estándares representan el consenso de expertos de todo el mundo sobre asuntos relacionados con sus campos. El ISO 27000 La serie es uno de los estándares más importantes para la seguridad de la información. Esta serie de normas proporciona un marco para gestionar los riesgos de seguridad de la información.

La norma ISO 27013 establece los requisitos para que una organización implemente un Sistema de Gestión de Seguridad de la Información (SGSI) y un Sistema de Gestión de Servicios (SMS). ISO / IEC 27001 Es un estándar que define los sistemas de gestión de seguridad de la información. (SGSI) que proporciona a las organizaciones un marco poderoso para implementar las mejores prácticas y directrices sobre ciberseguridad.

ISO/IEC 20000-1 es un marco internacional para la gestión de servicios de TI que permite a las organizaciones garantizar que sus sistemas de gestión de servicios de TI sean compatibles con las necesidades comerciales.

El estándar ISO 27013 se creó para ayudar a las organizaciones a implementar ISO 27001 e ISO 20000-1 simultáneamente o a implementar uno donde ya existe otro. Al hacerlo, las empresas pueden maximizar la lealtad de los clientes, obtener una ventaja estratégica, mejorar las operaciones corporativas y, con el tiempo, lograr importantes ahorros de costos.

¿Qué es un SGSI?

Un SGSI es un sistema de gestión de seguridad de la información. Este es un marco para implementar Iniciativas de seguridad como controles de acceso., respuesta a incidentes, monitoreo, capacitación en seguridad y mucho más. Un A veces se hace referencia al SGSI como ISO 27001. según el estándar internacional que se utiliza para este marco.

Describe y demuestra la capacidad de su organización. enfoque de la seguridad de la información. Estos sistemas se pueden implementar de varias formas dependiendo de su negocio.

Comprender qué es un SGSI y las funciones que cumple es importante para lograr el cumplimiento de la norma ISO 27001, según el Departamento de Estado de Estados Unidos. Según la norma ISO 27001, todas las organizaciones deberían tener implementado un Sistema de Gestión de Seguridad de la Información.

¿Qué es la gestión de servicios de TI?

La gestión de servicios de TI, más comúnmente conocida como ITSM, es un consenso dentro de la industria de TI sobre cómo se entregan los servicios a los clientes. En pocas palabras, ITSM es un marco para proporcionar y respaldar servicios de TI. Las prácticas que definen ITSM se pueden utilizar en cualquier organización independientemente de su tamaño, tipo de tecnología o nivel de actividad empresarial.

ITSM permite la prestación eficaz y eficiente de servicios de TI a clientes internos o externos. Un servicio de TI es cualquier producto que se entrega a un cliente y puede financiarse, realizarse o adquirirse como un servicio de TI.

Es esencialmente un marco de gestión que le ayuda a gestionar y organizar todos los aspectos de la prestación de servicios de una manera eficaz, eficiente, confiable y segura, alineada con las necesidades y expectativas del cliente. ISO 20000-1 es el estándar para los sistemas de gestión de servicios de TI (ITSM) y establece pautas para la auditoría de certificación de partes externas. El objetivo de ISO 20000-1 es la alineación estratégica de ITSM con otras actividades, procesos y recursos de TI.

Implementación integrada de ISO 27001 e ISO 20000-1 basada en ISO 27013

ISO/IEC 27001 e ISO/IEC 20000-1 son dos estándares que comparten una gran cantidad de componentes y objetivos, así como el principio crítico de mejora continua. Por lo tanto, integrar la implementación de un sistema de gestión de servicios (SMS) y un sistema de gestión de seguridad de la información (SGSI) sería la solución óptima.

Estos son los puntos PDCA de ISO 27001 e ISO 20000 que se pueden integrar durante la implementación de ISO 27013:

Educativa

Especifica lineamientos internos para la administración del sistema integrado.

Formación

Todo el personal que se vería afectado por la implementación del sistema de gestión integrada debe recibir una educación adecuada en seguridad de la información y gestión de servicios.

Comunicaciónes

La correspondencia interna y externa sobre el marco de gestión integrada debe realizarse de acuerdo con directrices definidas (generalmente definidas como protocolo de comunicaciones).

Definición de objetivos

Define los objetivos a alcanzar mediante la implementación del sistema integrado. Esto también incluirá el establecimiento de ciertos puntos de referencia para determinar si se han cumplido los objetivos.

Definición de responsabilidades

Establece las responsabilidades del gestión del sistema integrado. Normalmente, este término se refiere a la persona responsable del sistema integrado. Adicionalmente, se conformará un equipo que incluya a la alta dirección como miembro principal para la integración del sistema de gestión.

Control de documentos y registros.

Deberá preverse el control y gestión de la documentación y registros del sistema integrado.

Métrica

Para ISO 27001, se deben implementar métricas para evaluar la efectividad de los controles de seguridad. Para ISO 20000, se deben establecer métricas para evaluar la efectividad de los protocolos.

Internal audit

Se llevará a cabo una auditoría interna para identificar posibles no conformidades en el sistema integrado y evaluar el grado de cumplimiento en relación con los requisitos estándar.

Revisión de gestión

la organizacion la alta dirección debe evaluar un conjunto de puntos de entrada al sistema de gestión integrado. Se les exige que realicen ciertos hallazgos o resultados como resultado del análisis.

Mejora continua

La dirección del sistema integrado establecerá medidas correctoras y preventivas para el tratamiento de las no conformidades identificadas (normalmente detectadas en auditorías, revisiones, etc.).

Como podemos ver, los requisitos de ISO 27001 e ISO 20000-1 son completamente compatibles y se pueden combinar perfectamente para formar la base de ISO 27013, lo que da como resultado un sistema de gestión integrado que garantiza la coherencia y seguridad de los procesos y servicios de la empresa, aumentando así la satisfacción del cliente.

Alcance y propósito de la norma ISO 27013

El estándar ISO 27013 proporciona instrucciones sobre cómo incorporar ISO 27001 e ISO 20000-1 de manera automatizada para organizaciones que planean:

• Implementar ISO/IEC 27001 después de adoptar ISO/IEC 20000-1, o viceversa; implementar ISO/IEC 27001 e ISO/IEC 20000-1 simultáneamente o
• Alinear e integrar los sistemas de gestión ISO/IEC 27001 e ISO/IEC 20000-1 previamente implementados.

El alcance de esta norma abarca dos subcomités ISO/IEC JTC1. SC 27 y SC 7 trabajaron para garantizar que las opiniones de la tecnología de la información y la gestión de servicios de TI se abordaran adecuadamente.

La norma ISO 27013 también proporciona orientación sobre la planificación y priorización de tareas, incluidas las siguientes:

• Alineando el Objetivos de la seguridad de la información., administración y mejora de servicios;
• Coordinación de tareas colaborativas, lo que resulta en un marco más coordinado y alineado;
• Crear una colección de protocolos y documentación de respaldo (políticas, prácticas, etc.);
• Terminología y objetivos comunes;
• Proporcionar beneficios a los proveedores de servicios y a los clientes como resultado de la convergencia de todos los sistemas de control; y
• Auditoría concurrente de todos los procesos de control, lo que resulta en ahorro de gastos.

Comprensión del concepto ISO 27001 e ISO 20000-1

Antes de planificar un sistema de gestión avanzado, la organización debe tener una idea clara de las características, similitudes y distinciones entre ISO/IEC 27001 e ISO/IEC 20000-1. Esto reduce significativamente la cantidad de tiempo y dinero necesarios para la implementación. Las cláusulas 27013 a 4.2 de la norma ISO 4.4 ofrecen una descripción general de los principios principales detrás de todas las especificaciones, pero no deben tomarse en lugar de un análisis detallado.

4.2 Conceptos ISO/IEC 27001

ISO/IEC 27001 establece, implementa, opera, monitorea, revisa, mantiene y mejora un sistema de gestión de seguridad de la información (SGSI) para salvaguardar los activos de información. El término “activos de información” se refiere a datos de cualquier forma, almacenados en cualquier medio y utilizados por o dentro de la organización por cualquier motivo.

Para cumplir con ISO/IEC 27001, una organización debe adoptar un sistema de gestión de seguridad de la información (SGSI) basado en un Método de evaluación de riesgos para identificar amenazas a la información. activos. La empresa debe elegir, adoptar, evaluar y revisar una serie de programas de gestión de riesgos como parte de esta función. Estos se conocen como controles.

La organización debe establecer estándares de riesgo apropiados y aceptables, teniendo en cuenta las condiciones del mercado y las cosas impuestas externamente. Los requisitos legales y administrativos, así como los compromisos contractuales, son ejemplos de requisitos impuestos externamente.

4.3 Concepto ISO/IEC 20000-1

ISO/IEC 20000-1 es aplicable a organizaciones o segmentos de organizaciones que utilizan u ofrecen servicios. Esto mejora el valor tanto del cliente como del proveedor de servicios. Sin embargo, la norma exige que el proveedor de servicios supervise todos los procesos afectados por la norma, y ​​sólo el proveedor de servicios es capaz de lograr el cumplimiento de la norma ISO/IEC 20000-1.

El objetivo principal del estándar es garantizar que los proveedores cumplan con los estándares de calidad y proporcionen valor tanto al usuario como al proveedor de servicios. Servicio La gerencia gestiona y controla las operaciones y recursos de un proveedor de servicios en la planificación., producción, transferencia, implementación y ampliación de servicios con el fin de satisfacer los requisitos del (los) cliente(s).

Para cumplir con las especificaciones de la norma, el proveedor de servicios debe incorporar una serie de procesos de gestión de servicios relevantes. Estos incluyen, pero no se limitan a, la gestión de incidencias, gestión de cambios y gestión de problemas. La gestión de la seguridad de la información es un proceso de gestión de servicios especificado en ISO/IEC 20000-1.

4.4 Similitudes y distinciones

A menudo, la gestión de servicios y la gestión de seguridad de la información se manejan como si no estuvieran relacionadas o estuvieran inextricablemente vinculadas. El contexto de esta distinción es que, si bien la gestión de servicios se asocia fácilmente con la calidad y el rendimiento, la gestión de la seguridad de la información a menudo se pasa por alto como un componente necesario para la prestación eficiente de servicios. Como consecuencia, la gestión de servicios suele ser el primer componente que se introduce.

Sin embargo, numerosos objetivos de control y salvaguardias definidos en ISO/IEC 27001, anexo A, también están incluidos en los requisitos de gestión de servicios ISO/IEC 20000-1.

¿Cuáles son los beneficios de implementar la norma ISO/IEC 27013?

La implementación de un marco de gestión avanzado como ISO 27013 que considere tanto los servicios ofrecidos como la seguridad de los activos de información proporcionará una variedad de beneficios.

Las siguientes son algunas de las principales ventajas de implementar ISO 27001 e ISO 20000-1 juntas:

• Mayor confiabilidad al brindar servicios de TI confiables y efectivos a clientes internos y externos, así como a las partes interesadas.
• Enormes ahorros de costos, en comparación con implementar cada uno por separado.
• Ahorro de tiempo al eliminar la necesidad de crear dos veces sistemas comunes a todos los requisitos.
• Se eliminarán los procesos que sean redundantes o innecesarios.
• Entre el personal de gestión de servicios y seguridad de la información existe un mayor conocimiento tanto de la gestión de servicios como de la seguridad de la información.
• Cualquier organización que haya obtenido la certificación ISO/IEC 27001 cumplirá más fácilmente con el estándar ISO/IEC 20000-1 para seguridad de la información.

Teniendo en cuenta estas ventajas, es obvio que un enfoque automatizado para la implementación de SMS e ISMS es una gran idea.

¿Quién debería implementar la ISO 27013?

Cualquier organización que opere en el mundo físico tiene grandes posibilidades de verse afectada por un ciberataque. El hecho es que no estamos tan seguros como podemos pensar. De hecho, la implementación del SGSI brinda a las empresas más protección de la que creen. Cada año nuestras vidas se entrelazan más con la tecnología y, por lo tanto, aumenta nuestra dependencia de ella.

Por esta razón, los auditores, así como organizaciones que implementan seguridad de la información y/o programas de gestión de servicios, y las organizaciones que participan en la formación y certificación de auditores o en la acreditación de sistemas de gestión deberían considerar la implementación integrada de las normas ISO 27001 e ISO 20000-1.

¿Cuáles son los requisitos para implementar la norma ISO 27013?

Una organización que esté considerando implementar tanto ISO/IEC 27001 como ISO/IEC 20000-1 se puede clasificar en tres categorías:

• Tienen estructuras de gestión ad hoc que incluyen tanto la gestión de la seguridad de la información como la gestión de servicios;
• Tienen un marco de gestión basado en cualquiera de los dos estándares;
• Tienen diferentes sistemas de gestión basados ​​en las dos normas, que no están integrados (sistemas de gestión separados basados ​​en las dos normas).

Una organización que considere implementar un sistema de gestión integrado debe tener en cuenta lo siguiente:

• Cualquier otro sistema de gestión actualmente en funcionamiento;
• Todos los servicios, procedimientos y sus interrelaciones en el marco del sistema integrado de gestión;
• Características de cada estándar que se puede fusionar y cómo se pueden fusionar; Características que deben permanecer diferenciadas;
• El efecto del sistema de gestión integrado sobre clientes, proveedores y otras partes interesadas;
• El impacto del sistema de gestión integrada sobre las tecnologías en uso;
• El impacto o peligro del sistema de gestión integrado sobre los servicios y la gestión empresarial;
• El impacto o riesgo del sistema de gestión integrado sobre la seguridad de la información;
• Capacitación y educación en gestión de seguridad de la información;
• Etapas y cronograma de implementación del sistema de gestión integrada.

Cómo ISMS.online facilita la ejecución de un sistema de gestión integrado

Aquí en ISMS.online, ayudamos a las empresas a hacer lo correcto proporcionándoles las herramientas y recursos para ejecutar un sistema de gestión integrado en línea con la norma ISO 27013. ISMS.online es una solución de software en línea que permite a los usuarios demostrar a sus clientes, reguladores y auditores que cuentan con un sistema de gestión de quejas.

Nuestro potente software basado en la nube le permite realizar una lista de verificación de sus procesos para garantizar que cumplan con los requisitos de la norma ISO 27013. De hecho, nuestro sistema es uno de los caminos más prácticos, fáciles de usar y completos hacia el éxito del SGSI.

ISMS.online también proporciona una Entrenador virtual que ofrece soporte específico para cada contexto las 24 horas, los 7 días de la semana. Puedes chatear con nosotros desde dentro de nuestra plataforma y nunca darás un paso en falso ni perderás el rumbo. Llame a ISMS.online al +44 (0)1273 041140 para obtener más información sobre cómo nuestra plataforma puede ayudarlo a ejecutar un sistema de gestión integrado que cumpla con los requisitos de ISO 27013.