Gestión estratégica de seguridad en la empresa - Anetcom
Gestión estratégica de seguridad en la empresa - Anetcom
Gestión estratégica de seguridad en la empresa - Anetcom
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
◆<br />
3.3. <strong>Gestión</strong> <strong>de</strong> Servicios TI: ITIL/ISO 20000<br />
104<br />
Ilustración 19.- Compon<strong>en</strong>tes <strong>de</strong>l COBIT (Fte. ISACA)<br />
El pres<strong>en</strong>te apartado trata <strong>de</strong> <strong>de</strong>scribir someram<strong>en</strong>te <strong>la</strong> norma ISO/IEC<br />
20000:2005 Tecnología <strong>de</strong> <strong>la</strong> Información – <strong>Gestión</strong> <strong>de</strong> Servicios, UNE<br />
ISO/IEC 20000:2007 <strong>en</strong> el esquema español publicado por AENOR. No se<br />
trata pues <strong>de</strong> <strong>de</strong>scribir exhaustivam<strong>en</strong>te dicha norma, sino <strong>de</strong> <strong>de</strong>stacar ciertos<br />
puntos c<strong>la</strong>ve <strong>de</strong> <strong>la</strong> misma sobre <strong>seguridad</strong> <strong>de</strong> <strong>la</strong> información.<br />
La norma UNE ISO/IEC 20000:2007, nace <strong>de</strong> <strong>la</strong> adopción <strong>de</strong> <strong>la</strong> británica BS 15000<br />
(revisión <strong>de</strong>l 2002) como respuesta a <strong>la</strong> <strong>de</strong>manda <strong>de</strong> <strong>la</strong>s organizaciones, y <strong>de</strong>partam<strong>en</strong>tos<br />
TIC <strong>de</strong> <strong>la</strong>s mismas, <strong>de</strong> disponer <strong>de</strong> una norma que permitiera auditar y certificar<br />
un Sistema <strong>de</strong> <strong>Gestión</strong> <strong>de</strong> Servicios <strong>de</strong> Tecnologías <strong>de</strong> <strong>la</strong> Información.<br />
Al igual que para el <strong>de</strong>sarrollo <strong>de</strong> Sistemas <strong>de</strong> Seguridad <strong>de</strong> <strong>la</strong> Información se<br />
dispone <strong>de</strong> refer<strong>en</strong>ciales para requisitos, tales como ISO/IEC 27001:2005, y<br />
mejores prácticas. UNE ISO/IEC 17799:2002, esta norma se estructura <strong>en</strong> dos<br />
partes. La primera, UNE ISO/IEC 20000:2007-1, trata <strong>de</strong> <strong>la</strong>s especificaciones<br />
<strong>de</strong>l Sistema <strong>de</strong> <strong>Gestión</strong> <strong>de</strong> Servicios <strong>de</strong> Tecnologías <strong>de</strong> <strong>la</strong> Información y es <strong>la</strong><br />
parte auditable <strong>de</strong> <strong>la</strong> norma, y, <strong>la</strong> segunda, UNE ISO/IEC 20000:2007-2, recopi<strong>la</strong><br />
una serie <strong>de</strong> bu<strong>en</strong>as prácticas para dar respuesta a cómo cumplir <strong>la</strong>s<br />
especificaciones <strong>de</strong> <strong>la</strong> parte 1 <strong>de</strong> <strong>la</strong> norma. La norma <strong>en</strong> sí no implica el uso<br />
<strong>de</strong> ITIL ni su adopción, sin embargo dado su orig<strong>en</strong> histórico, su parte 2 recoge,<br />
<strong>en</strong> bu<strong>en</strong>a lógica, los procesos que predica ITIL.