Integración de Servicios de TI con Ciberseguridad. ISO/IEC 20000-1 + ISO/IEC 27001 = ISO/IEC 27013.
Cuando una organización ha implantado varios sistemas de gestión de TIC necesita coordinarlos eficazmente, haciéndolos compatibles entre sí de forma que se puedan establecer objetivos alineados, se obtenga una visión global de los sistemas y se facilite la toma de decisiones. Es la ISO/IEC 27013 la que facilita una integración de los Servicios de TI con Ciberseguridad conforme a ISO 20000-1 e ISO 27001, logrando una gestión integral, ahorro de costes y facilitando el día a día de los servicios TI.
La nueva versión de la ISO/IEC 20000-1 de sistemas de gestión de servicios de tecnologías de la información tiene en cuenta tendencias emergentes del mercado en la gestión de servicios como Cloud, Agile, DevOps o Servitización. La implantación de un sistema de gestión según esta norma/estándar facilita a las organizaciones una entrega de servicios de TI alineados con las necesidades y objetivos del negocio, con calidad, seguridad y valor añadido para los clientes y stakeholders. Es decir, el objetivo de ISO 20000-1 es que un proveedor de servicios de TI [CPD – on-premise (interno/local) u outsourcing (externalizado/cloud) proporcione servicios de TI con una calidad adecuada, cumpliendo con los acuerdos de nivel de servicio (SLA) con sus clientes y stakeholders a un coste apropiado.
Por otra parte, como es sabido, la ISO/IEC 27001 establece un Sistema de Gestión de Seguridad de la Información ya considerado internacionalmente como un commodity en la seguridad para las organizaciones. Su objetivo es implantar la ciberseguridad orientada a los procesos y objetivos del negocio considerando el análisis de riesgos de TIC y la mejora continua; e implantando los controles y procedimientos más eficaces y coherentes en consonancia con la estrategia de negocio para minimizar los riesgos identificados. Esta gestión eficaz de la ciberseguridad permite garantizar:
- La confidencialidad, asegurando que sólo quienes estén autorizados puedan acceder a la información.
- La integridad, asegurando que la información y sus métodos de proceso son exactos y completos.
- La disponibilidad, asegurando que los usuarios autorizados tienen acceso a la información y a sus activos asociados cuando lo requieran.
Además, facilita el cumplimiento legal relacionado, como es la protección de datos personales o la propiedad intelectual. Los controles que hay que aplicar se enumeran en el Anexo A. de la ISO/IEC 27001. Estos son una síntesis de los dominios, objetivos de control y controles de la ISO/IEC 27002.
Cuando una organización haya implantado o vaya a implantar ambos sistemas de gestión necesita coordinarlos eficazmente, haciéndolos compatibles entre sí de forma que se puedan establecer objetivos alineados, se obtenga una visión global de los sistemas y se facilite la toma de decisiones.
En esta labor de integración y coordinación, es precisamente la ISO/IEC 27013 – Information technology — Security techniques — Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1, la mejor herramienta para una implantación eficaz de ambas normas, pues en ella se encuentran orientaciones y directrices considerando los siguientes tres escenarios:
- Todavía no ha implantado un sistema de gestión basado en alguna de ellas (ISO 20000-1 y/o ISO 27001).
- Ya ha implantado un sistema de gestión basado en una de las dos (ISO 20000-1 y/o ISO 27001).
- Ya ha implantado dos sistemas de gestión no integrados, cada uno de ellos basados en una de las normas.
Así, los aspectos a tener en cuenta para los anteriores 3 escenarios son los que se recogen en el siguiente gráfico que describe de forma visual las partes más específicas de cada norma/estándar y aquellas partes que son comunes o son compartidas por ambas normas/estándares y que la organización debe tener en cuenta para una adecuada implantación:
Figura 1. Aspectos comunes, compartidos y diferenciales de ambas normas – ISO 20000-1 e ISO 27001.
Además, ambas normas/estándares cumplen con la estructura de alto nivel la (HLS de ISO). Esto hace que su integración se mucho más sencilla, al disponer del mismo índice de requisitos para ambos sistemas de gestión. Es decir, ambas normas comienzas sus requisitos en el apartado 4. Y lo completan en el apartado 10. (Ver tabla 1)
Estructura de Alto Nivel – ISO 20000-1 e ISO 27001
- Contexto de la Organización
- Liderazgo
- Planificación
- Apoyo/Soporte
- Operación
- Evaluación del desempeño
- Mejora
Tabla 1. Estructura de Alto Nivel (HLS de ISO) – ISO 20000-1 e ISO 27001
Adicionalmente, podemos ver en la siguiente tabla orientativa (Tabla 2) un ejemplo no exhaustivo de procesos de la ISO 20000-1 que se corresponden con controles del Anexo A. ISO 27001 (ISO 27002)
ISO/IEC 20000-1 | ANEXO A. ISO/IEC 27001 (ISO/IEC 27002) |
Gestión de Incidencias / Gestión de la Seguridad de la Información. | A.16. Incidentes de Seguridad. |
Gestion del Cambio. | A. 12.1.2 Gestión del Cambio. |
Gestión de Capacidad. | A.12.1.3 Gestión de Capacidad. |
Gestión de Continuidad y Disponibilidad | A.12.3 Gestión de backup.
A.17 Continuidad/Contingencia. |
Tabla 2. Ejemplo orientativo de procesos de ISO/IEC 20000-1 con Dominios/Controles de Anexo A. ISO/IEC 27001 (ISO 27002)
Es importante indicar que para una mejor integración, los alcances de ambos sistemas de gestión deberían coincidir, si bien la integración también es posible cuando los alcances son diferentes.
También recordar que la ISO/IEC 20000-1 dispone de un proceso de Gestión de Seguridad, que contiene un resumen de los requisitos principales de la ISO/IEC 27001, orientado a los servicios de TI.
Así, abordar integraciones conjuntas pueden considerar los siguientes beneficios:
- Proporcionar servicio a clientes externos e internos de una organización de TI, con calidad, ciberseguridad y sostenibilidad.
- Reforzar la confianza de los clientes internos o externos en la eficiencia y la seguridad de los servicios de TI de una organización.
- Orientación de la seguridad de los sistemas de información a los servicios de TI.
- Integración en el análisis de riesgos de los servicios y de los activos que sustentan estos servicios (servicios/activos/análisis y gestión de riesgos/controles a aplicar).
- Integración del ciclo de mejora continua (PDCA) para los dos sistemas, considerando los servicios de TI.
- Menor coste al integrar dos sistemas de gestión.
- Eliminación de la duplicidad innecesaria de procesos.
En conclusión, podemos resumir las ventajas de utilizar la ISO/IEC 27013 como guía para implantación de la ISO 20000-1 e ISO 27001. Estas ventajas son aplicables tanto a la implantación como posible certificación integrada de ambos sistemas de gestión.
- Estratégicos: todos los sistemas son vistos como parte de un sistema de gestión global del negocio, contribuyendo a la mejora continua de los resultados de la organización. Objetivos y planificaciones deben ser coherentes y estar conectados con el plan de negocio general.
- Gestión: se evita la creación de sistemas de gestión “isolated” para los servicios de TIC y la seguridad de la información, al enfocarse como partes de una gestión integrada dentro de la organización. La unificación de objetivos y propósitos contribuye a un enfoque de trabajo en equipo.
- Económicos: es previsible el ahorro de costes motivado por la eliminación de tareas duplicadas para procesos como auditorías internas, control de documentación, etc.
- Operacionales: la gestión integrada ayuda a asegurar que se toman en consideración todas las consecuencias de cualquier acción. Por ejemplo, un cambio de diseño en un servicio puede afectar no solo a la calidad del mismo, sino también a la seguridad de la información relacionada. En definitiva, un planteamiento más integrado para la gestión de los riesgos empresariales.
- Logísticos: la implantación de un nuevo sistema de gestión será mucho más fácil y eficaz. Asimismo, se evitan conflictos en materia de funciones y responsabilidades, dado que el sistema integrado requiere definir de forma clara los límites de autoridad y responsabilidad.
Bibliografías referenciadas:
ISO/IEC 20000-1:2018 Information technology — Service management — Part 1: Service management system requirements
ISO/IEC 27001:2013 – Information technology — Security techniques — Information security management systems — Requirements
ISO/IEC 27013:2015 – Information technology — Security techniques — Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1
Modelo para el Gobierno de las TIC basado en las normas ISO. Carlos Manuel Fernández, Mario Piattini, Boris Delgado et al. 2012. AENOR Ediciones.
Team Leader ITSM4iso20000