Una organización que preste servicios de TI en Cloud y además quiere ser cibersegura, tiene tres protagonistas: ISO 200000-1, ISO/IEC TR 20000-9 y la ISO/IEC 27013, que proporcionan un conjunto de directrices y orientaciones que ayudarán a implementar de forma más eficaz los servicios de TI en Cloud de forma cibersegura, logrando una gestión integral, ahorro de costes y facilitando el día a día de los servicios TI, tanto para un proveedor de servicios en Cloud como para migrar los servicios de TI On-Premise a Cloud.
1. Revisión de principales características en ISO 20000-1 – SGSTI
Ya todos conocemos la última versión publicada en 2018 de ISO 20000-1 (Sistema de Gestión de Servicios de TI – SGSTI), la cual ha tenido en cuenta las tecnologías emergentes en la gestión de servicios TI como son: el Cloud, Agile – DevSecOps y la servitización; es decir, la adaptación de los servicios de TI a los nuevos entornos digitales y negocios.
En el momento actual, los directivos, y concretamente el CIO con su CTO/CPO deben continuar con la transformación digital en sus organizaciones, sin olvidar que la crisis sanitaria mundial por el COVID-19 les ha obligado a centrarse en 3 cuestiones básicas:
- Optimizar los costes de TI,
- apoyar y asegurar la provisión de servicios colaborativos para el teletrabajo,
- garantizar la ciberseguridad y continuidad de los servicios de TI ofrecidos.
Son precisamente, aquellas organizaciones que han invertido en Cloud y ciberseguridad las que han podido abordar con garantía estas cuestiones.
2. ISO/IEC TR 20000-9. La solución de ISO 2000-1 para Cloud.
Como sabemos, la familia de estándares de ISO 20000 dispone de un estándar para cubrir las necesidades del cloud: la ISO/IEC TR 20000-9. (Information technology — Service management — Part 9: Guidance on the application of ISO/IEC 20000-1 to cloud Service)
Este estándar/norma proporciona un conjunto de directrices y orientaciones que ayudarán a implementar de forma más eficaz los requisitos de la ISO 20000-1 para un proveedor de servicios en Cloud. Y es que tiene en cuenta, por ejemplo, requisitos específicos para Acuerdos de Nivel de Servicio (SLA) en nube, Catálogo de Servicios en Nube, o la retirada y transferencia de servicios en nube, entre otros.
Asimismo, considera la prestación de los servicios en cualquier tipo de Cloud (pública, híbrida y privada) y en cualquiera de sus modalidades (IaaS-Infraestructure as a Service, PaaS-Platform as a Service, SaaS-Software as a Service). Por lo tanto las actuales y futuras estructuras de los Centros de Procesos de Datos (CPD), en modo interno/local (on-premise) o externalizado/cloud (Outsourcing) permiten que la ISO 20000-1 junto con la ISO/IEC TR 20000-9 aporten la herramienta o solución más adecuada para la provisión de servicios de TI de forma local o en cloud (ver figura 1).
Figura 1. Relación ISO 20000-1 e ISO 20000-9
3. ISO/IEC 27013- La solución para integrar ISO 20000-1 e ISO 27001
Como es sabido, la ISO/IEC 27001 establece un Sistema de Gestión de Seguridad de la Información-SGSI ya considerado internacionalmente como un commodity en la seguridad para las organizaciones. Su objetivo es implantar la ciberseguridad orientada a los procesos y objetivos del negocio considerando el análisis de riesgos de TIC y la mejora continua; e implantando los controles y procedimientos más eficaces y coherentes en consonancia con la estrategia de negocio para minimizar los riesgos identificados.
Cuando una organización haya implantado o vaya a implantar ambos sistemas de gestión (ISO 20000-1 e ISO 27001) necesita coordinarlos eficazmente, haciéndolos compatibles entre sí. De forma que se puedan establecer objetivos alineados, se obtenga una visión global de los sistemas y se facilite la toma de decisiones.
En esta labor de integración y coordinación, es precisamente la ISO/IEC 27013 – Information technology — Security techniques — Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1, la mejor herramienta para una implantación eficaz de ambas normas, pues en ella se encuentran orientaciones y directrices considerando los siguientes tres escenarios:
- Todavía no ha implantado un sistema de gestión basado en alguna de ellas (ISO 20000-1 y/o ISO 27001).
- Ya ha implantado un sistema de gestión basado en una de las dos (ISO 20000-1 y/o ISO 27001).
- Ya ha implantado dos sistemas de gestión no integrados, cada uno de ellos basados en una de las normas.
Así, los aspectos a tener en cuenta para los anteriores 3 escenarios son los que se recogen en el siguiente gráfico (ver figura 2) que describe de forma visual las partes más específicas de cada norma/estándar y aquellas partes que son comunes o son compartidas por ambas normas/estándares y que la organización debe tener en cuenta para una adecuada implantación:
Figura 2. Aspectos comunes, compartidos y diferenciales de ambas normas – ISO 20000-1 e ISO 27001.
4. Conclusiones en la implantación y consideración de ISO 20000-1, ISO 20000-9 e ISO 27013
La utilización de la ISO 20000-9 como extensión a un SGSTI-ISO 20000-1 considerando la ISO 27013 de ciberseguridad es útil para:
- organizaciones cuyo catálogo de servicios incluyen servicios en la nube y son ciberseguros. (en cualquiera de las modalidades indicadas anteriormente)
- organizaciones que se enfrentan a cambios en sus servicios existentes como parte de una migración a la computación en la nube de forma cibersegura. ISO 20000-1 puede ser utilizado por proveedores de servicios que ofrecen servicios dedicados o compartidos a clientes internos y externos
- organizaciones que deseen innovar y adaptarse a las nuevas tecnologías emergentes con ciberseguridad y sostenibilidad, tal y como afirma Carlos Manuel Fernández, en su libro de Modelo de Gobierno y Gestión de las TIC con ISO.
Y aporta las siguientes ventajas competitivas en la organización:
- Estratégicos: todos los sistemas de gestión son vistos como parte de un sistema de gestión global del negocio, contribuyendo a la mejora continua de los resultados de la organización. Objetivos y planificaciones deben ser coherentes y estar conectados con el plan de negocio general.
- Gestión: se evita la creación de sistemas de gestión “isolated” para los servicios de TIC y la seguridad de la información, al enfocarse como partes de una gestión integrada dentro de la organización. La unificación de objetivos y propósitos contribuye a un enfoque de trabajo en equipo.
- Económicos: es previsible el ahorro de costes motivado por la eliminación de tareas duplicadas para procesos como auditorías internas, control de documentación, etc.
- Operacionales: la gestión integrada ayuda a asegurar que se toman en consideración todas las consecuencias de cualquier acción. Por ejemplo, un cambio de diseño en un servicio puede afectar no solo a la calidad del mismo, sino también a la seguridad de la información relacionada. En definitiva, un planteamiento más integrado para la gestión de los riesgos empresariales.
Team Leader Grupo Expertos itsm4ISO20000
Comité de Estándares de itSMF España