Friday, March 29, 2024
Asociación Sin Ánimo de Lucro de Difusión de Buenas Prácticas de Tecnología itSMF España


Servicios de TI en cloud ciberseguros = ISO 20000-1+ISO 20000-9+ISO 27013

By Javier Peris , in Artículo , at 28/10/2021 Etiquetas: ,

imagen ISO20000Una organización que preste servicios de TI en Cloud y además quiere ser cibersegura, tiene tres protagonistas: ISO 200000-1,  ISO/IEC TR 20000-9 y la ISO/IEC 27013, que proporcionan un conjunto de directrices y orientaciones que ayudarán a implementar de forma más eficaz los servicios de TI en Cloud de forma cibersegura, logrando una gestión integral, ahorro de costes y facilitando el día a día de los servicios TI, tanto para un proveedor de servicios en Cloud como para migrar los servicios de TI On-Premise a Cloud.

     1. Revisión de principales características en ISO 20000-1 – SGSTI

Ya todos conocemos la última versión publicada en 2018 de ISO 20000-1 (Sistema de Gestión de Servicios de TI – SGSTI), la cual ha tenido en cuenta las tecnologías emergentes en la gestión de servicios TI como son: el Cloud, Agile – DevSecOps y la servitización; es decir, la adaptación de los servicios de TI a los nuevos entornos digitales y negocios.

En el momento actual, los directivos, y concretamente el CIO con su CTO/CPO deben continuar con la transformación digital en sus organizaciones, sin olvidar que la crisis sanitaria mundial por el COVID-19 les ha obligado a centrarse en 3 cuestiones básicas:

  1. Optimizar los costes de TI,
  2. apoyar y asegurar la provisión de servicios colaborativos para el teletrabajo,
  3. garantizar la ciberseguridad y continuidad de los servicios de TI ofrecidos.

Son precisamente, aquellas organizaciones que han invertido en Cloud y ciberseguridad las que han podido abordar con garantía estas cuestiones.

   2. ISO/IEC TR 20000-9. La solución de ISO 2000-1 para Cloud.

Como sabemos, la familia de estándares de ISO 20000 dispone de un estándar para cubrir las necesidades del cloud: la ISO/IEC TR 20000-9. (Information technology — Service management — Part 9: Guidance on the application of ISO/IEC 20000-1 to cloud Service)

Este estándar/norma proporciona un conjunto de directrices y orientaciones que ayudarán a implementar de forma más eficaz los requisitos de la ISO 20000-1 para un proveedor de servicios en Cloud. Y es que tiene en cuenta, por ejemplo, requisitos específicos para Acuerdos de Nivel de Servicio (SLA) en nube, Catálogo de Servicios en Nube, o la retirada y transferencia de servicios en nube, entre otros.

Asimismo, considera la prestación de los servicios en cualquier tipo de Cloud (pública, híbrida y privada) y en cualquiera de sus modalidades (IaaS-Infraestructure as a Service, PaaS-Platform as a Service, SaaS-Software as a Service). Por lo tanto las actuales y futuras estructuras de los Centros de Procesos de Datos (CPD), en modo interno/local (on-premise) o externalizado/cloud (Outsourcing) permiten que la ISO 20000-1 junto con la ISO/IEC TR 20000-9 aporten la herramienta o solución más adecuada para la provisión de servicios de TI de forma local o en cloud (ver figura 1).

IMAGEN4 ISO20000

Figura 1. Relación ISO 20000-1 e ISO 20000-9

      3. ISO/IEC 27013- La solución para integrar ISO 20000-1 e ISO 27001

Como es sabido, la ISO/IEC 27001 establece un Sistema de Gestión de Seguridad de la Información-SGSI ya considerado internacionalmente como un commodity en la seguridad para las organizaciones. Su objetivo es implantar la ciberseguridad orientada a los procesos y objetivos del negocio considerando el análisis de riesgos de TIC y la mejora continua; e implantando los controles y procedimientos más eficaces y coherentes en consonancia con la estrategia de negocio para minimizar los riesgos identificados.

Cuando una organización haya implantado o vaya a implantar ambos sistemas de gestión (ISO 20000-1 e ISO 27001) necesita coordi­narlos eficazmente, haciéndolos compatibles entre sí. De forma que se puedan esta­blecer objetivos alineados, se obtenga una visión global de los sistemas y se facilite la toma de decisiones.

En esta labor de integración y coordinación, es precisamente la ISO/IEC 27013 – Information technology — Security techniques — Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1, la mejor herramienta para una implantación eficaz de ambas normas, pues en ella se encuentran orientaciones y directrices considerando los siguientes tres escenarios:

  1. Todavía no ha implantado un sistema de gestión basado en alguna de ellas (ISO 20000-1 y/o ISO 27001).
  2. Ya ha implantado un sistema de gestión basado en una de las dos (ISO 20000-1 y/o ISO 27001).
  3. Ya ha implantado dos sistemas de gestión no integrados, cada uno de ellos basados en una de las normas.

Así, los aspectos a tener en cuenta para los anteriores 3 escenarios son los que se recogen en el siguiente gráfico (ver figura 2) que describe de forma visual las partes más específicas de cada norma/estándar y aquellas partes que son comunes o son compartidas por ambas normas/estándares y que la organización debe tener en cuenta para una adecuada implantación:

imagen5ISO

Figura 2. Aspectos comunes, compartidos y diferenciales de ambas normas – ISO 20000-1 e ISO 27001.

     4. Conclusiones en la implantación y consideración de ISO 20000-1, ISO 20000-9 e ISO 27013

La utilización de la ISO 20000-9 como extensión a un SGSTI-ISO 20000-1 considerando la ISO 27013 de ciberseguridad es útil para:

  • organizaciones cuyo catálogo de servicios incluyen servicios en la nube y son ciberseguros. (en cualquiera de las modalidades indicadas anteriormente)
  • organizaciones que se enfrentan a cambios en sus servicios existentes como parte de una migración a la computación en la nube de forma cibersegura. ISO 20000-1 puede ser utilizado por proveedores de servicios que ofrecen servicios dedicados o compartidos a clientes internos y externos
  • organizaciones que deseen innovar y adaptarse a las nuevas tecnologías emergentes con ciberseguridad y sostenibilidad, tal y como afirma Carlos Manuel Fernández, en su libro de Modelo de Gobierno y Gestión de las TIC con ISO.

Y aporta las siguientes ventajas competitivas en la organización:

  • Estratégicos: todos los sistemas de gestión son vistos como parte de un siste­ma de gestión global del negocio, contribuyendo a la mejora continua de los resultados de la organización. Objetivos y planificaciones deben ser coherentes y estar conectados con el plan de negocio general.
  • Gestión: se evita la creación de sistemas de gestión “isolated” para los servicios de TIC y la seguridad de la información, al enfocarse como partes de una gestión integrada dentro de la organización. La unificación de objetivos y propósitos contribuye a un enfoque de trabajo en equipo.
  • Económicos: es previsible el ahorro de costes motivado por la eli­minación de tareas duplicadas para procesos como auditorías internas, control de documentación, etc.
  • Operacionales: la gestión integrada ayuda a asegurar que se toman en consideración todas las consecuencias de cualquier acción. Por ejemplo, un cambio de diseño en un servicio puede afectar no solo a la calidad del mismo, sino también a la seguridad de la información relacionada. En definitiva, un planteamiento más integrado para la gestión de los riesgos empresariales.

Boris Delgado Riss

Team Leader Grupo Expertos itsm4ISO20000

Comité de Estándares de itSMF España

 

Encantados de conocerte

Regístrate para recibir contenido interesante en tu bandeja de entrada, cada semana.

¡No hacemos spam! Lee nuestra política de privacidad para obtener más información.

Esta web utiliza cookies propias y de terceros para su correcto funcionamiento y para fines analíticos. Contiene enlaces a sitios web de terceros con políticas de privacidad ajenas que podrás aceptar o no cuando accedas a ellos. Al hacer clic en el botón Aceptar, acepta el uso de estas tecnologías y el procesamiento de tus datos para estos propósitos. Ver
Privacidad