BSI

Making excellence a habit

Cómo integrar la Seguridad de la Información y la Gestión de Servicios

Madrid, 30 de enero de 2013-. ISO e IEC han publicado una nueva norma internacional para ayudar a las organizaciones sobre cómo pueden integrar los Sistemas de Gestión de Servicios y Seguridad de la Información.

 La relación entre la Seguridad de la Información y la Gestión de Servicios es tan estrecha que muchas organizaciones ya reconocen las ventajas de adoptar ambas normas: ISO/IEC 27001 de Seguridad de la Información e ISO/IEC 20000-1 de Gestión de Servicios.

La nueva ISO/IEC 27013:2012, Tecnología de la Información – Técnicas de Seguridad – Guía para la aplicación integrada de ISO/IEC 27001 e ISO/IEC 20000-1 proporciona una guía para ser utilizada tanto cuando una de las normas se implanta antes que la otra, como cuando ambas se implementan simultáneamente.

“Tanto ISO/IEC 27001 de Seguridad de la Información como ISO/IEC 20000-1 de Gestión de Servicios dirigen procesos y actividades muy similares, incluyendo el importante principio de mejora continua”, afirma Edward Humphreys, coordinador del grupo de trabajo de Sistemas de Gestión de Seguridad de la Información ISO/IEC JTC 1/SC27. “Emplear un sistema de gestión integrada que tenga en cuenta no solo los servicios prestados, sino también la protección de los activos de información, puede aportar grandes ventajas”.

Jenny Dugmore, uno de los editores del la nueva norma y ex-coordinador del grupo de trabajo de Gestión de Servicios ISO/IEC JTC 1/SC 7 añade: “La publicación de ISO/IEC 27013 surge del reconocimiento de que el uso combinado de ambas normas internacionales conlleva ventajas adicionales. ISO/IEC 27013 proporciona una guía para que las organizaciones den su primer paso para incrementar la eficiencia, mejorar la seguridad de la información, la gestión de servicios y los servicios”.

Las principales ventajas de una implementación integrada incluyen:
- Aumento de la credibilidad para un servicio eficaz y seguro entre los clientes internos y externos de la organización.
- Menores costes por ser un programa integrado.
- Reducción de los tiempos de ejecución gracias al desarrollo integrado de los procesos comunes a ambas normas.
- Eliminación necesaria de duplicidades.
- Fomento del entendimiento entre el personal de Gestión de Servicios y Seguridad de la Información.
- Mejora del proceso de certificación.

Entre los usuarios de esta norma internacional se incluyen auditores, organizaciones de implantación de Sistemas de Seguridad de la Información y/o Gestión de Servicios y organizaciones implicadas en la certificación o la formación de auditores, certificación de sistemas de gestión y acreditación y normalización en el área de auditoría.

Para proporcionar una visión general de los conceptos de ISO/IEC 20000, se está desarrollando un informe técnico ISO/IEC TR 20000-10, que explica la terminología utilizada en las series e identifica cómo interactúan las diferentes partes de la ISO/IEC 20000 y cómo se interrelaciona dicha norma con otras ISO/IEC. De forma similar, también se está desarrollando ISO/IEC TR 90006, una guía de auditoría para el uso de la ISO 9001 en la Gestión de Servicios.

ISO/IEC 27013:2012, Tecnología de la Información – Técnicas de Seguridad – Guía para la implementación integrada de ISO/IEC 27001 e ISO/IEC 20000-1 ha sido desarrollada por un comité técnico conjunto ISO/IEC JTC 1 de Tecnología de la Información, subcomité SC 27 de Técnicas de Seguridad de TI, en colaboración con ISO/IEC JTC 1, subcomité SC 7 de Ingeniería de Software y Sistemas.

Artículo de Elizabeth Gasiorowski Denis publicado el 16 de enero 2013 en www.iso.org

 

 

Volver a noticias

Imprimir esta página

Información relacionada