Estándares Para La Gestión De TI

¿Qué son los Estándares para la Gestión de TI?

 

Muchas empresas utilizan distintos estándares y marcos de referencia para manejar determinados aspectos de la seguridad de la información. Estos modelos pueden ayudar a proteger los sistemas y los datos, pero cada uno juega un papel muy distinto en un plan global de seguridad.

Entre los estándares más populares, incluyendo Cobit (Control de Objetivos de Información y Tecnología Relacionada), ISO 27001, la librería de Infraestructura de TI (ITIL) y la declaración sobre Estándares de Auditoría (SAS), destacan aquellos que ofrecen guías maestras para mejorar algunos elementos de seguridad. Sin embargo, los expertos afirman que estos modelos son más piezas de un puzzle que estándares exhaustivos de seguridad. Y es que ninguno de los estándares por sí mismos ofrece una seguridad completa, ya que contienen varios conceptos de seguridad de la información que deben ser interpretados, integrados e incorporados a las operaciones diarias.

Cobit suele medir y evaluar los controles de TI, ITIL mejora los servicios internos de TI, mierntras que ISO 27001 hace lo propio en términos de administración global. Aunque cada uno ayuda a mejorar la seguridad, ninguna es una solución que pueda funcionar por separado, de ahí que las organizaciones deban integrar estas referencias para asegurarse de que las mejores prácticas se integran a lo largo de la cadena de seguridad de la información.

¿Qué es el COBIT?

Cobit evalúa controles TI

Desarrollado en 1996 por la Asociación de Auditoría y Control de Sistemas y el Instituto de Gobierno de TI, Cobit ofrece una estructura para los usuarios, el departamento de TI y los directores de seguridad y de auditoría. Está ganando aceptación como un buen método para controlar datos, sistemas y riesgos relacionados. Este marco estructural incluye herramientas que miden las utilidades de una empresa en 34 procesos de TI.

¿Qué es el ISO?

 ISO 27001 (Administración de Seguridad de la Información) ofrece más detalles necesarios. Este estándar, que se basa en un uno anterior, el ISO 17799, está diseñado para ayudar a las empresas a establecer y mantener controles eficientes de seguridad de la información a través de mejoras continuas.

 Desarrollado en octubre de 2005 por la Organización de Estándares Internacionales (ISO, en sus siglas en inglés), ISO 27001 implementa principios de la organización para la cooperación económica y el desarrollo sobre el control de la seguridad de la información y las redes. El estándar crea un mapa que ayuda a configurar con seguridad el diseño, implantación, administración y mantenimiento de los procesos de TI de una empresa.

¿Qué es el ITIL?

Se trata de un conjunto de prácticas adecuadas, publicadas como libros y diseñados para ayudar a reducir los gastos a la hora de utilizar tecnología y mejorar la calidad de los servicios que se ofrecen a lo largo y ancho de la empresa. ITIL consiste en reglas sobre cómo ofrecer servicios más eficientemente, mejorando los procesos de administración en los departamentos de TI que sirven de soporte a las redes, aplicaciones y bases de datos. A finales de los años ochenta, la oficina de comercio gubernamental del Reino Unido desarrolló los estándares que los proveedores de servicios deberían seguir a la hora de ofrecer servicios de TI al gobierno británico. ITIL cubre siete áreas principales: soporte del servicio, entrega del servicio, planificación para implementar administración del servicio, administración de la infraestructura para la tecnología de la comunicación y las TI, administración de aplicaciones, administración de la seguridad y perspectiva comercial.

¿Qué es el SAS70?

Hablamos de un estándar de auditoría creado por el Instituto Americano de Empresas Públicas de Contabilidad (AICPA en sus siglas en inglés) en 1992. Una auditoría de SAS 70 muestra si una firma auditora y contable independiente ha examinado los controles del proveedor de servicios en lo que respecta a TI y procesos relacionados. SAS 70 no es un conjunto predeterminado de objetivos de control o actividades. Los auditores deben seguir los estándares de AICPA para trabajo en campo, control de la calidad e información y enviar un informe oficial al proveedor de servicios que incluya la opinión del auditor una vez que la auditoría se haya completado.

Hay dos clases de informes: uno describe los controles del proveedor de servicios en un punto específico del tiempo, y el otro describe los controles e incluye un examen detallado de las actividades de control y distintos procesos del proveedor de servicios a lo largo de un período mínimo de seis meses.

¿Qué es el NIST?

Aunque es menos conocido que algunos de los estándares y modelos que las empresas utilizan ahora mismo, esta estructura en crecimiento utilizada por el gobierno federal de EE.UU podría ayudar a las organizaciones a mejorar su seguridad, según los expertos de seguridad de la información.

NIST 800-53 se creó en 2005 por el Instituto Nacional de Estándares y Tecnología, como requería la Ley Federal de Control de la Seguridad de la Información de 2002. Ofrece guías maestras para seleccionar y especificar los controles de seguridad para sistemas de información que sirven de soporte a las agencias ejecutivas del Gobierno de los EEUU.