Relación entre la norma ISO 27001 e ISO 20000

ISO 27001

Es innegable que los servicios de TI están a la orden del día. Por lo que cualquier empresa que quiera mejorar sus servicios y le preocupe la seguridad de su información puede optar por lo la norma ISO 27001 y la norma ISO 20000, sobre sistemas de gestión de la seguridad de la información y sobre la gestión de servicios TI, respectivamente.

Esto es, la norma ISO 27001 y la ISO 20000 son herramientas perfectas para disponer de la protección adecuada frente a la gestión de los servicios TI y la seguridad de la información y los datos que maneje la empresa.

Si desea más información sobre cómo la norma ISO 27001 puede ayudarle a garantizar la seguridad la información de su organización, haciendo clic en este enlace.

Muchas veces, en nuestros artículos, hemos mencionado la norma ISO 27001, por lo que vamos a hacer una breve descripción de lo que es la norma ISO 20000, con objeto de dar pie al cuerpo de este artículo y, permitir de esta forma, contextualizar lo que se comentará en posteriores apartados.

Es decir, hablaremos de la vinculación que existe entre la norma ISO 27001 y la ISO 20000.

ISO 20000

La norma ISO 20000, concretamente la ISO / IEC 20000-1: 2018, especifica los requisitos para que una empresa pueda establecer, implementar, mantener y mejorar de manera continua, un sistema de gestión de servicios de TI.

De igual manera, también incluye la planificación, diseño, transición, entrega y mejora de los servicios para cumplir con los requisitos del servicio y la entrega de valor.

Esta norma internacional, tiene diversos usos, entre los que pueden destacar:

• Cuando una empresa o cliente, requiere de una serie de servicios, y, como es obvio, solicita seguridad respecto a la calidad de dichos servicios.
• Si un cliente quiere disponer de un enfoque coherente del ciclo de vida del servicio por parte de todos los proveedores del mismo y de la cadena de suministro.
• En el caso de que una empresa precise mostrar su capacidad para la planificación, diseño, transición, entrega y mejora de sus servicios.
• O bien, puede utilizarla para monitorear, medir y revisar sus servicios TI.
• Para implementar el sistema de gestión de servicios de TI.
• Para realizar evaluaciones de conformidad en función de los requisitos de esta norma.
• También, para cualquier actividad formativa o asesoramiento en cuanto a gestión de servicios.

Así, los datos, y la nube que los contiene, tienen un valor casi infinito para las empresas que saben cómo procesarlos, siempre y cuando, se cuente con la estrategia adecuada para obtener ese potencial.

De esta manera, se obtiene la vinculación entre la norma ISO 27001 e ISO 20000, ya que esta última, ayuda a convertir los datos de las empresas en un verdadero activo empresarial.

Relación entre ISO 27001 e ISO 20000

Por un lado, tenemos un sistema que te habilita para prestar un servicio de tecnologías de información, como la ISO 20000 y por otro, la norma ISO 27001, que le ayuda a mantenerla segura.

Este sistema, que es la norma ISO 20000, en uno de sus puntos abarca lo que es el cuidado de la información.

En este punto, pide que se maneje la confidencialidad, la integridad y la disponibilidad de la información.

Ahí es donde entra la norma ISO 27001, estableciendo un sistema más robusto en cuanto al manejo de la información, que no se enfoca únicamente en lo que es la información digital, sino que también, a la información física o impresa.

En este punto, la ISO 20000 y la ISO 27001 ¿qué nos dicen? Básicamente nos indican cómo prestar los servicios de TI y que, sobre ellos, hay que establecer una serie de controles que deben considerarse para el manejo seguro de la información.

Necesidad de vinculación de ambas normas

Hoy en día, muchas empresas compran software y hardware para obtener beneficios en cuanto a tiempo dedicado en sus gestiones. Pero en realidad, no disponen en sus organizaciones de una forma estructurada de cómo gestionar los servicios que tienen o contratan. Es decir, si, por ejemplo, tienen que emitir facturas electrónicas, no disponen de un protocolo o procedimiento documentado de la forma segura de llevarlo a cabo.

Y es en este punto en el que entra en acción la importancia de la ISO 20000, ya que ésta norma, en uno de sus puntos, especifica cómo tratar y cómo negociar con proveedores de servicios de tecnologías de información, o cualquier otro tipo de servicio.

Por lo tanto, el cómo gestionar y administrar los servicios para que la empresa brinde el servicio que necesite o el que sus clientes están esperando, se puede gestionar a través de la norma ISO 20000.

Y la norma ISO 27001, aporta los controles necesarios para que todos los datos y la información de la organización, se gestione y mantenga de forma segura.

[Tweet «la #norma #ISO27001 y la #ISO20000 son herramientas perfectamente complementarias para los servicios TI]

Beneficios de implementar ambas normas

Disponer de ambos estándares implementados, puede traer los siguientes beneficios:

• Control de la documentación.
• Control de los registros.
• Disponer de un proceso donde se analiza la capacidad y disponibilidad de los recursos que tiene la empresa.
• Control de cambios.

En general, existen varios puntos en los cuales la organización obtiene beneficios de juntar ambas normas.

En este caso, el encargado de implementar ambas normas, sería especialmente el responsable de TI, trabajando de manera conjunta con los responsables operativos.

Para terminar este apartado, mencionar que el punto en común de ambas normas, es su capacidad de gestionar incidentes de seguridad, ya que ambos los gestionan y consideran el control de cambios.

Software ISOTools

ISOTools Excellence dispone del certificado en ISO 27001, así como de ISO 20000, por lo que conocemos perfectamente cuáles son tus necesidades.

El Software ISOTools le ofrece la posibilidad de gestionar y realizar un seguimiento de los controles propios de ambas normas, asegurándole la integridad de sus datos y mejorando su capacidad de respuesta ante cualquier incidente de seguridad, gracias a su capacidad de disponer de la información en tiempo real.