RESUMEN: SECURITY MANAGEMENT STANDARDS – A

MAPPING

Introducción
Uno de los activos más valiosos de una organización es la información, y cumple un rol vital por lo
que requiere ser protegido. Conocer e implementar normas de seguridad es fundamental para
asegurar la seguridad de los procesos de las empresas. En la actualidad se dispone de una amplia
variedad de mejores prácticas que apoyan a los logros de objetivos seguridad. Según las iniciativas
internacionales más importantes que son aceptadas para el desarrollo y funcionamiento de un
SGSI (Sistema de Gestión de Seguridad de Información) están la ISO 270xx, ITIL, y COBIT.
Se necesita conocimiento de la misión para alinear los procesos del SGSI con la organización,
teniendo en cuenta de la alineación del negocio y la rentabilidad para el funcionamiento exitoso de
un SGSI, Knut (Haufe, 2016) en su investigación refiere que no existe un marco de procesos para
la gestión de seguridad por ser un tema complejo centrando su investigación en el análisis
económico y costo beneficio de la inversión en seguridad de la información, presentando
resultados de un estudio de mapeo de procesos con respecto a SGSI en base a preguntas de
investigación..

Métodos de análisis de estándares de gestión de seguridad

El objetivo de análisis de los estándares de administración de seguridad puede ser resumido de la

siguiente manera:
 Analizar declaraciones estándar ISO 27001 sobre procesos.
 Con el propósito de compararlo
 Con respecto al grado de cobertura y relación con procesos específicos en ITIL y COBIT
para favorecer reutilizar
 Desde el punto de vista de la gestión de procesos y la gestión en general.
 En el contexto de organizaciones interesadas en planificar, implementar y operar
información basada en procesos.
Baldassarre, presentó una estrategia que guía la armonización de múltiples modelos de referencia de
procesos a través de un enfoque sistemático por pasos, que puede ser aplicado en cualquier modelo
de referencia. El marco de armonización está conformado por 6 componentes: (1) guías para
determinar los objetivos de armonización (2) proceso de armonización (3) ontología para soportar
los proyectos de armonización de múltiples modelos, (4) ontología para la homogenización de los
modelos de referencia de procesos (5) un conjunto de métodos y técnicas, (6) una herramienta web
que permite soportar la gestión, ejecución de una estrategia de armonización.

Para la comparación teórica Knut (Haufe, 2016) uso de referencia la norma ISO 27001 como punto
de partida para llevar a cabo la identificacion de diferencias y similitudes entre los modelos. El
 Resumen realizado por:

resultado del proceso de comparación teórica es una tabla que mapea los modelos y señala las
relaciones entre ellos con respecto a los procesos mencionados del SGSI.
El mapeo se refiere a la combinacion de estandares o procesos, para la identificación de procesos se
utilizó el siguiente método:
 Se analizaron las series de la ISO 27000
 Se analizaron ITIL y COBIT con relacion a los procesos de SGSI (coincidencia)
 Se formularon preguntas en el contexto de emparejamiento.

Resultado de análisis de estándares de gestión de seguridad

De los estándares analizados, se dice que estos no proporcionan un marco de proceso de SGSI que
incluya una descripción detallada de procesos de SGSI (entrada, salida, interfaces).
Tabla 1 - matriz de estaá ndares analizados y SGSI contenidos