Formacion estrategica para profesionales TI. Certificaciones personales QUIENES SOMOS | EQUIPO DOCENTE | MATRICULARSE | SOPORTE-FAQ | COMUNIDAD WIKI | CONTACTO


Metodologia de Análisis de Riesgos para ISO 20000 - (I)

por Mario Arauzo | en ISO 20000-ITIL





Uno de los requerimientos de un ITSM sobre ISO 20000 consiste en la necesidad de realizar un análisis de riesgos sobre la política de gestión de servicios. Es común en muchas implantaciones confundir este requerimiento con uno de los procesos realizados en ISO 27001, Gestión de seguridad de la información, donde se realiza un exhaustivo análisis y amenazas sobre los activos que queremos proteger. Más allá de realizar un análisis del proceso de seguridad de la información, uno de los 13 procesos que conforman el arco iris de una ISO 20000, el análisis de riesgos, en adelante AARR, de  un ITSM debería reflejar todas aquellas situaciones (también amenazas y vulnerabilidades) que pudieran interrumpir la gestión de servicios. 

Sobre el AARR en ISO 20000 se deben tener las siguientes consideraciones:

En la Norma ISO 20000:2011 se hace referencia explícita al término como "Riesgo - el efecto de la incertidumbre sobre los objetivos" en la sección 4 de la norma, capítulo que marca el Ciclo P-D-C-A. Los requisitos específicos relacionados con los riesgos son: 

  • Asegurar que los riesgos de los servicios son evaluados y gestionados.
  • Establecer el enfoque que se adopte para la gestión de los riesgos y los criterios para la aceptación de riesgos
  • Identificación, evaluación y gestión de los riesgos de los servicios
  • Establecer objetivos de mejora (entre otros) para la reducción de riesgos

En cambio en la Norma ISO 27001:2007, en su cláusula 0.2 b) Enfoque por proceso, se hace referencia a que  se deben administrar los riesgos (específicos) de seguridad de la información, 
en el marco de los riesgos empresariales generales, y en su punto 4, que marca el ciclo P-D-C-A, especifica claramente que se deben de:

  • Definir el enfoque de  de la evaluación de riesgos de la organización
  • Identificar los riesgos, identificando activos, amenazas, vulnerabilidad e impactos que sobre los activos puede tener una perdida de confidencialidad, integridad y disponibilidad.

Podemos concluir, por tanto, que en la norma ISO 20000 los requisitos se enfocan hacia la gestión de los riesgos de los servicios y en la Norma ISO 27001, lo hacen hacia la evaluación de los riesgos enfocados hacia los activos que conforman y contienen la información, con el fin de asegurarlo.

Por tanto, definir un análisis de riesgos que se enfoca únicamente en la seguridad de los activos de información en un ITSM, puede considerarse incompleto, ya que los servicios tienen mas componentes que los que puede tener el activo "información" y otras variables, además de la "seguridad".

Debemos de pensar en relación al análisis del riesgo de un servicio en romper los moldes de las metodología que se centran en analizar riesgos de seguridad en activos de información ,para ello, propongo desgranar un servicio y siguiendo la metodología ITIL(R), podemos hacerlo, usando las 4 P"s (Procesos, Personas, Productos y proveedores).

  • Los PROCESOS (13) que componen la entrega de un servicio, están claramente definidos en la Norma ISO 20000
  • Las PERSONAS, representan la organización por la cual se presta el servicio y lo componen aquellas por los cuales, los procesos son ejecutados y los servicios entregados
  • Los PRODUCTOS, son aquellos componentes sobre los que residen los servicios, Software, Hardware, Redes, Localizaciones, etc...
  • Los PROVEEDORES (o en lenguaje ISO 20000 los suppliers-suministradores), son aquellas terceras partes que forman parte de la cadena de suministro del servicio
Identificar vulnerabilidades y amenazas de Personas, Productos y Proveedores, es habitual y ya se hace en los AARR de un SGSI, pero..... ¿cuales podrían ser las vulnerabilidades  y amenazas de los procesos?

Nota del autor: Esta la primera parte de una familia de tres artículos que finalizaremos con la propuesta de una metodología sobre el Análisis de riesgos en ISO/IEC 20000. Para mantenerte informado de la misma puedes darte de alta en nuestro boletín-newsletter (al pie de cualquiera de las páginas de DOITsmart.es






Las 7 novedades más importantes de la nueva ISO 27001:2013 Gestión de Seguridad de la Información

La formación avanzada y especializada, una herramienta eficaz para los más listos

La nueva gestión de riesgos corporativos en las normas de gestión de la calidad

El Anexo SL. La convergencia de las nuevas normas ISO 27001, ISO 20000, ISO 9001, ISO 14001, etc.

Novedades de las normas ISO 20000 e ISO 27001. Evento organizado por Applus, DOITsmart e IRON MOUNTAIN. 12 junio 2013, Bellaterra, Barcelona

Así es un examen ITIL

Averigua tu nivel de ITIL. Simulación de exámenes EXIN

Infografía: Niveles de madurez en ISO 20000:2011

20% de descuento para desempleados y profesionales autónomos

Los cursos de ISO 27001 e ISO 20000 100% bonificables!

Diseña tu itinerario formativo

Metodologia de Análisis de Riesgos para ISO 20000 - (I)

Certificamos personas


certificaciones personales itil iso20000 iso27001

Comunidad WIKI DOITsmart






Cursos presenciales en Madrid, Barcelona y Palma de Mallorca.

Te invitamos a que conozcas nuestro calendario de cursos, la agenda de los exámenes de certificación, nuestras certificaciones y nuestro equipo docente


COMUNIDAD WIKI | SOPORTE - FAQ | CONTACTO | AVISO LEGAL-POLÍTICA SEGURIDAD DE LA INFORMACIÓN

DOITsmart is ITIL® approved Examination Organization by AXELOS and Examination Center accredited by EXIN