Seguridad en Tecnologías de la Información: Combinar ISO 27001 e ISO 20000

Seguridad de la Información y Servicios de TI de alta calidad son indispensables en las empresas. Optimiza y logra una implementación exitosa de estas ISO.


Información, tecnología y buen servicio son cruciales para el funcionamiento de las empresas. Su gestión óptima implica la aplicación de las mejores prácticas y procedimientos para un control integrado, administración segura y la entrega de un servicio de alta calidad basado en tecnologías de la información, aquí entran al juego las normas ISO 20000 e ISO 27001.

¿Se pueden combinar la norma ISO 27001 e ISO 20000?

Esta es una pregunta frecuente que recibimos en Innevo. La respuesta es SÍ, y no simplemente sí, sino que además recomendamos implementar ambas en toda empresa cuyos servicios se basan en tecnologías de la información (TI).

Veamos una breve descripción de cada norma:

La ISO 20000, es una norma orientada al diseño de los procesos necesarios para atender cualquier solicitud de un cliente o usuario de una empresa que ofrece servicios de TI para cumplir con los Acuerdos de Nivel de Servicio (requerimientos) pactados con el cliente (usuario), basados en su catálogo de servicios. Son empresas como:

  • Mesas de ayuda externalizada
  • Servicios administrados
  • Software como servicio (SaaS)
  • Diseño y desarrollo de centros de datos e infraestructura en general, o también
  • Departamentos corporativos de sistemas

Por su parte, la ISO 27001, es una norma orientada a cualquier empresa, ya sea de TI o no, que recibe información de sus clientes, proveedores y asociados y que debe mantener segura ante la pérdida, robo, alteración o divulgación de terceros sin la autorización expresa del dueño de esta.

Recordemos que la ISO 27001 no es una norma solamente de ciber seguridad, es mucho más que eso, es una norma de Seguridad de la Información, ya sea en formato digital, en papel, microfilm, video o cualquier otro medio.

Analicemos dos ejemplos para comprender por qué es recomendable que se implementen las dos normas:

Ejemplo 1: Servicios administrados

Una empresa que ofrece servicios administrados es contratada por una empresa de cualquier nicho industrial.

Evidentemente el proveedor debe contar con un equipo técnico que atienda solicitudes de incidentes o servicio en su mesa de ayuda. Para realizarlo con eficiencia debe conocer la información de los usuarios de su cliente, permisos de acceso, puesto ocupado y demás información que es crucial para tener acceso a sus diferentes bases de datos y sistemas de información para atender las solicitudes recibidas.

Y como tiene acuerdos de nivel de servicio (SLA), que regulan y determinan la calidad de este, previamente pactados mediante un contrato, debe cuidar su cumplimiento para no incurrir en incumplimientos a ese contrato. Aquí aparece la ISO 20000 ya que esta norma está diseñada exclusivamente para empresas que ofrecen servicios de TI con el objetivo de lograr un servicio de alta calidad, satisfaciendo los requerimientos del cliente mediante los procesos diseñados para lograrlo.

Esta misma empresa, al tener en su posesión la información de servidores, bases de datos, sistemas, estructura de la red del cliente y demás información está obligada a conservarla mediante procesos seguros, rastreables y auditables. Aquí es donde aparece la ISO 27001, ya que es una norma para que cualquier empresa administre, utilice y consulte la información de sus clientes y terceros asociados con plena garantía de integridad y seguridad mediante el análisis continuo de posibles fuentes de vulnerabilidad para eliminarlas.

Clientes de Servicios Hospitalarios estrechando la mano de profesional médico

Ejemplo 2: Servicios hospitalarios

En el caso de una empresa que ofrece servicios hospitalarios, su departamento de sistemas debe asegurar que los equipos informáticos que le permiten su operación eficiente y atención a sus pacientes funcionen correctamente y si no fuera el caso, detectar la situación con oportunidad para implementar la solución lo antes posible, por lo que una mesa de ayuda eficaz se vuelve esencial para lograrlo.

La ISO 20000, originalmente fue desarrollada para ese objetivo al tomar las mejores prácticas de ITIL y transformarlas en una norma para acreditar a los departamentos de TI corporativos. Como tuvo tanto éxito posteriormente se convirtió, además, en una norma para empresas que ofrecen servicios de TI comercialmente (como el primer ejemplo).

Esa misma empresa hospitalaria, tiene información sensible sobre sus pacientes y colaboradores, que en manos criminales o no éticas podría causarles algún daño. Por lo tanto, también está obligada a asegurar que los procesos para la utilización de esa información la mantienen segura y confidencial. Entonces es exigible que implemente también ISO 27001.

Así, cuando se combinan ambas normas se ofrecen dos grandes garantías a tus clientes:

  1. Cumplimiento en los requisitos solicitados por el cliente para sus servicios y
  2. Resguardo seguro de la información que el cliente compartió con su proveedor.

¿Por cuál norma empezar?

Ahora bien, otra pregunta que también nos plantean es ¿Cuál norma va primero?: Definitivamente ISO 27001 y luego ISO 20000.

Una empresa que no tiene procesos validados y auditados para mantener segura la información de sus clientes y asociados está en un permanente estado de vulnerabilidad así que es necesario que primero ponga en orden este tema. Podría ser que, por algunos días, antes de iniciar un proyecto de seguridad de la información, sufra algún incidente que impacte negativamente en el prestigio y valor de su marca.

Otra pregunta que también con frecuencia nos plantean es: ¿sirve algo de lo desarrollado en una norma para utilizarse en otra? La respuesta es sí. Un 30% del trabajo realizado para la primera norma ya no será necesario volver a realizarlo para la siguiente o muy poco en caso de algún aspecto muy especializado. Concretamente me refiero a los apartados 1 al 3 de ambas normas.

Equipo trabajando en oficina para implementar ISO 27001 e ISO 20000

Agentes que deben participar en la implementación de estas normas

Y finalmente, otra pregunta que también nos realizan frecuentemente es ¿quiénes de la empresa deben participar en la implementación de las normas? Espero que no te suene a Perogrullo, pero la respuesta es: toda la organización.

Sin embargo, existen diversos puestos que conducen y deben asumir la responsabilidad de que todas las actividades indicadas por las normas se cumplan.

Primero el director general, para ambas normas. Sin su respaldo, compromiso, interés, seguimiento y patrocinio, no se logrará la implementación.

Segundo, para la norma ISO 27001 es indispensable la participación del director de sistemas o puesto similar y un equipo formado por personal de finanzas, administración y recursos o capital humanos.

Tercero, para el caso de una empresa de servicios de TI y para la norma ISO 20000, el director de sistemas o puesto similar, el gerente de servicio o responsable de la mesa de ayuda, personal de TI que administre la infraestructura y personal de desarrollo de software, si fuera el caso, el responsable del departamento de ventas o mercadotecnia, un miembro del departamento de finanzas, otro del departamento de administración y finalmente uno más del departamento de recursos o capital humanos.

Cuarto, para el caso de un departamento corporativo de sistemas y para la norma ISO 20000, el director de sistemas o puesto similar, el gerente de servicio o responsable de la mesa de ayuda, el administrador de la base de datos o administrador de infraestructura y una o dos personas de desarrollo de software, en caso que lo tenga, o los administradores de los sistemas que utiliza la empresa y finalmente el responsable del departamento de personal o recursos humanos, como representante de los usuarios.

Optimiza tu esfuerzo y costos

¿Qué no se recomienda hacer? Implementar ambas normas simultáneamente. Es posible lograrlo, pero el esfuerzo y el costo son mayores que si haces uno después del otro.

Así que, si tus planes lo permiten, no emprendas ambos proyectos a la vez. Solamente hazlo si ya no tienes tiempo porque tus clientes, tu competencia o el mercado te lo exigen.

¿Qué te pareció esta publicación?

Publicaciones similares