Seguridad, calidad y gestión de servicios en las TIC
2.1 Seguridad y Cultura de Calidad en la gestión de las TIC
La calidad y la
seguridad en el entorno de las TIC no pueden ser consideradas elementos
aislados del resto de la organización. El disponer de un modelo de gestión que
propugne la búsqueda de la excelencia a través de la mejora continua, y cuando
sea posible de mejoras en escalón, en todos los procesos de la organización, es
un condicionante fundamental. Ese modelo permitirá crear una cultura en la que
todos aporten valor, todos se esfuercen en maximizar la eficacia y la
eficiencia de sus procesos para proporcionar productos y servicios a los
clientes.
Todos asumirán
como propias las medidas de seguridad de sus sistemas TIC para evitar que los
potenciales problemas puedan impactar negativamente a sus clientes. Todos
entenderán su red de procesos, comprenderán la importancia de gestionarlos y
mejorarlos, aportarán sugerencias e ideas de mejora; en definitiva vivirán su
actividad organizativa como una experiencia vital y enriquecedora.
Las auditorías
de Calidad o de Seguridad seguirán siendo necesarias como procesos objetivos
que a través de evidencias documentales permitirán, no solo comprobar el
cumplimiento de las normas establecidas, sino identificar puntos débiles y
aspectos a mejorar que por medio de las acciones que correspondan también
contribuirán al proceso de mejora de la organización . Nada permanece estable,
todo cambia, en las organizaciones también, para mejor o para peor. La opción
es obvia pero elegirla es cuestión de voluntad, inteligencia y saber hacer.
2.2 Administración
de la Seguridad
Para la correcta administración de la seguridad de la información, se
deben establecer y mantener acciones que busquen cumplir con los tres requerimientos
de mayor importancia para la información, estos son:
-Confidencialidad:
Busca prevenir el acceso no autorizado ya sea en forma intencional o no
intencional a la información. La pérdida de la confidencialidad puede ocurrir
de muchas maneras, como por ejemplo con la publicación intencional de
información confidencial de la organización.
-Integridad : Busca asegurar:
- Que no se realicen modificaciones por personas no
autorizadas a
los datos o procesos.
- Que no se realicen modificaciones no autorizadas
por personal
autorizado a los datos o procesos.
- Que los datos
sean consistentes tanto interna como externamente.
-Disponibilidad: Busca asegurar acceso confiable y
oportuno a los
datos o recursos
para el personal apropiado.
Organizaciones
internacionales han definido estándares y normas que apoyan en diferente medida
el cumplimiento de los requerimientos indicados anteriormente.
Parámetros para
establecer Políticas de Seguridad de la Información (PSI).
La
implementación de Políticas de Seguridad de la Información es un proceso
técnico y administrativo que debe abarcar a toda la organización, por ende,
debe estar avalado y contar con un fuerte apoyo de la dirección y/o máxima
gerencia, ya que sin este apoyo, su implementación será más compleja e incluso
puede fracasar.
*Es importante que al momento de formular las
políticas de seguridad de la información, se consideren por lo menos los
siguientes aspectos:
-Efectuar un
análisis de riesgos informáticos, para valorar los activos y así adecuar las
políticas a la realidad de la empresa.
-Reunirse con los departamentos dueños de los
recursos, ya que ellos pose en la experiencia y son la principal fuente para
establecer el alcance y definir las violaciones a las políticas.
-Comunicar a todo el personal involucrado sobre el
desarrollo de las políticas, incluyendo los beneficios y riesgos relacionados
con los recursos y bienes, y sus elementos de seguridad.
-Identificar quién tiene la autoridad para tomar
decisiones en cada departamento, pues son ellos los interesados en proteger los
activos críticos en su área.
-Monitorear periódicamente los procedimientos y
operaciones de la empresa, de forma tal, que ante cambios las políticas puedan
actualizarse oportunamente.
-Detallar explícita y concretamente el alcance de
las políticas con el propósito de evitar situaciones de tensión al momento de
establecer los mecanismos de seguridad que respondan a las políticas trazadas.
Razones que
impiden la aplicación de las políticas de seguridad informática. Se debe ser
capaz de convencer a los altos ejecutivos de la necesidad y beneficios de
buenas políticas de seguridad informática, sino los esfuerzos de su
complementación pueden ser desperdiciados
2.2.1. Elaboración
del Plan de Seguridad
Plan de seguridad es un conjunto de decisiones que
definen cursos de acción futuros, así como los medios que se van a utilizar
para conseguirlos.
El Plan de Seguridad debe ser un proyecto que
desarrolle los objetivos de seguridad a largo plazo de la organización,
siguiendo el ciclo de vida completo desde la definición hasta la implementación
y revisión.
La forma adecuada para plantear la planificación de
la seguridad en una organización debe partir siempre de la definición de una
política de seguridad que defina el QUÉ se quiere hacer en materia de seguridad
en la organización para a partir de ella decidir mediante un adecuado plan de
implementación el CÓMO se alcanzarán en la práctica los objetivos fijados.
A partir de la Política de Seguridad se podrá
definir el Plan de Seguridad, que es muy dependiente de las decisiones tomadas
en ella, en el que se contemplará: el estudio de soluciones, la selección de
herramientas, la asignación de recursos y el estudio de viabilidad.
La Política de Seguridad y el Plan de Seguridad (y
la implantación propiamente dicha) están íntimamente relacionados:
-La Política de Seguridad define el Plan de
Seguridad ya que la implementación debe ser un fiel reflejo de los procedimientos
y normas establecidos en la política.
-El Plan de Seguridad debe estar revisado para
adaptarse a las nuevas necesidades del entorno, los servicios que vayan
apareciendo y a las aportaciones que usuarios, administradores, etc. vayan
proponiendo en función de su experiencia.
-La revisión es esencial para evitar la
obsolescencia de la política debido al propio crecimiento y evolución de la
organización. Los plazos de revisión deben estar fijados y permitir además
revisiones extraordinarias en función de determinados eventos (por ejemplo,
incidentes).
-El Plan de Seguridad debe ser auditado para
asegurar la adecuación con las normas.
-El Plan de
Seguridad debe realimentar a la Política de Seguridad. La experiencia, los
problemas de implantación, las limitaciones y los avances tecnológicos, etc.
2.3 Estándares
para la gestión de la seguridad en la Información
La información
es un activo valioso que puede hacer crecer o destruir a su organización;
Cuando se gestiona apropiadamente, le permite operar con confianza. La gestión
de seguridad de la información le da la libertad de crecer, innovar y ampliar
su base de clientes con el conocimiento que toda su información confidencial
permanecerá de esa manera.
¿Qué es ISO/IEC 27001?
ISO/IEC
27001 es un reconocido marco internacional de las mejores prácticas para un
sistema de gestión de seguridad de la información. Le ayuda a identificar los
riesgos para su información importante y pone en su lugar los controles
apropiados para ayudarle a reducir el riesgo.
¿Cuáles
son los beneficios de la Gestión de Seguridad de la Información ISO/IEC 27001?
-Identifique los riesgos y coloque controles en el
sitio para gestionarlos o eliminarlos
-Flexibilidad para adaptar controles a todas las
áreas o áreas seleccionadas de su organización
-Gane la confianza de los interesados y de los
clientes de que sus datos están protegidos
-Demuestre cumplimiento y gane estatus como
proveedor preferido
·
Satisfaga más expectativas
de licitaciones al demostrar cumplimiento
El estándar más
general y completo para la gestión de la seguridad de la información es la
familia ISO 27000
ISO 27001 Sistema de Gestión de Seguridad de la
Información
Un certificado
ISO 27001 prueba que se ha certificado su sistema de gestión de seguridad de la
información en comparación con una norma de buenas prácticas y que se lo ha
declarado conforme. Emitido por un organismo de certificación independiente, el
certificado demuestra que se han tomado las precauciones necesarias para
proteger la información sensible contra accesos y cambios no autorizados.
¿Qué es la norma ISO 27001?
La norma adopta una aproximación de proceso al establecimiento, a la
implementación, a la operación, el monitoreo, a la revisión, al mantenimiento y
a la mejora del sistema de gestión de seguridad de la información de una
organización.
La Organización Internacional de Estandarización (ISO) estableció la
norma ISO 27001, la cual se emplea para la certificación. Ha reemplazado el
estándar BS 7799 y brinda una norma internacional para sistemas de gestión de
seguridad de la información. Con base en el estándar BS 7799, se la ha
reorganizado para alinearse con otras normas internacionales. Se han incluido
algunos nuevos controles, es decir, el énfasis en las métricas para la
seguridad de la información y la gestión de incidentes.
La norma también se fundamenta en otras como ISO/IEC 17799:2005, la
serie ISO 13335, ISO/IEC TR 18044:2004 y las “Directrices de la OCDE para
Sistemas y Redes de Seguridad de la Información – Hacia una cultura de
seguridad” que proporcionan orientación para la implementación de la seguridad
de la información.
En
conformidad con otras normas de sistemas de Gestión
La norma ISO 27001 está alineada con otros sistemas de gestión y soporta
la implementación y la operación coherente e integrada con normas de gestión
relacionadas. El resultado es:
-Armonización con normas de sistemas de gestión como ISO 9001 e ISO
14001.
-Énfasis en la mejora continua de procesos de su sistema de gestión de
seguridad de la información.
-Clarificación de requisitos de documentación y registros.
-Procesos de evaluación y gestión de los riesgos involucrados mediante
la utilización de un modelo del proceso PDCA - Planificar, Hacer, Verificar,
Actuar (PDCA, por sus siglas en inglés).
Protegiendo
sus activos
La norma plantea un enfoque completo a la seguridad de la información.
Los activos que necesitan protección van de la información digital, documentos
en papel y activos físicos (computadoras y redes) a conocimientos de los
empleados. Las cuestiones que usted tiene que tratar van del desarrollo de
competencias del personal a la protección técnica contra los fraudes
informáticos.
ISO 27001 lo ayudará a proteger su información en términos de:
-Confidencialidad, que asegura la accesibilidad de la información
solamente a los que estén autorizados a tener acceso.
-Integridad, que protege la precisión y la totalidad de la información y
los métodos de procesamiento.
-Disponibilidad, que asegura que los usuarios autorizados tengan acceso
a la información y activos relacionados cuando se lo exija.
2.4 Factores
de éxito para la implementación del SGSI...
Las
recomendaciones de la norma Criterios de éxito para la implantación de un SGSI
1. Política de
seguridad coherente con los objetivos de negocio
2. Un sistema
consistente con la cultura de la organización
3. Un buen
análisis de los requerimientos de seguridad
4. Buena
comunicación de la seguridad a todo el personal Buena comunicación de la
seguridad a todo el personal
5. Métricas e
indicadores que permitan saber cómo funciona el SGSI
6. Distribución
de guías de seguridad Distribución de guías de seguridad
7. Soporte de la
dirección 8. Recursos 9. Formación y concienciación
10. Gestión de
incidentes Gestión de incidentes
¿Qué es un
Sistema de Gestión de Seguridad de la Información?
Es un conjunto
de políticas, procedimientos y controles que persigue mantener el riesgos de
los sistemas de información dentro de unos niveles asumibles por la dirección y
mejorar la seguridad de la in formación para apoyar los procesos de negocio a
través del ciclo de mejora continua.
2.5 ANALISIS DE RIESGO DENTRO DEL SGSI
Elemento
fundamental de un Sistema de Gestión de la Seguridad de la Información de la
Seguridad de la Información
Es el proceso de
identificar los riesgos de la seguridad, determinando su magnitud e seguridad,
determinando su magnitud e identificando las áreas que requieren medidas de
salvaguarda medidas de salvaguarda
El análisis de
riesgos intenta que los criterios en los que se apoya la seguridad sean más
objetivos:
– Introduce un
grado importante de objetividad
– Permite a la
organización gestionar sus riesgos por sí mismos
– Apoyar la toma
de decisiones basándose en los riesgos propios
– Centrarse en proteger los activos
importantes
– Formar y
comunicar los aspectos de la seguridad necesarios
OBJETIVO DE
ANALISIS DE RIESGOS
-Tiene por objetivo la toma de una decisión.
-Que es la
acción de neutralizar un riesgo considerado no aceptable.
-La acción se
plasma en la implantación de salvaguardas.
-El estado final
de seguridad alcanzado puede no coincidir con el estado final de seguridad
deseado
-Pueden entran
en juego restricciones: legales, económicas, técnicas, temporales, sociales,
culturales, etc.
•Análisis de los
Riesgos: proceso sistemático para identificar y estimarla magnitud del riesgo
sobre un sistema de información.
•Gestión de los
Riesgos: selección e implantación de salvaguardas para conocer prevenir impedir
reducir controlar o transferir los riesgos Salvaguardas para conocer, prevenir,
impedir, reducir, controlar o transferir los riesgos identificados.
2.6 ITIL
para la gestión y provisión de
servicios y tecnología
¿Cuáles son las
diferencias entre implantar procesos ITIL (Biblioteca de Infraestructura de
Tecnologías de Información, frecuentemente abreviada ITIL, del
Ingles
Information
Technology Infrastructure Library) y buscar una certificación en ISO
20000?
ITIL - Mejores Prácticas en la Gestión de Servicios de TI
Las
organizaciones son cada vez más dependientes de la Tecnología de Información
para soportar y mejorar los procesos de negocio requeridos para cumplir las
necesidades de los clientes y de la propia organización.
En
muchos casos, los servicios de TI conforman la base del modelo de negocio en su
totalidad, en estos casos TI no brinda soporte al negocio, es el negocio. Más
allá de la importancia de TI en la organización, la competitividad y las
presiones económicas se ven reflejadas en presiones para en lo posible
disminuir el presupuesto de TI.
Al
mismo tiempo las expectativas por la calidad, innovación y valor de TI
continúan incrementándose. Esto hace imperativo que las organizaciones de TI
tomen un enfoque orientado al negocio y al servicio en lugar de un enfoque
centrado en la tecnología.
Gestion de Servicios de TI
Para
lograr este cambio de enfoque las áreas de TI, necesitan concentrarse en la
calidad de los servicios que brindan, y asegurarse que los mismos estén
alineados a los objetivos de la organización.
Cuando
los servicios de TI son críticos, cada una de las actividades que se realizan
deben de estar ejecutadas con un orden determinado para asegurar que el grupo
de TI proporciona valor y entrega los servicios de forma consistente.
La
Gestión de servicios es un una disciplina de gestión basada en procesos que
pretende alinear los servicios de TI con las necesidades de la organización,
además brinda un orden determinado a las actividades de gestión.
ITIL Mejores Practicas
ITIL,
por sus siglas en inglés (InformationTechnologyInfrastructure Library) es una
colección de documentos públicos, que basados en procesos y en un marco de
mejores prácticas de la industria, permite la Gestión de Servicios de TI con
calidad y a un costo adecuado.
ITIL
tiene que ver con todos aquellos procesos que se requieren ejecutar dentro de
las organizaciones para la administración y operación de la infraestructura de
TI, de tal forma que se tenga una óptima provisión de servicios a los clientes
bajo un esquema de costos congruentes con las estrategias del negocio.
Desarrollada
su 1er versión a finales de 1980, la Biblioteca de Infraestructura de
Tecnologías de la Información (ITIL) se ha convertido en el estándar mundial de
facto en la Gestión de Servicios Informáticos.
Uno
de los conceptos esenciales de ITIL es que establece que para una adecuada
Gestión de Servicios en las Tecnologías de Información es necesaria una mezcla
sinérgica entre tres factores: Personas, Procesos y Tecnología.
Beneficios de ITIL
Los
siguientes son algunos de los beneficios que debe tener una adecuada Gestión
del Servicio en las Tecnologías de Información:
-Maximiza la calidad del servicio apoyando al negocio de forma expresa.
Ofrece una visión clara de la capacidad del área IT
-Aumenta la satisfacción en el trabajo mediante una mayor comprensión de
las expectativas y capacidades del servicio
-Minimiza el ciclo de cambios y mejora los resultados de los procesos y
proyectos IT
-Facilita la toma de decisiones de acuerdo con indicadores de IT y de
negocio
Características de ITIL
-Las siguientes son algunas de las características de ITIL
-Es un framework de procesos de IT no propietario.
-Es independiente de los proveedores.
-Es independiente de la tecnología.
Provee:
-Una terminología estándar.
-Las interdependencias entre los procesos.
-Los lineamientos para la implementación.
-Los lineamientos para la definición de roles y responsabilidades de los
procesos
-Las bases para comparar la situación de la empresa frente a las
“mejores prácticas”.
ITIL Version 2.0
La
versión 2.0 de ITIL cuenta con varias publicaciones, las cuales se muestran en
la siguiente figura; estas publicaciones permiten tener una relación entre la
tecnología y el negocio.
-Planeación para la Implementación de la Administración de Servicio: Esta publicación cubre los temas y actividades involucradas
en planeación, implementación y mejora de los procesos de Administración de
Servicios dentro de una organización.
-ICT Administración de Infraestructura: Abarca el tema de Tecnología de Información y Administración
de la Infraestructura (ICTIM) y las relaciones con otra áreas, como la
Administración de Servicios.
-Perspectiva del Negocio: Tiene como objetivo familiarizarse con la administración
del negocio con los componentes de Administración de Servicios, Administración
de Aplicaciones y la Administración de la Infraestructura, los cuales son
necesarios para soportar los procesos de negocio.
-Administración de Aplicaciones: Trata el tema de la administración de las aplicaciones
desde las necesidades del negocio hasta el ciclo de vida de la aplicación
-Administración de Seguridad: Detalla el proceso de planeación y administración de un
definido nivel de seguridad en la información y servicios.
-Administración o Gestión de Servicios de TI: La gestión de Servicios Informáticos es abarcada por dos
publicaciones: Entrega de Servicios y Soporte de Servicios.
-Entrega de Servicios: Cubre
los procesos necesarios para la planeación y entrega de la calidad de los
servicios de TI. Estos procesos son:
-Administración de Niveles de Servicio
-Administración Financiera
-Administración de Capacidad
-Administración de la Continuidad de Servicios de TI
-Administración de la Disponibilidad
Soporte de Servicios: Proporciona
los detalles de la función de Mesa de Servicio y los procesos necesarios para
el soporte y mantenimiento de los servicios de TI. Estos procesos son:
-Administración de Incidentes
-Administración de Problemas
-Administración de Configuraciones
-Administración de Cambios
Procesos de Gestión de Servicios
La
Gestión de Servicios de TI organiza las actividades necesarias para administrar
la entrega y soporte de servicios en procesos.
Un
proceso es una serie de actividades que a partir de una entrada obtienen una
salida. El flujo de la información dentro y fuera de cada área de proceso
indicará la calidad del proceso en particular.
Existen
puntos de monitoreo en el proceso para medir la calidad de los productos y
provisión de los servicios. Los procesos pueden ser medidos por su efectividad
y eficiencia, es decir, si el proceso alcanzó su objetivo y si se hizo un
óptimo uso de los recursos para lograr ese objetivo.
Por
lo que si el resultado de un proceso cumple con el estándar definido, entonces
el proceso es efectivo, y si las actividades en el proceso están cumpliendo con
el mínimos requerido esfuerzo y costo, entonces el proceso es eficiente.
2.6.1 Procesos clave en infraestructura TI
La infraestructura de
Información tecnológica (TI) se vuelven cada vez más complejas y la exigencia
de la operación es cada vez más demandante. La infraestructura tecnológica de
TI, soportan aplicaciones y servicios estratégicos de las organización.
Por lo cual el análisis y
monitoreo de servicios y aplicaciones se ha convertido en una labor cada vez
mas importante y de carácter pro-activo para evitar y soportar los incidentes y
problemas.
Para obtener esta pro
actividad y prevenir fallas en la infraestructura tecnológica existen una serie
de herramientas que monitorean (“los ojos de infraestructura de TI”) el
funcionamiento de los servicios, hardware y aplicaciones los cuales deben ser
concentrados preferiblemente en una consola empresarial.
La gestión de riesgos
asociados a la gestión de tecnología de información, ha ganado notoriedad como
un aspecto clave de la gobernabilidad corporativa, dada su capacidad de
proporcionar valor agregado al negocio, balanceando la relación entre el riesgo
y el retorno de la inversión de TI y sus procesos.
Actualmente las
organizaciones cuentan con una serie de herramientas para realizar la gestión y
monitoreo de infraestructura y a veces lo desconocen, debido a que es un valor
agregado que entregan los proveedores al vender hardware y software a las
organizaciones.
El Software de monitoreo
entregado por los proveedores es una buena opción para iniciar una gestión de
infraestructura tecnología. Otra forma de monitorear es aprovechar herramientas
de uso libre o open source las cuales están disponibles en Internet.
Para las licencias libre o Open Source las podemos usar sin olvidarnos de los riesgos ocultos que en un momento determinado pueden pasar, que el manteniendo tiene un costo y que en un momento determinado podrían desaparecer.
Para las licencias libre o Open Source las podemos usar sin olvidarnos de los riesgos ocultos que en un momento determinado pueden pasar, que el manteniendo tiene un costo y que en un momento determinado podrían desaparecer.
Cada vez que vamos a
gestionar un servicio, hardware o aplicación debemos tener en cuenta el proceso
o actividades que debemos tener asociadas a dicho monitoreo.
Que es proceso o
actividades asociadas al monitoreo, es tener en cuenta cosas tan esenciales
como:
-Realizar acciones cuando
se genera una alerta o falla.
-Identificar los dueños de los servicios.
-Identificar las personas claves en el soporte.
-Identificar las acciones automáticas de solución de incidentes.
-Definir que quienes necesitan informes para la gestión y monitoreo.
-Identificar los dueños de los servicios.
-Identificar las personas claves en el soporte.
-Identificar las acciones automáticas de solución de incidentes.
-Definir que quienes necesitan informes para la gestión y monitoreo.
Objetivos de gestión y
monitoreo de TI.
Medir y hacer disponibles
los componentes físicos y lógicos de los recursos tecnológicos, para que
presente tiempos de respuesta aceptable para los usuarios y administradores.
Algunas organizaciones
vienen aplicando el estándar de gestión ITIL, para que estas puedan enfocarse
en esta metodología es necesario tener en lo posible el monitoreo de TI
articulado con los procesos de Incidentes, problemas, cambios y soporte es
decir los procesos de services delivery y services support.
Dentro de las
consideraciones de gestión y monitoreo debemos tener la siguiente
clasificación:
-Monitoreo de plataformas:
El objetivo de monitorear es mejorar la disponibilidad y capacidad de la
infraestructura de plataformas distribuidas y centralizadas
-Monitoreo de aplicativos: Identificar problemas de rendimiento de las
aplicaciones antes que tengan impacto en el usuario final.
-Monitoreo de Redes:
Detectar problemas de la red para identificar problemas de encolamiento,
caídas.
Monitoreo de servicios: Es
la etapa más difícil de implementar debido a que es necesario, tener un
monitoreo maduro y consolidado en una sola consola si es posible. Con el
monitoreo de servicio podemos tener un monitoreo de punta a punto o de
principio a fin y conocer realmente en donde se me está impactando el servicio.
2.7 Oficina
de seguridad
La oficina de
seguridad para la informática y las comunicaciones que tienen por
objetivo social.
- Llevar a cabo la prevención, evaluación, aviso, investigación y respuesta a las acciones, tanto internas como externas, que afecte al normal funcionamiento de las tecnologías de la información del país
La «Oficina de
Seguridad del Internauta» (OSI) es un servicio del Gobierno para
proporcionar la información y el soporte necesarios para evitar y resolver los
problemas de seguridad que pueden afectarnos al navegar por Internet.
2.7.1. Objetivos
de control, Riesgos, Controles.
El propósito del control de riesgo es analizar el funcionamiento, la
efectividad y el cumplimiento de las medidas de protección, para determinar y
ajustar sus deficiencias.
Las actividades del proceso, tienen que estar integradas en el plan
operativo institucional, donde se define los momentos de las intervenciones y
los responsables de ejecución.
Medir el cumplimiento y la efectividad de las medidas de protección
requiere que levantemos constantemente registros sobre la ejecución de las
actividades, los eventos de ataques y sus respectivos resultados. Estos tenemos
que analizados frecuentemente. Dependiendo de la gravedad, el incumplimiento y
el sobrepasar de las normas y reglas, requieren sanciones institucionales para
los funcionarios.
En el proceso continuo de la Gestión de riesgo, las conclusiones que
salen como resultado del control de riesgo, nos sirven como fuente de
información, cuando se entra otra vez en el proceso de la Análisis de riesgo.
Un
plan estratégico de seguridad informática está basado en un conjunto de
políticas de seguridad elaboradas previo a una evaluación de los riesgos que
indicará el nivel de seguridad en el que se encuentre la empresa. Estas políticas deben ser elaboradas
considerando las características del negocio, la organización, su ubicación,
sus activos y tecnología que posee la empresa.
Evaluación
de los riesgos
Con
la evaluación de los riesgos podremos identificar las causas de los riesgos
potenciales a los que está expuesta la organización y cuantificarlos para que
la gerencia pueda tener información suficiente al respecto y optar por el
diseño e implantación de los controles correspondientes a fin de minimizar los
efectos de las causas de los riesgos, en los diferentes puntos de análisis.
Los
pasos para realizar una valoración de riesgos se detallan a continuación:
1. Identificar los riesgos
2. Determinación de los controles existentes
3. Análisis de los riesgos
Identificar los riesgos
En
este paso se identifican los factores que introducen una amenaza para la
organización. Existen muchas formas para
identificar los riesgos pero para este análisis utilizaremos los cuestionarios
elaborados para cada fin como son evaluar la seguridad física, lógica, redes y
recursos humanos; los mismos serán respondidos por los miembros del área de
sistemas y recursos humanos.
Una
vez identificados los factores de riesgo, con la ayuda de los integrantes de
las área antes mencionadas se procede a la ponderación de los mismos dando a
cada uno de ellos su valor de importancia y determinando así los de mayor
relevancia.
Determinación de los controles existentes
Después de identificar las causas de los riesgos que afectan a la organización, se determinará que riesgos
el área de sistemas tiene bajo control y cuales no, para así determinar las
medidas a tomar sobre estos.
Análisis de riesgos
Una
vez que se hayan identificado los riesgos, el paso siguiente es analizarlos
para determinar su impacto, tomando así las posibles alternativas de solución.
Valoración de riesgos
Estando
ya identificados los riesgos, debemos proceder a valorarlos mediante una escala
como la que se presenta a continuación.
-Riesgo alto: Son todas las exposiciones a pérdida en las cuales la
magnitud alcanza la bancarrota.
-Riesgo medio: Serán exposiciones a pérdidas que no alcanzan la
bancarrota, pero requieren una acción de la organización para continuar las operaciones.
-Riesgo bajo: Exposiciones a pérdidas que no causan un gran impacto
financiero.
Políticas
de seguridad
Las políticas de seguridad informática serán fijadas mediante mecanismos
y procedimientos que deberá adoptar la empresa para salvaguardar sus sistemas y
la información que estos contienen.
Deberán ser elaboradas a medida para así recoger las características
propias de la organización.
Las políticas en su contenido incluirán:
-Justificación.
-Generalidades, dentro de
este punto se incluirá: objetivo, alcance, responsabilidad, medidas a tomar en
caso de incumplimiento de la política.
-Estructura de la
política.- Seguridad física, seguridad lógica, seguridad en redes y seguridad
en los recursos humanos.
Para diseñar la política nos basamos en las normas y estándares de
seguridad informática como son el ISO 17799.
2.8 Gestión
de procesos de soporte y entrega del
Servicio
Los procesos de Soporte de ITIL
Es servir de punto único de contacto entre los usuarios y la Gestión de los servicios TI. Ventajas: • Reducción de costos mediante una eficiente asignación de recursos. • Apertura de nuevas oportunidades de negocio. • Centralización de procesos que mejoran la gestión de la información y la comunicación. • Soporte proactivo al servicio. Si la empresa no cuenta con su propio software que les asista en la generación de ticket, podemos sugerir, instalar, configurar y capacitar, tanto software adquirido por el cliente, como libre, sugerido por nosotros. |
Gestión de Incidentes.
Restablece la operación, dejando un servicio normal lo más rápido
posible, minimizando el impacto al negocio.
Ventajas:
- Mejora de la satisfacción general de ejecutivos, clientes y usuarios - Mejora la productividad de usuarios - Cumplimiento de los niveles de servicios pactados en los SLA (Acuerdos de nivel de servicio) - Mejor control de los procesos y monitorización del servicio - Optimización de los recursos con que se cuenta |
Gestión de problemas
Su objetivo es eliminar los incidentes y los errores repetitivos
investigando y eliminando las causas de raíz.
Ventajas: - Aumento de la calidad de los servicios TI y por ende de la continuidad operativa del negocio. - Disminución de incidentes. - Mayor número de incidentes que se solucionan en primera línea de soporte TI, ahorrando escalamientos y sus costos asociados. - Base de información para gestionar capacidad, disponibilidad y niveles de servicio. |
Gestión de Configuraciones
Permite apoyar a los demás procesos de ITIL administrando y manteniendo
actualizada la configuración de TI en la empresa.
Ventajas: -Reducción de costos, el conocimiento detallado de los componentes y sus interrelaciones permite un mejor control de la infraestructura, además de los medios para recuperar más rápido y eficientemente la continuidad operativa de ambientes de producción frente a incidentes.
- Mayores niveles de seguridad, una CMDB (Base de datos de manejo de
la configuración) actualizada permite entre otras, detectar vulnerabilidades,
evitar incidentes, evitar incumplimientos de requisitos legales (licencias),
existencia y calidad de soporte para ese componente, etc.
-Una gestión de cambios eficiente, ya que sobre el conocimiento
detallado de todos los elementos de configuración, entre otros, evitará duplicidades
e incompatibilidades.
|
Gestión de Cambios
Asegura que los métodos y procedimientos estandarizados sean usados
para hacer eficiente y con un manejo adecuado todos los cambios requeridos en
TI.
Ventajas:
- Reducción de incidentes y problemas potencialmente asociados a los
cambios.
- La capacidad de retomar configuraciones estables de manera rápida en caso de que un cambio haya tenido impacto negativo en el ambiente que opera. - Reducción de número de back-outs (procedimiento de abandono, retroceso) necesarios. - Disposición de los usuarios de aceptar cambios debido a que cuentan con metodología segura. - Una CMDB correctamente actualizada que es imprescindible para la gestión de los otros procesos TI. |
Gestión de Niveles de Servicio
Mantiene y mejora la calidad del servicio comprometido en la empresa,
revisando continuamente el ciclo de acuerdos, monitoreo y reportes del
servicio proporcionado.
Ventajas: -Se facilita la comunicación impidiendo los malentendidos sobre las características y calidad de los servicios TI. -Se establece objetivos claros y medibles. -Se establece las responsabilidades respectivas de usuarios, clientes y proveedores de los servicios. - Se conocen y asumen los niveles de calidad acordados, estableciéndose claros protocolos de reacción frente a posible deterioro del servicio. |
Gestión de la Continuidad del Servicio
Se preocupa de impedir que una imprevista y grave interrupción de los
servicios TI, debido a desastres naturales u otras fuerzas de causa mayor, tenga
consecuencias catastróficas para el negocio.
Ventajas: • Se gestionan adecuadamente riesgos que afecten la continuidad del servicio. • Se reduce el periodo de interrupción del servicio por causas de fuerza mayor. • Se mejora la confianza en la calidad del servicio entre clientes y usuarios. • Sirve de apoyo al proceso de gestión de la continuidad del servicio. |
Gestión de la Disponibilidad
Es responsable de optimizar y monitorear los servicios TI para que
estos funcionen ininterrumpidamente y de manera fiable. La satisfacción del
cliente y la rentabilidad de los servicios TI dependen en gran medida de su
éxito.
Ventajas: -Cumplimiento de los niveles de disponibilidad acordados. - Se reducen los costos asociados a un alto nivel de disponibilidad. - El cliente percibe una mayor calidad de servicio. - Se aumentan progresivamente los niveles de disponibilidad. - Se reduce el número de incidentes. |
Gestión de la Capacidad
Es la encargada de que todos los servicios TI se vean respaldados por
una capacidad de proceso y almacenamiento.
Ventajas: - Se optimizan el rendimiento de los recursos informáticos. - Se dispone de la capacidad necesaria en el momento oportuno, evitando así que se pueda resentir la calidad del servicio. - Se evitan gastos innecesarios producidos por compras de última hora . - Se planifica el crecimiento de la infraestructura adecuándolo a las necesidades reales de negocio. - Se reducen de los gastos de mantenimiento y administración asociados a equipos y aplicaciones obsoletos o innecesarios. |
2.8.1 Marco
de Referencia-FrameWork, peticiones, incidencias, problemas, cambios,
versiones, gestión del conocimiento
Es una estructura real o conceptual destinado a
servir como un soporte o guía para la construcción de algo que se expande la
estructura en algo útil .
En los sistemas de computación, un marco es a
menudo una estructura en capas que indica qué tipo de programas pueden o deben
ser construidas y cómo se interrelacionan.
Algunos marcos del sistema de ordenador incluyen
programas reales, especificar interfaces de programación, u ofrecer
herramientas de programación para el uso de los marcos.
Un marco puede ser por un conjunto de funciones
dentro de un sistema y cómo se relacionan entre sí ; las capas de un sistema
operativo ; las capas de un subsistema de aplicación ; cómo la comunicación
debe ser referido a un cierto nivel de una red ; Un marco es generalmente más
amplio que un protocolo y más prescriptivas que una estructura.
Los ejemplos de marcos que se utilizan o se ofrecen
por los organismos o empresas de normalización en la actualidad incluyen:
-Resource Description Framework , un conjunto de reglas de la World Wide Web Consortium para la forma de describir cualquier recurso de Internet, como un sitio web y su contenido.
-Internet Business Framework , un grupo de programas que forman la base tecnológica para el producto mySAP de SAP, la empresa alemana que comercializa una línea de gestión de recursos empresariales de productos
-Remitente Marco de Políticas, un enfoque definido y programación para hacer de correo electrónico más seguro
Marco Zachman , una estructura lógica destinada a proporcionar una representación completa de una empresa de tecnología de información , que es independiente de las herramientas y los métodos utilizados en cualquier negocio particular de TI
La
palabra inglesa "framework" (marco de trabajo) define, en términos generales, un conjunto estandarizado de conceptos,
prácticas y criterios para enfocar un tipo de problemática particular que sirve
como referencia, para enfrentar y resolver nuevos problemas de índole similar.
En el desarrollo de software, un framework o infraestructura digital, es una
estructura conceptual y tecnológica de soporte definido, normalmente con
artefactos o módulos de software concretos, que puede servir de base para
la organización y desarrollo de software.
Típicamente, puede incluir soporte de programas, bibliotecas y un lenguaje interpretado,
entre otras herramientas, para así ayudar a desarrollar y unir los diferentes
componentes de un proyecto.
Representa una arquitectura de software que modela las relaciones generales de las entidades del dominio,
y provee una estructura y una especial metodología de trabajo, la cual extiende
o utiliza las aplicaciones del dominio.
Los frameworks tienen como
objetivo principal ofrecer una funcionalidad definida, auto contenida, siendo
construidos usando patrones de diseño, y su característica principal es su alta
cohesión y bajo acoplamiento.
Para acceder a esa
funcionalidad, se construyen piezas, objetos, llamados objetos calientes, que vinculan
las necesidades del sistema con la funcionalidad que este presta.
Esta funcionalidad, está
constituida por objetos llamados fríos, que sufren poco o ningún cambio en la
vida del framework, permitiendo la portabilidad entre distintos sistemas. Frameworks
conocidos que se pueden mencionar por ejemplo son Spring Framework, Hibernate, donde lo esencial para ser
denominados frameworks es estar constituidos por objetos casi estáticos con
funcionalidad definida a nivel grupo de objetos y no como parte constitutiva de
estos, por ejemplo en sus métodos, en cuyo caso se habla de una librería.
2.9 Gestión de usuarios y
seguridad.
Seguridad
del entorno de operación debe garantizar
la seguridad física de las áreas donde se aloje la
infraestructura TIC del sistema, así como de aquellas áreas en las que se
maneja información clasificada, bien sea en formato papel o electrónico.
Seguridad
del personal es uno de los elementos clave ya que para el
manejo de la información clasificada es necesario que éste disponga de una
habilitación personal de seguridad.
Por
otro lado, la seguridad de los documentos– bien sean en formato
papel o electrónicos – deben estar correctamente seguros para evitar fugas de
información intencionadas o accidentales. Para ello es necesario disponer,
entre otros, de procedimientos de control de la documentación clasificada o
medidas técnicas como sistemas de impresión segura, el borrado seguro de datos,
trituradoras de papel o armarios blindados.
Seguridad
de las TIC proporciona a estos sistemas los
servicios de seguridad necesarios para garantizar los principios básicos de la
seguridad de la información, evitando cualquier pérdida de confidencialidad, disponibilidad,
autenticidad e integridad de la misma. Además, deberán proporcionar servicios
de auditabilidad y trazabilidad de las actividades que se hayan ejecutado en el
sistema.
Estos
servicios de seguridad deberán, entre otros, identificar y autenticar a los
usuarios autorizados, controlar los accesos de estos usuarios, verificar la
integridad de la información, registrar y auditar la actividad de los usuarios
y controlar las conexiones desde y hacia el sistema clasificado.
2.10 Gestión financiera de las TIC.
El objetivo
principal de la Gestión Financiera es la de evaluar y controlar los costos
asociados a los servicios TI de forma que se ofrezca un servicio de calidad a
los clientes con un uso eficiente de los recursos TI necesarios.
Ventajas:
- Se reducen los costos y aumenta la rentabilidad del servicio.
- Se ajustan, controlan, adecuan y justifican (si aplica) los precios del servicio aumentando la satisfacción del cliente.
- Los clientes contratan servicios que le ofrecen una buena relación costo/rentabilidad.
- La organización TI puede planificar mejor sus inversiones al conocer los costos reales de los servicios TI.
- Los servicios TI son usados más eficazmente.
- La organización TI funciona como una unidad de negocio y es posible evaluar claramente su rendimiento global.
Gestión
financiera:
La política
financiera se fundamenta en las siguientes directrices:
-Disponer de
unos presupuestos que sean equilibrados y adecuados con las necesidades de TIC
de la compañía.
-Disponer de
criterios claros para la elaboración y seguimiento de los presupuestos de TIC
.-Contabilizar
adecuadamente y de acuerdo con el proceso establecido todos los costos a los
servicios asociados a TIC.
-Repercutir los gastos generales de acuerdo
con los principios generales de la Organización.
Los costos derivados de la utilización de los
sistemas de información que dan servicio a todos los usuarios de la empresa,
por ser los soportes de procesos corporativos para la gestión de los diferentes
recursos: humanos, comunicaciones, materiales, entre otros; así como aquellos
que dan servicio al desarrollo de las actividades directivas de la empresa:
planificación, presupuesto, entre otros, serán costeados por la Vicepresidencia
que ostente la titularidad funcional correspondiente.
2.11.- EVALUACION Y MANTENIMIENTO
Evaluación del sistema
Al terminar de revisar el sistema, debería evaluarse minuciosamente para
garantizar que todos sus componentes se desempeñen de acuerdo a los
requerimientos específicos y que trabaje adecuadamente aunque se usen otras
funciones o se introduzca información errónea.
Las medidas de evaluación consisten en desarrollar un grupo de criterios
de prueba para todo el sistema o para ciertos componentes. Para los sistemas
más importantes o sensibles como los sistemas de votación electrónica, se puede
establecer un sistema de prueba estructurado para garantizar que todos sus
aspectos reciban una evaluación minuciosa.
Las medidas de evaluación que se pueden adoptar incluyen:
· La aplicación de pruebas
funcionales
· La aplicación de
evaluaciones cualitativas
· Conducir pruebas de
laboratorio y en distintas condiciones de la vida real;
· Conducir pruebas durante
períodos de tiempo largos para garantizar que los sistemas funcionen de forma
consistente;
Las medidas para evaluar el equipo pueden incluir:
· Aplicar pruebas no
operativas para garantizar que el equipo soporte la manipulación física;
· Comprobar la conexión del
código con el equipo (programa oficial del fabricante) para asegurar que sea la
adecuada y que cumpla con los estándares;
La evaluación de los componentes de los programas puede incluir:
·Evaluar todos los programas para garantizar que sean los adecuados y que
sigan los estándares adecuados de diseño, desarrollo e instrumentación;
·Conducir pruebas cargadas que simulen las condiciones de la vida real,
usando una mayor cantidad de información que la esperada;
·Verificar que se conserve la integridad de la información durante su
manipulación.
Mantenimiento
del sistema
Después de que los sistemas son evaluados, probados e instrumentados,
deberían continuar recibiendo mantenimiento para asegurar que continúen
funcionando adecuadamente y que se puedan adecuar a los nuevos requerimientos.
El mantenimiento constante o la evaluación de los sistemas deberían ser
sistematizados, para garantizar que se identifiquen y se cumpla con los
requerimientos. Cuando los sistemas tengan un uso extendido, se puede poner en
marcha un mecanismo para monitorear la retroalimentación de los usuarios, como
otro medio para determinar la necesidad de modificaciones y de mantenimiento.
Las rutinas de mantenimiento varían dependiendo del tipo y de la
complejidad de la tecnología. Muchos artículos incluyen un itinerario o
programa de mantenimiento recomendado por el fabricante o proveedor. Para
algunos equipos y programas, el mantenimiento es suministrado por el proveedor
o fabricante como parte del acuerdo de compra.
Cuando se realizan modificaciones del equipo, programas o comunicaciones
como resultado del mantenimiento o de las actualizaciones, será necesario que
se realicen revisiones y evaluaciones del sistema más profundas, para asegurar
que se cumplan los requerimientos o especificaciones.
2.12 FrameWork -Marco de
referencia
La palabra inglesa
"framework" (marco de trabajo) define, en términos generales, un
conjunto estandarizado de conceptos, prácticas y criterios para enfocar un tipo
de problemática particular que sirve como referencia, para enfrentar y resolver
nuevos problemas de índole similar.
En desarrollo de software
un framework o infraestructura digital, es
una estructura conceptual y tecnológica de soporte definido, normalmente con
artefactos o módulos de software concretos, que puede servir
de base para la organización y desarrollo de software.
Típicamente, puede incluir soporte de
programas, bibliotecas y un lenguaje interpretado, entre otras herramientas,
para así ayudar a desarrollar y unir los diferentes componentes de un proyecto.
Es un
esquema (un esqueleto, un patrón) para el desarrollo y/o la implementación de
una aplicación.
También es
posible que el framework defina una estructura para una aplicación
completa, o bien sólo se centre en un aspecto de ella
Un framework es
una colección organizada de clases que constituyen un diseño reutilizable para
un dominio específico de software. Contiene un conjunto de librerías,
componentes de software y directrices arquitectónicas que ofrece al
desarrollador un kit de herramientas completo para construir una aplicación de
principio a fin, siempre teniendo en cuenta que es necesario adaptarlo a cada
aplicación en particular.
Este Framework
se compone de tres partes: el núcleo, el perfil del marco y los niveles de
aplicación del marco.
-El núcleo
consiste en cinco funciones principales: identificar, proteger, detectar,
responder y recuperarse.
La primera función 'identificar' implica obtener una comprensión de los recursos y los niveles de riesgo asociado a los activos. Las funciones de 'proteger' y 'detectar' son autoexplicativos y cubren temas tales como control de acceso y supervisión de la seguridad. Las otras dos funciones 'responder' y 'recuperar' buscan la forma de reaccionar en caso de un incidente de seguridad.
La primera función 'identificar' implica obtener una comprensión de los recursos y los niveles de riesgo asociado a los activos. Las funciones de 'proteger' y 'detectar' son autoexplicativos y cubren temas tales como control de acceso y supervisión de la seguridad. Las otras dos funciones 'responder' y 'recuperar' buscan la forma de reaccionar en caso de un incidente de seguridad.
2.12.1. Buenas
prácticas, metodología y herramientas de soporte
Buenas prácticas (BP) ha sido empleado en distintos ámbitos de
nuestra sociedad para referirse a acciones
que en su conjunto ofrecen buenos resultados en el contexto en que se utilizan.
También, su
aplicación permite una eficacia en el logro de los objetivos que la institución
se haya planteado y que, al ser compartidas, permiten enriquecer el
conocimiento organizacional.
BP se
plantea como una consecuencia de
los múltiples desafíos que ha impuesto la sociedad de la información y de la
comunicación a las instituciones para que mejoren su gestión y
cumplan con estándares de eficacia y de calidad.
Referencias Bibliográficas
No hay comentarios:
Publicar un comentario