En este post veremos un resumen del modulo seguridad de ITILv3

Gestión de  Seguridad de la Información

Los  objetivos se resumen en:

  • Diseñar  y crear   una política de seguridad, en colaboración con clientes y proveedores, correctamente alineada con las necesidades del negocio.
  • Asegurar  cumplimiento de los estándares de seguridad acordados en los SLAs (acuerdo de nievel de servicios)
  • Minimizar al minimo  los riesgos de seguridad que amenacen la continuidad del servicio.

La  Gestión de  Seguridad no es responsabilidad (exclusiva) de un “expertos en seguridad” que desconocen los otros procesos de negocio. Si caemos en la tentación de establecer la seguridad como una prioridad en sí misma, limitaremos las oportunidades de negocio que nos ofrece el flujo de información entre los diferentes agentes implicados y la apertura de nuevas redes y canales de comunicación.

La Gestión de la Seguridad debe conocer en profundidad el negocio y los servicios que presta la organización TI para establecer protocolos de seguridad que aseguren que la información esté accesible cuando es necesaria para aquellos que tengan autorización para utilizarla.

Una vez comprendidos cuáles son los requisitos de seguridad del negocio, la Gestión de la Seguridad debe supervisar que estos se hallen convenientemente plasmados en los SLAscorrespondientes para, a renglón seguido, garantizar su cumplimiento.

La Gestión de la Seguridad debe asimismo tener en cuenta los riesgos generales a los que está expuesta la infraestructura TI, y que no necesariamente tienen por qué figurar en un SLA, para asegurar, en la medida de lo posible, que no representan un peligro para la continuidad del servicio.

Es importante que la Gestión de la Seguridad sea proactiva y evalúe a priori los riesgos de seguridad que pueden suponer los cambios realizados en la infraestructura, nuevas líneas de negocio, etcétera.


Los principales beneficios de una correcta Gestión de la Seguridad:

  • Se evitan interrupciones del servicio causadas por virus, ataques informáticos, etcétera.
  • Se minimiza el número de incidentes.
  • Se tiene acceso a la información cuando se necesita y se preserva la integridad de los datos.
  • Se preserva la confidencialidad de los datos y la privacidad de clientes y usuarios.
  • Se cumplen los reglamentos sobre protección de datos.
  • Mejora la percepción y confianza de clientes y usuarios en lo que respecta a la calidad del servicio.

Las principales dificultades a la hora de implementar la Gestión de la Seguridad se resumen en:

  • No existe el suficiente compromiso de todos los miembros de la organización TI con el proceso.
  • Se establecen políticas de seguridad excesivamente restrictivas que afectan negativamente al negocio.
  • No se dispone de las herramientas necesarias para monitorizar y garantizar la seguridad del servicio (firewalls, antivirus, etc.).
  • El personal no recibe una formación adecuada para la aplicación de los protocolos de seguridad.
  • Falta de coordinación entre los diferentes procesos, lo que impide una correcta evaluación de los riesgos.

Proceso

La Gestión de la Seguridad está estrechamente relacionada con prácticamente todos los otros procesos TI y necesita para su éxito la colaboración de toda la organización.

Para que esa colaboración sea eficaz, es necesario que la Gestión de la Seguridad:

  • Establezca una clara y definida política de seguridad que sirva de guía a todos los otros procesos.
  • Elabore un Plan de Seguridad que incluya los niveles de seguridad adecuados tanto en los servicios prestados a los clientes como en los acuerdos de servicio firmados con proveedores internos y externos.
  • Implemente el Plan de Seguridad.
  • Monitorice y evalúe el cumplimiento de dicho plan.
  • Supervise proactivamente los niveles de seguridad analizando tendencias, nuevos riesgos y vulnerabilidades.
  • Realice periódicamente auditorías de seguridad.

Anuncios