MF0490_3 - Gestión de servicios en el sistema informático

Por María Victoria Pequeño Collado

Una vez finalizado el Módulo el alumno será capaz de gestionar servicios en el sistema informático.

Se analizará los procesos del sistema con objeto de asegurar un rendimiento adecuado a los parámetros especificados en el plan de explotación.

Se aplicará procedimientos de administración a dispositivos de almacenamiento para ofrecer al usuario un sistema de registro de la información íntegro, seguro y disponible.

Se administrará el acceso al sistema y a los recursos para verificar el uso adecuado y seguro de los mismos.

Se evaluará el uso y rendimiento de los servicios de comunicaciones para mantenerlos dentro de los parámetros especificados.

Tema 1. Gestión de la Seguridad y Normativas.
1.1. Norma ISO 27002 Código de buenas prácticas para la gestión de la seguridad de la información
1.2. Metodología ITIL Librería de infraestructuras de las tecnologías de la información
1.3. Ley Orgánica de Protección de Datos de carácter personal
1.4. Normativas más frecuentemente utilizadas para la gestión de la seguridad física

Tema 2. Análisis de los Procesos de los Sistemas.
2.1. Identificación de procesos de negocio soportados por sistemas de información
2.2. Características fundamentales de los procesos electrónicos
2.3. Determinación de los sistemas de información que soportan los procesos de negocio y los activos y servicios utilizados por los mismos
2.4. Análisis de las funcionalidades de sistema operativo para la monitorización de los procesos y servicios
2.5. Técnicas utilizadas para la gestión del consumo de recursos

Tema 3. Demostración de Sistemas de Almacenamiento.
3.1. Tipos de dispositivos de almacenamiento más frecuentes
3.2. Características de los sistemas de archivo disponibles
3.3. Organización y estructura general de almacenamiento
3.4. Herramientas del sistema para gestión de dispositivos de almacenamiento

Tema 4. Utilización de Métricas e Indicadores de Monitorización de Rendimiento de Sistemas.
4.1. Criterios para establecer el marco general de uso de métricas e indicadores para la monitorización de los sistemas de información
4.2. Identificación de los objetos para los cuales es necesario obtener indicadores
4.3. Aspectos a definir para la selección y definición de indicadores
4.4. Establecimiento de los umbrales de rendimiento de los sistemas de información
4.5. Recolección y análisis de los datos aportados por los indicadores
4.6. Consolidación de indicadores bajo un cuadro de mando de rendimiento de sistemas de información unificado

Tema 5. Confección del Proceso de Monitorización y Comunicaciones.
5.1. Identificación de los dispositivos de comunicaciones
5.2. Análisis de los protocolos y servicios de comunicaciones
5.3. Principales parámetros de configuración de funcionamiento de los equipos de comunicaciones
5.4. Procesos de monitorización y respuesta
5.5. Herramientas de monitorización de uso de puertos y servicios tipo Sniffer
5.6. Herramientas de monitorización de uso de sistemas y servicios tipo Hobbit, Nagios o Cacti
5.7. Sistemas de gestión de información y eventos de seguridad (SIM/SEM)
5.8. Gestión de registros de elementos de red y filtrado (router, switches, firewall, IDS/IPS, etc.)

Tema 6. Selección del Sistema de Registro de en Función de los Requerimientos de la Organización.
6.1. Determinación del nivel de registros necesarios, los periodos de retención y las necesidades de almacenamiento
6.2. Análisis de los requerimientos legales en referencia al registro
6.3. Selección de medidas de salvaguarda para cubrir los requerimientos de seguridad del sistema de registros
6.4. Asignación de responsabilidades para la gestión del riesgo
6.5. Alternativas de almacenamiento para los registros del sistema y sus características de rendimiento, escalabilidad, confidencialidad, integridad y disponibilidad
6.6. Guía para la selección del sistema de almacenamiento y custodia de los registros

Tema 7. Administración del Control de Accesos Adecuados de los Sistemas de Información.
7.1. Análisis de los requer

• Idioma: Español
• Editorial: Editorial Elearning
• Fecha de lanzamiento: 9 ene 2019

Vista previa del libro

1.1. Norma ISO 27002 Código de buenas prácticas para la gestión de la seguridad de la información

1.2. Metodología ITIL Librería de infraestructuras de las tecnologías de la información

1.3. Ley orgánica de Protección de datos de carácter personal

1.4. Normativas más frecuentemente utilizadas para la gestión de la seguridad física

1.1.Norma ISO 27002 Código de buenas prácticas para la gestión de la seguridad de la información

La Información es poder ¿Cuántas veces no hemos escuchado esta frase? Fue ya hace unos años, con la aparición de las nuevas tecnologías, cuando se empezó a hablar de Sociedad de la Información. Tener la opción de adquirir información y poder transmitirla de una forma eficaz y eficiente revolucionó a la sociedad y la manera de hacer las cosas. Y la cosa no se quedó ahí, este concepto evolucionó hasta la idea de Sociedad del Conocimiento actual, donde no sólo es importante la adquisición y transmisión de la información, sino aún lo es más la capacidad para transformarla y utilizarla.

Importante

En este contexto, la accesibilidad y disponibilidad de la Información, se ha convertido para las empresas tanto en su mayor activo como en su mayor riesgo. Una empresa manejará muchísima información, independientemente del formato o del tipo del que esta sea, que es lo que le aporta realmente valor a la misma, diferenciándola de las demás y ayudándola a conseguir sus objetivos, y que por lo tanto, deberá proteger al máximo para hacerla lo menos vulnerable posible a cualquier amenaza, tanto interna como externa, que pueda poner en peligro la integridad de la misma.

Al final, toda empresa y organización comparten un proceso común para la consecución de sus objetivos: ciertos datos de entrada procesados de cierta forma dan como resultado una información que se convierten en el principal activo de la organización y que hay que mantener integra, disponible y de forma confidencial para asegurar una posición competitiva frente al resto de empresas, que a su vez no haga obtener la rentabilidad necesaria y de manera que cumplamos la normativa legal al respecto.

Y es precisamente el desarrollo creciente de las nuevas tecnologías el que hace que el riesgo de amenazas para la información de las organizaciones esté creciendo de forma exponencial, dado que estas aprovecharán cualquier vulnerabilidad para acceder a nuestra información, pudiendo dar lugar a fraude, actos de vandalismo informático e incluso espionaje industrial, con las pérdidas de rentabilidad y de posicionamiento en las que esto puede derivar.

Es por ello fundamental proteger la información, porque no sólo con actos intencionados podemos vulnerarla, si no que actuaciones involuntarias también pueden alterarla y hacerla accesible, y para ello actualmente contamos con una herramienta de gran utilidad y ayuda en la gestión de cualquier organización, los Sistemas de Gestión de la Seguridad de la Información (SGSI).

Definición

El Sistemas de Gestión de la Seguridad de la Información (SGSI) es una herramienta que nos va a permitir conocer, gestionar y minimizar los riesgos que amenacen la seguridad de la información dentro de nuestra organización. Esto debe hacerse mediante un proceso sistemático, documentado y conocido por toda la organización y es este proceso el que constituye el SGSI.

Su fin último es proteger a las organizaciones frente a posibles amenazas que pongan en riesgo su viabilidad y rentabilidad y hacerlo dentro de la legalidad.

En definitiva, hacer que el riesgo al que está sometido la información de las organizaciones se sitúe por debajo del nivel que la propia organización estime como asumible.

El Sistema de Gestión de la Seguridad de la Información implantado nos deberá permitir:

–Analizar y Ordenar nuestros sistemas de información

–Definir los procesos de trabajo

–Medir la eficacia de las medidas tomadas para minimizar los riesgos.

¿Y cuál es la razón para que la gestión de la seguridad de la información se realice mediante procesos? Simplemente que los medios técnicos no son capaces por si solos, ya que técnicamente es imposible, de garantizar un nivel de seguridad tal que satisfaga todas las necesidades de la organización. Para llevar a cabo una gestión lo más eficiente posible de la seguridad todos los miembros de la organización, así como clientes o proveedores externos a ella deben colaborar, participar e involucrarse en el proceso y esto sólo es posible si el procedimiento a seguir para saber cómo actuar y que está o no está permitido es conocido y participado por todos los actores que participan en el proceso.

Sabías qué

ISMS (Information Security Management System) son las siglas que se utilizan en inglés para definir a los Sistemas de Gestión de la Seguridad de la Información, por lo que te encontrarás este término en mucha bibliografía o documentación que verse sobre este tema.

La información que intenta proteger el SGSI es de muy diversa índole, puede tratarse de correos electrónicos, imágenes, bases de datos de clientes, páginas web, contratos, documentación técnica, listados , Curriculum Vitae del personal, etc., y puede llegar desde distintas fuentes, tanto externas como internas a la organización. Así mismo, para definir el sistema, también tenemos que tener en cuenta que la información puede estar soportada por distintos medios, ya sea papel u otros medios digitales.

Conocer el ciclo de vida de la información también es importante, porque nos permitirá definir cuál es la importancia de la información en cada momento (algo que ahora es muy importante y primordial proteger quizá no lo es tanto en otro momento de su ciclo de vida). Normalmente, es el que se detalla en la figura adjunta:

La información se crea, se guarda, se utiliza, se comparte, se archiva y se destruye y el SGSI nos marcará los procedimientos y políticas que nos garanticen que durante todas estas etapas la confidencialidad, integridad y disponibilidad de la información se mantenga minimizando al máximo los riesgos de seguridad:

–Confidencialidad: se dará siempre que la información no sea puesta a disposición ni sea revelada a aquellas personas físicas, o procesos, que no estén autorizados para poseerla.

–Integridad: una información será integra cuando mantenga a lo largo de todo su ciclo de vida la exactitud y la plenitud de su inicio.

–Disponibilidad: la información debe estar disponible siempre que sea requerida por un usuario que tenga autorizado el acceso a ella.

Importante

Estos parámetros (confidencialidad, integridad y disponibilidad) son los parámetros básicos de la seguridad de la información, y para identificarlos se utiliza el acrónimo CID.

Recuerda

La información que le resulta imprescindible a la empresa para su funcionamiento se denomina activo de seguridad de la información, y su protección es el principal objetivo de un SGSI.

En función de la naturaleza de esta información podemos dividir estos activos de la Seguridad de la Información en varios grupos, la forma de proteger unos u otros activos requerirá procedimientos distintos. Así nos encontraremos con:

–Servicio: son los procesos que la organización ofrece al exterior e incluso en algunos casos, como las gestión de nóminas, internamente

–Datos e Información: son el centro del SGSI. El resto de activos darán soporte para manipularla, almacenarla, distribuirla, etc.

–Aplicaciones de Software: nos permiten tratar la información y los datos

–Equipos informáticos: en ellos se almacena la información y a través de ellos se gestiona

–Personal: es el activo principal, puesto que es el encargado de manipular la información y aplicar las normas que nos imponga el SGSI.

–Redes de Comunicación: hacen posible el movimiento de la información.

–Soportes de Información: son los soportes físicos que permiten el almacenamiento de la información.

–Equipos auxiliares: estará constituido por todos los equipos de la organización que no se han incluido en ningún otro activo, como impresosoras, equipos de climatización, etc.

–Instalaciones: este activo hace referencia a las instalaciones donde se alojan los sistemas de información. Su protección entrará dentro de la Seguridad Física, a diferencia de los otros activos que estarán dentro de la Seguridad Lógica de la Seguridad Informática.

–Activos intangibles: imagen y reputación de la empresa

Conocer cada uno de estos activos e identificarlos conociendo su ubicación, su descripción y a quién se le considera propietario, es el primer paso para poder protegerlos. Por ejemplo, el propietario del activo es quien debe definir el grado de seguridad que su activo debe poseer, porque es él quien conoce su valor para la organización. A continuación de la identificación hay que determinar si existe alguna dependencia entre ellos, puesto que si las hay la seguridad y protección de uno de los activos puede comprometer la de otros, hay por lo tanto que construir un árbol de dependencia de activos, en el que se reflejará las interdependencias entre los activos, desde los que estén más arriba en cuanto a nivel de seguridad se refiere, hasta los que estén más abajo. El siguiente paso es la determinación de la relevancia de los activos para poder determinar el nivel de seguridad que se le ha de aplicar a cada uno en función de la importancia que tenga su vulnerabilidad. Esta valoración puede realizarse atendiendo a criterios cuantitativos (por su valor económico) o atendiendo a criterios cualitativos (normalmente basado en las CID).

De la necesidad de poseer unas políticas y procedimientos utilizables por cualquier organización buscando la forma adecuada de gestionar temas relativos a la gestión de la información, nació un conjunto de estándares bajo el nombre de ISO /IEC 27000.

Las normas descritas bajo estos estándares nos van a permitirán reducir el posible impacto de los posibles riesgos a los que está sometida la información de nuestra organización sin tener que hacer grandes inversiones y sin la necesidad de contar con una amplia estructura de personal.

La ISO/IEC 27000 está formada por una familia de normas, todas las cuales hablan sobre la gestión de la información, y definen conceptos y procedimientos en relación a ello. A continuación se muestra una tabla que contiene el listado de normas que forman la familia y el título de cada una de ellas, que nos dará una idea de que parte de los Sistemas de Gestión de la Información aborda:

–ISO 27000

Gestión de la Seguridad de la Información: fundamentos y vocabulario.Incluye una visión general de todas las normas de la familia, además de recoger aquellos términos y definiciones que en ellas se emplearán.

–ISO 27001

Especificaciones para un SGSI. Se trata de la norma principal de la familia. En ella se definen los procedimientos para establecer, implementar, operar, supervisar, revisar, mantener y mejorar un SGSI. Con esta norma se certificarán las organizaciones que deseen certificar sus Sistemas de Gestión de Seguridad de la Información.

–ISO 27002

Código de Buenas Prácticas: en ella se recogen los procedimientos para asegurar los sistemas de información de una organización, describiendo distintas áreas de actuación, que incluirán distintos aspectos a asegurar dentro de cada uno y que a su vez contendrán mecanismos para asegurar los distintos aspectos a asegurar.

–ISO 27003

Guía de Implantación de un SGSI.

–ISO 27004

Sistema de Métricas e Indicadores.

–ISO 27005

Guía de Análisis y Gestión de Riesgos.

–ISO 27006

Especificaciones para Organismos Certificadores de SGSI.

–ISO 27007

Guía para auditar un SGSI.

–ISO 2701X

Guías sectoriales.

–ISO 27XXX

Futuras normas.

De todas ellas, la Norma ISO 27002 (Código de buenas prácticas para la gestión de la Seguridad de la información) es la que aquí nos ocupa y la que propone los controles a los que tenemos que someter a los activos de nuestro sistema para intentar asegurar que los riesgos a los que están sometidos se reducen al nivel que el propietario de los activos considera como aceptable, y como todos los estándares, son de aplicación voluntaria, aunque su aplicación, además de contribuir a una considerable mejora de la calidad y de la seguridad de muchos productos y servicios también facilita el mejor entendimiento entre distintas organizaciones.

Importante

En la Norma ISO 27002 se recogen los procedimientos para asegurar los sistemas de información de una organización, describiendo distintas áreas de actuación, que incluirán distintos aspectos a asegurar dentro de cada uno y que a su vez contendrán mecanismos para asegurar los distintos aspectos a asegurar.

Originalmente esta norma se publicó en el 2005 como un cambio de nombre de la norma ISO 17799, que a su vez estaba basada en un documento que el Gobierno inglés había tomado como estándar y que fue publicada como norma en el año 2000. La última revisión de la norma se produce en el 2013. Esta norma se utiliza de forma complementaría con la ISO 27001, que como vimos en la tabla anterior es la principal de la familia y la que describe los procedimientos para la implantación del Sistema de Seguridad de la Información.

Definición

Definiremos a los Sistemas de Información (cuyo aseguramiento frente a los distintos riesgos es el objeto de los controles propuestos en la Norma 27200) a los soportes de almacenamiento, redes de datos y equipos informáticos en los que reside la información que pretende proteger el SGSI.

Como comentamos anteriormente es necesario conocer los riesgos a los que están sometidos nuestros activos para poder reducirlos, o determinar cuál es el riesgo que estamos dispuestos a asumir. Para ello las organizaciones, cuando están implementando un SGSI, en su fase de planificación realizará un Análisis de Riesgo, que determinará a que amenazas están expuestos los activos que pretendemos proteger y se determinará como se gestionarán estos riesgos para minimizarlos todo lo posible.

Por lo tanto con el resultado del Análisis y Gestión de Riesgos podremos ya establecer ciertos controles que nos permitan reducir estos riesgos, y las Norma ISO27002 nos ofrecerá una guía de Buenas

Prácticas en la que se recogerán aquellas recomendaciones y controles que nos van a permitir llegar a cabo el aseguramiento de nuestros sistemas de información.

La norma define 11 categorías distintas de seguridad, en las que se engloban 39 objetivos o aspectos a asegurar en nuestros sistemas y 133 controles que nos van a permitir asegurar estos aspectos.

A continuación se detallarán en una tabla cada una de las áreas de actuación, así como los Objetivos de Control y los distintos controles que recoge la norma ISO 27002, y aunque conocer cuáles existen para tener la opción de conocerlos nunca está de más, profundizar en detalle de cada uno de estos controles escapa del ámbito de este contenido. Aun así antes de enumerar el listado de controles vamos a ver unas pinceladas de cada una de las áreas de Actuación, o categorías de seguridad, que recoge la norma:

–Política de Seguridad. Establece que se ha de generar un documento denominado Política de Seguridad de la Información, en el que se establecerán las directrices y que servirá de soporte para la seguridad de la información, teniendo siempre presente tanto la ley y la regulación vigente.

–Aspectos organizativos de la seguridad de la información. Se manejan en este área los aspectos relativos a como se debe gestionar y manejar la seguridad de la información, tanto por las personas ajenas a la organización que acceden a ella como a la organización interna.

–Gestión de activos. Se establecen en esta área los controles para la protección de los activos de la organización, para ello establece la necesidad de crear inventario de los activos, indicando su uso, su propiedad y su clasificación.

–Seguridad ligada a los recursos humanos. Nos hemos de intentar asegurar que todos las personas relacionadas con la empresa, personal interno, proveedores y otros, entiendan sus responsabilidades y sean las personas adecuadas para el puesto para minimizar en la medida de lo posible el mal uso de la información.

–Seguridad física y del entorno. Podemos diferencian entre la seguridad de los lugares donde se ubica físicamente la información y la seguridad de los equipos donde se almacena. Hay que proteger ambas.

–Gestión de comunicaciones y operaciones. La elaboración de la documentación o las copias de seguridad son dos de los aspectos que se recogen en esta área de actuación. Debemos asegurar que los medios de procesamiento de la información trabajan de forma correcta y segura.

–Control de Acceso. Se establecen en esta área los controles para evitar que se produzcan accesos no autorizados, utilizando para ello contraseñas para autenticación, registro de usuarios o gestión de privilegios.

–Adquisición, Desarrollo y mantenimiento de sistemas de información. Nuestros equipos no sólo deben ser de calidad y tener un precio adecuado, deben ser seguros, y que nos permitan hacer validaciones de los datos de entrada y salida la integridad de los mensajes utilizados. También debemos asegurar que las personas que los utilicen no tengan acceso a la modificación del softwares ni acceso al código fuente.

–Gestión de Incidentes en la seguridad de la información. Todos las incidencias que tengan lugar han de ser comunicadas, por dos motivos, para poder poner en marcha acciones correctoras y para conocer las debilidades del sistema.

–Gestión de la continuidad del negocio. Hay ocasiones en los que no se pueden evitar, ya sea por fenómenos naturales o vandalismo, que nuestros sistema informático se caiga. Cuando esto suceda hemos de tener un plan que asegure la continuidad de nuestro negocio ante tales acontecimientos o que hagan que estos puedan reanudar su funcionamiento lo antes posible.

–Cumplimiento. Esta área establece los controles para asegurar que nuestros sistemas. informáticos trabajan en el entorno legal vigente y que cuando se someten a auditorías estas interfieren lo mínimo posible en los sistemas de información.

Listado de Dominios (11), Objetivos de Control (39) y Controles (133) de la ISO/IEC 27002

1. Política de seguridad

1. Política de Seguridad de la información

›Documento de Política de seguridad de la información

›Revisión de la política de seguridad de la información

2. Aspectos organizativos de la seguridad de la información

2. Organización interna

›Compromiso de la dirección con la seguridad de la información

›Coordinación de la seguridad de la información

›Asignación de responsabilidades relativas a la seguridad de la información

›Proceso de autorización de recursos para el tratamiento de la información

›Acuerdos de confidencialidad

›Contacto de autoridades

›Contacto con grupos de especial interés

›Revisión independiente de la seguridad de la información

3. Terceros

› Identificación de los riesgos derivados de acceso de terceros

› Tratamiento de la seguridad en relación con los clientes

› Tratamiento de la seguridad en contratos con terceros

3. Gestión de activos

4. Responsabilidad sobre los activos

›Inventario de activos

›Propiedad de los activos

›Uso aceptable de los archivos

5. Clasificación de la información

›Directrices de clasificación

›Etiquetado y manipulado de la información

4. Seguridad ligada a recursos humanos

6. Antes del empleo

›Funciones y responsabilidades

›Investigación de antecedentes

›Términos y condiciones de contratación

7. Durante el empleo

›Responsabilidades de la Dirección

›Concienciación, formación y capacitación en seguridad de la información

›Proceso disciplinario

8. Cese del empleo o cambio del puesto de trabajo

›Responsabilidades del cese o cambio

›Devolución de activos

›Retirada de los derechos de acceso

5. Seguridad física y del entorno

9. Áreas seguras

›Perímetro de seguridad física

›Controles físicos de entrada

›Seguridad de oficinas, despachos e instalaciones

›Protección contra las amenazas externas y de origen ambiental

›Trabajo en áreas seguras

›Áreas de acceso público y de carga y descarga

10. Seguridad de los equipos

›Emplazamiento y protección de equipos

›Instalaciones de suministro

›Seguridad del cableado

›Mantenimiento de los equipos

›Seguridad de los equipos fuera de las instalaciones

›Reutilización o retirada de equipos

›Retirada de materiales propiedad de la empresa

6. Gestión de comunicaciones y operaciones

11. Responsabilidades y procedimientos de operación

›Documentación de los procedimientos de operación

›Gestión de cambios

›Segregación de tareas

›Separación de recursos de desarrollo, prueba y operación

12. Gestión de la provisión de servicios por terceros

›Supervisión y revisión de los servicios prestados por terceros

›Gestión del cambio en los servicios prestados por terceros

13. Planificación y aceptación del sistema

›Supervisión y revisión de los servicios prestados por terceros

›Gestión del cambio en los servicios prestados por terceros

14. Protección contra el código malicioso y descargable

›Controles contra el código malicioso

›Controles contra el código descargado en el cliente

15. Copias de seguridad

› Copias de seguridad de la información

16. Gestión de la seguridad de las redes

›Controles de red

›Seguridad de los servicios de red

17. Manipulación de los soportes

›Gestión de soportes extraíbles

›Retirada de soportes

›Procedimientos de manipulación de la información

›Seguridad de la documentación del sistema

18. Intercambio de información

›Políticas y procedimientos de intercambio de información

›Acuerdos de intercambio

›Soportes físicos en tránsito

›Mensajería electrónica

›Sistemas de información empresariales

19. Servicios de comercio electrónico

›Comercio electrónico

›Transacciones en línea

›Información públicamente disponible

20. Supervisión

›Registros de auditoría

›Supervisión del uso del sistema

›Protección de la información de los registros

›Registros de administración y operación

›Registro de fallos

›Sincronización del reloj

7. Control de acceso

21. Requisitos del negocio para el control de acceso

›Política de control de acceso

22. Gestión de acceso de usuario

›Registro de usuario

›Gestión de privilegios

›Gestión de contraseñas de usuario

›Revisión de los controles de acceso de usuario

23. Responsabilidades de usuario

›Uso de contraseñas

›Equipo de usuario desatendido

›Política de puesto de trabajo despejado y pantalla limpia

24. Control de Acceso a la Red

›Política de Uso de los servicios en red

›Autenticación de usuarios para conexiones externas

›Identificación de los equipos en las redes

›Protección de los puertos de diagnóstico y configuración remotos

›Segregación de las redes

›Control de la Conexión a Internet

›Routing de red

25. Control de Acceso al Sistema Operativo

›Procedimientos seguros de inicio de sesión

›Identificación y autenticación de usuarios

›Sistema de gestión de contraseñas

›Uso de los recursos del sistema

›Desconexión automática de sesión

›Limitación del tiempo de conexión

26. Control de Acceso a las aplicaciones y a la información

›Restricción del acceso a la información

›Aislamiento de sistemas sensibles

27. Ordenadores portátiles y teletrabajo

›Ordenadores portátiles y comunicaciones móviles

›Teletrabajo

8. Adquisición, desarrollo y mantenimiento de sistemas de información

28. Requisitos de seguridad de los Sistemas de Información

›Análisis y especificaciones de los requisitos de seguridad

29. Tratamiento correcto de las aplicaciones

›Validación de los datos de entrada

›Control de procesamiento interno

›Integridad de los mensajes

›Validación de los datos de salida

30. Controles criptográficos

›Política de uso de los controles criptográficos

›Gestión de claves

31. Seguridad de los archivos del sistema

›Control de software en explotación

›Protección de los datos de prueba del sistema

›Control de Acceso al código fuente de los programas

32. Seguridad en los procesos de desarrollo y soporte

›Procedimientos de control de cambios

›Revisión técnica de las aplicaciones tras efectuar cambios en el sistema operativo

›Restricciones a los cambios en paquetes de software

›Fugas de información

›Externalización del desarrollo del software

33. Gestión de la vulnerabilidad técnica

›Control de las vulnerabilidades técnicas

9. Gestión de incidentes en la seguridad de la información

34. Notificación de eventos y puntos débiles de seguridad de la información

›Notificación de los eventos de seguridad de la información

›Notificación de puntos débiles de seguridad

35. Gestión de incidentes y mejoras de seguridad de la información

›Responsabilidades y procedimientos

›Aprendizaje de los incidentes de seguridad de la información

›Recopilación de evidencias

10. Gestión de la continuidad del negocio

36. Aspectos de la seguridad de la información en la gestión de continuidad del negocio

›Inclusión de la seguridad de la información en el proceso de gestión de la continuidad del negocio

›Continuidad del negocio y evaluación de riesgos

›Desarrollo de implantación de planes de continuidad que incluyan la seguridad de la información

›Marco de referencia para la planificación de la continuidad del negocio

›Pruebas, mantenimiento y reevaluación de planes de continuidad

11. Cumplimiento

37. Cumplimiento de los requisitos legales

›Identificación de la legislación aplicable

›Derechos de propiedad intelectual

›Protección de los documentos de la organización

›Protección de datos y privacidad de la información de carácter personal

›Prevención del uso indebido de recursos de tratamiento de la información

›Regulación de los controles criptográficos

38. Cumplimiento de las políticas y normas de seguridad y cumplimiento técnico

›Cumplimiento de las políticas y normas de seguridad

›Comprobación del cumplimiento técnico

39. Consideraciones sobre las auditorias de los sistemas de información

›Controles de auditoria de los sistemas de información

›Protección de las herramientas de auditoria de los sistemas de información.

1.2.Metodología ITIL Librería de infraestructuras de las tecnologías de la información

Además de la ISO 27000 existen otros estándares que ayudan a las organizaciones a implementar los procedimientos y los controles adecuados para minimizar los riesgos asociados a la protección de la información y de los equipos e infraestructura que soporta dicha información. La metodología ITIL es uno de estos estándares.

Definición

El estándar o metodología ITIL (Information Technology Infraestructure Library o Librería de Infraestructuras de Tecnologías de la información) es el marco para la Gestión de Servicios de Tecnologías de la Información (TI) más ampliamente aceptado y pone a nuestra disposición un conjunto de mejores prácticas para intentar aunar los procedimientos de las Tecnologías de Información con los negocios.

En la actualidad la gran mayoría de las organizaciones basan gran o su mayoría de procesos de negocios en Sistemas de Información, y por lo tanto, su dependencia con los servicios TI es grande. La buena o mala gestión de estos servicios influye por lo tanto en los resultados de la empresa en gran medida, convirtiéndose la Gestión de los Servicios de Tecnologías de la Información en un punto decisivo en el éxito o fracaso de la organización.

¿Por qué es necesario realizar una adecuada gestión de los servicios TI?

–Porque de esta forma conseguiremos una adecuada gestión de la calidad

–Porque aumentaremos la eficiencia de nuestros sistemas

–Porque podremos alinear nuestra infraestructura de TI con los procesos inherentes a nuestro negocio

–Porque se reducirán en gran medida los riesgos que conlleva la utilización de Sistemas Informáticos

–Porque podremos generar nuevos mercados y por lo tanto, nuevos negocios.

Importante

Lo que nos propone ITIL es poner en práctica determinados procesos que nos ayudarán en el control, operación y administración de los recursos informáticos que tenemos disponibles para lograr su máxima eficiencia.

¿Cómo nos ayudará ITIL a alcanzar esa eficiencia en la gestión de los servicios TI?

–Ofreciéndonos un enfoque basado en procesos y procedimientos de los servicios TI de nuestra organización à Enfoque sistemático

–Ofreciéndonos estrategias adecuadas para gestionar de forma operativa nuestra infraestructura TI

Las personas que están capacitadas para llevar a cabo la implantación de la metodología ITIL en una organización poseen una certificación ITIL. Esta certificación es personal, el equivalente de una empresa ITIL, sería aquella que posee la certificación ISO 20.000.

Sabías qué

Actualmente hay más de un millón de profesionales de TI certificados en Metodología ITIL en todo el mundo. Existen 4 niveles de certificación ITIL: Certificación ITIL Foundation, Certificación ITIL Intermediate,, Certificación ITIL Expert y Certificación ITIL Master.

ITIL nace en los años 80’s fruto de una iniciativa del Gobierno del Reino Unido y desde entonces hasta el año 2011 en el que se publica su última versión ha ido sufriendo constantes cambios y evoluciones. Tras su nacimiento, ITIL evolucionó a ITIL V2 y posteriormente a ITIL V3. La última versión es la ITIL 2011 Edition.

ITIL nos propone por tanto, que el control, administración y operación de nuestros sistemas de información se gestionen a través de procedimientos, estructurados en diferentes bloques (o fases de vida de los servicios) y que se llevan a cabo siempre bajo el paraguas de una revisión y mejora continua de todos los procesos implicados. Precisamente en basar su estructura sobre el concepto de ciclo de vida del servicio es en lo que se centra la evolución de la Versión 3 de ITIL, en vez de en el enfoque de Provisión y Soporte al Servicio de ITIL v2.

Importante

En la metodología ITIL se denomina ciclo de vida del servicio a todas las fases por las que pasa un servicio desde su diseño hasta que se decide que no formará parte de los procedimientos de la empresa. Se compone de 5 fases que se retroalimentan entre sí en un proceso cíclico y cada uno de estas fases engloba unos procesos determinados.

Las Fases del Ciclo de Vida del Servicio son:

–Estrategia del servicio, donde se definirán los servicios que se van a prestar en la organización, a que clientes y en que mercados. Se intenta que la gestión de servicios no sea sólo una capacidad de la organización, sino que esta se convierta en un activo estratégico.

–Diseño del servicio, donde se crearán los servicios nuevos o se