MF0490_3 - Gestión de servicios en el sistema informático
()
Información de este libro electrónico
Se analizará los procesos del sistema con objeto de asegurar un rendimiento adecuado a los parámetros especificados en el plan de explotación.
Se aplicará procedimientos de administración a dispositivos de almacenamiento para ofrecer al usuario un sistema de registro de la información íntegro, seguro y disponible.
Se administrará el acceso al sistema y a los recursos para verificar el uso adecuado y seguro de los mismos.
Se evaluará el uso y rendimiento de los servicios de comunicaciones para mantenerlos dentro de los parámetros especificados.
Tema 1. Gestión de la Seguridad y Normativas.
1.1. Norma ISO 27002 Código de buenas prácticas para la gestión de la seguridad de la información
1.2. Metodología ITIL Librería de infraestructuras de las tecnologías de la información
1.3. Ley Orgánica de Protección de Datos de carácter personal
1.4. Normativas más frecuentemente utilizadas para la gestión de la seguridad física
Tema 2. Análisis de los Procesos de los Sistemas.
2.1. Identificación de procesos de negocio soportados por sistemas de información
2.2. Características fundamentales de los procesos electrónicos
2.3. Determinación de los sistemas de información que soportan los procesos de negocio y los activos y servicios utilizados por los mismos
2.4. Análisis de las funcionalidades de sistema operativo para la monitorización de los procesos y servicios
2.5. Técnicas utilizadas para la gestión del consumo de recursos
Tema 3. Demostración de Sistemas de Almacenamiento.
3.1. Tipos de dispositivos de almacenamiento más frecuentes
3.2. Características de los sistemas de archivo disponibles
3.3. Organización y estructura general de almacenamiento
3.4. Herramientas del sistema para gestión de dispositivos de almacenamiento
Tema 4. Utilización de Métricas e Indicadores de Monitorización de Rendimiento de Sistemas.
4.1. Criterios para establecer el marco general de uso de métricas e indicadores para la monitorización de los sistemas de información
4.2. Identificación de los objetos para los cuales es necesario obtener indicadores
4.3. Aspectos a definir para la selección y definición de indicadores
4.4. Establecimiento de los umbrales de rendimiento de los sistemas de información
4.5. Recolección y análisis de los datos aportados por los indicadores
4.6. Consolidación de indicadores bajo un cuadro de mando de rendimiento de sistemas de información unificado
Tema 5. Confección del Proceso de Monitorización y Comunicaciones.
5.1. Identificación de los dispositivos de comunicaciones
5.2. Análisis de los protocolos y servicios de comunicaciones
5.3. Principales parámetros de configuración de funcionamiento de los equipos de comunicaciones
5.4. Procesos de monitorización y respuesta
5.5. Herramientas de monitorización de uso de puertos y servicios tipo Sniffer
5.6. Herramientas de monitorización de uso de sistemas y servicios tipo Hobbit, Nagios o Cacti
5.7. Sistemas de gestión de información y eventos de seguridad (SIM/SEM)
5.8. Gestión de registros de elementos de red y filtrado (router, switches, firewall, IDS/IPS, etc.)
Tema 6. Selección del Sistema de Registro de en Función de los Requerimientos de la Organización.
6.1. Determinación del nivel de registros necesarios, los periodos de retención y las necesidades de almacenamiento
6.2. Análisis de los requerimientos legales en referencia al registro
6.3. Selección de medidas de salvaguarda para cubrir los requerimientos de seguridad del sistema de registros
6.4. Asignación de responsabilidades para la gestión del riesgo
6.5. Alternativas de almacenamiento para los registros del sistema y sus características de rendimiento, escalabilidad, confidencialidad, integridad y disponibilidad
6.6. Guía para la selección del sistema de almacenamiento y custodia de los registros
Tema 7. Administración del Control de Accesos Adecuados de los Sistemas de Información.
7.1. Análisis de los requer
Lee más de María Victoria Pequeño Collado
UF1882 - Instalación de sistemas operativos y gestores de datos en sistemas ERP-CRM Calificación: 0 de 5 estrellas0 calificacionesUF1884 - Almacenamiento de datos en sistemas ERP-CRM Calificación: 0 de 5 estrellas0 calificacionesUF1887 - Operaciones de seguridad en sistemas ERP-CRM y almacén de datos Calificación: 0 de 5 estrellas0 calificacionesUF1888 - Operaciones de mantenimiento y consulta de datos Calificación: 0 de 5 estrellas0 calificaciones
Relacionado con MF0490_3 - Gestión de servicios en el sistema informático
Libros electrónicos relacionados
Nueve pasos para el éxito: Una visión de conjunto para la aplicación de la ISO 27001:2013 Calificación: 5 de 5 estrellas5/5Auditorías y continuidad de negocio. IFCT0510 Calificación: 0 de 5 estrellas0 calificacionesUF1643 - Gestión y control de los sistemas de Información Calificación: 0 de 5 estrellas0 calificacionesUF1348 - Monitorización y resolución de incidencias en la interconexión de redes privadas con redes públicas Calificación: 0 de 5 estrellas0 calificacionesISO27001/ISO27002: Una guía de bolsillo Calificación: 4 de 5 estrellas4/5Gestionar el crecimiento y las condiciones ambientales. IFCT0510 Calificación: 0 de 5 estrellas0 calificacionesSeguridad en equipos informáticos. IFCT0109 Calificación: 0 de 5 estrellas0 calificacionesDISEÑO Y GESTIÓN DE INTRANETS Calificación: 0 de 5 estrellas0 calificacionesSeguridad Informática, básico Calificación: 5 de 5 estrellas5/5Desarrollo del proyecto de la red telemática. IFCT0410 Calificación: 0 de 5 estrellas0 calificacionesUF1890 - Desarrollo de componente software y consultas dentro del sistema de almacén de datos Calificación: 0 de 5 estrellas0 calificacionesOperaciones Auxiliares de Mantenimiento de Sistemas Microinformáticos (MF1208_1) Calificación: 0 de 5 estrellas0 calificacionesResolución de incidencias en redes telemáticas. IFCT0410 Calificación: 0 de 5 estrellas0 calificacionesModelo para el gobierno de las TIC basado en las normas ISO Calificación: 5 de 5 estrellas5/5Auditoría de seguridad informática. IFCT0109 Calificación: 5 de 5 estrellas5/5Enciclopedia de la Seguridad Informática. 2ª Edición: SEGURIDAD INFORMÁTICA Calificación: 4 de 5 estrellas4/5Mantenimiento del software. IFCT0510 Calificación: 0 de 5 estrellas0 calificacionesUF1880 - Gestión de redes telemáticas Calificación: 0 de 5 estrellas0 calificacionesAdministración y auditoría de los servicios web. IFCT0509 Calificación: 0 de 5 estrellas0 calificacionesUF1466 - Sistemas de almacenamiento Calificación: 0 de 5 estrellas0 calificacionesMF1209_1 - Operaciones auxiliares con tecnologías de la información y la comunicación Calificación: 0 de 5 estrellas0 calificacionesUF1271 - Instalación y configuración del software de servidor web Calificación: 0 de 5 estrellas0 calificacionesOperaciones auxiliares con Tecnologías de la Información y la Comunicación. IFCT0108 Calificación: 0 de 5 estrellas0 calificacionesCiberseguridad para directivos: Riesgos, control y eficiencia de las tecnologías de la Información Calificación: 0 de 5 estrellas0 calificacionesAdministración y seguridad: En redes de computadoras Calificación: 0 de 5 estrellas0 calificacionesUF1470 - Administración y monitorización de los SGBD instalados Calificación: 0 de 5 estrellas0 calificacionesUF2218 - Desarrollo de un CMS Calificación: 0 de 5 estrellas0 calificacionesUF1473 - Salvaguarda y seguridad de los datos Calificación: 0 de 5 estrellas0 calificacionesUF1885 - Administración del sistema operativo en sistemas ERP-CRM Calificación: 0 de 5 estrellas0 calificacionesSeguridad en Bases de Datos y Aplicaciones Web Calificación: 5 de 5 estrellas5/5
Negocios para usted
Colección De Hábitos. 97 Pequeños Cambios De Vida Que Toman 5 Minutos O Menos. Calificación: 4 de 5 estrellas4/5El año de 12 semanas: Logra en 12 semanas lo que otros hacen en 12 meses Calificación: 5 de 5 estrellas5/5Padre Rico, Padre Pobre de Robert Kiyosaki (Análisis de la obra): La riqueza al alcance de todos Calificación: 4 de 5 estrellas4/5Frases que Venden: Descubre cómo promocionar tus productos, atraer clientes y cerrar las ventas Calificación: 4 de 5 estrellas4/5Ideas que pegan (2ª Edición): Por qué algunas ideas sobreviven y otras mueren Calificación: 5 de 5 estrellas5/5Planeación estratégica. Fundamentos y casos Calificación: 4 de 5 estrellas4/5Secretos judíos del dinero Calificación: 4 de 5 estrellas4/5Rica mente: El juego interior de la riqueza Calificación: 5 de 5 estrellas5/523 Hábitos Anti-Procrastinación Cómo Dejar De Ser Perezoso Y Tener Resultados En Tu Vida. Calificación: 4 de 5 estrellas4/5Administración-Fundamentos: Cómo iniciarse en el estudió de la administración Calificación: 5 de 5 estrellas5/5Libertad financiera: Los cinco pasos para que el dinero deje de ser un problema Calificación: 5 de 5 estrellas5/5Resumen de El poder del hábito de Charles Duhigg Calificación: 5 de 5 estrellas5/5Las 21 leyes irrefutables del liderazgo, cuaderno de ejercicios: Revisado y actualizado Calificación: 4 de 5 estrellas4/5El secreto de los grandes empresarios Calificación: 4 de 5 estrellas4/5Enfócate en resultados: Alto rendimiento para la vida y el trabajo Calificación: 4 de 5 estrellas4/5Cómo tratar con gente difícil Calificación: 4 de 5 estrellas4/5Cómo Invertir En El Mercado De Valores Para Principiantes Calificación: 4 de 5 estrellas4/5Detalles que enamoran: Cómo derretir a los clientes para que no quieran comprarle a nadie más Calificación: 5 de 5 estrellas5/5MBA: Guía visual. Todo lo que aprendí en dos años en la escuela de negocios Calificación: 5 de 5 estrellas5/5Sistema de Indicadores de Gestión Calificación: 4 de 5 estrellas4/5Libertad, libertad, libertad: Para romper las cadenas que no nos dejan crecer Calificación: 3 de 5 estrellas3/5PLAN DE NEGOCIOS Calificación: 4 de 5 estrellas4/5Secretos para cerrar la venta Calificación: 5 de 5 estrellas5/5Aprende a pensar como un gurú: Las 10 fuerzas del pensamiento crítico Calificación: 4 de 5 estrellas4/5
Comentarios para MF0490_3 - Gestión de servicios en el sistema informático
0 clasificaciones0 comentarios
Vista previa del libro
MF0490_3 - Gestión de servicios en el sistema informático - María Victoria Pequeño Collado
1.1. Norma ISO 27002 Código de buenas prácticas para la gestión de la seguridad de la información
1.2. Metodología ITIL Librería de infraestructuras de las tecnologías de la información
1.3. Ley orgánica de Protección de datos de carácter personal
1.4. Normativas más frecuentemente utilizadas para la gestión de la seguridad física
1.1.Norma ISO 27002 Código de buenas prácticas para la gestión de la seguridad de la información
La Información es poder
¿Cuántas veces no hemos escuchado esta frase? Fue ya hace unos años, con la aparición de las nuevas tecnologías, cuando se empezó a hablar de Sociedad de la Información. Tener la opción de adquirir información y poder transmitirla de una forma eficaz y eficiente revolucionó a la sociedad y la manera de hacer las cosas. Y la cosa no se quedó ahí, este concepto evolucionó hasta la idea de Sociedad del Conocimiento actual, donde no sólo es importante la adquisición y transmisión de la información, sino aún lo es más la capacidad para transformarla y utilizarla.
Importante
En este contexto, la accesibilidad y disponibilidad de la Información, se ha convertido para las empresas tanto en su mayor activo como en su mayor riesgo. Una empresa manejará muchísima información, independientemente del formato o del tipo del que esta sea, que es lo que le aporta realmente valor a la misma, diferenciándola de las demás y ayudándola a conseguir sus objetivos, y que por lo tanto, deberá proteger al máximo para hacerla lo menos vulnerable posible a cualquier amenaza, tanto interna como externa, que pueda poner en peligro la integridad de la misma.
Al final, toda empresa y organización comparten un proceso común para la consecución de sus objetivos: ciertos datos de entrada procesados de cierta forma dan como resultado una información que se convierten en el principal activo de la organización y que hay que mantener integra, disponible y de forma confidencial para asegurar una posición competitiva frente al resto de empresas, que a su vez no haga obtener la rentabilidad necesaria y de manera que cumplamos la normativa legal al respecto.
Y es precisamente el desarrollo creciente de las nuevas tecnologías el que hace que el riesgo de amenazas para la información de las organizaciones esté creciendo de forma exponencial, dado que estas aprovecharán cualquier vulnerabilidad para acceder a nuestra información, pudiendo dar lugar a fraude, actos de vandalismo informático e incluso espionaje industrial, con las pérdidas de rentabilidad y de posicionamiento en las que esto puede derivar.
Es por ello fundamental proteger la información, porque no sólo con actos intencionados podemos vulnerarla, si no que actuaciones involuntarias también pueden alterarla y hacerla accesible, y para ello actualmente contamos con una herramienta de gran utilidad y ayuda en la gestión de cualquier organización, los Sistemas de Gestión de la Seguridad de la Información (SGSI).
Definición
El Sistemas de Gestión de la Seguridad de la Información (SGSI) es una herramienta que nos va a permitir conocer, gestionar y minimizar los riesgos que amenacen la seguridad de la información dentro de nuestra organización. Esto debe hacerse mediante un proceso sistemático, documentado y conocido por toda la organización y es este proceso el que constituye el SGSI.
Su fin último es proteger a las organizaciones frente a posibles amenazas que pongan en riesgo su viabilidad y rentabilidad y hacerlo dentro de la legalidad.
En definitiva, hacer que el riesgo al que está sometido la información de las organizaciones se sitúe por debajo del nivel que la propia organización estime como asumible.
El Sistema de Gestión de la Seguridad de la Información implantado nos deberá permitir:
–Analizar y Ordenar nuestros sistemas de información
–Definir los procesos de trabajo
–Medir la eficacia de las medidas tomadas para minimizar los riesgos.
¿Y cuál es la razón para que la gestión de la seguridad de la información se realice mediante procesos? Simplemente que los medios técnicos no son capaces por si solos, ya que técnicamente es imposible, de garantizar un nivel de seguridad tal que satisfaga todas las necesidades de la organización. Para llevar a cabo una gestión lo más eficiente posible de la seguridad todos los miembros de la organización, así como clientes o proveedores externos a ella deben colaborar, participar e involucrarse en el proceso y esto sólo es posible si el procedimiento a seguir para saber cómo actuar y que está o no está permitido es conocido y participado por todos los actores que participan en el proceso.
Sabías qué
ISMS (Information Security Management System) son las siglas que se utilizan en inglés para definir a los Sistemas de Gestión de la Seguridad de la Información, por lo que te encontrarás este término en mucha bibliografía o documentación que verse sobre este tema.
La información que intenta proteger el SGSI es de muy diversa índole, puede tratarse de correos electrónicos, imágenes, bases de datos de clientes, páginas web, contratos, documentación técnica, listados , Curriculum Vitae del personal, etc., y puede llegar desde distintas fuentes, tanto externas como internas a la organización. Así mismo, para definir el sistema, también tenemos que tener en cuenta que la información puede estar soportada por distintos medios, ya sea papel u otros medios digitales.
Conocer el ciclo de vida de la información también es importante, porque nos permitirá definir cuál es la importancia de la información en cada momento (algo que ahora es muy importante y primordial proteger quizá no lo es tanto en otro momento de su ciclo de vida). Normalmente, es el que se detalla en la figura adjunta:
La información se crea, se guarda, se utiliza, se comparte, se archiva y se destruye y el SGSI nos marcará los procedimientos y políticas que nos garanticen que durante todas estas etapas la confidencialidad, integridad y disponibilidad de la información se mantenga minimizando al máximo los riesgos de seguridad:
–Confidencialidad: se dará siempre que la información no sea puesta a disposición ni sea revelada a aquellas personas físicas, o procesos, que no estén autorizados para poseerla.
–Integridad: una información será integra cuando mantenga a lo largo de todo su ciclo de vida la exactitud y la plenitud de su inicio.
–Disponibilidad: la información debe estar disponible siempre que sea requerida por un usuario que tenga autorizado el acceso a ella.
Importante
Estos parámetros (confidencialidad, integridad y disponibilidad) son los parámetros básicos de la seguridad de la información, y para identificarlos se utiliza el acrónimo CID.
Recuerda
La información que le resulta imprescindible a la empresa para su funcionamiento se denomina activo de seguridad de la información, y su protección es el principal objetivo de un SGSI.
En función de la naturaleza de esta información podemos dividir estos activos de la Seguridad de la Información en varios grupos, la forma de proteger unos u otros activos requerirá procedimientos distintos. Así nos encontraremos con:
–Servicio: son los procesos que la organización ofrece al exterior e incluso en algunos casos, como las gestión de nóminas, internamente
–Datos e Información: son el centro del SGSI. El resto de activos darán soporte para manipularla, almacenarla, distribuirla, etc.
–Aplicaciones de Software: nos permiten tratar la información y los datos
–Equipos informáticos: en ellos se almacena la información y a través de ellos se gestiona
–Personal: es el activo principal, puesto que es el encargado de manipular la información y aplicar las normas que nos imponga el SGSI.
–Redes de Comunicación: hacen posible el movimiento de la información.
–Soportes de Información: son los soportes físicos que permiten el almacenamiento de la información.
–Equipos auxiliares: estará constituido por todos los equipos de la organización que no se han incluido en ningún otro activo, como impresosoras, equipos de climatización, etc.
–Instalaciones: este activo hace referencia a las instalaciones donde se alojan los sistemas de información. Su protección entrará dentro de la Seguridad Física, a diferencia de los otros activos que estarán dentro de la Seguridad Lógica de la Seguridad Informática.
–Activos intangibles: imagen y reputación de la empresa
Conocer cada uno de estos activos e identificarlos conociendo su ubicación, su descripción y a quién se le considera propietario, es el primer paso para poder protegerlos. Por ejemplo, el propietario del activo es quien debe definir el grado de seguridad que su activo debe poseer, porque es él quien conoce su valor para la organización. A continuación de la identificación hay que determinar si existe alguna dependencia entre ellos, puesto que si las hay la seguridad y protección de uno de los activos puede comprometer la de otros, hay por lo tanto que construir un árbol de dependencia de activos, en el que se reflejará las interdependencias entre los activos, desde los que estén más arriba en cuanto a nivel de seguridad se refiere, hasta los que estén más abajo. El siguiente paso es la determinación de la relevancia de los activos para poder determinar el nivel de seguridad que se le ha de aplicar a cada uno en función de la importancia que tenga su vulnerabilidad. Esta valoración puede realizarse atendiendo a criterios cuantitativos (por su valor económico) o atendiendo a criterios cualitativos (normalmente basado en las CID).
De la necesidad de poseer unas políticas y procedimientos utilizables por cualquier organización buscando la forma adecuada de gestionar temas relativos a la gestión de la información, nació un conjunto de estándares bajo el nombre de ISO /IEC 27000.
Las normas descritas bajo estos estándares nos van a permitirán reducir el posible impacto de los posibles riesgos a los que está sometida la información de nuestra organización sin tener que hacer grandes inversiones y sin la necesidad de contar con una amplia estructura de personal.
La ISO/IEC 27000 está formada por una familia de normas, todas las cuales hablan sobre la gestión de la información, y definen conceptos y procedimientos en relación a ello. A continuación se muestra una tabla que contiene el listado de normas que forman la familia y el título de cada una de ellas, que nos dará una idea de que parte de los Sistemas de Gestión de la Información aborda:
–ISO 27000
Gestión de la Seguridad de la Información: fundamentos y vocabulario.Incluye una visión general de todas las normas de la familia, además de recoger aquellos términos y definiciones que en ellas se emplearán.
–ISO 27001
Especificaciones para un SGSI. Se trata de la norma principal de la familia. En ella se definen los procedimientos para establecer, implementar, operar, supervisar, revisar, mantener y mejorar un SGSI. Con esta norma se certificarán las organizaciones que deseen certificar sus Sistemas de Gestión de Seguridad de la Información.
–ISO 27002
Código de Buenas Prácticas: en ella se recogen los procedimientos para asegurar los sistemas de información de una organización, describiendo distintas áreas de actuación, que incluirán distintos aspectos a asegurar dentro de cada uno y que a su vez contendrán mecanismos para asegurar los distintos aspectos a asegurar.
–ISO 27003
Guía de Implantación de un SGSI.
–ISO 27004
Sistema de Métricas e Indicadores.
–ISO 27005
Guía de Análisis y Gestión de Riesgos.
–ISO 27006
Especificaciones para Organismos Certificadores de SGSI.
–ISO 27007
Guía para auditar un SGSI.
–ISO 2701X
Guías sectoriales.
–ISO 27XXX
Futuras normas.
De todas ellas, la Norma ISO 27002 (Código de buenas prácticas para la gestión de la Seguridad de la información) es la que aquí nos ocupa y la que propone los controles a los que tenemos que someter a los activos de nuestro sistema para intentar asegurar que los riesgos a los que están sometidos se reducen al nivel que el propietario de los activos considera como aceptable, y como todos los estándares, son de aplicación voluntaria, aunque su aplicación, además de contribuir a una considerable mejora de la calidad y de la seguridad de muchos productos y servicios también facilita el mejor entendimiento entre distintas organizaciones.
Importante
En la Norma ISO 27002 se recogen los procedimientos para asegurar los sistemas de información de una organización, describiendo distintas áreas de actuación, que incluirán distintos aspectos a asegurar dentro de cada uno y que a su vez contendrán mecanismos para asegurar los distintos aspectos a asegurar.
Originalmente esta norma se publicó en el 2005 como un cambio de nombre de la norma ISO 17799, que a su vez estaba basada en un documento que el Gobierno inglés había tomado como estándar y que fue publicada como norma en el año 2000. La última revisión de la norma se produce en el 2013. Esta norma se utiliza de forma complementaría con la ISO 27001, que como vimos en la tabla anterior es la principal de la familia y la que describe los procedimientos para la implantación del Sistema de Seguridad de la Información.
Definición
Definiremos a los Sistemas de Información (cuyo aseguramiento frente a los distintos riesgos es el objeto de los controles propuestos en la Norma 27200) a los soportes de almacenamiento, redes de datos y equipos informáticos en los que reside la información que pretende proteger el SGSI.
Como comentamos anteriormente es necesario conocer los riesgos a los que están sometidos nuestros activos para poder reducirlos, o determinar cuál es el riesgo que estamos dispuestos a asumir. Para ello las organizaciones, cuando están implementando un SGSI, en su fase de planificación realizará un Análisis de Riesgo, que determinará a que amenazas están expuestos los activos que pretendemos proteger y se determinará como se gestionarán estos riesgos para minimizarlos todo lo posible.
Por lo tanto con el resultado del Análisis y Gestión de Riesgos podremos ya establecer ciertos controles que nos permitan reducir estos riesgos, y las Norma ISO27002 nos ofrecerá una guía de Buenas
Prácticas en la que se recogerán aquellas recomendaciones y controles que nos van a permitir llegar a cabo el aseguramiento de nuestros sistemas de información.
La norma define 11 categorías distintas de seguridad, en las que se engloban 39 objetivos o aspectos a asegurar en nuestros sistemas y 133 controles que nos van a permitir asegurar estos aspectos.
A continuación se detallarán en una tabla cada una de las áreas de actuación, así como los Objetivos de Control y los distintos controles que recoge la norma ISO 27002, y aunque conocer cuáles existen para tener la opción de conocerlos nunca está de más, profundizar en detalle de cada uno de estos controles escapa del ámbito de este contenido. Aun así antes de enumerar el listado de controles vamos a ver unas pinceladas de cada una de las áreas de Actuación, o categorías de seguridad, que recoge la norma:
–Política de Seguridad. Establece que se ha de generar un documento denominado Política de Seguridad de la Información, en el que se establecerán las directrices y que servirá de soporte para la seguridad de la información, teniendo siempre presente tanto la ley y la regulación vigente.
–Aspectos organizativos de la seguridad de la información. Se manejan en este área los aspectos relativos a como se debe gestionar y manejar la seguridad de la información, tanto por las personas ajenas a la organización que acceden a ella como a la organización interna.
–Gestión de activos. Se establecen en esta área los controles para la protección de los activos de la organización, para ello establece la necesidad de crear inventario de los activos, indicando su uso, su propiedad y su clasificación.
–Seguridad ligada a los recursos humanos. Nos hemos de intentar asegurar que todos las personas relacionadas con la empresa, personal interno, proveedores y otros, entiendan sus responsabilidades y sean las personas adecuadas para el puesto para minimizar en la medida de lo posible el mal uso de la información.
–Seguridad física y del entorno. Podemos diferencian entre la seguridad de los lugares donde se ubica físicamente la información y la seguridad de los equipos donde se almacena. Hay que proteger ambas.
–Gestión de comunicaciones y operaciones. La elaboración de la documentación o las copias de seguridad son dos de los aspectos que se recogen en esta área de actuación. Debemos asegurar que los medios de procesamiento de la información trabajan de forma correcta y segura.
–Control de Acceso. Se establecen en esta área los controles para evitar que se produzcan accesos no autorizados, utilizando para ello contraseñas para autenticación, registro de usuarios o gestión de privilegios.
–Adquisición, Desarrollo y mantenimiento de sistemas de información. Nuestros equipos no sólo deben ser de calidad y tener un precio adecuado, deben ser seguros, y que nos permitan hacer validaciones de los datos de entrada y salida la integridad de los mensajes utilizados. También debemos asegurar que las personas que los utilicen no tengan acceso a la modificación del softwares ni acceso al código fuente.
–Gestión de Incidentes en la seguridad de la información. Todos las incidencias que tengan lugar han de ser comunicadas, por dos motivos, para poder poner en marcha acciones correctoras y para conocer las debilidades del sistema.
–Gestión de la continuidad del negocio. Hay ocasiones en los que no se pueden evitar, ya sea por fenómenos naturales o vandalismo, que nuestros sistema informático se caiga. Cuando esto suceda hemos de tener un plan que asegure la continuidad de nuestro negocio ante tales acontecimientos o que hagan que estos puedan reanudar su funcionamiento lo antes posible.
–Cumplimiento. Esta área establece los controles para asegurar que nuestros sistemas. informáticos trabajan en el entorno legal vigente y que cuando se someten a auditorías estas interfieren lo mínimo posible en los sistemas de información.
Listado de Dominios (11), Objetivos de Control (39) y Controles (133) de la ISO/IEC 27002
1. Política de seguridad
1. Política de Seguridad de la información
›Documento de Política de seguridad de la información
›Revisión de la política de seguridad de la información
2. Aspectos organizativos de la seguridad de la información
2. Organización interna
›Compromiso de la dirección con la seguridad de la información
›Coordinación de la seguridad de la información
›Asignación de responsabilidades relativas a la seguridad de la información
›Proceso de autorización de recursos para el tratamiento de la información
›Acuerdos de confidencialidad
›Contacto de autoridades
›Contacto con grupos de especial interés
›Revisión independiente de la seguridad de la información
3. Terceros
› Identificación de los riesgos derivados de acceso de terceros
› Tratamiento de la seguridad en relación con los clientes
› Tratamiento de la seguridad en contratos con terceros
3. Gestión de activos
4. Responsabilidad sobre los activos
›Inventario de activos
›Propiedad de los activos
›Uso aceptable de los archivos
5. Clasificación de la información
›Directrices de clasificación
›Etiquetado y manipulado de la información
4. Seguridad ligada a recursos humanos
6. Antes del empleo
›Funciones y responsabilidades
›Investigación de antecedentes
›Términos y condiciones de contratación
7. Durante el empleo
›Responsabilidades de la Dirección
›Concienciación, formación y capacitación en seguridad de la información
›Proceso disciplinario
8. Cese del empleo o cambio del puesto de trabajo
›Responsabilidades del cese o cambio
›Devolución de activos
›Retirada de los derechos de acceso
5. Seguridad física y del entorno
9. Áreas seguras
›Perímetro de seguridad física
›Controles físicos de entrada
›Seguridad de oficinas, despachos e instalaciones
›Protección contra las amenazas externas y de origen ambiental
›Trabajo en áreas seguras
›Áreas de acceso público y de carga y descarga
10. Seguridad de los equipos
›Emplazamiento y protección de equipos
›Instalaciones de suministro
›Seguridad del cableado
›Mantenimiento de los equipos
›Seguridad de los equipos fuera de las instalaciones
›Reutilización o retirada de equipos
›Retirada de materiales propiedad de la empresa
6. Gestión de comunicaciones y operaciones
11. Responsabilidades y procedimientos de operación
›Documentación de los procedimientos de operación
›Gestión de cambios
›Segregación de tareas
›Separación de recursos de desarrollo, prueba y operación
12. Gestión de la provisión de servicios por terceros
›Supervisión y revisión de los servicios prestados por terceros
›Gestión del cambio en los servicios prestados por terceros
13. Planificación y aceptación del sistema
›Supervisión y revisión de los servicios prestados por terceros
›Gestión del cambio en los servicios prestados por terceros
14. Protección contra el código malicioso y descargable
›Controles contra el código malicioso
›Controles contra el código descargado en el cliente
15. Copias de seguridad
› Copias de seguridad de la información
16. Gestión de la seguridad de las redes
›Controles de red
›Seguridad de los servicios de red
17. Manipulación de los soportes
›Gestión de soportes extraíbles
›Retirada de soportes
›Procedimientos de manipulación de la información
›Seguridad de la documentación del sistema
18. Intercambio de información
›Políticas y procedimientos de intercambio de información
›Acuerdos de intercambio
›Soportes físicos en tránsito
›Mensajería electrónica
›Sistemas de información empresariales
19. Servicios de comercio electrónico
›Comercio electrónico
›Transacciones en línea
›Información públicamente disponible
20. Supervisión
›Registros de auditoría
›Supervisión del uso del sistema
›Protección de la información de los registros
›Registros de administración y operación
›Registro de fallos
›Sincronización del reloj
7. Control de acceso
21. Requisitos del negocio para el control de acceso
›Política de control de acceso
22. Gestión de acceso de usuario
›Registro de usuario
›Gestión de privilegios
›Gestión de contraseñas de usuario
›Revisión de los controles de acceso de usuario
23. Responsabilidades de usuario
›Uso de contraseñas
›Equipo de usuario desatendido
›Política de puesto de trabajo despejado y pantalla limpia
24. Control de Acceso a la Red
›Política de Uso de los servicios en red
›Autenticación de usuarios para conexiones externas
›Identificación de los equipos en las redes
›Protección de los puertos de diagnóstico y configuración remotos
›Segregación de las redes
›Control de la Conexión a Internet
›Routing de red
25. Control de Acceso al Sistema Operativo
›Procedimientos seguros de inicio de sesión
›Identificación y autenticación de usuarios
›Sistema de gestión de contraseñas
›Uso de los recursos del sistema
›Desconexión automática de sesión
›Limitación del tiempo de conexión
26. Control de Acceso a las aplicaciones y a la información
›Restricción del acceso a la información
›Aislamiento de sistemas sensibles
27. Ordenadores portátiles y teletrabajo
›Ordenadores portátiles y comunicaciones móviles
›Teletrabajo
8. Adquisición, desarrollo y mantenimiento de sistemas de información
28. Requisitos de seguridad de los Sistemas de Información
›Análisis y especificaciones de los requisitos de seguridad
29. Tratamiento correcto de las aplicaciones
›Validación de los datos de entrada
›Control de procesamiento interno
›Integridad de los mensajes
›Validación de los datos de salida
30. Controles criptográficos
›Política de uso de los controles criptográficos
›Gestión de claves
31. Seguridad de los archivos del sistema
›Control de software en explotación
›Protección de los datos de prueba del sistema
›Control de Acceso al código fuente de los programas
32. Seguridad en los procesos de desarrollo y soporte
›Procedimientos de control de cambios
›Revisión técnica de las aplicaciones tras efectuar cambios en el sistema operativo
›Restricciones a los cambios en paquetes de software
›Fugas de información
›Externalización del desarrollo del software
33. Gestión de la vulnerabilidad técnica
›Control de las vulnerabilidades técnicas
9. Gestión de incidentes en la seguridad de la información
34. Notificación de eventos y puntos débiles de seguridad de la información
›Notificación de los eventos de seguridad de la información
›Notificación de puntos débiles de seguridad
35. Gestión de incidentes y mejoras de seguridad de la información
›Responsabilidades y procedimientos
›Aprendizaje de los incidentes de seguridad de la información
›Recopilación de evidencias
10. Gestión de la continuidad del negocio
36. Aspectos de la seguridad de la información en la gestión de continuidad del negocio
›Inclusión de la seguridad de la información en el proceso de gestión de la continuidad del negocio
›Continuidad del negocio y evaluación de riesgos
›Desarrollo de implantación de planes de continuidad que incluyan la seguridad de la información
›Marco de referencia para la planificación de la continuidad del negocio
›Pruebas, mantenimiento y reevaluación de planes de continuidad
11. Cumplimiento
37. Cumplimiento de los requisitos legales
›Identificación de la legislación aplicable
›Derechos de propiedad intelectual
›Protección de los documentos de la organización
›Protección de datos y privacidad de la información de carácter personal
›Prevención del uso indebido de recursos de tratamiento de la información
›Regulación de los controles criptográficos
38. Cumplimiento de las políticas y normas de seguridad y cumplimiento técnico
›Cumplimiento de las políticas y normas de seguridad
›Comprobación del cumplimiento técnico
39. Consideraciones sobre las auditorias de los sistemas de información
›Controles de auditoria de los sistemas de información
›Protección de las herramientas de auditoria de los sistemas de información.
1.2.Metodología ITIL Librería de infraestructuras de las tecnologías de la información
Además de la ISO 27000 existen otros estándares que ayudan a las organizaciones a implementar los procedimientos y los controles adecuados para minimizar los riesgos asociados a la protección de la información y de los equipos e infraestructura que soporta dicha información. La metodología ITIL es uno de estos estándares.
Definición
El estándar o metodología ITIL (Information Technology Infraestructure Library o Librería de Infraestructuras de Tecnologías de la información) es el marco para la Gestión de Servicios de Tecnologías de la Información (TI) más ampliamente aceptado y pone a nuestra disposición un conjunto de mejores prácticas para intentar aunar los procedimientos de las Tecnologías de Información con los negocios.
En la actualidad la gran mayoría de las organizaciones basan gran o su mayoría de procesos de negocios en Sistemas de Información, y por lo tanto, su dependencia con los servicios TI es grande. La buena o mala gestión de estos servicios influye por lo tanto en los resultados de la empresa en gran medida, convirtiéndose la Gestión de los Servicios de Tecnologías de la Información en un punto decisivo en el éxito o fracaso de la organización.
¿Por qué es necesario realizar una adecuada gestión de los servicios TI?
–Porque de esta forma conseguiremos una adecuada gestión de la calidad
–Porque aumentaremos la eficiencia de nuestros sistemas
–Porque podremos alinear nuestra infraestructura de TI con los procesos inherentes a nuestro negocio
–Porque se reducirán en gran medida los riesgos que conlleva la utilización de Sistemas Informáticos
–Porque podremos generar nuevos mercados y por lo tanto, nuevos negocios.
Importante
Lo que nos propone ITIL es poner en práctica determinados procesos que nos ayudarán en el control, operación y administración de los recursos informáticos que tenemos disponibles para lograr su máxima eficiencia.
¿Cómo nos ayudará ITIL a alcanzar esa eficiencia en la gestión de los servicios TI?
–Ofreciéndonos un enfoque basado en procesos y procedimientos de los servicios TI de nuestra organización à Enfoque sistemático
–Ofreciéndonos estrategias adecuadas para gestionar de forma operativa nuestra infraestructura TI
Las personas que están capacitadas para llevar a cabo la implantación de la metodología ITIL en una organización poseen una certificación ITIL. Esta certificación es personal, el equivalente de una empresa ITIL
, sería aquella que posee la certificación ISO 20.000.
Sabías qué
Actualmente hay más de un millón de profesionales de TI certificados en Metodología ITIL en todo el mundo. Existen 4 niveles de certificación ITIL: Certificación ITIL Foundation, Certificación ITIL Intermediate,, Certificación ITIL Expert y Certificación ITIL Master.
ITIL nace en los años 80’s fruto de una iniciativa del Gobierno del Reino Unido y desde entonces hasta el año 2011 en el que se publica su última versión ha ido sufriendo constantes cambios y evoluciones. Tras su nacimiento, ITIL evolucionó a ITIL V2 y posteriormente a ITIL V3. La última versión es la ITIL 2011 Edition.
ITIL nos propone por tanto, que el control, administración y operación de nuestros sistemas de información se gestionen a través de procedimientos, estructurados en diferentes bloques (o fases de vida de los servicios) y que se llevan a cabo siempre bajo el paraguas de una revisión y mejora continua de todos los procesos implicados. Precisamente en basar su estructura sobre el concepto de ciclo de vida del servicio es en lo que se centra la evolución de la Versión 3 de ITIL, en vez de en el enfoque de Provisión y Soporte al Servicio de ITIL v2.
Importante
En la metodología ITIL se denomina ciclo de vida del servicio a todas las fases por las que pasa un servicio desde su diseño hasta que se decide que no formará parte de los procedimientos de la empresa. Se compone de 5 fases que se retroalimentan entre sí en un proceso cíclico y cada uno de estas fases engloba unos procesos determinados.
Las Fases del Ciclo de Vida del Servicio son:
–Estrategia del servicio, donde se definirán los servicios que se van a prestar en la organización, a que clientes y en que mercados. Se intenta que la gestión de servicios no sea sólo una capacidad de la organización, sino que esta se convierta en un activo estratégico.
–Diseño del servicio, donde se crearán los servicios nuevos o se