Gestion de La Seguridad- Itil

7/22/2019 Gestion de La Seguridad- Itil

1/17

UNIVERSIDAD TCNICA DE MANABFacultad de Ciencias InformticasCarrera de Ingeniera en Sistemas

SEGUIRIDAD INFORMTICATema:


2/17

GESTION DE LA SEGURIDAD

Visin general

La informacin es consustancial al negocio y su correcta gestin debe apoyarse entres pilares fundamentales:

Confidencialidad: la informacin debe ser slo accesible a sus destinatarios

predeterminados.

Integridad: la informacin debe ser correcta y completa.

Disponibilidad: debemos de tener acceso a la informacin cuando la necesitamos.

La Gestin de la Seguridadvelar por que la informacin sea correcta ycompleta, est siempre a disposicin del negocio y sea utilizada slo poraquellos que tienen autorizacin para hacerlo.


3/17

Introduccin y Objetivos


Los principales objetivos de la Gestin de la Seguridadse resumen en:

Disear una poltica de seguridad, en colaboracin con clientes yproveedores correctamente alineada con las necesidades del negocio.

Asegurar el cumplimiento de los estndares de seguridad acordados.

Minimizar los riesgos de seguridad que amenacen la continuidad delservicio.


4/17


Introduccin y Objetivos

La Gestin de la Seguridaddebe conocer en profundidad el negocio y los servicios

que presta la organizacin TI

Una vez comprendidos cuales son los requisitos de seguridad del negocio, laGestin de la Seguridaddebe supervisar que estos se hallenconvenientemente plasmados en los SLAs correspondientes para, a renglnseguido, garantizar su cumplimiento.

La Gestin de la Seguridaddebe asimismo tener en cuenta los riesgos generales alos que est expuesta la infraestructura TI, y que no necesariamente tienen porquefigurar en un SLA, para asegurar, en la medida de lo posible, que no representan unpeligro para la continuidad del servicio.


5/17


Se evitan interrupciones del servicio causadas por virus, ataques informticos,etctera.

Se minimiza el nmero de incidentes.

Se tiene acceso a la informacin cuando se necesita y se preserva la integridadde los datos.

Se preserva la confidencialidad de los datos y la privacidad de clientes yusuarios.

Se cumplen los reglamentos sobre proteccin de datos.

Mejora la percepcin y confianza de clientes y usuarios en lo que respecta a lacalidad del servicio.

Los principales beneficios de una correcta Gestin de laSeguridad:


6/17

GESTION DE LA SEGURIDADIntroduccin y Objetivos

No existe el suficiente compromiso de todos los miembros de la organizacin TI con el

proceso.

Se establecen polticas de seguridad excesivamente restrictivas que afectannegativamente al negocio.

No se dispone de las herramientas necesarias para monitorizar y garantizar la seguridaddel servicio (firewalls, antivirus, ...).

El personal no recibe una formacin adecuada para la aplicacin de los protocolos deseguridad.

Falta de coordinacin entre los diferentes procesos lo que impide una correctaevaluacin de los riesgos.

Las principales dificultades a la hora de implementar laGestin de la Seguridad se resumen en:


7/17

GESTION DE LA SEGURIDADProceso

La Gestin de la Seguridadesta estrechamente relacionada con prcticamentetodos los otros procesos TI y necesita para su xito la colaboracin de toda laorganizacin.

Para que esa colaboracin sea eficaz es necesario que la Gestin de laSeguridad:

Establezca una clara y definida poltica de seguridad que sirva de gua atodos los otros procesos.

Elabore un Plan de Seguridadque incluya los niveles de seguridad adecuadostanto en los servicios prestados a los clientes como en los acuerdos de serviciofirmados con proveedores internos y externos.

Implemente el Plan de Seguridad.

Monitorice y evale el cumplimiento de dicho plan.

Supervise proactivamente los niveles de seguridad analizando tendencias,nuevos riesgos y vulnerabilidades.

Realice peridicamente auditoras de seguridad.


8/17

GESTION DE LA SEGURIDADProceso

Poltica de Seguridad

En particular la Poltica de Seguridaddebe determinar:

La relacin con la poltica general del negocio.

La coordinacin con los otros procesos TI. Los protocolos de acceso a la informacin.

Los procedimientos de anlisis de riesgos. El nivel de monitorizacin de la seguridad.

Qu informes deben ser emitidos peridicamente. El alcance del Plan de Seguridad.

La estructura y responsables del proceso de Gestin de la Seguridad. Los procesos y procedimientos empleados.

Los responsables de cada subproceso. Los auditores externos e internos de seguridad. Los recursos necesarios: software, hardware y personal.


9/17

El objetivo del Plan de Seguridades fijar los niveles de seguridadque han de ser incluidos como parte de los SLAs, OLAs y UCs.

Plan de Seguridad

Siempre que sea posible deben definirse mtricas e indicadoresclave que permitan evaluar los niveles de seguridad acordados.

El Plan de Seguridaddebe disearse para ofrecer un mejor y ms seguro servicio al

cliente y nunca como un obstculo para el desarrollo de sus actividades de negocio.



10/17

Aplicacin de las Medidas deSeguridad

Es responsabilidad de la Gestin de Seguridadcoordinar la implementacin de losprotocolos y medidas de seguridad establecidas en la Polticay el Plan de Seguridad.

En primer lugar la Gestin de la Seguridaddebe verificar que:

El personal conoce y acepta las medidas de seguridad establecidas as como susresponsabilidades al respecto.

Los empleados firmen los acuerdos de confidencialidad correspondientes a sucargo y responsabilidad.

Se imparte la formacin pertinente.



11/17

Es tambin responsabilidad directa de la Gestin de la Seguridad:

Asignar los recursos necesarios.

Generar la documentacin de referencia necesaria.

Instalar y mantener las herramientas de hardware y software necesarias paragarantizar la seguridad.

Colaborar con la Gestin de Cambiosy Versionespara asegurar que no se

introducen nuevas vulnerabilidades en los sistemas en produccin o entornos depruebas.

Proponer RFCs a la Gestin de Cambiosque aumenten los niveles de seguridad.

Colaborar con la Gestin de la Continuidad del Serviciopara asegurar que nopeligra la integridad y confidencialidad de los datos en caso de desastre.

Establecer las polticas y protocolos de acceso a la informacin.

Monitorizar las redes y servicios en red para detectar intrusiones y ataques.



12/17

Evaluacin y Mantenimiento

Evaluacin

No es posible mejorar aquello que no se conoce, es por la tanto indispensable evaluarel cumplimiento de las medidas de seguridad, sus resultados y el cumplimiento de losSLAs.

Estas evaluaciones/auditorias deben valorar el rendimiento del proceso y proponermejoras que se plasmaran en RFCs que habrn de ser evaluados por la Gestin de

Cambios.

Mantenimiento

La Gestin de la Seguridades un proceso continuo y se han de mantener alda el Plan de Seguridady las secciones de seguridad de los SLAs.

Los cambios en el Plan de Seguridady los SLAs pueden ser resultado de laevaluacin arriba citada o de cambios implementados en la infraestructurao servicios TI.

No hay nada ms peligroso que la falsa sensacin de seguridad queofrecen medidas de seguridad obsoletas.



13/17

Control del Proceso

Al igual que en el resto de procesos TI es necesario realizar un riguroso control del

proceso para asegurar que la Gestin de la Seguridadcumple sus objetivos.

Una buena Gestin de la Seguridaddebe traducirse en una:

Disminucin del nmero de incidentes relacionados con la seguridad.

Un acceso eficiente a la informacin por el personal autorizado.

Gestin proactiva que permita identificar vulnerabilidades potenciales antes de queestas se manifiesten y provoquen una seria degradacin de la calidad del servicio.



14/17

La correcta elaboracin de informes permite evaluar el rendimiento de la Gestin de

Seguridad y aporta informacin de vital importancia a otras reas de la infraestructuraTI.

Entre la documentacin generada cabra destacar:

Informes sobre el cumplimiento, en lo todo lo referente al apartado de seguridad, de losSLAs, OLAs y UCs en vigor.

Relacin de incidentes relacionados con la seguridad calificados por su impacto sobrela calidad del servicio.

Evaluacin de los programas de formacin impartidos y sus resultados.

Identificacin de nuevos peligros y vulnerabilidades a las que se enfrenta lainfraestructura TI.

Auditoras de seguridad.

Informes sobre el grado de implementacin y cumplimiento de los planes de seguridadestablecidos.

Control del Proceso



15/17

La gestin de "Cater Matters" es consciente que un enfoque sobre la seguridadbasado exclusivamente en el concepto de "fortificacin frente a ataques" no secorresponde con las necesidades de negocio.

Es importante que los clientes de "Cater Matters" tengan acceso a informacinactualizada sobre sus pedidos, pagos pendientes, etctera y eso requiere lainteraccin con el ERP de la empresa.

Esto, obviamente, presenta algunos problemas de seguridad adicionales pues hande abrirse canales al exterior desde el ncleo TI de la organizacin.

La direccin de "Cater Matters" ha decidido crear una serie de Web Servicesquepermitan el acceso a dicha informacin preservando su confidencialidad eintegridad. Esto requiere la revisin del Plan de Seguridady las secciones deseguridad de los SLAs en vigor.

Caso practico



16/17

Como medidas de seguridad bsicas:

Se limitan los rangos de IPs que pueden acceder al servicio. Slo IPs autorizadasde clientes podrn disponer del servicio.

Se implementan protocolos de encriptacin de los archivos XMLintercambiados.

Se requiere autenticacin para el acceso al servicio.

Se monitoriza la interaccin con la aplicacin para detectar posibles ataquesexternos.

Se guarda un registro de uso: quin, cundo y cmo utiliz la aplicacin. Se autoriza un solo canal de entrada a los servidores locales a travs de los

servidores web de la empresa.

Se propone una evaluacin peridica del servicio con el objetivo de detectarvulnerabilidades y adoptar medidas correctivas.

Caso practico



17/17

El objetivo es dar un servicio de calidad y con altos nivelesde seguridad que fidelice a los clientes en un tiempo derpido desarrollo en el que la competencia se encuentra aun "solo clic de distancia".

Se propone una evaluacin peridica del servicio con elobjetivo de detectar vulnerabilidades y adoptar medidascorrectivas.

Caso practico


Gestion de La Seguridad- Itil

Documents

Transcript of Gestion de La Seguridad- Itil