Gestión de la Seguridad

La información es inherente al negocio y su correcta gestión debe apoyarse en tres pilares fundamentales:

  • Confidencialidad: la información debe ser sólo accesible a sus destinatarios predeterminados.
  • Integridad: la información debe ser correcta y completa.
  • Disponibilidad: debemos de tener acceso a la información cuando la necesitamos.

La Gestión de la Seguridad debe, por tanto, velar por que la información sea correcta y completa, esté siempre a disposición del negocio y sea utilizada sólo por aquellos que tienen autorización para hacerlo.

Interrelaciones del proceso: Debe existir una estrecha relación entre la Gestión de la Seguridad y otros procesos TI con el objetivo de que: Estos conozcan los estándares de seguridad asociado a cada servicio, se establezcan y cumplan los requisitos de seguridad necesarios para el correcto funcionamiento del negocio. 

En la Gestión de la Seguridad, todo el proceso debe ser monitorizado para asegurar que: Se cumplen todos los requisitos de seguridad establecidos en los Acuerdos de Nivel de Servicio SLAS, Acuerdos de Nivel Operativo OLAs y Contratos UCs. El personal está informado sobre los correctos protocolos de seguridad establecidos. Se cumple y actualiza regularmente el plan de seguridad. 

Es fundamental establecer una política clara de seguridad para que: Sus objetivos se alineen con las del negocio en su conjunto. Se coordinen correctamente todos los  procesos TI. Se establezcan y asignen recursos y responsabilidades.    

La Gestión de la Seguridad debe: Elaborar un plan de seguridad que recoja las necesidades de los clientes, los protocolos de acceso a la información,… Colaborar con la Gestión de Niveles de Servicio en la elaboración de los SLAs y contratos de apoyo. 

En la implementación, la gestión de la seguridad es responsable de: Aplicar las medidas de seguridad establecidas en la política y plan de seguridad. Formar al personal respecto a los procedimientos de seguridad y acceso a la información. Colaborar en la resolución de incidentes relacionados con la seguridad.      

En la parte de mantenimiento, la Gestión de la Seguridad debe supervisar todo el proceso: Para hacer cumplir los estándares de seguridad acordados con clientes y proveedores internos y externos. Para que los equipos y procedimientos esten  actualizados. Elevando RFCs (solicitud de cambio) a la gestión de cambios para mejorar los niveles de seguridad o para adecuarlos a nuevos desarrollos tecnológicos.   

La Gestión de la Seguridad debe evaluar el proceso para: Garantizar que se cumplen los planes y procedimientos establecidos. Informar a los clientes y organización de TI de posibles vulnerabilidades o errores procedimentales. 

Es recomendable que la evaluación interna se complemente  con auditorias de seguridad externas realizadas por personal independiente de la gestión de la seguridad.     

Los principales objetivos de la Gestión de la Seguridad se resumen en:

  • Diseñar una política de seguridad, en colaboración con clientes y proveedores, correctamente alineada con las necesidades del negocio.
  • Asegurar el cumplimiento de los estándares de seguridad acordados en los Acuerdos de Nivel de Servicios SLAs.
  • Minimizar los riesgos de seguridad que amenacen la continuidad del servicio.

La Gestión de la Seguridad debe asimismo tener en cuenta los riesgos generales a los que está expuesta la infraestructura TI, y que no necesariamente tienen por qué figurar en un SLA, para asegurar, en la medida de lo posible, que no representan un peligro para la continuidad del servicio.

Es importante que la Gestión de la Seguridad sea proactiva y evalúe a priori los riesgos de seguridad que pueden suponer los cambios realizados en la infraestructura, nuevas líneas de negocio, etc…

La Gestión de la Seguridad también interactúa con los clientes mediante la entrega de informes que contienen el detalle de eventos que hayan podido afectar la seguridad de la información, asesora al cliente en los requerimientos que ellos tengan y que puedan vulnerar la infraestructura TI. Cualquier cambio en la infraestructura TI debe ser analizado desde el punto de vista de la seguridad, con el propósito de no dejar brechas que podrían afectar la disponibilidad de un servicio y por ende, conduzcan al incumplimiento de los SLAs.       

Los principales beneficios de una correcta Gestión de la Seguridad se resumen en:

  • Se evitan interrupciones del servicio causadas por virus, ataques informáticos, etc…
  • Se minimiza el número de incidentes.
  • Se tiene acceso a la información cuando se necesita y se preserva la integridad de los datos.
  • Se preserva la confidencialidad de los datos y la privacidad de clientes y usuarios.
  • Se cumplen los reglamentos sobre protección de datos.
  • Mejora la percepción y confianza de clientes y usuarios en lo que respecta a la calidad del servicio.

¿Qué dificultades se pueden  presentar a la hora de implementar la Gestión de la Seguridad? Las principales dificultades a la hora de implementar la Gestión de la Seguridad se resumen en:

  • No existe el suficiente compromiso de todos los miembros de la organización TI con el proceso.
  • Se establecen políticas de seguridad excesivamente restrictivas que afectan negativamente al negocio.
  • No se dispone de las herramientas necesarias para monitorizar y garantizar la seguridad del servicio (firewalls, antivirus, etc.).
  • El personal no recibe una formación adecuada para la aplicación de los protocolos de seguridad.
  • Falta de coordinación entre los diferentes procesos, lo que impide una correcta evaluación de los riesgos.

A continuación se listan las principales actividades de la Gestión de la Seguridad. En su orden estan: 

  • Política y Plan de Seguridad
  • Aplicación de las Medidas de Seguridad
  • Evaluación y Mantenimiento

La Gestión de la Seguridad necesita de una política clara en donde se fijen aspectos tales como los objetivos, responsabilidades y recursos.

En particular la Política de Seguridad debe determinar:

  • La relación con la política general del negocio.
  • La coordinación con los otros procesos TI.
  • Los protocolos de acceso a la información.
  • Los procedimientos de análisis de riesgos.
  • Los programas de formación.
  • El nivel de monitorización de la seguridad.
  • Qué informes deben ser emitidos periódicamente.
  • Los procesos y procedimientos empleados.
  • Los recursos necesarios: software, hardware y personal.

El objetivo del Plan de Seguridad es fijar los niveles de seguridad que han de ser incluidos como parte de los SLAs, OLAs y UCs.

Este plan ha de ser desarrollado en colaboración con la Gestión del Nivel de Servicio, que es la responsable en última instancia tanto de la calidad del servicio prestado a los clientes como la del servicio recibido por la propia organización TI y los proveedores externos.

El Plan de Seguridad debe ser diseñado con el fin de ofrecer un mejor y más seguro servicio al cliente y nunca como un obstáculo para el desarrollo de sus actividades de negocio.

Siempre que sea posible, deben definirse métricas e indicadores clave que permitan evaluar los niveles de seguridad acordados.

Es responsabilidad de la Gestión de Seguridad coordinar la implementación de los protocolos y medidas de seguridad establecidas en la Política y el Plan de Seguridad.

En primer lugar la Gestión de la Seguridad debe verificar que:

  • El personal conoce y acepta las medidas de seguridad establecidas así como sus responsabilidades al respecto.
  • Los empleados firmen los acuerdos de confidencialidad correspondientes a su cargo y responsabilidad.
  • Se imparte la formación pertinente.

Es también responsabilidad directa de la Gestión de la Seguridad:

  • Asignar los recursos necesarios.
  • Generar la documentación de referencia necesaria.
  • Colaborar con el Centro de Servicios y la Gestión de Incidentes en el tratamiento y resolución de incidentes relacionados con la seguridad.
  • Instalar y mantener las herramientas de hardware y software necesarias para garantizar la seguridad.

¡No es posible mejorar aquello que no se conoce! Por lo que resulta indispensable evaluar el cumplimiento de las medidas de seguridad, sus resultados y el cumplimiento de los Acuerdos de Nivel de Servicios SLAs.

Aunque no es imprescindible, es recomendable que estas evaluaciones se complementen con auditorías de seguridad externas y/o internas realizadas por personal independiente de la Gestión de la Seguridad.

Estas evaluaciones/auditorías deben valorar el rendimiento del proceso y proponer mejoras que se plasmarán en solicitudes de cambios (RFCs) que habrán de ser evaluados por la Gestión de Cambios.

La Gestión de la Seguridad es un proceso continuo y se han de mantener al día el Plan de Seguridad y las secciones de seguridad de los Acuerdos de Nivel de Servicios SLAs.

Los cambios en el Plan de Seguridad y los SLAs pueden ser resultado de la evaluación/auditoría o de cambios implementados en la infraestructura o servicios TI.

Es importante que la Gestión de la Seguridad esté al día en lo que respecta a nuevos riesgos y vulnerabilidades frente a virus, spyware, ataques de denegación de servicio, etc…, y que adopte las medidas necesarias de actualización de equipos de hardware y software.

La Gestión de la Seguridad interactúa con los procesos:

  • Gestión de Niveles de Servicio
  • Gestión de la Capacidad
  • Base de Datos de Gestión de la Configuración
  • Gestión de la Continuidad de los Servicios TI 
  • Gestión de la Disponibilidad 
  • Gestión de Incidentes
  • Gestión de Problemas 
  • Gestión del Cambio
  • Gestión de Versiones y
  • Centro de Servicio 

Estos procesos intercambian información con la Gestión de la Seguridad para ayudar con una eficiente definición de los requisitos de seguridad y una posterior planificación. En la fase de implementación también interactúan otros procesos  como: Gestión de la Capacidad, Problemas, Continuidad de los Servicios TI, Cambios y Gestión de Versiones. La CMDB aporta información importante sobre los Elementos de Configuración que soportan los servicios y que deben ser tenidos en cuenta a la hora de implementar la política de seguridad.   

Al igual que en el resto de procesos TI, es necesario realizar un riguroso control del proceso para asegurar que la Gestión de la Seguridad cumple sus objetivos. Una buena Gestión de la Seguridad debe traducirse en:

  • Disminución del número de incidentes relacionados con la seguridad.
  • Un acceso eficiente a la información por el personal autorizado.
  • Gestión proactiva, que permita identificar vulnerabilidades potenciales antes de que estas se manifiesten y provoquen una seria degradación de la calidad del servicio.

La correcta elaboración de informes permite evaluar el rendimiento de la Gestión de Seguridad y aporta información de vital importancia a otras áreas de la infraestructura TI.

Entre la documentación generada cabría destacar:

  • Informes sobre el cumplimiento, en todo lo referente al apartado de seguridad, de los SLAs, OLAs y UCs en vigor.
  • Relación de incidentes relacionados con la seguridad, calificados por su impacto sobre la calidad del servicio.
  • Identificación de nuevos peligros y vulnerabilidades a las que se enfrenta la infraestructura TI.
  • Auditorías de seguridad.