Gestion de la Seguridad con ITIL

La Biblioteca de Infraestructura de Tecnología de Información (ITIL), desarrollada a finales de 1980, a la fecha es considerada como una de las mejores prácticas en la administración y explotación de la infraestructura de tecnologías de la información (TI)1. ITIL implica diferentes procesos para llevar a cabo dicha administración, entre los cuales se encuentra la seguridad de la información, aspecto por demás relevante en el ámbito de la interacción a través de redes. La biblioteca pertenece a la OGC (Oficina de Comercio Gubernamental Británica), pero es de libre utilización.
Las actividades de la administración de la seguridad están inmersas en casi todos los procesos de ITIL, debido a que es de vital importancia dentro de una adecuada administración, identificar los riesgos asociados al proceso para definir líneas de acción, con la finalidad de mitigarlos; por lo anterior, cobra especial relevancia el tópico “Security Management” que forma parte de la biblioteca.
Los conceptos tratados son de gran utilidad para todos los administradores responsables (2) de los procesos críticos de TI, y resultan relevantes para los administradores de la organización, ya que les ayudan a determinar el nivel de seguridad necesario en cada uno de sus procesos de negocio y que debe incluirse en el Acuerdo de Nivel de Servicio (3).
La administración gerencial debe garantizar la seguridad de la información ya que, desde la perspectiva del negocio, establecer una protección de los activos que soportan las funciones críticas es muy importante, debido a que éstos impactan en el aspecto financiero, imagen corporativa y en la calidez percibida por los clientes.
El proceso de administración de la seguridad en ITIL expone, en primer término, los conceptos básicos de una adecuada administración de la seguridad de la información; posteriormente, los relaciona con los demás tópicos de la biblioteca proveyendo, de manera general, las medidas de seguridad adecuadas que deben ser implantadas en cada uno de los procesos que lleve a cabo la administración, y culmina con una guía para administrar la seguridad, con referencia al Código de Prácticas de Administración de la Seguridad de la Información (BS7799), versión 1999, desarrollado por el Instituto de Estándares Británico (British Standards Institute). Este Código de Prácticas cubre todos los tópicos conocidos del sitio de Internet del “Handbook Security”, de manera muy general.
Comprende los siguientes 10 elementos del Código de Prácticas para la administración de la seguridad de la información:
1. Políticas de seguridad. Proporciona a la alta dirección apoyo para la seguridad de la información.2. Organización de la seguridad. Ayuda a administrar la seguridad de la información dentro de la organización.3. Clasificación y control de activos. Provee las medidas de seguridad necesarias para proporcionar una protección adecuada a los activos de la organización.4. Seguridad del personal. Necesaria para reducir los riesgos de errores humanos, robo, fraude o mal uso de las instalaciones y equipo.5. Seguridad física y ambiental. Previene el acceso físico no autorizado a los sistemas de información, así como posibles daños a las instalaciones y a la información del negocio.6. Administración de comunicaciones y operaciones. Permite garantizar la operación correcta y segura de las instalaciones de procesamiento de la información.7. Control de acceso. Previene el acceso lógico y cambio, no autorizado, a la información y a los sistemas de información, otorgando confidencialidad en la información, para evitar interrupciones en los procesos normales de producción.8. Desarrollo y mantenimiento de los sistemas. Permite incorporar la seguridad a los sistemas de información.9. Administración de la continuidad del negocio. Contrarresta las interrupciones a las actividades del negocio y protege los procesos críticos del negocio contra los efectos causados por fallas mayores o desastres.10. Conformidad. Contribuye a evitar infracciones a las leyes civiles, jurídicas, obligaciones reguladoras o contractuales y cualquier otro requerimiento de seguridad.

Comentarios

Entradas populares de este blog

Descienden las detecciones de malware en Android y crecen en iOS

Explotan el día cero de la VPN de Fortinet para robar credenciales

Microsoft dice que la interrupción masiva de Azure fue causada por un ataque DDoS