Professional Documents
Culture Documents
Riesgo
Control
Meta
Alinear la seguridad de TI con la seguridad del negocio y asegurar que la seguridad de la informacin se maneja de una manera efectiva en todos los servicios y actividades de la Gestin de Servicios
Objetivos
Garantizar que la informacin est disponible y
como el intercambio de informacin entre empresas o socios son confiables (autnticas y aceptadas).
Conceptos
Sistema de gestin de la seguridad Proporciona la
base para el desarrollo eficiente de un programa de seguridad de la informacin que favorezca los objetivos del negocio
Recomendaciones de seguridad Una lista de las
gestin indicando la estructura organizacional para preparar, aprobar e implementar las polticas de seguridad asignando responsabilidades.
Planear medidas de seguridad apropiadas
Poltica de Seguridad
Debe incluir: La relacin con la poltica general del negocio. Los protocolos de acceso a la informacin. Los procedimientos de anlisis de riesgos. El nivel de monitorizacin de la seguridad. El alcance del Plan de Seguridad. La estructura y responsables del proceso de Gestin de la Seguridad.
Los procesos y procedimientos empleados. Los responsables de cada subproceso. Los auditores externos e internos de seguridad. Los recursos necesarios: software, hardware y personal.
Entradas y salidas
seguridad
de la informacin Evaluar y categorizar los activos de la
informacin
Evaluar y revisar riesgos y amenazas Establecer medidas de control y
mitigacin de riesgos
Supervisar y gestionar los incidentes de
seguridad
Roles
Gestor de la seguridad de la informacin
Desarrolla y mantiene la poltica de seguridad de la informacin. Encargado de comunicar y publicar la poltica de seguridad de la informacin. Apoya con el anlisis de impacto al negocio.
KPIs
Porcentaje o disminucin de incumplimiento de seguridad.
seguridad en la organizacin.
Cantidad de medidas de seguridad preventivas implementadas
Riesgos
Ms peligro por violaciones ticas y de
los servicios TI, debido a desastres naturales u otras fuerzas de causa mayor, tenga consecuencias catastrficas para el negocio. Debe combinar equilibradamente procedimientos:
Proactivos: que buscan impedir o minimizar las consecuencias de una grave
interrupcin del servicio. Reactivos: cuyo propsito es reanudar el servicio tan pronto como sea posible (y recomendable) tras el desastre.
Desastre
Invocacin
Recuperacin
riesgos.
Proporcionar consejos y guas a las reas del negocio sobre aspectos de
continuidad y recuperacin.
Asegurar que se cuentan con los mecanismos adecuados de continuidad y
recuperacin.
Evaluar el impacto de todos los cambios en el plan de continuidad del servicio. Negociar y acordar los contratos necesarios con proveedores para la provisin
Conceptos
Anlisis de impacto al negocio (BIA). Actividad que
identifica las Funciones Vitales del Negocio y sus dependencias las cuales pueden incluir proveedores, personas, otros procesos de negocio, servicios de TI, etc.
Informe de continuidad de servicios de TI. Se crea cada
cierto tiempo y provee informacin relacionada con la prevencin de desastres a otros procesos de Gestin de Servicios y la direccin de TI.
Gua para casos de desastre contiene instrucciones
detalladas sobre cundo y cmo recurrir al procedimiento para contrarrestar un desastre. Establece los primeros pasos que debe tomar el Centro de Servicio al Usuario tras sospechar o enterarse que ha ocurrido un desastre.
Entradas y salidas
Actividades
Iniciar. Se define la poltica, alcance, asignacin de recursos de la
estrategia
Requisitos y estrategia. Se realiza el anlisis de impacto al negocio
(BIA) para cuantificar el impacto debido a la prdida de servicios. Adems se estima el riesgo y se toman medidas de reduccin y recuperacin de los riesgos
Implementar. Se realizan las pruebas completas, superficiales y
parciales
Operacin existente. Educar, concientizar y realizar la prueba definitiva
(invocacin). Es importante que todos conozcan que hacer en caso de que se tenga que llevar a cabo el plan, pues de nada sirve tener un plan si al momento de llevarlo a cabo se convierte en un caos y se convierte en un problema ms.
Roles
Gestor de la continuidad de servicios
Desarrolla el anlisis de impacto al negocio para todos los servicios Desarrolla la evaluacin y gestin de riesgos para prevenir desastres y mantener la estrategia de continuidad de la organizacin. Evala adems las fallas potenciales en la continuidad del servicio e invocar el Plan de continuidad.
KPIs
Cantidad de prcticas para desastres que realmente se
llevaron a cabo
Resultado de las auditorias peridicas de los planes de
ITSCM
Cantidad de defectos identificados durante las prcticas. Duracin desde la identificacin del riesgo relacionado a
Riesgos
Falta de compromiso del negocio y la direccin muchas
veces porque creen que los desastres nunca van a ocurrir y no quieren destinar recursos econmicos para este proceso.
Falta de recursos o presupuesto de la organizacin. Importancia excesiva de la tecnologa sobre los servicios
TI es imposible realizar una poltica de prevencin y recuperacin ante desastre eficaz, por lo debe:
Conocer en profundidad la infraestructura TI y cuales son los elementos de
configuracin (CIs) involucrados en la prestacin de cada servicio, especialmente los servicios TI crticos y estratgicos. Analizar las posibles amenazas y estimar su probabilidad. Detectar los puntos ms vulnerables de la infraestructura TI