GESTIN DE SEGURIDAD DE LA INFORMACIN

Gestin de Seguridad de la Informacin

Implica la identificacin de amenazas, riesgos y

vulnerabilidades y la implementacin de los controles apropiados

Vulnerabilidad Amenaza

Riesgo

Control

Meta
Alinear la seguridad de TI con la seguridad del negocio y asegurar que la seguridad de la informacin se maneja de una manera efectiva en todos los servicios y actividades de la Gestin de Servicios

Objetivos
Garantizar que la informacin est disponible y

se pueda usar cuando se necesite (disponibilidad).

Garantizar que la informacin slo puede ser

observada o divulgada para aquellos que tienen el derecho de saberlo (confidencialidad).

Garantizar que la informacin est completa,

exacta y protegida contra cambios no autorizadas (integridad).

Garantizar que las transacciones del negocio as

como el intercambio de informacin entre empresas o socios son confiables (autnticas y aceptadas).

Conceptos
Sistema de gestin de la seguridad Proporciona la

base para el desarrollo eficiente de un programa de seguridad de la informacin que favorezca los objetivos del negocio
Recomendaciones de seguridad Una lista de las

vulnerabilidades de seguridad conocidas recopilada a partir de informacin de los proveedores de productos

Marco de Gestin de la Seguridad

Controlar estableciendo un marco de

gestin indicando la estructura organizacional para preparar, aprobar e implementar las polticas de seguridad asignando responsabilidades.
Planear medidas de seguridad apropiadas

tomando en cuenta las necesidades de la organizacin.

Implementar procedimientos, herramientas y

controles existen para sustentar la poltica de seguridad de informacin

Evaluar la conformidad con las polticas y

requerimientos de seguridad en los SLAs y OLAs. Realiza auditorias sobre la seguridad

Mantener mejorar los acuerdos de

seguridad de los SLAs y OLAs, as como la implementacin de mediciones y controles de la seguridad.

Poltica de Seguridad
Debe incluir: La relacin con la poltica general del negocio. Los protocolos de acceso a la informacin. Los procedimientos de anlisis de riesgos. El nivel de monitorizacin de la seguridad. El alcance del Plan de Seguridad. La estructura y responsables del proceso de Gestin de la Seguridad.
Los procesos y procedimientos empleados. Los responsables de cada subproceso. Los auditores externos e internos de seguridad. Los recursos necesarios: software, hardware y personal.

Entradas y salidas

Actividades bsicas del proceso

Producir y mantener las polticas de

seguridad
de la informacin Evaluar y categorizar los activos de la

informacin
Evaluar y revisar riesgos y amenazas Establecer medidas de control y

mitigacin de riesgos
Supervisar y gestionar los incidentes de

seguridad

Roles
Gestor de la seguridad de la informacin

Desarrolla y mantiene la poltica de seguridad de la informacin. Encargado de comunicar y publicar la poltica de seguridad de la informacin. Apoya con el anlisis de impacto al negocio.

KPIs
Porcentaje o disminucin de incumplimiento de seguridad.

Cantidad de incidentes de seguridad identificados, clasificados

por categora de gravedad

Aumento en la concientizacin sobre los procedimientos de

seguridad en la organizacin.
Cantidad de medidas de seguridad preventivas implementadas

como respuesta a amenazas de seguridad identificadas.

Riesgos
Ms peligro por violaciones ticas y de

privacidad en los sistemas

Peligro de hackers Falta de compromiso de la empresa y la

direccin por no tener informacin adecuada

Importancia excesiva de los aspectos

tcnicos sobre los servicios y las necesidades de los clientes

GESTIN DE CONTINUIDAD DEL SERVICIO DE TI

Gestin de Continuidad del Servicio

Se preocupa de impedir que una imprevista y grave interrupcin de

los servicios TI, debido a desastres naturales u otras fuerzas de causa mayor, tenga consecuencias catastrficas para el negocio. Debe combinar equilibradamente procedimientos:
Proactivos: que buscan impedir o minimizar las consecuencias de una grave

interrupcin del servicio. Reactivos: cuyo propsito es reanudar el servicio tan pronto como sea posible (y recomendable) tras el desastre.

Operacin normal del servicio

Desastre

Invocacin

Recuperacin

Regreso al estado normal del servicio

Gestin de Continuidad de Servicios de TI

Objetivo.
Mantener un conjunto de planes de continuidad del servicio de TI y planes

de recuperacin que soporten los planes de continuidad del negocio de la organizacin.

Realizar peridicamente anlisis de impacto al negocio y estimaciones de

riesgos.
Proporcionar consejos y guas a las reas del negocio sobre aspectos de

continuidad y recuperacin.
Asegurar que se cuentan con los mecanismos adecuados de continuidad y

recuperacin.
Evaluar el impacto de todos los cambios en el plan de continuidad del servicio. Negociar y acordar los contratos necesarios con proveedores para la provisin

de la capacidad necesaria para la recuperacin

Conceptos
Anlisis de impacto al negocio (BIA). Actividad que

identifica las Funciones Vitales del Negocio y sus dependencias las cuales pueden incluir proveedores, personas, otros procesos de negocio, servicios de TI, etc.
Informe de continuidad de servicios de TI. Se crea cada

cierto tiempo y provee informacin relacionada con la prevencin de desastres a otros procesos de Gestin de Servicios y la direccin de TI.
Gua para casos de desastre contiene instrucciones

detalladas sobre cundo y cmo recurrir al procedimiento para contrarrestar un desastre. Establece los primeros pasos que debe tomar el Centro de Servicio al Usuario tras sospechar o enterarse que ha ocurrido un desastre.

Entradas y salidas

Actividades
Iniciar. Se define la poltica, alcance, asignacin de recursos de la

estrategia
Requisitos y estrategia. Se realiza el anlisis de impacto al negocio

(BIA) para cuantificar el impacto debido a la prdida de servicios. Adems se estima el riesgo y se toman medidas de reduccin y recuperacin de los riesgos
Implementar. Se realizan las pruebas completas, superficiales y

parciales
Operacin existente. Educar, concientizar y realizar la prueba definitiva

(invocacin). Es importante que todos conozcan que hacer en caso de que se tenga que llevar a cabo el plan, pues de nada sirve tener un plan si al momento de llevarlo a cabo se convierte en un caos y se convierte en un problema ms.

Roles
Gestor de la continuidad de servicios

Desarrolla el anlisis de impacto al negocio para todos los servicios Desarrolla la evaluacin y gestin de riesgos para prevenir desastres y mantener la estrategia de continuidad de la organizacin. Evala adems las fallas potenciales en la continuidad del servicio e invocar el Plan de continuidad.

KPIs
Cantidad de prcticas para desastres que realmente se

llevaron a cabo
Resultado de las auditorias peridicas de los planes de

ITSCM
Cantidad de defectos identificados durante las prcticas. Duracin desde la identificacin del riesgo relacionado a

desastres hasta la implementacin de un mecanismo de continuidad adecuado

Riesgos
Falta de compromiso del negocio y la direccin muchas

veces porque creen que los desastres nunca van a ocurrir y no quieren destinar recursos econmicos para este proceso.
Falta de recursos o presupuesto de la organizacin. Importancia excesiva de la tecnologa sobre los servicios

y las necesidades de los clientes

Excesivo aislamiento del anlisis y la Gestin de Riesgo

que no se realizan en colaboracin con la Gestin de Disponibilidad y Gestin de Seguridad.

Evaluacin del riesgo

Sin conocer los riesgos reales a los que se enfrenta la infraestructura

TI es imposible realizar una poltica de prevencin y recuperacin ante desastre eficaz, por lo debe:
Conocer en profundidad la infraestructura TI y cuales son los elementos de

configuracin (CIs) involucrados en la prestacin de cada servicio, especialmente los servicios TI crticos y estratgicos. Analizar las posibles amenazas y estimar su probabilidad. Detectar los puntos ms vulnerables de la infraestructura TI