Sunday, October 19, 2014
ITIL y los SGSI, beneficios comunes
 |
Pedro Valcárcel CISSP. Seguridad Social |
ITIL y los SGSI, beneficios comunes
Estándares como ITIL y los SGSI (Sistemas de Gestión de Seguridad de la Información) tienen puntos en común en la adopción de controles de seguridad. Si se impulsan esos aspectos, se conseguirá un beneficio común.A veces, en organizaciones grandes (empresas privadas y administraciones púbicas) los departamentos que se encargan de la gestión de sistemas informáticos y los de la seguridad no trabajan de forma conjunta, aunque resulta que tienen objetivos comunes.
Por un lado, uno de los aspectos de la seguridad es la protección del entorno de producción de. Por otro lado, ITL persigue una administración eficiente de esos sistemas. Si tuviéramos que implantar ambos estándares ¿no sería interesante abordar beneficios comunes? No pretendo hablar aquí de todos los posibles, pero sí de algunos de los más importantes:
- Implantar procesos de administración y operación.
- Relacionar los objetivos de seguridad con los del negocio.
- Actualización de sistemas.
- Gestionar incidencias de seguridad.
Los procesos de administración y operación de sistemas deben estar escritos y asumidos por la organización. Debe estar por escrito cómo un servidor se instala en producción o cómo se aplican actualizaciones de software. Sólo por el simple hecho que eso se revise, ya está haciendo una acción de mejora continua.
Si un servidor de aplicaciones para internet, por ejemplo, no se administra o bien se hace basándose en la buena profesionalidad de ciertas personas, sin método, además de no ser eficiente, también es inseguro.
Objetivos de seguridad relacionados con los del negocio
Los estándares de seguridad incluyen los objetivos, indicadores y cuadros de mando de seguridad, pero eso es algo vacío si no está relacionado con los objetivos de nuestra organización.
Si hemos montado un servicio de venta de productos por internet, interesará a nuestra dirección el nivel de riesgo de seguridad, porque si es alto puede hacer que ese servicio deje de prestarse.
Un cuadro de mando de seguridad aislado no suele interesar más que al responsable de seguridad y está condenado a grandes esfuerzos porque continúe adelante.
La actualización de los sistemas
Los componentes software de un sistema informático debe revisarse periódicamente y aplicar sobre ellos actualizaciones de mejora de rendimiento, funcionalidades y, también, de seguridad.Si bien es cierto que todos los días surgen vulnerabilidades graves que implican que se deben aplicar actualizaciones urgentes, el beneficio de mantener los sistemas actualizado abarca más aspectos que la seguridad.
La gestión de las incidencias de seguridad
Los estándares de seguridad nos dicen que las incidencias de seguridad deben registrarse, analizarse y tomar medidas que dificulten al menos que en el futuro vuelvan a repetirse.
Pero ¿qué diferencia hay entre una incidencia de seguridad y de otro tipo? En el fondo, ninguna. Pues al final hay que registrarla, analizarla y resolver el problema que la ha provocado. De hecho la gestión de incidencias aparece como un proceso de ITIL, junto con la “gestión de problemas”, por ejemplo.
Las incidencias de seguridad, en mi opinión, debería ser la primera fuente, no la única, de los procesos continuos de mejora.
Enemigos comunes
Finalmente, otra prueba de que hay puntos comunes entre ITIL y los SGSI es que también tienen enemigos comunes. Frases como:
No hay tiempo de ponernos documentar lo que ya sabemos hacer todos.Son síntoma de que, si no se actúa sobre los problemas, tarde o temprano se volverán a producir.
Es muy difícil medir este o aquel objetivo y no vale la pena porque no vamos a ser precisos.
Este problema mejor que no se registre como incidente para que no se entere nadie.
Los departamentos de seguridad deben aliarse con los de producción y sistemas para conseguir esos objetivos comunes: la implantación del SGSI y de ITIL.
 |
| El Círculo ITIL |
# posted by Andres Pastor @ 10:41 AM 
