ITIL y la Gestión de la Seguridad

Muchas organizaciones se permiten considerar la seguridad como un proceso o un sistema aislado de los demás. La seguridad tiene que formar parte de la organización y no debe basarse en el conocimiento de un conjunto de expertos en técnicas de ataques y defensas de los activos TIC de cada organización.

Cada información debe tener unos atributos de confidencialidad, integridad y disponibilidad que de forma dinámica les acompañen en su ciclo de vida. Preocuparse de la seguridad en momentos puntuales (desastres, robos, virus) es, según los ponentes, un lujo que pocas empresas se pueden permitir.

¿Cuál es el objetivo de la seguridad? Permitir la toma de decisiones de frente a un riesgo. La seguridad debe ser gestionada de forma continuada, desde el momento de la creación de la información hasta el momento de su destrucción.

Existen diferentes marcos de referencia sobre los procesos de gestión TIC, pero debemos destacar la guía de mejores práctica de ITIL BS15000, como el estándar de facto. Como hemos descrito anteriormente en esta librería de procesos se definen las funciones responsables de la provisión y soporte de los servicios TIC. Cualquier proceso como es la Gestión de la Seguridad de Servicios TIC, tiene que poder soportarse en este marco de gestión. ITIL no sustituye los procesos de seguridad y calidad, sino que se apoya en los mismos.

UNE-ISO/IEC: 27001

Las políticas de seguridad, la organización, la clasificación de datos y activos, la seguridad física y lógica de las comunicaciones y operaciones, control de accesos, aplicaciones y cumplimiento legal son objetivos de la seguridad que el comité técnico AEN/CTN 71 Tecnología de la Información (SC 27) en el 2007 traduce al español las normas BS 17999 y surgen las normas UNE-ISO/IEC:
* UNE-ISO/IEC 27001:2005. Tecnología de la Información. Técnicas de Seguridad. Sistemas de Gestión de Seguridad de la Información. Requisitos.
* UNE-ISO/IEC 17799. Tecnología de la Información. Técnicas de Seguridad. Sistemas de Gestión de Seguridad de la Información. Código de buenas prácticas.

Estas normas internacionales establecen un enfoque por procesos para la creación, implementación, operación, supervisión, revisión, mantenimiento y mejora del SGSI de la organización.

Planificar: Definir las políticas, objetivos, procesos y procedimientos, del SGSI.

Hacer: Implementar el SGSI.

Verificar: Evaluar el rendimiento y la experiencia real del SGSI.

Actuar: Adoptar medidas preactivas y correctivas en función de la auditoria del SGSI.

Unless otherwise stated, the content of this page is licensed under Creative Commons Attribution-ShareAlike 3.0 License