Relaciones con los otros procesos

La Gestión de la Seguridad tiene relación con los otros procesos ITIL (ver Figura 1 5.2). Esto es porque los otros procesos llevan a cabo actividades relacionadas con la seguridad. Estas actividades se desarrollan normalmente bajo la responsabilidad de los procesos pertinentes y del gestor de proceso.

Sin embargo, la Gestión de la Seguridad da instrucciones a los otros procesos sobre la estructura de las actividades relacionadas con la seguridad. Por lo general, estos acuerdos se definen tras una consulta entre el Gestor de Seguridad y los otros gestores de proceso.

Gestión de la Seguridad

Figura 152 Relaciones de la Gestión de la Seguridad con los otros procesos (fuente: OCC)

Gestión de Configuraciones

En el contexto de Seguridad de Información, la Gestión de Configuraciones es en primera instancia relevante porque puede clasificar los Ítems de Configuración (CI). Esta clasificación vincula la CI con las medidas de seguridad o procedimientos.

La clasificación de un CI indica su confidencialidad, integridad y disponibilidad necesaria. Esta clasificación se basa en los registros de seguridad del SLA. El cliente de la organización TI determina la clasificación ya que solo el cliente puede decidir cuán importante es la información o los sistemas de información para el negocio. El cliente basa la clasificación en el análisis de hasta qué grado los procesos del negocio dependen del sistema de información y de la información. Después, la organización asocia la clasificación con las CIs que corresponda. La organización TI también debe implementar este conjunto de medidas de seguridad para cada nivel de clasificación.

Este conjunto de medidas se puede describir en los procedimientos. Ejemplo: "Procedimiento para manejar el almacenamiento de datos a publicar con datos de personal". El SLA puede definir los conjuntos de medidas de seguridad para cada nivel de clasificación.

El sistema de clasificación debe adaptarse siempre a la organización de clientes. Sin embargo, para simplificar la gestión es aconsejable utilizar un sistema de clasificación unificado, aún si la organización TI tiene más de un cliente.

En resumen, la clasificación es un tema clave. La CMDB debería indicar la clasificación de cada CI. Esta clasificación vincula al CI con el conjunto de medidas de seguridad o procedimiento que corresponde.

Gestión de Incidentes

La Gestión de Incidentes es un proceso importante para informar sobre los incidentes de seguridad. Dependiendo de la naturaleza del incidente, los incidentes de seguridad pueden estar cubiertos por un procedimiento distinto que los otros. Por lo canto, es esencial que la Gestión de Incidentes reconozca los incidentes como tales.

Cualquier incidente que pueda interferir con el alcance de los requisitos de seguridad del SLA se clasifica como incidente de seguridad. Resulta útil incluir en el SLA una descripción del tipo de incidentes a considerar como incidente de seguridad.

Cualquier incidente que interfiera en el logro del nivel de seguridad básico interno (línea de referencia) cambien se clasifica como incidente de seguridad.

Resulta imprescindible que la Gestión de Incidentes reconozca todos los incidentes de seguridad para garantizar el comienzo de los procedimientos correctos para tratar éstos. Es aconsejable incluir los procedimientos para los diferentes tipos de incidentes de seguridad en los planes SLA y practicar el procedimiento. Además, es aconsejable acordar un procedimiento para comunicar la sucesión de éstos. Es común que haya pánico por rumores desproporcionados. De igual manera, es común que el daño resulte de un fallo en comunicar a tiempo los incidentes de seguridad. Es aconsejable dirigir todas las comunicaciones externas a través del Gestor de Seguridad.

Gestión de Problemas

Gestión de Problemas es responsable de identificar y solucionar los fallos de seguridad estructurales.

Un problema también puede introducir un riesgo de seguridad. En ese caso, la Gestión de Problemas debe incluir a la Gestión de la Seguridad para resolver el problema. Finalmente, la solución o el workaround del problema o error conocido se deben evaluar siempre para garantizar que no introduzca nuevos problemas de seguridad. Esta verificación se debe basar en el cumplimiento del SLA y en los requisitos de seguridad interna.

Gestión de Cambios

Las actividades de la Gestión de Cambios generalmente se encuentran asociadas con la seguridad porque la Gestión de Cambios y de la Seguridad son interdependientes. Si se ha alcanzado un nivel de seguridad aceptable, y se maneja con el proceso de Gestión de Cambios, se puede garantizar que el mismo nivel de seguridad se proporcionará después de los cambios. Hay un número de operaciones estándar para garantizar el mantenimiento de este nivel de seguridad. Cada RFC está asociada con cierta cantidad de parámetros que gobiernan el proceso de aceptación. Los parámetros de urgencia e impacto se pueden suplementar con un parámetro de seguridad. Sí la RFC puede tener un impacto significativo en la información de seguridad entonces se necesitarán pruebas de aceptación y procedimiento más extensos.

La RFC también debe incluir una propuesta para tratar los temas de seguridad. Otra vez, se deberá basar en los requisitos SLA y en el nivel básico de seguridad interna que necesita la organización TI. Así, la propuesta incluirá un conjunto de medidas de seguridad, basado en el código de prácticas.

Preferentemente, el Gestor de Seguridad (y posiblemente el Oficial de Seguridad del Cliente) debe formar parte del Consejo Asesor de Cambio (CAB).

Sin embargo, no se debe consultar al Gestor de Seguridad sobre todos los cambios. La seguridad por lo general debería estar integrada en las operaciones de rutina. El Gestor de Cambios debería poder decidir si ellos o el CAB necesitan información del Gestor de Seguridad. Asimismo, el Gestor de Seguridad no es necesario que esté involucrado en la selección de las medidas para las CIs cubiertas por un RFC. Esto es porque el marco de trabajo de las medidas relevantes ya debería existir. Cualquier pregunta sólo debería tener relación con la forma en que se implementan éstas.

Cualquier medida de seguridad asociada a un cambio se debe implementar al mismo tiempo que éste, y debe incluirse en las pruebas. Las pruebas de seguridad no son iguales a las evaluaciones normales. Las pruebas normales tienden a investigar si las funciones definidas están disponibles.

Las pruebas de seguridad, además de mencionar la disponibilidad de las funciones de seguridad, también mencionan la ausencia de otras funciones no deseables ya que podrían reducir la seguridad del sistema. En términos de seguridad, la Gestión de Cambios es uno de los procesos más importantes ya que esta gestión introduce nuevas medidas de seguridad a la infraestructura TI al realizar cambios en la misma infraestructura.

Gestión de la Seguridad

Gestión de Versiones

Todas las nuevas versiones de hardware, software, equipos de comunicaciones de datos, etc., deben estar controladas y puestas en funcionamiento por la Gestión de Versiones. Este proceso debería garantizar que: - Se utilice el hardware y el software que corresponde.

- Se pruebe el hardware y el software antes de usarlos.

- La introducción está correctamente autorizada usando un cambio - El software es legal.

- El software está libre de virus y que los virus no se introducen durante la distribución.

- Se conocen los números de versión y que la Gestión de Configuraciones los registró en la CMDB. - El rollout está manejado eficazmente.

Este proceso también usa un procedimiento de aceptación regular que debería incluir aspectos de Seguridad de Información. Es muy importante considerar los aspectos de seguridad durante las pruebas y la aceptación. Esto significa que los requisitos y las medidas definidas en el SLA deberán cumplirse en todo momento.

Gestión de Niveles de Servicio

La Gestión de Niveles de Servicio garantiza que se definan y se alcancen los acuerdos sobre los servicios a proveer al cliente. Los Acuerdos de Nivel de Servicio también deberían mencionar las medidas de seguridad. El objetivo es optimizar el nivel de servicio provisto.

La Gestión de Niveles de Servicio incluye cierta cantidad de actividades de seguridad relacionadas, en las que la Gestión de la Seguridad juega un rol muy importante.

1. Identificar las necesidades de seguridad del cliente. Naturalmente, determinar las necesidades de seguridad es responsabilidad del cliente ya que estas necesidades se basan en los intereses del negocio. 2. Identificar la factibilidad de los requisitos de seguridad del cliente.

3. Proponer, discutir y definir el nivel de seguridad de los servicios TI en el SLA.

4. Identificar, desarrollar y definir los requisitos de seguridad internos para los servicios TI (Acuerdos de Nivel de Operaciones).

5. Monitorización de los estándares de seguridad (OLAs). 6. Elaborar informes sobre los servicios TI a proveer.

La Gestión de la Seguridad proporciona entrada y soporte a la Gestión de Niveles de Servicio en lo relacionado con las actividades 1-3. Las actividades 4 y 5 están a cargo de la Gestión de la Seguridad.

La Gestión de la Seguridad y los otros procesos dan entrada a la actividad 6. El Gestor de Nivel de Servicio y el de Seguridad deciden juntos quién desarrolla las actividades.

Cuando se define un SLA por lo general se asume que existe un nivel de seguridad general básico (línea de referencia). Los requisitos de seguridad adicionales del cliente se deben especificar en el SLA.

Gestión de la Disponibilidad

Gestión de la Disponibilidad maneja la disponibilidad técnica de los componentes TI en relación a la disponibilidad del servicio. Se asegura la calidad de disponibilidad por la continuidad, el mantenimiento, y la resistencia. La Gestión de la Disponibilidad es el proceso más importante relacionado con la disponibilidad. Como muchas medidas de seguridad benefician tanto a la disponibilidad como a los aspectos de seguridad relativos a confidencialidad e integridad, es esencial coordinar eficazmente las medidas entre la Gestión de la Disponibilidad, la Gestión de Continuidad de Servicios TI y la Gestión de la Seguridad.

Gestión de la Capacidad

La Gestión de la Capacidad es responsable del mejor uso posible de los recursos TI, como se acordó con el cliente. Los requisitos de rendimiento se basan en los estándares cualitativos y cuantitativos definidos por la Gestión de Niveles de Servicio. Casi todas las actividades de la Gestión de la Capacidad afectan la disponibilidad y por lo tanto a la Gestión de la Seguridad.

Gestión de Continuidad de Servicios TI

La Gestión de Continuidad de Servicios TI garantiza que el impacto de cualquier contingencia se límite a los niveles acordados con el cliente. Las contingencias no necesariamente deben derivar en desastres. Las actividades más importantes son la definición, mantenimiento, implementación, y la prueba del plan de contingencia así como la toma de medidas preventivas. Dados los aspectos de seguridad, hay vínculos con la Gestión de la Seguridad. Por otro lado, la falta de cumplimiento de los requisitos de seguridad básicos pueden considerarse en si una contingencia.