viernes, 24 de octubre de 2014

ITIL y los SGSI, beneficios comunes


Pedro Valcárcel
CISSP. Seguridad Social




ITIL y los SGSI, beneficios comunes

Estándares como ITIL y los SGSI (Sistemas de Gestión de Seguridad de la Información) tienen puntos en común en la adopción de controles de seguridad. Si se impulsan esos aspectos, se conseguirá un beneficio común.

A veces, en organizaciones grandes (empresas privadas y administraciones púbicas) los departamentos que se encargan de la gestión de sistemas informáticos y los de la seguridad no trabajan de forma conjunta, aunque resulta que tienen objetivos comunes.

Por un lado, uno de los aspectos de la seguridad es la protección del entorno de producción de. Por otro lado, ITIL persigue una administración eficiente de esos sistemas. Si tuviéramos que implantar ambos estándares ¿no sería interesante abordar beneficios comunes? No pretendo hablar aquí de todos los posibles, pero sí de algunos de los más importantes:

  •     Implantar procesos de administración y operación.
  •     Relacionar los objetivos de seguridad con los del negocio.
  •     Actualización de sistemas.
  •     Gestionar incidencias de seguridad.

Escribir y asumir los controles de seguridad de los procesos de gestión de los sistemas

Los procesos de administración y operación de sistemas deben estar escritos y asumidos por la organización. Debe estar por escrito cómo un servidor se instala en producción o cómo se aplican actualizaciones de software. Sólo por el simple hecho que eso se revise, ya está haciendo  una acción de mejora continua.
Si un servidor de aplicaciones para internet, por ejemplo, no se administra o bien se hace basándose en la buena profesionalidad de ciertas personas, sin método, además de no ser eficiente, también es inseguro.

Objetivos de seguridad relacionados con los del negocio

Los estándares de seguridad incluyen los objetivos, indicadores y cuadros de mando de seguridad, pero eso es algo vacío si no está relacionado con los objetivos de nuestra organización.

Si hemos montado un servicio de venta de productos por internet, interesará a nuestra dirección el nivel de riesgo de seguridad, porque si es alto puede hacer que ese servicio deje de prestarse.
Un cuadro de mando de seguridad aislado no suele interesar más que al responsable de seguridad y está condenado a grandes esfuerzos porque continúe adelante.

La actualización de los sistemas


Los componentes software de un sistema informático debe revisarse periódicamente y aplicar sobre ellos actualizaciones de mejora de rendimiento, funcionalidades y, también, de seguridad.

Si bien es cierto que todos los días surgen vulnerabilidades graves que implican que se deben aplicar actualizaciones urgentes, el beneficio de mantener los sistemas actualizado abarca más aspectos que la seguridad.

La gestión de las incidencias de seguridad


Los estándares de seguridad nos dicen que las incidencias de seguridad deben registrarse, analizarse y tomar medidas que dificulten al menos que en el futuro vuelvan a repetirse.

Pero ¿qué diferencia hay entre una incidencia de seguridad y de otro tipo? En el fondo, ninguna. Pues al final hay que registrarla, analizarla y resolver el problema que la ha provocado. De hecho la gestión de incidencias aparece como un proceso de ITIL, junto con la “gestión de problemas”, por ejemplo.

Las incidencias de seguridad, en mi opinión, no deberían ser la única fuente de los procesos continuos de mejora.

Enemigos comunes

Finalmente, otra prueba de que hay puntos comunes entre ITIL y los SGSI es que también tienen enemigos comunes. Frases como:

No hay tiempo de ponernos documentar lo que ya sabemos hacer todos.
Es muy difícil medir este o aquel objetivo y no vale la pena porque no vamos a ser precisos.
Este problema mejor que no se registre como incidente para que no se entere nadie.
Son síntoma de que, si no se actúa sobre los problemas, tarde o temprano se volverán a producir.
Los departamentos de seguridad deben aliarse con los de producción y sistemas para conseguir esos objetivos comunes: la implantación del SGSI y de ITIL.

El Círculo ITIL


2 comentarios:

Jose Luis Lapuente dijo...

Cuanta razón, y que poco tiempo tenemos en la practica para poner estas medidas en marcha

Anónimo dijo...

Me ha encantado tu articulo, Pedro, especialmente el apartado de enemigos comunes, tendemos a "taparnos los ojos" ante problemas; lo más efectivo es vivir las realidades y afrontarlas, ya que tarde o temprano se producirán, como bien dices.
Un abrazo
Elena Fernandez

Publicar un comentario

Agradecemos tu comentario