¿Qué es la norma ISO 27000?
Es un código de buenas prácticas para la gestión de la seguridad de la información.
La seguridad de la información pretende proteger la información de posibles amenazas.
Objetivos:
Continuidad del negocio.
Minimizar el riesgo comercial.
Maximizar el retorno de las inversiones.
¿Qué hace?
La norma ISO 27002 propone controles para reducir los riesgos a niveles aceptables.
La ISO 27001 dice lo que se debe hacer en cada control (más o menos un párrafo).
La ISO 27002 dice como se debe hacer cada control (una página o más).
Los controles esenciales para esta norma son:
Protección de datos y privacidad de la información personal.
Protección de los registros organizacionales.
Derechos de protección intelectual.
Los controles considerados práctica común son:
Documento de la política de seguridad de la información.
Asignación de responsabilidades de la seguridad de la información.
Conocimiento, educación y capacitación en seguridad de la información.
Procesamiento correcto en las aplicaciones.
Gestión de la vulnerabilidad técnica.
Gestión de la continuidad comercial.
Gestión de los incidentes y mejoras de la seguridad de la información.
Los controles de seguridad son:
Políticas de Seguridad.
Aspectos Organizativos de la Seguridad de la Información.
Gestión de Activos.
Seguridad Ligada a los Recursos Humanos.
Seguridad Física y Ambiental.
Control de Accesos.
Seguridad en la Operativa.
Seguridad en las Telecomunicaciones.
Adquisición, Desarrollo y Mantenimiento de los Sistemas de Información.
Gestión de Incidentes.
Aspectos de la Seguridad de la Información en la Gestión de la Continuidad de negocio.
Cumplimiento.
Metodologia ITIL
(Para entender que hace ITIL hay que entender que es un servicio TI)
Servicio de las tecnologías de la información (TI).
Un servicio de TI es entregado a los usuarios mediante un conjunto de cajas (tecnología), personas que manejan las cajas (gente) e instrucciones y relaciones entre ellos (procesos).
Es por ello que el área de TI debe entender que lo que administra y da a sus usuarios son servicios de TI, no dispositivos.
El reto es lograr la integración eficiente de gente, procesos y tecnología para una mejor
administración de los servicios de TI, optimizando el uso de los recursos y mejorando constantemente los niveles de servicio.
La administración de procesos surge para adaptar la estructura jerárquica de las organizaciones a las necesidades de los clientes.
Estructuras con base en departamentos funcionales que dificultan la orientación hacia el cliente.
Organigramas muy jerárquicos divididos en múltiples niveles.
En la vida diaria de la organización lo que se tiene son procesos que fluyen horizontalmente, atravesando los organigramas jerárquicos.
¿Qué es ITIL?
ITIL (Information Technology Infraestructure Library o Biblioteca de Infraestructuras de las Tecnologías de la Información).
Es un marco de referencia que describe un conjunto de las mejores prácticas y recomendaciones para la administración de servicios de TI.
¿En qué consiste ITIL?
ITIL V3 sólo consta de cinco libros, que están estructurados en torno al ciclo de vida del servicio.
1 Estrategia de servicios.
Tiene como objetivo convertirla gestión del servicio en un activo estratégico.
Se deben determinar qué servicios deben ser prestados y el motivo por el cual se prestarán.
Tanto desde la perspectiva del cliente como la del mercado.
2 Diseño de servicios.
Tiene como objetivo diseñar nuevos servicios o modificar los ya existentes para incorporarlos al catálogo de servicios.
Posteriormente deben pasar al entorno de producción.
3 Transición de servicios.
Tiene como objetivo hacer que los productos y servicios definidos en la fase de diseño se integren en el entorno de producción.
Al finalizar deben estar accesibles a clientes y usuarios autorizados.
4 Operación de servicios.
Asegura que se ofrecen los servicios de TI de forma efectiva y eficiente.
Incluye resolver los fallos de servicio y garantizar que se cumplen los requisitos especificados.
Es la fase más crítica del sistema.
5 Mejora contínua de servicios.
Se debe buscar ofrecer los mejores servicios a los clientes según sus necesidades para obtener:
Los mayores retornos de la inversión.
La mayor satisfacción de los clientes.
Monitorización continúa.
No hay comentarios:
Publicar un comentario