3.4 Gestión de la seguridad de la información.
Gestiona las implicaciones que se deriven de la puesta en marcha de un servicio IT en seguridad, de modo que no sea mermado o atacado; su información posee 3 pilares que la hacen susceptible de ser un aspecto a cuidar, además de un cuarto que las complementa y da coherencia.
1.- Disponibilidad: los clientes deben tener acceso cuando lo necesiten.
2.- Integridad: la información es correcta, completa y sin modificaciones por no autorizados.
3.- Confidencialidad: la información sólo accesible a quienes se dirige.
4.- Legalidad: que la información cumple con los requisitos legales del ámbito que le atañe y está envuelta.
Por lo anterior se deduce que la gestión de la seguridad tiene como objetivo tanto cumplir con los requisitos de seguridad de los SLA relacionados con la legislación, políticas externas y contratos para disponer de seguridad concreta, además de que siempre debe estar activa y atenta a los cambios producidos, por lo que en materia deben establecerse 3 fases de actuación:
- Planificación: estableciendo objetivos que definan un plan.
- Seguimiento: manteniendo, evaluando y supervisando los procesos.
- Ejecución: poniendo en marcha las mejoras detectadas dispuestas en el plan de seguridad.
Todo lo anterior destacando las siguientes relaciones.
3.4.1 Planificación de la gestión de la seguridad: que establece un cronograma y define unas responsabilidades para la ejecución del plan de seguridad y su mantenimiento, por lo que se recomienda la existencia de este documento rector que determina las responsabilidades a llevar a cabo, estableciendo la política de seguridad y dentro de ella las responsabilidades, el porqué de las medidas de seguridad, objetivos, estructura organizativa, coherencia con estrategia de negocio, y seguridad de los activos.
El plan de seguridad traspone las necesidades de seguridad a los niveles de servicio pactados con el cliente los de gestión interna a los contratos de soporte, definiendo: el alcance de la seguridad, objetivos, protocolos en marcha, responsabilidades, protocolos de actuación, seguimiento identificación y evaluación de riesgos, recursos y personas, herramientas, y mejoras de seguridad.
3.4.2 Ejecución: poner en marcha el plan de seguridad y conseguir los objetivos definidos, así como cerciorarse de que se lleven a cabo: la asignación de funciones y responsabilidades desplegadas, la documentación al día y actualizada, las políticas y protocolos en práctica, la identificación y evaluación de riesgos, presupuestos, recursos, colaboración con otras áreas, coordinación con la gestión de incidencias y service desk, control de proveedores, gestión de continuidad y cambios, apoyo a las peticiones de cambio y disponibilidad.
3.4.3 Seguimiento: monitoriza el servicio para conocer si se cumplen los objetivos planteados respecto a la seguridad y evolución y ejecución del plan de seguridad, estableciendo métodos de medición para conocer el grado de rendimiento de los procesos, protocolos y planes puestos en marcha, de manera que se haga un seguimiento correcto, por lo que al final se recogerán las conclusiones recogidas tanto por la medición de rendimiento de procesos como de los planes puestos en marcha.
3.4.4 Mejora o mantenimiento: para progresar en la gestión de la seguridad incrementando la eficiencia y eficacia, por lo que debe ser constante debido a que los aspectos relacionados con la seguridad cambian a diario, por lo que hay que evitar la multitud de ataques, como por ejemplo: la falsa identidad(phishing), inyecciones de sql en campos no protegidos, spyware, spam, virus o clickjacking.
3.5 Gestión de proveedores.
Tiene como objetivo conocer cómo, cuándo y porqué contratar los servicios o productos de ciertas empresas para apoyo al servicio que el cliente necesita o la infraestructura de la organización, y con ella podemos conocer cómo trabajan los proveedores mediante una serie de aspectos dependientes de las necesidades, gestionándose a través de los Contratos de Soporte(UCs), por lo que a su tiempo éstos proveedores pasan a formar parte del soporte del servicio, y que tienen un peso específico en la puesta en marcha de los servicios, encontrándose entre el cliente y la organización, por lo que deben valorarse los aspectos mas determinantes de cara al servicio a ofrecer al cliente: calidad, precio, tiempo de respuesta, flexibilidad, conocimiento de soluciones de mercado, tiempo y calidad en resolución de incidencias,amabilidad de interlocutores, experiencia, etc.
- Establecer un baremo de puntuación para valorar.
- Registrar incidencias del servicio en una base de datos.
- Registrar los puntos fuertes resaltables del proveedor.
- Reevaluar a los proveedores al menos una vez al año.
- Eliminar los que no estén a la altura.
3.6 Gestión de la capacidad.
Procura que el servicio disponga de la capacidad de recursos necesaria y en el momento en el que se demande, y que la gestión proporcione una contención del gasto por ineficiencias en la capacidad, debe velar por:
-Monitorizar el rendimiento de la infraestructura.
-Controlar y analizar el alcance de la infraestructura actual.
-Modelado o simulación para determinar requisitos y necesidades de la capacidad.
-Planificar mediante un plan de capacidad para condiciones futuras,y que sin este se realizan compras indebidas conllevando un gasto mayor del necesario, y que este plan tiene beneficios como:
- Reducción de riesgos de disminución de la calidad del servicio gracias al control de recursos.
- Eficacia en respuesta y flexibilidad a nuevas necesidades.
- Reducción de costes y control del gasto.
La gestión de la capacidad sigue el proceso a continuación, y que se detallará más adelante.
No hay comentarios:
Publicar un comentario