Gestión de La Segurida1
5
Gestión de la Seguridad Aplicación de las Medidas de Seguridad Por muy buena que sea la planificación de la seguridad resultará inútil si las medidas previstas no se ponen en práctica. Es responsabilidad de la Gestión de Seguridad coordinar la implementación de los protocolos y medidas de seguridad establecidas en la Política y el Plan de Seguridad. En primer lugar la Gestión de la Seguridad debe verificar que: El personal conoce y acepta las medidas de seguridad establecidas así como sus responsabilidades al respecto. Los empleados firmen los acuerdos de confidencialidad correspondientes a su cargo y responsabilidad. Se imparte la formación pertinente. Es también responsabilidad directa de la Gestión de la Seguridad: Asignar los recursos necesarios. Generar la documentación de referencia necesaria. Colaborar con el Service Desk y la Gestión de Incidentes en el tratamiento y resolución de incidentes relacionados con la seguridad. Instalar y mantener las herramientas de hardware y software necesarias para garantizar la seguridad. Colaborar con la Gestión de Cambios y Versiones para asegurar que no se introducen nuevas vulnerabilidades en los sistemas en producción o entornos de pruebas. Proponer RFCs a la Gestión de Cambios que aumenten los niveles de seguridad. Colaborar con la Gestión de la Continuidad del Servicio para asegurar que no peligra la integridad y confidencialidad de los datos en caso de desastre. Establecer las políticas y protocolos de acceso a la información. Monitorizar las redes y servicios en red para detectar intrusiones y ataques. Es necesario que la gestión de la empresa reconozca la autoridad de la Gestión de la Seguridad respecto a todas estas cuestiones y que incluso permita que ésta proponga medidas disciplinarias vinculantes cuando los empleados u otro personal relacionado con la seguridad de los servicios incumpla con sus responsabilidades. Gestión de la Seguridad Evaluación y Mantenimiento Evaluación No es posible mejorar aquello que no se conoce, es por la tanto indispensable evaluar el cumplimiento de las medidas de seguridad, sus resultados y el cumplimiento de los SLAs. Aunque no es imprescindible, es recomendable que estas evaluaciones se complementen con auditorías de seguridad externas y/o internas realizadas por personal independiente de laGestión de la Seguridad.
description
gn fh
Transcript of Gestión de La Segurida1
Gestión de la SeguridadAplicación de las Medidas de Seguridad
Por muy buena que sea la planificación de la seguridad resultará inútil si las medidas previstas no se ponen en práctica.
Es responsabilidad de la Gestión de Seguridad coordinar la implementación de los protocolos y medidas de seguridad establecidas en la Política y el Plan de Seguridad.
En primer lugar la Gestión de la Seguridad debe verificar que:
El personal conoce y acepta las medidas de seguridad establecidas así como sus responsabilidades al respecto.
Los empleados firmen los acuerdos de confidencialidad correspondientes a su cargo y responsabilidad.
Se imparte la formación pertinente.
Es también responsabilidad directa de la Gestión de la Seguridad:
Asignar los recursos necesarios.
Generar la documentación de referencia necesaria.
Colaborar con el Service Desk y la Gestión de Incidentes en el tratamiento y resolución de incidentes relacionados con la seguridad.
Instalar y mantener las herramientas de hardware y software necesarias para garantizar la seguridad.
Colaborar con la Gestión de Cambios y Versiones para asegurar que no se introducen nuevas vulnerabilidades en los sistemas en producción o entornos de pruebas.
Proponer RFCs a la Gestión de Cambios que aumenten los niveles de seguridad.
Colaborar con la Gestión de la Continuidad del Servicio para asegurar que no peligra la integridad y confidencialidad de los datos en caso de desastre.
Establecer las políticas y protocolos de acceso a la información.
Monitorizar las redes y servicios en red para detectar intrusiones y ataques.
Es necesario que la gestión de la empresa reconozca la autoridad de la Gestión de la Seguridad respecto a todas estas cuestiones y que incluso permita que ésta proponga medidas disciplinarias vinculantes cuando los empleados u otro personal relacionado con la seguridad de los servicios incumpla con sus responsabilidades.
Gestión de la SeguridadEvaluación y Mantenimiento
Evaluación
No es posible mejorar aquello que no se conoce, es por la tanto indispensable evaluar el cumplimiento de las medidas de seguridad, sus resultados y el cumplimiento de los SLAs.
Aunque no es imprescindible, es recomendable que estas evaluaciones se complementen con auditorías de seguridad externas y/o internas realizadas por personal independiente de laGestión de la Seguridad.
Estas evaluaciones/auditorias deben valorar el rendimiento del proceso y proponer mejoras que se plasmaran en RFCs que habrán de ser evaluados por la Gestión de Cambios.
Independientemente de estas evaluaciones de carácter periódico se deberán generar informes independientes cada vez que ocurra algún incidente grave relacionado con la seguridad. De nuevo, si la Gestión de la Seguridad lo considera oportuno, estos informes se acompañaran de las RFCs correspondientes.
Mantenimiento
La Gestión de la Seguridad es un proceso continuo y se han de mantener al día el Plan de Seguridad y las secciones de seguridad de los SLAs.
Los cambios en el Plan de Seguridad y los SLAs pueden ser resultado de la evaluación arriba citada o de cambios implementados en la infraestructura o servicios TI.
No hay nada más peligroso que la falsa sensación de seguridad que ofrecen medidas de seguridad obsoletas.
Es asimismo importante que la Gestión de la Seguridad esté al día en lo que respecta a nuevos riesgos y vulnerabilidades frente a virus, spyware, ataques de denegación de servicio, etcétera, y que adopte las medidas necesarias de actualización de equipos de hardware y software, sin olvidar el apartado de formación: el factor humano es normalmente el eslabón más débil de la cadena.
estión de la SeguridadControl del Proceso
Al igual que en el resto de procesos TI es necesario realizar un riguroso control del proceso para asegurar que la Gestión de la Seguridad cumple sus objetivos.
Una buena Gestión de la Seguridad debe traducirse en una:
Disminución del número de incidentes relacionados con la seguridad.
Un acceso eficiente a la información por el personal autorizado.
Gestión proactiva que permita identificar vulnerabilidades potenciales antes de que estas se manifiesten y provoquen una seria degradación de la calidad del servicio.
La correcta elaboración de informes permite evaluar el rendimiento de la Gestión de Seguridad y aporta información de vital importancia a otras áreas de la infraestructura TI.
Entre la documentación generada cabría destacar:
Informes sobre el cumplimiento, en lo todo lo referente al apartado de seguridad, de los SLAs, OLAs y UCs en vigor.
Relación de incidentes relacionados con la seguridad calificados por su impacto sobre la calidad del servicio.
Evaluación de los programas de formación impartidos y sus resultados.
Identificación de nuevos peligros y vulnerabilidades a las que se enfrenta la infraestructura TI.
Auditorías de seguridad.
Informes sobre el grado de implementación y cumplimiento de los planes de seguridad establecidos.
Caso Práctico
La gestión de "Cater Matters" es consciente que un enfoque sobre la seguridad basado exclusivamente en el concepto de "fortificación frente a ataques" no se corresponde con las necesidades de negocio.
Es importante que los clientes de "Cater Matters" tengan acceso a información actualizada sobre sus pedidos, pagos pendientes, etcétera y eso requiere la interacción con el ERP de la empresa.
Esto, obviamente, presenta algunos problemas de seguridad adicionales pues han de abrirse canales al exterior desde el núcleo TI de la organización.
La dirección de "Cater Matters" ha decidido crear una serie de Web Services que permitan el acceso a dicha información preservando su confidencialidad e integridad. Esto requiere la revisión del Plan de Seguridad y las secciones de seguridad de los SLAs en vigor.
Como medidas de seguridad básicas:
Se limitan los rangos de IPs que pueden acceder al servicio. Sólo IPs autorizadas de clientes podrán disponer del servicio.
Se implementan protocolos de encriptación de los archivos XML intercambiados.
Se requiere autenticación para el acceso al servicio.
Se monitoriza la interacción con la aplicación para detectar posibles ataques externos.
Se guarda un registro de uso: quién, cuándo y cómo utilizó la aplicación.
Se autoriza un solo canal de entrada a los servidores locales a través de los servidores web de la empresa.
Se propone una evaluación periódica del servicio con el objetivo de detectar vulnerabilidades y adoptar medidas correctivas.
El objetivo es dar un servicio de calidad y con altos niveles de seguridad que fidelice a los clientes en un tiempo de rápido desarrollo en el que la competencia se encuentra a un "solo clic de distancia".
Gestión de la SeguridadCaso Práctico
La gestión de "Cater Matters" es consciente que un enfoque sobre la seguridad basado exclusivamente en el concepto de "fortificación frente a ataques" no se corresponde con las necesidades de negocio.
Es importante que los clientes de "Cater Matters" tengan acceso a información actualizada sobre sus pedidos, pagos pendientes, etcétera y eso requiere la interacción con el ERP de la empresa.
Esto, obviamente, presenta algunos problemas de seguridad adicionales pues han de abrirse canales al exterior desde el núcleo TI de la organización.
La dirección de "Cater Matters" ha decidido crear una serie de Web Services que permitan el acceso a dicha información preservando su confidencialidad e integridad. Esto requiere la revisión del Plan de Seguridad y las secciones de seguridad de los SLAs en vigor.
Como medidas de seguridad básicas:
Se limitan los rangos de IPs que pueden acceder al servicio. Sólo IPs autorizadas de clientes podrán disponer del servicio.
Se implementan protocolos de encriptación de los archivos XML intercambiados.
Se requiere autenticación para el acceso al servicio.
Se monitoriza la interacción con la aplicación para detectar posibles ataques externos.
Se guarda un registro de uso: quién, cuándo y cómo utilizó la aplicación.
Se autoriza un solo canal de entrada a los servidores locales a través de los servidores web de la empresa.
Se propone una evaluación periódica del servicio con el objetivo de detectar vulnerabilidades y adoptar medidas correctivas.
El objetivo es dar un servicio de calidad y con altos niveles de seguridad que fidelice a los clientes en un tiempo de rápido desarrollo en el que la competencia se encuentra a un "solo clic de distancia".
Caso Práctico
La gestión de "Cater Matters" es consciente que un enfoque sobre la seguridad basado exclusivamente en el concepto de "fortificación frente a ataques" no se corresponde con las necesidades de negocio.
Es importante que los clientes de "Cater Matters" tengan acceso a información actualizada sobre sus pedidos, pagos pendientes, etcétera y eso requiere la interacción con el ERP de la empresa.
Esto, obviamente, presenta algunos problemas de seguridad adicionales pues han de abrirse canales al exterior desde el núcleo TI de la organización.
La dirección de "Cater Matters" ha decidido crear una serie de Web Services que permitan el acceso a dicha información preservando su confidencialidad e integridad. Esto requiere la revisión del Plan de Seguridad y las secciones de seguridad de los SLAs en vigor.
Como medidas de seguridad básicas:
Se limitan los rangos de IPs que pueden acceder al servicio. Sólo IPs autorizadas de clientes podrán disponer del servicio.
Se implementan protocolos de encriptación de los archivos XML intercambiados.
Se requiere autenticación para el acceso al servicio.
Se monitoriza la interacción con la aplicación para detectar posibles ataques externos.
Se guarda un registro de uso: quién, cuándo y cómo utilizó la aplicación.
Se autoriza un solo canal de entrada a los servidores locales a través de los servidores web de la empresa.
Se propone una evaluación periódica del servicio con el objetivo de detectar vulnerabilidades y adoptar medidas correctivas.
El objetivo es dar un servicio de calidad y con altos niveles de seguridad que fidelice a los clientes en un tiempo de rápido desarrollo en el que la competencia se encuentra a un "solo clic de distancia".
