Gestión estratégica de seguridad en la empresa - Anetcom

More documents

Recommendations

Info

88 En definitiva, el Cuadro de Mandos de Seguridad de una organización es una herramienta metodológica de las organizaciones que permite integrar en un elemento único las actividades de seguimiento y/o reporte de la seguridad en la organización y de forma adaptada a la propia organización. A través de la consolidación de los diversos indicadores de seguridad identificados y el establecimiento de umbrales de tolerancia para los diversos indicadores seleccionados, pueden detectarse las alteraciones en el estado normal de la compañía, tendencias existentes, de forma que se pueda actuar. Por otra parte, el CMS puede integrarse en otros Cuadros de Mando integrales de que disponga la compañía colaborando para ofrecer una visión única del estado de la compañía. De esa forma, el CMS pasa a ser un elemento central en las actividades de seguimiento de la seguridad en las organizaciones. ◆ 2.9. Buenas prácticas de externalización de seguridad La externalización (outsourcing en inglés) es sin duda una práctica con creciente popularidad en todos los ámbitos del tejido empresarial, pero que dentro del sector TIC está teniendo una incidencia especialmente alta. Los motivos de su éxito son múltiples, pero posiblemente los más relevantes son: • Flexibilizar los costes de servicios tradicionalmente internos, que sobrecargaban la estructura de los departamentos de TI. • Buscar ayuda de expertos reputados para cubrir áreas en las que no existe conocimiento suficiente en la organización. • Disponer de servicios dimensionados en cada momento a las necesidades específicas del negocio de la Organización. • Tener capacidad para que la Organización se focalice en su negocio, y pueda confiar ciertos procesos a un especialista. (“Zapatero, a tus zapatos” como recuerda el aforismo) Una de las áreas donde mejor encaja este paradigma es precisamente en la de Seguridad de la Información. La externalización es habitualmente el modelo al que acuden organizaciones que tienen inquietudes en seguridad pero que, o bien carecen del personal apropiado, o no disponen de recursos o tiempo para poder acometer y focalizarse apropiadamente en dichas tareas.
La externalización es verdaderamente uno de los principales aliados de la Seguridad de la Información, pero su uso debe ser cautelosamente planteado y sus requisitos comprendidos y sopesados. A pesar de que la teoría dice que, cuando se externaliza, se debe preocupar del QUÉ y no del CÓMO, este planteamiento debe matizarse: los procesos que deben externalizarse son aquellos que aporten valor pero que permitan a la organización mantener el conocimiento de negocio de cada área. La externalización feroz en muchos casos ha finalizado con organizaciones con una dependencia total de un proveedor que ha pasado a conocer mejor el negocio que la propia entidad. Asimismo, externalizar debe ser sinónimo de medir y supervisar: dado que se plantea el traslado de determinados procesos a manos ajenas a la entidad, su rendimiento y calidad en la ejecución deben ser controlados con especial atención. En auxilio de las organizaciones que decidan abordar la externalización parcial o total de sus servicios TIC, surgen diversas buenas prácticas de Gestión de Servicios. Sin duda el principal exponente es ITIL, corazón de la norma ISO 20000 y a la que se dedicará un breve capítulo más adelante. Las buenas prácticas de Gestión de Servicios establecen diversos mecanismos que facilitarán de forma importante el control de servicios externalizados, siendo el más relevante para este caso el del SLA (Service Level Agreement, o Acuerdo de Nivel de Servicios). Su objetivo es fijar, mediante un contrato o acuerdo, los valores mínimos y el objetivo de rendimiento de cada servicio y establecer penalizaciones por su incumplimiento. Estos SLA se convertirán en parte integral del contrato de prestación de servicios establecido con el tercero y permitirán a la organización supervisar que la prestación se realiza de acuerdo a los parámetros de calidad establecidos. Aunque todo lo comentado previamente es válido para la externalización de diversos servicios TIC, los relacionados con la seguridad tienen ciertas peculiaridades que deben ser completamente comprendidas y contempladas antes de planificar su externalización. El primer punto, base de una externalización satisfactoria, fue identificado ya en la antigua Grecia con la inscripción que figuraba en la puerta del Oráculo de Delfos: “Conócete a ti mismo”. Es altamente desaconsejable sacar de la organización cualquier proceso que sea crítico para el negocio, al menos de forma completa y sin garantías. Para ello, la entidad previamente deberá comprender de forma completa cuáles son sus procesos críticos y hasta qué grado pueden ser externalizados. 89
Page 3 and 4:
Gestión Estratégica de Seguridad
Page 5 and 6:
Índice Prólogo 7 1. Introducción
Page 9 and 10:
Prólogo La Seguridad de los Sistem
Page 13 and 14:
Introducción Definitivamente era m
Page 15 and 16:
Ilustración 1.- Seguridad de la In
Page 17 and 18:
Dado el escenario planteado, en el
Page 19 and 20:
que se enfrenta su organización, s
Page 21 and 22:
fiduciarios y específicos de segur
Page 23 and 24:
Ilustración 2.- El papel del Gobie
Page 25:
sos humanos, tecnología, continuid
Page 28 and 29:
26 ción haga suya dicha política,
Page 30 and 31:
28 1. Definición del equipo de red
Page 32 and 33:
30 A la segunda de las preguntas se
Page 34 and 35:
32 les (ISO, NIST, etc.), así como
Page 36 and 37:
34 ¿Por qué incluir en un inventa
Page 38 and 39:
36 2.2.3. El riesgo como factor de
Page 40 and 41: 38 2.2.4. Algunas realidades en la
Page 42 and 43: 40 Cuando se aborda la determinaci
Page 44 and 45: ◆ 42 dicho análisis debe ser val
Page 46 and 47: 44 Su objetivo es por tanto prioriz
Page 48 and 49: 46 que a través del Plan Director
Page 50 and 51: 48 El último aspecto que se debe r
Page 52 and 53: 50 • La gestión. • Los sistema
Page 54 and 55: 52 • Existen varias líneas de de
Page 56 and 57: 54 La política de mantenimiento de
Page 58 and 59: 56 • Proporcionar seguridad de lo
Page 60 and 61: 58 tructura de cortafuegos, segment
Page 62 and 63: 60 • Dispositivos móviles accedi
Page 64 and 65: 62 • Accesos remotos (redes priva
Page 66 and 67: 64 Estas tecnologías suelen trabaj
Page 68 and 69: 66 de la continuidad se ha converti
Page 70 and 71: 68 ción y los recursos necesarios
Page 72 and 73: 70 ble de servicio estima que la en
Page 74 and 75: 72 Ilustración 14.- Priorización
Page 76 and 77: 74 la intimidad personal y familiar
Page 78 and 79: 76 Gestión de incidencias Control
Page 80 and 81: 78 • Los precios de los productos
Page 82 and 83: 80 para la realización de las audi
Page 84 and 85: 82 Si lo deseado es un resultado ho
Page 86 and 87: 84 le queda en el depósito o si ha
Page 88 and 89: 86 los indicadores y métricas de s
Page 92 and 93: 90 Otro caso especialmente relevant
Page 94 and 95: 92 • Certificaciones de Seguridad
Page 96 and 97: 94 • ISO/IEC 27001 se centra en l
Page 98 and 99: 96 pero que no sabe si se está rea
Page 100 and 101: 98 económicos. Por ello, es fundam
Page 102 and 103: 100 esta fase se encarga también d
Page 104 and 105: 102 COBIT® parte de un concepto se
Page 106 and 107: ◆ 3.3. Gestión de Servicios TI:
Page 108 and 109: 106 1. Alcance. 2. Términos y defi
Page 111: • ISO 17799 • COBIT • ISO 270
show all

Gestión estratégica de seguridad en la empresa - Anetcom

Create successful ePaper yourself

Delete template?

Save as template?