Universidad Nacional Autónoma de México
Dirección General de Servicios de Cómputo Académico
Año 7 Núm. 74, Publicación Mensual, 27 de Noviembre de 2008

ARTÍCULOS

 

Año 5, Número 48, Abril de 2006

Administración de la seguridad en ITIL

Betzabé Falfán Jiménez

 

La Biblioteca de Infraestructura de Tecnología de Información (ITIL), desarrollada a finales de 1980, a la fecha es considerada como una de las mejores prácticas en la administración y explotación de la infraestructura de tecnologías de la información (TI)1. ITIL implica diferentes procesos para llevar a cabo dicha administración, entre los cuales se encuentra la seguridad de la información, aspecto por demás relevante en el ámbito de la interacción a través de redes. La biblioteca pertenece a la OGC (Oficina de Comercio Gubernamental Británica), pero es de libre utilización.

Las actividades de la administración de la seguridad están inmersas en casi todos los procesos de ITIL, debido a que es de vital importancia dentro de una adecuada administración, identificar los riesgos asociados al proceso para definir líneas de acción, con la finalidad de mitigarlos; por lo anterior, cobra especial relevancia el tópico "Security Management" que forma parte de la biblioteca.

Los conceptos tratados son de gran utilidad para todos los administradores responsables (2) de los procesos críticos de TI, y resultan relevantes para los administradores de la organización, ya que les ayudan a determinar el nivel de seguridad necesario en cada uno de sus procesos de negocio y que debe incluirse en el Acuerdo de Nivel de Servicio (3).

La administración gerencial debe garantizar la seguridad de la información ya que, desde la perspectiva del negocio, establecer una protección de los activos que soportan las funciones críticas es muy importante, debido a que éstos impactan en el aspecto financiero, imagen corporativa y en la calidez percibida por los clientes.

El proceso de administración de la seguridad en ITIL expone, en primer término, los conceptos básicos de una adecuada administración de la seguridad de la información; posteriormente, los relaciona con los demás tópicos de la biblioteca proveyendo, de manera general, las medidas de seguridad adecuadas que deben ser implantadas en cada uno de los procesos que lleve a cabo la administración, y culmina con una guía para administrar la seguridad, con referencia al Código de Prácticas de Administración de la Seguridad de la Información (BS7799), versión 1999, desarrollado por el Instituto de Estándares Británico (British Standards Institute). Este Código de Prácticas cubre todos los tópicos conocidos del sitio de Internet del "Handbook Security", de manera muy general.

Comprende los siguientes 10 elementos del Código de Prácticas para la administración de la seguridad de la información:

  1. Políticas de seguridad. Proporciona a la alta dirección apoyo para la seguridad de la información.
  2. Organización de la seguridad. Ayuda a administrar la seguridad de la información dentro de la organización.
  3. Clasificación y control de activos. Provee las medidas de seguridad necesarias para proporcionar una protección adecuada a los activos de la organización.
  4. Seguridad del personal. Necesaria para reducir los riesgos de errores humanos, robo, fraude o mal uso de las instalaciones y equipo.
  5. Seguridad física y ambiental. Previene el acceso físico no autorizado a los sistemas de información, así como posibles daños a las instalaciones y a la información del negocio.
  6. Administración de comunicaciones y operaciones. Permite garantizar la operación correcta y segura de las instalaciones de procesamiento de la información.
  7. Control de acceso. Previene el acceso lógico y cambio, no autorizado, a la información y a los sistemas de información, otorgando confidencialidad en la información, para evitar interrupciones en los procesos normales de producción.
  8. Desarrollo y mantenimiento de los sistemas. Permite incorporar la seguridad a los sistemas de información.
  9. Administración de la continuidad del negocio. Contrarresta las interrupciones a las actividades del negocio y protege los procesos críticos del negocio contra los efectos causados por fallas mayores o desastres.
  10. Conformidad. Contribuye a evitar infracciones a las leyes civiles, jurídicas, obligaciones reguladoras o contractuales y cualquier otro requerimiento de seguridad.

Todos estos elementos logran combinarse a través de un enfoque de procesos (4), otorgando controles claves y las medidas de seguridad más importantes que deben considerarse para la implantación de un Sistema de Gestión de Seguridad; al mismo tiempo, proporciona un importante conocimiento en cuanto a seguridad de la información se refiere.

Lo que hace diferente a esta mejor práctica, es el hecho de que no pretende ser una guía de implantación, lo cual la enriquece y le otorga mayor valor porque permite adecuarse a las necesidades del negocio, en cuanto a la protección de la información estratégica que soporta sus procesos, como el impacto económico que pudiera ocasionar una inadecuada administración de la seguridad.

Bibliografía
OGC ITIL. (2002) "Best Practice for Security Management" (2da. edición) Londres, Inglaterra: TSO (The Stationery Office).

Para mayor información:
http://www.ccta.gov.uk
http://www.itil.co.uk/
http://www.itil.org.uk/
http://www.ogc.gov.uk/

 

1) Consultar el artículo "ITIL, servicios de tecnologías de información", publicado en el ejemplar no. 44 de la Revista Entérate, Internet, Cómputo y Telecomunicaciones, correspondiente al 24 de noviembre de 2005.

2) Directores y administradores de TI, administradores de servicios de TI, administradores de nivel de servicio de TI. Administradores de seguridad y riesgos, administradores de la información del negocio, administradores de activos, auditores y consultores.

3) Un Acuerdo de Nivel de Servicio es un conjunto de factores constantemente medidos para determinar el alcance de los objetivos de la organización; proporciona una metodología para implementar expectativas razonables tanto para el usuario como para el área de TI y sirve como guía para el establecimiento de buenas y sanas relaciones dentro del servicio.

4) Un enfoque de calidad PDCA (Plan, Do, Check, Act) aplicado a los procesos del Sistema de Gestión de Seguridad de la Información.

 

Inicio | Contacto |