Saturday, October 18, 2008

Bases de ITIL y la Seguridad de la Informacion

"Biblioteca de Infraestructura de Tecnología de la Información" (Information Technology Infrastructure Library).


Su objetivo fundamental es proporcionar un conjunto amplio, consistente y coherente de mejores prácticas para los procesos de Gestión de Servicios TI. La Gestión de Servicios de TI es un concepto general y cómo tal puede aplicarse a cualquier tipo de empresa, grande o pequeña, con un TI interno o externalizado. Es totalmente escalable y su función es adaptarse a la empresa y no al revés.

ITIL describe los procesos que son ejecutados como parte del gerenciamento de IT. Estos procesos estar formados por nueve conjuntos, de los cuales Security Management es uno de ellos.


  • Configuration Management: Best practices para controlar configuraciones de produccion (Por ejemplo, standarizacion, monitoreo, identificacion de acticos). Es decir que identificando, controlando, manteniedo y verificando los item que forman parte de IT en una organizacion tendremos un modelo logico de la infrestrucutura.
  • Incident Management: Best practices para la resolucion de incidentes ( cualquier evento que cause una interrupcion o una reduccion de la calidad de los servicios IT )y puesta en funcionamiento rapida de servicios IT.
  • Problem Management: Best practices para identificar las causas que originan los incidentes en IT y para evitar sus ocurrencias futuras.
  • Change Management: Best practices para estandarizacion y autorizacion de implementaciones controladas de modificaciones en IT. Estas practicas asegurarn que los cambios son implementados con un impacto minimo en los servicios IT y que ademas es identificaco su origen.
  • Release Management: Best practices para la puesta en produccion de hardware y software. Estas practicas aseguran que solamente lo que fue probado y la versiones correctas de software y hardware seran publicadas a los clientes IT.
  • Availability Management: Best practices para el mantenimiento de la disponibilidad de servicios garantizados al usuario. Estas practicas aseguran que infraestrucutra de IT es confiable, resistente y recuperable.
  • Financial Management: Best practices para el manejo de los costos para proveer servicios IT ( presupuesto, d managing the cost of providing IT services (for example, presupuesto, contabilidad IT, cobro de servicios IT). Estas practicas aseguran que los servicios IT seran provistos en forma eficiente y con los mejores costos.
  • Service Level Management: Best practices para asegurar que los acuerdos entre IT y sus clientes estan especificados y son cumplidos.




Security Management es el proceso de administrar un nivel de seguridad de la informacion y de los servicios IT. Dentro de esto esta la administracion de los incidentes de seguridad.

El proceso de administrar la seguridad esta subordinado a la politica de seguridad corporativa. Esta politica es la decision tomada por la empresa en erogar tiempo y dinero en la seguridad de la informacion y de los servicios.

En las practicas ITIL esta politica normalmente se encuentra dentro de la SLA ( Service Level Agreement ).



La primera pregunta que debemos responder sobre Security Management es : Que medidas de seguridad necesitamos implementar ?

Realizando un analisis de riesgo una organizacion consigue definir los requerimientos de seguridad necesarios. El analisis de riesgo nos permitira utilizar eficientemente los recursos asignados de manera de no gastar esfuerzo en aquello que no es critico para el negocio.

El proposito de la seguridad de la informacion es servir a los intereses del negocio o de la organizacion. No toda la informacion y no todos los servicios tienen el mismo grado de importancia para una empresa. El nivel de seguridad aplicado tiene que ser el apropiado segun que tan importante es la informacion.


El mantenimiento de la seguridad informatica es un proceso continuo e interactivo. Hay varios factores que influencian el resultado de este proceso. Tanto internos como externos.

Ejemplos de estos cambios son :

-- Nuevas demandas de negocios
-- Cambios en la legislacion
-- Cambios tecnologicos
-- Nuevas amenazas

El siguiente grafico representa el ciclo completo del proceso de seguirdad de la informacion desde su implementacion hasta su mantenimiento.







No comments: