Gestin de la Seguridad

Aplicacin de las Medidas de Seguridad

Por muy buena que sea la planificacin de la seguridad resultar intil si las medidas previstas no se
ponen en prctica.
Es responsabilidad de la Gestin de Seguridad coordinar la implementacin de los protocolos y
medidas de seguridad establecidas en la Poltica y el Plan de Seguridad.
En primer lugar la Gestin de la Seguridad debe verificar que:

El personal conoce y acepta las medidas de seguridad establecidas as como sus

responsabilidades al respecto.

Los empleados firmen los acuerdos de confidencialidad correspondientes a su cargo y

responsabilidad.

Se imparte la formacin pertinente.

Es tambin responsabilidad directa de la Gestin de la Seguridad:

Asignar los recursos necesarios.

Generar la documentacin de referencia necesaria.

Colaborar con el Service Desk y la Gestin de Incidentes en el tratamiento y resolucin de

incidentes relacionados con la seguridad.

Instalar y mantener las herramientas de hardware y software necesarias para garantizar la

seguridad.

Colaborar con la Gestin de Cambios y Versiones para asegurar que no se introducen

nuevas vulnerabilidades en los sistemas en produccin o entornos de pruebas.

Proponer RFCs a la Gestin de Cambios que aumenten los niveles de seguridad.

Colaborar con la Gestin de la Continuidad del Servicio para asegurar que no peligra la
integridad y confidencialidad de los datos en caso de desastre.

Establecer las polticas y protocolos de acceso a la informacin.

Monitorizar las redes y servicios en red para detectar intrusiones y ataques.

Es necesario que la gestin de la empresa reconozca la autoridad de la Gestin de la

Seguridad respecto a todas estas cuestiones y que incluso permita que sta proponga medidas
disciplinarias vinculantes cuando los empleados u otro personal relacionado con la seguridad de los
servicios incumpla con sus responsabilidades.

Gestin de la Seguridad

Evaluacin y Mantenimiento
Evaluacin
No es posible mejorar aquello que no se conoce, es por la tanto indispensable evaluar el cumplimiento
de las medidas de seguridad, sus resultados y el cumplimiento de los SLAs.
Aunque no es imprescindible, es recomendable que estas evaluaciones se complementen con
auditoras de seguridad externas y/o internas realizadas por personal independiente de laGestin de
la Seguridad.
Estas evaluaciones/auditorias deben valorar el rendimiento del proceso y proponer mejoras que se
plasmaran en RFCs que habrn de ser evaluados por la Gestin de Cambios.

Independientemente de estas evaluaciones de carcter peridico se debern generar informes

independientes cada vez que ocurra algn incidente grave relacionado con la seguridad. De nuevo, si
la Gestin de la Seguridad lo considera oportuno, estos informes se acompaaran de
las RFCs correspondientes.

Mantenimiento
La Gestin de la Seguridad es un proceso continuo y se han de mantener al da el Plan de
Seguridad y las secciones de seguridad de los SLAs.
Los cambios en el Plan de Seguridad y los SLAs pueden ser resultado de la evaluacin arriba citada
o de cambios implementados en la infraestructura o servicios TI.
No hay nada ms peligroso que la falsa sensacin de seguridad que ofrecen medidas de seguridad
obsoletas.
Es asimismo importante que la Gestin de la Seguridad est al da en lo que respecta a nuevos
riesgos y vulnerabilidades frente a virus, spyware, ataques de denegacin de servicio, etctera, y que
adopte las medidas necesarias de actualizacin de equipos de hardware y software, sin olvidar el
apartado de formacin: el factor humano es normalmente el eslabn ms dbil de la cadena.

estin de la Seguridad

Control del Proceso

Al igual que en el resto de procesos TI es necesario realizar un riguroso control del proceso para
asegurar que la Gestin de la Seguridad cumple sus objetivos.
Una buena Gestin de la Seguridad debe traducirse en una:

Disminucin del nmero de incidentes relacionados con la seguridad.

Un acceso eficiente a la informacin por el personal autorizado.

Gestin proactiva que permita identificar vulnerabilidades potenciales antes de que estas se
manifiesten y provoquen una seria degradacin de la calidad del servicio.

La correcta elaboracin de informes permite evaluar el rendimiento de la Gestin de Seguridad y

aporta informacin de vital importancia a otras reas de la infraestructura TI.
Entre la documentacin generada cabra destacar:

Informes sobre el cumplimiento, en lo todo lo referente al apartado de seguridad, de

los SLAs, OLAs y UCs en vigor.

Relacin de incidentes relacionados con la seguridad calificados por su impacto sobre la

calidad del servicio.

Evaluacin de los programas de formacin impartidos y sus resultados.

Identificacin de nuevos peligros y vulnerabilidades a las que se enfrenta la infraestructura TI.

Auditoras de seguridad.

Informes sobre el grado de implementacin y cumplimiento de los planes de seguridad

establecidos.

Caso Prctico
La gestin de "Cater Matters" es consciente que un enfoque sobre la seguridad basado exclusivamente
en el concepto de "fortificacin frente a ataques" no se corresponde con las necesidades de negocio.

Es importante que los clientes de "Cater Matters" tengan acceso a informacin actualizada sobre sus
pedidos, pagos pendientes, etctera y eso requiere la interaccin con el ERP de la empresa.
Esto, obviamente, presenta algunos problemas de seguridad adicionales pues han de abrirse canales
al exterior desde el ncleo TI de la organizacin.
La direccin de "Cater Matters" ha decidido crear una serie de Web Services que permitan el acceso
a dicha informacin preservando su confidencialidad e integridad. Esto requiere la revisin del Plan de
Seguridad y las secciones de seguridad de los SLAs en vigor.
Como medidas de seguridad bsicas:

Se limitan los rangos de IPs que pueden acceder al servicio. Slo IPs autorizadas de clientes
podrn disponer del servicio.

Se implementan protocolos de encriptacin de los archivos XML intercambiados.

Se requiere autenticacin para el acceso al servicio.

Se monitoriza la interaccin con la aplicacin para detectar posibles ataques externos.

Se guarda un registro de uso: quin, cundo y cmo utiliz la aplicacin.

Se autoriza un solo canal de entrada a los servidores locales a travs de los servidores web de
la empresa.

Se propone una evaluacin peridica del servicio con el objetivo de detectar vulnerabilidades y adoptar
medidas correctivas.
El objetivo es dar un servicio de calidad y con altos niveles de seguridad que fidelice a los clientes en
un tiempo de rpido desarrollo en el que la competencia se encuentra a un "solo clic de distancia".

Gestin de la Seguridad

Caso Prctico
La gestin de "Cater Matters" es consciente que un enfoque sobre la seguridad basado exclusivamente
en el concepto de "fortificacin frente a ataques" no se corresponde con las necesidades de negocio.
Es importante que los clientes de "Cater Matters" tengan acceso a informacin actualizada sobre sus
pedidos, pagos pendientes, etctera y eso requiere la interaccin con el ERP de la empresa.
Esto, obviamente, presenta algunos problemas de seguridad adicionales pues han de abrirse canales
al exterior desde el ncleo TI de la organizacin.
La direccin de "Cater Matters" ha decidido crear una serie de Web Services que permitan el acceso
a dicha informacin preservando su confidencialidad e integridad. Esto requiere la revisin del Plan de
Seguridad y las secciones de seguridad de los SLAs en vigor.
Como medidas de seguridad bsicas:

Se limitan los rangos de IPs que pueden acceder al servicio. Slo IPs autorizadas de clientes
podrn disponer del servicio.

Se implementan protocolos de encriptacin de los archivos XML intercambiados.

Se requiere autenticacin para el acceso al servicio.

Se monitoriza la interaccin con la aplicacin para detectar posibles ataques externos.

Se guarda un registro de uso: quin, cundo y cmo utiliz la aplicacin.

Se autoriza un solo canal de entrada a los servidores locales a travs de los servidores web de
la empresa.

Se propone una evaluacin peridica del servicio con el objetivo de detectar vulnerabilidades y adoptar
medidas correctivas.
El objetivo es dar un servicio de calidad y con altos niveles de seguridad que fidelice a los clientes en
un tiempo de rpido desarrollo en el que la competencia se encuentra a un "solo clic de distancia".

Caso Prctico
La gestin de "Cater Matters" es consciente que un enfoque sobre la seguridad basado exclusivamente
en el concepto de "fortificacin frente a ataques" no se corresponde con las necesidades de negocio.
Es importante que los clientes de "Cater Matters" tengan acceso a informacin actualizada sobre sus
pedidos, pagos pendientes, etctera y eso requiere la interaccin con el ERP de la empresa.
Esto, obviamente, presenta algunos problemas de seguridad adicionales pues han de abrirse canales
al exterior desde el ncleo TI de la organizacin.
La direccin de "Cater Matters" ha decidido crear una serie de Web Services que permitan el acceso
a dicha informacin preservando su confidencialidad e integridad. Esto requiere la revisin del Plan de
Seguridad y las secciones de seguridad de los SLAs en vigor.
Como medidas de seguridad bsicas:

Se limitan los rangos de IPs que pueden acceder al servicio. Slo IPs autorizadas de clientes
podrn disponer del servicio.

Se implementan protocolos de encriptacin de los archivos XML intercambiados.

Se requiere autenticacin para el acceso al servicio.

Se monitoriza la interaccin con la aplicacin para detectar posibles ataques externos.

Se guarda un registro de uso: quin, cundo y cmo utiliz la aplicacin.

Se autoriza un solo canal de entrada a los servidores locales a travs de los servidores web de
la empresa.

Se propone una evaluacin peridica del servicio con el objetivo de detectar vulnerabilidades y adoptar
medidas correctivas.
El objetivo es dar un servicio de calidad y con altos niveles de seguridad que fidelice a los clientes en
un tiempo de rpido desarrollo en el que la competencia se encuentra a un "solo clic de distancia".