UNIVERSIDAD CONTINENTAL

FACULTAD DE INGENIERAESCUELA ACADMICA PROFESIONAL DE INGENIERA DE SISTEMAS E INFORMTICA

EXAMEN ORAL DE SUFICIENCIA PROFESIONAL PARA OPTAR EL TTULO PROFESIONAL DE INGENIERO DE SISTEMAS E INFORMTICA

ALUMNO:Bachiller Rubn, NAVARRO ARANGO

HUANCAYO-PERDICIEMBRE 2014

NDICE

INTRODUCCINHoy en da se habla bastante de seguridad en todo los mbitos de negocio; hasta se podra decir que gestionar la seguridad de manera eficiente y eficaz es una Ley para de esta manera todo negocio se mantenga en el mercado. La clave est en proteger los procesos crticos de negocio, los activos fsicos y lgicos que son de vital importancia para mantener en vida toda organizacin. Existen un sinfn de herramientas, metodologas, tcnicas, estndares y sobre todo lo ms importante que trata esta monografa, se habla de las buenas prcticas de ITIL V3 en donde al aplicarlas o implementarlas en el negocio nos ayuda hacer frente a las nuevas amenazas existentes en la actualidad. El objetivo del presente trabajo monogrfico es entender todo acerca sobre Gestin de Seguridad segn ITIL V3 y aplicar un caso prctico de Gestin de Seguridad ITIL en un caso prctico.Para entender mejor sobre la Gestin De Seguridad ITIL esta monografa se ha dividido en dos captulos, en el primer captulo se ilustra la parte terica como son conceptos, caractersticas, ventajas, desventajas y beneficios de implementar Gestin De Seguridad ITIL en el negocio y por ltimo en la segunda parte se plasma lo aprendido planteando en un caso prctico.

El Autor.

Captulo 01Gestin de Seguridad en ITIL1.1 Concepto del ProcesoLa Gestin de la Seguridad de la Informacin garantiza que la poltica sobre seguridad de la informacin, cumpla la poltica general de la empresa sobre seguridad y los requisitos de gobierno corporativo.Por lo tanto, la integridad, disponibilidad y confidencialidad son los pilares de la gestin de la seguridad de la informacin. La autorizacin de la informacin mediante una validacin de credenciales del usuario es la accin ms importante de este proceso.La meta del proceso de Gestin de la Seguridad de la Informacin es alinear la seguridad de TI con el negocio y garantizar una gestin eficaz de la misma.

1.2 ObjetivosLos principales objetivos de laGestin de la Seguridadse resumen en: Disear una poltica de seguridad, en colaboracin con clientes y proveedores correctamente alineada con las necesidades del negocio. Asegurar el cumplimiento de los estndares de seguridad acordados. Minimizar los riesgos de seguridad que amenacen la continuidad del servicio.

1.3 Los principales beneficios de una correctaGestin de la Seguridad: Se evitan interrupciones del servicio causadas por virus, ataques informticos, etctera. Se minimiza el nmero de incidentes. Se tiene acceso a la informacin cuando se necesita y se preserva la integridad de los datos. Se preserva la confidencialidad de los datos y la privacidad de clientes y usuarios. Se cumplen los reglamentos sobre proteccin de datos. Mejora la percepcin y confianza de clientes y usuarios en lo que respecta a la calidad del servicio.

1.4 Las principales dificultades a la hora de implementar laGestin de la Seguridadse resumen en: No existe el suficiente compromiso de todos los miembros de la organizacin TI con el proceso. Se establecen polticas de seguridad excesivamente restrictivas que afectan negativamente al negocio. No se dispone de las herramientas necesarias para monitorizar y garantizar la seguridad del servicio (firewalls, antivirus, ...). El personal no recibe una formacin adecuada para la aplicacin de los protocolos de seguridad. Falta de coordinacin entre los diferentes procesos lo que impide una correcta evaluacin de los riesgos.

1.5 ProcesoLaGestin de la Seguridadest estrechamente relacionada con prcticamente todos los otros procesos TI y necesita para su xito la colaboracin de toda la organizacin.Para que esa colaboracin sea eficaz es necesario que laGestin de la Seguridad: Establezca una clara y definida poltica de seguridad que sirva de gua a todos los otros procesos. Elabore unPlan de Seguridadque incluya los niveles de seguridad adecuados tanto en los servicios prestados a los clientes como en los acuerdos de servicio firmados con proveedores internos y externos. Implemente elPlan de Seguridad. Monitorice y evale el cumplimiento de dicho plan. Supervise proactivamente los niveles de seguridad analizando tendencias, nuevos riesgos y vulnerabilidades. Realice peridicamente auditoras de seguridad.

1.5.1 Poltica y Plan de SeguridadEs imprescindible disponer de un marco general en el que encuadrar todos los subprocesos asociados a la Gestin de la Seguridad. Su complejidad e intricadas interrelaciones necesitan de una poltica global clara en donde se fijen aspectos tales como los objetivos, responsabilidades y recursos.En particular la Poltica de Seguridad debe determinar: La relacin con la poltica general del negocio. La coordinacin con los otros procesos TI. Los protocolos de acceso a la informacin. Los procedimientos de anlisis de riesgos. Los programas de formacin. El nivel de monitorizacin de la seguridad. Qu informes deben ser emitidos peridicamente. El alcance del Plan de Seguridad. La estructura y responsables del proceso de Gestin de la Seguridad. Los procesos y procedimientos empleados. Los responsables de cada subproceso. Los auditores externos e internos de seguridad. Los recursos necesarios: software, hardware y personal.

1.5.1.1 Plan de SeguridadEl objetivo del Plan de Seguridad es fijar los niveles de seguridad que han de ser incluidos como parte de los SLAs, OLAs y UCs.Este plan ha de ser desarrollado en colaboracin con la Gestin de Niveles de Servicio que es la responsable en ltima instancia tanto de la calidad del servicio prestado a los clientes como la del servicio recibido por la propia organizacin TI y los proveedores externos.El Plan de Seguridad debe disearse para ofrecer un mejor y ms seguro servicio al cliente y nunca como un obstculo para el desarrollo de sus actividades de negocio.Siempre que sea posible deben definirse mtricas e indicadores clave que permitan evaluar los niveles de seguridad acordados.Un aspecto esencial a tener en cuenta es el establecimiento de unos protocolos de seguridad coherentes en todas las fases del servicio y para todos los estamentos implicados. "Una cadena es tan resistente como el ms dbil de sus eslabones", por lo que carece de sentido, por ejemplo, establecer una estrictas normas de acceso si una aplicacin tiene vulnerabilidades frente a inyecciones de SQL. Quiz con ello podamos engaar a algn cliente durante algn tiempo ofreciendo la imagen de "fortaleza" pero esto valdr de poco si alguien descubre que la "puerta de atrs est abierta".

1.5.2 Aplicacin de las Medidas de SeguridadPor muy buena que sea la planificacin de la seguridad resultar intil si las medidas previstas no se ponen en prctica.Es responsabilidad de la Gestin de Seguridad coordinar la implementacin de los protocolos y medidas de seguridad establecidas en la Poltica y el Plan de Seguridad.En primer lugar la Gestin de la Seguridad debe verificar que:El personal conoce y acepta las medidas de seguridad establecidas as como sus responsabilidades al respecto.Los empleados firmen los acuerdos de confidencialidad correspondientes a su cargo y responsabilidad.Es tambin responsabilidad directa de la Gestin de la Seguridad: Asignar los recursos necesarios. Generar la documentacin de referencia necesaria. Colaborar con el Service Desk y la Gestin de Incidentes en el tratamiento y resolucin de incidentes relacionados con la seguridad. Instalar y mantener las herramientas de hardware y software necesarias para garantizar la seguridad. Colaborar con la Gestin de Cambios y Versiones para asegurar que no se introducen nuevas vulnerabilidades en los sistemas en produccin o entornos de pruebas. Proponer RFCs a la Gestin de Cambios que aumenten los niveles de seguridad. Colaborar con la Gestin de la Continuidad del Servicio para asegurar que no peligra la integridad y confidencialidad de los datos en caso de desastre. Establecer las polticas y protocolos de acceso a la informacin. Monitorizar las redes y servicios en red para detectar intrusiones y ataques.

Es necesario que la gestin de la empresa reconozca la autoridad de la Gestin de la Seguridad respecto a todas estas cuestiones y que incluso permita que sta proponga medidas disciplinarias vinculantes cuando los empleados u otro personal relacionado con la seguridad de los servicios incumplan con sus responsabilidades.

1.5.3 Evaluacin y MantenimientoNo es posible mejorar aquello que no se conoce, es por la tanto indispensable evaluar el cumplimiento de las medidas de seguridad, sus resultados y el cumplimiento de losSLAs.Aunque no es imprescindible, es recomendable que estas evaluaciones se complementen con auditoras de seguridad externas y/o internas realizadas por personal independiente de la Gestin de la Seguridad.Estas evaluaciones/auditorias deben valorar el rendimiento del proceso y proponer mejoras que se plasmaran enRFCsque habrn de ser evaluados por laGestin de Cambios.Independientemente de estas evaluaciones de carcter peridico se debern generar informes independientes cada vez que ocurra algn incidente grave relacionado con la seguridad. De nuevo, si la Gestin de la Seguridad lo considera oportuno, estos informes se acompaaran de lasRFCscorrespondientes.

1.5.4 MantenimientoLaGestin de la Seguridades un proceso continuo y se han de mantener al da elPlan de Seguridady las secciones de seguridad de losSLAs.Los cambios en elPlan de Seguridady losSLAspueden ser resultados de la evaluacin arriba citada o de cambios implementados en la infraestructura o servicios TI.No hay nada ms peligroso que la falsa sensacin de seguridad que ofrecen medidas de seguridad obsoletas.Es asimismo importante que laGestin de la Seguridadest al da en lo que respecta a nuevos riesgos y vulnerabilidades frente a virus, spyware, ataques de denegacin de servicio, etctera, y que adopte las medidas necesarias de actualizacin de equipos de hardware y software, sin olvidar el apartado de formacin: el factor humano es normalmente el eslabn ms dbil de la cadena.

1.6 Control del ProcesoAl igual que en el resto de procesos TI es necesario realizar un riguroso control del proceso para asegurar que laGestin de la Seguridadcumple sus objetivos.Una buenaGestin de la Seguridaddebe traducirse en una: Disminucin del nmero de incidentes relacionados con la seguridad. Un acceso eficiente a la informacin por el personal autorizado. Gestin proactiva que permita identificar vulnerabilidades potenciales antes de que estas se manifiesten y provoquen una seria degradacin de la calidad del servicio.La correcta elaboracin de informes permite evaluar el rendimiento de laGestin de Seguridady aporta informacin de vital importancia a otras reas de la infraestructura TI.Entre la documentacin generada cabra destacar: Informes sobre el cumplimiento, en lo todo lo referente al apartado de seguridad, de losSLAs,OLAsyUCsen vigor. Relacin de incidentes relacionados con la seguridad calificada por su impacto sobre la calidad del servicio. Identificacin de nuevos peligros y vulnerabilidades a las que se enfrenta la infraestructura TI. Auditoras de seguridad. Informes sobre el grado de implementacin y cumplimiento de los planes de seguridad establecidos.

CASO PRCTICO GESTIN DE SEGURIDAD ITIL

Polticas de seguridad de la informacinEn este apartado se resume el trabajo realizado en la investigacin presentando un caso prctico: La gestin de un sistema antivirus. A continuacin se nombran los procesos, actividades y tareas creados para proporcionar a una organizacin un servicio de seguridad antivirus:I. PROCESOS RELACIONADOS CON EL NIVEL DE SERVICIO.1.1 Gestin del nivel del servicio antivirus.1.1.1 Definicin del nivel del servicio antivirus. Reuniones (cliente-proveedor para definir SLAs. Formulario SLAs del servicio antivirus.1.2 Medidas/controles de Seguridad.1.2.1 Definicin de controles de Seguridad. Antivirus nivel protocolo de red. Antivirus nivel servidor. Antivirus nivel cliente.1.2.2 Configuracin de los controles de seguridad. Nivel de proteccin aplicado. Archivos de registros de detecciones. Sistemas de alarmas.1.2.3 Mantenimiento de los controles de seguridad. Procedimiento de actualizacin del antivirus. Procedimiento de modificacin de la configuracin.1.3 Modificacin del nivel de seguridad.1.3.1 Incremento o decremento del nivel del antivirus.1.4 Procedimientos de contingencia y recuperacin.1.4.1 Procedimientos de actuacin generales ante un virus.

II. PROCESOS QUE OFRECEN EL SERVICIO2.1 Proceso de Recogida de incidentes de seguridad.2.1.1 Procedimiento de comunicacin de posible virus, a nivel usuario.2.1.2 Procedimiento de discriminacin de llamadas de servicio, a nivel operador.2.1.3 Procedimiento de comunicacin de posible virus, a nivel administrador de Seguridad.2.1.4 Procedimiento de comunicacin de virus, a nivel control de seguridad.2.2 Proceso de gestin de incidentes de seguridad ocasionados por virus.2.2.1 Procedimiento de actuacin, a nivel operador, ante un posible virus.2.2.2 Procedimiento de actuacin, a nivel administrador de seguridad, ante virus.2.3 Proceso de gestin de problemas de seguridad ocasionados por virus.2.3.1 Procedimiento de actuacin, a nivel administrador de Seguridad, ante un posible problema ocasionado por un virus.2.4 Proceso de gestin de la configuracin y gestin del cambio ocasionados por virus.2.4.1 Procedimiento de colaboracin del administrador de seguridad ante un cambio. Pertenencia a GGC.

BIBLIOGRAFA

OSIATIS S.A.. (2012). Gestin de Seguridad. 09/01/2015, de ECONOCOM OSIATIS Sitio web: http://itilv3.osiatis.es/diseno_servicios_TI/gestion_proveedores.php.

ELENA RUIZ LARROCHA. Misitileon: Propuesta para solucionar las carencias de ITIL en la Gestin de la Seguridad de la Informacin. 10/01/2015, de REDSEGURIDAD Sitio web: http://www.redseguridad.com/opinion/articulos/misitileon-propuesta-para-solucionar-las-carencias-de-itil-r-en-la-gestion-de-la-seguridad-de-la-informacion.

CONCLUSIN

Una buena implementacin de las buenas prcticas de ITIL para Gestionar la Seguridad, ayuda proteger los activos tangibles e intangibles (Confidencialidad, Integridad y Disponibilidad) del negocio; a su vez ayuda y coordina con los dems procesos de TI implementados en el negocio.