Documentos de Académico
Documentos de Profesional
Documentos de Cultura
TESIS DOCTORAL
MISITILEON (Metodologa que Integra Seguridad en ITIL
Evolucionada y Orientada a la Normalizacin)
2010
TESIS DOCTORAL
MISITILEON (Metodologa que Integra Seguridad en ITIL
Evolucionada y Orientada a la Normalizacin)
2010
Director:
Jess Mara Minguet Melin
NDICE
CAPTULO I.
INTRODUCCIN. ...........................................................1
1. Dedicatoria ....................................................................................................... 1
2. Motivacin ....................................................................................................... 2
3. mbito .............................................................................................................. 4
4. Justificacin ..................................................................................................... 6
5. Objetivos .......................................................................................................... 8
6. Organizacin de la tesis ................................................................................ 11
7. Observaciones generales ............................................................................... 14
ITIL........................................................................................................................ 23
CMMi .................................................................................................................... 26
COBIT ................................................................................................................... 28
ISO 20000 .............................................................................................................. 31
5. Seguridad en la TI ......................................................................................... 47
5.1. El concepto de Seguridad en los Sistemas de Informacin ................................... 48
5.2. Normativas y Estndares de Seguridad ................................................................. 54
5.2.1. Serie ISO/IEC 27000 ...................................................................................................................... 55
5.2.2. ISO 27001 (SGSI) .......................................................................................................................... 62
5.2.3. ISO 27002 (ISO/IEC 17799) .......................................................................................................... 67
2. ITIL v2 ........................................................................................................... 85
2.1.
2.2.
2.3.
2.4.
Historia .................................................................................................................. 85
Orientacin a Procesos .......................................................................................... 86
Orientacin a Clientes ........................................................................................... 87
Soporte del Servicio............................................................................................... 89
3. ITIL v3 ........................................................................................................... 94
3.1.
3.2.
3.3.
3.4.
3.5.
4. V2 vs V3 ....................................................................................................... 111
4.1. Mejoras en la estructura ....................................................................................... 112
4.2. Mejoras en el contenido ....................................................................................... 112
5.1.
5.2.
5.3.
5.4.
5.5.
5.6.
5.7.
BIBLIOGRAFA......................................................................................315
Referencias WEB .....................................................................................321
ANEXOS
......................................................................................327
AETIC
ANS
ANSI
BD
Base de Datos.
BDC
BDGC
BS
British Standard.
BSD
BSI
CAB
CAU
CCTA
CI
Configuration Item.
CIA
CMDB
CMMI
CMS
COBIT
CPU
CSI
CTN
DEA
DNS
EA
European Acreditation.
EC
Elemento de Configuracin.
ETSI
EXIN
FAQ
FBI
FTP
GB
Giga Byte.
GGC
GITIM
GPL
GSI
HTTP
IDS
IDXP
IEEE
IMAP
IP
Internet Protocol.
ISEB
ISM
ISMS
ISO
ISS
ISSA
ITIL
ITSMS
ITU
KGI
KPI
LAN
MAGERIT
MB
Mega Byte.
MIME
MISITILEON
MOF
MVC
MTBF
OGC
OHSAS
OLA
OTAN
PDC
Peticin de Cambio.
PDCA
POP3
POP4
PYME
RAE
RAM
RFC
RNS
SCAMPI
SCSI
SDD
SEDISI
SEI
SGSI
SGSTI
SKMS
SLA
SMTP
SO
Sistema Operativo.
SRD
TCP
TQM
UML
UNED
UPM
NDICE DE FIGURAS
Figura 1.- Contratacin de Metodologas. ........................................................................... 16
Figura 2.- Diagrama de gestin de servicios en las TIC. ..................................................... 22
Figura 3.- Diagrama de gestin de servicios en ITIL. ......................................................... 25
Figura 4.- reas focales de COBIT. .................................................................................... 29
Figura 5.- Procesos ISO 20000. ........................................................................................... 33
Figura 6.- Etapa genrica. .................................................................................................... 36
Figura 7.- Ciclo de vida en cascada. .................................................................................... 37
Figura 8.- Ciclo de vida en espiral. ...................................................................................... 41
Figura 9.- Ciclo de vida fuente. ........................................................................................... 45
Figura 10.- Diagrama de evolucin de las normas ISO 27001 e ISO 27002. ...................... 57
Figura 11.- Modelo de niveles de un SGSI. ......................................................................... 64
Figura 12.- Ciclo PDCA de un SGSI. .................................................................................. 65
Figura 13.- Relacin entre SGSI e ITIL............................................................................... 67
Figura 14.- ITIL. .................................................................................................................. 78
Figura 15.- Relacin entre procesos ITIL I.......................................................................... 91
Figura 16.- Relacin entre procesos ITIL II. ....................................................................... 92
Figura 17.- Esquema de relaciones ITIL.............................................................................. 93
Figura 18.- Fases del ciclo de vida de un servicio. .............................................................. 95
Figura 19.- Ciclo de vida de un servicio segn libros ITIL v3. ........................................... 98
Figura 20.- Portada del libro Estrategia del Servicio de ITIL v3. .................................... 98
Figura 21.- Portada del libro Diseo del Servicio de ITIL v3........................................ 101
Figura 22.- Portada del libro Transicin del Servicio de ITIL v3. ................................. 103
Figura 23.- Portada del libro Operacin del Servicio de ITIL v3. ................................. 104
Figura 24.- Portada del libro Mejora Continua del Servicio de ITIL v3. ....................... 107
Figura 25.- Proceso de Mejora Continua del Servicio en 7 pasos. .................................... 109
Figura 26.- Modelo de Servicio segn ITIL v3. ................................................................ 110
Figura 27.- Modelo de seguridad desde el punto de vista del negocio. ............................. 133
Figura 28.- Ciclo de Vida Modelo Fuente MISITILEON. ................................................ 146
Figura 29.- Procesos ITIL relacionados con la Gestin de la Seguridad. .......................... 149
Figura 30.- Interaccin entre ITIL y la CMDB.................................................................. 150
Figura 31.- Seguridad en la interaccin entre MISITILEON y la BDGC. ........................ 152
Figura 32.- ANS: Acuerdo Cliente-Proveedor................................................................... 156
Figura 33.- ANS: Nivel Bsico de Seguridad. ................................................................... 157
Figura 34.- Flujograma del proceso Gestin del Incidente en MISITILEON. .................. 163
Figura 35.- Flujograma del proceso Gestin del Problema en MISITILEON................... 167
Figura 36.- Flujograma del proceso Gestin del Cambio en MISITILEON. .................... 172
Figura 37.- Proceso de Gestin de la Seguridad. ............................................................... 184
Figura 38.- Control de Seguridad segn MISITILEON. ................................................... 187
Figura 39.- Gestin y Administracin de Seguridad en MISITILEON. ............................ 190
Figura 40.- El Gestor de Seguridad y MISITILEON......................................................... 191
Figura 41.- El Administrador de Seguridad y MISITILEON. ........................................... 193
Figura 42.- Gestin de Incidentes de Seguridad en MISITILEON. .................................. 198
Figura 43.- Caso de Uso del proceso de recogida de llamadas por el CAU. ..................... 201
Figura 80.- Diagrama de secuencias en UML, de la evolucin del virus, con acumulacin
de tiempos, en una organizacin con MISITILEON. ............................................. 290
Figura 81.- Porcentaje de evolucin del virus en una organizacin con MISITILEON.... 290
Figura 82.- Diagrama de GANTT, de evolucin del virus, en una organizacin con
MISITILEON. ........................................................................................................ 291
Figura 83.- Comparativa de la evolucin del virus. ........................................................... 292
Figura 84.- Registro. .......................................................................................................... 297
Figura 85.- Alta usuario. .................................................................................................... 298
Figura 86.- Men. .............................................................................................................. 299
Figura 87.- Categoras........................................................................................................ 300
Figura 88.- Preguntas test. ................................................................................................. 301
Figura 89.- Alta conclusiones proceso 1. ........................................................................... 302
Figura 90.- Alta test correcta. ............................................................................................ 303
Figura 91.- Conclusiones proceso 2. .................................................................................. 304
Figura 92.- Evaluacin. ...................................................................................................... 305
Figura 93.- Evaluacin 1. ................................................................................................... 306
Figura 96.- Coste de la seguridad. ..................................................................................... 418
Figura 97.- Ciclo de vida en V. .......................................................................................... 421
Figura 98.- Ciclo de vida sashimi. ..................................................................................... 423
Figura 99.- Ciclo de vida en cascada incremental. ............................................................ 424
NDICE DE TABLAS
Tabla 1 .- Normas ISO/IEC 27000. ............................................................62
Tabla 2 .- Funcionalidades de los niveles de un SGSI................................64
Tabla 3 .- Principales procesos ITIL. .........................................................87
Tabla 4 .- Diferencias entre Usuario y Cliente ITIL. ..................................87
Tabla 5 .- Actividades y Procesos clave en la Estrategia del Servicio ITIL v3.
......................................................................................100
Tabla 6 .- Actividades y procesos clave en el Diseo del Servicio ITIL v3.102
Tabla 7 .- Actividades y procesos clave en la Transicin del Servicio ITIL v3.
......................................................................................104
Tabla 8 .- Actividades y procesos clave en la Operacin del Servicio ITIL v3.
......................................................................................106
Tabla 9 .- Procesos clave en la Mejora Continua del Servicio ITIL v3. ...108
Tabla 10 .- Relacin de los Procesos con la Gestin de la Seguridad. .....148
Tabla 11 .- ANS de seguridad. .................................................................159
Tabla 12 .- Incidentes tpicos de seguridad. .............................................200
Tabla 13 .- Registro de incidente de seguridad.........................................200
Tabla 14 .- ANS de Seguridad.- Servicio Antivirus. ................................226
Tabla 15 .- Opciones de configuracin del sistema antivirus. ..................238
Tabla 16 .- Caractersticas del registro de detecciones del sistema antivirus.
......................................................................................243
Tabla 17 .- Descripcin de tareas CASO 1. ..............................................277
Tabla 18 .- Datos de evolucin de virus en una organizacin sin
MISITILEON................................................................278
Tabla 19 .- Descripcin de tareas CASO 2. ..............................................286
Tabla 20 .- Datos de evolucin de virus, en una organizacin con
MISITILEON................................................................289
Captulo I Introduccin
CAPTULO I. INTRODUCCIN.
Los hombres aprenden mientras ensean1.
1.
Dedicatoria
Como presentacin de este captulo se ha querido aadir este pequeo apartado, con
la intencin de esclarecer la duda de algn curioso que haya querido ver algo ms all del
nombre de la tesis propuesta. Efectivamente, hay una motivacin para haber forzado de
alguna manera las siglas de la metodologa MISITILEON (Metodologa que Integra
Seguridad en ITIL Evolucionada y Orientada a la Normalizacin) y es que el 22 de febrero
de 2009 naci el primer hijo de la doctorando, de nombre Len, as pues, en su honor se ha
elegido el nombre.
2.
Motivacin
El origen del inters de la doctorando por ITIL nace en el ao 2001, momento en el
Mtricas del Software, Gestin y Mejora de Procesos Software, Diseo de Entornos Interactivos de
Enseanza y Aprendizaje Basados en Computador: Principios, tecnologas y Estndares.
3
La doctorando trabaj como consultora para Arthur Andersen entre los aos 2000 y 2002.
4
AMSPI: Mtodo de Evaluacin para la Mejora de Procesos Software.
5
* E. Ruiz, J. Minguet, G. Diaz, M. Castro, A. Vara. Filling the gap of Information Security Management
inside ITIL: proposals for graduate students. Premiado en el Congreso Internacional EDUCON 2010 como
Best Student Paper.
* E. Ruiz, J. Minguet. MISITILEON: Propuesta para solucionar las carencias de ITIL en la Gestin de la
Seguridad de la Informacin. Admitido en: 39JAIIO Jornadas Argentinas de Informtica. Caba - Argentina,
Septiembre 2010.
* E. Ruiz, G. Gmez, M. Arcilla, J. Calvo-Manzano. A solution for establishing the Information Technology
Service Management processes implementation sequence. Congreso EUROSPI, 2008.
* E. Ruiz, C. Cerrada, M. Arcilla, G. Gmez, J. Calvo-Manzano, T. San Feliu, A. Snchez. Una Propuesta
Organizativa de los Procesos SD y SS en ITIL. Reicis, Volumen 2, N2, octubre 2007.
* E. Sancristobal, M. Castro, E. Ruiz, S. Martn, R.Gil, G. Diaz and J. Peire. Integrating and Reusing of
Virtual Labs in Open Source LMS. REV2008.
6
Sistema para el Asesoramiento en la Implantacin de la norma ISO 20000 en una Organizacin, Caso
prctico de aplicacin de ITIL versin 3 en la mejora de los procesos en DESA (empresa de desarrollo de
software): ITIL. MY-ITIL. Sistema de Asesoramiento a la Implantacin de Procesos ITIL Dentro de una
Captulo I Introduccin
de Seguridad Informtica por otro y tambin de ambos temas relacionados entre s, de
alumnos de la E.T.S.I. Informtica de la UNED. Y aadido a todo lo anterior, la doctorando
imparte cursos de formacin en ITIL a empresas privadas del sector de las Nuevas
Tecnologas7.
3.
mbito
Esta tesis doctoral se ubica en el mbito de la Ingeniara del Software, y
Captulo I Introduccin
"una manera de hacer las cosas o trabajos, aceptado ampliamente por la industria y que
funciona correctamente..."9
"Las mejores prcticas" son el mejor acercamiento a una situacin basada en
observaciones sobre organizaciones efectivas en similares circunstancias de negocio. Un
acercamiento a las mejores prcticas significa la bsqueda de ideas y experiencias que han
funcionado con aquellos que emprendieron actividades similares en el pasado, para decidir
cules de esas prcticas son relevantes para la situacin actual. Una vez identificadas se
prueban, con intencin de ver si las mismas funcionan, antes de incorporarlas como
prcticas del proceso.
4.
Justificacin
Sirva como ejemplo que, tan slo en Estados Unidos las empresas se gastaban cada
Las mejores prcticas de la Ingeniera del Software para realizar los procesos
software que se llevan a cabo en el desarrollo de proyectos mejoran la productividad, la
calidad, la satisfaccin del cliente y la prediccin del coste y la planificacin [WIT00].
Hoy en da, ITIL representa mucho ms que una serie de libros tiles sobre Gestin
de Servicios TI. El marco de mejores prcticas en la Gestin de Servicios TI representa un
conjunto completo de organizaciones, herramientas, servicios de educacin y consultora,
Captulo I Introduccin
marcos de trabajo relacionados, y publicaciones. Desde 1990, se considera a ITIL como el
marco de trabajo y la filosofa compartida por quienes utilizan las mejores prcticas TI en
sus trabajos. Gran cantidad de organizaciones se encuentran en la actualidad cooperando
internacionalmente para promover el estndar ITIL como un estndar de facto para la
Gestin de Servicios TI [Ref Web 12].
5.
Objetivos
En primer lugar se recopil informacin sobre los siguientes puntos:
Estado del arte relacionado con ITIL (en sus versiones 2 y 3).
reduccin de costes
incremento de la productividad
Captulo I Introduccin
El segundo objetivo es verificar la idoneidad del modelo de metodologa propuesto
en esta tesis. Para ello, en primer lugar se ha utilizado la experiencia previa de la
doctorando, que durante varios aos ha podido ver todo el proceso de cambio sufrido en
diversas empresas que han implementado ITIL. Y en segundo lugar se ha examinado
cuidadosamente el diseo y la implementacin de MISITILEON. Para ello, se ha aplicado
esta metodologa a un caso prctico concreto, estudiando cmo se comporta antes y despus
de utilizar MISITILEON, y finalmente se han obtenido una serie de datos cuantitativos que
comprueban las ventajas de emplear esta metodologa.
Adems esta herramienta puede ser til para los auditores en los procesos de
certificacin que lleven a cabo sobre alguna organizacin. Pueden emplear esta herramienta
para realizar una lista de chequeo (a alto nivel) del estado actual de la organizacin respecto
a la gestin de los procesos de TI. Tambin pueden emplear esta lista para identificar dnde
hay que centrar los objetivos de la revisin de auditoria y para facilitar la recopilacin de
evidencias sobre cmo se estn siguiendo los procedimientos establecidos en los
departamentos auditados.
9
10
Captulo I Introduccin
6.
Organizacin de la tesis
La presente tesis se organiza en los siguientes captulos y apndices:
Captulo 1. INTRODUCCIN.
En este captulo se presenta ITIL en sus dos versiones (se profundiza mucho ms en
ellas en el Captulo 3) as como otros estndares, metodologas y normas muy ligados a
estas mejores prcticas. Adems se presenta tambin un estudio del estado del arte de la
Seguridad Informtica en general. Para no hacer realmente tediosa la lectura de este
captulo, debido a su gran volumen se ha dejado la mayor parte de la documentacin
realizada en varios de sus anexos10. Como aportacin original en este captulo se ofrece una
comparativa entre ITIL e ISO 20000.
11
12
Captulo I Introduccin
BIBLIOGRAFA
ANEXOS
1. Metodologas.
2. Seguridad.
3. Ciclos de Vida.
4. ISO/IEC 27002:2005.
5. Fuentes y ejecutables de la aplicacin Sistema de Evaluacin de
Conocimientos MISITILEON (slo en formato electrnico).
13
7.
Observaciones generales
En esta tesis se ha intentado conservar la terminologa castellana en la medida de lo
Para la ortografa de esta tesis y las normas de estilo se han utilizado como
referencia el Diccionario de la Real Academia Espaola en su vigsima segunda edicin
[RAE01], as como la Nueva Gramtica de la Lengua Espaola [RAE09].
14
1.
Introduccin
Segn los datos de un estudio presentado en 200812 por Dimension Data13 [Ref Web
14] el 24% (66 de 370) de las organizaciones encuestadas por todo el mundo usaban ITIL.
Dicha proporcin de uso ha seguido aumentando de forma moderada. Cerca de dos tercios
de los 370 responsables de TI (CIO) entrevistados14 informaron sobre su compromiso con
esta metodologa. Como consecuencia, los niveles de utilizacin de otras mejores prcticas
cayeron drsticamente despus de ITIL.
Por ejemplo, la contratacin de MOF y Six Sigma estaban en 17% (47 de 370) y
15% (41 de 370), respectivamente. Las contrataciones de Prince2, ISO, CMMi, CoBIT y
TQM eran menores an, en el rango de 10-12% y metodologas como Super y Agile
estaban en el ltimo lugar, con niveles de contratacin de menos del 7%.
11
Leonardo da Vinci.
24 de abril de 2008, en Madrid.
13
Dimension Data (LSE:DDT) es un proveedor especializado de servicios y soluciones de Tecnologas de la
Informacin (TI) que ayuda a sus clientes en el diseo, integracin y soporte de sus infraestructuras de TI.
Dimension Data aplica su experiencia en las tecnologas de redes, seguridad, entornos operativos,
almacenamiento y tecnologas de centros de contacto combinadas con su capacidad de consultora,
integracin y servicios gestionados para ofrecer soluciones personalizadas ajustadas a las necesidades de sus
clientes.
14
De 14 pases de los 5 continentes.
12
15
Adems, cuando a los mismos CIO se les pidi calificar las infraestructuras de
mejores prcticas en trminos de amplitud, claridad, relevancia y aplicabilidad en una
escala del 1 al 5, ITIL sobresali con una calificacin global de 3. Asimismo, entre los
resultados destac que el tamao de la organizacin tiene una fuerte influencia en la
popularidad de ITIL y la inclinacin de sus CIO por implementar esta infraestructura.
Empresas con menos de 100 empleados (que tpicamente tienen una estructura de TI menos
compleja) rara vez contratan ITIL, mientras que el 87% de las empresas con ms de 10.000
empleados han contratado esta metodologa.
Por su parte, Scott Petty, director de servicios de Dimension Data [Ref Web 14]
comenta que construir vnculos entre los objetivos de negocio y la tecnologa es el
principal objetivo de las mejores prcticas de los servicios gestionados de TI. En todo el
mundo, las organizaciones buscan alcanzar el potencial de estas mejores prcticas y estn
16
2.
Conceptos de Metodologa
El proceso de construccin del software requiere, como en cualquier otra ingeniera,
identificar las tareas que se han de realizar sobre el software y aplicar esas tareas de una
forma ordenada y efectiva. El desarrollo del software es realizado por un conjunto
coordinado de personas simultneamente y, por lo tanto, sus esfuerzos deben estar dirigidos
por una misma metodologa que estructure las diferentes fases del desarrollo.
En la literatura sobre este tema existen muchas definiciones sobre lo que es una
metodologa. Aqu se presentan algunas de las ms populares.
17
1. Define cmo se divide un proyecto en fases y las tareas que se deben realizar en cada una
de ellas.
2. Especifica, para cada una de las fases, cules son las entradas que recibe y las salidas que
produce.
3. Establece alguna forma de gestionar el proyecto.
15
Marco de trabajo.
18
En general aplicar una metodologa por simple que sea, dar siempre mejores
resultados que no aplicar ninguna16.
1. Eficacia:
El sistema satisface los requisitos del usuario.
2. Mantenibilidad:
Facilidad para realizar cambios una vez que el sistema est funcionando en la empresa del
cliente.
3. Usabilidad:
Facilidad de aprender a manejar el sistema por parte de un usuario que no tiene por qu ser
informtico. (La resistencia de los usuarios a aceptar un sistema nuevo ser mayor cuanto
peor sea la usabilidad).
16
19
20
La mentalidad que subyace al diseo orientado a objetos es: Cules son los tipos de
datos que hay que utilizar, qu caractersticas tienen y cmo se relacionan?
La orientacin a objetos supone un paradigma distinto del tradicional (no
necesariamente mejor o peor) que implica focalizar la atencin en las estructuras de datos.
21
3.
soportando los servicios TIC que se ofrecen a las organizaciones. A su vez estos servicios
TIC deben estar apoyados por procesos de gestin de servicios, de forma que se garantice
su entrega y calidad.
SERVICIOS DE NEGOCIO
Infraestructuras TIC
Servicios TIC
Informacin
------------------ ---Procesos de
la Gestin
de Servicios
22
3.1. ITIL
Lo primero que se debe aclarar es que ITIL no es ni una metodologa, ni una norma,
sencillamente es un compendio de buenas prcticas.
23
El siguiente esquema muestra esta relacin entre los procesos de ITIL y la gestin
de servicios en las TI.
24
ITIL
proceso
proceso
proceso
proceso
proceso
GESTION
DE
SERVICIOS
DE LAS TI
25
3.2. CMMi
CMMi para el Desarrollo (CMMi-DEV o CMMi for Development) Versin 1.2 fue
liberado en agosto de 2006. En l se tratan procesos de desarrollo de productos y
servicios.
CMMi para la Adquisicin (CMMi-ACQ o CMMi for Acquisition) Versin 1.2 fue
liberado en noviembre de 2007. En l se tratan la gestin de la cadena de
26
CMMi para Servicios (CMMi-SVC o CMMi for Services) est diseado para cubrir
todas las actividades que requieren gestionar, establecer y entregar servicios.
Dentro de la constelacin CMMi-DEV, existen dos modelos:
CMMi-DEV
18
SCAMPI, Standard CMMi Appraisal Method for Process Improvement. Se puede ver ms informacin en
el Anexo 2. Metodologas / CMMi / SCAMPI.
27
3.3. COBIT
Como respuesta a las necesidades planteadas en los entornos de las TI, el marco de
trabajo COBIT se cre con las caractersticas principales de ser orientado a negocios y a
procesos, basado en controles e impulsado por mediciones.
Orientado al Negocio
28
Orientado a Procesos
29
La efectividad tiene que ver con que la informacin sea relevante y pertinente a los
procesos del negocio, y se proporcione de una manera oportuna, correcta, consistente y
utilizable.
La eficiencia consiste en que la informacin sea generada optimizando los
recursos (ms productivo y econmico).
La confidencialidad se refiere a la proteccin de informacin sensitiva contra
revelacin no autorizada.
La integridad est relacionada con la precisin y completitud de la informacin,
as como con su validez de acuerdo a los valores y expectativas del negocio.
30
A partir de ese ao BSI continu con el desarrollo del estndar trabajando en una
segunda parte, con el objetivo de profundizar en los conceptos de la parte 1 ya publicada.
En la realizacin de aquel trabajo se identific que sera muy beneficioso para el sector TI
que las publicaciones que realizase BS estuvieran alineadas con las publicaciones ITIL de
buenas prcticas, impulsadas por el Gobierno Britnico. Como consecuencia de este inters
31
Organizacin
32
33
Certificacin
La aparicin de la serie ISO/IEC 20000, ha supuesto el primer sistema de gestin en
servicio de TI certificable bajo norma reconocida a nivel mundial. Hasta ahora, las
organizaciones podan optar por aplicar el conjunto de mejoras prcticas dictadas por ITIL
(completadas por otros estndares como CMMi o CoBIT) o certificar su gestin contra el
estndar local britnico BS 15000. La parte 1 de la serie, ISO/IEC 20000-1:2005 representa
el estndar certificable. En Febrero de 2006, AENOR19 inici el mecanismo de adopcin y
conversin de la norma ISO/IEC 20000 a norma UNE. En Junio de 2006, la organizacin
itSMf20 hizo entrega a AENOR de la versin traducida de la norma. En el BOE del 25 de
julio de 2007 ambas partes se ratificaron como normas espaolas21 con las siguientes
referencias:
19
34
4.
Ciclos de Vida
Al igual que otros sistemas de ingeniera, los sistemas de software requieren un
35
Algunos autores dividen la fase del diseo en dos partes: diseo global o
arquitectnico y diseo detallado. En el primero se transforman los requisitos en una
arquitectura de alto nivel, se definen las pruebas que debe satisfacer el sistema en su
conjunto, se esboza la documentacin y se planifica la integracin. En el diseo detallado,
para cada mdulo se refina el diseo y se definen los requisitos del mdulo y su
documentacin.
36
22
37
Descripcin
Este modelo admite la posibilidad de hacer iteraciones. As por ejemplo, si durante
Despus de cada etapa se realiza una revisin para comprobar si se puede pasar a la
siguiente.
Anlisis: Toma como entrada una descripcin en lenguaje natural de lo que quiere
el cliente. Produce el SRD (Software Requirements Document).
Codificacin: A partir del SDD produce mdulos. En esta fase se hacen tambin
pruebas de unidad.
38
Ventajas
La planificacin es sencilla.
La calidad del producto resultante es alta.
Permite trabajar con personal poco cualificado.
Inconvenientes
23
Consiste en creer que ya se ha completado el 90% del trabajo, pero en realidad queda mucho ms porque el
10% del cdigo da la mayor parte de los problemas.
39
Aquellos para los que se dispone de todas las especificaciones desde el principio,
por ejemplo, los de reingeniera.
Se est desarrollando un tipo de producto que no es novedoso.
Proyectos complejos que se entienden bien desde el principio.
40
Descripcin
En cada iteracin Boehm recomienda recopilar la siguiente lista de informaciones:
41
Ventajas
42
Inconvenientes
43
44
45
46
5.
Seguridad en la TI
Actualmente, la informacin es un activo de vital importancia para el xito de
cualquier organizacin, sea cul sea la entidad de sta. La dependencia que tienen los
negocios de las TIC obliga a la bsqueda de mtodos, tcnicas y medios que ayuden a
mantener la seguridad y el funcionamiento correcto de los SI que utilizan tales tecnologas.
Asegurar dicha informacin, as como la de los sistemas que la soportan o comunican debe
ser un objetivo prioritario para la organizacin.
Algunos de los aspectos que han contribuido a la mencionada complejidad son entre
otros:
47
El concepto de Seguridad debe de estar presente en todas las fases del ciclo de
vida, desde el inicio hasta el final24.
24
48
A pesar de todo lo anterior, aunque sea incorrecto hablar de seguridad, en esta tesis
doctoral se hablar de seguridad (por ser de uso comn).
25
49
Donde un objeto se define como un componente pasivo del sistema que engloba la
informacin y los recursos del sistema asociados a esta informacin28.
Para que un SI pueda permanecer seguro es necesario que ste presente sus tres
propiedades esenciales. Estas propiedades se denominan comnmente CIA30:
26
Tomas Olovsson ocupa el cargo de CTO en la compaa AppGate Network Security, cuyo negocio est orientado a
ofrecer soluciones VPN (Virtual Private Network), para extender el concepto de e-security a empresas, redes, y sistemas
en Internet. Adems, Olovsson ejerce como Research Assistent en el departamento de Computer Engineering de la
universidad Chalmers University of Technology (Gteborg, Suecia). Algunas de sus publicaciones ms conocidas son A
quantitative Model of the Security Intrusion Process Based on Attacker Behavior y A Structured Approach to Computer
Security (ver [OLO92]).
27
Traduccin propia extrada a partir del documento original A Structured Approach to Computer Security, ver pgina 4
de [OLO92].
28
Como por ejemplo CPU, espacio en disco, espacio en memoria, programas, etc.
29
Charles P. Pfleeger ha ocupado, desde 1997, el cargo de Master Security Architect en la compaa Exodus
Communications Inc (Vienna, VA), en la cual desempea funcionas de anlisis y consultora sobre seguridad para clientes
comerciales y gubernamentales. Anteriormente, Charles P. Pfleeger ocup diferentes cargos relacionados con la
seguridad. En particular de 1988 a 1992 fue profesor en el departamento de Computer Science en la universidad de
Tennessee (Knoxville, TN). En 1997 Pfleeger public el libro Security in Computing ([Pfl97]), considerado el libro de
texto estndar para los cursos de seguridad de la informacin en las universidades americanas.
30
50
Integridad
La integridad es la propiedad que permite que los objetos de un sistema slo puedan
modificarse por elementos autorizados.
Disponibilidad
La disponibilidad es la propiedad que indica que los objetos de un sistema deben ser
accesibles para los elementos autorizados.
Autentificacin
51
El no-repudio es la propiedad que evita que las entidades de una transaccin puedan
negar su participacin en la misma.
52
53
Un sistema es seguro cuando realiza el objetivo para el cual ha sido diseado, sin
fallo.31
No obstante, en esta tesis se adopta el enfoque clsico de Charles P. Pfleeger por ser
ste el ms extendido.
Con estas premisas, las organizaciones ISO32 e IEC33 elaboran una serie de
estndares que pretenden cubrir el apartado de la gestin de la seguridad en las
organizaciones.
31
Aportacin de Jess M Minguet Melin, profesor titular de Ingeniera del Software y Sistemas Informticos de la
Universidad Nacional de Educacin a Distancia.
54
Para encontrar las races de la serie 27000 hay que remontarse al 1995 y la norma
BS7799 de la propia BSI, cuyo principal objetivo era dotar a las empresas de un conjunto
de buenas prcticas que aplicar, a la hora de gestionar la seguridad de la informacin.
BS 7799-1 de 1995, que establece una gua de buenas prcticas, pero que no
constituye un esquema de certificacin.
32
55
38
56
1995
1998
BS 7799-1
BS 7799-2
1999
Revisin
BS7799-1:1999
BS7799-2:1999
2005
2000
2002
ISO/IEC
17799:2000
BS7799-2:2002
Revisin
ISO/IEC
17799:2005
2005
Revisin
ISO 27001
2007
ISO 27002
Figura 10.- Diagrama de evolucin de las normas ISO 27001 e ISO 27002.
(Fuente: ISO27000)
La serie ISO/IEC 27000 est constituida por una serie de estndares, todos ellos
referidos a la seguridad de la informacin, reservndose dicha numeracin: 27000 para tal
propsito.
Las normas, muchas de las cuales estn en desarrollo, van desde la especificacin
de requisitos para poder acreditar un sistema, hasta guas tcnicas especficas de
conceptos como la gestin de riesgos o el uso de sistemas de telecomunicaciones.
Seguidamente, y considerando que son de especial inters los contenidos de cada
una de ellas, se presenta una breve descripcin de toda la serie ISO 27000 [Ref Web
15].
57
39
Como dato curioso, considerar que esta norma est previsto que sea gratuita, a diferencia de las dems de
la serie, que tienen un coste.
58
59
40
41
European Accreditation.
En Espaa, esta norma an no est traducida. El original en ingls puede adquirirse en ISO.org.
60
ISO 27033: Su fecha prevista de publicacin es entre 2010 y 2011. Es una norma
consistente en 7 partes: gestin de seguridad de redes, arquitectura de seguridad de
redes, escenarios de redes de referencia, aseguramiento de las comunicaciones entre
redes mediante puertas de acceso, acceso remoto, aseguramiento de comunicaciones
en redes mediante Redes Privadas Virtuales y diseo e implementacin de
seguridad en redes. Provendr de la revisin, ampliacin y renumeracin de ISO
18028.
A continuacin se presenta una tabla con las principales normas de la serie ISO/IEC
27000, publicadas o en fase de desarrollo, en el momento de este trabajo:
42
Esta norma, al contrario que las anteriores, no la desarrolla el subcomit JTC1/SC27, sino el comit tcnico
TC 215.
61
Norma
Descripcin
Publicacin
ISO 27000
ISO 27001
Noviembre 2008
Octubre 2005
ISO 27002
ISO 27003
ISO 27004
ISO 27005
ISO 27006
ISO 27007
ISO 27011
ISO 27031
ISO 27032
ISO 27033
ISO 27034
ISO 27799
Julio 2007
Mayo 2009
Noviembre 2008
Mayo 2008
Marzo 2007
Mayo 2010
Enero 2008
Mayo 2010
Febrero 2009
2010-2011
Febrero 2009
2008
(Fuente: ISO27000)
Se podra decir que es la norma principal de la serie, ya que tiene una completa
descripcin de los Sistemas de Gestin de Seguridad de la Informacin, pudiendo
considerar actualmente a dichos sistemas, como el mejor medio para asegurar la calidad de
la seguridad de la informacin.
62
1
2
3
4
64
Plan
D:
Do
C:
Check
A:
Act
Planificar
Actuar
Hacer
Verificar
Como consecuencia del entendimiento de que ITIL no toma como uno de sus focos
principales la gestin de la seguridad de la informacin, y la ya contrastada aceptacin de la
norma ISO 27001 (sta s, orientada especficamente hacia dicha gestin de la seguridad)
parece evidente la necesidad de establecer una clara relacin entre ambas. De esta forma,
adems de resultar dos enfoques complementarios, aquellas organizaciones que hayan
optado por implantar un modelo ITIL, vern facilitada de forma significativa la
implantacin de su SGSI, as como los controles de seguridad que se deriven.
65
66
PLANIFICACIN
Anlisis
De
Riesgos
CMDB
(Activos)
SGSI
Gestin
de la
Configuracin
ITIL
Figura 13.- Relacin entre SGSI e ITIL.
(Fuente: propia)
Se hace referencia concreta a esta norma por su especial correlacin con ITIL, es as
que, al igual que ste, contiene una gua de buenas prcticas para la gestin de la seguridad
de la informacin, si bien, ISO 27002 est orientada al desarrollo, implantacin y
mantenimiento de un SGSI, mientras que, como ya sabemos ITIL se constituye en un
concepto ms amplio de la gestin del servicio de las TI.
67
Poltica de seguridad
Control de accesos
Conformidad
El detalle de la norma se puede consultar en el Anexo 4. Normativa ISO/IEC
27002:2005.
68
Caballo de Troya
Es un programa daino que se oculta en otro programa legtimo, y que produce
sus efectos perniciosos al ejecutarse este ltimo. En este caso, no es capaz de infectar otros
archivos o soportes, y slo se ejecuta una vez, aunque es suficiente (en la mayora de las
ocasiones) para causar su efecto destructivo.
Gusano o Worm
Es un programa cuya nica finalidad es la de ir consumiendo la memoria del
sistema. Se copia as mismo sucesivamente, hasta que desborda la RAM, siendo sta su
nica accin maligna.
Virus de macros
Los virus de macros43 afectan a archivos y plantillas que los contienen, hacindose
pasar por una macro y actuando hasta que el archivo se abra o utilice.
43
Una macro es una secuencia de rdenes de teclado y ratn asignadas a una sola tecla, smbolo o comando.
Son muy tiles cuando este grupo de instrucciones se necesitan repetidamente.
69
Virus de sobreescritura
Este tipo de virus sobreescribe en el interior de los archivos atacados, haciendo que
Virus de programa
Comnmente infectan archivos con extensiones .exe, .com, .ovl, .drv, .bin, .dll, y
.sys (los dos primeros son atacados ms frecuentemente por que se utilizan ms).
Virus de boot
Son virus que infectan sectores de inicio y booteo (Boot Record) de los diskettes y
el sector de arranque maestro (Master Boot Record) de los discos duros; tambin pueden
infectar las tablas de particiones de los discos.
Virus residentes
Se colocan automticamente en la memoria de la computadora y desde ella esperan
70
uso de procesos de encriptacin y de la misma tecnologa que utilizan los antivirus. Debido
a estas mutaciones, cada generacin de virus es diferente a la versin anterior, dificultando
as su deteccin y eliminacin.
distribuidas a travs del correo electrnico y las redes. Estos mensajes normalmente
informan acerca de peligros de infeccin de virus, los cuales en su mayora son falsos y
cuyo nico objetivo es sobrecargar el flujo de informacin a travs de las redes y el correo
electrnico de todo el mundo.
Virus Mltiples
Son virus que infectan archivos ejecutables y sectores de booteo simultneamente,
71
Aun as, estos sistemas antivirus no son perfectos, por propia definicin existe el
virus antes que el antivirus, por lo tanto es necesario definir procedimientos de actuacin
inmediata ante la aparicin de virus, as como procedimientos de contingencia y
recuperacin, para el caso de que produzcan efectos perniciosos en la organizacin.
Es importante resear que un sistema antivirus, como casi todos los sistemas
relacionados con la seguridad, requiere de la concienciacin y colaboracin del usuario, ya
que una de las principales tcnicas utilizadas por los virus es la ingeniera social, por
ejemplo, tentando al usuario a abrir un fichero, un correo con nombre o algn otro
motivo sugestivo. Debe incluirse, por tanto, dentro del sistema antivirus, as como reflejarse
72
73
74
CAPTULO III.
As, las ventajas que se obtienen como resultado de las mejores prcticas tienen que
ver con una mayor utilizacin de los recursos TI, mayor satisfaccin del usuario final y la
reduccin del riesgo global que conlleva la gestin de cambios.
44
45
75
Adems, para crear una cultura que gire en torno a los procesos, las organizaciones
que han obtenido los mejores resultados en el citado estudio han gestionado diligentemente
las excepciones a los procesos, y sus directivos TI aplican la mxima de que seguir un
proceso es algo bsico que se espera de todos los miembros del departamento de TI.
Finalmente, una configuracin efectiva del sistema (que suele alcanzarse cuando se
identifican y utilizan slo las configuraciones aprobadas de los sistemas de produccin) es
otro de los factores caractersticos de un entorno informtico estable y seguro. Todo ello sin
olvidar el control de accesos, que tambin es una mejor prctica clave para los roles y
responsabilidades, segregacin de tareas adecuada y un acceso restringido al entorno de
produccin [COM08b].
76
1.
ITIL
La Information Technology Infrastructure Library (Biblioteca de Infraestructura de
Una definicin de mejores prcticas podra ser la de Aidan Lawes46 [Ref web 33]:
una manera de hacer las cosas o un trabajo, aceptado ampliamente por la industria y que
funciona correctamente..."
46
47
CEO de itSMf.
Como por ejemplo multinacionales como IBM, HP, Microsoft, etc.
77
78
Esta biblioteca ha ido evolucionando y mejorando con el paso del tiempo. Poco a
poco ha ido ganando seguidores y se ha ido consolidando su uso en organizaciones de todo
tipo y tamao.
49
Ntese cmo en este prrafo el autor diferencia el concepto TI del concepto ampliado, TIC.
79
Lo que actualmente se conoce como ITIL versin 1 surgi a principios de los 80,
desarrollado bajo el auspicio de la CCTA, se titul Mtodo de Infraestructura de la
Tecnologa de Informacin del Gobierno51, y durante varios aos termin expandindose
hasta 31 libros52. Las publicaciones cambiaron de ttulo, principalmente motivado por el
deseo53 de que fueran vistas como una gua y no como un mtodo formal, y como resultado
del creciente inters que haba fuera del gobierno britnico.
Para hacer a ITIL ms accesible y menos costoso, para aquellos que deseasen
explorarlo, uno de los objetivos del proyecto de actualizacin (la versin 2) fue agrupar los
libros segn unos conjuntos lgicos destinados a tratar los procesos de administracin que
cada uno cubre. De esta forma, diversos aspectos de los sistemas de TIC, de las
aplicaciones y del servicio se presentan en conjuntos temticos.
50
William Edwards Deming (14 de octubre de 1900 - 20 de diciembre de 1993). Estadstico estadounidense,
profesor universitario, autor de textos, consultor y difusor del concepto de calidad total. Su nombre est
asociado al desarrollo y crecimiento de Japn despus de la Segunda Guerra Mundial.
51
En ingls Government Information Technology Infrastructure Method, GITIM.
52
dentro de un proyecto inicialmente dirigido por Peter Skinner y John Stewart.
53
Fundamentalmente de Roy Dibble de la CCTA.
80
1.2. Certificaciones
ITIL es una certificacin para individuos y por tanto permite a una persona estar
acreditada en sus distintos grados. Prueba que un individuo puede recibir un curso, entender
los procesos y luego articular sus habilidades de forma adecuada en un examen.
54
81
55
82
Nivel Fundamentos
Nivel Intermedio
Experto en ITIL
58
83
59
La OGC est considerando y evaluando un plazo para retirar (terminar) las certificaciones de ITIL v2. Los
certificados seguirn siendo vlidos despus de la fecha que se acuerde, pero no ser posible hacer exmenes
en dicha versin. En 2008 se haba acordado terminar las certificaciones de v2 el ltimo da de junio de 2009,
no obstante muchas regiones han reclamado que todava requieren de la v2 y OGC est considerando dos
opciones: eliminar la v2 en una sola fecha, o hacerlo en fechas diferentes segn el territorio. Para tomar la
decisin ha pedido a itSMf Internacional que le ayude a responder a una encuesta en la que se procesarn los
resultados por regin. [Ref Web 6]
84
2.
ITIL v2
2.1. Historia
Las mejores prcticas ITIL ofrecen un conjunto completo de prcticas que abarca no
slo los procesos y requisitos tcnicos y operacionales, sino que se relaciona con la gestin
estratgica, la gestin de operaciones y la gestin financiera de una organizacin moderna,
aunque es importante aclarar que el tema de Gestin de Servicios (Soporte del Servicio y
Entrega del Servicio) es el ms ampliamente difundido e implementado.
85
86
Cliente
Objetivo
Usuario
Bajo este punto de vista, ITIL proporciona dos instrumentos de vital importancia: el
CAU63 (Centro de Atencin al Usuario) y el Proceso de Gestin del Nivel de Servicio.
El CAU es el punto nico de contacto con el usuario final, donde los mencionados
usuarios pueden llamar para solicitar cualquier actividad por parte del departamento de
63
87
88
Gestin de la Configuracin.
Gestin de la Versin.
89
90
Gestin de la Configuracin
Gestin de la Versin
Los detalles del cambio deben de llegar al CAU antes de su entrega. Esto es as,
porque incluso despus de unas pruebas completas, existen posibilidades de que dicho
cambio ocasione problemas, bien porque el cambio no funciona como se esperaba, bien
porque existen dudas sobre la funcionalidad de ste.
La Gestin del Incidente recomienda que los registros de incidentes estn recogidos
en la misma CMDB que los registros de problemas, de errores conocidos o de cambios.
91
El CAU, como nico punto de contacto diario entre el proveedor de los servicios TI
y los usuarios, debe mantener informados a dichos usuarios de las eventualidades
producidas en los propios servicios, as como de los cambios producidos.
Centro de Atencin al
Usuario
92
Negocio
Clientes
Usuarios
Dificultades
Dudas
Preguntas
Comunicaciones
Noticias
Soluciones
Temporales
Centro de
Atencin al
Usuario
INCIDENTES
Gestin del
Incidente
CAMBIO
Gestin del
Problema
VERSIN
Gestin del
Cambio
CMDB
(Activos)
Gestin de
la Versin
Gestin de la
Configuracin
93
3.
ITIL v3
94
ESTRATEGIA
Diseo del
Servicio
Evoluciona
Desarrollo
del Servicio
Mejora
Mejora
Evoluciona
Mejora
Implantacin
del
Servicio
Operacin
del Servicio
Evoluciona
ITIL v3 consta de cinco libros que forman una estructura articulada en torno al
concepto de ciclo de vida del servicio de las TI. Se trata de establecer un marco de
referencia nico para todos los libros, de forma que stos no slo tengan sentido por s
mismos, sino que adems se puedan percibir como un todo. Este nexo de unin, es el ciclo
de vida del servicio TIC.
Parece necesario, por tanto, definir lo que para ITIL es un servicio TIC:
95
Es decir, el cliente solicita realizar una accin (lgicamente relacionada con las
TIC) y las propias TIC le proporcionan lo necesario para realizar esa accin. Al cliente no
le interesan las tareas necesarias para poder proporcionar el servicio, simplemente le
interesa poder realizar la accin proporcionada por el servicio con una calidad determinada.
En el prrafo anterior se ha introducido algo muy relacionado con este trabajo: para
aportar el servicio de correo electrnico, posiblemente habr que conectarse a Internet, y la
conexin a Internet conlleva un riesgo, pues bien, ese riesgo es necesario tratarlo dentro de
toda la infraestructura de la TIC creada, por tanto ser necesario gestionarlo correctamente,
generando nuevos procesos integrados en el sistema de gestin. Evidentemente, si se est
96
Por otro lado, incluir seguridad en todos los procesos y servicios ofrecidos.
97
Diseo de
Servicios
Estrategia de
Servicios
Mejora
Contina de
Servicios
Operacin de
Servicios
Mejora
Contina de
Servicios
Figura 20.- Portada del libro Estrategia del Servicio de ITIL v3.
(Fuente: OGC)
98
La Estrategia del Servicio busca la relacin entre el negocio y la TI. Tiene como fin
el alineamiento entre dichos conceptos, aportando cada uno al otro lo necesario para la
continuidad del propio negocio, fin que por otra parte ya estaba claramente referenciado en
ITIL v2.
Para crear una buena Estrategia del Servicio ser necesario tener claros los
siguientes conceptos:
99
En la Estrategia del Servicio existen una serie de actividades y procesos clave, que
se encargan de generar y gestionar la propia estrategia de servicios implantada en la
organizacin. En la siguiente tabla se muestran dichas actividades y procesos clave:
100
Figura 21.- Portada del libro Diseo del Servicio de ITIL v3.
(Fuente: OGC)
El diseo es una fase esencial en la globalidad del ciclo de vida del servicio.
Comprende el diseo de la arquitectura, es decir, de los procesos, polticas y
documentacin, implcitos en el diseo de un buen servicio.
Las metas y objetivos del diseo de un servicio son:
101
102
Figura 22.- Portada del libro Transicin del Servicio de ITIL v3.
(Fuente: OGC)
Su funcin reside en desarrollar los servicios que han sido requeridos en el uso
operacional del negocio.
Esta fase recibe informacin de la fase de Diseo del Servicio y se va desarrollando
segn la fase de Operacin del Servicio lo va necesitando. Si las circunstancias o requisitos
de diseo cambian, posiblemente esos cambios se reflejarn en la fase de Transicin del
Servicio.
La principal misin de esta fase es gestionar eficaz y eficientemente la creacin o el
cambio de los servicios. Para poder cumplir dicha misin, las actividades y procesos clave
son los siguientes:
103
Figura 23.- Portada del libro Operacin del Servicio de ITIL v3.
(Fuente: OGC)
104
Las actividades y procesos clave asociados a esta fase de Operacin del Servicio
son:
105
Adems, la Operacin del Servicio incluye una serie de actividades que no son parte
de los procesos antes descritos, estas actividades son las siguientes:
Aspectos operacionales de los procesos desde otras etapas del ciclo de vida:
Cambios, configuraciones, revisiones y desarrollos, disponibilidad, capacidad,
conocimiento, gestin de la continuidad del servicio, etc.
106
Figura 24.- Portada del libro Mejora Continua del Servicio de ITIL v3.
(Fuente: OGC)
Elemento, que junto con la Estrategia del Servicio, inspira todo el conjunto de ITIL,
ya que la Mejora Continua es un componente intrnseco en la orientacin a proceso dentro
de una gestin de calidad (ITIL versin 2), evidentemente es parte fundamental en el ciclo
de vida de dicho servicio (ITIL versin 3).
107
La mejora en 7 pasos es un proceso que comprende todos los pasos requeridos para
recolectar los datos, analizarlos y presentar la informacin a los gestores, para que stos
procedan a priorizar, realizar los acuerdos y las implementaciones que se consideren
necesarias, para una mejora continua en la prestacin de los servicios a la organizacin.
Vase un esquema donde se describe el proceso de los siete pasos de mejora:
64
108
1. Definir
que deberas
medir
7.
Implementar
medidas
correctivas
IDENTIFICACIN
2. Definir
que puedes
medir
Visin
6. Presentar y
usar la
informacin
Estrategia
3. Recopilar
los datos
Tctica
Operacin
5. Analizar,
4. Procesar
estudiar los
datos
los datos
Existen tres tipos de medidas, que deben realizarse en cualquier organizacin, para
dar soporte a las actividades del proceso de Mejora Continua del Servicio:
109
Estrate
gia del
servicio
Paquete
Diseo
Servicio
Gestin Financiera de TI
Generar
Estrategia
Gestin
Peticiones
Gestin
Suminist.
Gestin nivel
servicio
DISPONIBILIDAD
PLAN Y SOPORTE
Transicin
del
Servicio
Informes de
Ejecucin
del Servicio
CAPACIDAD
Gestin
PortFolio
Gestin
Catlogo
SEGURIDAD CONTINUIDAD
Gestin
Cambios
Gestin
Configuracin
Peticin
Ejecucin
Gestin
Incidentes
Paquete
Nivel
Servicio
Diseo
del
Servicio
CONOCIMIENTO
Gestin
Versiones
Gestin
Eventos
Primer
Soporte
Operacin
del
Servicio
MEJORA EN 7 PASOS
Mejora
Continua
Servicio
Medida
Servicio
Informe
Servicio
110
Mejora
Servicio
Plan de
Mejora del
Servicio
4.
V2 vs V3
111
65
Referencias a otras prcticas, relacin con otros modelos de referencia, inclusin de casos prcticos y
plantillas, y alineamiento con el gobierno de las TI.
113
5.
114
1.
En primer lugar hay que sealar que se ha querido hacer esta comparativa, pero ISO
2.
anterior, ITIL V3 es posterior a ISO 20000 por lo que esta norma ha influido en la nueva
versin de ITIL.
3.
El trmino actividad.
115
El trmino activo.
En ITIL V3 los activos se usan tanto para capacidades como para recursos,
dependiendo del contexto. Los activos incluyen cualquier cosa que pueda contribuir a la
entrega del servicio. Un activo puede ser de gestin, de organizacin, de proceso, de
conocimiento, de personas, de informacin, de aplicaciones, de infraestructura o
financieros. En cambio en ISO/IEC 20000 la palabra activo se usa para temas financieros.
5.
La CMDB.
En cambio ISO/IEC 20000 no especifica dnde deben ser almacenados los datos
usados para la gestin de servicios o qu nombre debera drsele a dicho almacn (lgico).
116
El trmino incidente.
7.
8.
ISO 20000 no requiere que los dos procesos se combinen entre s, aunque se encuentran en
el mismo apartado.
9.
117
118
6.
espaol hacia la nueva versin de ITIL es muy alto a pesar de los esfuerzos realizados en su
comunicacin.
66
119
Segn Jess Gmez Para que ITIL versin 3 funcione realmente en Espaa y d el
consabido cambio cultural vamos a necesitar muchas generaciones. ITIL versin 3 es
impracticable en nuestro pas [GOM08].
Debido a todo lo anterior, los factores coste y tiempo para implementar una solucin
ITIL deja irremediablemente fuera de juego a las PYMES. Por ello, en esta tesis doctoral se
ofrece una solucin que pretende corregir o mitigar, en la medida de lo posible, todas las
deficiencias presentadas en ITIL, especialmente para las PYMES.
120
67
Responsable de TI.
121
Las principales causas del fracaso de los proyectos de implantacin de ITIL son las
siguientes:
122
123
7.
Como curiosidad y crtica se quiere destacar el hecho de que los libros de esta nueva
versin de ITIL son slo cinco, pero realmente extensos70; pues bien, de Gestin de la
68
124
La seguridad no es una meta para las organizaciones, sino una necesidad para poder
alcanzar los objetivos de cada entidad [OGCSM99].
71
125
126
Captulo IV MISITILEON
CAPTULO IV.
1.
Introduccin
La utilizacin de las mejor prcticas en los proyectos software mejora la
Gracias al estudio y a los trabajos previos realizados por la doctorando (como por
ejemplo la traduccin oficial ITIL Heroes Handbook73) se decidi que MISITILEON no
deba ir de complicados y estrictos mapas de procesos. Por ello se ha intentado que quien
vaya a usar esta metodologa no tenga que seguir el proceso de otros o los procesos
definidos en un libro. Una vez que las personas de cualquier empresa aprendan
MISITILEON, no debern estar dibujando detallados mapas de procesos para cada mdulo,
72
73
La mayora de las soluciones ITIL que existen en el mercado, tanto espaol como
internacional, son muy complicadas. Vase como ejemplo de dicha complicacin un caso
perfectamente real donde un cliente quiere implementar una solucin ITIL. En primer
lugar, los clientes tienen que conseguir una consultora en ITIL para definir los procesos de
ITIL y alinearlos con sus objetivos de negocio. La siguiente tarea es comprar software
ITIL74 (la mayora de soluciones ITIL ofrecen gestin de incidentes, gestin de problemas y
gestin de cambios como mdulos diferentes). Incluso despus de elegir el software, tarea
que requiere su estudio y su tiempo, a los consultores les lleva meses implementar el
proceso.
74
EasyVista Service Management, Service One, Numara Footprints, Process Worx ITIL, etc.
128
Captulo IV MISITILEON
Garantizar que la informacin sea completa, precisa y est protegida contra cambios
no autorizados (integridad).
129
130
Captulo IV MISITILEON
Se puede decir que el desarrollo y xito de una organizacin depende de que los
servicios TI conozcan las necesidades de negocio, y por ende, los procesos de negocio que
generan estas necesidades.
Por otra parte, no toda la informacin, ni los sistemas que la soportan, son igual de
importantes, ser necesario evaluar el nivel de seguridad que le corresponde a cada
informacin, de forma que exista un equilibrio adecuado entre las medidas de seguridad
adoptadas y el coste que supone aplicarlas. Sera ilgico, y muy contraproducente invertir
grandes esfuerzos o recursos en proteger informacin pblica o sin importancia, mientras
que otra informacin, ms relevante, pudiera quedar desprotegida.
131
Las medidas de seguridad finales, por lo general, deben limitar los riesgos y
vulnerabilidades del valor de la informacin a proteger. Se presenta una descripcin de los
diferentes tipos de posibles medidas de seguridad:
132
Captulo IV MISITILEON
75
133
Aun as, dentro de las medidas de seguridad, que en definitiva, van a formar los
procesos de seguridad, se encuentran aquellas del tipo deteccin o evaluacin, muy
relacionadas ambas con el anlisis de riesgos o la auditoria, de hecho, se podra decir que
muchos de los procesos que se generan a partir de estas medidas (como pueden ser, los
sistemas de monitorizacin, la gestin de eventos o el anlisis forense) van a nutrir a estas
actividades, en principio no consideradas servicios proporcionados por ITIL.
134
Captulo IV MISITILEON
Nacen as dos posibles enfoques para MISITILEON:
135
2.
incluyen:
Procesos de monitorizacin.
Estrategia de comunicacin.
Procesos de comunicacin.
2.1. Terminologa
Basndose en el trabajo de la Comisin de Seguridad de SEDISI (Asociacin
Espaola de Empresas de Tecnologas de la Informacin), y completando algunos
conceptos, se ha redactado este apartado para normalizar algunos trminos:
76
136
Captulo IV MISITILEON
Amenaza. Cualquier evento que pueda provocar dao en los Sistemas de informacin,
produciendo a la empresa prdidas materiales, financieras o de otro tipo. Las amenazas
son mltiples desde una inundacin, un fallo elctrico o una organizacin criminal o
terrorista.
Incidente de seguridad. Cualquier evento que tenga, o pueda tener, como resultado la
interrupcin de los servicios suministrados por un Sistema de Informacin y/o prdidas
fsicas, de activos o financieras. En otras palabras la materializacin de una amenaza,
137
Defensa. Cualquier medio, fsico o lgico, empleado para eliminar o reducir un riesgo.
Debe realizarse una valoracin cuantitativa de su coste. Muchas veces se la conoce
como medida de seguridad o prevencin. Su objetivo es reducir el riesgo o el
impacto.
Defensa activa o medida de seguridad activa. Cualquier medida cuyo objetivo sea
anular o reducir el riesgo de una amenaza como la instalacin de un programa antivirus
o el cifrado de la informacin.
Defensa pasiva o medida de seguridad pasiva. Cualquier medida cuyo objeto sea. si
se produce un incidente de seguridad, reducir el impacto. El ejemplo tpico es el uso de
las copias de seguridad de la informacin.
138
Captulo IV MISITILEON
La ISO 27001 es la norma formal con la que las organizaciones podran contrastar y
certificar su ISMS.
Alineacin estratgica
o Los requisitos de seguridad deben surgir a partir de requisitos empresariales.
o Las soluciones de seguridad deben ajustarse a los procesos de la empresa.
Creacin de valor
o Establecer un conjunto estndar de prcticas de seguridad.
o Distribuir el esfuerzo con una prioridad adecuada sobre aquellas reas con
mayor impacto y rendimiento de negocio.
139
Gestin de recursos
o Documentar los conocimientos.
o Documentar los procesos de seguridad.
Una amenaza puede causar una incidencia que produce daos. Para evitarlos o
reducir su impacto se pueden tomar medidas de distinta naturaleza:
Medidas preventivas
Previenen que un incidente de seguridad ocurra, para ello necesitan una serie de
requerimientos.
140
Captulo IV MISITILEON
Ejemplo:
Medidas reductivas
Minimizan la cuanta del impacto.
Ejemplo:
Medidas de deteccin
Ayudan a descubrir, lo antes posible, que el incidente ha ocurrido.
Ejemplo:
Sistema de monitorizacin.
Medida: Procedimientos de alerta, envo de mensajes por diferentes
vas.
Medidas limitadoras
Tratan de evitar que un incidente de seguridad se repita en el tiempo.
Ejemplo:
Medidas correctivas
Tratan de corregir el dao lo antes posible.
141
Medidas de evaluacin
Determinan qu fall y cul fue la causa del incidente, con objeto de prevenirlo en
un futuro. Es importante, que no se limiten nicamente a incidentes graves, sino que
traten de mantener un control y evaluacin del resto de medidas aplicadas.
Ejemplo:
142
Captulo IV MISITILEON
3.
Caractersticas de MISITILEON
Una caracterstica fundamental de MISITILEON es que hace un ITIL ms
sencillo para que cualquier organizacin, grande, mediana o pequea, pueda beneficiarse
de esta nueva metodologa.
Cualquier organizacin puede comenzar con MISITILEON desde el primer da, con
un mnimo de configuraciones para adaptarse a sus necesidades. Porque lo que pretende
esta metodologa es simplificar al mximo sus procesos.
MISITILEON ha tomado todo lo bueno de ITIL (las buenas prcticas que ya haban
demostrado ser eficaces en distintas industrias y diferentes pases) eliminando lo que no es
realmente importante o necesario y ha aadido mejoras.
143
144
Captulo IV MISITILEON
4.
Estructura de MISITILEON.
La estructura general de MISITILEON toma la idea de ITIL v3 respecto a adaptarse
al ciclo de vida, pero de una manera muy distinta, ya que en lugar de tomar el ciclo de vida
en espiral ha adoptado la estructura del modelo Fuente planteado en los 90 por HendersonSellers y Edwards77. A pesar de tener dicha estructura, MISITILEON se centra en la
mayora de los procesos que formaban el ncleo de los mdulos principales de ITIL versin
2: Soporte del Servicio y Entrega del Servicio.
77
145
Madurez
Crecimiento
Mejora i(i de 1 a n)
Planificacin Construccin
Proceso 1Proceso 2
Liberacin
Proceso n
146
Captulo IV MISITILEON
Cada proceso puede tener un ciclo de vida slo para l debido a que cada uno puede
estar en una fase diferente en un momento cualquiera. Una de las ventajas de esta
caracterstica del modelo Fuente es que permite un desarrollo solapado e iterativo.
147
5.
Componentes de MISITILEON
En este apartado se presentan en detalle los procesos, la funcin y la base de datos
Vase un esquema general donde pueden estar representados todos los procesos,
anteriormente descritos:
148
Captulo IV MISITILEON
USUARIO
CLIENTE
Gestin del
Nivel de Servicio
Requisitos de seguridad
Help Desk o
CAU
Gestin
Financiera y
costes
Gestin del
Incidente
Gestin del
Problema
Gestin de la
Capacidad y
rendimiento
Planeamiento
continuo del
negocio
BDGC
Gestin del
Cambio
Gestin de la
Disponibilidad
Gestin de la
Versin
Otros Procesos
Gestin de la
Configuracin
Procesos MISITILEON
149
150
Captulo IV MISITILEON
En la figura 30 se observa cmo el HelpDesk es el nico punto de atencin al
usuario, y cmo, todos los procesos se relacionan con la CMDB, que contendr los datos de
todos los CIs que componen la TI en la organizacin.
Para MISITILEON, una vez aplicada la seguridad a todo el proceso, y en un primer
nivel de abstraccin, el esquema anterior se vera completado como sigue:
151
CAU
BDGC
Captulo IV MISITILEON
y las consiguientes relaciones entre ellos. Estos elementos van a aportar el servicio de
seguridad de la informacin al organigrama de gestin de servicios de la organizacin y se
describen ms detalladamente en el siguiente captulo, en forma de casos de uso.
5.1. CAU
Con la experiencia que la doctorando ha adquirido en estos aos, se puede afirmar
que, hoy en da, el HelpDesk de la TI es el pilar de cualquier negocio pequeo o grande, y
la mayora de los gestores de TI luchan por tener un HelpDesk productivo y eficiente.
En MISITILEON se forma a los analistas del CAU para que den el mayor soporte
posible a los usuarios que piden nuevos servicios. Se hace comprender a los analistas,
gracias a la formacin, la importancia que tiene que graben las peticiones con detalles de
urgencia y prioridad. Con MISITILEON se pretende que el equipo del CAU no sea un
simple call center y busque nuevos planes de servicio e hitos.
153
Los ANSs sirven para definir y comprobar que se mantiene un nivel del servicio
acorde con las necesidades y posibilidades de la organizacin.
154
Captulo IV MISITILEON
El ANS formaliza los requisitos del cliente para los niveles de servicio y define las
responsabilidades de todas las partes participantes, para ello se establecen una serie de
reuniones que van a determinar, los niveles de seguridad acordados, es decir, las medidas
de seguridad a aplicar a la organizacin.
Para poder hacer efectivas las medidas de seguridad deducidas de los ANSs, ser
necesario establecer una serie de controles de seguridad.
Se establece aqu una fuerte relacin entre la gestin de servicio segn ITIL y toda
la serie de la normativa ISO 27000, donde, entre otros conceptos, se detalla la definicin de
dichos SGSI y los controles de seguridad que los constituyen.
155
ANSs
156
Captulo IV MISITILEON
De las reuniones entre cliente y proveedor se establecer un nivel acordado de
seguridad. Este nivel se podra denominar, en trminos especficos de seguridad, Nivel
Bsico de Seguridad78.
ANS
78
157
ANS DE SEGURIDAD
Identificador
Titulo
GENERAL
Cliente
Responsable
Inicio de Acuerdo
Fin de Acuerdo
Impacto
Urgencia
Tiempo de Servicio
Tiempo de
Respuesta
EQUIPO DE TRABAJO
Responsable del
ANS
Rol del
Responsable
Integrantes
Identificador
Identificador
Niveles de
Resolucin
Nivel
79
Rol
Distintos niveles de resolucin de incidentes, as como los
integrantes que forman los equipos asignados.
Integrantes
Lder
158
Captulo IV MISITILEON
.
Nivel
Integrantes
.
Lder
..
Impacto
Urgencia
Prioridad
Tiempo
Nivel Resol
ESCALAMIENTOS
Funcional
Porcentaje
Porcentaje
De Notificacin
Porcentaje
.
Porcentaje
Accin
Nivel a Escalar
Posibles escalamientos, de notificacin, por porcentaje.
Notificaciones Fijas
Notificaciones Variables
Notificaciones Fijas
Notificaciones Variables
ANEXOS
Documentos anexos: descripcin de medidas y controles de seguridad necesarios,
periodos de revisin de los ANS, etc
Tabla 11 .- ANS de seguridad.
(Fuente: propia)
La revisin del ANSs est diseada para incluir a la administracin de alto nivel en
el proceso de revisin, asegurando as la implicacin y las comunicaciones entre el
proveedor de TI y la empresa, en todas las decisiones futuras relacionadas con la provisin
del servicio.
159
80
160
Captulo IV MISITILEON
Registrar Datos Bsicos
Todas las incidencias deben quedar registradas con todos sus datos, incluyendo
fecha y hora.
Informar al usuario
Diagnosticar
BDC
Verificar cundo se puede ayudar al usuario con una solucin de la base de datos de
conocimiento (BDC).
161
Si est claro que el CAU no puede resolver (con la rapidez suficiente) la incidencia,
sta debe ser escalada inmediatamente para recibir un nivel de soporte ms alto. Si la
organizacin tiene un grupo de segunda lnea de soporte y el CAU cree que ese grupo
puede resolver la incidencia, se enva la misma a la segunda lnea (y as sucesivamente).
Ofrecer soluciones
Se debe trabajar cerca del Grupo de Especialistas de Soporte para ofrecer soluciones
al usuario.
Siempre debe ser el usuario el que d la aprobacin final y por tanto, hasta que ste
no lo confirme al CAU por los canales establecidos, no se puede cerrar el incidente.
162
Captulo IV MISITILEON
Bsqueda en la BDGC
163
Las tareas que se realizan desde Gestin del Problema de MISITILEON son las
siguientes:
164
Captulo IV MISITILEON
Problemas que tienen Solucin Temporal/Solucin Definitiva: Errores Conocidos
Los tcnicos del CAU pueden darle al usuario una solucin temporal o
definitiva. Los tcnicos deben anotar la ocurrencia del problema e incrementar el contador
del mismo para poder evaluar la frecuencia con la que dicho problema aparece.
Cuando se clasifica un problema, los tcnicos tienen una idea clara de por dnde
empezar. Si por ejemplo el problema se encuentra en la mquina del usuario, en el servidor
proxy o en el firewall, los tcnicos usarn distintas herramientas para diagnosticar y
resolver el problema. Los tcnicos registran todos los sntomas y las causas raz
relacionadas con las soluciones temporales y definitivas.
165
Los tcnicos se ponen en contacto con los usuarios si encuentran una solucin
disponible. Si el problema requiere algunos cambios en el sistema, pueden ofrecer
soluciones temporales e iniciar una Peticin de Cambio.
Cerrar el Problema
166
Captulo IV MISITILEON
167
La mayora de los pequeos negocios piensan que la Gestin del Cambio requiere
demasiado control y que no es posible implementar un cambio rpidamente cuando se tiene
un proceso tan largo. La Gestin del Cambio en MISITILEON no ser complicada.
Consiste en tener un plan sencillo y organizarse para no tener sorpresas fuera de tiempo.
Da igual qu marco de trabajo se emplee, toda organizacin, por mnima que sea,
necesita la Gestin del Cambio. Ello ayuda a los gestores y al personal de la TI a mantener
informados a los ejecutivos y a todos los interesados de los cambios importantes cuando
stos suceden. Cuando todo el mundo (desde los ejecutivos hasta el personal de la TI) est
involucrado (desde la toma de decisiones hasta la implementacin) no queda espacio para
sorpresas no deseadas.
Aqu se presenta dicho proceso de Gestin del Cambio sencillo y efectivo que
mapea un plan con sentido comn hacia ITIL. Las tareas que se realizan en el proceso de
Gestin del Cambio son:
168
Captulo IV MISITILEON
Formular un Plan
Definir el propsito
Se debe definir claramente cul es el propsito del cambio, quin lo propone y por
qu lo hace.
Clasificar el cambio
Ubicar el cambio
Hay que tener muy claro cundo y dnde est planeado llevar a cabo el cambio.
169
En este momento hay que preguntarse El negocio se ver afectado cuando se est
implementando este cambio? Para evitar sorpresas de ltima hora, hay que dimensionar el
alcance del cambio.
Reestablecer el servicio
Inventariar
Se debe hacer una lista de comprobacin de las cosas que se supone que estarn
disponibles.
170
Captulo IV MISITILEON
Priorizar y programar
Hay que establecer cul debe ser la prioridad el cambio (en funcin de su
importancia, urgencia y dems). Una vez determinada su prioridad, hay que programar el
momento en el cual se llevar a cabo el cambio.
Probar
Documentar
Mejorar
Siempre se aprende algo en cada implementacin, as que se debe tomar buena nota
de las debilidades y fortalezas para mejorar el plan la prxima vez.
171
172
Captulo IV MISITILEON
La Gestin de la Versin en MISITILEON trabaja codo con codo con la Gestin del
Cambio, lo cual es de suma importancia. La Gestin del Cambio es responsable de
planificar y el objetivo de la Gestin de la Versin es ejecutar/implementar adems de dar
formacin de los usuarios.
Planificar
173
Lnea Base
Se graban los valores de configuracin de la lnea base antes de aplicar los cambios.
Distribuir
Verificar
174
Captulo IV MISITILEON
Qu contendr la BDGC?
La BDGC debera contener informacin de todos los componentes crticos del
negocio, a saber:
Licencia de la autora.
175
de la estructura que va tener esa BD. Aqu se presentan algunas guas de proceso que
pueden ayudar a esbozar un buen plan.
176
Captulo IV MISITILEON
semanales, es importante incluir las copias del software en un entorno vivo. Si uno de los
servidores ms importantes de una organizacin se cae y se dispone del nmero de versin
del software, pero no la copia exacta de dicha versin, en esa organizacin podran
encontrarse con graves problemas. Segn este sencillo ejemplo, en la BSD estara la copia
fsica de dicho software y en la BDGC estara la referencia (el puntero) a dicho software.
BDGC.
177
178
Captulo IV MISITILEON
6.
Gestin de la Seguridad.
La desconfianza es la madre de la seguridad83.
Este proceso es otro de los componentes de la metodologa, pero como tiene gran
importancia en esta tesis doctoral, requiere un apartado independiente del resto de
componentes de MISITILEON.
83
84
179
Etc.
180
Identificacin.
Autenticacin.
Captulo IV MISITILEON
Control de acceso.
Confidencialidad.
Integridad.
No repudio.
Auditorias.
Anlisis de vulnerabilidades.
Etc.
181
85
En el apartado 6.1.5 de este captulo se explica en detalle cmo se establecen los niveles de seguridad
(ANSs).
182
Captulo IV MISITILEON
Los sucesos o incidentes de seguridad, que como ms adelante se detallar, son
elementos clave en la gestin de la seguridad, podrn afectar a los tres pilares donde
descansa la informacin, esto es, la confidencialidad, la integridad y la disponibilidad,
aunque indudablemente, dependiendo del tipo de organizacin y de la informacin que sta
maneje, dichas variables se vern ms o menos afectadas. As, por ejemplo, en un entorno
de defensa primara la confidencialidad, en un entorno financiero, la integridad y en un
entorno de urgencias hospitalarias, la parte ms importante sera la disponibilidad.
Evidentemente, esto no quiere decir que no haya que tener en cuenta el resto de variables,
que como se coment, son pilares bsicos de la seguridad.
Una vez claras las medidas de seguridad que se necesitan implantar y mantener en
la organizacin, el siguiente paso es desplegar dichas medidas de seguridad, en forma de
controles de seguridad, por los diferentes sistemas de la organizacin. Estos controles de
seguridad van a necesitar de una serie de procesos que los planifiquen, implanten,
mantengan, evalen y mejoren de forma continua, es decir, que los gestionen. Estos
procesos, encargados de gestionar el servicio de seguridad, sern los denominados procesos
o subprocesos de seguridad, y el conjunto de todos ellos es lo que vendr a formar el
proceso de Gestin de la Seguridad MISITILEON.
183
ANS
MEDIDAS DE SEGURIDAD
CONTROLES DE SEGURIDAD
Subprocesos de Seguridad
PROCESO DE SEGURIDAD
Figura 37.- Proceso de Gestin de la Seguridad.
(Fuente: propia)
86
184
Captulo IV MISITILEON
185
Debe existir una buena base de datos de incidentes de seguridad, entre otras
cosas, para poder realizar un seguimiento de todos los incidentes de seguridad de la
organizacin, as como disponer de argumentos necesarios para demostrar que se
requieren medidas especficas.
87
186
Captulo IV MISITILEON
ANS
Cliente
Planificacin
Evaluacin
Control
de
Seguridad
Implementacin
Mantenimiento
Gestin del
Incidente
Informes
Gestin del
Problema
Gestin del
Cambio
MISITILEON
Gestor de la Seguridad88.
Administrador de Seguridad89.
Una descripcin general de cada una de las figuras y de las actividades desarrolladas
por stas, sera: [MSM05]
Gestor de Seguridad:
Es el responsable de la valoracin, resolucin y mantenimiento de los requisitos de
seguridad dentro de la organizacin.
Security Manager.
Security Administrator.
188
Captulo IV MISITILEON
Administrador de Seguridad:
Evala los problemas de seguridad potenciales que puedan ocurrir en los sistemas.
189
ENTREGA
DEL
SERVICIO
SOPORTE
DEL
SERVICIO
GESTOR DE
SEGURIDAD
ADMINISTRADOR
DE SEGURIDAD
PROCESO DE SEGURIDAD
90
190
Captulo IV MISITILEON
El Gestor de Seguridad y MISITILEON:
Proceso de
Acuerdo del
Nivel de
Servicio
Asesorar
Proceso de
Gestin del
Cambio
Gestor de
Seguridad
Proceso de
Gestin de la
Disponibilidad
191
192
Captulo IV MISITILEON
Asesorar
Escalado
Configurar
Administrador
de Seguridad
Gestin de
Incidentes de
Seguridad
Definicin de
Controles de
Seguridad
Monitorizar
Actualizar
Mantenimiento
de Controles de
Seguridad
Evaluar
Evaluacin de
Controles de
Seguridad
Generar Informes
Informacin de
Controles de
Seguridad
193
194
Captulo IV MISITILEON
195
196
Captulo IV MISITILEON
En el sentido procesal, para el HelpDesk, los incidentes de seguridad no son
diferentes de otros incidentes, es decir, son registrados y catalogados como los dems. El
HelpDesk es el propietario de todos los incidentes [OGCSM99].
Es fundamental, por tanto, que el primer nivel de recogida de incidentes, sea capaz
de catalogar la importancia del incidente de seguridad y si ste va a necesitar un tratamiento
especial.
Una propuesta de solucin pasa por que el CAU disponga de una serie de incidentes
tipo sobre los que debe actuar directamente, es decir que sigan el procedimiento normal,
y otra serie de incidentes que requieran un escalado y por tanto tengan asociado una
clasificacin y un tratamiento especial.
197
Ejemplos:
- Si una cuenta se bloquea porque un usuario ha introducido mal una clave, el CAU
dispone de un procedimiento normal de solucin ante este incidente.
- Si una cuenta se bloquea sin la accin consciente del usuario, o se bloquea muchas
veces en una hora, se est produciendo un incidente o un problema de seguridad, que el
CAU deber escalar, es decir, necesita un tratamiento especial.
198
Captulo IV MISITILEON
Su gestin se separar del resto de los incidentes, esto quiere decir que slo ser
accesible para un determinado grupo de personas.92
Para poder llevar a cabo una correcta gestin de los incidentes de seguridad es
fundamental que HelpDesk reconozca stos como tales.
Infraccin de la
Confidencialidad
Infraccin de la
92
93
199
Integridad
Infraccin de la
Disponibilidad
Por ltimo, un correcto registro de los incidentes de seguridad permitir una mejor
gestin de los problemas ocasionados por los propios incidentes, a la vez que posibilitar
analizar la efectividad de las medidas de seguridad y los posibles riesgos a los que est
sometida la organizacin.
Unidad Organizacional
Sistema afectado
Ttulo
Punto de Contacto
Detalle Descriptivo
Estado de Escalado
200
Captulo IV MISITILEON
Control de Segur
Proceso de
recogida de
incidentes
HELPDESK
Registro
del
incidente
Incidente
Administrador de Seguridad
Figura 43.- Caso de Uso del proceso de recogida de llamadas por el CAU.
(Fuente: propia)
201
Se puede decir que, una buena Gestin del Incidente depende de que las
definiciones de los distintos criterios de clasificacin de las llamadas de servicio sean claras
y concisas, de forma que los operadores puedan tratarlas sin ningn gnero de duda.
Tratamiento
Proceso de
gestin de
incidentes de
seguridad
Registro de
incidentes de
seguridad
Operador
Figura 44.- Caso de Uso del proceso de Gestin de Incidentes de Seguridad en MISITILEON.
(Fuente: propia)
202
Captulo IV MISITILEON
Gestin del
Incidente
Administrador de Seguridad
Gestin del
Problema
BDGC
Gestin del
Cambio
203
204
Captulo IV MISITILEON
Este ataque puede ser debido (o su resultado puede ser agravado) por una
vulnerabilidad en alguno de los sistemas TI de la organizacin, lo cual deriva en un
problema de seguridad para dicha organizacin.
Ejemplos:
205
Ejemplos:
206
Captulo IV MISITILEON
Ejemplos:
Reaccin del sistema ante cualquiera de los casos anteriores -> Posible
vulnerabilidad.
207
La Gestin del Cambio es el proceso responsable del control del ciclo de vida de los
cambios de los componentes TI.
208
Captulo IV MISITILEON
La salida o resolucin del proceso de Gestin de Problemas de Seguridad puede
ocasionar una solicitud de cambio94, el cul una vez ejecutado deber ser registrado por la
Gestin de la Configuracin.
Gestin de
Problemas de
Seguridad
RFC
Gestin del
Cambio
Gestin de la
Configuracin
CMDB
BDGC: Es la vista total de la infraestructura TI, ya que contiene todos los ECs de la
organizacin (software, hardware, documentacin, procedimientos,...).
94
209
La asignacin del nivel de seguridad de cada CI debe ser determinada por el cliente,
ya que es la nica entidad capaz de determinar la importante de la informacin o del
sistema que lo contiene. Esta clasificacin se deriva, por tanto, de los requerimientos de
seguridad acordados en el SLA [OGCSM99].
Confidencialidad
Integridad
Disponibilidad
210
Captulo IV MISITILEON
A cada una de estas variables se le asignar un valor en funcin de la clasificacin
de la informacin adoptada por la organizacin. La Administracin en Espaa
generalmente clasifica como:
Secreto
Confidencial
Reservado
Sin clasificar
NATO Secret
NATO Confidential
NATO Restricted
NATO Unclassified
211
Por otra parte, cuando cualquier sistema es sometido a un cambio (no tiene por qu
ser por un problema de seguridad) ser necesario que dicho sistema mantenga el nivel de
seguridad que tena previamente asignado.
Ser misin de la Gestin del Cambio asegurar que todos los ECs afectados por el
cambio mantienen el nivel de seguridad acordado en los ANSs.
Propuesta
de Cambio
Estudio de
impacto en
seguridad
BDGC
Implementacin
y pruebas
(ECs
afectados)
GCC
212
Grupo de
Desarrollo
y Pruebas
Captulo IV MISITILEON
No es necesario que el administrador de seguridad est implicado en cada cambio,
la composicin del grupo GGC96 (Grupo de Gestin del Cambio) ser decisin del gestor
del cambio, dentro de una poltica de normalizacin de seguridad en el ciclo de vida de los
cambios.
Proceso de
Gestin del
Cambio
Gestor de la
seguridad
Figura 49.- Caso de Uso del proceso de Gestin del Cambio en MISITILEON.
(Fuente: propia)
96
213
214
215
216
217
ANS
BDGC
Es muy importante que estos procesos y los procedimientos que se derivan de ellos,
se definan y realicen correctamente, ya que van a marcar el xito o el fracaso del sistema
antivirus en la organizacin, sobre todo cuando el caso de fracaso puede derivar en graves
218
Se ver que los agentes o actores que intervienen de una u otra forma en estos
procesos son: el propio cliente, el proveedor del servicio y el gestor/administrador de la
seguridad:
Catlogo de
servicios
antivirus
Necesidades
Proveedor
Cliente
Proceso
general del
Nivel de
servicio de
antivirus
Asesoramiento /
Planes de
contingencia y
actuacin ante
virus
Gestor/Administrador
de Seguridad
Figura 51.- Caso de Uso: proceso general del Nivel de Servicio antivirus.
(Fuente: propia)
219
1.
97
220
De estas reuniones, cliente-proveedor, surgir el ANS, que deber ser respetado por
ambas partes.
Necesidades
(Anlisis de
riesgos)
Cliente
Asesoramiento
Gestor
Seguridad
Proveedor
Proceso de
acuerdo del
nivel de servicio
de antivirus
ANSs
Baseline (Lnea base,
mnimos a cumplir)
Catlogo
de servicios
antivirus
Figura 52.- Caso de Uso: proceso de acuerdo del nivel de servicio antivirus.
(Fuente: propia)
221
98
99
Planificacin:
o
222
Ser necesario establecer una programacin de las reuniones a realizar, con objeto
de establecer los acuerdos y contratos necesarios para una correcta gestin del nivel de
servicio.
100
101
223
Figura 53.- Diagrama Gantt: Gestin de los niveles del servicio antivirus.
(Fuente: propia)
Es importante tener en cuenta que para la creacin del diagrama anterior se han
estimado los tiempos de las tareas para una organizacin de una entidad media.
Lgicamente, estos tiempos cambiarn cundo se lleve a un caso real, no siendo
importantes, sino ms bien una referencia para mostrar un posible ejemplo de
representacin de las tareas necesarias para gestionar el nivel de calidad del servicio
antivirus.
224
10001
Sistema de Seguridad Antivirus.
Cliente
Responsable
Inicio de Acuerdo
Fin de Acuerdo
Impacto
Urgencia
Tiempo de Servicio
Tiempo de
Respuesta
GENERAL
EQUIPO DE TRABAJO
Responsable del
ANS
Rol del
Responsable
Integrantes
Administrador de Seguridad.
Admin1
Admin4
Niveles de
Resolucin
Nivel 1
.
Nivel 4
Responsable de Sistemas.
Distintos niveles de resolucin de incidentes por virus, as
como los integrantes que forman los equipos asignados.
Admin1/Admin2
Admin1
.
Admin1/Admin2/Admin3
Admin1
225
..
Critico
3
1 hora
Prioridad 4
Nivel 4
ESCALAMIENTOS
Funcional
Porcentaje 10%
Porcentaje 70%
De Notificacin
Porcentaje 10 %
.
Porcentaje
Escalamiento y Notificacin
Nivel 4
Posibles escalamientos, de notificacin, por porcentaje.
Admin1
Admin2,
Admin1, Admin2
Admin3, Gestor1, Super2
ANEXOS
Documentos anexos, referencias: descripcin de medidas y controles de seguridad
necesarios para cumplir con el acuerdo de nivel del servicio Antivirus.
Tabla 14 .- ANS de Seguridad.- Servicio Antivirus.
226
102
103
Vase Anexo 4.
Vase el apartado 5.2.2. del captulo 2 de esta memoria.
227
228
Necesidades
(Anlisis de
riesgos)
Cliente
Antivirus nivel
protocolo
Definicin del
sistema
antivirus
Asesoramiento
Gestor Seguridad
Proveedor
Catlogo
de servicios
antivirus
Antivirus nivel
servicio
Medidas/
Controles de
Seguridad
Antivirus nivel
estacin
229
Una solucin ptima para implementar antivirus de permetro de red son los
denominados appliance antivirus, que son unos equipos de proteccin perimetral antivirus
de alto rendimiento, compuestos de hardware y software, y que normalmente cubren las
necesidades de proteccin ante muchos de los posibles tipos de software malicioso que
puedan afectar a la organizacin, esto es, adems de virus, spyware110, spam111, etc.
104
230
231
Servidores Web.
Los servidores Web de cualquier tipo, sitos en las organizaciones, son objetivo de
Servidores de mensajera.
El servicio antivirus especfico para mensajera, pretende impedir que cualquier
software malintencionado se introduzca por medio del sistema de correo electrnico en los
buzones de los usuarios de la organizacin.
112
232
de datos. Al considerar las defensas antivirus de un servidor de bases de datos hay cuatro
elementos principales que se deben proteger:
o
El almacn de datos.
233
113
234
Software malicioso
(en el exterior de la
organizacin)
Estacin de trabajo
(en el interior de la
organizacin)
Figura 55.- Diferentes
235
236
OPCIONES
Permetro de red
Consiste, bsicamente, en
la eleccin de los
protocolos que se van a
chequear por el antivirus,
as como los puertos que
tienen asociados.
Servicio/Servidor
Depender del servicio al
que se especifica el
software antivirus.
El ms extendido es para
el servidor de mensajera.
114
Protocolo
HTTP
FTP
SMTP
POP3
Almacenes protegidos.
Nivel de Filtrado.
Tipos de Filtros:
SNMP
VSAPI
Nivel de contenedores a escanear (p. e. 32)
Escanear rutas en correo.
Proteccin de correo no deseado114.
En ingls AntiSpam.
237
Qu analizar?
238
115
Qu archivos analizar?
Exclusiones en el anlisis116.
Si se marca la opcin de unidades de red habr que tener en cuenta que consume bastantes recursos.
239
116
Aqu es donde se relacionaran aquellos ficheros o carpetas que no se quiere que el antivirus analice por
problemas de rendimiento, como por ejemplo, algunos ficheros de los controladores de dominio de Windows
implicados en la replicacin del directorio activo.
117
Muy recomendable de activar, aunque hay que tener en cuenta que aquellos ficheros comprimidos
utilizando clave no se analizaran.
118
Multiporpouse Internet Mail Extensions.
240
Esta otra pestaa es de las ms importantes, ya que en ella se van a configurar las
acciones a realizar al detectar un virus:
La accin principal, es la que se realizar en primera instancia, en caso de fallo, (que
suele suceder cuando se elige la opcin limpiar y sta no se puede producir119) se
pasar a realizar la accin secundaria.
o
119
120
241
detecciones ocurridas.
121
242
donde
122
123
Unicode123.
Se utiliza una variable del sistema para definir la ubicacin de los archivos.
Suele haber dos posibilidades: UTF8 (8-bit Unicode Transformation Format) y UTF16.
243
Esta parte de la definicin del sistema antivirus est altamente relacionada con fases
posteriores de la gestin del servicio ITIL, ms concretamente, con la comunicacin de
incidentes de seguridad. Se puede decir que ser el primer paso del engranaje de todo el
244
245
124
246
existencia de cdigos virales, que son cadenas particulares para cada virus y que el
programa reconoce por comparacin con su lista, o con la base de datos de definiciones,
tambin llamada patrn de virus.
Normalmente las nuevas bases de datos, que consisten en una serie de ficheros, son
descargadas de Internet. Los propios antivirus tienen, dentro de su configuracin, la opcin
de actualizar los patrones de virus directamente desde Internet. Sin embargo, es importante
tener en cuenta, que en la organizacin pueden existir sistemas que no puedan, por la propia
poltica de seguridad de dicha organizacin, estar conectados a Internet, por lo tanto ser
necesario definir una serie de pasos para actualizar dichos sistemas aislados de la Red.
Existen varias posibilidades para superar este problema, dos de las ms extendidas
son:
247
Traspasa BD de
Internet a Sistema
Operador
Proceso de
actualizacin
del sistema
antivirus
Configura el sistema de
Administrador actualizacin en el
servidor de antivirus
de Seguridad
Figura 62.- Caso de Uso: proceso de actualizacin del sistema antivirus.
(Fuente: propia)
248
Servidor de
antivirus
I
N
T
E
R
N
E
T
Operador
Base de datos
Patrn de virus
Configuracin
Distribucin
automtica por
la red
Administrador
de Seguridad
Figura 63.- Caso de Uso: proceso de actualizacin del sistema antivirus.
(Fuente: propia)
249
Configura el sistema de
actualizacin en el
servidor de antivirus
Proceso de
actualizacin
del sistema
antivirus
Administrador
de Seguridad
Figura 64.- Caso de Uso: proceso de actualizacin del servicio antivirus basado en pasarelas.
(Fuente: propia)
Pasarela (rompe el
protocolo de red)
I
N
T
E
R
N
E
T
Servidor de
antivirus
Base de datos
Patrn de virus
Configuracin
Distribucin
automtica por
la red
Administrador
de Seguridad
Figura 65.- Caso de Uso: proceso de actualizacin del servicio antivirus basado en pasarelas.
(Fuente: propia)
250
El sistema que define la pasarela puede estar basado en diversas tcnicas, como por
ejemplo la conexin de dos discos duros SCSI (Small Computer System Interface).
Responsable de Polticas
de Seguridad
Llamada de
servicio con
peticin de
cambio
Peticin de
aprobacin
Servidor de
antivirus
Aprobacin
Configuracin
Gestor de
Seguridad
Distribucin
automtica por
la red
252
Incremento /
Decremento de
necesidades
Cliente
Gestin
Financiera y de
costes
(+ -)
Proveedor
Catlogo
de servicios
antivirus
PDC
Gestin del
Cambio
Asesoramiento
Como parte
del GGC
Gestor de
Segurida
Figura 67.- Caso de Uso: proceso de cambio de nivel del servicio de antivirus.
(Fuente: propia)
253
Actuacin a nivel
usuario
Proceso de
gestin de la
disponibilidad
Gestor/Administrador
de seguridad
Planes de contingencia
y actuacin ante virus
Actuacin a nivel
operador
Actuacin a nivel
Adm. Seguridad
Figura 68.- Caso de Uso del proceso de gestin de la disponibilidad del servicio antivirus.
(Fuente: propia)
254
2.
Los agentes que intervienen directamente en los procesos que ofrecen el servicio
antivirus se pueden ver en el siguiente diagrama de casos de uso:
255
Usuario
Comunicacin
del posible
incidente
Operador
Actuacin
ante
incidente
Procesos que
ofrecen
Servicio de
Antivirus
Estudio Definicin Actuacin
ante
incidente
Gestor/Administrador de Seguridad
256
Usuario
Operador
Valora la llamada de
servicio.- Segn
procedimiento de
discriminacin.
Centro de
Atencin al
Usuario
(HelpDesk)
Detecta virus.Inmediatamente lo
comunica al CAU
segn procedimiento
establecido.
Alerta
Virus
Control de
Seguridad
Detecta virus.Inmediatamente
lo comunica al
CAU segn
procedimiento
establecido.
Administrador
de Seguridad
Figura 70.- Caso de Uso: proceso de recogida de incidentes de seguridad.
(Fuente: propia)
257
El usuario recibe una alarma desde el sistema antivirus (a nivel cliente) instalado en
su estacin de trabajo.
(Segn configuracin de sistema antivirus a nivel cliente -> enlace con A.2.2.3).
258
Llamada telefnica.
(B.1.2)
operador.
El CAU es el nico punto de recepcin y registro de incidentes en la organizacin,
por lo tanto, todos lo avisos de posible virus debern pasar por dicho Centro.
Es por tanto fundamental que el CAU sea capaz de discriminar aquellos incidentes
ocasionados por virus, en el plazo de tiempo ms breve posible, para poder darle el
tratamiento antes comentado.
259
Incidente,
posiblemente
ocasionado por
VIRUS
Resuelve
Proceso de
discriminacin de
incidente virus
Operador
CAU
Tratamiento
especial
CATLOGO
Figura 71.- Caso de Uso: proceso de discriminacin de incidente ocasionado por VIRUS.
(Fuente: propia)
260
El Administrador recibe una alarma de aviso de virus desde alguno de los controles.
Llamada telefnica.
261
Los incidentes ocasionados por virus, como incidentes de seguridad, tienen dos
caractersticas especiales:
El tratamiento de Confidencialidad.
127
128
262
CAU
Llamada de Servicio
(Tipo Incidente)
Gestin de
Incidentes de
Seguridad
Incidente
de
seguridad
Operador
Incidencia de
Seguridad con
informacin
recopilada
Procedimiento de
actuacin
inmediata ante el
virus
Administrador de Seguridad
Figura 72.- Caso de Uso: proceso de gestin de incidentes de seguridad.
(Fuente: propia)
129
263
(Segn procedimiento de llamadas de servicio a nivel operador -> enlace con B.1.2)
En este momento el operador debe ser capaz de decidir si puede actuar ante este
incidente o debe escalarlo segn instrucciones recibidas.
o
caso en sistemas antivirus) ser la figura ms indicada para resolver los problemas
ocasionados por un virus.
130
264
Recibe el incidente de seguridad (escalado desde el CAU) de posible virus, con toda
la informacin recopilada por dicho centro.
Comunicar al CAU una actualizacin del catlogo de virus, con la inclusin del
nuevo virus detectado.
Este proceso tiene una especial relevancia en el caso de incidentes ocasionados por
virus.
265
Gestin de
incidentes de
seguridad
Aporta
informacin
recopilada
Administrador de
Seguridad
266
Las diferencias que puede haber con el producido ante un incidente de seguridad,
estriban en la importancia del problema, es decir, en un problema de seguridad se supone
que se han producido un nmero determinado de incidentes, el virus ya se ha extendido por
la organizacin, por lo tanto, el impacto en la misma suele ser mayor.
267
268
Gestor de
Seguridad
Gestin del
Cambio
Cambio aprobado
Gestin de la
Versin
Gestin de la
Configuracin
BDGC
269
270
CAPTULO VI.
COMPROBACIN DE LA
METODOLOGA.
Investigar es ver lo que todo el mundo ha visto y pensar lo que nadie ms ha
pensado131.
1.
Objetivo de la Comprobacin
El objetivo de la comprobacin es verificar si el uso de la metodologa propuesta en
esta tesis doctoral, MISITILEON, mejora en algunos aspectos la eficiencia de uso de ITIL.
Para validar dicha propuesta se han llevado a cabo una serie de experimentos con el
ejemplo concreto descrito en el captulo anterior.
131
2.
Problemtica
Un virus informtico es un programa con la capacidad de transmitirse entre
En ingls: payload.
En el apartado 5.3 del captulo 2 de esta memoria se halla una taxonoma de los virus informticos ms
conocidos.
133
272
273
3.
Para esta evaluacin se compararon los efectos que puede ocasionar un virus
informtico en una organizacin donde no se utiliza ningn mtodo de gestin de servicios
TI, con otra organizacin donde est implantado MISITILEON.
En dicha organizacin existe un taller de informtica que va a recibir los avisos que
se produzcan referidos a los equipos de informtica de la organizacin.
274
DESCRIPCIN DE TAREAS
Hora
Inicio
01/01 d
09:00 h
01/01 d
09:00 h
01/01 d
10:00 h
Hora
Fin
01/01 d
09:00 h
01/01 d
10:00 h
01/01 d
11:00 h
Tipo
Descripcin
Tiempo
Hito 1
Tiempo
Total
0
1 hora
1 hora
1 hora
2 horas
01/01 d
11:00 h
01/01 d
14:00 h
Tarea
4
3 horas
5 horas
01/01 d
14:00 h
01/01 d
15:00 h
Tarea
5
1 hora
6 horas
01/01 d
15:00 h
05/01 d
12:00 h
Tarea
6
29 horas
35
horas
Tarea
2
Tarea
3
134
Es una media calculada por la doctorando en base a la experiencia obtenida en varias empresas (IECISA,
Intecsa, Nva, Velice, Mystica, Biodactil,).
275
Hora
Fin
05/01 d
12:00 h
Tipo
Descripcin
Tiempo
Tarea
7
21 horas
05/01 d
12:00 h
05/01 d
12:00 h
05/01 d
13:00 h
05/01 d
12:00 h
05/01 d
13:00 h
05/01 d
14:00 h
Hito 8
05/01 d
14:00 h
10/01 d
12:00 h
Tarea
11
05/01 d
14:00 h
15/01 d
12:00
Tarea
12
10/01 d
12:00 h
10/01 d
15:00 h
Tarea
13
10/01 d
15:00h
11/01 d
12:00 h
Tarea
14
11/01 d
12:00 h
12/01 d
12:00 h
Tarea
15
135
Tarea
9
Tarea
10
Tiempo
Total
35
horas
0 horas
0 horas
1 hora
36
horas
37
horas
1 hora
38 horas
75
horas
78 horas
115
horas
3 horas
78
horas
5 horas
83
horas
8 horas
91
horas
En el mejor de los casos relacionan este aviso con los anteriormente producidos por las alarmas del sistema
antivirus.
276
Hora
Fin
12/01 d
12:00 h
12/01 d
12:00 h
15/01 d
12:00 h
Tipo
Descripcin
Hito
16
Tiempo
Tiempo
Total
91
horas
115
horas
(Fuente: propia)
Los tiempos de todas las tareas son muy elevados, al no haber sido definidos
procedimientos de actuacin.
El tcnico del taller tiene que revisar mquina a mquina, ya que no hay gestin de
problemas.
277
Existen virus que pueden llegar a borrar todos los datos contenidos en los discos
duros.
Si los efectos del virus aparecen mucho tiempo despus, ser mucho ms difcil
relacionarlo con el anteriormente detectado por el antivirus.
Etc.
EQUIPOS EN LA
ORGANIZACIN
CRECIMIENTO
DEL VIRUS
TIEMPO DE
RESPUESTA
ANTE EL
VIRUS
NMERO DE
MQUINAS
INFECTADAS
% DE LA
ORGANIZACIN
INFECTADA
1000
5 Equipos/hora
115 horas
575
57,5 %
136
137
278
Figura 75.- Diagrama de secuencias, de evolucin del virus, con escala de tiempos, en una organizacin
sin MISITILEON.
(Fuente: propia)
279
Figura 76.- Diagrama de secuencias, de evolucin del virus, con acumulacin de tiempos, en una
organizacin sin MISITILEON.
(Fuente: propia)
43%
Equipos libres de virus
Equipos infectados
57%
Figura 77.- Porcentaje de evolucin del virus en una organizacin sin MISITILEON.
(Fuente: propia)
280
Figura 78.- Diagrama de GANTT de evolucin del virus en una organizacin sin MISITILEON.
(Fuente: propia)
138
281
Por otra parte, se habrn definido todos los procedimientos incluidos en cada uno de
los procesos que conforman la gestin del sistema. La definicin y actualizacin de dichos
procedimientos es fundamental para el buen funcionamiento del proceso de gestin ya que
de la exactitud de su cumplimiento depende en gran parte el xito del proceso global.
139
282
Seguidamente, se presenta la tabla que describe las tareas (con sus procedimientos
asociados) que se producirn con ocasin de la intrusin de un virus en el sistema
informtico de la organizacin:
Hora
Inicio
01/01 d
09:00 h
Hora
Fin
01/01 d
09:00 h
Tipo
01/01 d
09:00 h
01/01 d
09:05 h
Tarea
Hito
DESCRIPCIN DE TAREAS
Descripcin
Tiempo
El software antivirus instalado
en una estacin de trabajo
produce una alarma de posible
virus140.
El usuario lo comunica
inmediatamente al CAU y no
manipula la mquina, con la
consiguiente prdida de
actividad del
posible virus141.
Tiempo
Total
0
Tiempo
Ganado
0
5 min.
5 min.
55 min.
140
283
Hora
Inicio
01/01 d
09:05 h
Hora
Fin
01/01 d
09:15 h
--------
--------
01/01 d
09:15 h
01/01 d
10:00 h
01/01 d
10:00 h
01/01 d
12:00 h
01/01 d
12:00 h
01/01 d
12:00 h
Tipo
Tarea
Tarea
Tarea
Hito
DESCRIPCIN DE TAREAS
Descripcin
Tiempo
El operador del CAU recibe un 10 min.
aviso de virus, lo que le supone
una atencin inmediata, y se
pone en contacto con el
usuario para recopilar el
mximo de informacin.
El operador consultar (en
funcin de la informacin
recibida) el catlogo de
virus142.
Tarea 4 no existe aqu
El operador, en este momento,
debe ser capaz de decidir si
puede actuar ante el virus o
debe escalar el incidente al
Administrador de seguridad143.
Suponiendo que el virus no es
conocido (no est en catlogo)
y es escalado al administrador
de seguridad, ste recibe el
incidente con toda la
informacin recopilada por el
usuario y hace un estudio de
las posibles acciones y
soluciones para el virus.
El Administrador comunica al
usuario una actualizacin del
catlogo de posibles virus144.
45 min.
2 horas
Tiempo
Total
15 min.
Tiempo
Ganado
50 min.
Total:
1 hora y
45 min.
3 horas
1 hora
15 min.
3 horas
Total:
4 horas
45 min.
- 2 horas
Total:
2 horas
45 min.
1 min.
3 horas
- 1 min.
Total:
2 horas
44 min.
142
Segn Procedimiento de discriminacin de llamadas de servicio, a nivel operador (B.1.2) del Proceso de
recogida de incidentes de seguridad (B.1).
143
Segn Procedimiento de actuacin, a nivel operador, ante incidentes de seguridad (B.2.1) del Proceso de
gestin de incidentes de seguridad (B.2).
144
Segn Procedimiento de actuacin, a nivel administrador, ante incidentes de seguridad (B.2.2) del Proceso
de gestin de incidentes de seguridad (B.2).
284
Hora
Inicio
01/01 d
12:00 h
01/01 d
12:00 h
Hora
Fin
02/01 d
12:00 h
02/01 d
12:00 h
Tipo
Tarea
Tarea
DESCRIPCIN DE TAREAS
Descripcin
Tiempo
El operador del CAU recibe
8 horas
ms avisos de virus, lo que le
supone una atencin
inmediata. Se pone en contacto
con los usuarios para recopilar
el mximo de informacin.
El operador consultar (en
funcin de la informacin
recibida) el catlogo de virus.
Al tratarse del mismo virus, el
incidente queda registrado y en
espera de que el administrador
cree el procedimiento de
actuacin inmediata.
El Administrador crea un
8 horas
procedimiento de actuacin
inmediata ante el virus,
considerando la posibilidad de
mquinas infectadas que no lo
hayan detectado, y por lo tanto,
los efectos sobre ellas, y lo
distribuye entre las personas
implicadas145.
Tiempo
Total
11
horas
Tiempo
Ganado
21 horas
Total:
23 horas
44 min.
11
horas
13 horas
Total:
36 horas
44 min.
--------
--------
--------
--------
1 hora
--------
--------
1 hora
--------
--------
38 horas
--------
--------
78 horas
--------
--------
3 horas
--------
--------
5 horas
--------
--------
8 horas
145
Segn Procedimiento de actuacin, a nivel administrador, ante incidentes de seguridad (B.2.2) del Proceso
de gestin de incidentes de seguridad (B.2).
285
Hora
Inicio
02/01 d
12:00 h
02/01 d
12:00 h
02/01 d
12:00 h
Hora
Fin
05/01 d
12:00 h
02/01 d
12:00 h
05/01 d
12:00 h
Tipo
DESCRIPCIN DE TAREAS
Descripcin
Tiempo
Tarea
Tiempo
Total
35
horas
Tiempo
Ganado
- 24 horas
Total:
133 horas
44 min.
46
horas
- 11 horas
Total:
122 horas
44 min.
69
horas
(Fuente: propia)
En este escenario, se han estimado los mismos tiempos que en el supuesto anterior
para aquellas acciones que son comunes a ambos casos, es decir, el estudio del virus
por parte del administrador de seguridad y las tareas de limpieza del virus en la
organizacin. Se puede decir, con toda seguridad, que el tiempo empleado para la
limpieza de las estaciones ser menor ya que sern menos las infectadas, al actuar
antes contra el virus.
146
286
muchos de los casos se producir una Peticin de Cambio. Este cambio tiene como fin
solucionar la causa de los incidentes producidos en el sistema.
A continuacin se presentan los resultados de este ejemplo prctico, con los mismos
datos que en el apartado anterior: una organizacin compuesta por 1.000 estaciones de
trabajo, un virus con una capacidad de crecimiento147 o transmisin de 5 equipos a la hora y
suponiendo que el virus slo se transmite con los equipos encendidos, es decir, durante la
jornada laboral148.
147
148
288
CRECIMIENTO
DEL VIRUS
TIEMPO DE
RESPUESTA
ANTE EL
VIRUS
NMERO DE
MQUINAS
INFECTADAS.
% DE LA
ORGANIZACIN
INFECTADA
1000
5 Equipos/hora
35 horas
175
17,5 %
Figura 79.- Diagrama de secuencias, de evolucin del virus, con escala de tiempos, en una organizacin
con MISITILEON.
(Fuente: propia)
289
Figura 80.- Diagrama de secuencias en UML, de la evolucin del virus, con acumulacin de tiempos, en
una organizacin con MISITILEON.
(Fuente: propia)
18%
82%
Figura 81.- Porcentaje de evolucin del virus en una organizacin con MISITILEON.
(Fuente: propia)
290
Figura 82.- Diagrama de GANTT, de evolucin del virus, en una organizacin con MISITILEON.
(Fuente: propia)
4.
Resultados
En este ltimo apartado del captulo se pueden apreciar las ventajas de emplear la
Como se puede observar en los diagramas de las figuras 77 y 81, y en las tablas 18 y
20, el porcentaje de equipos infectados es mucho menor empleando MISITILEON que si
no se emplea.
291
Comparativa
100
80
porcentaje de
mquinas
60
40
mquinas infectadas
20
0
otro
MISITILEON
Metodologa
292
CAPTULO VII.
SISTEMA DE EVALUACIN DE
CONOCIMIENTOS MISITILEON.
La prctica es un maestro excepcional149.
1.
Introduccin
En este captulo se presenta la aplicacin software realizada a medida para
MISITILEON. Esta aplicacin ser una herramienta muy til para distintos perfiles de
usuario. Por un la do los usuarios al uso pueden realizar autoevaluaciones de sus
conocimientos en la metodologa, aprender con las correcciones y conclusiones propuestas,
etc. Por otro lado estar el perfil de administrador, que podr tener pleno acceso a los
contenidos de la aplicacin, modificando y actualizando sus contenidos cuando proceda.
Adems, esta herramienta puede ser til para posibles auditores que quisieran evaluar el
nivel de implantacin de la metodologa en una determinada organizacin. Tambin podra
servir para estudiantes que quisieran realizar cuestionarios para autoevaluar sus
conocimientos, etc.
149
2.
Tecnologa empleada
Para llevar a cabo la implementacin de la herramienta de asesoramiento, se ha
2.1. Java
Java es un lenguaje de programacin con el que se puede realizar cualquier tipo de
programa. En la actualidad es un lenguaje muy extendido y cada vez cobra ms importancia
tanto en el mbito de Internet como en la informtica en general. Est desarrollado por la
compaa Sun Microsystems y siempre enfocado a cubrir las necesidades tecnolgicas ms
punteras.
294
2.2. MySQL
La aplicacin de MISITILEON emplea una base de datos como repositorio de
contenidos. Para la base de datos se ha elegido My-SQL. Las razones de esta eleccin son
las siguientes:
Velocidad al realizar las operaciones, lo que le hace uno de los gestores con mejor
rendimiento.
150
295
2.3. Struts
Para el framework de la herramienta MISITILEON, se ha estudiado la
implementacin del modelo MVC (Modelo-Vista-Controlador) de Struts. Se ha elegido
Struts, sobre todo para poder facilitar un mantenimiento posterior de trabajos futuros.
Las ventajas que aporte Struts y que han servido para decantarse por esta
implementacin de MVC han sido las siguientes:
151
296
3.
En este apartado se van a describir brevemente las distintas acciones que se pueden
llevar a cabo con la aplicacin diseada para la metodologa propuesta en esta tesis
doctoral. Su manejo, a nivel de usuario, es muy sencillo e intuitivo. En el CD que se anexa
junto a esta memoria se encuentra todo lo necesario para instalar y poder hacer uso de esta
aplicacin.
Esta es la primera pantalla con la que se encuentra la persona que vaya a hacer uso
de la aplicacin de MISITILEON: Sistema de Evaluacin de Conocimientos. Como se
297
La figura 85 muestra el formulario que hay que cumplimentar para dar de alta a un
nuevo usuario de la aplicacin. Esta tarea la puede realizar el administrador o el propio
298
Una vez identificado (se puede observar en la parte superior derecha el nombre de
usuario y su perfil) el usuario se encuentra con esta pantalla de la figura 86 como men
principal. En ella tiene en la parte izquierda una serie de opciones por las que podr ir
navegando segn lo que desee hacer.
299
300
301
302
Una vez que se insertan las preguntas de test se puede verificar que dicha accin se
ha realizado correctamente gracias al aviso que aparece en la pantalla de la figura 90.
303
304
Esta es la pantalla con la que se encuentra un usuario cuando quiere realizar las
preguntas de test. Se puede observar en la figura 92 que hay una pregunta con 4 posibles
respuestas y se debe seleccionar slo una de ellas.
305
306
CAPTULO VIII.
En este captulo se hace una sntesis de los hallazgos realizados en la tesis doctoral y
se presentan algunas posibles lneas de investigacin futuras, as como una serie de
reflexiones finales.
1.
Conclusiones de la tesis.
ITIL, tericamente, fue creado para negocios de todos los tamaos: pequeos,
medianos y grandes. Como se ha venido subrayando durante esta memoria de Tesis
Doctoral, hoy en da, ITIL no est teniendo la oportunidad que tal vez le corresponde en el
Mercado de la Gestin de Servicios, fundamentalmente desechado por ser caro y
complicado. MISITILEON es una metodologa que pretende cambiar la perspectiva general
y ayudar a los gestores y personal de TI a entender el verdadero espritu de ITIL.
307
Estas han sido las razones por las que un importante nmero de empresas espaolas,
hoy por hoy, no se plantean la implantacin de ITIL, por ser una metodologa que se
152
308
309
2.
seguridad en ITIL153. Esta era una de las dos opciones lgicas que se plantearon a la hora de
decidir integrar mayor seguridad en ITIL. Se seleccion el segundo enfoque (la seguridad
como un servicio ms ofrecido por MISITILEON) pero esta otra opcin podra ser
igualmente interesante. Un pequeo desarrollo de esta posible lnea de investigacin se
encuentra a continuacin.
1.- El CAU, como nico punto de contacto con el cliente, estar sometido a
procesos de seguridad como: identificacin, autenticacin, no repudio e integridad.
153
Propuesto en el apartado 1.4 del captulo 4 de esta memoria: Dos posibles enfoques para el tratamiento de
la Seguridad.
310
Al igual que en MISITILEON, dentro del marco MISITILEON II, este proceso de
Gestin de la Versin se relacionar especialmente con los procesos de Gestin del Cambio
y Gestin de la Configuracin.
Es importante aclarar que ITIL deja del lado del cliente el anlisis de
vulnerabilidades, lo que no significa que en esta ampliacin de seguridad en
MISITILEON II no sea conveniente realizar una conexin entre el resultado de esos
anlisis y los procesos que se vean afectados por ellos.
311
Y para finalizar, no cabe duda de que en poco tiempo la nueva versin de ITIL
estar en el mercado internacional, por lo que seguramente se podra mejorar MISITILEON
con las novedades y cambios que aporte ITIL Versin 4.
312
3.
Reflexiones Finales.
Desde la ms remota antigedad la acumulacin de informacin ha sido sinnimo
de poder, como ya indicaba Sun Tzu en el sigo V a. C, a lo largo del siglo XX los sistemas
de tratamiento de la informacin han evolucionado desde la cinta de papel perforado a las
redes de computadores conectados a Internet. El potencial de clculo de los computadores,
en el siglo actual, se duplica cada seis meses y la capacidad de almacenamiento de datos
aumenta de forma exponencial. As mismo se anuncia para la presente dcada la aparicin
de nuevas tecnologas de computacin (cuntica, ptica, biolgica) que permitirn el
proceso verdaderamente simultneo de miles de operaciones semejantes. En este siglo la
introduccin masiva de los sistemas informticos en la administracin, la defensa, el
comercio, la industria, el mundo de los negocios, el ocio, etc, ha significado una revolucin
en las sociedades ms avanzadas154.
154
313
BIBLIOGRAFA
[AMB07]
[CAM04]
[CAP04]
[COA03]
[COM08a]
[COM08b]
[CUE02]
[DIA04]
315
[GAF02]
[GAR02]
[GHO02]
[GOM08]
[GON03a]
[GON03b]
[HUI05]
[ISO04]
[ISO05]
[ITS07]
316
Bibliografa
[ITSV307]
[ITS08]
[JAK02]
[JAK03]
[LAP92]
[MAR95]
[MIN03]
[MSA05]
[MSM05]
[NIA06]
317
[OGCSM99]
[OGCSOP06]
[OLD01]
[OLO92]
[PFL97]
[PRE05]
[RAE01]
[RAE09]
[RUI07]
Ruiz E., Cerrada C., Calvo-Manzano J., Arcilla M., Una Propuesta
organizativa de los procesos de SD y SS en ITIL. Revista REICIS
Vol.3, Num. 2. Octubre 2007.
318
Bibliografa
[RUI08]
Technology
Service
Management
processes
[RUI00]
[SAN09]
[SED02]
[SED03]
[STA06]
[SOM04]
[STR09]
Stroud R. ITIL es un marco del que tomas las piezas que quieras
utilizar y obvias el resto si quieres.
http://www.idg.es/cio/mostrarArticulo.asp?id=193231&seccion=
319
[TIP00]
[TOR05]
[VER08]
[VPCMDB06]
[WAT97]
[WIT00]
320
Bibliografa
Referencias WEB
[RefWeb-1] Security Magazine
http://www.secmag.com
Fecha de la ltima consulta: 6 de mayo de 2006.
[RefWeb-2] AENOR
http://www.aenor.es/desarrollo/inicio/home/home.asp
Fecha de la ltima consulta: 23 de octubre de 2008.
[RefWeb-3] EXIN
http://www.exin.org/news/~/media/Documents/Publications/ITSMGLOBALBP%20volume1
_8%202_Secured%20pdf.ashx
Fecha de la ltima consulta: 23 de octubre de 2008.
[RefWeb-4] BSI
http://www.bsi-global.com/
Fecha de la ltima consulta: 23 de octubre de 2008.
[RefWeb-5] itSMF
http://www.itsmfi.org/
Fecha de la ltima consulta: 10 de abril de 2010.
[RefWeb-6] itSMF Espaa
http://www.itsmf.es/
Fecha de la ltima consulta: 10 de abril de 2010.
[RefWeb-7] OGC
http://www.ogc.gov.uk/
Fecha de la ltima consulta: 10 de abril de 2010.
321
322
Bibliografa
[RefWeb-15] ISO 27000
http://www.iso27000.es/
Fecha de la ltima consulta: 2 de marzo de 2010.
[RefWeb-16] ITIL
http://es.wikipedia.org/wiki/ITIL
Fecha de la ltima consulta: 2 de marzo de 2010.
[RefWeb-17] The Computer Security Institute
http://www.gocsi.com/
Fecha de la ltima consulta: 6 de febrero de 2009.
[RefWeb-18] MIS Training Institute
http://www.misti.com/
Fecha de la ltima consulta: 6 de febrero de 2009.
[RefWeb-19] ISSA: Information Systems Security Associations
http://www.issa.org/
Fecha de la ltima consulta: 6 de febrero de 2009.
[RefWeb-20] Butler W. Lampson
http://research.microsoft.com/lampson/
Fecha de la ltima consulta: 6 de enero de 2009.
[RefWeb-21] Virgil D. Gligor
http://www.enee.umd.edu/~gligor/
Fecha de la ltima consulta: 6 de enero de 2009.
[RefWeb-22] Cyber crime bleeds U.S.coorporations, survey shows
http://www.gocsi.com/press/20020407.html
Fecha de la ltima consulta: 22 de febrero de 2008.
323
324
Bibliografa
Fecha de la ltima consulta: 13 de enero de 2010.
[RefWeb-31]
http://www.cafeonline.com.mx/virus/tipos-virus.html
Fecha de la ltima consulta: 6 de mayo de 2010.
[RefWeb-32]
http://www.isp2002.co.cl/
Fecha de la ltima consulta: 10 de abril de 2010.
[RefWeb-33]
http://www.itsmf.es/index.php?option=com_content&view=article&id=45&Itemid=189
Fecha de la ltima consulta: 6 de mayo de 2010.
325
326
ANEXOS
ANEXOS
327
ANEXO 1
ANEXO 1. Metodologas.
CMMi
reas de proceso
329
Validacin (VAL)
Verificacin (VER)
Historia
CMMi es el sucesor de CMM. CMM fue desarrollado desde 1987 hasta 1997. En
2002, se lanz CMMi Versin 1.1, luego en Agosto de 2006 sigui la versin 1.2. El
objetivo del proyecto CMMi es mejorar la usabilidad de modelos de madurez integrando
varios modelos diferentes en un solo marco (framework). Fue creado por miembros de la
industria, el gobierno y el SEI155. Entre los principales patrocinadores se incluyen la
Oficina del Secretario de Defensa (OSD) y la National Defense Industrial Association.
155
330
ANEXO 1
Proceso (PAs156) est prefijada, habiendo 7 PAs para el nivel de madurez 2 (ML1572), 11
para el ML3, 2 para el ML4 y 2 ms para el ML5.
El modelo para ingeniera de sistemas (SE-CMM) establece 6 Niveles de Capacidad
posibles para cada una de las 22 reas de proceso implicadas en la ingeniera de sistemas.
La organizacin puede decidir cules son las PAs que quiere mejorar determinando as su
perfil de capacidad.
331
Los 6 niveles definidos en CMMi para medir la capacidad de los procesos son:
Componentes
332
ANEXO 1
Componentes Requeridos
Componentes Esperados
Componentes Informativos
Propsito
Notas introductorias
333
Nombres
Prcticas
Productos tpicos
Sub-prcticas. Una sub-prctica es una descripcin detallada que sirve como gua
para la interpretacin de una prctica genrica o especfica.
Evaluacin (Appraisal)
Para determinar cmo se comparan los procesos de la organizacin con las mejores
prcticas CMMi y determinar qu mejoras se pueden hacer.
Para informar a los clientes externos y proveedores acerca de cmo se comparan los
procesos de la organizacin con las mejores prcticas CMMi.
334
ANEXO 1
Las valoraciones de las organizaciones utilizando un modelo CMMi deben ajustarse
a los requisitos definidos en el documento Appraisal Requirements for CMMi (ARC). La
evaluacin se enfoca en identificar oportunidades de mejora, y comparar los procesos de la
organizacin con las mejores prcticas CMMi. Los equipos de evaluacin usan el modelo
CMMi y un mtodo conforme a ARC para guiar su evaluacin y reporte de conclusiones.
Los resultados de la evaluacin son usados para planificar mejoras en la organizacin. Hay
tres clases de evaluacin (Clase A, B y C). El SCAMPI es un Mtodo de evaluacin que
cumple todos los requerimientos ARC. Una evaluacin de clase A es ms formal y es la
nica que puede resultar en una clasificacin de nivel.
335
COBIT
PLANIFICAR Y ORGANIZAR (PO)
Este dominio cubre las estrategias y las tcticas, y tiene que ver con identificar la
manera en que TI pueda contribuir de la mejor manera al logro de los objetivos del negocio.
Adems, la realizacin de la visin estratgica requiere ser planeada, comunicada y
administrada desde diferentes perspectivas. Finalmente, se debe implementar una estructura
organizacional y una estructura tecnolgica apropiada. Este dominio cubre los siguientes
cuestionamientos tpicos de la gerencia:
336
ANEXO 1
Los nuevos proyectos generan soluciones que satisfagan las necesidades del
negocio?
Los nuevos proyectos son entregados a tiempo y dentro del presupuesto?
Trabajarn adecuadamente los nuevos sistemas una vez sean implementados?
Los cambios afectarn las operaciones actuales del negocio?
337
338
ANEXO 1
La gua se puede obtener del modelo de control estndar. Sigue los principios que se
evidencian en la siguiente analoga: cuando se ajusta la temperatura ambiente (estndar)
para el sistema de calefaccin (proceso), el sistema verificar de forma constante
(comparar) la temperatura ambiente (inf. de control) e indicar (actuar) al sistema de
calefaccin para que genere ms o menos calor.
339
PC2 Reiterativo
Definir cada proceso COBIT de tal forma que sea repetitivo.
340
ANEXO 1
consistente. Adems, COBIT ofrece ejemplos ilustrativos para cada proceso, los cuales no
son exhaustivos o anticuados / caducos, de:
342
ANEXO 1
desarrollo de TI que se proporcionan a toda la empresa, y mucha de la infraestructura de TI
provee un servicio comn (es decir, redes, bases de datos, sistemas operativos y
almacenamiento). Los controles aplicados a todas las actividades de servicio de TI se
conocen como controles generales de TI. La operacin formal de estos controles generales
es necesaria para que d confiabilidad a los controles en aplicacin. Por ejemplo, una
deficiente administracin de cambios podra poner en riesgo (por accidente o de forma
deliberada) la confiabilidad de los chequeos automticos de integridad.
Desarrollo de sistemas
Administracin de cambios
Seguridad
Los controles incluidos en las aplicaciones del proceso de negocios se conocen por
lo general como controles de aplicacin. Ejemplos:
Integridad (Completitud)
Precisin
Validez
Autorizacin
343
344
ANEXO 1
AC2 Procedimientos de autorizacin de documentos fuente
El personal autorizado, actuando dentro de su autoridad, prepara los documentos
fuente de forma adecuada y existe una segregacin de funciones apropiada con respecto a la
generacin y aprobacin de los documentos fuente.
345
346
ANEXO 1
AC10 Validacin y edicin del procesamiento de datos
Los procedimientos garantizan que la validacin, la autenticacin y la edicin del
procesamiento de datos se realizan tan cerca como sea posible del punto de generacin. Los
individuos aprueban decisiones vitales que se basan en sistemas de inteligencia artificial.
347
348
ANEXO 1
AC18 Proteccin de informacin sensitiva durante su transmisin y transporte
Se proporciona una proteccin adecuada contra accesos no autorizados,
modificaciones y envos incorrectos de informacin sensitiva durante la transmisin y el
transporte.
Generadores de mediciones
Una necesidad bsica de toda empresa es entender el estado de sus propios sistemas
de TI y decidir qu nivel de administracin y control debe proporcionar la empresa. La
obtencin de una visin objetiva del nivel de desempeo propio de una empresa no es
sencilla. Qu se debe medir y cmo? Las empresas deben medir dnde se encuentran y
dnde se requieren mejoras, e implementar un juego de herramientas gerenciales para
monitorizar esta mejora. Para decidir cul es el nivel correcto, la alta direccin debe
preguntarse a s misma: Cmo de lejos debemos ir, y est justificado el coste por el
beneficio? COBIT atiende estos temas por medio de:
Metas y mediciones de desempeo para los procesos de TI, que demuestran cmo
los procesos satisfacen las necesidades del negocio y de TI, y cmo se usan para
medir el desempeo de los procesos internos basados en los principios de un
marcador de puntuacin balanceado158.
158
balanced scorecard.
349
MODELOS DE MADUREZ
Cada vez con ms frecuencia, se les pide a los directivos de empresas corporativas y
pblicas que se considere cmo de bien se est administrando la TI. Como respuesta a esto,
se debe desarrollar un plan de negocio para mejorar y alcanzar el nivel apropiado de
administracin y control sobre la infraestructura de informacin. Aunque pocos
argumentaran que esto no es algo bueno, se debe considerar el equilibrio del coste y el
beneficio y estas preguntas relacionadas:
350
ANEXO 1
1. Una medicin relativa de dnde se encuentra la empresa.
2. Una manera de decidir hacia dnde ir de forma eficiente.
3. Una herramienta para medir el avance hacia la meta.
351
0 No existente.
1 Inicial.
352
ANEXO 1
enfoques ad hoc que tienden a ser aplicados de forma individual o caso por caso. El
enfoque general hacia la administracin es desorganizado.
2 Repetible.
3 Definido.
4 Administrado.
Los procesos se han refinado hasta un nivel de mejor prctica, se basan en los
resultados de mejoras continuas y en un modelo de madurez con otras empresas. TI se usa
de forma integrada para automatizar el flujo de trabajo, brindando herramientas para
mejorar la calidad y la efectividad, haciendo que la empresa se adapte de manera rpida.
ANEXO 1
El modelo de madurez es una forma de medir cmo de bien estn desarrollados los
procesos administrativos, esto es, qu capacidad tienen en realidad. Qu tan bien
desarrollados o capaces deberan ser, principalmente dependen de las metas de TI y en las
necesidades del negocio subyacentes a la cuales sirven de base. Cunta de esa capacidad es
realmente utilizada actualmente para retornar la inversin deseada en una empresa. Por
ejemplo, habr procesos y sistemas crticos que requieren de una mayor administracin de
la seguridad que otros que son menos crticos. Por otro lado, el grado y sofisticacin de los
controles que se requiere aplicar en un proceso estn ms definidos por el apetito de riesgo
de una empresa y por los requerimientos aplicables.
356
ANEXO 1
Los modelos de madurez COBIT se enfocan en la capacidad, y no necesariamente
en el desempeo. No son un nmero al cual hay que llegar, ni estn diseados para ser una
base formal de certificacin con niveles discretos que formen umbrales difciles de
atravesar. Sin embargo, se disearon para ser aplicables siempre, con niveles que brindan
una descripcin que una empresa pueda reconocer como la mejor para sus procesos. El
nivel correcto est determinado por el tipo de empresa, por su medio ambiente y por la
estrategia. El desempeo, o la manera en que la capacidad se usa y se implanta, es una
decisin de rentabilidad. Por ejemplo, un alto nivel de administracin de la seguridad quiz
se tenga que enfocar slo en los sistemas empresariales ms crticos. Para finalizar,
mientras los niveles de madurez ms altos aumentan el control del proceso, la empresa an
necesita analizar, con base en los impulsadores de riesgo y de valor, cules mecanismos de
control debe aplicar. Las metas genricas de negocio y de TI, como se definen en este
marco de trabajo, ayudarn a realizar este anlisis. Los objetivos de control de COBIT
guan los mecanismos de control y stos se enfocan en qu se hace en el proceso; los
modelos de madurez se enfocan principalmente en qu tan bien se administra un proceso.
357
358
ANEXO 1
Los indicadores clave de desempeo (KPI) definen mediciones que determinan qu
tan bien se est desempeando el proceso de TI para alcanzar la meta. Son los indicadores
principales que indican si ser factible lograr una meta o no, y son buenos indicadores de
las capacidades, prcticas y habilidades. Miden las metas de las actividades, las cuales son
las acciones que el propietario del proceso debe seguir para lograr un efectivo desempeo
del proceso. Las mtricas efectivas deben tener las siguientes caractersticas:
Las metas se definen de arriba hacia abajo con base en las metas de negocio que
determinarn el nmero de metas que soportar TI, las metas de TI decidirn las diferentes
necesidades de las metas de proceso, y cada meta de proceso establecer las metas de las
actividades. El logro de metas se mide con las mtricas de resultado (llamadas indicadores
clave de metas o KGI159s) y dirigen las metas de ms alto nivel. Por ejemplo, la mtrica que
midi el logro de la meta de la actividad es un motivador de desempeo (llamado indicador
159
359
Para resumir, los recursos de TI son manejados por procesos de TI para lograr metas
de TI que respondan a los requerimientos del negocio. Este es el principio bsico del marco
de trabajo COBIT, como se ilustra en el Cubo COBIT de la figura 99.
160
360
ANEXO 1
361
Para lograr la alineacin de las mejores prcticas con los requerimientos del
negocio, se recomienda que COBIT se utilice al ms alto nivel, brindando as un marco de
control general basado en un modelo de procesos de TI que debe ser aplicable en general a
toda empresa. Las prcticas y los estndares especficos que cubren reas discretas, se
pueden equiparar con el marco de trabajo de COBIT, brindando as una jerarqua de
materiales gua.
ANEXO 1
AuditoresPara respaldar sus opiniones y/o para proporcionar asesora a la
gerencia sobre controles internos.
COBIT est orientado a los objetivos y al alcance del gobierno de TI, asegurando
que su marco de control sea integral, que est alineado con los principios de gobierno
empresariales y, por lo tanto, que sea aceptable para los consejos directivos, para la
direccin ejecutiva, para los auditores y reguladores. En el apndice II, se ofrece un mapa
que muestra cmo los objetivos de control detallados de COBIT se relacionan con las cinco
reas focales del gobierno de TI y con las actividades de control de COSO.
363
ISO 20000
El tratamiento de la informacin hace tiempo que es un punto fundamental en
cualquier tipo de organizacin. En el pasado los procesos de misin crtica del negocio no
estaban soportados por sistemas informticos, sin embargo en la actualidad estos procesos
del negocio estn soportados cada vez ms por diferentes servicios de TI. La TI es
imprescindible en las compaas y organizaciones de hoy en da, por tanto, los
departamentos de TI se han convertido en imprescindibles para el xito del negocio de
cualquier organizacin y el alineamiento entre los objetivos de su departamento de TI y del
negocio es esencial.
364
ANEXO 1
unos excelentes servicios TI, sino que es necesario demostrar a sus accionistas y clientes
que disponen de una infraestructura tecnolgica y unos servicios fiables y bien gestionados.
Adicionalmente las empresas tambin tienen que tener en cuenta las implicaciones
relacionadas con el cumplimiento de las normativas locales de cada pas. Cada vez existen
ms normas y leyes cuyo cumplimiento es preciso demostrar. Normas como la ley
Sarbanes-Oxley o la ley de portabilidad y responsabilidad de seguros mdicos de 1996
(Health Insurance Portability and Accountability Act) de Estados Unidos contemplan
especficamente puntos relacionados con los servicios tecnolgicos y su gestin. En la
actualidad, los inspectores no exigen la presentacin de certificaciones como prueba de
cumplimiento, pero la tendencia hace pensar que lo van a hacer en un futuro cercano.
365
En este contexto nace en Diciembre de 2005 la norma ISO/IEC 20000 que aborda
especficamente la calidad de gestin de los servicios TI que, debido a la necesidad del
sector y organismos reguladores, podra convertirse en la norma internacional utilizada por
los inspectores para comprobar el cumplimiento de determinadas normativas legales y
locales.
366
ANEXO 1
esta cuestin en los siguientes apartados, en los que se intentar exponer de una forma
natural, una visin clara de la norma y cmo se puede utilizar la misma para mejorar la
gestin de los servicios TI de las compaas.
367
368
ANEXO 1
369
370
ANEXO 1
A partir de ese ao BSI continu con el desarrollo del estndar trabajando en una
segunda parte, con el objetivo de profundizar en los conceptos de la parte 1 ya publicada.
En la realizacin de aquel trabajo se identific que sera muy beneficioso para el sector TI
que las publicaciones que realizase BS estuvieran alineadas con las publicaciones ITIL de
buenas prcticas, impulsadas por el Gobierno Britnico. Como consecuencia de este inters
se formaliz un acuerdo de alineamiento del que BS 15000 se benefici de los contenidos
de ITIL, y posteriormente cuando el estndar pas a ser ISO/IEC 20000 fue ste quien
ejerci su influencia en los contenidos de la nueva versin 3 de ITIL que se public en
Mayo de 2007.
Gracias a la temprana adopcin de esta norma por las compaas del sector, se pudo
realizar una revisin y evolucin de la primera versin de la norma BS 15000, publicando
una segunda versin en el ao 2002, que incluy principalmente nuevas clusulas en los
371
372
ANEXO 1
Tras 14 meses de trabajo, el 15 de Diciembre de 2005 se public el estndar
ISO/IEC 20000 1 y 2, retirndose en ese momento el estndar BS 15000.
A partir de ese momento se inicia el plan para la gestin y futura evolucin del
estndar ISO/IEC 2000, acordndose en Marzo de 2006 por el Comit Tcnico Conjunto
JTC-1, la creacin de un nuevo grupo de trabajo, el WG 25, que se encuadra dentro del
subcomit 7 de este organismo (JTC-1 SC7) iniciando sus actividades en Abril del ao
2006.
373
374
ANEXO 1
A continuacin, se enumeran algunas de las ventajas clave que esto aporta a las
organizaciones:
375
Estos procesos dan cobertura a las necesidades del ciclo de vida de los servicios,
contemplando muchos de los procesos incluidos en la versin 2 de ITIL y otros adicionales,
376
ANEXO 1
algunos de los cuales han sido posteriormente adoptados por ITIL en su versin 3,
publicada dos aos ms tarde.
En este apartado se va a tratar cada una de las secciones que forman la norma y sus
componentes, reflejando cuales son sus objetivos y el nmero de requisitos de control que
segn la norma deben cumplir.
377
Procesos de control
Proceso
de
Entrega
Procesos
de
Resolucin
Procesos
de
Relaciones
378
ANEXO 1
Por este motivo uno de los objetivos fundamentales de la norma ISO/IEC 20000 es
validar la mejora continua de la calidad de la gestin de los servicios, y para ello ha
utilizado el modelo de mejora de la calidad definido por W. Edwards Deming
aplicado inicialmente en la industria de la fabricacin y empleado con xito en otras
normas ISO/IEC (9000, 27001, etc).
379
En la figura anterior, pueden verse los distintos apartados que cubre esta seccin de
la norma, que se detallan a continuacin:
380
ANEXO 1
382
ANEXO 1
eliminacin de un servicio, se puedan gestionar y proveer con los costes, calidad y
plazos acordados.
Para ello, hay que gestionar el ciclo completo de la provisin y entrega de los
servicios, realizando una planificacin unificada e integrada, considerando los costes y el
impacto a nivel organizativo, tcnico y comercial que pudiera derivar de su entrega y
gestin, asegurando que todas las partes implicadas conocen y cumplen con el plan y los
compromisos acordados.
383
Gestin de Seguridad de
la Informacin
Gestin de Continuidad
y Disponibilidad del
Servicio
Presupuestos y
contabilidad de Servicios de TI
Procesos de Control
Proceso de
Entrega
Procesos
de
Resolucin
Procesos
de
Relaciones
Seguidamente se va a dar un repaso por los procesos que componen esta seccin
para conocer sus objetivos.
384
ANEXO 1
la relacin con los clientes; Planificacin e Implementacin de servicios, nuevos o
modificados; Generacin de Informes de Servicio y Gestin de Suministradores, estos dos
ltimos procesos ya se han contemplado en la versin 3 de ITIL.
385
ANEXO 1
cubrir la demanda acordada, actual y futura, de las necesidades del negocio del
cliente.
Una adecuada gestin de estas relaciones posibilita el control adecuado de los dos
factores externos a la organizacin que son claves para la realizacin de una correcta
gestin del servicio TI.
En esta seccin ISO/IEC 20000 trata los requisitos necesarios para cubrir estas
relaciones mediante dos procesos especficos: Gestin de Relaciones con el Negocio y
Gestin de Suministradores.
Procesos de Control
Procesos de
Relaciones
Proceso de
Entrega
Procesos
de
Resolucin
Gestin de Relaciones
con el Negocio
Gestin de
Suministradores
388
ANEXO 1
Finalmente es interesante mencionar que esta seccin de ISO/IEC 20000 tambin ha
influenciado a ITIL, que en su versin 3 ha incluido un proceso especfico para la gestin
de suministradores. Sin embargo, no han incluido ningn proceso especfico para gestionar
de forma adecuada la relacin con los clientes.
La gestin de la relacin con el negocio asegura que todas las partes implicadas en
la provisin de un servicio, incluyendo tambin al propio cliente, estn identificadas y
gestionadas, responsabilizndose de dar una respuesta adecuada a las demandas del cliente
gracias a su funcin de interfaz entre el negocio y las reas de TI.
En este proceso se vela por la satisfaccin del cliente atendiendo sus reclamaciones
y revisando peridicamente los acuerdos y contratos establecidos. Adicionalmente tambin
debe permanecer al tanto de las necesidades del negocio y de los principales cambios en el
mismo para preparar una respuesta a dichas necesidades.
389
ANEXO 1
Para cubrir este objetivo la norma establece 15 requisitos de control a cumplir.
Procesos de Control
Proceso
de
Entrega
Procesos de
Resolucin
Gestin del Incidente
Procesos
de
Relaciones
391
10. Gestin del Problema. El objetivo de este proceso es minimizar los efectos
negativos sobre el negocio de las interrupciones del servicio, mediante la
identificacin y el anlisis reactivo y proactivo de la causa de los incidentes y la
gestin de los problemas para su cierre.
Uno de los aspectos ms relevantes de este proceso es identificar la causa raz de los
fallos que ocurren o que potencialmente pueden ocurrir, al objeto de asegurar la estabilidad
de los servicios, y que los problemas no ocurran o se vuelvan a repetir.
392
ANEXO 1
Procesos de Control
Gestin de la Configuracin
Gestin del Cambio
Proceso
de
Entrega
Procesos
de
Resolucin
Procesos
de
Relaciones
12. Gestin del Cambio. El objetivo de este proceso es asegurar que todos los
cambios son evaluados, aprobados, implementados y revisados de una manera
controlada.
Este proceso controla los cambios de forma eficiente de acuerdo con los
compromisos de servicio y con el mnimo impacto en el entorno de produccin. Par ello
implanta una gestin integral de los cambios proporcionando una visin conjunta que
facilita el anlisis de los riesgos y la toma de medidas adecuadas para garantizar el xito de
los cambios y minimizar su impacto negativo en el negocio de los clientes.
394
ANEXO 1
Procesos de Entrega
Procesos de Control
Proceso de
Entrega
Procesos
de
Resolucin
Procesos
de
Relaciones
Gestin de la Entrega
396
ANEXO 1
Los SLAs se deben revisar peridicamente por las partes, para asegurar que
se encuentran actualizados y continan siendo eficaces con el transcurso del
tiempo.
El proveedor del servicio y los clientes se deben reunir, al menos una vez al
ao, para la revisin del servicio y para discutir cualquier cambio en el
alcance del mismo, en el SLA, en el contrato (si existe) o en las necesidades
del negocio. (Gestin de las relaciones con el negocio).
397
398
ANEXO 2
ANEXO 2. Seguridad.
Los activos son los recursos del SI o relacionados con ste, necesarios para que la
organizacin opere correctamente y alcance los objetivos propuestos por su direccin. Los
activos se podrn agrupar y jerarquizar en funcin de su composicin y estarn
relacionados entre s por el riesgo al que estn expuestos. Las caractersticas a retener de
cada activo son: su cdigo, descripcin, precio unitario, coste de reposicin, tiempo
mximo de carencia, nivel de mantenimiento de la integridad y el nivel de confidencialidad.
Los activos pueden ser fsicos o lgicos, tangibles o intangibles y se pueden encuadrar en:
las personas, el centro de datos y las instalaciones, los ordenadores centrales, el software de
base, los ordenadores departamentales y personales, y la informtica de usuario final,
incluyendo un posible centro de informacin, la produccin y las aplicaciones que se
procesan, el desarrollo de dichas aplicaciones, los datos y las bases de datos, las
comunicaciones y la documentacin.
Una salvaguarda es todo dispositivo, fsico o lgico, capaz de reducir el riesgo. Las
salvaguardas, segn su naturaleza, pueden clasificarse en:
400
ANEXO 2
A continuacin se presenta una figura que refleja las relaciones entre todos estos
componentes:
Las relaciones directas entre las entidades representadas por los vectores de la
figura anterior son:
401
402
ANEXO 2
o Se refiere al impacto propiciado por la vulnerabilidad de un activo.
o Puede relacionarse con una funcin o un servicio de salvaguarda.
Objetos a proteger
Se debe identificar cules son los objetos esenciales que se deben proteger en un SI.
Estos son:
Hardware
Este objeto engloba a todos los elementos fsicos del sistema.
Software
El software engloba a todos los programas lgicos que determinan cmo debe
comportarse el hardware.
Datos
Los datos engloban la informacin que manipula tanto el hardware como el
software.
403
Tipos de amenazas
A continuacin se presenta el concepto de amenaza contra los objetos de un sistema
de informacin, as como los tipos de amenazas ms extendidos.
En trminos generales, una amenaza es una accin o evento que puede atentar
contra la seguridad de los objetos de un sistema. Las amenazas son los eventos que pueden
desencadenar un incidente en la organizacin, produciendo daos y prdidas inmateriales
en sus activos. Se pueden agrupar en clases y los atributos a tener en cuenta son: su cdigo,
nombre, frecuencia (habitualmente subjetiva). Principalmente se distinguen dos tipos
bsicos de amenazas:
Amenazas no intencionadas.
Amenazas intencionadas.
Sin embargo, las amenazas intencionadas o ataques son provocadas por usuarios no
autorizados que acceden conscientemente de forma indebida a los objetos del sistema.
404
ANEXO 2
A su vez, los ataques se clasifican atendiendo a diferentes criterios. En funcin de si
el objetivo final del ataque es vulnerar de forma directa o indirecta un determinado objeto,
se definen las siguientes categoras:
Ataques directos.
Ataques indirectos.
Los ataques indirectos son especialmente conflictivos en las bases de datos, donde
es posible hacer preguntas indirectas sobre un objeto y derivar informacin confidencial a
partir de las respuestas obtenidas. Este caso particular de ataque indirecto se denomina
inferencia.
Ataques pasivos.
Ataques activos.
405
Interrupcin
Este efecto se produce cuando se interrumpe temporalmente o permanentemente la
funcionalidad de un objeto.
Interceptacin
Se produce una interceptacin cuando una entidad161 no autorizada consigue acceso
a un determinado objeto.
Modificacin
161
406
ANEXO 2
Se produce una modificacin cuando un objeto es interceptado y modificado, en
parte o en su totalidad, por una entidad malintencionada. La destruccin de un objeto se
considera un caso particular de modificacin.
Fabricacin o generacin
Se produce una fabricacin cuando una entidad malintencionada aade informacin
parcial a un objeto o introduce nuevos objetos en el sistema.
Agentes amenazantes
En este apartado se presentan los agentes amenazantes de los que debe protegerse
un sistema de informacin. Esencialmente se distinguen los siguientes agentes:
Personas.
Amenazas lgicas.
Catstrofes.
Personas
Existe una gran diversidad de personas que pueden constituir un riesgo para la
seguridad de un sistema de informacin. A continuacin se presentan las principales
407
Impostor
Un impostor es un usuario de acceso no autorizado al sistema que vulnera el control
de acceso para explotar una cuenta de usuario legtimo. Habitualmente este tipo de atacante
es una persona ajena al sistema de informacin.
Malhechor
Un malhechor es un usuario legtimo que accede a datos, software o recursos del
sistema para los cuales no tiene permitido el acceso.
Usuario clandestino
Un usuario clandestino es el que adquiere control del sistema con privilegios de
supervisor y lo utiliza para evadir o eliminar los controles de acceso al sistema. Este tipo de
atacante puede ser tanto un usuario legtimo como un usuario ajeno al sistema.
Amenazas lgicas
Adems de los ataques en los que existe una actuacin directa del intruso, tambin
existe una gran variedad de amenazas lgicas automticas, que intentan vulnerar la
seguridad de los sistemas sin necesidad de supervisin humana. Las amenazas lgicas
pueden clasificarse en dos categoras esenciales:
408
ANEXO 2
Malware.
Errores de programacin.
Malware
No todos los problemas de seguridad proceden de errores o descuidos en la
programacin. Existe una amplia gama de amenazas lgicas creadas expresamente con
intenciones maliciosas. A estos programas, cuyo propsito es atacar la seguridad de un
sistema, se les denomina malware o malicious software.
Error de programacin
409
Catstrofes
Tipos de seguridad
Como ya se ha comentado con anterioridad, la seguridad es un concepto amplio y
difcil de abordar desde una nica perspectiva. Por tanto, habitualmente la seguridad de los
sistemas de informacin se divide en tres tipos:
Seguridad fsica.
Seguridad lgica.
Seguridad administrativa.
Seguridad jurdica.
410
ANEXO 2
Para alcanzar dicho objetivo, la seguridad fsica trata de establecer y mantener un
entorno suficientemente seguro para la manipulacin y almacenamiento de los objetos
sensibles del sistema.
Por otra parte, la seguridad lgica tiene como objetivo proteger el software y los
datos del sistema de informacin contar amenazas lgicas y personas con intenciones
maliciosas.
Sin embargo, la seguridad administrativa tiene como objetivo proteger los objetos
del sistema de informacin proporcionando mecanismos de seguridad que intentan
minimizar los efectos de una potencial amenaza. Los mecanismos de seguridad
administrativa ms extendidos son: polticas de seguridad, polticas de personal, polticas
de contratacin, anlisis de riesgos y planes de contingencia.
Mecanismos de seguridad
Para poder definir los mecanismos de seguridad adecuados para proteger un sistema
de informacin es necesario realizar un anlisis detallado de las potenciales amenazas a las
que se expone el sistema. En base a dicho anlisis se define una poltica de seguridad
411
Prevencin.
Deteccin.
Recuperacin.
Mecanismos de prevencin
Los mecanismos de prevencin se encargan de reforzar la seguridad del sistema
evitando posibles ataques. Los mecanismos de prevencin ms utilizados son:
Mecanismos de autentificacin
Los mecanismos de autenticacin permiten identificar las entidades legtimas del
sistema.
412
ANEXO 2
Mecanismos de separacin
Los mecanismos de separacin permiten definir y organizar los objetos en mltiples
niveles de seguridad.
Mecanismos de deteccin
Los mecanismos de deteccin se encargan de detectar los potenciales ataques del
sistema mientras stos se estn produciendo. Habitualmente estos mecanismo
proporcionando informacin necesaria para la inmediata detencin de los ataques.
Mecanismos de recuperacin
Los mecanismos de recuperacin se encargan de restablecer el sistema vulnerado al
estado anterior a la consumacin del ataque.
162
413
El coste de la seguridad
La seguridad informtica se establece como un equilibrio entre la necesaria
operatividad del sistema (correcto funcionamiento de los activos) frente a los diversos
riesgos potenciales y las diferentes salvaguardas que permiten minimizar la probabilidad de
aparicin de incidentes o reducir sus efectos, es decir, minimizar el riesgo.
414
ANEXO 2
En el informe 2004 CDI/FBI Computer Crime and Security Survey elaborado por
el CSI en colaboracin con el FBI (Federal Bureau of Investigation) se proporcionaron una
serie de valores. Estos valores se basaban en los resultados recopilados de 530
organizaciones americanas, entre las cuales se encuentran agencias gubernamentales,
163
El CSI (Computer Security Institute) fue fundado en 1974. En la actualidad, el CSI proporciona seminarios educativos
sobre cifrado, control de intrusiones, seguridad en Internet, entre otros. Esta organizacin esponsoriza dos conferencias y
exposiciones anuales, NetSec en junio, y el CSI Annual Computer Security Conference and Exhibition en noviembre.
Para ms informacin consultar [RefWeb-17].
164
La ISSA (Information Systems Security Association) fue fundada en 1982. ISSA es una organizacin internacional sin
nimo de lucro, orientada a la formacin de profesionales y practicantes de la seguridad de la informacin. El principal
objetivo de ISSA es promover normas de gestin, que aseguren confidencialidad, integridad y la disponibilidad de los
recursos de una organizacin. Para ms informacin consultar [RefWeb-19].
165
El MISTI (MIS Training Institute) fue fundado en 1978. MISTI es la principal organizacin internacional orientada a la
formacin de profesionales en las rea de auditora y seguridad de la informacin. En la actualidad, el MISTI opera en
cinco continentes, presenta seminarios y conferencias sobre auditoras internas, seguridad de la informacin, TCP/IP,
aplicaciones de e-commerce, entre otros. Para ms informacin consultar [RefWeb-18].
415
Dos aos ms tarde (en 2006) los datos que reflejaba el informe CDI/FBI
Computer Crime and Security Survey166 no eran alentadores:
Los ataques por virus continan siendo el origen de las mayores prdidas econmicas.
Los accesos no autorizados son la segunda razn. Prdidas econmicas relacionadas con
porttiles (o hardware mvil) y hurtos del a propiedad de la informacin (por ej. la
propiedad intelectual) son la tercera y la cuarta causa respectivamente. Estas cuatro
categoras conllevan el 74% del total de las prdidas econmicas.167
Como puede observarse, nada en estos ltimos 4 aos ha hecho cambiar estos datos.
166
167
http://i.cmpnet.com/gocsi/db_area/pdfs/fbi/FBI2006.pdf.
Traduccin propia.
416
ANEXO 2
En cuanto a la Unin Europea, en base a los indicadores presentados en el estudio
Mtrica de la Sociedad de la Informacin168 del ao 2006, elaborado por el Ministerio de
Ciencia y Tecnologa y SEDISI169, el 52% de los usuarios de Internet manifestaron haber
experimentado problemas de seguridad durante el ao 2005. En particular, en Espaa, el
25% de los usuarios de Internet manifestaron haber sufrido algn problema de seguridad.
417
Estos costes estn estrechamente relacionados entre si. Por ejemplo, es posible
incrementar el grado de seguridad de un sistema, eliminando parte de la funcionalidad del
sistema y agregando el coste asociado por el decremento de la usabilidad.
418
ANEXO 2
En esta aproximacin, el coste total esperado de los ataques a la seguridad se calcula
en funcin del coste de un nico ataque de seguridad multiplicado por la frecuencia de
ataques. ste es un coste difcil de estimar.
419
420
ANEXO 3
Ciclo de vida en V
Propuesto por Alan Davis, tiene las mismas fases que el ciclo de vida en cascada
tradicional, pero tiene en consideracin el nivel de abstraccin de cada una.
Una fase adems de utilizarse como entrada para la siguiente, sirve para validar o
verificar otras fases posteriores. Su estructura est representada en la figura 102.
421
Una ventaja de este modelo es que no necesita generar tanta documentacin como el
ciclo de vida en cascada puro, debido a la continuidad del mismo personal entre fases.
La fase de concepto consiste en definir los objetivos del proyecto, beneficios, tipo
de tecnologa y tipo de ciclo de vida. El diseo arquitectnico es el de alto nivel, el
detallado el de bajo nivel.
422
ANEXO 3
423
Hay dos partes en este tipo de ciclo de vida que lo hacen similar al ciclo de vida tipo
sashimi. Por un lado estn el anlisis y el diseo global. Por otro lado estn los pequeos
incrementos que se llevan a cabo en las fases de diseo detallado, codificacin y
mantenimiento.
424
ANEXO 3
425
426
ANEXO 4
428
ANEXO 4
ANEXO 4
10.8.4. Mensajera electrnica
10.8.5. Sistemas de informacin empresariales
10.9. Servicios de comercio electrnico
10.9.1. Comercio electrnico
10.9.2. Transacciones en lnea
10.9.3. Informacin puesta a disposicin pblica
10.10. Supervisin
10.9.4. Registro de auditoras
10.9.5. Supervisin del uso del sistema
10.9.6. Proteccin de la informacin de los registros
10.9.7. Registros de administracin y operacin
10.9.8. Registro de fallos
10.9.9. Sincronizacin del reloj
431
ANEXO 4
11.7.2. Teletrabajo
12.2.2.
12.2.3.
12.2.4.
12.3.2.
Gestin de claves
12.4.2.
12.4.3.
12.5.2.
12.5.3.
12.5.4.
Fugas de informacin
433
434
ANEXO 4
A15. Cumplimiento
15.1. Cumplimiento de los requisitos legales
15.1.1. Identificacin de la legislacin aplicable
15.1.2. Derechos de propiedad intelectual (DPI)
15.1.3. Proteccin de los documentos de la organizacin
15.1.4. Proteccin de datos y privacidad de la informacin personal
15.1.5. Prevencin del uso indebido de los recursos de tratamiento de la
informacin
15.1.6. Regulacin de los controles criptogrficos
15.2. Cumplimiento de las polticas y normas de seguridad y cumplimiento tcnico
15.2.1. Cumplimiento de las polticas y normas de seguridad
15.2.2. Comprobacin del cumplimiento tcnico
15.3. Consideraciones de las auditoras de los sistemas de informacin
15.3.1. Controles de auditora de los sistemas de informacin
15.3.2. Proteccin de las herramientas de auditora de los sistemas de
informacin
435