UNIVERSIDAD CONTINENTAL

FACULTAD DE INGENIERA
ESCUELA ACADMICA PROFESIONAL DE
INGENIERA DE SISTEMAS E INFORMTICA

EXAMEN ORAL DE SUFICIENCIA

PROFESIONAL PARA OPTAR EL
TTULO PROFESIONAL DE
INGENIERO DE SISTEMAS E
INFORMTICA

ALUMNO:
Bachiller Rubn, NAVARRO ARANGO

HUANCAYO-PER
DICIEMBRE 2014

NDICE

INTRODUCCIN

Hoy en da se habla bastante de seguridad en todo los mbitos de negocio;

hasta se podra decir que gestionar la seguridad de manera eficiente y eficaz
es una Ley para de esta manera todo negocio se mantenga en el mercado. La
clave est en proteger los procesos crticos de negocio, los activos fsicos y
lgicos que

son de vital

importancia para mantener en vida toda

organizacin. Existen un sinfn de herramientas, metodologas, tcnicas,

estndares y sobre todo lo ms importante que trata esta monografa, se
habla de las buenas prcticas de ITIL V3 en donde al aplicarlas o
implementarlas en el negocio nos ayuda hacer frente a las nuevas amenazas
existentes en la actualidad. El objetivo del presente trabajo monogrfico es
entender todo acerca sobre Gestin de Seguridad segn ITIL V3 y aplicar un
caso prctico de Gestin de Seguridad ITIL en un caso prctico.
Para entender mejor sobre la Gestin De Seguridad ITIL esta monografa se
ha dividido en dos captulos, en el primer captulo se ilustra la parte terica
como son conceptos, caractersticas, ventajas, desventajas y beneficios de
implementar Gestin De Seguridad ITIL en el negocio y por ltimo en la
segunda parte se plasma lo aprendido planteando en un caso prctico.

El Autor.

1.1

Captulo 01
Gestin de Seguridad en ITIL
Concepto del Proceso
La Gestin de la Seguridad de la Informacin garantiza que la poltica
sobre seguridad de la informacin, cumpla la poltica general de la
empresa sobre seguridad y los requisitos de gobierno corporativo.
Por lo tanto, la integridad, disponibilidad y confidencialidad son los pilares
de la gestin de la seguridad de la informacin. La autorizacin de la
informacin mediante una validacin de credenciales del usuario es la
accin ms importante de este proceso.
La meta del proceso de Gestin de la Seguridad de la Informacin es
alinear la seguridad de TI con el negocio y garantizar una gestin eficaz
de la misma.

1.2

Objetivos
Los principales objetivos de la Gestin de la Seguridad se resumen en:
Disear una poltica de seguridad, en colaboracin con clientes y
proveedores correctamente alineada con las necesidades del
negocio.
Asegurar

el

cumplimiento

de

los

estndares

de

seguridad

acordados.
Minimizar los riesgos de seguridad que amenacen la continuidad
del servicio.
1.3

Los principales beneficios de una correcta Gestin de la

Seguridad:
Se evitan interrupciones del servicio causadas por virus, ataques
informticos, etctera.
Se minimiza el nmero de incidentes.
Se tiene acceso a la informacin cuando se necesita y se preserva
la integridad de los datos.
Se preserva la confidencialidad de los datos y la privacidad de
clientes y usuarios.
Se cumplen los reglamentos sobre proteccin de datos.

 Mejora la percepcin y confianza de clientes y usuarios en lo que

respecta a la calidad del servicio.
1.4

Las principales dificultades a la hora de implementar la Gestin

de la Seguridad se resumen en:
No existe el suficiente compromiso de todos los miembros de la
organizacin TI con el proceso.
Se establecen polticas de seguridad excesivamente restrictivas
que afectan negativamente al negocio.
No se dispone de las herramientas necesarias para monitorizar y
garantizar la seguridad del servicio (firewalls, antivirus, ...).
El personal no recibe una formacin adecuada para la aplicacin de
los protocolos de seguridad.
Falta de coordinacin entre los diferentes procesos lo que impide
una correcta evaluacin de los riesgos.

1.5

Proceso
La Gestin de la Seguridad est estrechamente relacionada con
prcticamente todos los otros procesos TI y necesita para su xito la
colaboracin de toda la organizacin.
Para que esa colaboracin sea eficaz es necesario que la Gestin de la
Seguridad:

Establezca una clara y definida poltica de seguridad que sirva de gua

a todos los otros procesos.

Elabore un Plan de Seguridad que incluya los niveles de seguridad

adecuados tanto en los servicios prestados a los clientes como en los
acuerdos de servicio firmados con proveedores internos y externos.

Implemente el Plan de Seguridad.

Monitorice y evale el cumplimiento de dicho plan.

Supervise proactivamente los niveles de

tendencias, nuevos riesgos y vulnerabilidades.

Realice peridicamente auditoras de seguridad.

seguridad

analizando

1.5.1 Poltica y Plan de Seguridad

Es imprescindible disponer de un marco general en el que encuadrar
todos los subprocesos asociados a la Gestin de la Seguridad. Su
complejidad e intricadas interrelaciones necesitan de una poltica
global clara en donde se fijen aspectos tales como los objetivos,
responsabilidades y recursos.
En particular la Poltica de Seguridad debe determinar:

La relacin con la poltica general del negocio.

La coordinacin con los otros procesos TI.
Los protocolos de acceso a la informacin.
Los procedimientos de anlisis de riesgos.
Los programas de formacin.
El nivel de monitorizacin de la seguridad.
Qu informes deben ser emitidos peridicamente.
El alcance del Plan de Seguridad.
La estructura y responsables del proceso de Gestin de la
Seguridad.
Los procesos y procedimientos empleados.
Los responsables de cada subproceso.
Los auditores externos e internos de seguridad.
Los recursos necesarios: software, hardware y personal.

1.5.1.1 Plan de Seguridad

El objetivo del Plan de Seguridad es fijar los niveles de
seguridad que han de ser incluidos como parte de los SLAs,
OLAs y UCs.
Este plan ha de ser desarrollado en colaboracin con la
Gestin de Niveles de Servicio que es la responsable en
ltima instancia tanto de la calidad del servicio prestado a
los clientes como la del servicio recibido por la propia
organizacin TI y los proveedores externos.
El Plan de Seguridad debe disearse para ofrecer un mejor y
ms seguro servicio al cliente y nunca como un obstculo
para el desarrollo de sus actividades de negocio.
Siempre que sea posible deben definirse mtricas e
indicadores clave que permitan evaluar los niveles de
seguridad acordados.
Un aspecto esencial a tener en cuenta es el establecimiento
de unos protocolos de seguridad coherentes en todas las
fases del servicio y para todos los estamentos implicados.
"Una cadena es tan resistente como el ms dbil de sus
eslabones", por lo que carece de sentido, por ejemplo,
establecer una estrictas normas de acceso si una aplicacin
tiene vulnerabilidades frente a inyecciones de SQL. Quiz
con ello podamos engaar a algn cliente durante algn
tiempo ofreciendo la imagen de "fortaleza" pero esto valdr
de poco si alguien descubre que la "puerta de atrs est
abierta".
1.5.2 Aplicacin de las Medidas de Seguridad
Por muy buena que sea la planificacin de la seguridad resultar
intil si las medidas previstas no se ponen en prctica.
Es responsabilidad de la Gestin de Seguridad coordinar la
implementacin de los protocolos y medidas de seguridad
establecidas en la Poltica y el Plan de Seguridad.
En primer lugar la Gestin de la Seguridad debe verificar que:
El personal conoce y acepta las medidas de seguridad establecidas
as como sus responsabilidades al respecto.
Los empleados firmen los acuerdos de
correspondientes a su cargo y responsabilidad.

confidencialidad

Es tambin responsabilidad directa de la Gestin de la

Seguridad:
Asignar los recursos necesarios.
Generar la documentacin de referencia necesaria.
Colaborar con el Service Desk y la Gestin de Incidentes en el
tratamiento y resolucin de incidentes relacionados con la
seguridad.
Instalar y mantener las herramientas de hardware y software
necesarias para garantizar la seguridad.
Colaborar con la Gestin de Cambios y Versiones para
asegurar que no se introducen nuevas vulnerabilidades en los
sistemas en produccin o entornos de pruebas.
Proponer RFCs a la Gestin de Cambios que aumenten los
niveles de seguridad.
Colaborar con la Gestin de la Continuidad del Servicio para
asegurar que no peligra la integridad y confidencialidad de los
datos en caso de desastre.
Establecer las polticas y protocolos de acceso a la
informacin.
Monitorizar las redes y servicios en red para detectar
intrusiones y ataques.
Es necesario que la gestin de la empresa reconozca la autoridad de
la Gestin de la Seguridad respecto a todas estas cuestiones y que
incluso permita que sta proponga medidas disciplinarias
vinculantes cuando los empleados u otro personal relacionado con la
seguridad de los servicios incumplan con sus responsabilidades.
1.5.3 Evaluacin y Mantenimiento
No es posible mejorar aquello que no se conoce, es por la tanto
indispensable evaluar el cumplimiento de las medidas de seguridad,
sus resultados y el cumplimiento de los SLAs.
Aunque no es imprescindible, es recomendable que estas
evaluaciones se complementen con auditoras de seguridad
externas y/o internas realizadas por personal independiente de la
Gestin de la Seguridad.
Estas evaluaciones/auditorias deben valorar el rendimiento del
proceso y proponer mejoras que se plasmaran en RFCs que habrn
de ser evaluados por la Gestin de Cambios.

Independientemente de estas evaluaciones de carcter peridico se

debern generar informes independientes cada vez que ocurra algn
incidente grave relacionado con la seguridad. De nuevo, si la
Gestin de la Seguridad lo considera oportuno, estos informes se
acompaaran de las RFCs correspondientes.

1.5.4 Mantenimiento
La Gestin de la Seguridad es un proceso continuo y se han de
mantener al da el Plan de Seguridad y las secciones de seguridad de
los SLAs.
Los cambios en el Plan de Seguridad y los SLAs pueden ser
resultados de la evaluacin arriba citada o de cambios
implementados en la infraestructura o servicios TI.
No hay nada ms peligroso que la falsa sensacin de seguridad que
ofrecen medidas de seguridad obsoletas.
Es asimismo importante que la Gestin de la Seguridad est al da
en lo que respecta a nuevos riesgos y vulnerabilidades frente a
virus, spyware, ataques de denegacin de servicio, etctera, y que
adopte las medidas necesarias de actualizacin de equipos de
hardware y software, sin olvidar el apartado de formacin: el factor
humano es normalmente el eslabn ms dbil de la cadena.

1.6

Control del Proceso

Al igual que en el resto de procesos TI es necesario realizar un riguroso
control del proceso para asegurar que la Gestin de la Seguridad cumple
sus objetivos.
Una buena Gestin de la Seguridad debe traducirse en una:

Disminucin del nmero de incidentes relacionados con la seguridad.

Un acceso eficiente a la informacin por el personal autorizado.
Gestin proactiva que permita identificar vulnerabilidades potenciales
antes de que estas se manifiesten y provoquen una seria degradacin
de la calidad del servicio.

La correcta elaboracin de informes permite evaluar el rendimiento de

la Gestin de Seguridad y aporta informacin de vital importancia a otras
reas de la infraestructura TI.
Entre la documentacin generada cabra destacar:

Informes sobre el cumplimiento, en lo todo lo referente al apartado de

seguridad, de los SLAs, OLAs y UCs en vigor.
Relacin de incidentes relacionados con la seguridad calificada por su
impacto sobre la calidad del servicio.
Identificacin de nuevos peligros y vulnerabilidades a las que se
enfrenta la infraestructura TI.
Auditoras de seguridad.
Informes sobre el grado de implementacin y cumplimiento de los
planes de seguridad establecidos.
CASO PRCTICO
GESTIN DE SEGURIDAD ITIL

Polticas de seguridad de la informacin

En este apartado se resume el trabajo realizado en la investigacin
presentando un caso prctico: La gestin de un sistema antivirus. A
continuacin se nombran los procesos, actividades y tareas creados para
proporcionar a una organizacin un servicio de seguridad antivirus:
I. PROCESOS RELACIONADOS CON EL NIVEL DE SERVICIO.
1.1 Gestin del nivel del servicio antivirus.
1.1.1 Definicin del nivel del servicio antivirus.
Reuniones (cliente-proveedor para definir SLAs.
Formulario SLAs del servicio antivirus.
1.2 Medidas/controles de Seguridad.
1.2.1

Definicin de controles de Seguridad.

Antivirus nivel protocolo de red.

Antivirus nivel servidor.


1.2.2

1.2.3

Antivirus nivel cliente.

Configuracin de los controles de seguridad.

Nivel de proteccin aplicado.

Archivos de registros de detecciones.

Sistemas de alarmas.

Mantenimiento de los controles de seguridad.

Procedimiento de actualizacin del antivirus.

Procedimiento de modificacin de la configuracin.

1.3 Modificacin del nivel de seguridad.

1.3.1

Incremento o decremento del nivel del antivirus.

1.4 Procedimientos de contingencia y recuperacin.

1.4.1 Procedimientos de actuacin generales ante un virus.

II. PROCESOS QUE OFRECEN EL SERVICIO

2.1 Proceso de Recogida de incidentes de seguridad.
2.1.1 Procedimiento de comunicacin de posible virus, a nivel usuario.
2.1.2 Procedimiento de discriminacin de llamadas de servicio, a nivel
operador.
2.1.3 Procedimiento de comunicacin
administrador de Seguridad.

de

posible

virus,

nivel

2.1.4 Procedimiento de comunicacin de virus, a nivel control de

seguridad.

2.2 Proceso de gestin de incidentes de seguridad ocasionados por

virus.
2.2.1 Procedimiento de actuacin, a nivel operador, ante un posible
virus.
2.2.2 Procedimiento de actuacin, a nivel administrador de seguridad,
ante virus.
2.3 Proceso de gestin de problemas de seguridad ocasionados
por virus.
2.3.1 Procedimiento de actuacin, a nivel administrador de Seguridad,
ante un posible problema ocasionado por un virus.
2.4 Proceso de gestin de la configuracin y gestin del cambio
ocasionados por virus.
2.4.1 Procedimiento de colaboracin del administrador de seguridad ante
un cambio. Pertenencia a GGC.

BIBLIOGRAFA

OSIATIS S.A.. (2012). Gestin de Seguridad. 09/01/2015, de

ECONOCOM
OSIATIS
Sitio
web:
http://itilv3.osiatis.es/diseno_servicios_TI/gestion_proveedo
res.php.
ELENA RUIZ LARROCHA. Misitileon: Propuesta para

solucionar las carencias de ITIL en la Gestin de la

Seguridad de la Informacin. 10/01/2015, de
REDSEGURIDAD
Sitio
web:
http://www.redseguridad.com/opinion/articulos/misiti
leon-propuesta-para-solucionar-las-carencias-de-itilr-en-la-gestion-de-la-seguridad-de-la-informacion.

CONCLUSIN
Una buena implementacin de las buenas prcticas de ITIL para
Gestionar la Seguridad, ayuda proteger
los activos tangibles e
intangibles (Confidencialidad, Integridad y Disponibilidad) del negocio;
a su vez ayuda y coordina con los dems procesos de TI
implementados en el negocio.