ITIL como apoyo a la Seguridad de ITIL como apoyo a la Seguridad de

la Informacin
J avier Mayorga y g
J avier.mayorga@co.pwc.com
*connectedthinking
AGENDA
1. Antecedentes
2. Conceptos de ITIL
3 Etapas de ITIL 3. Etapas de ITIL
4. Soporte de ITIL a la seguridad de la informacin
5. Reflexiones finales
ANTECEDENTES
Antecendentes
Se ha reconocido que la informacin es el recurso
estratgico ms importante que cualquier organizacin
debe administrar.
Un aspecto clave para recoleccin, anlisis, produccin y
distribucin de la informacin dentro de una organizacin
l lid d d l S i i d TI d l i es la calidad de los Servicios de TI provedos al negocio
Es esencial reconocer que los Servicios de TI, son activos
cruciales, estratgicos y organizacionales y por lo tanto el
negocio debe invertir los niveles adecuados de recursos en
el apoyo, la entrega y la gestin de estos servicios de TI
crticos y los sistemas que los soportan crticos y los sistemas que los soportan
Antecendentes
Elambienteregulatorioglobalsehavueltomscomplejo,
dejandorezagadoymsanennuestropaslaproteccinde
losdatosprivados.
Laamenazainternacontinacreciendo.
Dedicarmsrecursosalaproteccindedatosseha
convertidoenunaestrategiaprioritaria.
Lamedicinyelmonitoreosolosonefectivossiserealiza
seguimiento.
Elmundoestcambiando:esclaralanecesidaddeun
modelodeseguridaddelainformacinygobernabilidad
(ContribucindeSeguridadalosObjetivosdelNegocio)
5
Antecedentes
44%delascompaasdeserviciosfinancieroscomentanquecuentancon p q
mecanismosdereportedeincidentesdeseguridadparasusclientesy
sociosdenegocios
59% de las compaas de servicios financieros comentan que en sus 59%delascompaasdeserviciosfinancieroscomentanqueensus
polticasdeseguridadnoincluyenlaclasificacindeladatasensibledela
organizacin.
50%delascompaasdeserviciosfinancierosrespondenquellevana
cabounanlisisderiesgoanualosemestral.
43% d l d i i fi i 43%delascompaasdeserviciosfinancieroscomentanquesu
organizacinnointegralaseguridad,medianteunaestructura
organizacionalopoltica,aelcumplimientoregulatorio.
6
TheGlobalStateofInformationSecurity2007,CEO&PricewaterhouseCoopers
RetosparalaorganizacindeTI
Los retos para los Administradores de TI son coordinar y trabajar
junto con el negocio para entregar servicios de TI de alta calidad. j g p g
Esto puede lograrse adoptando un enfoque mas orientado al
negocio y a los clientes, a la hora de entregar los servicios y
optimizar los costos.
Es de suma importancia que los servicios de TI soporten los
procesos de negocio, pero es tambin muy importante que TI
acte como un agente de cambio para facilitar la transformacin
del negocio.
ConceptosdeITIL p
U i i l j d i i i l
QuesunServicio?
Un servicio es el conjunto de acciones, interacciones personales y
actitudes que se disea y entregan para satisfacer las necesidades
y deseos del cliente. Toma en consideracin:
Demanda del servicio
Meta del servicio
Nivel de Servicio
Un servicio es un medio para entregar valor a
los clientes, facilitndoles resultados que
quieren conseguir, sin tener que hacerse cargo
d l t i fi de los costos y riesgos especficos.
Entrega
Servicios Servicios
Necesidad Necesidad
Satisface Produce
Cliente
Organizacin
Se crean nuevas necesidades
La administracin de servicios es una herramienta que permite al
AdministracindeServicios
La administracin de servicios es una herramienta que permite al
proveedor entender los servicios que est proveyendo.
Asegurar que mediante estos servicios realmente se facilita el
resultado que sus clientes quieren conseguir.
Tener conciencia del valor que el servicio tiene para sus clientes y
facilitando as la administracin del costo y los riesgos asociados.
AdministracindeServicios
LaAdministracindeServiciosesunconjuntodecapacidades
organizacionalesespecializadasparaproveervaloralosclientes
por medio de servicios. pormediodeservicios.
Cadaservicio,procesoocomponentedeunainfraestructuratiene
i l d id i d i i t d ti unciclodevida,yrequiereseradministradocomounactivo
estratgico quefacilitaelalineamientodelatecnologaalservicio
delnegocio.
PilaresdelaGestindeServiciosdeTI
S i i Servicio
Productos
PilaresdelaGestindeServiciosdeTI
15% 15%
Tecnologa
15% 15%
Procesos
85% 85%
Organizacin
Cultura
QuesITIL?
ITIL es un marco de trabajo
pblico que describe las
Mejores Prcticas en la
Administracin de Servicios de Administracin de Servicios de
TI.
Provee un marco de trabajo
para el gobierno de TI y se para el gobierno de TI y se
enfoca en la continua medicin
y el continuo mejoramiento de
la calidad de los servicios se c os
entregados.
EvolucindeITIL
5 libros
Ciclo de vida del servicio
7 lib 7 libros
Aceptada mundialmente
31 Libros
ITIL V3 ITIL V2 ITIL V1
31 Libros
UK y pases bajos
2007
2004 1995
Mejora Continua
Las5EtapasdeITILv3
Diseo de
Mejora Continua
de Servicios de TI
Estrategia
Servicios
Operacin
de
de Servicios
Transicin de
Servicios
de
Servicios
Servicios
Mejora Continua j
de Servicios de TI
Requerimientos
Los clientes / el negocio
Requerimientos Requerimientos
Los clientes / el negocio
ElCiclodeVidadelServicio
i
o
s

(
S
K
M
S
)
r
v
i
c
i
o
s
Estrategia del
Servicio
Estrategias
Polticas
SLPs de
Requerimientos
Recursos y
Restricciones
i
o
s

(
S
K
M
S
)
r
v
i
c
i
o
s
Estrategia del
Servicio
Estrategias
Polticas
SLPs de
Requerimientos
Recursos y
Restricciones
Estrategia del
Servicio
Estrategias
Polticas
SLPs de
Requerimientos
Recursos y
Restricciones
i
e
n
t
o

d
e

l
o
s

S
e
r
v
i
c
e
l

C
a
t

l
o
g
o

d
e

S
e
r
v
Diseo del
Servicio
Estndares
Diseo de
Soluciones
Arquitecturas
SDPs
i
e
n
t
o

d
e

l
o
s

S
e
r
v
i
c
e
l

C
a
t

l
o
g
o

d
e

S
e
r
v
Diseo del
Servicio
Estndares
Diseo de
Soluciones
Arquitecturas
SDPs
Diseo del
Servicio
Estndares
Diseo de
Soluciones
Arquitecturas
SDPs
a
c
i

n

d
e
l

C
o
n
o
c
i
m
i
o
l
i
o

d
e

S
e
r
v
i
c
i
o
s

y

e
Transicin
del Servicio Planes de
Transicin
Soluciones
Probadas
SKMS
actualizados
a
c
i

n

d
e
l

C
o
n
o
c
i
m
i
o
l
i
o

d
e

S
e
r
v
i
c
i
o
s

y

e
Transicin
del Servicio Planes de
Transicin
Soluciones
Probadas
SKMS
actualizados
Transicin
del Servicio Planes de
Transicin
Soluciones
Probadas
SKMS
actualizados
e
m
a

d
e

A
d
m
i
n
i
s
t
r
a
I
n
c
l
u
y
e

e
l

P
o
r
t
a
f
o
Operacin del
Servicio
Planes
Operacionales
Servicios
Operacionales
Mejoramiento
C ti d l
e
m
a

d
e

A
d
m
i
n
i
s
t
r
a
I
n
c
l
u
y
e

e
l

P
o
r
t
a
f
o
Operacin del
Servicio
Planes
Operacionales
Servicios
Operacionales
Operacin del
Servicio
Planes
Operacionales
Servicios
Operacionales
Mejoramiento
C ti d l
Mejoramiento
C ti d l
S
i
s
t
e
Continuo del
Servicio
Acciones y
Planes de Mejora S
i
s
t
e
Continuo del
Servicio
Acciones y
Planes de Mejora
Continuo del
Servicio
Acciones y
Planes de Mejora
EtapasdeITIL
InteraccindeProcesos estrategia
Operacin
de Servicios
Transicin
de Servicios
C
I
O
Diseo
Administracin
Financiera
Administracindel
Requerimientos
Paquete de
Niveles de
Servicio
N
E
G
O
C
F i
Diseo
de Servicios
Administracin del
Portafolio de Servicios
Administracin de
la Demanda
Servicio
Funcin
Proceso
Etapa
Mejora Continua de
S i i d TI Servicios de TI
Operacin
InteraccindeProcesos diseo
p
de Servicios
Adm. del Catlogo Adm. de Niveles de
Adm. de Proveedores
Adm. de Seguridad Informacin
Estrategia
de Servicios
de Servicio de Servicio
Paquete de Diseo
de Servicios
Adm. de Continuidad de TI
Adm. de Disponibilidad
Adm de Capacidad
Transicin
de Servicios
Paquete de
Niveles de Servicio
de Servicios
Proceso
Etapa
Adm. de Capacidad
Mejora
Continua
Actividad
Etapa
InteraccindeProcesos transicin
Mejora Continua de Servicios
Administracin de Cambios
O S
Administracin de Activos de Servicio y Configuracin
Planeamiento y Soporte de la Transicin
Actividades Operativas de Transicin Servicios
O i Ad i i t i d
Evaluacin de Servicios
Estrategia
de Servicios
Operacin
de Servicios
Administracin de
Desarrollo y Liberacin
Pruebas y Validacin de Servicios
Diseo
de Servicios
Actividad
Proceso
Etapa
Administracin del Conocimiento
InteraccindeProcesos operacin
Diseo
de Servicios
Estrategia
de Servicios
Mejora
Continua
Transicin
de Servicios
Administracin de
Solicitudes de Servicio

n

s
i

n

a
s
Service Desk Administracin de Operaciones de TI
F i
Administracin de
Incidentes
Administracin del
A
d
m
i
n
i
s
t
r
a
c
i

d
e

E
v
e
n
t
o
s
A
d
m
i
n
i
s
t
r
a
c
i
d
e

P
r
o
b
l
e
m
a
Servicios
Implementados
Funcin
Proceso
Etapa
Acceso
A
Administracin Tcnica Administracin de Aplicaciones
VALOR
Usuarios y Clientes
InteraccindeProcesos mejora
ti
Que se debe
medir?
Identificar:
Visin
Estrategia
Metas tcticas y
1
continua
Como se va a
medir?
Implementar
acciones correctivas
y
operativas
2 7
Cuando? Donde? y
Como se va a
Presentar la
informacin y
Metas del
Negocio
3 6
obtener la
informacin?
Como se va a
procesar la
informacin?
Anlisis de la
informacin
y
planear cursos de
accin
4 5
informacin?
Soporte de ITIL a la seguridad de la
informacin informacin
*connectedthinking
AdministracindelaSeguridaddela
I f i
Buscaalinearlosobjetivos deseguridad deTI con
l bj ti d id d d l i d
Informacin
losobjetivosdeseguridaddelnegocio,asegurando
ladisponibilidad,confidencialidad,integridad,
autenticidadyfiabilidaddelainformacin.
Mantienelaspolticas generalesyloscontroles
l i t d l Si t d quelasapoyanintegradosalSistemade
InformacindeAdministracindeSeguridad(SMIS).
AdministracindelaSeguridaddela
I f i
Manejarunniveldefinidodeseguridad deun
Informacin
servicio,incluidoelmanejodelareaccinante
incidentes deseguridad.
Asegurarlacontinuidad yproteccin de
informacinyayudaraminimizareldaoalservicio
porfaltasdeseguridad.
AdministracindelaSeguridad:
Consideraciones de seguridad
Productos y servicios slo
La recuperacin despus
de una falla para asegurar
que la confidencialidad
Consideracionesdeseguridad
y
disponibles para el personal
autorizado
que la confidencialidad
e integridad no se vea
comprometida dentro de los
parmetros de seguridad
Las rdenes de autorizacin
Acceso fsico y lgico slo
al personal autorizado
para el sistema operativo
y sistemas de administra-
cin deben estar de
acuerdo con el rol y las
responsabilidades
Los datos deben estar
disponibles al personal
autorizado en los momen-
tos convenidos como est
especificado en los SLA
OLAs y contratos de
soporte deben reflejar los
controles de seguridad
especificado en los SLA
AdministracindelaDisponibilidad
Asegurarquelasmetasde
disponibilidad son medidas y disponibilidad sonmedidasy
alcanzadasconelfindesatisfacerlos
requerimientosdelnegocio. q g
Monitorearyanalizareventos
referentes a la falta de disponibilidad referentesalafalta dedisponibilidad.
AdministracindelaDisponibilidad
DisciplinaquepermitealadireccindeTI:
Optimizar el uso de los recursos de TI
p
Optimizar elusodelosrecursos deTI
Anticipar ycalcularfallos esperados
Implementarpolticas deseguridad p p g
Monitorear losacuerdosdeservicio.
AdministracindelaContinuidadde
l S i i d TI
Mantenerlacapacidad derecuperacin delos
i i d TI l fi d i f
losServiciosdeTI
serviciosdeTIconelfindesatisfacer
requerimientosytiemposacordadosconel
negocio.
Incluyeactividadesatravsdelciclodevidadel
l f d l l d servicioconelfindeasegurarquelosPlanes de
Recuperacin yContinuidad generadoscontinen
alineadosalasnecesidadesdelnegocio. g
AdministracindelaContinuidad
Reducir elcosto ytiempo derecuperacinencasode
desastre
Aumentarlasposibilidades dequeelnegociosobreviva
despusdesufrirunacatstrofe
Restablecer la normalidad de los servicios en el
AdministracindeIncidentes
Restablecer lanormalidaddelosservicios enel
menortiempoposibleminimizandoelimpactoen
elnegocio.
Evalalosincidentesparadeterminarsies
probable quevuelvanaocurrir osisonsntomade
un problema crnico unproblemacrnico
UsualmentesondetectadosporlaAdministracin
deEventosomediantereportesalServiceDesk.
Debecontarconunaherramientatecnolgicaque
permitaregistrar ymanejar lainformacin
relacionada al ciclo de vida del incidente. relacionadaalciclo devida delincidente.
AdministracindeIncidentes
Impacto x Urgencia = Prioridad Impacto x Urgencia = Prioridad
Impacto: medida de la criticidad de incidente para el negocio.
Comnmente es equivalente al nivel con que un incidente contribuye a la
distorsin o incumplimiento del nivel de servicio acordado o esperado.
Urgencia: el efecto que el incidente tendr en el negocio. Es una
valoracin de la rapidez con la que una incidencia tiene que resolverse
Prioridad de los recursos: asignacin de recursos basados en el
impacto y la urgencia as como la disponibilidad de recursos.
AdministracindeIncidentes:
Clasificacin Clasificacin
Aplicacin
Hardware
Categorizacin del
Aplicacin Aplicacin
Hardware Hardware
Categorizacin del
El saber no
ocupa lugar,
Categorizacin del
Incidente
Categorizacin del
Incidente
pero... Dnde
est?
S id d S id d S id d Seguridad
Solicitud de
Servicio
Seguridad Seguridad
Solicitud de
Servicio
Solicitud de
Servicio
Se deber establecer el tiempo que cada nivel dispone para intentar
AdministracindeIncidentes
Sedeberestablecereltiempoquecadaniveldisponeparaintentar
solucionarelincidenteantesdequedebaescalarlo.
Primer Nivel
de Servicio:
0,5 hora
Segundo Nivel
de Servicio:
1 hora
Cuarto Nivel
de Servicio:
4 horas
Tercer Nivel
de Servicio:
2 horas
Brindar a los usuarios los derechos para acceder
AdministracindelAcceso
Brindaralosusuarioslosderechosparaacceder
aunoomasservicios.
Prevenirelacceso deusuariosnoautorizados.
Contribuye a manejar la confidencialidad Contribuyeamanejarlaconfidencialidad,
disponibilidadylaintegridaddedatosy
propiedadintelectual.
Verificalaidentidadylosderechosdelos
usuariosylosmodificaoeliminadependiendode
cambiosenelnegocio.
REFLEXIONESFINALES
Beneficios
Estratgicos
Mejoralineamientoalenfocarseenelnegocio
Visin ms clara de la capacidad actual de cara a la Visinmsclaradelacapacidadactualdecaraala
estrategiadecumplimiento(circularexterna052,normas,
etc)
Direccionamientoobjetivorespectoalaasignacinfondos j p g
Optimizacindelaestructuraorganizacional
Losstakeholderscompartenunentendimientocomn
Facilitaelaprovecharlasoportunidadesymaximizarlos p p y
beneficiosobtenidos
Establecerunaadministracinapropiadadelosriesgosde
seguridad
38
Beneficios Beneficios
Operativos Tcnicos p
Mayor flexibilidad para adaptarse a los cambios
Aprovechamiento de recursos
Fortalece el compromiso a travs de la integracin y
t d i i d l M j d l estandarizacin de los procesos, Mejora del
ambiente de control interno
Reduccin de costos
Evaluacin objetiva del desempeo de la funcin de j p
seguridad de la informacin y su contribucin con
las estrategias del negocio
Reducir los riesgos y errores
Mejorar la Calidad Mejorar la Calidad
Mejorar la habilidad de administrar y monitorear los
procesos
Mayor productividad
39
Preguntas ? Preguntas ?
Javier Mayorga
Consultor Consultor
javier.mayorga@co.pwc.com
41