ITIL - Gestión de la seguridad de la información

Information Security Management (ISM)garantiza la confidencialidad, autenticidad, no repudio, integridad y disponibilidad de los datos de la organización y los servicios de TI. También asegura un uso razonable de los recursos de información de la organización y una gestión adecuada de los riesgos de seguridad de la información.

Information Security Manager is the process owner of this process.

Se considera que la seguridad de la información se cumple cuando:

  • La información se observa o divulga solo sobre personas autorizadas

  • La información es completa, precisa y está protegida contra el acceso no autorizado (integridad)

  • La información está disponible y se puede utilizar cuando se requiere, y los sistemas que proporcionan la información resisten los ataques y se recuperan o evitan fallas (disponibilidad)

  • Se puede confiar en las transacciones comerciales y los intercambios de información entre empresas o con socios (autenticidad y no repudio)

Política de seguridad de ISM

Es necesario para que las políticas de seguridad de ISM cubran todas las áreas de seguridad, sean apropiadas, satisfagan las necesidades del negocio y deben incluir las políticas que se muestran en el siguiente diagrama:

Marco ISM

Proceso ISM

El siguiente diagrama muestra todo el proceso de Gestión de la seguridad de la información (ISM):

Elementos clave en el marco ISM

El marco de ISM incluye los siguientes elementos clave:

Controlar

El objetivo del elemento de control es:

  • Establecer una estructura organizativa para preparar, aprobar e implementar la política de seguridad de la información.

  • Asignar responsabilidades

  • Establecer y controlar la documentación

Plan

El propósito de este elemento es diseñar y recomendar las medidas de seguridad adecuadas, basándose en el conocimiento de los requisitos de la organización.

Implementar

Este elemento clave asegura que existen procedimientos, herramientas y controles adecuados para respaldar la política de seguridad.

Evaluación

El objetivo del elemento de evaluación es:

  • Realizar auditorías periódicas de la seguridad técnica de los sistemas informáticos.

  • Supervisar y verificar el cumplimiento de la política de seguridad y los requisitos de seguridad en SLA y OLA

Mantener

El objetivo del elemento Maintain es:

  • Mejorar los acuerdos de seguridad como se especifica en, por ejemplo, SLA y OLA

  • Mejorar la implementación de medidas y controles de seguridad

Preventivo

Este elemento clave garantiza la prevención de incidentes de seguridad. Medidas como el control de derechos de acceso, autorización, identificación y autenticación y control de acceso son necesarias para que estas medidas preventivas de seguridad sean efectivas.

Reductora

Se trata de minimizar los posibles daños que puedan producirse.

detective

Es importante detectar cualquier incidente de seguridad lo antes posible.

Represivo

Esta medida se utiliza para contrarrestar cualquier repetición de incidente de seguridad.

Correctivo

Esta medida asegura que el daño sea reparado en la medida de lo posible.