photo credit: photosteve101 via photopin cc |
La
seguridad informática abarca una importante cantidad de aspectos sobre los
cuales se establecen políticas, métricas, controles, procesos, etcétera;
indiscutiblemente las redes no están exentas de esta situación y se encuentran
sometidas a los lineamientos establecidos por diferentes organizaciones de
carácter nacional e internacional, las cuales no solo tienen acciones de
control, también lo hacen como guías para que las empresas. En las siguientes
líneas se describirá de forma general como las distintas entidades (y más
puntualmente las normas) se relacionan o aplican a las redes de datos:
·
ITIL:
Corresponde con una serie de buenas prácticas que deben ser consideradas en IT
de una empresa u organización. ITIL pertenece a la OCG (Oficina de Comercio del
Gobierno Británico). Algunas de estas prácticas son aplicables a todos los
aspectos de la informática:
o
Gestión
de incidentes y problemas: La
organización debe estar preparada para afrontar los inconvenientes que se
presenten, documentarse correctamente, etcétera.
o
Gestión
de cambios y versiones: Todo evoluciona, la evolución implica cambios, pero los
cambios no se pueden aplicar sin un control, seguimiento o preparación
adecuada, incluso cuando de actualizaciones se habla.
o
Gestión
de configuración: La configuración del sistema afecta la seguridad, mantener un
control y documentación de la configuración de la red es vital.
o
Gestión de disponibilidad: Mantener la red en
funcionamiento, disponible y dando acceso a los servicios es importante.
·
COBIT:
Los objetivos de control para la información y Tecnología son aplicables a las
redes e igualmente se componen de buenas
prácticas y está asociado a la ISACA (Asociación para la Auditoría y Control de
Sistemas de Información) y el IT Governance Institute. Lo que se busca principalmente con COBIT es
establecer objetivos de control para la tecnología de la información. Se puede
considerar como objetivos de control, entre otros, los siguientes:
o
Disponibilidad
de los servicios.
o
Adecuación
y evolución de la capacidad de la infraestructura.
o
Consolidación
y control de gastos financieros.
o
Conocimiento
del usuario.
o
Mejora
continua y medible en TI.
o
Satisfacción
de los requisitos del usuario.
o
Optimización
del desempeño de la infraestructura.
o
Salvaguarda
de la información y su uso eficiente.
o
Resolución
de incidentes y seguimiento.
o
Cumplimiento
de leyes y regulaciones.
·
ISO\IEC
27000: Es quizás lo más conocido a nivel de Seguridad de la Información y
corresponde con los estándares establecidos por la Organización Internacional de
Normalización (ISO) y la Comisión
Electrónica Internacional (IEC). Este conjunto de normas incluye entre otras
cosas una seria de directrices relacionadas con las comunicaciones y las
operaciones, y más puntualmente los siguientes ítems:
o
10.6.
Gestión de Seguridad en Redes: Busca asegurar la protección de la información
en redes y la protección de la infraestructura de soporte, incluyendo los
controles para la protección de la información.
o
10.7.
Monitoreo: Se enfoca en la detección de actividades de procesamiento de la
información no autorizadas.
No obstante la
ISO\IEC es mucho más amplia y abarca muchos aspectos igualmente aplicables a
las redes de datos (igual sucede con COBIT e ITIL).
Aunque
existen otras organizaciones o entidades que pueden intervenir en la seguridad
en redes las tres mencionadas suelen ser las principales y más conocidas y
aplicadas en el entorno empresarial, especialmente por la ISO\IEC 27000.
Incluso es probable que aplicar una de estas sea suficiente para asegurar que
la empresa cumple con las políticas necesarias para ser considerada una entidad
que brinda un nivel de seguridad informático aceptable o incluso bastante
bueno, por lo que aplicar dos o más es casi una garantía de la excelencia de la
compañía en estos aspectos.
photo credit: photosteve101 via photopin cc
No hay comentarios:
Publicar un comentario