La gestión del nivel de seguridad ( SLM ) comprende un sistema de garantía de calidad para la seguridad de la información electrónica.
El objetivo de SLM es mostrar el estado de seguridad de TI de forma transparente en toda la empresa en cualquier momento y hacer de la seguridad de TI una cantidad mensurable. La transparencia y la mensurabilidad forman los requisitos previos para hacer que la seguridad de TI se pueda monitorear de manera proactiva, de modo que pueda mejorarse continuamente.
El SLM está orientado hacia las fases del ciclo de Deming / Planificar-Hacer-Verificar-Actuar (PDCA): dentro del alcance del SLM, las políticas de seguridad abstractas o las pautas de cumplimiento de una empresa se trasponen a especificaciones operativas y medibles para la infraestructura de seguridad de TI. . Los objetivos operativos conforman el nivel de seguridad a alcanzar.
El nivel de seguridad se compara permanentemente con el rendimiento actual de los sistemas de seguridad (escáner de malware, sistemas de parches, etc.). Las desviaciones se pueden reconocer desde el principio y se pueden realizar ajustes en el sistema de seguridad. SLM se enmarca dentro del rango de funciones del director de seguridad (CSO), el director de información (CIO) o el director de seguridad de la información (CISO), quienes informan directamente al Consejo Ejecutivo sobre seguridad de TI y disponibilidad de datos.
Clasificación
SLM está relacionado con las disciplinas de Seguridad y Gestión de Eventos de Seguridad (SIEM), que los analistas de Gartner resumen en su Cuadrante Mágico para la Gestión de Eventos e Información de Seguridad, y definen de la siguiente manera: "[…] SIM proporciona informes y análisis de datos principalmente de sistemas host y aplicaciones, y en segundo lugar desde dispositivos de seguridad - para respaldar la gestión de cumplimiento de políticas de seguridad, gestión de amenazas internas e iniciativas de cumplimiento normativo. SIM respalda las actividades de supervisión y gestión de incidentes de la organización de seguridad de TI […]. SEM mejora las capacidades de respuesta a incidentes de seguridad. SEM procesa datos casi en tiempo real de dispositivos de seguridad, dispositivos de red y sistemas para proporcionar administración de eventos en tiempo real para operaciones de seguridad. […] "
SIM y SEM se relacionan con la infraestructura para la realización de objetivos de seguridad superiores, pero no son descriptivos de un sistema de gestión estratégica con objetivos, medidas, revisiones y acciones que se derivarán de ello. SLM reúne los pasos necesarios para realizar una estructura de seguridad de TI funcional y medible en un ciclo de control de gestión.
SLM puede clasificarse bajo la panoplia estratégica de gobierno de TI, que, a través de estructuras y procesos organizativos adecuados, asegura que TI respalde la estrategia y los objetivos corporativos. SLM permite a las OSC, CIO y CISO demostrar que SLM está contribuyendo a proteger adecuadamente los datos electrónicos relevantes para los procesos y, por lo tanto, contribuye en parte al gobierno de TI.
Los pasos hacia el SLM
Definición del nivel de seguridad (plan): cada empresa especifica las políticas de seguridad. La dirección ejecutiva define objetivos en relación con la integridad, confidencialidad, disponibilidad y autoridad de los datos clasificados. Para poder verificar el cumplimiento de estas especificaciones, los objetivos concretos para los sistemas de seguridad individuales de la empresa deben derivarse de las políticas de seguridad abstractas. Un nivel de seguridad consiste en una colección de valores límite y umbral medibles.
Ejemplo: objetivos operativos como "los sistemas antivirus en nuestros sitios del Reino Unido deben estar actualizados no más de cuatro horas después de la publicación de la definición actual" deben derivarse de políticas de seguridad superiores como "nuestros empleados deberían poder trabajar sin ser interrumpido ".
Los valores límite y umbral deben especificarse por separado e individualmente para diferentes sitios, ubicaciones y países, porque la infraestructura de TI en el sitio y cualquier otro factor determinante local deben tenerse en cuenta.
Ejemplo: los edificios de oficinas en el Reino Unido normalmente están equipados con líneas dedicadas de alta velocidad. En este caso, es totalmente realista limitar el plazo para suministrar a todas las computadoras las definiciones antivirus más recientes a unas pocas horas. Para una fábrica en Asia, con un enlace de módem lento a la web, debería establecerse un valor límite realista que sea algo más alto.
El manual de control de TI Control Objectives for Information and Related Technology Cobit ( CobiT ) proporciona a las empresas instrucciones sobre la transposición de objetivos abstractos subordinados en objetivos medibles en unos pocos pasos.
Recopilación y análisis de datos (Do): la información sobre el estado actual de los sistemas se puede obtener del archivo de registro y los informes de estado proporcionados por las consolas antivirus, antispyware o antispam individuales. Las soluciones de supervisión y generación de informes que analizan las aplicaciones de software de todas las empresas de software pueden simplificar y acelerar la recopilación de datos.
Comprobación del nivel de seguridad (comprobación): SLM prescribe la conciliación continua del nivel de seguridad definido con los valores medidos actuales. La reconciliación automatizada en tiempo real proporciona a las empresas un informe de estado permanente sobre el estado de seguridad en todas las ubicaciones.
Ajuste de la estructura de seguridad (Act): SLM eficiente permite realizar análisis de tendencias y evaluaciones comparativas a largo plazo. Mediante la observación continua del nivel de seguridad, los puntos débiles de la red se pueden identificar desde el principio y se pueden realizar los ajustes apropiados de forma proactiva en los sistemas de seguridad.
Ver también
Además de definir las especificaciones de ingeniería, introducir, operar, monitorear, mantener y mejorar un sistema de gestión de seguridad de la información documentado, ISO / IEC 27001 también define las especificaciones para implementar mecanismos de seguridad adecuados.
ITIL , una colección de mejores prácticas para los procesos de control de TI, va mucho más allá de la seguridad de TI. En relación con esto, proporciona criterios sobre cómo los oficiales de seguridad pueden concebir la seguridad de TI como un servicio independiente y cuantificable cualitativamente e integrarla en el universo de procesos de TI orientados a procesos de negocio. ITIL también trabaja de arriba hacia abajo con políticas, procesos, procedimientos e instrucciones relacionadas con el trabajo, y asume que tanto los objetivos superiores como los operativos deben ser planificados, implementados, controlados, evaluados y ajustados.
enlaces externos
- COBIT:
- Resumen y material del Capítulo Alemán de ISACA - Alemán
- 4.0 Deutsch.pdf Cobit 4.0 - Alemán
- ISO / IEC 27000
- El directorio ISO 27000
- Organización Internacional de Normalización
- ITIL
- "ITIL and Information Security" (ITIL und Informationssicherheit), Oficina Federal de Seguridad de la Información (BSI), Alemania - Alemán
- "Cómo ITIL puede mejorar la seguridad de la información", securityfocus.com - Inglés
- Sitio web oficial de ITIL de la Oficina Británica de Comercio Gubernamental - Inglés