2. La Biblioteca de Infraestructura de Tecnología de Información (ITIL),
desarrollada a finales de 1980, a la fecha es considerada como una de las
mejores prácticas en la administración y explotación de la infraestructura
de tecnologías de la información (TI)1. ITIL implica diferentes procesos
para llevar a cabo dicha administración, entre los cuales se encuentra la
seguridad de la información, aspecto por demás relevante en el ámbito de
la interacción a través de redes. La biblioteca pertenece a la OGC (Oficina
de Comercio Gubernamental Británica), pero es de libre utilización.
3. Las actividades de la administración de la seguridad están
inmersas en casi todos los procesos de ITIL, debido a que es de
vital importancia dentro de una adecuada administración,
identificar los riesgos asociados al proceso para definir líneas de
acción, con la finalidad de mitigarlos; por lo anterior, cobra especial
relevancia el tópico "Security Management" que forma parte de la
biblioteca.
4. El proceso de administración de la seguridad en ITIL expone, en
primer término, los conceptos básicos de una adecuada
administración de la seguridad de la información; posteriormente, los
relaciona con los demás tópicos de la biblioteca proveyendo, de
manera general, las medidas de seguridad adecuadas que deben ser
implantadas en cada uno de los procesos que lleve a cabo la
administración, y culmina con una guía para administrar la seguridad,
con referencia al Código de Prácticas de Administración de la
Seguridad de la Información (BS7799), versión 1999, desarrollado
por el Instituto de Estándares Británico (British Standards Institute).
Este Código de Prácticas cubre todos los tópicos conocidos del sitio
de Internet del "Handbook Security", de manera muy general.
5. Comprende los siguientes 10 elementos del Código de Prácticas
para la administración de la seguridad de la información:
1. Políticas de seguridad. Proporciona a la alta dirección apoyo
para la seguridad de la información.
2. Organización de la seguridad. Ayuda a administrar la
seguridad de la información dentro de la organización.
3. Clasificación y control de activos. Provee las medidas de
seguridad necesarias para proporcionar una protección
adecuada a los activos de la organización.
4. Seguridad del personal. Necesaria para reducir los riesgos de
errores humanos, robo, fraude o mal uso de las instalaciones y
equipo.
5. Seguridad física y ambiental. Previene el acceso físico no
autorizado a los sistemas de información, así como posibles
daños a las instalaciones y a la información del negocio.
6. 6. Administración de comunicaciones y operaciones. Permite
garantizar la operación correcta y segura de las instalaciones de
procesamiento de la información.
7. Control de acceso. Previene el acceso lógico y cambio, no
autorizado, a la información y a los sistemas de información, otorgando
confidencialidad en la información, para evitar interrupciones en los
procesos normales de producción.
8. Desarrollo y mantenimiento de los sistemas. Permite incorporar la
seguridad a los sistemas de información.
9. Administración de la continuidad del negocio. Contrarresta las
interrupciones a las actividades del negocio y protege los procesos
críticos del negocio contra los efectos causados por fallas mayores o
desastres.
10. Conformidad. Contribuye a evitar infracciones a las leyes civiles,
jurídicas, obligaciones reguladoras o contractuales y cualquier otro
requerimiento de seguridad.
7. Todos estos elementos logran combinarse a través de un enfoque
de procesos, otorgando controles claves y las medidas de
seguridad más importantes que deben considerarse para la
implantación de un Sistema de Gestión de Seguridad; al mismo
tiempo, proporciona un importante conocimiento en cuanto a
seguridad de la información se refiere.
8. ITIL es una metodología que nos va a ayudar a que las cosas se
puedan hacer de una forma más eficiente, ya que lo que se
propone es que se adopten ciertas formas y procedimientos.
El hecho de adoptar mejores practicas implica que no tengamos
que descubrir el hilo negro y que si alguien sabe como hacer las
cosas y explotar los recursos nos podemos apoyar en el para que
nosotros también podamos hacerlo. E mayor objetivo es que todos
lleguemos a un nivel de eficiencia que se traduzca en una buena
prestación de servicios.