Sistema de Gestión de servicios de TI
ISO /IEC 20000-1:2011 Norma Internacional que establece los requisitos para dirigir y controlar las actividades de la gestión del servicio.
El sistema de gestión es un conjunto de elementos interrelacionados o que interactúan para establecer políticas, objetivos y alcanzarlos para el diseño, transición, entrega y mejora de los servicios
2. SISTEMA DE GESTIÓN DE SERVICIOS DE T.I.
▲ ISO/IEC
▲
▲
20000-1:2011
Norma internacional que establece los requisitos para dirigir y
controlar las actividades de la gestión del servicio.
El sistema de gestión es un conjunto de
elementos interrelacionados o que interactúan
para establecer políticas, objetivos y
alcanzarlos para el diseño, transición, entrega
y mejora de los servicios
4. Gestión de Relación con el negocio
▲ Identificar
y documentar los clientes,
usuarios y partes interesadas de los
servicios.
▲
▲
Mecanismo de comunicación con el
cliente
Promover el entendimiento del entorno
de negocio
▲
Gestionar las quejas
▲
Medir la satisfacción del cliente
Permite responder
a las necesidades
del cliente
5. Diseño y Transición de Servicios Nuevos o Modificados
▲
Planificación y diseño de actividades para el
servicio nuevo o modificado:
►
►
►
►
►
►
►
Identificar requisitos
Identificar y valorar los riesgos
Requisitos sobre los recursos
Tecnología utilizada
Dependencias de otros servicios
Pruebas
Capacitación
6. Gestión de Niveles de Servicio
▲ ¿Qué
Servicios ofrece Facebook?
Muro: Es un espacio en cada perfil de
usuario que permite que los amigos
escriban mensajes para que el usuario
los vea. Sólo es visible para usuarios
Lista de amigos: En ella, el usuario puede agregar
registrados.
Permite
ingresar
a cualquier persona que conozca y esté registrada,
imágenes yacepte sucualquier 1tipo de
siempre que poner invitación. En Facebook se
logotipos en tu amigos con quienes se perdió el
pueden localizar publicación.
contacto o agregar otros nuevos con quienes
Botón me fotos o función aparece en la parte
intercambiar gusta: Esta mensajes. Para ello, el
inferior de Facebook posee herramientas de
servidor de cada publicación hecha por el usuario o
sus contactos. Permite valorar si el
búsqueda y de sugerencia de amigos. contenido es del
agrado del usuario actual en la red social, del mismo
modo se notifica a la persona que expuso ese tema
originalmente si es del agrado del alguien más
(alguno de sus contactos)
Catálogo
de Servicio
7. Gestión de Niveles de Servicio
Acuerdo de Nivel de
Servicio - SLA
Al usar o al acceder a Facebook, muestras
tu conformidad con esta Declaración
▲ Requisitos
del servicio
▲ Características
del servicio
▲ Excepciones
▲ Cargas
de trabajo
Privacidad, Compartir contenido,
publicidad etc..
Das tu consentimiento para que tus datos
personales sean transferidos y procesados en
Estados Unidos.
Disponbilidad 99.65%
8. Informes del Servicio
1 MINUTO en Facebook
66, 168
82, 557
135, 849
Fotos Etiquetadas
Fotos Subidas
Actualización de Estado
382, 681
Clics en el botón Me gusta
510, 404
Comentarios
79, 364
50, 304
Links compartidos
Post en el muro
9. Gestión de Capacidad
Actual
• 900 millones de
usuarios
• 50% conectándose
diario
• 9 centros de datos
• 30 billones de
elementos de
contenido
Futura
• 1 billón de usuarios
• 2do Campus en
Menlo
• Crecimiento del 19%
• Facebook Home
• Compra e integración
de otras aplicaciones
10. Gestión de Configuración
¿Qué infraestructura necesita
Facebook para mantener la red?
Definir
y
controlar
los
componentes del servicio y de la
infraestructura,
y
mantener
información precisa sobre la
configuración. del servicio
a
través de una Base de datos de
Configuración que contenga:
▲9
centros de datos, 60,000
servidores incluyendo:
►
Sistemas de energía
►
Sistema de climatización
Ancho de banda requerido
►
CMDB
Espacio físico especial
►
a) Ubicación
b)Descripción
c) Relaciones
d)Ubicación
e) Estatus
►
Sistema operativo
►
Cableado
Personal Técnico
►
Proceso de control que apoya a otros procesos
11. Gestión de proveedores
▲ Contrato
documentado.
▲
Requisitos del servicio
▲
Características del servicio
▲
Excepciones y penalizaciones
▲
Cargas de trabajo
▲
Gestionar los proveedores para
garantizar
la
provisión
sin
interrupciones de servicios
Roles y responsabilidades
▲ Revisiones
▲ Disputas
del desempeño del proveedor.
contractuales
12. Gestión de seguridad de la información
Gestionar la seguridad de la
información de manera eficaz para
todas las actividades del servicio.
Política de Seguridad de la
información
Gestión de riesgos
Controles de Seguridad
Incidentes de Seguridad
http://www.facebook.com/security
http://www.facebook.com/safety/tools/
▲ Protege tu cuenta. Como siempre,
▲ Denuncia contenido ofensivo o
▲ abusivo recomendamos que
Aplicaciones: Debido acerca
nosotros Infórmanos al gran de
▲ Desconexión remota
éxito de las aplicaciones en
cambies contenido que suponga
cualquier tu contraseña
Utiliza la desconexión que te para
Facebook, los para datos
▲ una infracciónuso lasremota
Política de de de Condiciones
periódicamenteciberdelincuentes
cerrar►Facebook.aplicaciones con el y
crean falsas Las recibimos
mantengas seguro ende Facebook
de cualquier sesión denuncias son
Qué información línea.
queControl dese utiliza alusuario una
hayas dejado activa en y en
objetivo de los El
▲ confidenciales. usuarios que
cómo engañar usuario
computadora o tu información
obtener no
o
cuestión ver dispositivo, como en
sabrá
que
lo
pueden información confidencial y
► Cómo compartes contenido
un cibercafé o en casa de un amigo.
privada.
denunciaste.
▲ Utiliza la configuración de en
cómo se te encuentra
▲▲Navegaciónenviada laa quién
Amigos: Ten cuidado quién
▲ Una Facebook controlar denuncia,
vez segura
privacidad para
agregas como amigo. frecuencia
Si investigaremospíxeles y otras
utilizas ver tu biografía y tus
con caso
puede Facebook el En Internet y
► Cookies,
todo el mundo
siempre es
determinaremosnosi el contenido
desde redes públicas sistema
publicaciones. del no seguras,
tecnologías
quién
debe o de los aeropuertos o
no eliminarse tomando
como lasdice ser.
▲ Bloqueo de usuarioslos anuncios
► Cómo funcionan
cibercafés,referencia en Condiciones
piensa
▲ como
Enlaces: Muchoslas habilitar la
▲ Si una las historias patrocinadas o
te está acosando
y persona Investigamos cada
de Facebook.
navegación segura de Facebook o
ciberdelincuentes aprovechan las
si no deseas que te pueda seguir
una
HTTPS. de las para publicar falsas
redes sociales denuncias para
viendo en Facebook, puedes
determinar cuál es sugerentesde
noticias con asuntos la línea y
bloquearla en tu biografía.
acción adecuada. maliciosas..
enlaces a páginas
13. Gestión de Continuidad y disponibilidad
Fuentes de energía alternas – básicamente
no-breaks en escala industrial .
Sistemas
de
almacenamiento,
procesamiento y recuperación redundantes
por triplicado o cuadruplicado.
Alta
disponibilidad
99.6 % funcionando
24X7x365
En cada 90 servidores montados en 3
columnas de 30 hay un sistema de
alimentación de emergencia.
¿Qué significa esto?
Básicamente que la información se está replicando y
almacenando constantemente para que en caso de
problemas no se pierda nada y el servicio SIEMPRE esté
disponible.
Cuenta con un área de investigación para que sus centros de datos sean más eficiente |Open Compute Project
14. Gestión de incidentes y solicitudes del servicio
Restaurar el servicio acordado con el
negocio tan pronto como sea posible y
atender todas las solicitudes de servicio
Registro
Asignación de prioridad
Tipos de incidentes
Clasificación
Escalamiento
Procedimiento
de incidentes
Actualización de registros;
Resolución
Comunicación del incidente
Cierre
15. Gestión de Problemas
identificar problemas y minimizar o eliminar el
impacto de los incidentes y problemas.
Registro
Problemas
Clasificación
Actualización de registros;
Publicaciones imprevistas
No puedo eliminar información
No puedo acceder a mis aplicaciones
La aplicación se ejecuta lentamente
De carácter legal
Registro de errores conocidos
http://www.facebook.com/he
lp/272381452882351/
Escalamiento
Procedimiento
de problemas
Resolución
Cierre
Analizar los datos y tendencias sobre los
incidentes y problemas para identificar la causa
raíz.
16. Gestión de Cambios
¿Cambios?
2004Primera versión de The Facebook
2007App: Aplicación de Facebook en móviles
2008 Fotos: Etiquetar fotos
2008 Chat: Conversaciones en línea
2009 Ubicación: Publicar la ubicación actual,
lugares favoritos etc..
2009 Apareció el botón me gusta
2011 Biografía . tiene como objetivo agilizar y
optimizar el paseo de los usuarios por los
perfiles de todos los contactos.
2012 Integración de aplicaciones
17. Gestión de liberación y despligue
▲
Entregar, distribuir y
realizar el seguimiento de
uno o más cambios en la
entrega en el entorno de
producción real.
Planificar el despliegue del
servicio nuevo o modificado
▲
Probar el despliegue
▲
Plan de retorno
▲
Revisar el éxito o fallas
de las liberaciones
18. Gestión de la capacidad
Gestión de la continuidad y
disponibilidad
Gestión de la Seguridad
Gestión de presupuesto y
contabilidad de TI
Gestión de incidentes
Gestión de problemas
Gestión de relación con
proveedores
Gestión de cambios
Gestión la entrega
Gestión de la
configuración
Gestión de niveles de
servicio
Gestión de relaciones con
el negocio
Cliente / Negocio
ISO/IEC 20000-1
19. SISTEMAS DE GESTIÓN DE SEGURIDAD DE
INFORMACIÓN
Sistema de
Gestión de
Seguridad de
la Información
ISO/IEC 27001I
▲
▲
▲
▲
▲
▲
Identifica amenazas y vulnerabilidades
Realiza un análisis de riesgos
Identifica las medidas de seguridad que tienes
Implementa controles
Opera u mantiene tu seguridad
Revisa tus contarles
Garantizar
la
confidencialidad,
integridad y disponibilidad de la
información que es pieza clave de las
operaciones de negocio
Disminuye la posibilidad de que
existan vulneraciones que
comprometan la información
mediante la implementación de
controles que den tratamiento a lo
riesgos.
20. ¿Cómo empezar?
▲
Identifique las posibles amenazas a las que esta expuesta
organización
Terremotos / Sismos
Incendios
Inundaciones
Ambientales
Hackers
!
Usuarios descuidados
Usuarios malintencionados
Riesgos
Espías
¿Cómo te
afectan?
Pérdida de Activos
21. Valora y Clasifica los riesgos
Físico
Personas
Acceso a edificios y
cerraduras
Ingeniería social
Sistemas /
Redes
Sistemas operativos
Aplicaciones
Web (.net, php, xml,
http/s)
Bases de datos
CCTV y sistemas de
identificación
Concientización de
seguridad
Auditorías fuera de
horas de trabajo
Simulaciones de
Phishing
Routers, Switches,
Firewalls y VPN
VoIP / telefonía
Java, C++ y revisión de
código
Pruebas con y sin
credenciales de acceso
reales
Equipo portátil /móvil
Intervención de
comunicaciones y
redes inalámbricas
Redes sociales y
políticas de publicación
Denegación de Servicio
Asegurar aplicaciones
de terceros
22. ¿Cómo empezar?
▲
Identifique qué medidas de seguridad tiene contra esos riesgos
Medidas de Seguridad
Existentes
Recepción ✓
Vigilancia, Cámaras ✓
Tarjetas de proximidad ✓
Reglamento interno ✓
Alarma sísmica X
Aspersores de humo X
Intranet, usuario y contraseñas ✓
Antivirus ✓
Respaldos X
23. Análisis
de
Riesgos
¿Cómo empezar?
▲
Compare las medidas de seguridad y amenazas identificadas
con los controles del Anexo A de la norma
Numeral
A.9.1.2
Control
Amenaza Identificada
Controles físicos de entrada
Espías
Usuarios malintencionados
Medida de seguridad
identificadas
Nivel de
Riesgo
Recepción ✓
Vigilancia, Cámaras ✓
ALTO
Tarjetas de proximidad ✓
A.9.1.4
Protección contra las amenazas
externas y de origen ambiental
Terremotos
Incendios
Alarma sísmica X
Aspersores de humo X
A.11.2.3
Gestión de contraseñas de usuario
Espías
Usuario y contraseñas en
aplicaciones ✓
ALTO
A.11.7.1
Computadoras portátiles y
comunicaciones móviles
Pérdida de activos
Respaldos X
ALTO
A.13.1.1
Notificación de los eventos de
seguridad de la información
?
?
MEDIO
?
¿Habías considerado alguna amenaza y medida para el control?
¿Aplica en tu organización?
¿Las medidas de seguridad son suficientes para mitigar el
riesgo?
24. Anexo A
133 CONTROLES
A.5
A.6
A.7
A.8
A.9
A.10
A.11
A.12
A.13
A.14
A.15
Política de seguridad
Aspectos organizativos de la seguridad de la información
Gestión de activos
Seguridad ligada a los recursos humanos
Seguridad física y ambiental
Gestión de comunicaciones y operaciones
Control de acceso
Adquisición, desarrollo y mantenimiento de los sistemas de
información
Gestión de incidentes de seguridad de la información
Gestión de la continuidad del negocio
Cumplimiento
ADMINISTRATIVOS
FÍSICOS
TÉCNICOS
25. ¿Cómo empezar?
▲
Elabore la declaración de aplicabilidad (SOA)
Numeral
Control
A.9.1.2
Controles físicos de entrada
A.9.1.4
Protección contra las amenazas
externas y de origen ambiental
Aplicabilidad
SI
SI
Estado
Implementado
No implementado
Implementado
Justificación
Este control ayuda a mitigar los riesgos
derivados de amenazas de personas externas
como hackers o especias.
Este control ayuda a mitigar los riesgos
derivados de amenazas de origen ambiental
como incendios y terremotos.
Este control ayuda a mitigar los riesgos
derivados de amenazas de usuarios
malintencionados . Ayuda a proteger la
información electrónica de la organización.
A.11.2.3
Gestión de contraseñas de usuario
SI
A.11.7.1
Computadoras portátiles y
comunicaciones móviles
SI
A.13.1.1
Notificación de los eventos de
seguridad de la información
SI
No implementado
Este control ayuda a mantener registros de
los eventos de seguridad para que se
analicen y se pueda mejorar la seguridad de
la organización.
A.10.9.1
Comercio Electrónico
NO
No implementado
La organización no realiza comercio
electrónico.
No implementado
Este control ayuda a mitigar los riesgos
derivados de amenazas sobre la pérdida de
información en equipo portátil.
Versión 1. Fecha de publicación 27 de agosto de 2013
26. ¿Cómo empezar?
▲
Elabore el plan de tratamiento de riesgos para cada
control qué aplique en tu organización
Numeral
A.9.1.2
Control
Controles físicos de entrada
Amenazas
Numeral
A.11.7.1
Control
Espías
Usuarios malintencionados
Computadoras portátiles y comunicaciones
móviles
Amenazas
Pérdida de activos
Nivel de
riesgo
Alto
Nivel de riesgo
Medio
Tratamiento
Mitigar
Tratamiento
Mitigar
Medidas de
Seguridad
Recepción , Vigilancia, Cámaras
Tarjetas de proximidad
Medidas de
Seguridad
Respaldos
Documentos
Manuales técnicos
Documentos
Política de uso de activos
Procedimiento para realizar los respaldos
Métrica - KPI
(# de incidentes relacionados /Total de
ingresos relacionados )*100
Métrica - KPI
(# Incidentes relacionados/Total de equipo
móvil) *100
Responsable
Responsable de Servicios Generales
Responsable
Responsable de infraestructura
Estado
Implementado
Estado
No implementado
27. ¿Cómo empezar?
Plan de tratamiento
Numeral
A.9.1.2
Control
Controles físicos de entrada
Amenazas
Alto
Tratamiento
Mitigar
Opere y revise las medidas de
seguridad
Espías
Usuarios malintencionados
Nivel de riesgo
▲
Incidentes relacionados
•
•
•
Los visitantes no portaban Gafete
Ingreso de discos externos (prohibidos)
Robo de una laptop
Ineficacia
Utilizando el KPI
Medidas de
Seguridad
Recepción , Vigilancia, Cámaras
Tarjetas de proximidad
Documentos
Manuales técnicos
Métrica - KPI
(# de incidentes relacionados /Total
de ingresos relacionados )*100
Responsable
Responsable de Servicios Generales
Estado
Implementado
Actualizar el análisis de riesgos y SOA
Nivel de Eficacia
▲
(3/10)*100 = 30%
70%
Realice acciones de mejora
Se implementaranlas siguientes medidas de seguridad
• El personal de vigilancia realizará rondines por las instalaciones,
y registrará cualquier anomalía.
• Al ingresar y Salir de las instalaciones se deberá realizar una
revisión a mochilas, bolsas maletines para ver que solo lo
ingresado sea lo mismo al momento de salir .
• Capacitar al personal de vigilancia sobre la importancia de
Seguridad de la información
28. GRACIAS !
Mayté RUPERTO LÓPEZ
Auditora Líder
de Sistemas de Gestión
1204 5191 Ext. 425
mruperto@nyce.org.mx