Gestió de la Seguretat

Introducció i objectius

Els principals objectius de la Gestió de la Seguretat es resumeixen en:

• Dissenyar una política de seguretat, en col·laboració amb clients i proveïdors correctament alineada amb les necessitats del negoci.
• Garantir el compliment dels estàndards de seguretat acordats.
• Minimitzar els riscs de seguretat que amenacin la continuïtat del servei.

La Gestió de la Seguretat correcta no és responsabilitat (exclusiva) d'"experts en seguretat" que desconeixen els altres processos de negoci. Si caiem en la temptació d'establir la seguretat com una prioritat en si mateixa, limitarem les oportunitats de negoci que ens ofereix el flux d'informació entre els diferents agents implicats i l'obertura de noves xarxes i canals de comunicació.

La Gestió de la Seguretat ha de conèixer en profunditat el negoci i els serveis que ofereix l'organització TI per tal d'establir protocols de seguretat que garanteixin que la informació sigui accessible quan la necessiten els qui tenen autorització per a utilitzar-la.

Quan s'ha entès quins són els requisits de seguretat del negoci, la Gestió de la Seguretat ha de supervisar que aquests es trobin ben plasmats en els SLAs corresponents per, a continuació, garantir el seu compliment.

La Gestió de la Seguretat també ha de tenir en compte els riscs generals als quals està exposada la infraestructura TI, i que no han de figurar necessàriament en un SLA, per garantir, sempre que sigui possible, que no representen un perill per a la continuïtat del servei.

És important que la Gestió de la Seguretat sigui proactiva i que avaluï a priori els riscs de seguretat que poden suposar els canvis realitzats en la infraestructura, noves línees de negoci, etc.

Els principals beneficis d'una Gestió de la Seguretat correcta són:

• S'eviten interrupcions del servei causades per virus, atacs informàtics, etc.
• Es minimitza el número d'incidents.
• Es té accés a la informació quan es necessita i es preserva la integritat de les dades.
• Es preserva la confidencialitat de les dades i la privacitat de clients i usuaris.
• Es compleixen els reglaments sobre protecció de dades.
• Millora la percepció i la confiança de clients i d'usuaris en allò referent a la qualitat del servei.

Les principals dificultats a l'hora d'implementar la Gestió de la Seguretat es resumeixen en:

• No existeix el suficient compromís per part de tots els membres de l'organització TI amb el procés.
• S'estableixen polítiques de seguretat excessivament restrictives que afecten negativament al negoci.
• No es disposa de les eines necessàries per a monitoritzar i garantir la seguretat del servei (firewalls, antivirus, ...).
• El personal no rep una formació adequada per a l'aplicació dels protocols de seguretat.
• Manca de coordinació entre els diferents processos, que impedeix una correcta avaluació dels riscs.