Gestió de la Seguretat

Avaluació i Manteniment

Avaluació

No es pot millorar allò que no es coneix, i per això és indispensable avaluar el compliment de les mesures de seguretat, els seus resultats i el compliment dels SLAs.

Tot i que no és imprescindible, es recomana que aquestes avaluacions es complementin amb auditories de seguretat externes i/o internes realitzades per personal independent de la Gestió de la Seguretat.

Aquestes avaluacions/auditories han de valorar el rendiment del procés i proposar millores que es plasmaran en RFCs que hauran de ser avaluats per la Gestió de Canvis.

Independentment d'aquestes avaluacions de caràcter periòdic, s'hauran de generar informes independents cada vegada que es produeixi algun incident greu relacionat amb la seguretat. De nou, si la Gestió de la Seguretat ho considera oportú, aquests informes aniran acompanyats de les RFCs corresponents.

Manteniment

La Gestió de la Seguretat és un procés continu i s'ha de mantenir al dia el Pla de Seguretat i les seccions de seguretat dels SLAs.

Els canvis del Pla de Seguretat i els SLAs poden ser resultat de l'avaluació esmentada abans o de canvis implementats a la infraestructura o serveis TI.

No hi ha res més perillós que la falsa sensació de seguretat que ofereixen mesures de seguretat obsoletes.

També és important que la Gestió de la Seguretat estigui al dia en allò referent a nous riscs i vulnerabilitats davant de virus, spyware, atacs de denegació de servei, etc i que adopti les mesures necessàries d'actualització d'equips de hardware i de software, sense oblidar l'apartat de formació: el factor humà normalment és l'eslavó més dèbil de la cadena.