Gestió de la Seguretat
Política de Seguretat
És imprescindible disposar d'un marc general en el qual encabir tots els subprocessos associats a la Gestió de la Seguretat. La seva complexitat i les intricades interrelacions necessiten una política global clara on es fixin aspectes com els objectius, les responsabilitats i els recursos.
En particular, la Política de Seguretat ha de determinar:
- La relació amb la política general del negoci.
- La coordinació amb els altres processos TI.
- Els protocols d'accés a la informació.
- Els procediments d'anàlisi de riscs.
- Els programes de formació.
- El nivell de monitorització de la seguretat.
- Quins informes s'han d'emetre periòdicament.
- L'abast del Pla de Seguretat.
- L'estructura i els responsables del procés de Gestió de la Seguretat.
- Els processos i procediments utilitzats.
- Els responsables de cada subprocés.
- Els auditors externs i interns de seguretat.
- Els recursos necessaris: software, hardware i personal.
Pla de Seguretat
L'objectiu del Pla de Seguretat és fixar els nivells de seguretat que s'han d'incloure als SLAs, OLAs i UCs.
Aquest pla s'ha de desenvolupar en col·laboració amb la Gestió de Nivells de Servei, que és la responsable en darrera instància tant de la qualitat del servei prestat als clients com de la del servei rebut per la pròpia organització TI i els proveïdors externs.
El Pla de Seguretat ha de dissenyar-se per oferir un millor i més segur servei al client i mai com un obstacle per al desenvolupament de les seves activitats de negoci.
Sempre que sigui possible, cal definir mètriques i indicadors claus que permetin avaluar els nivells de seguretat acordats.
Un aspecte essencial que cal tenir en compte és l'establiment d'uns protocols de seguretat coherents a totes les fases del servei i per a tots els estaments implicats. "Una cadena és tant resistent com el més dèbil dels seus eslavons", així que no té sentit, per exemple, establir unes estrictes normes d'accés si una aplicació te vulnerabilitats davant d'injeccions de SQL. Potser amb això podrem enganyar algun client durant algun temps, oferint la imatge de "fortalesa", però això valdrà poc si algú descobreix que la "porta de darrera està oberta".
