Valoración
  • Actualmente 3.5 de 5 Estrellas.
Tu valoración
  • Actualmente 3.5 de 5 Estrellas.
  • 1
  • 2
  • 3
  • 4
  • 5
OPINIÓN

Elena Ruiz Larrocha, Doctora en Ingeniería Informática. Profesora de la ETSI de Informática de la UNED

Misitileon: Propuesta para solucionar las carencias de ITIL® en la Gestión de la Seguridad de la Información

Este trabajo describe lo que se cree que es una laguna en la Gestión de la Seguridad por parte de uno de los más conocidos estándares de facto a nivel mundial en el ámbito de la Gestión de los Servicios TI, ITIL® (Information Technology Infrastructure Library). Además de incluir un detallado proceso de seguridad, la metodología que se presenta (Misitileon) permite a las pymes adaptar ITIL a las gestión de sus servicios TI.

Todas las organizaciones dependen de los servicios TI (Tecnologías de la Información) para satisfacer sus objetivos corporativos y cubrir sus necesidades de negocio [1] [2] [3]. Esta tendencia ha hecho que la Gestión de los Servicios TI se convierta en un factor decisivo para el éxito o fracaso de muchas empresas. Una de las causas del incremento de los costes en los servicios TI y de la baja calidad de los mismos se debe a la inadecuada Gestión de los Servicios TI [1].

Existen varios estándares y metodologías ampliamente aceptados que se emplean para alinear los departamentos de TI con el negocio. Uno de los más extendidos es ITIL® (Information Technology Infrastructure Library) [4]. ITIL es el marco para la Gestión de Servicios TI más aceptado a nivel mundial. ITIL ofrece un conjunto de mejores prácticas que han demostrado tener éxito en los sectores público y privado a nivel internacional.

El trabajo que se presenta está organizado de la manera siguiente. En primer lugar, se ofrece una pequeña introducción a ITIL (en sus dos versiones vigentes 2 y 3) y a ISO 20000. La siguiente sección trata de la Gestión de la Seguridad, que es el eje central de este trabajo. Después de ello, se describe la metodología planteada Misitileon (Metodología que Integra Seguridad en ITIL Evolucionada y Orientada a la Normalización) ofreciendo dos posibles enfoques de la solución de Seguridad, para acabar seleccionando uno de ellos. Finalmente, se presenta un caso práctico, los resultados y las conclusiones extraídas de toda esta investigación.

ITIL® Versión 2

ITIL nació en los años 80 desarrollado por una iniciativa del gobierno británico (Office of Government Commerce -OGC UK-) [2] [3]. Ofrece un conjunto de detalladas descripciones de mejores prácticas, agrupadas en una serie de libros, que muestran extensas listas de roles, tareas, procedimientos y responsabilidades que, en teoría, pueden adaptarse a la TI de casi cualquier tipo de organización. La enorme cantidad de temas que cubren dichas publicaciones hacen de ITIL una referencia para establecer nuevos objetivos de mejora dentro de la organización TI.

ITIL Versión 2 (que apareció a finales de los 90) tiene dos grandes módulos: Service Support (Soporte del Servicio) y Service Delivery (Entrega del Servicio). Los otros cuatro libros de ITIL versión 2 (Planning to Implement Service Management, The Business Perspective, ICT Infrastructure Management y Application Management) no tienen la misma importancia que los dos libros centrales mencionados, por lo que están fuera del alcance de esta investigación.

Dentro del módulo de Soporte del Servicio hay seis partes, cinco procesos y una función: Gestión del Incidente, Gestión del Problema, Gestión de la Configuración, Gestión del Cambio, Gestión de la Versión y una función de vital importancia: el Service Desk o Centro de Atención al Usuario. Dentro del módulo de Entrega del Servicio se encuentran las siguientes seis partes: Gestión del Nivel de Servicio, Gestión Financiera de los Servicios de TI, Gestión de la Capacidad, Gestión de la Disponibilidad y Gestión de la Seguridad. El área de Soporte del Servicio describe cómo los clientes pueden tener acceso a los servicios apropiados para atender a su negocio. El área de Entrega del Servicio  describe los servicios ofrecidos al cliente y qué hace falta para proporcionar dichos servicios.

Todos los procesos de ITIL se muestran en la Figura 1, a excepción de la Gestión de la Seguridad, que para ITIL está en un segundo plano (ITIL deja la Seguridad en manos del cliente) y es el motivo por el cual se ha decidido mejorar este punto y crear Misitileon.

Grafico 1 Elena Ruiz_UNED
Figura 1. Procesos de la Gestión de Servicios TI (fuente propia de la autora).

ITIL® Versión 3

Numerosas organizaciones de todo el mundo, públicas y privadas, implementan estas mejores prácticas siguiendo la versión 2 de ITIL, pero desde hace casi tres años hay una nueva versión que está siendo implementada al mismo tiempo, aunque a un ritmo más lento.

ITIL Versión 3 [4] (también conocida como ITIL Refresh) se lanzó en julio de 2007 y tiene algunos cambios importantes respecto a la versión anterior. Esta nueva versión se centra en el ciclo de vida del servicio. ITIL ha experimentado una gran renovación con la versión 3. Los usuarios no tienen que reinventar la rueda para adaptarse a la nueva versión. ITIL Versión 3 permite a los usuarios de la versión 2 seguir creciendo y llegar más lejos aún en la gestión de servicios TI.

Ahora sólo hay cinco libros principales que describen las claves de la gestión de servicios TI y ofrecen una visión de alto nivel. Dichas publicaciones son: Diseño del Servicio, Operación del Servicio, Estrategia del Servicio, Transición del Servicio y Mejora Continua del Servicio (Service Design, Service Operation, Service Strategy, Service Transition y Continual Service Improvement).

La Gestión de la Seguridad sigue siendo un tema olvidado para ITIL, confirmando la necesidad de que las organizaciones gestionen la seguridad por su cuenta, al margen de estas mejores prácticas.

Lo que se pretende con Misitileon no es complicar las normas existentes, ni ofrecer una solución intermedia, sino sustituir ITIL por otras mejores prácticas más sencillas y con Seguridad incluida en ellas.

ISO 20000

Por otro lado, el 15 de diciembre de 2005 la International Standard Organization (ISO) [5] adaptó la norma británica BS 15000 (basada en ITIL y desarrollada para definir de manera oficial los requisitos de entrega del servicio para el negocio y sus clientes) que se convirtió en el nuevo estándar internacional: ISO/IEC 20000.

Aunque ISO 20000 no incluye ITIL de manera formal, sí describe un conjunto de procesos de gestión alineados y complementarios a lo que define ITIL.

ITIL ofrece una guía de qué se debe hacer para ofrecer servicios de TI adecuados a los usuarios de manera que soporten sus procesos de negocio. Pero las certificaciones en ITIL se obtienen de manera individual así que, hasta hace bien poco, no había forma de demostrar que una organización de TI trabajaba según las recomendaciones de ITIL. El estándar ISO 20000 fue concebido para solventar esto. Iniciado por dos organizaciones el IT Service Management Forum, más conocido como itSMF [6], y el British Standard Institute (BSI), se modeló siguiendo los principios de ITIL y por primera vez se ofreció a las organizaciones la posibilidad de tener su certificación en Gestión de Servicios TI.

En realidad se considera que cada libro de ITIL ofrece gran información y una guía de mejores prácticas sobre temas que se encuentran en el alcance de la norma ISO 20000. Al contrario que los libros de ITIL, ISO 20000 no da pautas específicas sobre cómo diseñar los procesos, más bien es un conjunto de requisitos que deberían cumplirse para obtener la certificación ISO 20000.

Gestión de la Seguridad

La Seguridad de la Información describe actividades relacionadas con la protección de la información y de los activos de la infraestructura de la información, contra los riesgos de pérdida, uso erróneo, acceso indebido o daño. La Gestión de la Seguridad de la Información (Information Security Management -ISM-) describe los controles que debe implementar una organización para asegurarse de que está manejando esos riesgos.

Los riesgos de esos activos pueden calcularse analizando los siguientes aspectos: amenazas de los activos, vulnerabilidades e impacto.

Los estándares disponibles para ayudar a las organizaciones a implementar los programas y controles adecuados para mitigar dichos riesgos son entre otros ISO 27001, ITIL y CobIT.

La ISM tiene una importancia crucial porque casi cualquier compañía realiza su trabajo usando redes internas para intercambiar información pero además usan Internet. Cada día es más necesario tratar los posibles problemas de seguridad de manera global, considerando las amenazas externas de Internet pero también las amenazas internas. Hay aspectos de la Seguridad de la Información realmente importantes para el éxito de la compañía y la estabilidad del negocio.

Misitileon y la Gestión de la Seguridad

Que ITIL versión 2 tiene una gran laguna en temas de seguridad es un hecho [7]. Entre los libros de Entrega del Servicio hay uno pequeño, Gestión de la Seguridad, que muestra por encima qué es lo que hay que hacer con la seguridad; y no hay más referencias sobre ello en ningún otro libro de dicha versión. Debido a esta carencia, las organizaciones que implementaban ITIL versión 2 tenían que cubrir esta necesidad por su cuenta, usando otros modelos. Esta es la razón por la que el proceso de Gestión de la Seguridad ni siquiera aparece en la Figura 1.

En ITIL versión 3, concretamente en el libro de Diseño del Servicio, se puede encontrar alguna información sobre qué hacer con la Gestión de la Seguridad. En dicho libro lo que realmente hay son enlaces a la ISO 27001, que es el estándar más seguido y extendido a nivel mundial en temas de seguridad. Aunque se dice que esta nueva versión toca de forma más profunda la seguridad [8], lo cierto es que el tratamiento de la Seguridad se reduce a ocho páginas, de un total de más de 1.000 páginas (que es lo que suman los cinco libros de ITIL v3).

Lo que se pretende con Misitileon es dar un tratamiento a la seguridad mucho más adecuado que el que le da ITIL, identificando los detalles de la estructura y la implementación del proceso de Gestión de la Seguridad de la Información con las buenas prácticas para crear un Sistema de ISM (ISMS) incluido en la familia de estándares  ISO 2700x.

La ISM necesita ser considerada dentro de todo el marco de trabajo de gobierno corporativo. El Gobierno Corporativo es un conjunto de responsabilidades y prácticas llevadas a cabo con el fin de ofrecer dirección estratégica, asegurando que se alcanzan los objetivos, cerciorándose de que los riesgos están siendo manejados adecuadamente y verificando que los recursos de la empresa se usan de manera eficiente.

El propósito del proceso de ISM es alinear la seguridad de la TI con la seguridad del negocio y garantizar que la seguridad de la información se está gestionando de manera efectiva en todos los servicios y todas las actividades de la Gestión de Servicios.

Un Sistema de Gestión de la Seguridad de la Información (SGSI) es un conjunto de políticas concernientes a la gestión de la seguridad de la información. Los conceptos clave del SGSI para una organización son diseñar, implementar y mantener un conjunto coherente de procesos y sistemas para manejar el acceso a la información de manera efectiva, a la par que asegurar la confidencialidad, integridad y disponibilidad de los activos de la información, así como minimizar los riesgos de la seguridad de la información. Al igual que todos los procesos de gestión, un SGSI debe permanecer durante mucho tiempo en la compañía, adaptándose a los cambios internos de la organización y al entorno exterior. Para ello la ISO/IEC 27001 incorpora el típico "Plan-Do-Check-Act" (PDCA) de Deming para la mejora continua.

La aplicación de ITIL en una organización concreta, cuando se quieren implantar de golpe y simultáneamente la totalidad de sus mejores prácticas, puede resultar una experiencia traumática. Los proyectos de este tipo requieren una importante dotación de recursos, pueden implicar una mayor burocracia en los procesos de servicio TI y períodos de implantación prolongados de hasta varios años, requiriendo la adaptación a los procedimientos de ITIL no sólo del área TI, sino de todo el resto de la organización.

La implantación global de ITIL resulta más fácil en grandes organizaciones con capacidad de “imponer” a sus empleados el cumplimiento de ciertas prácticas y en empresas pequeñas o de reciente creación, donde todavía no existe una forma de hacer las cosas de manera arraigada. Resulta, sin embargo, tremendamente difícil en un sinfín de pymes, acostumbradas a una forma de trabajar determinada, donde choca con fuerte resistencias.

Con este panorama, la opción de implantar Misitileon es la solución a los problemas de muchas pequeñas empresas. Esta metodología presenta una aproximación mejorada, más práctica y sencilla a ITIL. Este es un modelo de procesos pensado para ser implantado con rapidez y facilidad. Es un modelo reducido en profundidad y no en ámbito, ideal para pymes.

Las organizaciones pueden gestionar sus servicios TI adecuadamente utilizando los siguientes procesos, la función y la base de datos que componen Misitileon, que se encargan de ofrecer, de forma controlada y eficaz, los servicios TI a la organización. Dichos componentes son los siguientes: Gestión del Incidente, Gestión del Problema, Gestión de la Configuración, Gestión del Cambio, Gestión de la Versión, Gestión de la Seguridad, CAU o HelpDesk (función) y Base de Datos de Gestión de la Configuración (BDGC).

Gestión de la Seguridad en Misitileon

La meta del proceso de Gestión de la Seguridad de la Información es alinear la seguridad de TI con el negocio y garantizar una gestión eficaz de la misma. Sus objetivos son:

  • Garantizar que la información esté disponible y se pueda usar cuando se necesite (disponibilidad).
  • Garantizar que la información esté disponible exclusivamente para personas autorizadas (confidencialidad).
  • Garantizar que la información sea completa, precisa y esté protegida contra cambios no autorizados (integridad).
  • Garantizar la confidencialidad de las transacciones y el intercambio de información entre empresas y asociados (autenticidad y no desconocimiento).

La Gestión de la Seguridad de la Información debe cubrir toda la información de TI y del negocio. Entre otras cosas esto incluye:

  • La política y los planes actuales y futuros de seguridad.
  • Los requisitos de seguridad.
  • Los requisitos legales.
  • Las obligaciones y las responsabilidades.
  • Los riesgos y su gestión para TI y el negocio.

El proceso de Gestión de la Seguridad de la Información debería incluir los siguientes elementos:

  • Elaboración, mantenimiento, distribución y fortalecimiento de una Política de Seguridad de la información.
  • Entendimiento de los requisitos de seguridad, actuales y futuros que se hayan acordado.
  • Implementación y documentación de controles que faciliten la Política de Seguridad de la información y gestionen riesgos.
  • Gestión de proveedores de servicios de TI y de contratos, en lo referente a la seguridad de acceso al sistema.
  • Mejora proactiva de los sistemas de control de la seguridad.

Cuando surge la idea de realizar esta investigación se plantean varias posibilidades de enfocar el concepto de Seguridad dentro de la “tecnología” ITIL. Nacen así dos posibles enfoques para Misitileon:

  1. La seguridad de los distintos procesos y de sus relaciones.
  2. La seguridad como uno de los servicios gestionados por este marco de trabajo.

En el siguiente apartado se desgrana la opción elegida: La seguridad como un Servicio más gestionado por Misitileon. Al igual que existen una serie de procesos que permiten gestionar servicios propios de las TI, existirá en Misitileon otro proceso, que va a permitir administrar o gestionar la Seguridad en la organización, es decir, que va a proporcionar servicios de Seguridad de la Información.

Algunos ejemplos de funciones de Seguridad en el sistema que van a ser aportadas como servicios de seguridad, podrían ser:

  • Gestión de la defensa perimetral en la organización.
  • Gestión de los sistemas antivirus y otros códigos maliciosos.
  • Gestión centralizada del registro de eventos.

Las dos figuras que van a representar estos procesos de gestión y administración de la Seguridad son: el Gestor de la Seguridad y el Administrador de Seguridad.

Caso práctico

En este apartado se resume el trabajo realizado en la investigación presentando un caso práctico: La gestión de un sistema antivirus. A continuación se nombran los procesos, actividades y tareas creados para proporcionar a una organización un servicio de seguridad antivirus:

Procesos relacionados con el nivel de servicio (A).

Gestión del nivel del servicio antivirus (A.1).

 o Definición del nivel del servicio antivirus (A.1.1).

  Reuniones (cliente-proveedor para definir ANS) (A.1.1.1).

  Formulario ANS del servicio antivirus (A.1.1.2).

Medidas/controles de Seguridad (A.2).

 o Definición de controles de Seguridad (A.2.1).

  Antivirus nivel protocolo de red (A.2.1.1).

  Antivirus nivel servidor (A.2.1.2).

  Antivirus nivel cliente (A.2.1.3).

 o Configuración de los controles de seguridad (A.2.2).

  Nivel de protección aplicado (A.2.2.1).

  Archivos de registros de detecciones (A.2.2.2).

  Sistemas de alarmas (A.2.2.3).

 o Mantenimiento de los controles de seguridad (A.2.3).

  Procedimiento de actualización del antivirus (A.2.3.1).

  Procedimiento de modificación de la configuración (A.2.3.2).

Modificación del nivel de seguridad (A.3).

 o Incremento o decremento del nivel del antivirus (A.3.1).

Procedimientos de contingencia y recuperación (A.4).

 o Procedimientos de actuación generales ante un virus. (A.4.1)

Procesos que ofrecen el servicio (B).

Proceso de Recogida de incidentes de seguridad (B.1).

 o Procedimiento de comunicación de posible virus, a nivel usuario (B.1.1).

 o Procedimiento de discriminación de llamadas de servicio, a nivel operador (B.1.2).

 o Procedimiento de comunicación de posible virus, a nivel administrador de Seguridad (B.1.3).

 o Procedimiento de comunicación de virus, a nivel control de seguridad (B.1.4).

Proceso de gestión de incidentes de seguridad ocasionados por virus (B.2).

 o Procedimiento de actuación, a nivel operador, ante un posible virus (B.2.1).

 o Procedimiento de actuación, a nivel administrador de seguridad, ante virus (B.2.2).

Proceso de gestión de problemas de seguridad ocasionados por virus (B.3).

 o Procedimiento de actuación, a nivel administrador de Seguridad, ante un posible problema ocasionado por un virus (B.3.1).

Proceso de gestión de la configuración y gestión del cambio ocasionados por virus (B.4).

 o Procedimiento de colaboración del administrador de seguridad ante un cambio. Pertenencia a GGC (B.4.1).

Resultados

En este apartado se pueden apreciar las ventajas de emplear la metodología propuesta en este trabajo, frente a no usarla. Se presentan los efectos de este ejemplo práctico en una organización compuesta por 1.000 estaciones de trabajo, donde penetra un virus con una capacidad de crecimiento o transmisión (lineal) de cinco equipos a la hora y suponiendo que el virus sólo se transmite con los equipos encendidos, es decir, durante la jornada laboral.

Tablas 1-2 Elena Ruiz_UNED
Tabla 1. Datos de evolución de virus en una organización sin Misitileon.
Tabla 2. Datos de evolución de virus en una organización con Misitileon.

Se puede ver la comparativa de la evolución del virus en ambos casos en la figura siguiente:

Grafico 2 Elena Ruiz_UNED
Figura 2. Comparativa de la evolución del virus (fuente propia de la autora).

Como se aprecia en la Figura 2, la diferencia en cuanto a porcentaje de máquinas infectadas por el virus es notable. Además, hay que señalar la enorme diferencia de tiempo de reacción ante el ataque de dicho virus, en el caso de no usar Misitileon se tardarían 115 horas en solucionarlo, mientras que empleando la metodología propuesta sólo serían necesarias 35 horas.

Conclusiones

ITIL no está teniendo la oportunidad que tal vez le corresponde en el mercado de la gestión de servicios, fundamentalmente desechado por ser caro y complicado. ITIL v3 generó unas expectativas muy altas, pero ahora existe cierto escepticismo en las empresas por el problema del retorno de la inversión, debido al gran esfuerzo de formación. Misitileon es una metodología que pretende cambiar la perspectiva general y ayudar a los gestores y personal de TI a entender el verdadero espíritu de ITIL, además de integrar algo fundamental: la Seguridad. Un importante número de empresas españolas, hoy por hoy, no se plantean la implantación de ITIL, por ser una metodología que se percibe demasiado extensa, sistemática y “burocrática” y cuyos beneficios no alcanzan a identificar. Con este panorama, la opción de implantar Misitileon es la solución a los problemas de muchas pymes.

REFERENCIAS 
[1] E. Ruiz, “Una propuesta organizativa de los procesos SD y SS en ITIL”, Revista Española de Innovación, Calidad e Ingeniería del Software (REICIS), Vol. 3, Nº 2, 2007. http://www.ca.com/hk/event/itil2005/bjohnson.htm.

[2] Office of Government Commerce (OGC), ITIL Managing IT Service: Service Delivery, TSO, London, 2001.

[3] Office of Government Commerce (OGC), ITIL Managing IT Service: Service Support, TSO, London, 2001.

[4 ] ITIL v3. ITIL® website oficial: http://www.itil-officialsite.com/home/home.asp.

[5] ISO/IEC 27001:2005, Information technology-Security techniques-Information security management systems–Requirements: http://www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_detail.htm?csnumber=42103.

[6] itSMF website oficial: http://www.itsmfi.org/. Y la website española oficial: http://www.itsmf.es/.

[7] E. Ruiz, J. Minguet, M. Castro, G. Diaz, A. Vara. “Filling the gap of Information Security Management inside ITIL®: proposals for posgraduate students”, Congreso Educon, abril de 2010.

[8] J. Clinch, OGC, “ITIL v3 and Information Security”: http://www.best-managementpractice.com/gempdf/ITILV3_and_Information_Security_White_Paper_May09.pdf.

Palabras clave:

Volver

Newsletter

¿Quieres estar informado? Ya puedes suscribirte GRATIS a nuestra newsletter mensual