Criterios en seguridad de la información
· Confidencialidad
· Integridad
· Disponibilidad y Desempeño
Elementos a considerar (las cuatro P’s) para un sistema de gestión de la seguridad de la información efectivo:
· Procesos
v Gestión de riesgos
v Manejo de incidentes
· Personas
v Entrenamiento
v Educación
v Certificaciones
· Productos y tecnologías
v Firewalls
v Redes
· Proveedores (sisteseg, 2005)
Una vez que obtengamos la ISO 20000, debemos realizar controles periódicos y guardar evidencias y registros de los mismos. • Es importante que seamos autocríticos a la hora de realizar los controles. • Cuando el auditor tenga que volver para nuestro proceso de re-certificación, esperará encontrar evidencias claras de los controles realizados. • Las evidencias y registros deben sernos de utilidad para nuestro trabajo diario y para la mejora continua, y no un “trabajo extra” que tenemos que hacer, cara al auditor.
La primera parte (Especificación) define los requerimientos (217) necesarios para realizar una entrega de servicios de TI alineados con las necesidades del negocio, con calidad y valor añadido para los clientes, asegurando una optimización de los costes y garantizando la seguridad de la entrega en todo momento. El cumplimiento de esta parte, garantiza además, que se está realizando un ciclo de mejora continua en la gestión de servicios de TI. La especificación supone un completo sistema de gestión (organizado según ISO 9001) basado en procesos de gestión de servicio, políticas, objetivos y controles. El marco de procesos diseñado se organiza en base a los siguientes bloques:
• Grupo de procesos de Provisión del Servicio.
• Grupo de procesos de Control.
• Grupo de procesos de Entrega.
• Grupo de procesos de Resolución.
• Grupo de procesos de Relaciones.
No hay comentarios:
Publicar un comentario