Unidad 2: Administración de Recursos en Áreas de Sistemas de Información Flashcards
Buenas Prácticas de la seguridad de la información
- Integridad
- Confidencialidad
- Disponibilidad
Buenas Prácticas de la seguridad de la información - Integridad
Mantener la exactitud y completitud de la información y sus métodos de proceso.
Buenas Prácticas de la seguridad de la información - Confidencialidad
Garantizar la privacidad de la información y de su tratamiento, para prevenir su divulgación no autorizada cuando está almacenada o en tránsito.
Buenas Prácticas de la seguridad de la información - Disponibilidad
Garantizar que los recursos sean accesibles y utilizables por los usuarios autorizados cuando estos lo requieran.
Buenas Prácticas de la seguridad de la información - Ciberseguridad
La ciberseguridad se encarga de la protección de los sistemas informáticos.
Buenas Prácticas de la seguridad de la información - Seguridad de la información
La seguridad de la información es un proceso que amplía la visión técnica de la seguridad informática extendiéndose a considerar todas las personas, los procesos, funciones y activos de toda la organización.
COBIT 2019: Gestión de Riesgos
Dentro de los objetivos de Gestión y en el dominio: Alinear,
Planificar y Organizar (APO), se encuentra el Objetivo: Gestionar el
Riesgo:
▪ Recopilar datos
▪ Analizar el riesgo
▪ Mantener un perfil de riesgo
▪ Articular el riesgo
▪ Definir un portafolio con acciones de gestión de riesgos
▪ Responder al riesgo
EL PROCESO DE GESTIÓN DE RIESGOS
Es un proceso iterativo basado en el conocimiento, evaluación y manejo de los riesgos, con el propósito de mejorar la toma de decisiones organizacionales y aplicable a cualquier situación
donde un resultado no deseado o inesperado pueda ser significativo o donde se identifiquen oportunidades.
EL PROCESO DE GESTIÓN DE RIESGOS: Recopilar datos
Se deberán determinar los riesgos inherentes y documentar sus características
EL PROCESO DE GESTIÓN DE RIESGOS: Identificación de activos
La tipificación de los activos es tanto una información documental de interés como un criterio para la posterior identificación de amenazas potenciales y vulnerabilidades, y permitirán establecer controles apropiados a la naturaleza del activo.
EL PROCESO DE GESTIÓN DE RIESGOS: Inventario de activos
Un inventario de activos podrá contener:
- Identificador
- Nombre
- Descripción
- Propietario o Dueño del Activo
- Contenedores o Soportes del Activo de Información
- Custodio del Activo
- Origen
- Acceso
- Dependencias
TAXONOMÍAS PARA LA IDENTIFICACIÓN DE RIESGOS
La clasificación identifica y organiza la fuente de estos riesgos en cuatro clases:
1. Acciones (o inacción) de las personas: realizadas tanto deliberada como accidentalmente
2. Fallas de los sistemas y tecnología: fallas del hardware, software y sistemas de información
3. Fallas de los procesos internos: problemas en los procesos internos del negocio que impactan en la habilidad para implementar, gestionar y sostener a la seguridad.
4. Eventos externos: cuestiones fuera del control de la organización.
ANALIZAR EL RIESGO
En el contexto de Proyectos PMI define al riesgo relacionado con
las Oportunidades (resultados positivos) y las Amenazas (resultados negativos).
VALORACIÓN DE LOS RIESGOS
SEVERIDAD DEL RIESGO = PROBABILIDAD X IMPACTO.
La severidad del riesgo puede evaluarse de dos formas:
o Evaluación Cualitativa: La severidad de los riesgos se calcula utilizando escalas de probabilidad e impacto
o Evaluación Cuantitativa: La severidad de un riesgo se calcula numéricamente.
Para establecer qué valor de la escala corresponde al impacto podemos referirnos al valor que el activo tiene para la organización o a la magnitud de la pérdida que sufriría la misma si fuese afectado dicho activo.
Las características o atributos que hacen valioso un activo se denominan dimensiones de valoración.
Riesgo residual
El riesgo residual será el riesgo que estaremos dispuestos a aceptar.
RESPONDER A LOS RIESGOS
Las actividades a desarrollar para responder a los riesgos incluyen controles de tipo preventivo, detectivo y correctivo.
➢ Controles Preventivos: Reducen la probabilidad o impacto del riesgo o eliminan sus causas.
➢ Controles Detectivos: Detectan el riesgo una vez ocurrido, reducen el impacto del riesgo.
➢ Controles Correctivos: identifican y corrigen las causas del riesgo ocurrido.
ESTRATEGIAS DE TRATAMIENTO DE LOS RIESGOS
Las estrategias que pueden aplicarse serán:
o Estrategias de tratamiento de riesgos negativos (amenazas)
▪ Evitar: No se acepta de esa forma.
▪ Transferir: a un tercero el riesgo y la gestión del mismo (Subcontratar, Asegurar)
▪ Mitigar: Se hará lo posible para minimizar su ocurrencia (probabilidad) y consecuencias (impacto)
▪ Aceptar: Se acepta las consecuencias de la posible ocurrencia del riesgo
o Estrategias de tratamiento de riesgos positivos (oportunidades)
▪ Explotar: Se hará lo posible para asegurarse que la oportunidad sea una realidad
▪ Compartir: Transferir a un tercero mejor capacitado para capturar la oportunidad
▪ Mejorar: Se hará lo posible por maximizar su ocurrencia (probabilidad) y consecuencias (impacto)
▪ Aceptar: Estoy dispuesto a aceptar las consecuencias de su posible ocurrencia
PLANES DE CONTINGENCIA, RECUPERACIÓN Y CONTINUIDAD DE NEGOCIO
Un plan de contingencia especifica los procedimientos que se ejecutarán ante la eventual ocurrencia de un riesgo.
Al plan de contingencia sigue inmediatamente el Plan de Recuperación que permitirá restablecer rápidamente los servicios de la organización.
En el tiempo que media entre que sucede la contingencia y se recuperan los servicios se deberán mantener operativos los procesos críticos de la organización, a esto se denomina Plan de Continuidad de Negocio.
GESTIÓN DE SERVICIOS: ITSM (IT Service Management)
Es una disciplina basada en procesos, enfocada en alinear los servicios de TI proporcionados con las necesidades de las organizaciones, poniendo énfasis en los beneficios que puede
percibir el cliente final
GESTIÓN DE SERVICIOS: Servicios
Conjunto de recursos provisto a los clientes para apoyarlo en la operación de una o más áreas de negocio.
GESTIÓN DE SERVICIOS: Calidad del Servicio
La Calidad de un servicio refiere entonces a cuánto satisfizo el servicio las expectativas del cliente.
GESTIÓN DE SERVICIOS: Valor del Servicio
+Utilidad +Garantía -Riesgos
GESTIÓN DE SERVICIOS: Activos del Servicio
Para que una organización TI pueda ofrecer valor en forma de servicios debe hacer buen uso de sus recursos y capacidades.
Los recursos son la “materia prima” necesaria para la prestación del servicio.
Las capacidades representan las habilidades desarrolladas a lo largo del tiempo para transformar los recursos en valor.
GESTIÓN DE SERVICIOS: ADMINISTRACIÓN DE LA RELACIÓN CON EL CLIENTE
Usuario: Utiliza los servicios.
Cliente: Paga el servicio.
FUNDAMENTOS DE LA GESTIÓN DE SERVICIOS DE TI BASADOS EN ITIL
Objetivo: centrarse en el ciclo de vida del servicio y alinear las TI con el negocio.
Enfoque: ágil.
Modelo de cuatro dimensiones: Sistema de Valor del Servicio (SVS):
* Organizaciones y Personas
* Información y Tecnología
* Socios y Proveedores
* Flujos de Valor y Procesos
SVC: Cadena del Valor del Servicio
- Plan: Asegurar entendimiento de visión, estado actual y dirección para las 4 dimensiones
- Comprometer: Proporcionar buena comprensión de necesidades
- Obtener/Construir: Asegurar que los componentes del servicio estén disponibles cuando y donde se necesiten
- Diseño y transición: Garantizar que productos y servicios satisfacen continuamente las expectativas de interesados
- Entrega y Soporte: Garantizar que servicios se entreguen y respalden de acuerdo a especificaciones.
- Mejorar: Garantizar la mejora continua de producto y prácticas en todas las actividades de la SVC y 4 dimensiones
ITIL 4: PRÁCTICAS
ITIL 4 cuenta con 34 prácticas agrupadas en 3 categorías:
- Practicas generales de gestión (14): aquellas que vienen del mundo empresarial y de la gestión propia del negocio.
- Prácticas de gestión de servicios de TI (17): en este grupo encontraremos las prácticas que han sido desarrolladas para la gestión de servicios de TI (ITSM).
- Prácticas de gestión técnica (3): este grupo de prácticas han sido tomadas de los dominios netamente tecnológicos.
Gestión de Incidentes
Incidente: “una interrupción no planificada de un servicio o la reducción de la calidad de un servicio.”
ACTIVIDADES DE LA GESTIÓN DE INCIDENTES
- Registro
- Clasificación
- Análisis, Resolución y Cierre
GESTIÓN DE SOLICITUDES DE SERVICIO
La Gestión de Solicitudes de Servicio proporciona al departamento comercial un acceso rápido y efectivo a servicios estándar.
ACTIVIDADES DE LA GESTIÓN DE SOLICITUDES DE SERVICIO
- Selección de solicitudes.
- Aprobación financiera de la solicitud.
- Tramitación.
- Cierre.
CENTRO DE SERVICIOS DE TI
Centro de Servicios: Es el punto de contacto con el cliente y
puede tomar diversas formas, dependiendo de la amplitud y
profundidad de los servicios ofrecidos:
* Service Desk (Centro de Servicios)
* Call Center: gestionar un alto volumen de llamadas y
redirigir a los usuarios
* Help Desk (Mesa de ayuda): soporte técnico.
GESTIÓN Y MONITORIZACIÓN DE EVENTOS
Clasificación:
* Informativos: no requieren acción en el momento en que se identifican → Gestión de Problemas
* De advertencia: disparador para Estrategias de Tratamiento en la Gestión de Riesgos
* Excepciones: indican que se ha identificado una infracción a una norma establecida. → disparadores de Planes de Contingencia en la Gestión de Riesgos.
ACTIVIDADES DEL LA GESTIÓN Y MONITORIZACIÓN DE EVENTOS
- Detección del disparador del evento: El proceso se inicia cuando ocurre el suceso
- Notificación del evento: al equipo responsable de su resolución o gestión
- Detección y filtrado del evento: La notificación llega a un agente o herramienta de gestión que la lee e interpreta el suceso con el fin de determinar si merece mayor atención o no.
- Clasificación del evento: asigna una categoría y un nivel de prioridad.
- Correlación: Se analiza si existen eventos similares, así como la importancia del evento en sí mismo y se decide si es necesario tomar medidas.
- Selección de la respuesta: Se ponen en marcha los mecanismos necesarios para dar respuesta al evento. Se eligen las soluciones a adoptar.
- Revisión de acciones y cierre: Se revisan las excepciones o eventos importantes para determinar si se han tratado correctamente. Se cierra el proceso de Gestión de Eventos.
GESTIÓN DE PROBLEMAS
La Gestión de Problemas puede ser:
* Reactiva: Notificado el incidente o evento que no tiene una solución temporal o definitiva conocida, lo analiza para descubrir su causa y proponer soluciones.
* Proactiva: Basándose en los incidentes registrados o monitorizando la calidad de la infraestructura TI y analizando su configuración con el objetivo de prevenir incidentes o eventos con las mismas características antes de que estos ocurran.
ACTIVIDADES DE LA GESTIÓN DE PROBLEMAS
1.Identificación y Registro
2.Clasificación y Asignación de recursos
3.Análisis y diagnóstico
4.Control de Errores
5.Revisión Post Implementación y Cierre
CONTROL DE CAMBIOS
Principales razones para la realización de cambios en la infraestructura TI :
* Solución de errores conocidos.
* Desarrollo de nuevos servicios.
* Mejora de los servicios existentes.
* Imperativo legal.
Objetivo:
Evaluación y planificación del proceso de cambio para asegurar que se realice en forma eficiente y asegurando en todo momento la calidad y continuidad del servicio TI.
Participantes de la práctica:
* Gestor de Cambios
* Consejo Asesor de Cambios (CAB)
* Comité de emergencia (ECAB)
ACTIVIDADES DEL CONTROL DE CAMBIOS
- Registro
- Aceptación o rechazo
- Clasificación
- Aprobación y Planificación
- Implementación del cambio
- Evaluación del cambio
GESTIÓN DE LA CONFIGURACIÓN DEL SERVICIO Y GESTIÓN DE ACTIVOS DE TI
Objetivos:
Gestión de la Configuración del Servicio: mantenimiento y actualización de la Base de Datos de Gestión de la Configuración (CMDB) y la gestión de los elementos de
configuración (CI).
Gestión de Activos: gestión de los activos de TI a lo largo de su ciclo de vida completo, desde la adquisición hasta la disposición. Maximizar el valor de los activos de TI y optimizar su rendimiento, costo y riesgo asociado.
ACTIVIDADES DE LA GESTIÓN DE LA CONFIGURACIÓN DEL SERVICIO
- Identificación de Elementos de Configuración(CI)
- Registro y Clasificación de CI
- Control de la Configuración
- Auditoría y Verificación de CI
- Gestión de Relaciones y Dependencias
- Reportes y Análisis de Configuración
- Gestión de Versiones y Baselines
ACTIVIDADES DE LA GESTIÓN DE ACTIVOS DE TI
- Planificación Estratégica de Activos
- Adquisición y Aprovisionamiento
- Seguimiento y Control de Activos
- Gestión de Licencias de Software
- Optimización de Costos
- Disposición de Activos al Final de su Vida Útil
GESTIÓN DE VERSIONES
Es la encargada del control de calidad de todo el software y
hardware instalado en el entorno de producción
- Versiones mayores: introducen modificaciones importantes en la
funcionalidad, características técnicas, etc. - Versiones menores: corrección de varios errores conocidos
- Versiones de emergencia: reparan de forma rápida un error conocido.
El sistema de codificación universalmente aceptado es:
Versiones mayores: 1.0, 2.0, etc.
Versiones menores: 1.1, 1.2, 1.3, etc.
Versiones de emergencia: 1.1.1, 1.1.2, etc