Gestión de servicios en el sistema informático. IFCT0509 E-Book

Gestión de servicios en elsistema informáticoIFCT0509

Ester Chicano Tejada

iceditorial

Gestión de servicios en el sistema informático. IFCT0509

© Ester Chicano Tejada

1ª Edición

© IC Editorial, 2025

Editado por: IC Editorial

c/ Cueva de Viera, 2, Local 3

Centro Negocios CADI

29200 Antequera (Málaga)

Teléfono: 952 70 60 04

Fax: 952 84 55 03

Correo electrónico: [email protected]

Internet: www.iceditorial.com

IC Editorial ha puesto el máximo empeño en ofrecer una información completa y precisa. Sin embargo, no asume ninguna responsabilidad derivada de su uso, ni tampoco la violación de patentes ni otros derechos de terceras partes que pudieran ocurrir. Mediante esta publicación se pretende proporcionar unos conocimientos precisos y acreditados sobre el tema tratado. Su venta no supone para IC Editorial ninguna forma de asistencia legal, administrativa ni de ningún otro tipo.

Reservados todos los derechos de publicación en cualquier idioma.

Cualquier forma de reproducción, distribución, comunicación pública o transformación de esta obra solo puede ser realizada con la autorización de sus titulares, salvo excepción prevista por la ley. Diríjase a CEDRO (Centro Español de Derechos Reprográficos) si necesita fotocopiar o escanear algún fragmento de esta obra (www.cedro.org).

Según el Código Penal, el contenido está protegido por la ley vigente que establece penas de prisión y/o multas a quienes intencionadamente reprodujeren o plagiaren, en todo o en parte, una obra literaria, artística o científica.

ISBN: 978-84-1184-861-9

Presentación del manual

El Certificado de Profesionalidad es el instrumento de acreditación, en el ámbito de la Administración laboral, de las cualificaciones profesionales del Catálogo Nacional de Cualificaciones Profesionales adquiridas a través de procesos formativos o del proceso de reconocimiento de la experiencia laboral y de vías no formales de formación.

El elemento mínimo acreditable es la Unidad de Competencia. La suma de las acreditaciones de las unidades de competencia conforma la acreditación de la competencia general.

Una Unidad de Competencia se define como una agrupación de tareas productivas específica que realiza el profesional. Las diferentes unidades de competencia de un certificado de profesionalidad conforman la Competencia General, definiendo el conjunto de conocimientos y capacidades que permiten el ejercicio de una actividad profesional determinada.

Cada Unidad de Competencia lleva asociado un Módulo Formativo, donde se describe la formación necesaria para adquirir esa Unidad de Competencia, pudiendo dividirse en Unidades Formativas.

El presente manual desarrolla el Módulo Formatvo MF0490_3: Gestión de servicios en el sistema informático,

asociado a la unidad de competencia UC0490_3: Gestionar servicios en el sistema informático,

del Certificado de Profesionalidad Administración de servicios de internet.

Índice

Portada

Título

Copyright

Presentación del manual

Índice

Capítulo 1Gestión de la seguridad y normativas

1. Introducción

2. Norma ISO 27002. Código de buenas prácticas para la gestión de la seguridad de la información

3. Metodología ITIL. Librería de infraestructuras de las tecnologías de la información

4. Ley Orgánica de protección de datos de carácter personal/Ley Orgánica de protección de Datos personales y garantía de los derechos digitales

5. Normativas más frecuentemente utilizadas para la gestión de la seguridad física

6. Resumen

Ejercicios de repaso y autoevaluación

Capítulo 2Análisis de los procesos de sistemas

1. Introducción

2. Identificación de procesos de negocio soportados por sistemas de información

3. Características fundamentales de los procesos electrónicos

4. Determinación de los sistemas de información que soportan los Çprocesos de negocio y los activos y servicios utilizados por los mismos

5. Análisis de las funcionalidades de sistema operativo para la monitorización de los procesos y servicios

6. Técnicas utilizadas para la gestión del consumo de recursos

7. Resumen

Ejercicios de repaso y autoevaluación

Capítulo 3Demostración de sistemas de almacenamiento

1. Introducción

2. Tipos de dispositivos de almacenamiento más frecuentes

3. Características de los sistemas de archivo disponibles

4. Organización y estructura general de almacenamiento

5. Herramientas del sistema para la gestión de dispositivos de almacenamiento

6. Resumen

Ejercicios de repaso y autoevaluación

Capítulo 4Utilización de métricas e indicadores de monitorización de rendimiento de sistemas

1. Introducción

2. Criterios para establecer el marco general de uso de métricas e indicadores para la monitorización de los sistemas de información

3. Identificación de los objetos para los cuales es necesario obtener indicadores

4. Aspectos a definir para la selección y definición de indicadores

5. Establecimiento de los umbrales de rendimiento de los sistemas de información

6. Recolección y análisis de los datos aportados por los indicadores

7. Consolidación de indicadores bajo un cuadro de mando de rendimiento de sistemas de información unificado

8. Resumen

Ejercicios de repaso y autoevaluación

Capítulo 5Confección del proceso de monitorización de sistemas y comunicaciones

1. Introducción

2. Identificación de los dispositivos de comunicaciones

3. Análisis de los protocolos y servicios de comunicaciones

4. Principales parámetros de configuración y funcionamiento de los equipos de comunicaciones

5. Procesos de monitorización y respuesta

6. Herramientas de monitorización de uso de puertos y servicios tipo sniffer

7. Herramientas de monitorización de sistemas y servicios tipo Hobbit, Nagios o Cacti

8. Sistemas de gestión de información y eventos de seguridad (SIM/SEM)

9. Gestión de registros de elementos de red y filtrado (router, switch, firewall, IDS/IPS, etc.)

10. Resumen

Ejercicios de repaso y autoevaluación

Capítulo 6Selección del sistema de registro en función de los requerimientos de la organización

1. Introducción

2. Determinación del nivel de registros necesario, los periodos de retención y las necesidades de almacenamiento

3. Análisis de los requerimientos legales en referencia al registro

4. Selección de medidas de salvaguarda para cubrir los requerimientos de seguridad del sistema de registros

5. Asignación de responsabilidades para la gestión del registro

6. Alternativas de almacenamiento para los registros del sistema y sus características de rendimiento, escalabilidad, confidencialidad, integridad y disponibilidad

7. Guía para la selección del sistema de almacenamiento y custodia de registros

8. Resumen

Ejercicios de repaso y autoevaluación

Capítulo 7Administración del control de accesos adecuados de los sistemas de información

1. Introducción

2. Análisis de los requerimientos de acceso de los distintos sistemas de información y recursos compartidos

3. Principios comúnmente aceptados para el control de accesos y de los distintos tipos de acceso locales y remotos

4. Requerimientos legales en referencia al control de accesos y asignación de privilegios

5. Perfiles de acceso en relación con los roles funcionales del personal de la organización

6. Herramientas de directorio activo y servidores LDAP en general

7. Herramientas de sistemas de gestión de identidades y autorizaciones (IAM)

8. Herramientas de sistemas de punto único de autenticación: Single Sign On (SSO)

9. Resumen

Ejercicios de repaso y autoevaluación

Bibliografía

Capítulo 1

Gestión de la seguridad y normativas

Contenido

1. Introducción

2. Norma ISO 27002. Código de buenas prácticas para la gestión de la seguridad de la información

3. Metodología ITIL. Librería de infraestructuras de las tecnologías de la información

4. Ley Orgánica de protección de datos de carácter personal/Ley Orgánica de protección de Datos personales y garantía de los derechos digitales

5. Normativas más frecuentemente utilizadas para la gestión de la seguridad física

6. Resumen

1. Introducción

En la actualidad, y cada vez más, las tecnologías de la información tienen un papel muy importante en cualquier tipo de organización, hasta el punto de integrarse plenamente en los distintos procedimientos de gestión de las mismas.

Por ello, es imprescindible tener un conocimiento básico y genérico sobre las distintas normativas referentes a las tecnologías de la información.

En este capítulo, primeramente se procederá a ofrecer una visión general del código de buenas prácticas para efectuar una adecuada gestión de la seguridad de la información, llamado también norma ISO/IEC 27002.

A continuación, se estudiará la librería de infraestructuras de las tecnologías de la información, herramienta fundamental con una serie de recomendaciones para que la integración de las tecnologías de la información con los servicios de la organización se realice correctamente.

Aparte, las tecnologías de la información van estrechamente ligadas al tratamiento de datos personales, ya que muy frecuentemente los datos personales forman parte de la base de datos de cualquier organización. En este capítulo se da una especial importancia a la normativa referente al tratamiento de datos personales, para evitar incurrir en cualquier infracción debido al desconocimiento de las normas fundamentales.

Para terminar, además de una correcta gestión de la seguridad de la información automatizada, también es vital mantener un nivel adecuado de seguridad física para evitar la intromisión de personas no autorizadas o para prevenir un mal uso de los ficheros manuales que contengan información delicada. Por este motivo, el capítulo termina con una serie de medidas y recomendaciones que aporten a la organización un nivel de seguridad física óptimo.

2. Norma ISO 27002. Código de buenas prácticas para la gestión de la seguridad de la información

La norma ISO/IEC 27002 se crea bajo la coordinación de la International Organization for Standaration y la Comisión Electrotécnica Internacional e, inicialmente, era llamada normativa ISO 17799.

Importante

La norma ISO 17799 consiste en un manual de buenas prácticas para una adecuada gestión de la seguridad de la información.

Se engloba dentro de un conjunto de normativas ISO/IEC 2700X que regulan temas de seguridad en los ámbitos digital y electrónico:

ISO 27000:

incluye fundamentalmente el vocabulario que se va a utilizar en las normas incluidas en toda la serie para una mayor comprensión de las mismas.

ISO/IEC 27001:

también es un manual de buenas prácticas pero, en este caso, se incluyen los requisitos necesarios de los sistemas de gestión de seguridad de la información.

ISO/IEC 27002:

es un estándar para la seguridad de la información (también se considera una guía de buenas prácticas) en el que se incluyen los distintos objetivos de control y controles recomendados para mantener un nivel de seguridad de la información óptimo.

La norma ISO/IEC 27002 está formada por una serie de secciones que se van a describir y detallar brevemente en este apartado:

0. Introducción

1. Objeto y campo de aplicación

2. Normas para consulta

3. Términos, definiciones y abreviaturas

4. Estructura del documento

5. Organización

6. Controles de personas

7. Controles físicos

8. Controles tecnológicos

Nota

La versión más reciente de la ISO/IEC 27002 (la ISO/IEC 27002:2023) incluye un total de 93 controles clasificados en 4 categorías, simplificando y mejorando la eficacia de los controles de seguridad de las versiones anteriores que llegaron a alcanzar los 114 controles.

En cada una de las secciones se describen los objetivos de los controles para la seguridad de la información, indicándose también una guía para la implantación de estos controles.

2.1. Introducción

La información es un activo especialmente valioso en cualquier organización, sobre todo si se tiene en cuenta que el entorno empresarial está cada vez más interconectado debido al fenómeno de la globalización.

Este fenómeno provoca que la información cada vez sea más vulnerable ante ataques y amenazas, por lo que resulta imprescindible que esté protegida con un nivel de seguridad lo más elevado posible.

Para establecer sistemas de información seguros, la norma ISO 27002 establece una serie de pasos importantes que debe realizar cada empresa u organización (tanto privadas como públicas):

Determinar los requisitos de seguridad de la información, evaluando los distintos riesgos de la organización.

Evaluar los riesgos de seguridad de la organización, con un alcance claramente definido.

Una vez evaluados los riesgos, determinar los controles a implantar para reducirlos a un nivel aceptable.

Actuar como punto de partida para que la organización desarrolle sus directrices específicas.

Determinar el ciclo de vida de la información y de las modificaciones de su valor y de los riesgos que corre a lo largo de este.

Orientarse sobre la información básica adicional que pueden ofrecer los distintos documentos de la familia ISO/IEC 27000.

2.2. Objeto y campo de aplicación

Los objetivos de control y los controles de la ISO 27002 se diseñan para que, al implementarse, se satisfagan los requerimientos identificados mediante la evaluación de los riesgos de la organización.

Esta normativa, aparte de mostrar y definir unos controles recomendados, también sirve como orientación de partida para las organizaciones con el fin de elaborar e implantar sus propias medidas de seguridad y para fomentar un ambiente de confianza y participación de las distintas áreas organizativas en las actividades relacionadas con la seguridad de la información.

2.3. Términos y definiciones

En este apartado se recogen las definiciones de los términos más utilizados en esta normativa. Los más significativos son los siguientes:

Control:

medios para gestionar el riesgo, que incluyen políticas, procesos, dispositivos, prácticas u otras condiciones que pueden mantener y/o modificar un riesgo.

Instalación de tratamiento de la información:

cualquier sistema, servicio o infraestructura de procesamiento de la información o los lugares físicos que los alojan.

Brecha en la seguridad de la información:

compromiso de la seguridad de la información en una organización que ocasiona la destrucción, modificación, pérdida, accesos no deseados o, incluso, divulgación a información de carácter protegido.

Incidente de seguridad de la información:

evento o serie de eventos inesperados de seguridad de la información que tienen una probabilidad significativa de comprometer las operaciones comerciales y amenazar la seguridad de la información.

Gestión de incidentes de la seguridad de la información:

conjunto de acciones para gestionar los incidentes de seguridad de la información de forma coherente y eficaz.

Sistema de información:

conjunto de servicios, aplicaciones y activos de tecnologías de la información que tienen como función gestionar la información.

Interrupción:

evento esperado o inesperado que genera una desviación negativa y no planificada de la entrega programada de productos y servicios según los objetivos de una organización.

2.4. Estructura del documento

La norma ISO/IEC 27002:2023 clasifica los controles en cuatro categorías:

Controles organizativos.

Controles de personas.

Controles físicos.

Controles tecnológicos.

Además, contiene dos anexos informativos en los que se explica la utilización de los atributos y la correspondencia de esta versión de la norma con la versión más antigua (Norma ISO/IEC 27002:2013).

2.5. Organización

En este apartado se describen una serie de indicaciones para establecer los controles organizativos en una empresa y garantizar que estos se ejecutan de forma eficiente. Además de la descripción del control organizativo en sí, también se describe cuál es el propósito de cada uno y da una serie de orientaciones para su correcta implantación.

Así, los controles organizativos de la ISO/IE 27002 que se plasman en este apartado son los siguientes:

1. Políticas para la seguridad de la información.

2. Roles y responsabilidades en seguridad de la información.

3. Segregación de tareas.

4. Responsabilidades de la dirección.

5. Contacto con las autoridades.

6. Contacto con grupos de interés especial.

7. Inteligencia de amenazas.

8. Seguridad de la información en la gestión de proyectos.

9. Inventario de información y otros activos asociados.

10. Uso aceptable de la información y activos asociados.

11. Devolución de activos.

12. Clasificación de la información.

13. Etiquetado de la información.

14. Transferencia de la información.

15. Control de acceso.

16. Gestión de identidad.

17. Información de autenticación.

18. Derechos de acceso.

19. Seguridad de la información en las relaciones con los proveedores.

20. Abordar la seguridad de la información dentro de los acuerdos de los proveedores.

21. Gestión de la seguridad de la información en la cadena de suministro de las TIC.

22. Seguimiento, revisión y gestión del cambio de los servicios de proveedores.

23. Seguridad de la información para el uso de servicios en la nube.

24. Planificación y preparación de la gestión de incidentes de seguridad de la información.

25. Evaluación y decisión sobre los eventos de seguridad de la información.

26. Respuesta a incidentes de seguridad de la información.

27. Aprender de los incidentes de seguridad de la información.

28. Recopilación de evidencias.

29. Seguridad de la información durante la interrupción.

30. Preparación para las TIC para la continuidad del negocio.

31. Identificación de requisitos legales, reglamentarios y contractuales.

32. Derechos de propiedad intelectual (DPI).

33. Protección de los registros.

34. Privacidad y protección de datos de carácter personal (DCP).

35. Revisión independiente de la seguridad de la información.

36. Cumplimiento de las políticas y normas de seguridad de la información.

37. Documentación de procedimientos operacionales.

A continuación, se va a dar una breve descripción de cada uno de los controles mencionados anteriormente:

Control 5.1. Políticas para la seguridad de la información

. Una política de seguridad de la información, junto con las políticas específicas complementarias debe ser establecida formalmente. Esto implica la aprobación por parte de la dirección, la publicación para su acceso, la comunicación efectiva al personal y a las partes interesadas relevantes para asegurar su conocimiento y la revisión periódica según un plan preestablecido, además de una revisión cada vez que ocurran cambios importantes.

Control 5.2. Roles y responsabilidades en seguridad de la información

. Los roles y responsabilidades en seguridad de la información deben configurarse a medida, respondiendo a las necesidades específicas de cada organización.

Control 5.3. Segregación de tareas

. Se aconseja segregar las funciones y las áreas de responsabilidad que tengan algún conflicto.

Control 5.4. Responsabilidades de la dirección

. La dirección debe requerir que todos los empleados apliquen las medidas de seguridad de la información según lo estipulado en la política general, las políticas específicas y los procedimientos de la organización.

Control 5.5. Contacto con las autoridades

. Se aconseja establecer y mantener los contactos necesarios y adecuados con las autoridades que procedan en cada caso.

Control 5.6. Contacto con grupos de interés especial

. Se recomienda la creación y el mantenimiento de redes de contacto relevantes con grupos de interés especial, otros foros y asociaciones profesionales especializadas en el ámbito de la seguridad.

Control 5.7. Inteligencia de amenazas

. Debería recopilarse y analizarse la información sobre amenazas a la seguridad con la finalidad de producir información de utilidad sobre las mismas.

Control 5.8. Seguridad de la información en la gestión de proyectos

. Se aconseja integrar la seguridad de la información en la gestión de proyectos.

Control 5.9. Inventario de información y otros activos asociados

. Se aconseja elaborar y mantener actualizado un inventario exhaustivo de la información y otros activos asociados, identificando a los propietarios correspondientes.

Control 5.10. Uso aceptable de la información y activos asociados

. Para asegurar un uso adecuado y una gestión eficaz de la información y los activos relacionados, es necesario identificar, documentar e implementar reglas de uso aceptable y procedimientos.

Control 5.11. Devolución de activos

. Tras el cambio o la conclusión de su trabajo, contrato o acuerdo, los empleados y terceras partes correspondientes deberían reintegrar todos los activos de la organización que tengan en su poder.

Control 5.12. Clasificación de la información

. Los criterios para la clasificación de la información deben ser la confidencialidad, la integridad, la disponibilidad y los requisitos relevantes de las partes interesadas, en consonancia con las necesidades de seguridad de la organización.

Control 5.13. Etiquetado de la información

. El etiquetado de la información debería realizarse siguiendo procedimientos desarrollados e implementados que se ajusten al esquema de clasificación adoptado por la organización.

Control 5.14. Transferencia de la información

. Se recomienda la existencia de un marco regulatorio que defina cómo se debe transferir la información, ya sea interna o externamente, y para cualquier medio de transferencia.

Control 5.15. Control de acceso

. Se aconseja definir e implementar reglas que regulen el acceso físico y lógico a la información y los activos asociados, basándose en las necesidades del negocio y los requerimientos de seguridad de la información.

Control 5.16. Gestión de identidad

. Se recomienda gestionar el ciclo de vida completo de las distintas identidades.

Control 5.17. Información de autenticación

. Un proceso formal de gestión debería controlar la asignación y la gestión de la información de autenticación, incluyendo la capacitación del personal sobre su manejo adecuado.

Control 5.18. Derechos de acceso

. La asignación, revisión, modificación y eliminación de los derechos de acceso a la información y otros activos asociados deben realizarse de acuerdo con la política específica de la organización y las reglas sobre control de acceso.

Control 5.19

. Seguridad de la información en las relaciones con los proveedores. Deberían identificarse e implementarse procesos y procedimientos con la finalidad de llevar a cabo una gestión de los riesgos de seguridad de la información asociados al uso de los productos o servicios de los proveedores.

Control 5.20. Abordar la seguridad de la información dentro de los acuerdos de los proveedores

. Los requisitos oportunos de seguridad de la información deberían establecerse y ser acordados con cada proveedor atendiendo al tipo de relación que se tenga con este.

Control 5.21. Gestión de la seguridad de la información en la cadena de suministro de las TIC

. Es necesario definir e implementar procesos y procedimientos que mitiguen los riesgos de seguridad de la información vinculados a la cadena de suministro de productos y servicios de las Tecnologías de la Información y de las Comunicaciones (TIC).

Control 5.22. Seguimiento, revisión y gestión del cambio de los servicios de proveedores

. La organización debería realizar tareas de supervisión, revisión, evaluación y gestión de los cambios en las prácticas de seguridad de la información y prestación de servicios de los proveedores de forma regular.

Control 5.23. Seguridad de la información para el uso de servicios en la nube

. La seguridad de la información debe ser el pilar fundamental en todas las etapas del ciclo de vida de los servicios en la nube, desde su adquisición hasta su finalización.

Control 5.24. Planificación y preparación de la gestión de incidentes de seguridad de la información

. Para garantizar una respuesta efectiva ante incidentes de seguridad, la organización debe desarrollar e implementar un marco de gestión de incidentes que incluya la definición de procesos, la asignación de roles y la comunicación de responsabilidades.

Control 5.25. Evaluación y decisión sobre los eventos de seguridad de la información

. Para gestionar de manera efectiva los riesgos a la seguridad de la información, la organización debe contar con un mecanismo para evaluar y categorizar los eventos de seguridad, diferenciando entre incidentes menores y mayores.

Control 5.26. Respuesta a incidentes de seguridad de la información

. Se recomienda responder a los incidentes de seguridad de la información atendiendo a los procedimientos documentados.

Control 5.27. Aprender de los incidentes de seguridad de la información

. El conocimiento adquirido a raíz de los incidentes de seguridad de la información se debería usar con la finalidad de fortalecer y mejorar los controles de seguridad de la información.

Control 5.28. Recopilación de evidencias

. La organización debería desarrollar e implementar un protocolo para identificar, recolectar, adquirir y preservar la evidencia relacionada con cualquier evento que pueda poner en riesgo la seguridad de la información.

Control 5.29. Seguridad de la información durante la interrupción

. Es recomendable que la organización planifique cómo hay que mantener la seguridad de la información a un nivel adecuado durante una interrupción.

Control 5.30. Preparación para las TIC para la continuidad del negocio

. La resiliencia de las TIC se debería planificar, implementar, mantener y probar atendiendo a los objetivos de continuidad del negocio establecidos y a los requisitos de continuidad de las tecnologías de información y comunicación.

Control 5.31. Identificación de requisitos legales, reglamentarios y contractuales

. Para asegurar el cumplimiento normativo, la organización debería identificar, documentar y actualizar periódicamente todos los requisitos legales y contractuales que se aplican a la gestión de la seguridad de la información.

Control 5.32. Derechos de propiedad Intelectual (DPI)

. Se aconseja que la organización implemente procedimientos adecuados para proteger los derechos de propiedad intelectual (DPI).

Control 5.33. Protección de los registros

. Los registros se deberían proteger con la finalidad de evitar su pérdida, destrucción, falsificación, acceso no autorizado y divulgación no autorizada.

Control 5.34. Privacidad y protección de datos de carácter personal (DCP)

. La organización debería establecer y mantener un programa de cumplimiento de las leyes de protección de datos que incluya la identificación de los requisitos legales, la implementación de controles técnicos y organizativos adecuados, y la realización de evaluaciones de impacto en la protección de datos.

Control 5.35. Revisión independiente de la seguridad de la información

. La organización debería establecer un programa de revisión independiente para evaluar la efectividad de sus controles de seguridad de la información, tanto a nivel de procesos, tecnología como de personas, y realizar ajustes cuando sea necesario.

Control 5.36. Cumplimiento de las políticas y normas de seguridad de la información

. Habría que comprobar periódicamente el cumplimiento de la política de seguridad de la información, las políticas específicas de la organización, las reglas y las normas de la organización.

Control 5.37. Documentación de procedimientos operacionales

. Los procedimientos operacionales de los medios de tratamiento de la información se deberían documentar y poner a disposición de todos aquellos usuarios que los requieran.

Actividades

1. Señale si considera adecuados los controles organizativos enumerados en la ISO 27002:2023 y proponga medidas adicionales para implantar dichos controles.

2.6. Controles de personas

En este apartado se presentan una serie de indicaciones para establecer los controles de personas de una organización y garantizar que estos se ejecutan eficientemente. Del mismo modo que en el apartado anterior, en este apartado se describen el propósito de cada control y se dan varias orientaciones para que se implante correctamente.

Así, los controles de personas de la ISO/IE 27002 que se plasman en este apartado son los siguientes:

1.Comprobación: la organización debería establecer un proceso de verificación de antecedentes que se aplique a todos los candidatos y empleados, y que se ajuste a los requisitos legales y a la naturaleza de los puestos de trabajo. Estas verificaciones deben realizarse antes de la contratación y de forma periódica, y deben ser proporcionales al nivel de acceso a información sensible y a los riesgos asociados.

2.Términos y condiciones de contratación: los acuerdos contractuales de empleo deberían plasmar cuáles van a ser las responsabilidades tanto del personal como de la organización, en materia de seguridad de la información.

3.Concienciación, educación y formación en seguridad de la información: es necesario establecer un plan de capacitación continuo para garantizar que todos los miembros de la organización, incluyendo a las partes interesadas externas, estén familiarizados con las políticas y procedimientos de seguridad de la información y sean conscientes de los riesgos a los que se enfrentan.

4.Proceso disciplinario: la organización debería contar con un proceso disciplinario documentado y comunicado a todos los empleados y partes interesadas, que establezca las acciones a tomar en caso de incumplimiento de las medidas de seguridad de la información.

5.Responsabilidades ante la finalización o cambio: la organización debería establecer y comunicar de forma clara las responsabilidades en seguridad de la información que continúan vigentes tras la finalización del contrato laboral, tanto para los empleados como para las partes interesadas.

6.Acuerdos de confidencialidad o no divulgación: los acuerdos de confidencialidad o no divulgación deberían cumplir con la legislación vigente y proporcionar una protección legal adecuada a la información sensible de la empresa.

7.Teletrabajo: se deberían poner en marcha medidas de seguridad robustas para proteger la información confidencial a la que el personal tiene acceso cuando trabaja fuera de las oficinas de la empresa.

8.Notificación de los eventos de seguridad de la información: se debería contar con un mecanismo de notificación de incidentes de seguridad que permita a los empleados informar cualquier anomalía o actividad sospechosa de manera confidencial y segura.

Aplicación práctica

En la empresa en la que trabaja le acaban de encomendar la evaluación de los distintos riesgos a los que se somete la empresa y el diseño de una serie de medidas y buenas prácticas para disminuir estos riesgos. En estos momentos se encuentra analizando los riesgos que puede haber al dejar entrar libremente a una persona externa de la organización. ¿Qué riesgo supondría este hecho? ¿Cómo lo evitaría?

SOLUCIÓN

El hecho de dejar entrar a cualquier persona sin ningún tipo de control pone en grave riesgo a la empresa, ya que esta persona puede acceder a información confidencial y hacer un mal uso de la misma. También puede manipular esta información libremente en perjuicio de la empresa. Para evitar estos riesgos, se recomienda implantar planes para la concienciación, educación y formación en seguridad de la información en los empleados, establecer un proceso disciplinario y comunicarlo a todos los usuarios de la empresa o firmar acuerdos de confidencialidad o no divulgación, entre otros ejemplos.

2.7. Controles físicos

En este apartado se describen varias indicaciones para que la organización establezca los controles físicos y garantizar una ejecución eficiente de los mismos. Como en los demás apartados, también se ofrece una descripción de cada control, orientaciones para su implantación y, en algunos casos, información adicional que pueda ser de utilidad.

Así, los controles físicos de la ISO/IE 27002 descritos en este apartado son los siguientes:

1.Perímetro de seguridad física: la creación de perímetros de seguridad es fundamental para prevenir incidentes de seguridad y proteger la información de la organización.

2.Controles físicos de entrada: las áreas seguras deberían protegerse mediante controles de entrada y puntos de acceso adecuados.

3.Seguridad de oficinas, despachos y recursos: debería diseñarse y aplicar medidas de seguridad física en oficinas, despachos y recursos.

4.Monitorización de la seguridad física: las instalaciones deberían monitorizarse de forma continua para poder detectar cualquier acceso físico que no esté autorizado.

5.Protección contra las amenazas externas y ambientales: deberían diseñarse e implementar medidas de protección a las infraestructuras físicas para protegerlas de las amenazas físicas y ambientales como, por ejemplo, los desastres naturales.

6.El trabajo en áreas seguras: deberían implementarse y diseñar procedimientos para desempeñar el trabajo en las áreas seguras.

7.Puesto de trabajo despejado y pantalla limpia: deberían establecerse protocolos para garantizar que los puestos de trabajo estén despejados de cualquier material confidencial y que los recursos informáticos estén protegidos de accesos no autorizados.

8.Emplazamiento y protección de equipos: los equipos deben estar ubicados en una zona protegida y segura.

9.Seguridad de los equipos fuera de las instalaciones: los equipos ubicados fuera de las instalaciones deberían estar protegidos.

10.Soportes de almacenamiento: la organización debería establecer procedimientos claros para gestionar los soportes de almacenamiento a lo largo de todo su ciclo de vida, desde su adquisición hasta su eliminación final, asegurando que se cumplan los requisitos de seguridad y clasificación de la información.

11.Instalaciones de suministro: deberían implementarse medidas de seguridad para proteger los equipos de procesamiento de información de los efectos de los fallos en el suministro eléctrico como cortes de energía, subidas de tensión o fluctuaciones.

12.Seguridad del cableado: todo cableado eléctrico y de comunicaciones que transmite datos o que se utiliza de soporte a los servicios de información debería protegerse frente a posibles interferencias, interceptaciones o daños.

13.Mantenimiento de los equipos: los equipos deberían mantenerse de forma correcta para asegurar la disponibilidad, confidencialidad e integridad de la información.

14.Eliminación o reutilización segura de los equipos: para garantizar la seguridad y disponibilidad de los sistemas de información deberían implementarse medidas que protejan los equipos de los efectos de las fluctuaciones y cortes en el suministro eléctrico.

2.8. Controles tecnológicos

El apartado Controles tecnológicos de la ISO/IEC 27002 se centra en la protección de los sistemas y equipos que procesan, almacenan y transmiten información. En particular, este apartado detalla las medidas de seguridad que deben implementarse para garantizar la confidencialidad, integridad y disponibilidad de los activos informáticos de una organización.

De este modo, los controles tecnológicos descritos en este apartado son los siguientes:

1. Dispositivos finales de usuario.

2. Gestión de privilegios de acceso.

3. Restricción del acceso a la información.

4. Acceso al código fuente.

5. Autenticación segura.

6. Gestión de capacidades.

7. Controles contra el código malicioso.

8. Gestión de vulnerabilidades técnicas.

9. Gestión de la configuración.

10. Eliminación de la información.

11. Enmascaramiento de datos.

12. Prevención de fugas de datos.

13. Copias de seguridad de la información.

14. Redundancia de los recursos de tratamiento de la información.

15. Registros de eventos.

16. Seguimiento de actividades.

17. Sincronización del reloj.

18. Uso de los programas de utilidad con privilegios.

19. Instalación del software en sistemas de producción.

20. Seguridad en redes.

21. Seguridad en los servicios de red.

22. Segregación en redes.

23. Filtrado de webs.

24. Uso de la criptografía.

25. Seguridad en el ciclo de vida del desarrollo.

26. Requisitos de seguridad de las aplicaciones.

27. Arquitectura segura de sistemas y principios de ingeniería.

28. Codificación segura.

29. Pruebas de seguridad en desarrollo y aceptación.

30. Externalización del desarrollo.

31. Separación de los entornos de desarrollo, prueba y producción.

32. Gestión de cambios.

33. Datos de prueba.

34. Protección de los sistemas de información durante las pruebas de auditoría.

A continuación, se va a dar una breve descripción de cada uno de los controles mencionados anteriormente:

Control 8.1. Dispositivos finales de usuario

. Toda información que se almacene, procese o sea accesible mediante dispositivos finales de usuario debería ser protegida.

Control 8.2. Gestión de privilegios de acceso

. Debería restringirse la asignación y la utilización de los derechos de acceso con privilegios.

Control 8.3. Restricción del acceso a la información

. El acceso a la información y a los otros activos relacionados debería restringirse, atendiendo a las políticas de control de accesos definidas específicamente.

Control 8.4. Acceso al código fuente

. El acceso de lectura y escritura al código fuente, a las herramientas de desarrollo y a las bibliotecas de los programas informáticos deberían ser gestionadas de forma adecuada.

Control 8.5. Autenticación segura

. La implementación de tecnologías y procedimientos de autenticación segura debería ser personalizada para cada sistema, considerando los niveles de acceso requeridos y las políticas de seguridad de la organización.

Control 8.6. Gestión de capacidades

. El uso de los recursos debería ser supervisado y ajustado atendiendo a los requisitos de capacidad actuales y esperados.

Control 8.7. Controles contra el código malicioso

. Se recomienda la implementación de un sistema de protección con el código malicioso, que esté respaldada, además, por una concienciación al usuario adecuada.

Control 8.8. Gestión de vulnerabilidades técnicas

. Debería llevarse a cabo un proceso de identificación, evaluación y tratamiento de las vulnerabilidades técnicas a fin de proteger los activos de información de la organización.

Control 8.9. Gestión de la configuración

. Deberían establecerse, implementarse, documentar, monitorizar y revisar todas las configuraciones de

software, hardware

, redes y servicios, incluyendo en todo caso sus configuraciones de seguridad.

Control 8.10. Eliminación de la información

. La gestión efectiva de la información implica la eliminación periódica de los datos que ya no son necesarios para las operaciones de la organización.

Control 8.11. Enmascaramiento de datos

. La implementación del enmascaramiento de datos debería basarse en una evaluación exhaustiva de las políticas de seguridad, los requisitos legales aplicables y las necesidades específicas de cada negocio.

Control 8.12. Prevención de fugas de datos

. Se recomienda la aplicación de medidas de prevención de fugas de información a los sistemas, las redes y cualquier dispositivo que se encargue de procesar, almacenar o transmitir información de carácter confidencial.

Control 8.13. Copias de seguridad de la información

. De acuerdo con la política de copias de seguridad, se deberían realizar pruebas de restauración periódicas para asegurar la integridad y recuperabilidad de los datos.

Control 8.14. Redundancia de los recursos de tratamiento de la información

. El diseño de los sistemas debería considerar la implementación de mecanismos de redundancia desde las primeras etapas del proyecto.

Control 8.15. Registros de eventos

. Se recomienda la generación, protección, almacenamiento y análisis de los registros de las actividades, excepciones, fallos y cualquier otro evento importante.

Control 8.16. Seguimiento de actividades

. Es fundamental establecer un proceso de vigilancia y análisis de los sistemas para identificar patrones de comportamiento inusuales que puedan indicar una amenaza a la seguridad de la información y tomar las medidas correctivas necesarias.

Control 8.17. Sincronización del reloj

. Deberían sincronizarse los relojes de los sistemas de procesamiento de información utilizados por la organización con fuentes de tiempo adecuadas.

Control 8.18. Uso de los programas de utilidad con privilegios

. Es necesario establecer controles estrictos sobre el uso de

software

con capacidad para modificar los mecanismos de seguridad del sistema, a fin de prevenir posibles vulnerabilidades.

Control 8.19. Instalación del

software

en sistemas de producción

. Es necesario implementar controles estrictos para garantizar la seguridad en la instalación de

software

en producción.

Control 8.20. Seguridad en redes

. Se deberían establecer procedimientos y controles rigurosos para asegurar la protección de las redes y dispositivos de red, con el objetivo de salvaguardar la integridad de la información.

Control 8.21. Seguridad en los servicios de red

. Todos los servicios de red deberían contar con mecanismos de seguridad, niveles de servicio y requisitos de servicio identificados, implementados y monitorizados.

Control 8.22. Segregación en redes

. Es fundamental establecer una arquitectura de red que permita aislar los distintos grupos de servicios, usuarios y sistemas, con el fin de reducir el impacto de posibles incidentes de seguridad.

Control 8.23. Filtrado de webs

. Debería gestionarse adecuadamente el acceso a los sitios web externos con la finalidad de disminuir el acceso a aquellos recursos web que no estén autorizados.

Control 8.24. Uso de la criptografía

. Se recomienda la definición e implementación de reglas para una utilización eficaz de la criptografía, donde se incluye la gestión de las claves criptográficas.

Control 8.25. Seguridad en el ciclo de vida del desarrollo

. Deberían establecerse y aplicar reglas para un desarrollo seguro de las aplicaciones y de los sistemas.

Control 8.26. Requisitos de seguridad de las aplicaciones

. Los requisitos de seguridad deberían ser identificados, documentados y aprobados formalmente antes de iniciar cualquier proyecto de desarrollo o adquisición de

software

.

Control 8.27. Arquitectura segura de sistemas y principios de ingeniería

. Se debería establecer, documentar y mantener un conjunto de principios de ingeniería de sistemas seguros, los cuales deben ser aplicados de manera rigurosa en todas las fases del desarrollo de

software

.

Control 8.28. Codificación segura

. Deberían aplicarse principios de codificación segura al desarrollo de

software

.

Control 8.29. Pruebas de seguridad en desarrollo y aceptación

. Se recomienda la definición e implementación de pruebas de seguridad en el ciclo de vida del desarrollo de los nuevos sistemas de información.

Control 8.30. Externalización del desarrollo

. Es fundamental ejercer un control riguroso sobre los proyectos de desarrollo de

software

que se han externalizado, mediante el control, la monitorización y revisión de todas las actividades relacionadas con ello.

Control 8.31. Separación de los entornos de desarrollo, prueba y producción

. Se recomienda la separación y protección de los entornos de desarrollo, prueba y producción.

Control 8.32. Gestión de cambios

. Se recomienda el establecimiento de procedimientos de gestión de cambios para llevar a cabo un control en todas las instalaciones de tratamiento de la información y los sistemas de información.

Control 8.33. Datos de prueba

. Se deberían seleccionar los datos de prueba con cautela, además de protegerse y controlarse.

Control 8.34. Protección de los sistemas de información durante las pruebas de auditoría

. Es necesario establecer una planificación detallada y consensuada entre evaluadores y gestores para llevar a cabo pruebas de auditoría y otras actividades de aseguramiento en sistemas en producción, garantizando así su eficacia y eficiencia.

Actividades

2. Busque y lea con más detalle la normativa ISO/IEC 27002:2023. Señale qué capítulos considera más relevantes y por qué.

3. Metodología ITIL. Librería de infraestructuras de las tecnologías de la información

Se puede decir que la antigüedad de las tecnologías de la información (TI) es bastante notable. No obstante, su integración en los distintos procesos de gestión de las organizaciones y de los negocios ha hecho que cobren una importancia estratégica relevante e imprescindible para la buena marcha de un negocio.

Hasta hace pocos años, las tecnologías de la información y las estructuras informáticas se limitaban a dar apoyo a las distintas áreas de un negocio. Sin embargo, en la actualidad han cobrado suma importancia y en lugar de dar apoyo a las áreas de negocio han pasado a formar parte de las mismas, integrándose en ellas.

La Biblioteca de Infraestructura de Tecnologías de Información (ITIL o Information Technology Infrastructure Library) se concibe como un conjunto de buenas prácticas dirigidas a alcanzar una correcta gestión de los servicios TI.

En ella, se describen detalladamente procedimientos de gestión que servirán para:

Aumentar la eficiencia de las organizaciones.

Lograr una gestión de la calidad adecuada.

Disminuir los riesgos relacionados con las TI.

Desarrollar conjuntamente los procesos de negocio y la infraestructura de las TI.

Nota

La Biblioteca de Infraestructura de Tecnologías de Información (ITIL) se considera el estándar mundial en la gestión de servicios informáticos.

3.1. Historia de la Biblioteca de Infraestructura de Tecnologías de la Información (ITIL)

La Biblioteca de Infraestructura de Tecnologías de la Información se desarrolló sobre 1980, aunque no fue hasta mediados de los años noventa cuando tuvo una mayor adopción y estandarización.

La iniciativa de su elaboración y desarrollo la tuvo el Gobierno británico a través de la Agencia para las Telecomunicaciones y Ordenadores Centrales (CCTA, Central Computer and Telecomunications Agency), atendiendo al crecimiento de dependencia de las TI: a medida que se iban implantando las TI, era necesario establecer estándares de gestión para ahorrar duplicidades, costes y errores innecesarios.

Posteriormente, la Oficina de Comercio Gubernamental (OGC, Office of Gobernance Commerce) fue la que tomó su gestión y desarrollo hasta la actualidad.

La primera versión de ITIL (v1) constaba de diez libros centrales que cubrían las áreas de Soporte del Servicio y Prestación del Servicio, orientadas exclusivamente a aspectos relacionados con la tecnología de los mainframe (o computadoras centrales), sin tener en cuenta los servicios de los negocios.

Durante los ochenta, la ITIL fue creciendo hasta contener cuarenta y dos volúmenes.

Definición

Mainframe

Es un ordenador grande, costoso y potente utilizado sobre todo por grandes empresas para manejar un elevado número de datos.

Fue a mediados de los noventa cuando se desarrolló una nueva versión (ITIL v2) a raíz de la popularidad que estaba alcanzando. En esta versión se reformula completamente la anterior, llegando a compactar los cuarenta y dos volúmenes en un total de ocho temas o categorías lógicas para una mayor comprensión.

En la v2 ya no solo se tienen en cuenta las tecnologías, sino que empiezan a tomar relevancia los procesos y servicios. Aparte de incluir recomendaciones de buenas prácticas para la Provisión de Servicio y para el Soporte de Servicio (incluidas cada una de ellas en un libro distinto), también se trabajan las áreas siguientes (también tratadas cada una en un libro distinto):

Gestión de la infraestructura de tecnologías de la información.

Gestión de la seguridad.

Perspectiva de negocio.

Gestión de aplicaciones.

Gestión de activos de

software

.

Planeando implementar la Gestión de Servicios.

Implementación de ITIL a pequeña escala.

La versión 3 de ITIL (ITIL v3) nace en 2007 (aunque es actualizada en 2011) para proseguir con la integración de la tecnología con el negocio, comenzada en la versión anterior.

Se mantienen los conceptos de Provisión de Servicio y Soporte de Servicio (y, por lo tanto, sigue estando orientada a procesos), aunque se han reformulado en cinco fases correspondientes al Ciclo de Vida del Servicio, dando flexibilidad en la gestión de los servicios y un enfoque más empresarial.

Unos años más tarde, en 2019, fue publicada la versión ITIL v4. En ella se define un sistema en el que todos los componentes y actividades de la organización trabajan de forma conjunta para permitir la creación de valor. Este sistema se conoce como Sistema de Valor del Servicio o SVS.

Mientras que ITIL v3 se enfoca en los procesos, ITIL v4 gira entorno a los procesos y las cadenas de valor, siendo estas últimas las que definen cómo se crea el valor para usuarios y clientes. Además, ITIL v4 complementa el modelo propuesto en ITIL v3 con un modelo de cuatro dimensiones.

3.2. ITIL v4 y el Sistema de Valor de Servicio

El Sistema de Valor de Servicios ofrece una gran versatilidad y flexibilidad debido a que su planteamiento no es estático a lo largo del tiempo. Este sistema permite reconfigurar los componentes y actividades para amoldarse a las circunstancias.

ITIL v4 no define procesos específicos, sino que otorga a los proveedores de servicios unas pautas generales que les permita diseñar procesos a medida. Dichas pautas son las siguientes:

Principios Básicos:

a. El sistema diseñado ha de ser sencillo, práctico y fácil de mantener en el tiempo.

b. Debe empezar a partir de la situación actual en la que se encuentre la organización.

c. Tiene que centrarse en todo lo que la organización aporta de forma directa e indirecta.

d. Debe seguir una implementación incremental. Es decir, el sistema debe construirse de forma iterativa complementando los componentes con los que ya se cuenta.

e. Cada paso debe estar optimizado y automatizado en la mayor medida posible.

Gobernanza:

esta pauta se divide en un proceso de generación de estrategias para la empresa, gestionar cómo se va a llevar a cabo dicha estrategia y supervisar que la estrategia se está cumplimentando satisfactoriamente.

Cadena de valor de servicio:

se divide en seis actividades:

a. Asegurar que el estado actual y la dirección de mejora de todos los productos de la organización sean comprendidos por las partes involucradas.

b. Mejorar de forma continua los productos, prácticas y servicios de la organización.

c. Mantener una buena relación con las partes involucradas, comprendiendo sus necesidades y estableciendo acuerdos mutuos.

d.