Embed Size (px)
DESCRIPTION
Sistema de Gestión de servicios de TI ISO /IEC 20000-1:2011 Norma Internacional que establece los requisitos para dirigir y controlar las actividades de la gestión del servicio. El sistema de gestión es un conjunto de elementos interrelacionados o que interactúan para establecer políticas, objetivos y alcanzarlos para el diseño, transición, entrega y mejora de los servicios
Citation preview
Sistemas de Gestión
Octubre 2013
▲ El sistema de gestión es un conjunto de
elementos interrelacionados o que interactúan
para establecer políticas, objetivos y
alcanzarlos para el diseño, transición, entrega
y mejora de los servicios
SISTEMA DE GESTIÓN DE SERVICIOS DE T.I.
▲ Norma internacional que establece los requisitos para dirigir y
controlar las actividades de la gestión del servicio.
▲ ISO/IEC 20000-1:2011
Gestión de Relación con el negocio
¿Por qué es
exitoso?
▲ Identificar y documentar los clientes,
usuarios y partes interesadas de los
servicios.
Gestión de Relación con el negocio
▲ Mecanismo de comunicación con el
cliente
▲ Promover el entendimiento del entorno
de negocio
▲ Gestionar las quejas
▲ Medir la satisfacción del cliente
Permite responder a las necesidades
del cliente
► Identificar requisitos
► Identificar y valorar los riesgos
► Requisitos sobre los recursos
► Tecnología utilizada
► Dependencias de otros servicios
► Pruebas
► Capacitación
Diseño y Transición de Servicios Nuevos o Modificados
▲ Planificación y diseño de actividades para el
servicio nuevo o modificado:
Gestión de Niveles de Servicio
▲ ¿Qué Servicios ofrece Facebook?
Muro: Es un espacio en cada perfil de usuario que permite que los amigos escriban mensajes para que el usuario los vea. Sólo es visible para usuarios registrados. Permite ingresar imágenes y poner cualquier tipo de logotipos en tu publicación.
Lista de amigos: En ella, el usuario puede agregar a cualquier persona que conozca y esté registrada, siempre que acepte su invitación.1En Facebook se pueden localizar amigos con quienes se perdió el contacto o agregar otros nuevos con quienes intercambiar fotos o mensajes. Para ello, el servidor de Facebook posee herramientas de búsqueda y de sugerencia de amigos.
Botón me gusta: Esta función aparece en la parte inferior de cada publicación hecha por el usuario o sus contactos. Permite valorar si el contenido es del agrado del usuario actual en la red social, del mismo modo se notifica a la persona que expuso ese tema originalmente si es del agrado del alguien más (alguno de sus contactos)
Catálogo de Servicio
Gestión de Niveles de Servicio
▲ Requisitos del servicio
▲ Características del servicio
▲ Cargas de trabajo
▲ Excepciones
Acuerdo de Nivel de Servicio - SLA
Das tu consentimiento para que tus datos
personales sean transferidos y procesados en Estados Unidos.
Al usar o al acceder a Facebook, muestras tu conformidad con esta Declaración
Privacidad, Compartir contenido, publicidad etc..
Disponbilidad 99.65%
Informes del Servicio
50, 304 Links compartidos
79, 364 Post en el muro
382, 681 Clics en el botón Me gusta
510, 404 Comentarios
82, 557 Actualización de Estado
135, 849 Fotos Subidas
1 MINUTO en Facebook
66, 168 Fotos Etiquetadas
Gestión de Capacidad
Actual
• 900 millones de usuarios
• 50% conectándose diario
• 9 centros de datos
• 30 billones de elementos de contenido
Futura
• 1 billón de usuarios
• 2do Campus en Menlo
• Crecimiento del 19%
• Facebook Home
• Compra e integración de otras aplicaciones
▲ 9 centros de datos, 60,000
servidores incluyendo:
Gestión de Configuración
Definir y controlar los
componentes del servicio y de la
infraestructura, y mantener
información precisa sobre la
configuración. del servicio a
través de una Base de datos de
Configuración que contenga:
Proceso de control que apoya a otros procesos
¿Qué infraestructura necesita
Facebook para mantener la red?
a)Ubicación
b)Descripción
c)Relaciones
d)Ubicación
e)Estatus
► Sistemas de energía
► Sistema de climatización
► Ancho de banda requerido
► Personal Técnico
► Sistema operativo
► Espacio físico especial
► Cableado CMDB
▲ Contrato documentado.
Gestión de proveedores
▲ Requisitos del servicio
▲ Características del servicio
▲ Cargas de trabajo
▲ Excepciones y penalizaciones
▲ Revisiones del desempeño del proveedor.
▲ Disputas contractuales
▲ Roles y responsabilidades
Gestionar los proveedores para garantizar la provisión sin interrupciones de servicios
Gestión de seguridad de la información
Gestión de riesgos
Controles de Seguridad
Política de Seguridad de la
información
Incidentes de Seguridad
http://www.facebook.com/security http://www.facebook.com/safety/tools/
▲ Política de uso de datos
► Qué información recibimos y
cómo se utiliza
► Cómo compartes contenido y
cómo se te encuentra en
► Cookies, píxeles y otras
tecnologías del sistema
► Cómo funcionan los anuncios
y las historias patrocinadas
Gestionar la seguridad de la
información de manera eficaz para
todas las actividades del servicio. ▲ Aplicaciones: Debido al gran
éxito de las aplicaciones en
Facebook, los ciberdelincuentes
crean falsas aplicaciones con el
objetivo de engañar al usuario y
obtener información confidencial o
privada.
▲ Amigos: Ten cuidado a quién
agregas como amigo. En Internet
todo el mundo no siempre es
quién dice ser.
▲ Enlaces: Muchos
ciberdelincuentes aprovechan las
redes sociales para publicar falsas
noticias con asuntos sugerentes y
enlaces a páginas maliciosas..
▲ Protege tu cuenta. Como siempre,
nosotros recomendamos que
cambies tu contraseña
periódicamente para que te
mantengas seguro en línea.
▲ Control de los usuarios que
pueden ver tu información
▲ Utiliza la configuración de
privacidad para controlar quién
puede ver tu biografía y tus
publicaciones.
▲ Bloqueo de usuarios
▲ Si una persona te está acosando o
si no deseas que te pueda seguir
viendo en Facebook, puedes
bloquearla en tu biografía.
▲ Desconexión remota
Utiliza la desconexión remota para
cerrar cualquier sesión de Facebook
que hayas dejado activa en una
computadora o dispositivo, como en
un cibercafé o en casa de un amigo.
▲ Navegación segura
Si utilizas Facebook con frecuencia
desde redes públicas no seguras,
como las de los aeropuertos o
cibercafés, piensa en habilitar la
navegación segura de Facebook o
HTTPS.
▲ Denuncia contenido ofensivo o
abusivo Infórmanos acerca de
cualquier contenido que suponga
una infracción de las Condiciones
de Facebook. Las denuncias son
confidenciales. El usuario en
cuestión no sabrá que lo
denunciaste.
▲ Una vez enviada la denuncia,
investigaremos el caso y
determinaremos si el contenido
debe o no eliminarse tomando
como referencia las Condiciones
de Facebook. Investigamos cada
una de las denuncias para
determinar cuál es la línea de
acción adecuada.
Gestión de Continuidad y disponibilidad
Fuentes de energía alternas – básicamente no-breaks en escala industrial .
Sistemas de almacenamiento, procesamiento y recuperación redundantes por triplicado o cuadruplicado. Alta disponibilidad 99.6 % funcionando 24X7x365
¿Qué significa esto?
Básicamente que la información se está replicando y almacenando constantemente para que en caso de problemas no se pierda nada y el servicio SIEMPRE esté disponible.
En cada 90 servidores montados en 3 columnas de 30 hay un sistema de alimentación de emergencia.
Cuenta con un área de investigación para que sus centros de datos sean más eficiente |Open Compute Project
Restaurar el servicio acordado con el
negocio tan pronto como sea posible y
atender todas las solicitudes de servicio
Gestión de incidentes y solicitudes del servicio
Registro
Asignación de prioridad
Clasificación
Actualización de registros;
Escalamiento
Resolución
Comunicación del incidente
Cierre
Procedimiento de incidentes
Tipos de incidentes
identificar problemas y minimizar o eliminar el
impacto de los incidentes y problemas.
Gestión de Problemas
Registro
Clasificación
Actualización de registros;
Escalamiento
Resolución
Cierre
Publicaciones imprevistas
No puedo eliminar información
No puedo acceder a mis aplicaciones
La aplicación se ejecuta lentamente
Procedimiento de problemas
De carácter legal
Problemas
Analizar los datos y tendencias sobre los incidentes y problemas para identificar la causa
raíz.
Registro de errores conocidos http://www.facebook.com/he
lp/272381452882351/
Gestión de Cambios
2011 Biografía . tiene como objetivo agilizar y optimizar el paseo de los usuarios por los perfiles de todos los contactos.
2008 Fotos: Etiquetar fotos
2008 Chat: Conversaciones en línea
2009 Ubicación: Publicar la ubicación actual, lugares favoritos etc..
2007App: Aplicación de Facebook en móviles
2009 Apareció el botón me gusta
2012 Integración de aplicaciones
¿Cambios?
2004Primera versión de The Facebook
▲ Planificar el despliegue del
servicio nuevo o modificado
Gestión de liberación y despligue
Entregar, distribuir y realizar el seguimiento de uno o más cambios en la entrega en el entorno de
producción real.
▲ Probar el despliegue
▲ Plan de retorno
▲ Revisar el éxito o fallas
de las liberaciones
ISO/IEC 20000-1
Gestión de incidentes
Gestión de problemas
Gestión de cambios
Gestión la entrega
Ge
stió
n d
e la
co
nfi
gura
ció
n
Gestión de relación con proveedores
Gestión de la capacidad
Gestión de la continuidad y disponibilidad
Gestión de la Seguridad
Gestión de presupuesto y contabilidad de TI G
est
ión
de
niv
eles
de
se
rvic
io
Ges
tió
n d
e re
laci
on
es c
on
el
neg
oci
o
Clie
nte
/ N
ego
cio
▲ Identifica amenazas y vulnerabilidades
▲ Realiza un análisis de riesgos
▲ Identifica las medidas de seguridad que tienes
▲ Implementa controles
▲ Opera u mantiene tu seguridad
▲ Revisa tus contarles
SISTEMAS DE GESTIÓN DE SEGURIDAD DE INFORMACIÓN
Garantizar la confidencialidad, integridad y disponibilidad de la información que es pieza clave de las operaciones de negocio
Disminuye la posibilidad de que existan vulneraciones que
comprometan la información mediante la implementación de
controles que den tratamiento a lo riesgos.
Sistema de Gestión de
Seguridad de la Información
ISO/IEC 27001I
▲ Identifique las posibles amenazas a las que esta expuesta
organización
¿Cómo empezar?
Riesgos ¿Cómo te afectan?
Am
bien
tales
!
Espías
Hackers
Inundaciones
Terremotos / Sismos
Incendios
Usuarios descuidados
Usuarios malintencionados
Pérdida de Activos
Valora y Clasifica los riesgos
Físico
Acceso a edificios y cerraduras
CCTV y sistemas de identificación
Auditorías fuera de horas de trabajo
Intervención de comunicaciones y redes inalámbricas
Personas
Ingeniería social
Concientización de seguridad
Simulaciones de Phishing
Redes sociales y políticas de publicación
Sistemas / Redes
Sistemas operativos
Bases de datos
Routers, Switches, Firewalls y VPN
VoIP / telefonía
Equipo portátil /móvil
Denegación de Servicio
Aplicaciones
Web (.net, php, xml, http/s)
Java, C++ y revisión de código
Pruebas con y sin credenciales de acceso
reales
Asegurar aplicaciones de terceros
▲ Identifique qué medidas de seguridad tiene contra esos riesgos
¿Cómo empezar?
Medidas de Seguridad Existentes
Recepción ✓
Vigilancia, Cámaras ✓
Tarjetas de proximidad ✓
Reglamento interno ✓
Alarma sísmica X
Aspersores de humo X
Intranet, usuario y contraseñas ✓
Antivirus ✓
Respaldos X
▲ Compare las medidas de seguridad y amenazas identificadas
con los controles del Anexo A de la norma
¿Cómo empezar?
Numeral Control Amenaza Identificada Medida de seguridad identificadas
Nivel de Riesgo
A.9.1.2 Controles físicos de entrada Espías Usuarios malintencionados
Recepción ✓ Vigilancia, Cámaras ✓ Tarjetas de proximidad ✓
ALTO
A.9.1.4 Protección contra las amenazas externas y de origen ambiental
Terremotos Incendios
Alarma sísmica X Aspersores de humo X
MEDIO
A.11.2.3 Gestión de contraseñas de usuario Espías Usuario y contraseñas en
aplicaciones ✓ ALTO
A.11.7.1
Computadoras portátiles y comunicaciones móviles
Pérdida de activos Respaldos X ALTO
A.13.1.1
Notificación de los eventos de seguridad de la información ? ? ?
¿Habías considerado alguna amenaza y medida para el control?
¿Aplica en tu organización? ¿Las medidas de seguridad son suficientes para mitigar el riesgo?
Análisis de
Riesgos
Anexo A
A.5 Política de seguridad
A.6 Aspectos organizativos de la seguridad de la información
A.7 Gestión de activos
A.8 Seguridad ligada a los recursos humanos
A.9 Seguridad física y ambiental
A.10 Gestión de comunicaciones y operaciones
A.11 Control de acceso
A.12 Adquisición, desarrollo y mantenimiento de los sistemas de información
A.13 Gestión de incidentes de seguridad de la información
A.14 Gestión de la continuidad del negocio
A.15 Cumplimiento
133 CONTROLES
ADMINISTRATIVOS
TÉCNICOS
FÍSICOS
¿Cómo empezar?
▲ Elabore la declaración de aplicabilidad (SOA)
Numeral Control Aplicabilidad Estado Justificación
A.9.1.2 Controles físicos de entrada SI Implementado Este control ayuda a mitigar los riesgos derivados de amenazas de personas externas como hackers o especias.
A.9.1.4 Protección contra las amenazas externas y de origen ambiental
SI No implementado
Este control ayuda a mitigar los riesgos derivados de amenazas de origen ambiental como incendios y terremotos.
A.11.2.3 Gestión de contraseñas de usuario SI Implementado
Este control ayuda a mitigar los riesgos derivados de amenazas de usuarios malintencionados . Ayuda a proteger la información electrónica de la organización.
A.11.7.1
Computadoras portátiles y comunicaciones móviles
SI No implementado
Este control ayuda a mitigar los riesgos derivados de amenazas sobre la pérdida de información en equipo portátil.
A.13.1.1
Notificación de los eventos de seguridad de la información
SI No implementado
Este control ayuda a mantener registros de los eventos de seguridad para que se analicen y se pueda mejorar la seguridad de la organización.
A.10.9.1 Comercio Electrónico NO No implementado La organización no realiza comercio electrónico.
Versión 1. Fecha de publicación 27 de agosto de 2013
¿Cómo empezar?
▲ Elabore el plan de tratamiento de riesgos para cada
control qué aplique en tu organización
Numeral A.9.1.2
Control Controles físicos de entrada
Amenazas Espías Usuarios malintencionados
Nivel de riesgo
Alto
Tratamiento Mitigar
Medidas de Seguridad
Recepción , Vigilancia, Cámaras Tarjetas de proximidad
Documentos Manuales técnicos
Métrica - KPI (# de incidentes relacionados /Total de ingresos relacionados )*100
Responsable Responsable de Servicios Generales
Estado Implementado
Numeral A.11.7.1
Control Computadoras portátiles y comunicaciones móviles
Amenazas Pérdida de activos
Nivel de riesgo Medio
Tratamiento Mitigar
Medidas de Seguridad
Respaldos
Documentos Política de uso de activos Procedimiento para realizar los respaldos
Métrica - KPI (# Incidentes relacionados/Total de equipo móvil) *100
Responsable Responsable de infraestructura
Estado No implementado
¿Cómo empezar?
▲ Opere y revise las medidas de
seguridad
▲ Realice acciones de mejora
Plan de tratamiento
Incidentes relacionados
• Los visitantes no portaban Gafete • Ingreso de discos externos (prohibidos) • Robo de una laptop
Ineficacia Utilizando el KPI
(3/10)*100 = 30%
Nivel de Eficacia 70%
Se implementaranlas siguientes medidas de seguridad
• El personal de vigilancia realizará rondines por las instalaciones, y registrará cualquier anomalía.
• Al ingresar y Salir de las instalaciones se deberá realizar una revisión a mochilas, bolsas maletines para ver que solo lo ingresado sea lo mismo al momento de salir .
• Capacitar al personal de vigilancia sobre la importancia de Seguridad de la información
Actualizar el análisis de riesgos y SOA
Numeral A.9.1.2
Control Controles físicos de entrada
Amenazas Espías Usuarios malintencionados
Nivel de riesgo Alto
Tratamiento Mitigar
Medidas de Seguridad
Recepción , Vigilancia, Cámaras Tarjetas de proximidad
Documentos Manuales técnicos
Métrica - KPI (# de incidentes relacionados /Total de ingresos relacionados )*100
Responsable Responsable de Servicios Generales
Estado Implementado
Mayté RUPERTO LÓPEZ
Auditora Líder
de Sistemas de Gestión
1204 5191 Ext. 425
GRACIAS !
