Seguridad En Nodos Y Redes (Gestión De Riesgos Software)

9. SEGURIDAD EN NODOS Y REDES

Este capítulo recoge de forma sencilla conceptos relacionados con la operación técnica de los sistemas de información. Debe tenerse en cuenta de entrada que los niveles de detalle y de formalización de los procedimientos requeridos para manejar y operar las instalaciones de servidores centrales y de redes variarán según el tipo de equipos, el tamaño de la Organización, la naturaleza de su funcionamiento y la criticidad de las aplicaciones. Así una organización grande con computadores corporativos y función especializada en transacciones o una red amplia requieren un conjunto más amplio de procedimientos y controles de seguridad que una Organización pequeña que sólo use ofimática. Pero los mismos procesos de seguridad deberían aplicarse en ambas en principio, aunque haya que interpretarlos apropiadamente.

9.1 Aceptación y Planificación de los sistemas

Con objeto de minimizar el riesgo de fallos de los sistemas, se necesita verificar, planificar y preparar por adelantado la disponibilidad y capacidad de los recursos adecuados. Primero se deberán establecer, documentar y probar antes de su aceptación los requerimientos operacionales de los sistemas nuevos. Además deberán realizarse proyecciones de los requerimientos futuros de capacidad para reducir el riego de sobrecarga de sistema. Por último han de coordinarse y revisarse regularmente los requerimientos de recuperación de fallos y caídas en los servicios que soportan aplicaciones múltiples.

9.1.1 Aceptación de los Sistemas

Los gestores informáticos deben establecer criterios de aceptación para sistemas nuevos y desarrollar pruebas adecuadas para confirmar que se han satisfecho completamente todos los criterios de aceptación antes de ésta, asegurando que dichos criterios y requerimientos de prueba y aceptación están claramente definidos, acordados, documentados y probados en los aspectos siguientes:

• Los requerimientos de rendimiento y capacidad de ejecución.

• La preparación de planes de contingencia del sistema y de procedimientos de recuperación de error y de rearranque.

• La preparación y prueba de procedimientos operativos de rutina.

• La evidencia de que la instalación del nuevo sistema no afectará negativamente a los sistemas existentes y particularmente a los tiempos punta de proceso (por ejemplo fin de mes).

• La formación en la operación y utilización de los sistemas nuevos.

Por ejemplo y para desarrollos nuevos importantes, se deberá consultar al responsable de operaciones durante todo el proceso de desarrollo para asegurar la eficiencia operacional del diseño del sistema propuesto y conocer cómo afectará su arranque a la eficiencia operacional del resto.

9.1.2 Planificación de Capacidad

Los gestores informáticos realizarán proyeccionesde los requerimientos futuros de capacidad informática para asegurar que se dispondrá de la potencia de proceso y de almacenamiento adecuados, evitando fallos debidos a una capacidad inadecuada. Estas proyecciones deben tomar en cuenta los requerimientos de los sistemas nuevos, así como las tendencias actuales y proyectadas de uso del sistema informático y la red. Los servidores corporativos requieren una atención especial porque aumentar su capacidad implica costes y plazos importantes.

9.1.3 Planificación de la recuperación de caídas

El ‘propietario’ y los usuarios de la aplicación especificarán los requerimientos de recuperación de caídas, basándose en el procedimiento de planificación de continuidad del funcionamiento de la actividad que tienen encomendada.

Los Gestores de los servicios ofrecidos por la informática y las redes corporativas coordinarán y revisarán estos requerimientos para recuperación de caídas, estableciendo un plan adecuado de recuperación de caídas para cada servicio, asegurándose que en cada uno se establecen las medidas apropiadas para dicha recuperación y coordinando los requerimientos de recuperación para los servicios compartidos. Asimismo gestionarán, como mecanismo de recuperación de caídas, los medios alternativos transitorios para continuación del proceso, que además probarán regularmente.

9.1.4 Control de cambios operacionales

El control inadecuado de los cambios de los sistemas, dispositivos y configuraciones es una causa común de fallos del sistema o de su seguridad. Se requieren procedimientos formalizados de gestión y responsables concretos para asegurar un control suficiente de los cambios operacionales. En particular deben cubrirse los siguientes aspectos:

• La identificación y registro de los cambios significativos.

• La evaluación del impacto potencial de tales cambios.

• El procedimiento de aprobación para los cambios propuestos.

• La comunicación de los detalles del cambio a todos los interesados.

• Los procedimientos para recuperar cambios abortados.

9.2 Procedimientos y responsabilidades operacionales

Para cumplir el objetivo de conseguir la operación correcta y segura de las instalaciones de nodos y redes, la Organización establecerá responsabilidades y procedimientos para su gestión y operación, definiéndolos claramente y apoyándolos con instrucciones apropiadas de operación y con procedimientos de respuesta ante incidentes.

9.2.1 Documentación de procedimientos operativos

Deben prepararse para todos los sistemas informáticos operacionales procedimientos claros y bien documentados de operación que aseguren la corrección y seguridad de ésta. También requieren procedimientos bien documentados (pero de distinta forma) las tareas de desarrollo, mantenimiento o prueba de los sistemas, sobre todo si necesitan el apoyo

...