Guía metodológica para la implementación de Resiliencia operacional en los servicios de TI
Enviado por Ledesma • 27 de Diciembre de 2018 • 3.918 Palabras (16 Páginas) • 389 Visitas
...
CERT Resilience Management Model: El modelo de gestión de resiliencia CERT (CERT Resilience Management Model), publicación realizada en 2010 y 2016 por el Software Engineering Institute (SEI) que tiene como fin poder estudiar y resolver problemas relacionados con la ciberseguridad, las vulnerabilidades de seguridad del software, contribuir al fortalecimiento de los sistemas de red. Este modelo propone dos objetivos principales, como primer objetivo es establecer la convergencia de la gestión de riesgos y la recuperación de funcionamiento de la seguridad, la continuidad del negocio y la gestión de operaciones de TI; como segundo objetivo es de aplicar un enfoque de mejora de procesos de gestión de la resiliencia operativa.
El modelo CERT-RMM aborda en forma innovadora y transformadora el reto de gestionar la resiliencia operacional en ambientes complejos y de riesgo.
En la Fig. 1 CERT-RMM establece que la resiliencia operacional es soportado por 3 áreas: la gestión de operaciones de TI, continuidad del negocio y la gestión de seguridad, la cual comparten funciones con los mismos objetivos y metas, esto permite eliminar actividades redundantes y repetitivas, ya que se enfocan hacia la misión de la organización. La convergencia de estas 3 áreas permite la resiliencia operacional y el logro de la misión de la organización
[pic 1]
Fig. 1 Convergencia de las Actividades de la Gestión de Riesgo Operacional [CRMM10]
III. DESARROLLO
Se tomara como base el modelo CERT-RMM para el desarrollo de una propuesta para la implementación de Resiliencia en los servicios TIC, el modelo CERT-RMM soporta muchos de los procesoso de TI ya mencionados por otros marcos de trabajo, se realizara una revisión de las áreas de procesos que propone el modelo, se tomara como base las relaciones de las áreas de proceso que corresponden a la gestión de resiliencia operacional de la tecnología, según se indica en la Fig 2, se procedió a seleccionar las relaciones que afectan a la resiliencia de los servicios TIC, visualizándose que el área de gestión de tecnología (TM) está relacionado con la gran mayoría de las áreas de proceso.
[pic 2]
Fig. 2 Relaciones que abordan la resiliencia de tecnología [CRMM10], resaltado para temas del artículo.
En la Fig. 2 se visualiza las diversas áreas de procesos que abordan la resiliencia de tecnología, la gran mayoría pertenece al grupo de ingeniería según la tabla 2, los procesos de ingeniera están referenciados a implementar la resiliencia de los activos, procesos de negocio y servicios de la organización.
Según CERT-RMM las áreas de proceso en la categoría de Ingeniería representan aquellas que se enfocan en establecer e implementar resiliencia para los activos de la organización, procesos de negocio y servicios a través de un proceso requerido por los requisitos. Estos procesos establecen los componentes básicos para la resiliencia y crean la base para proteger y sostener los activos y por referencia, los procesos de negocio y los servicios que los activos soportan.
Según la Fig. 2 del CERT-RMM se obtiene las áreas de proceso que aseguren la propuesta para la implementación de resiliencia en los servicios TIC en una Organización.
- ADM (Definición y Gestión de Activos).
- RRD (Desarrollo de Requisitos de Resiliencia).
- RRM (Gestión de Requisitos de Resiliencia)
- CTRL (Gestión de Controles )
- RTSE (Ingeniera de Soluciones Técnicas Resilientes).
- CS (Continuidad del Servicio).
- EXD (Gestión de Dependencias Externas)
- TM (Gestión de la Tecnología).
- RISK (Gestión de Riesgo)
- VAR (Análisis y Resolución de vulnerabilidades).
Identificado las áreas de proceso relacionado con la resiliencia operacional, se procede a realizar una matriz de las áreas con sus metas, prácticas y recomendaciones basadas en el modelo CERT-RMM.
Tabla I
Mestas Genéricas por área de procesos
Área de Proceso
Metas
ADM
SG1: Establecer Activos Organizacionales
SG2: Establecer relaciones entre Activos y Servicios
SG3: Gestionar Activos
CTRL
SG1: Definir los objetivos de control
SG2: Definir los controles
SG3: Analizar los controles
SG4: Evaluar los controles
RRD
SG1: Identificar requisitos empresariales
SG2: Desarrollar requisitos del servicio
SG3: Analizar y validar requisitos
RRM
SG1:Gestionar Requisitos
RTSE
SG1: Establecer lineamientos para el desarrollo de soluciones técnicas resilientes
SG2: Desarrollar planes para el desarrollo de soluciones técnicas resilientes
SG3: Ejecutar el Plan
SC
SG1: Preparar para la continuidad del servicio
SG2: Identificar y priorizar servicios de alto valor
SG3: Desarrollar planes de continuidad del servicio
SG4: Validar planes de continuidad del servicio
SG5: Ejercer planes de continuidad del servicio
SG6: Ejecutar planes de continuidad del servicio
SG7: Mantener planes de continuidad del servicio
...