miércoles, 9 de diciembre de 2015

2.11 Evaluacion y mantenimiento




Evaluación
No es posible mejorar aquello que no se conoce, es por la tanto indispensable evaluar el cumplimiento de las medidas de seguridad, sus resultados y el cumplimiento de los SLAs.
Aunque no es imprescindible, es recomendable que estas evaluaciones se complementen con auditorías de seguridad externas y/o internas realizadas por personal independiente de laGestión de la Seguridad.
Estas evaluaciones/auditorias deben valorar el rendimiento del proceso y proponer mejoras que se plasmaran en RFCs que habrán de ser evaluados por la Gestión de Cambios.
Independientemente de estas evaluaciones de carácter periódico se deberán generar informes independientes cada vez que ocurra algún incidente grave relacionado con la seguridad. De nuevo, si la Gestión de la Seguridad lo considera oportuno, estos informes se acompañaran de las RFCs correspondientes.
Después de revisar el sistema, debería evaluarse minuciosamente para garantizar que todos sus componentes se desempeñen de acuerdo a los requerimientos específicos y que trabaje adecuadamente aunque se usen otras funciones o se introduzca información errónea.
Las medidas de evaluación consisten en desarrollar un grupo de criterios de prueba para todo el sistema o para ciertos componentes. Para los sistemas más importantes o sensibles como los sistemas de votación electrónica, se puede establecer un sistema de prueba estructurado para garantizar que todos sus aspectos reciban una evaluación minuciosa.
Las medidas de evaluación que se pueden adoptar incluyen:

  • La aplicación de pruebas funcionales para determinar si se cumple con los criterios;
  • La aplicación de evaluaciones cualitativas para determinar si cumplen con los criterios;
  • Conducir pruebas de laboratorio y en distintas condiciones de la vida real;
  • Conducir pruebas durante períodos de tiempo largos para garantizar que los sistemas funcionen de forma consistente;
  • Conducir pruebas cargadas que simulen las condiciones reales, con una cantidad de información que supere a la que se manejará;

Las medidas para evaluar el equipo pueden incluir:

  • Aplicar pruebas no operativas para garantizar que el equipo soporte la manipulación física
  • Comprobar la conexión del código con el equipo (programa oficial del fabricante) para asegurar que sea la adecuada y que cumpla con los estándares;
  • La evaluación de los componentes de los programas puede incluir:
  • Evaluar todos los programas para garantizar que sean los adecuados y que sigan los estándares adecuados de diseño, desarrollo e instrumentación;
  • Conducir pruebas cargadas que simulen las condiciones de la vida real, usando una mayor cantidad de información que la esperada;
  • Verificar que se conserve la integridad de la información durante su manipulación.

Mantenimiento
La Gestión de la Seguridad es un proceso continuo y se han de mantener al día el Plan de Seguridad y las secciones de seguridad de los SLAs.
Los cambios en el Plan de Seguridad y los SLAs pueden ser resultado de la evaluación arriba citada o de cambios implementados en la infraestructura o servicios TI.
No hay nada más peligroso que la falsa sensación de seguridad que ofrecen medidas de seguridad obsoletas.
Es asimismo importante que la Gestión de la Seguridad esté al día en lo que respecta a nuevos riesgos y vulnerabilidades frente a virus, spyware, ataques de denegación de servicio, etcétera, y que adopte las medidas necesarias de actualización de equipos de hardware y software, sin olvidar el apartado de formación: el factor humano es normalmente el eslabón más débil de la cadena.

Después de que los sistemas son evaluados, probados e instrumentados, deberían continuar recibiendo mantenimiento para asegurar que continúen funcionando adecuadamente y que se puedan adecuar a los nuevos requerimientos.
El mantenimiento constante o la evaluación de los sistemas deberían ser sistematizados, para garantizar que se identifiquen y se cumpla con los requerimientos. Cuando los sistemas tengan un uso extendido, se puede poner en marcha un mecanismo para monitorear la retroalimentación de los usuarios, como otro medio para determinar la necesidad de modificaciones y de mantenimiento.
Las rutinas de mantenimiento varían dependiendo del tipo y de la complejidad de la tecnología. Muchos artículos incluyen un itinerario o programa de mantenimiento recomendado por el fabricante o proveedor. Para algunos equipos y programas, el mantenimiento es suministrado por el proveedor o fabricante como parte del acuerdo de compra.
Cuando se realizan modificaciones del equipo, programas o comunicaciones como resultado del mantenimiento o de las actualizaciones, será necesario que se realicen revisiones y evaluaciones del sistema más profundas, para asegurar que se cumplan los requerimientos o especificaciones.

 
Fuentes de informacion: http://aceproject.org/ace-es/topics/et/etc/etc04 
http://159.90.80.55/tesis/000134676.pdf 
Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)