Después de medio año trabajando en un centro de servicios, he de decir que el número de incidencias que se tratan al cabo del día, semana o mes, es increíblemente mayor del que yo pensaba cuando entré, sin contar la atención a usuarios o proyectos determinados. Bueno, en realidad es mucho más mayor del que yo pensaba cuando me explicaron en la universidad el concepto de centro de servicios TI.
La gestión de incidencias es uno de los pilares de un centro de servicios TI, engloba desde algo tan simple como la configuración de IE en un equipo de un usuario por escritorio remoto hasta la monitorización del estado de la infraestructura de la organización. Pero la realidad es que en todas las incidencias que trataba, resolvía o escalaba a otro nivel o departamento, no me daba cuenta del conjunto de implicaciones en materia de seguridad de la información que atañe a un centro de servicios TI.
Y es que, tras cambiar de departamento y profundizar en conceptos más teóricos y menos técnicos relacionados con las normativas aplicables a las TI, mi punto de vista ha cambiado significativamente. En concreto, tras la lectura de las normas ISO 27001 e ISO 27002, he podido percibir y darme cuenta de la importancia que tiene seguir de manera correcta los procedimientos establecidos en un SGSI, especialmente en un centro de servicios. Seguía estos procedimientos sin apenas percatarme de ello.
Sin ir más lejos, si analizamos el proceso que conlleva la gestión de activos (Dominio 8 Gestión de activos) podemos observar que una inadecuada implantación del mismo supondría problemas tales como no conocer quién es el propietario de un activo. Este hecho impediría poder asegurar si un activo está inventariado o no, al igual que no conocer si está correctamente clasificado.
Otro claro ejemplo de la importancia de tener documentado cada procedimiento se puede ver en el control de acceso (Dominio 9 Control de acceso). Sin estos procedimientos, no se sabría quién o quiénes deben acceder a una u otra información y de qué manera pueden usarla.
Tener controlada cualquier caída a partir de la monitorización de los procesos, conocer en qué momento se requiere de mayor espacio en un servidor (Control 12.1.3 Gestión de capacidades), detectar si alguien ha accedido a la CMDB o ha modificado un activo, realizar las actualizaciones pertinentes del software operacional, son ejemplos concretos que definen el control que debe seguir una organización para que su información e infraestructura sea segura.
Y es que se tratan aspectos como el control del software en explotación (Dominio 12 Seguridad de las operaciones), la seguridad de las comunicaciones (Dominio 13 Seguridad en las comunicaciones), la relación con los proveedores (Dominio 15 Relación con proveedores), la gestión de incidentes de la seguridad de la información y hasta la atención de usuarios (Service Desk), con el fin de cumplir y preservar la continuidad y eficiencia de los procesos de negocio.
Sin duda, tras haber pasado por el centro de servicios y ahora estar profundizando en las normativas de la familia 2700X, me atrevo a decir que disponer de un centro de servicios de TI que se apoye en estas normativas, es sinónimo de tranquilidad a la hora de garantizar la disponibilidad, confidencialidad e integridad de la información que posee una empresa.
Sin olvidarnos de los más importante, la optimización en la gestión de los servicios de TI corporativos.
Fuente de la imagen: https://www.manageengine.com/products/service-desk/images/desktop-central.gif