En la gestión de la seguridad de la información quizá una de las áreas más sensibles es la de infraestructura; ITIL es un marco de trabajo que contiene las mejores prácticas para esta área de la compañía.
ITIL (Information Technology Infrastructure Library) es un compendio de buenas prácticas para que dentro de las empresas las áreas encargadas de la gestión de las tecnologías de la información administren los recursos de la mejor forma posible garantizando el mejor servicio a sus clientes internos y además la seguridad de la información.
En algún post anterior mencionamos a MAGERIT una metodología práctica para gestionar riesgos y la serie de normas ISO 27000, que reúne todas las normativas en materia de seguridad de la información. Es importante resaltar que a diferencia de las anteriores ITIL no es una norma certificable para las empresas, sino que es un conjunto de guías para que las empresas gestionen de la mejor manera sus activos de información.
Lo que si comparte ITIL con otros estándares como los relacionados con ISO 27000, es que tiene como base el modelo de mejora continua, que plantea que toda gestión debe iniciar con una planeación la cual debe servir para ejecutar las actividades diarias de una organización. Estas actividades deben ser medidas y controladas con el objetivo de obtener la información necesaria que permita mejorarlas y volver a hacer una planeación que tenga en cuenta el real funcionamiento de la empresa.
Lo que busca ITIL entonces es plantear un modelo de referencia en el cual las áreas de TI son áreas que brindan apoyo al cumplimiento de los objetivos del negocio. Por lo tanto incorpora para las áreas encargadas de la administración de los activos tecnológicos de la compañía una filosofía que está asociada con la prestación de servicios de tecnologías y no solamente con la administración de servidores, bases de datos, equipos y demás dispositivos y aplicaciones que están en un área de TI.
Este cambio en la forma de administración de los activos de información en una empresa plantea que la función de TI sea entendido de otra forma, en la cual se debe tener en cuenta que además del hardware existen personas que son quienes lo utilizan y lo necesitan para cumplir con sus actividades y así garantizar que el negocio funcione. Por ejemplo, para la gestión de las conexiones a Internet el área de TI puede estar tentada a limitar la navegación para garantizar la seguridad de la información. Si bien esta puede ser una práctica que garantice un alto nivel en la seguridad de la información, puede no ser lo más óptimo para que los usuarios realicen sus tareas pues seguramente muchos empleados necesiten navegar en Internet para buscar información.
Precisamente la necesidad que puede suplir la adopción de ITIL es lograr que tanto los empleados, la tecnología y los procesos, que se ejecutan en el día a día, se encuentren alineados para cumplir los objetivos del negocio, todo esto garantizando los adecuados niveles de servicio y obviamente la seguridad de la información.
H. Camilo Gutiérrez Amaya
Especialista de Awareness & Research