|
|
|
La ramificación de características de SMI tiene una estructura de varios niveles, con un máximo de tres niveles de detalle relacionados con cada una de las características principales.
Hace referencia a la facilidad con la que se puede restablecer el estado operacional normal de un servicio de forma habitual (como mediante el conocimiento existente, manuales y técnicas).
Hace referencia a la capacidad necesaria para que el proveedor de servicios realice modificaciones en el servicio para mantenerlo en buen estado.
Hace referencia al tiempo necesario para que el proveedor de servicios repare problemas identificados y devuelva el servicio a un estado operacional.
Hace referencia al grado al cual un servicio mantiene la disponibilidad ininterrumpida gracias a una planificación del riesgo y mitigación apropiada.
Hace referencia al porcentaje de tiempo que el servicio está disponible y en el estado esperado de operación.
Refleja una medida de cómo funciona un servicio sin errores bajo dadas condiciones y durante un período de tiempo dado.
Hace referencia al grado de resistencia del servicio contra el cambio, deterioro o desplazamiento.
El grado al cual un servicio puede volver a su estado de configuración autorizado después de un evento planificado o sin planificar.
El grado al cual un servicio puede reanudar un estado normal de operación después de una interrupción sin planificar.
La capacidad de identificar la causa del comportamiento particular de un servicio dentro de un grado indicado de certeza y tiempo.
La funcionalidad es una medida de la conveniencia, integridad y precisión del servicio; es una medida de cómo es el servicio de adecuado a su finalidad.
Una medida de la capacidad del servicio de cumplir su finalidad deseada.
Hace referencia a la capacidad de un servicio de proporcionar información exacta.
Una medida sobre cómo de capaz es un servicio de verse sometido a un conjunto de pruebas y obtener los mismos resultados.
Hace referencia a la capacidad que tienen los servicios de funcionar eficazmente juntos y a su capacidad de ser compatibles con otros sistemas existentes en la organización.
Hace referencia a cualquier cambio realizado en un servicio, por ejemplo, una nueva función o componente, si el cambio se adhiere a las interfaces externas anteriores mientras que sólo se modifica su comportamiento interno.
Hace referencia a la capacidad del servicio de representar una diferencia discernible al lograr una finalidad identificada o resultado.
Hace referencia a la capacidad del servicio de ser compatible con un resultado, un objetivo o una estrategia de negocio específicos.
Refleja la capacidad del servicio de ejecutar tareas específicas sin desaprovechar nada.
El tiempo empleado para ejecutar una función determinada proporcionada por el servicio.
Mide el uso, la fuente de energía y los materiales que conforman el servicio, con el objetivo de minimizar impacto ambiental y conservar los recursos.
Indica la facilidad con la que se puede usar el servicio para lograr un objetivo específico.
Hace referencia al grado en que un servicio puede prepararse para trabajar, con el mínimo riesgo, mediante la configuración automatizada de sus componentes.
Hace referencia a la naturaleza de un servicio para ser compatible con un conjunto de funciones fáciles de adoptar en el curso diario de un conjunto específico de requisitos de trabajo.
Hace referencia a la facilidad de uso de la funcionalidad proporcionada por el servicio.
Hace referencia a la capacidad de un servicio para conseguir el comportamiento esperado en conjunto determinado de circunstancias.
Indica la capacidad de crear correctamente un acuerdo legal y participar en este con un proveedor en el momento oportuno.
La capacidad es el conjunto de características y funciones que conforman la funcionalidad de servicio y lo describen. Estas características varían en función de las capacidades del servicio específico o la categoría del servicio.
La concienciación y la visibilidad miden el impacto del servicio sobre la comprensión de la organización sobre cómo funcionan las operaciones de TI.
La portabilidad hace referencia a la facilidad relativa con la cual se pueden transferir los datos, las aplicaciones, los procesos o los procedimientos de las organizaciones de un servicio a otro servicio similar.
Hace referencia a la capacidad de una organización para cambiar de un proveedor de un servicio a otro proveedor del mismo servicio fácilmente, teniendo poco impacto en las operaciones del negocio.
El uso de servicios resumidos, ya sea de un proveedor de servicios interno o externo, puede afectar a la capacidad de la organización para responder rápidamente a eventos del negocio.
Una función altamente deseable para muchos servicios es la capacidad de aumentar la capacidad a petición, ya sea mediante una solicitud manual o un proceso automático. Además, la capacidad de reducir la utilización de los recursos y de reducir el gasto de las operaciones también es deseable.
El riesgo del proveedor es una recopilación de riesgos existentes relacionados con el proveedor de servicios y la forma en la que dirigen el negocio.
Hace referencia a la coherencia y a la posible continuidad del proveedor de servicios y está formado por la capacidad, la gestión financiera, la estructura organizativa y los procesos. Otras incidencias de estabilidad, como el control de calidad y rendimiento, se tratan por separado dentro del proceso de puntuación. Las organizaciones con un rendimiento financiero bajo son más propensas a sufrir interrupciones de servicio debido a la incapacidad de contratar o cumplir con los pagos a los suministradores, a la incapacidad de atraer o conservar el personal, y a la incapacidad de aumentar la escala de sus operaciones para responder a las necesidades cambiantes del cliente. Las organizaciones más pequeñas de los mercados emergentes son a menudo el objetivo de la actividad de fusiones y adquisiciones, cuyos resultados pueden suponer una mayor estabilidad a costa del riesgo estratégico o del precio, y un posible período de inestabilidad del servicio durante la integración.
Hace referencia al riesgo de que el proveedor de servicios no tenga las certificaciones estándares del sector adecuadas para la seguridad y el funcionamiento de las TI. Las certificaciones típicas serían ISO 27000, PCI DSS y SAS 70 Se supone que los proveedores de servicios que tienen estas certificaciones actuales tienen un menor riesgo que aquellos proveedores de servicios que no las tengan porque contarán con un número de controles documentados que cubren el ámbito de la certificación y los auditarán organizaciones de terceros.
Hace referencia al riesgo de que el proveedor de servicios, con independencia de si se trata de un proveedor interno o externo, no proporcione el espectro completo de compromisos de nivel de servicio obligatorios en su acuerdo de nivel de servicio y/o no proporcione métricas fácilmente accesibles y actuales que se puedan utilizar como indicadores del rendimiento de los niveles de servicio obligatorios. Todos los requisitos importantes de un servicio deben identificarse en un acuerdo de nivel de servicio con una descripción de la métrica que se utilizará para demostrar que se cumple el nivel de servicio. El acceso (portales programáticos o web) a estas métricas debe ser cómodo para los clientes con el fin de que puedan comprobar que los niveles de servicio se cumplen de forma ininterrumpida en diferentes períodos de tiempo.
Un proveedor de servicios puede subcontratar ciertas tareas especializadas de su cadena de producción a terceros. En esta situación, el nivel de seguridad y fiabilidad del proveedor puede depender del nivel de seguridad y fiabilidad de cada uno de los vínculos y del nivel de dependencia del proveedor hacia terceros. Cualquier interrupción o defecto en la cadena, o la falta de coordinación en las responsabilidades entre las partes implicadas pueden provocar lo siguiente: falta de disponibilidad de servicios, pérdida de la confidencialidad, integridad y disponibilidad de los datos, pérdidas económicas y de reputación debido a incapacidad de cumplir con las demandas del cliente, infracciones del acuerdo de nivel de servicio, errores de servicio continuos, etc.
Hace referencia a la forma en la que el proveedor de servicios dirige el negocio; incluye prácticas de negocio y ética al margen del ámbito de cumplimiento legal. La ética incluye prácticas justas con los suministradores, clientes y empleados.
Incluye toda la conformidad legal y la capacidad de la organización de cumplir con dicha conformidad y de demostrar la observancia de dicha conformidad.
Hace referencia al riesgo de que el proveedor de servicios [1] no puede proporcionar documentación de los controles de TI que se proporcionan con el servicio y la descripción en cuanto a cómo se prueban, [2] no puede proporcionar datos fácilmente accesibles y verificables que representan los resultados actuales e históricos de las pruebas de los controles, [3] no será compatible con auditorías de los controles externas e internas del cliente planificadas regularmente.
Hace referencia al riesgo de robo, fraude o mal uso de los servicios o datos debido al hecho de que los empleados, contratistas y usuarios de terceros no son apropiados para sus roles. Las posiciones de seguridad en un proveedor de servicios deberían tener descripciones del puesto de trabajo adecuadas, procesos de contratación y despido apropiados, y términos y condiciones de empleo adecuados para posiciones delicadas Especialmente, todo el personal de seguridad se debe someter a una investigación de antecedentes en el momento de ser contratados y, a partir de entonces, de manera regular. Además, la mayor parte del personal de seguridad que cubre las operaciones de 24x7 debería formarse y certificarse como profesional de seguridad de TI.
Hace referencia el riesgo del acceso físico, los daños y las interferencias no autorizados a los locales y a la información del proveedor de servicios. Se deben albergar las instalaciones de proceso de la información importante o confidencial en áreas seguras, protegidas por perímetros de seguridad definidos, con barreras de seguridad apropiadas y controles de entrada. Deben estar físicamente protegidas contra el acceso, daños e interferencias no autorizados. La protección proporcionada debe estar en proporción con los riesgos identificados.
Hace referencia al riesgo de las operaciones incorrectas o inseguras de las instalaciones de las TI del servicio. Las responsabilidades de la gestión de TI del proveedor de servicios y del cliente deben estar definidas claramente en la función y coordinación (si es necesario). El proveedor de servicios debe proporcionar al cliente las interfaces de gestión, las capacidades y los procesos obligatorios para que el cliente pueda gestionar eficazmente sus responsabilidades del servicio (esto implica el registro, el control de registros y la seguridad de registros). Las arquitecturas de la nube requieren ciertos roles que son sumamente peligrosos, así que se debe implementar la segregación de los controles de las obligaciones, donde sea apropiado, para reducir el riesgo de mal uso del sistema por usuarios maliciosos.
Hace referencia al riesgo de que haya un control inadecuado sobre el acceso al servicio y a los datos dentro del servicio apropiado para la política de seguridad y los requisitos legales del cliente. Una política de control de acceso, que implica tanto al proveedor de servicios como al cliente, con los controles asociados obligatorios, se debería aceptar, documentar y revisar de forma regular. Las reglas y los derechos del control de acceso para el proveedor de servicios y los grupos de usuarios del cliente se deben indicar de forma clara en una política de control de acceso. Los controles de acceso son tanto lógicos como físicos y se deben tener en cuenta de forma conjunta. Esto incluye lo siguiente: la gestión de acceso del usuario, el control de acceso a la red, el control de acceso de o/s, el control de acceso de la aplicación, el control de acceso a los datos y el control de acceso móvil.
Está formada por las medidas que protegen los datos del cliente. Esto incluye la adherencia del proveedor de servicios a las políticas indicadas, a la ubicación geográfica o política de los datos, a la propiedad de los datos, a la privacidad y pérdida de datos, y a la integridad de datos.
El proveedor de servicios debe tener un conjunto completo de políticas que abordan la totalidad de la seguridad y de la protección de datos, y debe tener controles para asegurar la adherencia a la política indicada. La política debe estar disponible para que el cliente pueda revisarla, así como debe ser la prueba demostrable de que dichas políticas se están siguiendo de manera coherente.
El proveedor de servicios debe tener una política explícita para la retención y la destrucción de datos. Esta política debe incluir los requisitos del cliente sobre los intervalos de tiempo para la retención de datos obligatorios para la conformidad como, por ejemplo, Sarbanes Oxley o Graham Leach Bliley Act. También debe ser capaz de aceptar una retención de datos ampliable en respuesta a retenciones legales obligatorias y proporcionar una destrucción segura y completa de los datos cuando ya no sean obligatorios.
El proveedor de servicios debe ser capaz de demostrar adhesión a las políticas indicadas. Esto incluye la disponibilidad de registros, informes, resultados de auditorías internas o externas, o cualquier otro mecanismo que proporciona pruebas de que el proveedor de servicios sigue las políticas publicadas y mantiene registros adecuados.
Hace referencia al riesgo de que los datos del cliente se puedan mantener en varias jurisdicciones. Algunas de las cuales pueden ser de alto riesgo Si los centros de datos están ubicados en países de alto riesgo, por ejemplo, países sin leyes y con un marco legal imprevisible, estados de policía autocráticos, estados que no respetan los tratados internacionales, etc. En algunos casos, debido a regulaciones nacionales, no se permite que los datos salgan de las fronteras geopolíticas.
Los datos almacenados, creados o procesados por el servicio se pueden limitar en uso o propiedad mediante los términos de la relación con el proveedor de servicios. Esto puede afectar a la capacidad del usuario para cumplir sus objetivos, así como de transportar o reutilizar los datos.
Se trata del riesgo que el proveedor de servicios [1] no pueda detectar la pérdida o fuga de información personal debido a problemas con la seguridad del servicio y/o con los procesos sobre el ciclo de vida completo de los datos dentro del servicio y [2] no avise al cliente (y por consiguiente las víctimas en potencia de dicha pérdida) de los detalles de la pérdida en un período de tiempo adecuado para los requisitos legales y la rectificación adecuada por el cliente.
La integridad de datos hace referencia a la validez y constancia de los datos almacenados, creados o procesados por el servicio, la adecuación del uso de los datos y la confianza que se puede depositar en los datos.
Hace referencia a los gastos contraídos por el suscriptor del servicio en el momento de la entrega inicial.
Hace referencia a los gastos (por ejemplo, precios) en los que incurre el suscriptor del servicio para mantener los derechos de su suscripción al servicio en una planificación continua.
La medida directa del indicador para el coste del servicio.
| Copyright © 2012 CA. Todos los derechos reservados. | Enviar correo electrónico a CA Technologies acerca de este tema |