martes, 19 de octubre de 2010

Mejora la administración y la seguridad del sistema de una organización con la implantación de una CMDB

El proceso de Gestión de la configuración es uno de los mas importantes de los que se compone la norma ISO 20000. En este proceso se explica como se deben definir y controlar los componentes de los servicios de una organización, así como su infraestructura, y como se debe mantener toda la información sobre la configuración del sistema.

La norma nos indica que debe existir una visión integrada para planificar la gestión de los cambios y de la configuración, así como una política que defina los elementos de configuración.

El proceso de gestión de la configuración debe centrarse prioritariamente en identificar, controlar y hacer el seguimiento de las versiones de los componentes del servicio y la infraestructura, y debe reflejar todos los cambios en los elementos de configuración, así como sus deficiencias y todas las acciones correctivas que se apliquen tras detectar un problema, facilitando de ésta manera su auditoría.

Todos los elementos de configuración deberían controlarse en una base de datos que contenga los detalles importantes de cada uno de ellos y los detalles que los relacionan entre sí. A esta base de datos se la conoce como CMDB, siglas en inglés de Base de datos de gestión de la configuración.

Por tanto se puede resumir que la CMDB es una base de datos centralizada que utilizaremos para gestionar los activos contribuyendo de esta manera a mantener actualizados todos los elementos de un sistema, con sus correspondientes parches, problemas y soluciones a problemas que se presenten y sobretodo que se utilizará para modelizar los servicios TI proporcionados por la organización, ofreciendo de esta manera una imagen global, es decir, trasladando la realidad física de nuestra organización a una realidad virtual. Esto se puede realizar con la ayuda de herramientas de autodescubrimiento como Nmap, Anubis, etc. y con sistemas de monitorización de redes que alerten de comportamientos indeseados en HW y SW como Nagios, que os iré explicando en posteriores post.

image

La CMDB debe convertirse en la herramienta principal de una organización ya que contendrá TODA la información de la misma y por ello deberá protegerse adecuadamente.

Los servicios que una CMDB debería registrar para considerarse una base de datos de gestión de la configuración completa serían los siguientes:

  • Los Servicios prestados
  • Acuerdos de nivel de servicio (SLAs)
  • Clientes, usuarios y personal
  • Información que interviene en el servicio
  • Procesos
  • Activos informáticos y tecnológicos
  • Las redes de comunicación
  • Los dispositivos periféricos a los sistemas
  • Todas las sedes de las que se componga la organización
  • Y finalmente, subcontratas y proveedores

Como veis, poseer una CMDB completa facilita en gran medida las labores de gestión de un sistema, ayudando en la seguridad de todos sus componentes al conocer el estado de cada uno de ellos, actualizaciones y parches aplicados, otros elementos de configuración con los que se relacionan y que pueden convertirlos en debilidades (recordemos que la seguridad de un sistema será tan fuerte como su punto mas débil), personal encargado de su gestión y un largo etcétera.

La CMDB no solo es importante en las implantaciones de la norma ISO 20000, también forma parte del catálogo de buenas prácticas de ITIL (alineada con ISO 20000 al derivarse ésta de la norma BS 15000) y en la norma ISO 27001, que toca la pata de seguridad en la norma ISO 20000.

En próximos post os hablaré mas en profundidad sobre la CMDB y las herramientas que pueden ser útiles para su implantación.

saludos!

No hay comentarios: