No es
posible mejorar aquello que no se conoce, es por la tanto indispensable evaluar
el cumplimiento de las medidas de seguridad, sus resultados y el cumplimiento
de los SLAs.
Aunque no
es imprescindible, es recomendable que estas evaluaciones se complementen con
auditorías de seguridad externas y/o internas realizadas por personal
independiente de laGestión de la Seguridad.
Estas
evaluaciones/auditorias deben valorar el rendimiento del proceso y proponer
mejoras que se plasmaran en RFCs que habrán de ser evaluados por
la Gestión de Cambios.
Independientemente
de estas evaluaciones de carácter periódico se deberán generar informes
independientes cada vez que ocurra algún incidente grave relacionado con la
seguridad. De nuevo, si la Gestión de la Seguridad lo considera oportuno, estos
informes se acompañaran de las RFCs correspondientes.
Después de
revisar el sistema, debería evaluarse minuciosamente para garantizar que todos
sus componentes se desempeñen de acuerdo a los requerimientos específicos y que
trabaje adecuadamente aunque se usen otras funciones o se introduzca
información errónea.
Las medidas
de evaluación consisten en desarrollar un grupo de criterios de prueba para
todo el sistema o para ciertos componentes. Para los sistemas más importantes o
sensibles como los sistemas de votación electrónica, se puede establecer un
sistema de prueba estructurado para garantizar que todos sus aspectos reciban
una evaluación minuciosa.
Las medidas de evaluación que se pueden adoptar
incluyen:
- La
aplicación de pruebas funcionales
- La
aplicación de evaluaciones cualitativas
- Conducir
pruebas de laboratorio y en distintas condiciones de la vida real;
- Conducir
pruebas durante períodos de tiempo largos para garantizar que los sistemas
- funcionen de forma consistente;
Las medidas para evaluar el equipo pueden incluir:
- Aplicar
pruebas no operativas para garantizar que el equipo soporte la
manipulación física;
- Comprobar
la conexión del código con el equipo (programa oficial del fabricante)
para asegurar que sea la adecuada y que cumpla con los estándares;
La evaluación de los componentes de los programas
puede incluir:
- Evaluar
todos los programas para garantizar que sean los adecuados y que sigan los
estándares adecuados de diseño, desarrollo e instrumentación;
- Conducir
pruebas cargadas que simulen las condiciones de la vida real, usando una
mayor cantidad de información que la esperada;
- Verificar
que se conserve la integridad de la información durante su manipulación.
Mantenimiento del sistema
Después de que los sistemas son evaluados, probados e
instrumentados, deberían continuar recibiendo mantenimiento para asegurar que
continúen funcionando adecuadamente y que se puedan adecuar a los nuevos
requerimientos.
El mantenimiento constante o la evaluación de los sistemas
deberían ser sistematizados, para garantizar que se identifiquen y se cumpla
con los requerimientos. Cuando los sistemas tengan un uso extendido, se puede
poner en marcha un mecanismo para monitorear la retroalimentación de los
usuarios, como otro medio para determinar la necesidad de modificaciones y de
mantenimiento.
No hay comentarios.:
Publicar un comentario