View
224
Download
0
Category
Preview:
Citation preview
7/24/2019 [PD] Documentos - Seguridad informatica implementacion.pdf
1/29
7/24/2019 [PD] Documentos - Seguridad informatica implementacion.pdf
2/29
Unidad 4 Implementacin y plan de seguridad
Introduccin
Podemos afirmar que la consecuencia directa tanto de nuestro anlisisde riesgos como de nuestrpoltica de seguridad, es cerrar con la implantacin de acciones en esta materia.Existen muchos ejemplos que podemos identificar en cuanto a empresas o ambientes en los cualeses urgente tomar dichas acciones. La siguiente noticia muestra slo uno de esos escenarios.
Noticias delmundo
Idoia Olza. Pamplona23 de mayo de 2001
La SEIS pide un plan integral de seguridad de informacin clnica
La Sociedad Espaola de Informtica de la Salud (SEIS) presenta hoy en Madridun informe sobre confidencialidad de la informacin clnica. La principal
conclusin es la necesidad de disear un plan integral de seguridad queimplique a los profesionales.El informe aborda esta cuestin desde todos los puntos de vista implicados en elproceso: clnicos, gestores, investigadores, informticos, expertos encomunicaciones y juristas.
Fuente consultada:http://www.diariomedico.com/gestion/ges230501com.html
Objetivos
Objetivos
Conocer la importancia del plan de implementacinde seguridadde la empresa, para lograr que su ejecucin resulte un xito en
nuestra organizacin.Reconocer a travs de ejemplos, las diferentes acciones enmateria de seguridad que puedan ser tomadas dentro de laempresa, con la finalidad de ayudar en la seleccin de stas ennuestra organizacin.Interpretar cmo se estructura el plan de seguridad de laorganizacin, a partir del conocimiento de los puntos bsicosquese deben incluir.Conocer la informacin a ser incluida dentro del plan de accin, yque independientemente de su formato, facilite su implantacindentro de la empresa.
Contenido de la unidad
Implementacin de la seguridadPlan de seguridad
7/24/2019 [PD] Documentos - Seguridad informatica implementacion.pdf
3/29
Captulo 1 Implementacin de la seguridad
1.1 Introduccin
El conocimiento en materia de seguridad que hemos adquirido hasta ahora, nos permite acercarno
ms a la toma de acciones dentro de nuestra organizacin. Dichas acciones deben llevar un ordeadecuado que permita una utilidad real para nuestra empresa. El siguiente artculo menciona algunconsideraciones importantes al respecto.
Noticias delmundo
Elaborar la poltica de seguridad en la empresa es una cosa, implementarla esalgo completamente distinto.En el artculo del autor Charles Cressonwood titulado Policies: The Path to LessPain & More Gain", publicado en la fuente mostrada al final de este prrafo, semuestran los resultados de una encuesta, en la cual se demuestra que unacompaa que cuenta con una poltica de seguridad implantada puede tenertantos o ms problemas que aquella que no la tiene, lo que sugiere fallos en suimplementacin.
Fuente consultada:http://www.infosecuritymag.com/articles/1999/augcover.shtml
7/24/2019 [PD] Documentos - Seguridad informatica implementacion.pdf
4/29
1.2 Objetivos
Objetivos
Conocer la importancia del plan de implementacin de seguridaden la empresa, que permita que la ejecucin del mismo sea unxito.Revisar ejemplos de acciones a tomardentro de la empresa, con elfin de tener una mayor base para la seleccin de dichas acciones ennuestra propia implementacin.
7/24/2019 [PD] Documentos - Seguridad informatica implementacion.pdf
5/29
1.3 La importancia de la implementacin
Despus de conocer las amenazas y puntos dbiles del ambiente, adquiridos en el anlisis de riesgos, despus de la definicin formal de las intenciones y actitudes de la organizacin que estn definidas en poltica de seguridad de la informacin, debemos tomar algunas medidas para la implementacin d
las acciones de seguridadrecomendadas o establecidas.
Conceptoclave
Recordemos que las amenazas son agentes capaces de explotar fallosde seguridad, que denominamos puntos dbiles y, como consecuencia deello, causan prdidas o daos a los activosde una empresa y afectansus negocios.
No basta conocer las fragilidades del ambiente o tener una poltica de seguridad escrita. Debemo
instalar herramientas, divulgar reglas, concienciar a los usuarios sobre el valor de la informaciconfigurar los ambientes etc.Debemos elegir e implementar cada medida de proteccin, para contribcon la reduccin de las vulnerabilidades.
Cada medida debe seleccionarse de tal forma que, al estar en funcionamiento, logre los propsitodefinidos. Estos propsitos tienen que ser muy claros.
7/24/2019 [PD] Documentos - Seguridad informatica implementacion.pdf
6/29
1.4 Consideraciones para la implementacin
Concepto clave
Las medidas de seguridadson acciones que podemos tomar con la finalidad dereducir las vulnerabilidades existentes en los activos de la empresa.
Son varias las medidas de proteccin que recomendamos para la reduccin de las vulnerabilidadesde la informacin. Entre otras:
Proteccin contra virus Implementacin defirewalls Control de acceso a los recursos de la red Control de acceso fsico Sistemas de vigilancia Deteccin y control de invasiones Polticas generales o especficas de seguridad Equipos Configuracin de ambientes Entrenamiento Campaas de divulgacin Planes de continuidad Clasificacin de la informacin VPN Virtual Private Network Acceso remoto seguro Monitoreo y gestin de la seguridad
ICP Infraestructura de llaves pblicas
No olvidemos que el objetivo de la implementacin de las medidas de seguridad excede lolmites de la informtica, definida en el diccionario como "la ciencia que tiene en vista tratamiento de la informacin a travs del uso de equipos y procedimientos del rea dprocesamiento de datos". Por ello debemos comprender los ambientes que tratan de la informacino slo en los medios electrnicos, sino en los convencionales.
Resulta intil definir reglas para crear y usar contraseas difciles de adivinar, si los usuarios lacomparten o escriben en recados y las pegan al lado de su monitor.
El siguiente listado de ejemplos nos permite darnos una idea de lo que se requiere para la proteccide los activos en la organizacin. Son acciones que no se aplican para todos los casos ni ambientespor lo que debemos analizar y elegir el grupo factible de actividades a implantar dentro de nuestracompaa.
1. Control de acceso a los recursos de la redImplementacin de controles en las estaciones de trabajo que permiten la gestin de acceso,en diferentes niveles, a los recursos y servicios disponibles en la red.
Ejemplos2.Proteccin contra virusImplementacin de un software que prevenga y detecte software maliciosos, como virus,
7/24/2019 [PD] Documentos - Seguridad informatica implementacion.pdf
7/29
troyanos y scripts, para minimizar los riesgos con paralizaciones del sistema o la prdida deinformacin.
3. Seguridad para equipos porttilesImplantacin de aplicaciones y dispositivos para la prevencin contra accesos indebidos y elrobo de informacin.
4. ICP Infraestructura de llaves pblicas
Consiste en emplear servicios, protocolos y aplicaciones para la gestin de claves pblicas,que suministren servicios de criptografa y firma digital.
5. Deteccin y control de invasionesImplantacin de una herramienta que analice el trnsito de la red en busca de posiblesataques, para permitir dar respuestas en tiempo real, y reducir as los riesgos de invasionesen el ambiente.
6. FirewallSistema que controla el trnsito entre dos o ms redes, permite el aislamiento de diferentespermetros de seguridad, como por ejemplo, la red Interna e Internet.
7. VPN Virtual private networkTorna factible la comunicacin segura y de bajo costo. Utiliza una red pblica, como Internet,para enlazar dos o ms puntos, y permite el intercambio de informacin empleandocriptografa.
8. Acceso remoto seguroTorna posible el acceso remoto a los recursos de la red al emplear una red pblica, como porejemplo, Internet.
9. Seguridad en correo electrnicoUtiliza certificados digitales para garantizar el sigilo de las informaciones y software parafiltro de contenido, y proteger a la empresa de aplicaciones maliciosas que llegan por esemedio.
10. Seguridad para las aplicacionesImplementacin de dispositivos y aplicaciones para garantizar la confidencialidad, el sigilo delas informaciones y el control del acceso, adems del anlisis de las vulnerabilidades de laaplicacin, al suministrar una serie de recomendaciones y estndares de seguridad.
11. Monitoreo y gestin de la seguridad
Implementacin de sistemas y procesos para la gestin de los eventos de seguridad en elambiente tecnolgico, haciendo posible un control mayor del ambiente, para dar prioridad alas acciones e inversiones.
12. Seguridad en comunicacin MvilAcceso a Internet para usuarios de aparatos mviles como telfonos celulares y PDAs, parapermitir transacciones e intercambiar informacin con seguridad va Internet.
13. Seguridad para servidoresConfiguracin de seguridad en los servidores, para garantizar un control mayor en lo que serefiere al uso de servicios y recursos disponibles.
14. Firewall internoEste firewall funciona al aislar el acceso a la red de servidores crticos, minimizando losriesgos de invasiones internas a servidores y aplicaciones de misin crtica.
Despus de revisar los ejemplos anteriores, veamos las siguientes preguntas de reflexin:
7/24/2019 [PD] Documentos - Seguridad informatica implementacion.pdf
8/29
Preguntasde reflexin
Cuenta usted en la actualidad con alguna de estas medidas implementadas en suempresa? Tiene procesos de monitoreo y mejora de las mismas?
7/24/2019 [PD] Documentos - Seguridad informatica implementacion.pdf
9/29
1.5 Comenzando la implementacin
A continuacin incluimos algunas acciones a considerarse en la implementacin de la seguridad de informacin.
Consideraciones en la implementacin de acciones de seguridad de lainformacin
Plan de Seguridad
A partir de la poltica de seguridad, se definen quacciones deben implementarse (herramientas desoftware o hardware, campaas de toma deconciencia, entrenamiento etc.), para alcanzar unmayor nivel de seguridad.
Estas acciones deben estar incluidas en un plan deseguridad para dar prioridad a las accionesprincipales en trminos de su impacto en losriesgosen que se quiere actuar, con el tiempo y
costo de implementacin, para establecer as lasacciones de corto, mediano y largo plazo.
Plan de accin
Una vez definido y aprobado el plan de seguridad,se parte hacia la definicin del plan de accinparalas medidas que se deben implementar.
Recomendaciones de los fabricantes
Es muyimportanteque las recomendaciones de losfabricantes de los productos sean conocidas antesde la implementacin.
Soporte
Se puede necesitar la ayuda de profesionalescon laexperiencia necesaria para la ejecucin dedeterminadas actividades.
Planificacin de la implantacin
Algunas de las cosas a implantar (aplicaciones,equipos, campaas de divulgacin y toma deconciencia entre otras) pueden durar varios das yafectar a varios ambientes, procesos y personas dela organizacin.
En esos casos, siempre es til una planificacinpor separado.
Plataforma de Pruebas
En algunos casos, una plataforma de pruebas esnecesariapara evaluar la solucin y reducir los
posibles riesgos sobre el ambiente de produccin.
Metodologa de Implementacin
Al realizar la implementacin propiamente dicha,es muy importante seguir una metodologa, que:
7/24/2019 [PD] Documentos - Seguridad informatica implementacion.pdf
10/29
defina cmo dar los pasos necesariospara ejecutar un plan de accin
mantenga un mismo estndar de calidaden la implementacin sin importar quinlo est ejecutando.
Por lo tanto, es importante definir cmo se realizael seguimiento del progreso de la implementacin
y, en caso de dificultades, saber qu accionestomar y quin debe ser notificado.
Registro de Seguridad
Despus de la implementacin de una nuevamedida de seguridad, es importante mantener elregistro de lo que fue implementado.Se deben registrar informaciones como:
lo que fue implementado (herramienta,entrenamiento etc.);
cules son los activos involucrados; qu dificultades fueron encontradas y cmo fueron superadas; hasta qu punto se
alcanz el objetivo esperado, etc.
Este registro tiene dos objetivos principales:mantener el control de todas las medidasimplementadas y aprovechar la experienciaacumulada.
Monitoreo y Administracin del Ambiente
La administracin de un ambiente seguroinvolucra a todo un ciclo de macro actividades.Como lo mencionamos, la primera fase de ese cicloes el anlisis de riesgos, donde se conoce elambiente y lo que se debe implementar.Adems vimos tambin los aspectos relacionados
con la poltica de seguridad y actualmenteabordaremos la implementacin de medidas de
seguridad.
Es necesario monitorear los activos, desde lamedicin constante de indicadores que muestrenqu tan eficaces son las medidas adoptadas y loque se necesita cambiar.A partir de la lectura de esos indicadores, se haceotro anlisis de riesgos y se comienza el ciclo otravez (ver diagrama adjunto).El xito de una implementacin de seguridadslo se alcanza al buscar la administracinefectiva de todo el ciclo.
Para ilustrar mejor algunas de estas consideraciones, mostramos los siguientes ejemplos.
Ejemplos
En el caso de las pruebas, podemos mencionar la implantacin de unlaboratorio para revisar diferentes soluciones antivirus, que nos permitavalorar su eficacia y facilidad de administracin.Tambin es necesario revisar con cuidado los documentos provenientes de losfabricantes de equipos, para tomar en cuenta todas sus recomendaciones. Porejemplo, la manera correcta de instalar un servidor, saber cunto espacio,temperatura y dems caractersticas son necesarias.En el caso del monitoreo, existen algunas aplicaciones que permiten identificarel desempeo de un servidor de base de datos, y con esto nos damos cuenta
1.Anlisisde riesgos
3.Implemen-tacin deseguridad
4.Monitoreo yretroalimen-
tacin
2.Polticade
seguridad
7/24/2019 [PD] Documentos - Seguridad informatica implementacion.pdf
11/29
Desps drevis
detaestas consideraciones para la implantacin de la seguridad, es necesario cuestionarnos lo siguiente
1.6 Lecciones aprendidas
Captulo 2 Plan de seguridad
2.1 Introduccin
A pesar de que la mayora de las empresas el da de hoy estn conscientes de la importancia de la
seguridad de la informacin, an falta mucho por hacer. Por ello es necesario tomar plena conciency comenzar a tomar acciones, antes de que sea demasiado tarde para su negocio.
si las medidas de seguridad tomadas a favor de dicho desempeo fueron deverdadera utilidad.
Preguntasde reflexin
Est consciente de que la seguridad representa un ciclo continuo de acciones?Est preparado para monitorear y mejorar toda su implementacin a lo largodel tiempo?Cuenta con el personal y la capacitacin adecuados?
Lecciones aprendidas
Durante este captulo, identificamos las consideracionesque se tienen que tomar en cuenta en laimplementacin de la seguridad en la empresa, paralograr as tener una mejor base que nos ayude aacercarnos al xito en materia de seguridad en laorganizacinComprendimos la gran importancia de las acciones deimplementacin de la seguridaden nuestra empresa,lo cual permite que nuestras acciones se enfoquen ycumplan de manera correcta.Conocimos algunos ejemplos de consideraciones a
tomar en cuenta en la realizacin de nuestro plandeseguridad, para aclarar el enfoque que debemos darle almismo.
7/24/2019 [PD] Documentos - Seguridad informatica implementacion.pdf
12/29
Noticias delmundo
Garantizan las empresas la continuidad de su negocio?
La visin de Jess Moreno, presidente de Unisys, es que "la falta deseguridad, o simplemente la vulnerabilidad no conocida, no son buenosaliados para el negocio. Y, por encima de una poltica exhaustiva de
seguridad reactiva, lo cierto es que son cada vez ms las empresas que hanoptado por acometer planes de contingencia proactivos que incluyen unverdadero escenario de caos, y la forma de reactivar automticamente lasoperaciones del negocio en caso de desastre".
Fuente consultada:http://www.vnunet.es/Actualidad/Reportajes/Informtica_profesional/Empresas/20040204005/3
2.2 Objetivos
Objetivos
Conocer los puntos bsicosque debe contar el plan de seguridadde la organizacin, para estructurar e implantar correctamentedicho documento dentro de la empresa.Identificar las caractersticas bsicas que forman parte del plande accin, y que independientemente de su formato, deben incluirpara su correcta estructura y facilidad de implantacin en laorganizacin.
2.3 Plan de seguridad
El plan de seguridad se debe apoyar en un cronograma detallado y contener para cada accin lsiguientes puntos que enseguida se describen brevemente. Para mayor claridad aadimos un ejemplo
cada uno de los puntos.
PUNTOS A CONSIDERAR DESCRIPCIN EJEMPLO
El riesgo que se desea atenuar
Una accin es determinada por el riesgoque se desea atenuary por los objetivosde seguridad. Adems, los objetivos deseguridad se basan en las mejoresprcticas del mercado, en estndares ynormas de seguridad y en la misma
poltica de seguridad definida
Si en la empresa se tienservidores de bases de datossabemos que por su naturaleson susceptibles a algunataques que comprometen informacin, tendremos q
enfocar nuestras acciones a disminucin de estas amenaza
El(los) activo(s) involucrado(s)
Una accin se toma teniendo en mirauno o varios activos.
Por ejemplo, se pueimplementar una herramiende software (un firewall) paproteger un servidor de base datos que contenga informacicrtica al negocio. En este casel activo a ser protegido es base de datos.
7/24/2019 [PD] Documentos - Seguridad informatica implementacion.pdf
13/29
Otro ejemplo es cuandeseamos aumentar la toma conciencia de los empleadcon relacin a la seguridad deinformacin. Se puede, en escaso, implementar un tipo entrenamiento de seguridad
donde el activo involucrado slos empleados de la empresa.
Tener justificados, en funcinde los objetivos de seguridad
El tiempo que lleva laimplementacin
Los recursos (humanos ymateriales) necesarios
El anlisis costo-beneficioLa relacin costo X beneficioderiva del tiempo deimplementacin y de losrecursos que son necesarios,
tanto humanos comomateriales.
Si sabemos que una de acciones a tomar requiedetener la operacin por 2 daes necesario considerar uventana de tiempo que permsu realizacin sin afectar negocio de la empresa.
Si el costo de la implantacin una accin, como compservidores, es demasiado alto
no representa ningn beneficadicional a la organizacin, puede reconsiderar y no tomdicha accin.
Tomar en cuenta aspectoscrticos previstos para laimplementacin y cmosuperarlos
Es importante prepararse para enfrentarsituaciones adversas.
El responsable por el xito dela implementacin y pormantener el nivel deseguridadde la medidaimplementada.
El riesgo residual que puedequedar despus de laimplementacin.
Por ejemplo, en el caso de implementacin de un firewase puede necesitar sacar servidor importante del aire palgunos instantes. Por si eocurre, hay que estar preparad
Indicadores para el seguimiento(monitoreo) de la medidaimplementada
Se debe pensar en la continuidad de lamedida implementada. Saber cul esel riesgo residualque se espera, quindicadores se usan para medir laefectividad de la medida y controlar elriesgo y quin es el responsable porsu operacin y control.
La instalacin de un sistema qpermita monitorear todo desempeo de su red.
Seleccionar los indicadores q
puedan ser tilespara saberun firewall est siend
efectivo en la deteccin dintrusos.
Ahora que conocimos algunos puntos a considerar en una toma de acciones en materia dseguridad, es necesario detenernos un poco y reflexionar sobre el tema.
7/24/2019 [PD] Documentos - Seguridad informatica implementacion.pdf
14/29
Preguntasde reflexin
Tiene plena conciencia de los riesgos que desea atenuar o eliminar ensu empresa?
Conoce la relacin costo-beneficio que tendr durante laimplementacin de la seguridad?
Sabe si existirn riesgos residuales en algunos de sus activos despusde la implementacin?
7/24/2019 [PD] Documentos - Seguridad informatica implementacion.pdf
15/29
2.4 Plan de accin
Un plan de accin puede tener varios formatos, pero debe poseer las siguientes caractersticas:
Objetivos bien definidos.Un plan de accin posee objetivos bien definidos, de tal forma qual ser cumplido, esos objetivos sean alcanzados. Tambin debe ser claro, exacto, escrito dforma correcta, sin permitir dudas, ni dobles interpretaciones.
Coherencia. Las actividades estn relacionadas y debe existir armona entre las situacioneeventos e ideas, de tal manera que nada se disperse del foco. De la unidad y correlacin de lproposiciones depende el alcance de los objetos.
Secuencia.Debe contar con un camino previamente definido que permita la integracin de laactividades al racionalizar los esfuerzos y optimizar el tiempo.
Flexibilidad.Un plan de accin debe prever contingencias durante la ejecucin de las tareasdel proceso como un todo. Es necesario estructurarlo de tal manera que permita insertaractualizar puntos y/o actividades que enriquezcan o faciliten la implementacin como lnuevas tecnologas que surjan. En funcin de presupuestos, con frecuencia es necesarsuprimir algo, pero eso no significa el fin del plan. Los ajustes por lo general se realizan sque el plan pierda su eje.
Son elementos de un plan de accin
Para llevar a cabo un plan correcto de accin, es necesario seguir un orden estricto para completar caduno de sus elementos, esto ayuda a no olvidar factores importantes durante su realizacin.
7/24/2019 [PD] Documentos - Seguridad informatica implementacion.pdf
16/29
Ahora describiremos con ms detalle cada elemento, as como las preguntas detonadoras de
diagnstico y una serie de recomendaciones especficas para cada uno de ellos; para despusproporcionar algunos ejemplos.
Elemento / Preguntas de diagnstico Recomendaciones
Identificacin de la realidad. Es necesario conocer elambiente a planear, as como todos los detalles referentes alescenario y los factores que lo afectan tanto internos comoexternos y dems.
Preguntas de diagnstico
Cul es el negocio de la organizacin?Hay un plan de negocios, qu dice el mismo?Ya se hizo el anlisis de seguridad?Y la poltica?Cul es la cultura de la empresa?De un modo general ya existe una percepcin de lanecesidad de la seguridad?Existen acciones efectivas ya realizadas?Existen normas de reglamentacin de la actividad de laorganizacin?Se cuenta con recursos?
Partir del universo conocido, al asociar lainformacin nueva a los estndares antesconvenidos.
Considerar la diversidad culturaly la multiplicidadde tipos humanos que actan en la organizacin.
Estimular la interrelacin entre los miembros delo los equiposque ejecutarn las tareas.
Presentar las tareas de manera dinmica einteractiva,estimulando la atencin y despertandoel inters.
Durante la orientacin del o los equipos utilizarcasos y trminos propios de la organizacinparailustrar la informacin y facilitar la comprensin.
En pocas palabras, hacer un anlisis de la situacin
Identificacinde la realidad
Objetivos
Tareas
Metodologa
Recursos
Evaluacin
Cronograma
7/24/2019 [PD] Documentos - Seguridad informatica implementacion.pdf
17/29
Existe presupuesto para seguridad? para que quede ms claro el escenario, sea ms fcilelaborar el plan e implementar la seguridad.
A continuacin un ejemplo de lo anterior:
Ahocontuare
revisdo lobjeos.
Elemento / Preguntas de diagnstico Recomendaciones
Objetivos
Los objetivos deben ser claros. Recordemos quese elabora una planificacin para alcanzar elpropsito de implementar la seguridad de lainformacin, y no slo cumplir la tarea deelaborar un plan.
Los objetos del plan de accin tienen en mira,entre otras cosas:
Racionalizar las actividades.
Asegurar la implantacin efectiva y
econmica del programa de seguridad.
Conducir al alcance de las metas.
Verificar la marcha del proceso.
Preguntas de diagnstico
Tiene claros los objetivos de seguridad en suempresa?Son realistas?Tienen coherencia entre s?Estn relacionados con las actividades diarias de la
organizacin?
Expresados en trminos del resultadoesperado, observable y mesurable.
Explcitos en lo que se refiere a la tareaa la cual se relaciona el desempeo.
Realistas y alcanzables en los lmitesde un perodode tiempo determinado.
Coherentes entre s, contribuyendo parael alcance del objeto general del plan deaccin.
Claros, sin alternativas, sin palabrasintiles, mencionando el desempeo
relativo a cada tarea, inteligibles.
Inspirados en las actividades diarias.
Importantesy significativos en elcontexto.
Ejemplos
La empresa X implement en su red local un Router, que la une va LP CD a la ciudad deRosarioy va satlite a otras unidades de trabajo.Est previsto contar con una va red interna de la empresa a Internet por medio de un Firewall,con el objeto de tener acceso a pginas Web, FTP, correo electrnico y transitar informacinsensible que necesite autenticacin y proteccin contra accesos indebidos.
En ese escenario, dicha informacin pasa a ser crtica, por lo que tiene que ser protegida en suintegridad, confidencialidady disponibilidadpara atender a los niveles de seguridad necesariosy los negocios de dicha empresa.La principal preocupacin es garantizar la atencin adecuada a los clientes externos e internos,evitar la fuga de informacin, la prdida de activosy los desgastes de la imagen de la empresaX.
Ejemplos
Algunos ejemplos de objetivos:
Implementar la aplicacin de seguridad Firewall-1.
Capacitar personal para operacin de la aplicacin.
Crear procedimientos e instrucciones para uso.
7/24/2019 [PD] Documentos - Seguridad informatica implementacion.pdf
18/29
Revismos inforacin
delelemento tareas:
Elemento / Preguntas de diagnstico Recomendaciones
Tareas
Al seleccionar las tareas debemos considerar surelevancia, actualidad y aplicabilidad, que correspondan alos objetivos ya definidos y si son los adecuados al perfilde la organizacin.
Al seleccionar las tareas debemos adoptar criterios como:
Validez:significa que las tareas son representativaspara el alcance de los objetos.
Significado: es importante que las tareas estnvinculadas a la realidad de la organizacin para darcredibilidad y valor. Las tareas necesitan tener algnsignificado para el plan.
Utilidad: cada tarea debe dar como resultado algotil para el proceso como un todo. Que no existansin un propsito claramente definido. Tpicamente,cada tarea genera un producto.
Para ordenarlas hay que considerar la logstica,progresin, continuidad y unidad.
Preguntas de diagnstico
Las tareas estn relacionadas con los objetos queseleccionamos antes?Estas tareas cumplen con los objetivos de seguridad de laempresa?
Sugerimos que las tareas estn ordenadas de tal modoque permitan una integracin (vertical, secuencial omatricial) de manera que el resultado y progreso decada una pueda auxiliar en la optimizacin de lastareasque estn en marcha. Con seguridad, algunasactividades ocurren al mismo tiempo y hay quepreocuparse por la integracin, as se optimiza el
tiempo y los recursos, y reducimos los costos.
En resumen
Seleccionar las tareas de acuerdo con los objetos.
Al seleccionarlas, considerar el tiempo que sedispone para realizarlas;
Organizarlas de manera lgica, continuada,graduando su complejidad y manteniendo suunidad.
Permitir la integracin de las tareas entre s, conhechos del cotidiano de los equipos de trabajo y con
los objetos del plan.
Dejar siempre claro para los equipos la aplicabilidady la utilidad de cada tarea.
A continuacin un ejemplo de lo anterior:
Actualizar Normas, Procedimientos e Instrucciones para uso en conformidad con lasDirectrices de Seguridad de la Poltica de Seguridad de la Organizacin.
Ejemplos
Algunas de las descripciones de tareas que podramos realizar dentro del plan de accin son:
Analizar el problema
Elaborar la planificacin del proyecto
Definir los ndices de control
Compilar los datos
Estudio del mejor local para la instalacin del Firewall-1
7/24/2019 [PD] Documentos - Seguridad informatica implementacion.pdf
19/29
E
lsigu
iente elemento a considerar es la metodologa a seguir en nuestro plan de accin, queaparece en el siguiente cuadro.
Elemento / Preguntas de diagnstico Recomendaciones
Metodologa
Mtodo significa camino. Metodologa, lgica aplicada,
camino propio. Por lo tanto, elija con mucha atencin elcamino a seguir para elaborar su plan.
En su plan puede usar un enfoque deductivo (partiendo delo general hacia lo particular) o un enfoque inductivo(de loparticular hacia lo general).
En los planes de seguridad es ms comn el primerenfoque.
Preguntas de diagnstico
Cuenta el da de hoy con metodologas de proyectosdefinidas en su empresa?Dichas metodologas son aplicables a un plan de
seguridad?
Siempre que sea posible, definir una estrategia deimplementacin, considerando:
Establecer una implantacin piloto.
Iniciar por ambientes que soporten impactosen sus operaciones.
Solucionar un problema de cada vez.
De esta forma, veremos un ejemplo del concepto que acabamos de revisar.
Elaborar las instrucciones
Realizar el entrenamiento
Instalar y configurar el Firewall-1
Realizar pruebas
Elaborar la documentacin final
7/24/2019 [PD] Documentos - Seguridad informatica implementacion.pdf
20/29
En este ejemplo podemos ver el caso de la implantacin de un Firewall en la empresa, y como se especifica la tarea allevar a cabo poco a poco junto con la metodologa a seguir.
Especificar los productos y los recursos.Firewall-1 es un software que implementa la seguridad y auditoria de uso de la Internet/Intranet. Es compatiblecon los sistemas operativos de red Windows NT y sabores de UNIX.
Describir el objetivo.
Proteger la red interna por medio del control de acceso a los servicios y realizar auditoras en los sitios deInternet/Intranet, e implementacin de las reglas de seguridad definidas.
Definir el alcance.
Ambiente de red en el cual se instalar el Firewall-1
Establecer los criterios y la estrategia de la seguridad.
Proteccin del servidor.
Ejemplos: el sistema debe mostrar un mensaje de entrada alertando a los usuarios sobre las restricciones al usodel Firewall; no mostrar el botn de apagado en la pantalla de Inicio; ajustar el tamao mnimo de password par
14 caracteres etc.
Auditora.
Log activo; exportar el LOG del Firewall cada 7 das; solamente el usuario Administrador puede hacer
configuraciones y anlisis de los Logs del producto.
Configuracin de las reglas de filtrado.
Pasos para la instalacin.
Prever posibles contingencias.
Ejemplos
7/24/2019 [PD] Documentos - Seguridad informatica implementacion.pdf
21/29
7/24/2019 [PD] Documentos - Seguridad informatica implementacion.pdf
22/29
Si no sabemos con cules recursos contamos, no podemos realizar una planeacin adecuada denuestra implantacin de seguridad en la empresa, por ello hay que analizar con cuidado los recursocon los que contamos.
7/24/2019 [PD] Documentos - Seguridad informatica implementacion.pdf
23/29
Elemento / Preguntas de diagnstico Recomendaciones
.Recursos
Es crtico para el xito del plan, la disponibilidad de los
recursos. Siendo as, el apoyo de la alta administracin es
fundamental para que el plan alcance sus objetos.
Los recursos a considerar pueden ser: humanos, materiales
y financieros.
Preguntas de diagnstico
Cuenta con un presupuesto definido para gastos enmateria de seguridad?Hay un personal designado para tareas en esta materia?
Cuenta con el equipo necesario para la administracin deeste proyecto?
Existen algunos criterios que se deben tener en cuenta
como:
Adecuacin.Los recursos seleccionados deben
facilitar el alcance de los objetivos y ayudar en
la marcha del proceso, permitiendo agilidad,
velocidad y calidad.
Ahorro. Considerar no slo el tiempo y los
gastos, sino adems los fines deseados se
pueden atender con el empleo de los recursos
disponibles. Ese criterio se refiere tambin a la
relacin entre el tiempo necesario paraelaborar o elegir el recurso y el propsito
definido. Las opciones deben ser lgicas y
objetivas.
Disponibilidad. Los recursos deben estar
disponibles en el momento previsto para su
utilizacin. La previsin es una de las
condiciones para la disponibilidad.
Antes de entrar en detalles de los tipos de recursos revisemos algunos ejemplos para aclarar este tema.
Ejemplos
Siguiendo con nuestro caso de la instalacin de un Firewall en una empresa los recursos necesario
seran:
Recursos humanos.Un Analista de Seguridad con conocimientos de Firewall-1 y del sistema operativ
en el cual ser instalado.
Recursos materiales. Un servidor destinado a la instalacin del Firewall-1, sistema operativo a se
instalado, infraestructura de red y elctrica.
Recursos financieros. Calcular los costos de la asignacin de recursos humanos, adquisicin de lo
recursos materiales, de actividades extras como transporte y diarias (si es el caso) y otros gastos qu
sean necesarios. Es necesario hacer la previsin presupuestaria y financiera.
7/24/2019 [PD] Documentos - Seguridad informatica implementacion.pdf
24/29
Siguiendo con el mismo tema, enseguida daremos una informacin adicional de algunos tipos d
recursos:
Los recursos humanos
El trabajo de planear e implementar la seguridad, presupone equipos interdisciplinarios de especialista
Las personas que son parte de estos equipos deben ser orientadas en cuanto a los objetivos y al obje
del trabajo, las tareas, mtodo, plazos, etc. Pero es importante recordar que tambin es necesario:
Comprometer a los responsablespor la liberacin de los recursos humanos con el xito del plan.
Mantener elevada la moralde los equipos.
Facilitar la relacin.
Distribuir las tareas adecuadamente, considerando el perfil, habilidades, intereses, disponibilida
etc.
Distribuir las funciones en los equipos de acuerdo con sus habilidades, intereses y conocimientos
Integrar y sintetizar conocimientos.
Suministrar toda la informacin complementaria.
Conocer y saber utilizar los recursos disponibles.
Los recursos materiales
Necesitamos contar con el equipo adecuado, que nos facilite la realizacin de las tareas en
materia de seguridad, de esto depende que se realicen dichas actividades con el impacto
necesario.
Recordatorios importantes
Seleccionar y utilizar recursos que estn de acuerdo con la modalidad de la tarea.
Utilizar el recurso elegido y programar su uso de acuerdo con el tiempo disponible.
7/24/2019 [PD] Documentos - Seguridad informatica implementacion.pdf
25/29
Prever en el presupuesto los recursos necesarios y los disponibles reduciendo el costo.
Leer con atencin las orientaciones para el acceso y la utilizacin de los recurs
materiales y orientar los equipos en lo que se refiere a su manipulacin.
Cuidar el mantenimiento de los recursos seleccionadospara que estn siempre en orde
cuando sean necesarios.
Los recursos financieros
Adems del tomar en cuenta el personal y el equipo necesario, el recurso financiero con el que vamos
contar es importante para dimensionar la capacidad de inversin en materia de seguridad, tanto para
compra de nuevos activos como para la contratacin de personal o capacitacin, en caso de ser necesario
Recordatorios importantes
Hacer la previsin presupuestaria y financiera.
Establecer un sistema de control de los gastos.
Verificar todo lo que hay disponible y que se puede utilizar en el transcurso del proce
para reducir los costos.
Dar preferencia a recursos que se utilicen en ms de una tarea. Eso ayuda al proceso a
economa.
Recordar que el tiempo es dinero. Por lo tanto debemos optimizar las actividades de t
manera que se realicen ms en menor tiempo sin, por otro lado, perjudicar la calidad.
Despus de definir los recursos con que contamos, es necesario analizar el proceso de evaluacinq
llevaremos a cabo. Para esto, definiremos este concepto y presentaremos algunos ejemplos
recomendaciones.
Elemento / Preguntas de diagnstico RecomendacionesEvaluacin
El proceso de evaluacin no se separa del contexto del
proyecto. Es necesario analizar todos los aspectos e ir
siguiendo a lo largo del proceso. Despus de su conclusin,
es necesario hacer una especie de balanceverificando si ya
se puede dar el trabajo por terminado, o si es necesario
Cmo saber si vali la pena?Una de las actividades
ms difciles es hacer un anlisis relativo a inversiones en
seguridad.
Una de las sugerencias es crear ndices e
indicadores para mediciones antes, durante y
7/24/2019 [PD] Documentos - Seguridad informatica implementacion.pdf
26/29
redefinir algunos de los puntos definidos para el monitoreo.
Para eso debemos crear procedimientos de evaluacin:
Previa:evaluacin realizada antes de la implantacin
del plan. Ese diagnstico se puede realizar con base
en el anlisis de riesgo donde quedan en evidencia
problemas de seguridad como: incidencia de virus,
uso de la banda, problemas de respaldos, control o
ausencia de control de accesos lgicos y fsicos, etc.
Si an no hace el anlisis, establezca como tarea la
definicin de ndices e indicadores.
Durante: evaluacin realizada durante la actividad.
Establezca puntos de control. Esto significa determinar
perodos de tiempo que sern verificados si los plazos
previstos se estn cumpliendo, o si el estndar de
calidad establecido est siendo mantenido, si las
personas involucradas siguen con la misma
dedicacin y entusiasmo, si los recursos materiales y
financieros estn atendiendo a las demandas, etc. As,
si algo no est bien, es posible tomar providencias
para, corregir y ajustar de tal manera que los
objetivos se puedan alcanzar conforme lo previsto
anteriormente.
Despus: evaluacin realizada despus de la
conclusin del proceso/proyecto.Alcanzamos los objetos propuestos con la calidad
deseada? Se cumplieron los plazos establecidos?
El presupuesto previsto fue seguido?
Qu se optimiz?
Los ajustes realizados en el transcurso del proceso se
adecuaron y realmente agregaron valor?
En fin, esa evaluacin muestra los resultados y orienta
a nuevas acciones y, si es el caso, es la base para una
replanificacin.
despus de la implantacin del programa.
Adems, puede implantar un sistema de
retroalimentacin por parte de los usuarios
para medir el impacto de las acciones en
materia de seguridad.
Un ejemplo de lo visto en este tema lo tenemos a continuacin.
7/24/2019 [PD] Documentos - Seguridad informatica implementacion.pdf
27/29
Ejemplos
En un anlisis preliminar, se constat una elevada incidencia de accesos no autorizados a la red.
Uno de los indicadores consiste en identificar la cantidad de intentos de accesos no autorizado
realizados impedidos por el nuevo control. El resultado sera un indicador de la proteccin obtenida.
Como ese ejemplo, podemos definir tantos indicadores como sean necesarios para evaluar el xito d
proyecto concretizando la seguridad.
Despus de todo el anlisis que realizamos hasta ahora, es importante revisar el cronograma sobre l
tareas en materia de seguridad. A continuacin revisaremos lo relevante a este concepto.
Elemento / Preguntas de diagnstico Recomendaciones
Cronograma
Todo plan exige un cronograma. En l deben estar
indicadas las actividades y tareas, responsables, plazos,
subordinacin de las etapas y/o indicacin de las que se
pueden realizar simultneamente, o de forma
independiente si es el caso. En ese cronograma tambin
indicamos la periodicidad de la evaluacin durante el
proceso y otros marcos importantes.
Considerando que el plan puede sufrir alteraciones en el
transcurso de su ejecucin, es interesante fijar una lnea
de base inicial de la planificacin para fines de control.
Una herramienta recomendada es MS PROJECT con la cual
podemos controlar todo su plan. Veamos la imagen que se
muestra enseguida:
Preguntas de diagnstico
Tiene actualmente definida una ventana de tiempo
en donde implante sus acciones de seguridad?
Est consciente de los tiempos que toma cada una
de estas tareas?
Cuenta con alguna herramienta que le permita
manejar este cronograma?
Utilizar un software que permita administrar ymonitorear el cronograma en cuestin.
Monitorear continuamente las tareas y elcumplimiento de los plazos trazados originalmente,con la finalidad de ajustar los tiempos o bien losrecursos asignados a las tareas.
7/24/2019 [PD] Documentos - Seguridad informatica implementacion.pdf
28/29
7/24/2019 [PD] Documentos - Seguridad informatica implementacion.pdf
29/29
2.5 Lecciones aprendidas
Lecciones aprendidas
Conocimos la forma que se sugiere para nuestrodocumento del Plan de Accin, su estructura yparticularidades, que permiten que nuestras actividadesen materia de seguridad lleven el orden correcto para suxitoen la empresa.Identificamos cada uno de los puntos del Plan deAccin, con ejemplos y escenarios especficos, que nosayudan a poder representarlos correctamente ennuestro documento final.
Recommended