[PD] Documentos - Seguridad informatica implementacion.pdf

7/24/2019 [PD] Documentos - Seguridad informatica implementacion.pdf

1/29


2/29

Unidad 4 Implementacin y plan de seguridad

Introduccin

Podemos afirmar que la consecuencia directa tanto de nuestro anlisisde riesgos como de nuestrpoltica de seguridad, es cerrar con la implantacin de acciones en esta materia.Existen muchos ejemplos que podemos identificar en cuanto a empresas o ambientes en los cualeses urgente tomar dichas acciones. La siguiente noticia muestra slo uno de esos escenarios.

Noticias delmundo

Idoia Olza. Pamplona23 de mayo de 2001

La SEIS pide un plan integral de seguridad de informacin clnica

La Sociedad Espaola de Informtica de la Salud (SEIS) presenta hoy en Madridun informe sobre confidencialidad de la informacin clnica. La principal

conclusin es la necesidad de disear un plan integral de seguridad queimplique a los profesionales.El informe aborda esta cuestin desde todos los puntos de vista implicados en elproceso: clnicos, gestores, investigadores, informticos, expertos encomunicaciones y juristas.

Fuente consultada:http://www.diariomedico.com/gestion/ges230501com.html

Objetivos

Objetivos

Conocer la importancia del plan de implementacinde seguridadde la empresa, para lograr que su ejecucin resulte un xito en

nuestra organizacin.Reconocer a travs de ejemplos, las diferentes acciones enmateria de seguridad que puedan ser tomadas dentro de laempresa, con la finalidad de ayudar en la seleccin de stas ennuestra organizacin.Interpretar cmo se estructura el plan de seguridad de laorganizacin, a partir del conocimiento de los puntos bsicosquese deben incluir.Conocer la informacin a ser incluida dentro del plan de accin, yque independientemente de su formato, facilite su implantacindentro de la empresa.

Contenido de la unidad

Implementacin de la seguridadPlan de seguridad


3/29

Captulo 1 Implementacin de la seguridad

1.1 Introduccin

El conocimiento en materia de seguridad que hemos adquirido hasta ahora, nos permite acercarno

ms a la toma de acciones dentro de nuestra organizacin. Dichas acciones deben llevar un ordeadecuado que permita una utilidad real para nuestra empresa. El siguiente artculo menciona algunconsideraciones importantes al respecto.

Noticias delmundo

Elaborar la poltica de seguridad en la empresa es una cosa, implementarla esalgo completamente distinto.En el artculo del autor Charles Cressonwood titulado Policies: The Path to LessPain & More Gain", publicado en la fuente mostrada al final de este prrafo, semuestran los resultados de una encuesta, en la cual se demuestra que unacompaa que cuenta con una poltica de seguridad implantada puede tenertantos o ms problemas que aquella que no la tiene, lo que sugiere fallos en suimplementacin.

Fuente consultada:http://www.infosecuritymag.com/articles/1999/augcover.shtml


4/29

1.2 Objetivos

Objetivos

Conocer la importancia del plan de implementacin de seguridaden la empresa, que permita que la ejecucin del mismo sea unxito.Revisar ejemplos de acciones a tomardentro de la empresa, con elfin de tener una mayor base para la seleccin de dichas acciones ennuestra propia implementacin.


5/29

1.3 La importancia de la implementacin

Despus de conocer las amenazas y puntos dbiles del ambiente, adquiridos en el anlisis de riesgos, despus de la definicin formal de las intenciones y actitudes de la organizacin que estn definidas en poltica de seguridad de la informacin, debemos tomar algunas medidas para la implementacin d

las acciones de seguridadrecomendadas o establecidas.

Conceptoclave

Recordemos que las amenazas son agentes capaces de explotar fallosde seguridad, que denominamos puntos dbiles y, como consecuencia deello, causan prdidas o daos a los activosde una empresa y afectansus negocios.

No basta conocer las fragilidades del ambiente o tener una poltica de seguridad escrita. Debemo

instalar herramientas, divulgar reglas, concienciar a los usuarios sobre el valor de la informaciconfigurar los ambientes etc.Debemos elegir e implementar cada medida de proteccin, para contribcon la reduccin de las vulnerabilidades.

Cada medida debe seleccionarse de tal forma que, al estar en funcionamiento, logre los propsitodefinidos. Estos propsitos tienen que ser muy claros.


6/29

1.4 Consideraciones para la implementacin

Concepto clave

Las medidas de seguridadson acciones que podemos tomar con la finalidad dereducir las vulnerabilidades existentes en los activos de la empresa.

Son varias las medidas de proteccin que recomendamos para la reduccin de las vulnerabilidadesde la informacin. Entre otras:

Proteccin contra virus Implementacin defirewalls Control de acceso a los recursos de la red Control de acceso fsico Sistemas de vigilancia Deteccin y control de invasiones Polticas generales o especficas de seguridad Equipos Configuracin de ambientes Entrenamiento Campaas de divulgacin Planes de continuidad Clasificacin de la informacin VPN Virtual Private Network Acceso remoto seguro Monitoreo y gestin de la seguridad

ICP Infraestructura de llaves pblicas

No olvidemos que el objetivo de la implementacin de las medidas de seguridad excede lolmites de la informtica, definida en el diccionario como "la ciencia que tiene en vista tratamiento de la informacin a travs del uso de equipos y procedimientos del rea dprocesamiento de datos". Por ello debemos comprender los ambientes que tratan de la informacino slo en los medios electrnicos, sino en los convencionales.

Resulta intil definir reglas para crear y usar contraseas difciles de adivinar, si los usuarios lacomparten o escriben en recados y las pegan al lado de su monitor.

El siguiente listado de ejemplos nos permite darnos una idea de lo que se requiere para la proteccide los activos en la organizacin. Son acciones que no se aplican para todos los casos ni ambientespor lo que debemos analizar y elegir el grupo factible de actividades a implantar dentro de nuestracompaa.

1. Control de acceso a los recursos de la redImplementacin de controles en las estaciones de trabajo que permiten la gestin de acceso,en diferentes niveles, a los recursos y servicios disponibles en la red.

Ejemplos2.Proteccin contra virusImplementacin de un software que prevenga y detecte software maliciosos, como virus,


7/29

troyanos y scripts, para minimizar los riesgos con paralizaciones del sistema o la prdida deinformacin.

3. Seguridad para equipos porttilesImplantacin de aplicaciones y dispositivos para la prevencin contra accesos indebidos y elrobo de informacin.

4. ICP Infraestructura de llaves pblicas

Consiste en emplear servicios, protocolos y aplicaciones para la gestin de claves pblicas,que suministren servicios de criptografa y firma digital.

5. Deteccin y control de invasionesImplantacin de una herramienta que analice el trnsito de la red en busca de posiblesataques, para permitir dar respuestas en tiempo real, y reducir as los riesgos de invasionesen el ambiente.

6. FirewallSistema que controla el trnsito entre dos o ms redes, permite el aislamiento de diferentespermetros de seguridad, como por ejemplo, la red Interna e Internet.

7. VPN Virtual private networkTorna factible la comunicacin segura y de bajo costo. Utiliza una red pblica, como Internet,para enlazar dos o ms puntos, y permite el intercambio de informacin empleandocriptografa.

8. Acceso remoto seguroTorna posible el acceso remoto a los recursos de la red al emplear una red pblica, como porejemplo, Internet.

9. Seguridad en correo electrnicoUtiliza certificados digitales para garantizar el sigilo de las informaciones y software parafiltro de contenido, y proteger a la empresa de aplicaciones maliciosas que llegan por esemedio.

10. Seguridad para las aplicacionesImplementacin de dispositivos y aplicaciones para garantizar la confidencialidad, el sigilo delas informaciones y el control del acceso, adems del anlisis de las vulnerabilidades de laaplicacin, al suministrar una serie de recomendaciones y estndares de seguridad.

11. Monitoreo y gestin de la seguridad

Implementacin de sistemas y procesos para la gestin de los eventos de seguridad en elambiente tecnolgico, haciendo posible un control mayor del ambiente, para dar prioridad alas acciones e inversiones.

12. Seguridad en comunicacin MvilAcceso a Internet para usuarios de aparatos mviles como telfonos celulares y PDAs, parapermitir transacciones e intercambiar informacin con seguridad va Internet.

13. Seguridad para servidoresConfiguracin de seguridad en los servidores, para garantizar un control mayor en lo que serefiere al uso de servicios y recursos disponibles.

14. Firewall internoEste firewall funciona al aislar el acceso a la red de servidores crticos, minimizando losriesgos de invasiones internas a servidores y aplicaciones de misin crtica.

Despus de revisar los ejemplos anteriores, veamos las siguientes preguntas de reflexin:


8/29

Preguntasde reflexin

Cuenta usted en la actualidad con alguna de estas medidas implementadas en suempresa? Tiene procesos de monitoreo y mejora de las mismas?


9/29

1.5 Comenzando la implementacin

A continuacin incluimos algunas acciones a considerarse en la implementacin de la seguridad de informacin.

Consideraciones en la implementacin de acciones de seguridad de lainformacin

Plan de Seguridad

A partir de la poltica de seguridad, se definen quacciones deben implementarse (herramientas desoftware o hardware, campaas de toma deconciencia, entrenamiento etc.), para alcanzar unmayor nivel de seguridad.

Estas acciones deben estar incluidas en un plan deseguridad para dar prioridad a las accionesprincipales en trminos de su impacto en losriesgosen que se quiere actuar, con el tiempo y

costo de implementacin, para establecer as lasacciones de corto, mediano y largo plazo.

Plan de accin

Una vez definido y aprobado el plan de seguridad,se parte hacia la definicin del plan de accinparalas medidas que se deben implementar.

Recomendaciones de los fabricantes

Es muyimportanteque las recomendaciones de losfabricantes de los productos sean conocidas antesde la implementacin.

Soporte

Se puede necesitar la ayuda de profesionalescon laexperiencia necesaria para la ejecucin dedeterminadas actividades.

Planificacin de la implantacin

Algunas de las cosas a implantar (aplicaciones,equipos, campaas de divulgacin y toma deconciencia entre otras) pueden durar varios das yafectar a varios ambientes, procesos y personas dela organizacin.

En esos casos, siempre es til una planificacinpor separado.

Plataforma de Pruebas

En algunos casos, una plataforma de pruebas esnecesariapara evaluar la solucin y reducir los

posibles riesgos sobre el ambiente de produccin.

Metodologa de Implementacin

Al realizar la implementacin propiamente dicha,es muy importante seguir una metodologa, que:


10/29

defina cmo dar los pasos necesariospara ejecutar un plan de accin

mantenga un mismo estndar de calidaden la implementacin sin importar quinlo est ejecutando.

Por lo tanto, es importante definir cmo se realizael seguimiento del progreso de la implementacin

y, en caso de dificultades, saber qu accionestomar y quin debe ser notificado.

Registro de Seguridad

Despus de la implementacin de una nuevamedida de seguridad, es importante mantener elregistro de lo que fue implementado.Se deben registrar informaciones como:

lo que fue implementado (herramienta,entrenamiento etc.);

cules son los activos involucrados; qu dificultades fueron encontradas y cmo fueron superadas; hasta qu punto se

alcanz el objetivo esperado, etc.

Este registro tiene dos objetivos principales:mantener el control de todas las medidasimplementadas y aprovechar la experienciaacumulada.

Monitoreo y Administracin del Ambiente

La administracin de un ambiente seguroinvolucra a todo un ciclo de macro actividades.Como lo mencionamos, la primera fase de ese cicloes el anlisis de riesgos, donde se conoce elambiente y lo que se debe implementar.Adems vimos tambin los aspectos relacionados

con la poltica de seguridad y actualmenteabordaremos la implementacin de medidas de

seguridad.

Es necesario monitorear los activos, desde lamedicin constante de indicadores que muestrenqu tan eficaces son las medidas adoptadas y loque se necesita cambiar.A partir de la lectura de esos indicadores, se haceotro anlisis de riesgos y se comienza el ciclo otravez (ver diagrama adjunto).El xito de una implementacin de seguridadslo se alcanza al buscar la administracinefectiva de todo el ciclo.

Para ilustrar mejor algunas de estas consideraciones, mostramos los siguientes ejemplos.

Ejemplos

En el caso de las pruebas, podemos mencionar la implantacin de unlaboratorio para revisar diferentes soluciones antivirus, que nos permitavalorar su eficacia y facilidad de administracin.Tambin es necesario revisar con cuidado los documentos provenientes de losfabricantes de equipos, para tomar en cuenta todas sus recomendaciones. Porejemplo, la manera correcta de instalar un servidor, saber cunto espacio,temperatura y dems caractersticas son necesarias.En el caso del monitoreo, existen algunas aplicaciones que permiten identificarel desempeo de un servidor de base de datos, y con esto nos damos cuenta

1.Anlisisde riesgos

3.Implemen-tacin deseguridad

4.Monitoreo yretroalimen-

tacin

2.Polticade

seguridad


11/29

Desps drevis

detaestas consideraciones para la implantacin de la seguridad, es necesario cuestionarnos lo siguiente

1.6 Lecciones aprendidas

Captulo 2 Plan de seguridad

2.1 Introduccin

A pesar de que la mayora de las empresas el da de hoy estn conscientes de la importancia de la

seguridad de la informacin, an falta mucho por hacer. Por ello es necesario tomar plena conciency comenzar a tomar acciones, antes de que sea demasiado tarde para su negocio.

si las medidas de seguridad tomadas a favor de dicho desempeo fueron deverdadera utilidad.


Est consciente de que la seguridad representa un ciclo continuo de acciones?Est preparado para monitorear y mejorar toda su implementacin a lo largodel tiempo?Cuenta con el personal y la capacitacin adecuados?

Lecciones aprendidas

Durante este captulo, identificamos las consideracionesque se tienen que tomar en cuenta en laimplementacin de la seguridad en la empresa, paralograr as tener una mejor base que nos ayude aacercarnos al xito en materia de seguridad en laorganizacinComprendimos la gran importancia de las acciones deimplementacin de la seguridaden nuestra empresa,lo cual permite que nuestras acciones se enfoquen ycumplan de manera correcta.Conocimos algunos ejemplos de consideraciones a

tomar en cuenta en la realizacin de nuestro plandeseguridad, para aclarar el enfoque que debemos darle almismo.


12/29

Noticias delmundo

Garantizan las empresas la continuidad de su negocio?

La visin de Jess Moreno, presidente de Unisys, es que "la falta deseguridad, o simplemente la vulnerabilidad no conocida, no son buenosaliados para el negocio. Y, por encima de una poltica exhaustiva de

seguridad reactiva, lo cierto es que son cada vez ms las empresas que hanoptado por acometer planes de contingencia proactivos que incluyen unverdadero escenario de caos, y la forma de reactivar automticamente lasoperaciones del negocio en caso de desastre".

Fuente consultada:http://www.vnunet.es/Actualidad/Reportajes/Informtica_profesional/Empresas/20040204005/3

2.2 Objetivos

Objetivos

Conocer los puntos bsicosque debe contar el plan de seguridadde la organizacin, para estructurar e implantar correctamentedicho documento dentro de la empresa.Identificar las caractersticas bsicas que forman parte del plande accin, y que independientemente de su formato, deben incluirpara su correcta estructura y facilidad de implantacin en laorganizacin.

2.3 Plan de seguridad

El plan de seguridad se debe apoyar en un cronograma detallado y contener para cada accin lsiguientes puntos que enseguida se describen brevemente. Para mayor claridad aadimos un ejemplo

cada uno de los puntos.

PUNTOS A CONSIDERAR DESCRIPCIN EJEMPLO

El riesgo que se desea atenuar

Una accin es determinada por el riesgoque se desea atenuary por los objetivosde seguridad. Adems, los objetivos deseguridad se basan en las mejoresprcticas del mercado, en estndares ynormas de seguridad y en la misma

poltica de seguridad definida

Si en la empresa se tienservidores de bases de datossabemos que por su naturaleson susceptibles a algunataques que comprometen informacin, tendremos q

enfocar nuestras acciones a disminucin de estas amenaza

El(los) activo(s) involucrado(s)

Una accin se toma teniendo en mirauno o varios activos.

Por ejemplo, se pueimplementar una herramiende software (un firewall) paproteger un servidor de base datos que contenga informacicrtica al negocio. En este casel activo a ser protegido es base de datos.


13/29

Otro ejemplo es cuandeseamos aumentar la toma conciencia de los empleadcon relacin a la seguridad deinformacin. Se puede, en escaso, implementar un tipo entrenamiento de seguridad

donde el activo involucrado slos empleados de la empresa.

Tener justificados, en funcinde los objetivos de seguridad

El tiempo que lleva laimplementacin

Los recursos (humanos ymateriales) necesarios

El anlisis costo-beneficioLa relacin costo X beneficioderiva del tiempo deimplementacin y de losrecursos que son necesarios,

tanto humanos comomateriales.

Si sabemos que una de acciones a tomar requiedetener la operacin por 2 daes necesario considerar uventana de tiempo que permsu realizacin sin afectar negocio de la empresa.

Si el costo de la implantacin una accin, como compservidores, es demasiado alto

no representa ningn beneficadicional a la organizacin, puede reconsiderar y no tomdicha accin.

Tomar en cuenta aspectoscrticos previstos para laimplementacin y cmosuperarlos

Es importante prepararse para enfrentarsituaciones adversas.

El responsable por el xito dela implementacin y pormantener el nivel deseguridadde la medidaimplementada.

El riesgo residual que puedequedar despus de laimplementacin.

Por ejemplo, en el caso de implementacin de un firewase puede necesitar sacar servidor importante del aire palgunos instantes. Por si eocurre, hay que estar preparad

Indicadores para el seguimiento(monitoreo) de la medidaimplementada

Se debe pensar en la continuidad de lamedida implementada. Saber cul esel riesgo residualque se espera, quindicadores se usan para medir laefectividad de la medida y controlar elriesgo y quin es el responsable porsu operacin y control.

La instalacin de un sistema qpermita monitorear todo desempeo de su red.

Seleccionar los indicadores q

puedan ser tilespara saberun firewall est siend

efectivo en la deteccin dintrusos.

Ahora que conocimos algunos puntos a considerar en una toma de acciones en materia dseguridad, es necesario detenernos un poco y reflexionar sobre el tema.


14/29


Tiene plena conciencia de los riesgos que desea atenuar o eliminar ensu empresa?

Conoce la relacin costo-beneficio que tendr durante laimplementacin de la seguridad?

Sabe si existirn riesgos residuales en algunos de sus activos despusde la implementacin?


15/29

2.4 Plan de accin

Un plan de accin puede tener varios formatos, pero debe poseer las siguientes caractersticas:

Objetivos bien definidos.Un plan de accin posee objetivos bien definidos, de tal forma qual ser cumplido, esos objetivos sean alcanzados. Tambin debe ser claro, exacto, escrito dforma correcta, sin permitir dudas, ni dobles interpretaciones.

Coherencia. Las actividades estn relacionadas y debe existir armona entre las situacioneeventos e ideas, de tal manera que nada se disperse del foco. De la unidad y correlacin de lproposiciones depende el alcance de los objetos.

Secuencia.Debe contar con un camino previamente definido que permita la integracin de laactividades al racionalizar los esfuerzos y optimizar el tiempo.

Flexibilidad.Un plan de accin debe prever contingencias durante la ejecucin de las tareasdel proceso como un todo. Es necesario estructurarlo de tal manera que permita insertaractualizar puntos y/o actividades que enriquezcan o faciliten la implementacin como lnuevas tecnologas que surjan. En funcin de presupuestos, con frecuencia es necesarsuprimir algo, pero eso no significa el fin del plan. Los ajustes por lo general se realizan sque el plan pierda su eje.

Son elementos de un plan de accin

Para llevar a cabo un plan correcto de accin, es necesario seguir un orden estricto para completar caduno de sus elementos, esto ayuda a no olvidar factores importantes durante su realizacin.


16/29

Ahora describiremos con ms detalle cada elemento, as como las preguntas detonadoras de

diagnstico y una serie de recomendaciones especficas para cada uno de ellos; para despusproporcionar algunos ejemplos.

Elemento / Preguntas de diagnstico Recomendaciones

Identificacin de la realidad. Es necesario conocer elambiente a planear, as como todos los detalles referentes alescenario y los factores que lo afectan tanto internos comoexternos y dems.

Preguntas de diagnstico

Cul es el negocio de la organizacin?Hay un plan de negocios, qu dice el mismo?Ya se hizo el anlisis de seguridad?Y la poltica?Cul es la cultura de la empresa?De un modo general ya existe una percepcin de lanecesidad de la seguridad?Existen acciones efectivas ya realizadas?Existen normas de reglamentacin de la actividad de laorganizacin?Se cuenta con recursos?

Partir del universo conocido, al asociar lainformacin nueva a los estndares antesconvenidos.

Considerar la diversidad culturaly la multiplicidadde tipos humanos que actan en la organizacin.

Estimular la interrelacin entre los miembros delo los equiposque ejecutarn las tareas.

Presentar las tareas de manera dinmica einteractiva,estimulando la atencin y despertandoel inters.

Durante la orientacin del o los equipos utilizarcasos y trminos propios de la organizacinparailustrar la informacin y facilitar la comprensin.

En pocas palabras, hacer un anlisis de la situacin

Identificacinde la realidad

Objetivos

Tareas

Metodologa

Recursos

Evaluacin

Cronograma


17/29

Existe presupuesto para seguridad? para que quede ms claro el escenario, sea ms fcilelaborar el plan e implementar la seguridad.

A continuacin un ejemplo de lo anterior:

Ahocontuare

revisdo lobjeos.


Objetivos

Los objetivos deben ser claros. Recordemos quese elabora una planificacin para alcanzar elpropsito de implementar la seguridad de lainformacin, y no slo cumplir la tarea deelaborar un plan.

Los objetos del plan de accin tienen en mira,entre otras cosas:

Racionalizar las actividades.

Asegurar la implantacin efectiva y

econmica del programa de seguridad.

Conducir al alcance de las metas.

Verificar la marcha del proceso.


Tiene claros los objetivos de seguridad en suempresa?Son realistas?Tienen coherencia entre s?Estn relacionados con las actividades diarias de la

organizacin?

Expresados en trminos del resultadoesperado, observable y mesurable.

Explcitos en lo que se refiere a la tareaa la cual se relaciona el desempeo.

Realistas y alcanzables en los lmitesde un perodode tiempo determinado.

Coherentes entre s, contribuyendo parael alcance del objeto general del plan deaccin.

Claros, sin alternativas, sin palabrasintiles, mencionando el desempeo

relativo a cada tarea, inteligibles.

Inspirados en las actividades diarias.

Importantesy significativos en elcontexto.

Ejemplos

La empresa X implement en su red local un Router, que la une va LP CD a la ciudad deRosarioy va satlite a otras unidades de trabajo.Est previsto contar con una va red interna de la empresa a Internet por medio de un Firewall,con el objeto de tener acceso a pginas Web, FTP, correo electrnico y transitar informacinsensible que necesite autenticacin y proteccin contra accesos indebidos.

En ese escenario, dicha informacin pasa a ser crtica, por lo que tiene que ser protegida en suintegridad, confidencialidady disponibilidadpara atender a los niveles de seguridad necesariosy los negocios de dicha empresa.La principal preocupacin es garantizar la atencin adecuada a los clientes externos e internos,evitar la fuga de informacin, la prdida de activosy los desgastes de la imagen de la empresaX.

Ejemplos

Algunos ejemplos de objetivos:

Implementar la aplicacin de seguridad Firewall-1.

Capacitar personal para operacin de la aplicacin.

Crear procedimientos e instrucciones para uso.


18/29

Revismos inforacin

delelemento tareas:


Tareas

Al seleccionar las tareas debemos considerar surelevancia, actualidad y aplicabilidad, que correspondan alos objetivos ya definidos y si son los adecuados al perfilde la organizacin.

Al seleccionar las tareas debemos adoptar criterios como:

Validez:significa que las tareas son representativaspara el alcance de los objetos.

Significado: es importante que las tareas estnvinculadas a la realidad de la organizacin para darcredibilidad y valor. Las tareas necesitan tener algnsignificado para el plan.

Utilidad: cada tarea debe dar como resultado algotil para el proceso como un todo. Que no existansin un propsito claramente definido. Tpicamente,cada tarea genera un producto.

Para ordenarlas hay que considerar la logstica,progresin, continuidad y unidad.


Las tareas estn relacionadas con los objetos queseleccionamos antes?Estas tareas cumplen con los objetivos de seguridad de laempresa?

Sugerimos que las tareas estn ordenadas de tal modoque permitan una integracin (vertical, secuencial omatricial) de manera que el resultado y progreso decada una pueda auxiliar en la optimizacin de lastareasque estn en marcha. Con seguridad, algunasactividades ocurren al mismo tiempo y hay quepreocuparse por la integracin, as se optimiza el

tiempo y los recursos, y reducimos los costos.

En resumen

Seleccionar las tareas de acuerdo con los objetos.

Al seleccionarlas, considerar el tiempo que sedispone para realizarlas;

Organizarlas de manera lgica, continuada,graduando su complejidad y manteniendo suunidad.

Permitir la integracin de las tareas entre s, conhechos del cotidiano de los equipos de trabajo y con

los objetos del plan.

Dejar siempre claro para los equipos la aplicabilidady la utilidad de cada tarea.

A continuacin un ejemplo de lo anterior:

Actualizar Normas, Procedimientos e Instrucciones para uso en conformidad con lasDirectrices de Seguridad de la Poltica de Seguridad de la Organizacin.

Ejemplos

Algunas de las descripciones de tareas que podramos realizar dentro del plan de accin son:

Analizar el problema

Elaborar la planificacin del proyecto

Definir los ndices de control

Compilar los datos

Estudio del mejor local para la instalacin del Firewall-1


19/29

E

lsigu

iente elemento a considerar es la metodologa a seguir en nuestro plan de accin, queaparece en el siguiente cuadro.


Metodologa

Mtodo significa camino. Metodologa, lgica aplicada,

camino propio. Por lo tanto, elija con mucha atencin elcamino a seguir para elaborar su plan.

En su plan puede usar un enfoque deductivo (partiendo delo general hacia lo particular) o un enfoque inductivo(de loparticular hacia lo general).

En los planes de seguridad es ms comn el primerenfoque.


Cuenta el da de hoy con metodologas de proyectosdefinidas en su empresa?Dichas metodologas son aplicables a un plan de

seguridad?

Siempre que sea posible, definir una estrategia deimplementacin, considerando:

Establecer una implantacin piloto.

Iniciar por ambientes que soporten impactosen sus operaciones.

Solucionar un problema de cada vez.

De esta forma, veremos un ejemplo del concepto que acabamos de revisar.

Elaborar las instrucciones

Realizar el entrenamiento

Instalar y configurar el Firewall-1

Realizar pruebas

Elaborar la documentacin final


20/29

En este ejemplo podemos ver el caso de la implantacin de un Firewall en la empresa, y como se especifica la tarea allevar a cabo poco a poco junto con la metodologa a seguir.

Especificar los productos y los recursos.Firewall-1 es un software que implementa la seguridad y auditoria de uso de la Internet/Intranet. Es compatiblecon los sistemas operativos de red Windows NT y sabores de UNIX.

Describir el objetivo.

Proteger la red interna por medio del control de acceso a los servicios y realizar auditoras en los sitios deInternet/Intranet, e implementacin de las reglas de seguridad definidas.

Definir el alcance.

Ambiente de red en el cual se instalar el Firewall-1

Establecer los criterios y la estrategia de la seguridad.

Proteccin del servidor.

Ejemplos: el sistema debe mostrar un mensaje de entrada alertando a los usuarios sobre las restricciones al usodel Firewall; no mostrar el botn de apagado en la pantalla de Inicio; ajustar el tamao mnimo de password par

14 caracteres etc.

Auditora.

Log activo; exportar el LOG del Firewall cada 7 das; solamente el usuario Administrador puede hacer

configuraciones y anlisis de los Logs del producto.

Configuracin de las reglas de filtrado.

Pasos para la instalacin.

Prever posibles contingencias.

Ejemplos


21/29


22/29

Si no sabemos con cules recursos contamos, no podemos realizar una planeacin adecuada denuestra implantacin de seguridad en la empresa, por ello hay que analizar con cuidado los recursocon los que contamos.


23/29


.Recursos

Es crtico para el xito del plan, la disponibilidad de los

recursos. Siendo as, el apoyo de la alta administracin es

fundamental para que el plan alcance sus objetos.

Los recursos a considerar pueden ser: humanos, materiales

y financieros.


Cuenta con un presupuesto definido para gastos enmateria de seguridad?Hay un personal designado para tareas en esta materia?

Cuenta con el equipo necesario para la administracin deeste proyecto?

Existen algunos criterios que se deben tener en cuenta

como:

Adecuacin.Los recursos seleccionados deben

facilitar el alcance de los objetivos y ayudar en

la marcha del proceso, permitiendo agilidad,

velocidad y calidad.

Ahorro. Considerar no slo el tiempo y los

gastos, sino adems los fines deseados se

pueden atender con el empleo de los recursos

disponibles. Ese criterio se refiere tambin a la

relacin entre el tiempo necesario paraelaborar o elegir el recurso y el propsito

definido. Las opciones deben ser lgicas y

objetivas.

Disponibilidad. Los recursos deben estar

disponibles en el momento previsto para su

utilizacin. La previsin es una de las

condiciones para la disponibilidad.

Antes de entrar en detalles de los tipos de recursos revisemos algunos ejemplos para aclarar este tema.

Ejemplos

Siguiendo con nuestro caso de la instalacin de un Firewall en una empresa los recursos necesario

seran:

Recursos humanos.Un Analista de Seguridad con conocimientos de Firewall-1 y del sistema operativ

en el cual ser instalado.

Recursos materiales. Un servidor destinado a la instalacin del Firewall-1, sistema operativo a se

instalado, infraestructura de red y elctrica.

Recursos financieros. Calcular los costos de la asignacin de recursos humanos, adquisicin de lo

recursos materiales, de actividades extras como transporte y diarias (si es el caso) y otros gastos qu

sean necesarios. Es necesario hacer la previsin presupuestaria y financiera.


24/29

Siguiendo con el mismo tema, enseguida daremos una informacin adicional de algunos tipos d

recursos:

Los recursos humanos

El trabajo de planear e implementar la seguridad, presupone equipos interdisciplinarios de especialista

Las personas que son parte de estos equipos deben ser orientadas en cuanto a los objetivos y al obje

del trabajo, las tareas, mtodo, plazos, etc. Pero es importante recordar que tambin es necesario:

Comprometer a los responsablespor la liberacin de los recursos humanos con el xito del plan.

Mantener elevada la moralde los equipos.

Facilitar la relacin.

Distribuir las tareas adecuadamente, considerando el perfil, habilidades, intereses, disponibilida

etc.

Distribuir las funciones en los equipos de acuerdo con sus habilidades, intereses y conocimientos

Integrar y sintetizar conocimientos.

Suministrar toda la informacin complementaria.

Conocer y saber utilizar los recursos disponibles.

Los recursos materiales

Necesitamos contar con el equipo adecuado, que nos facilite la realizacin de las tareas en

materia de seguridad, de esto depende que se realicen dichas actividades con el impacto

necesario.

Recordatorios importantes

Seleccionar y utilizar recursos que estn de acuerdo con la modalidad de la tarea.

Utilizar el recurso elegido y programar su uso de acuerdo con el tiempo disponible.


25/29

Prever en el presupuesto los recursos necesarios y los disponibles reduciendo el costo.

Leer con atencin las orientaciones para el acceso y la utilizacin de los recurs

materiales y orientar los equipos en lo que se refiere a su manipulacin.

Cuidar el mantenimiento de los recursos seleccionadospara que estn siempre en orde

cuando sean necesarios.

Los recursos financieros

Adems del tomar en cuenta el personal y el equipo necesario, el recurso financiero con el que vamos

contar es importante para dimensionar la capacidad de inversin en materia de seguridad, tanto para

compra de nuevos activos como para la contratacin de personal o capacitacin, en caso de ser necesario

Recordatorios importantes

Hacer la previsin presupuestaria y financiera.

Establecer un sistema de control de los gastos.

Verificar todo lo que hay disponible y que se puede utilizar en el transcurso del proce

para reducir los costos.

Dar preferencia a recursos que se utilicen en ms de una tarea. Eso ayuda al proceso a

economa.

Recordar que el tiempo es dinero. Por lo tanto debemos optimizar las actividades de t

manera que se realicen ms en menor tiempo sin, por otro lado, perjudicar la calidad.

Despus de definir los recursos con que contamos, es necesario analizar el proceso de evaluacinq

llevaremos a cabo. Para esto, definiremos este concepto y presentaremos algunos ejemplos

recomendaciones.

Elemento / Preguntas de diagnstico RecomendacionesEvaluacin

El proceso de evaluacin no se separa del contexto del

proyecto. Es necesario analizar todos los aspectos e ir

siguiendo a lo largo del proceso. Despus de su conclusin,

es necesario hacer una especie de balanceverificando si ya

se puede dar el trabajo por terminado, o si es necesario

Cmo saber si vali la pena?Una de las actividades

ms difciles es hacer un anlisis relativo a inversiones en

seguridad.

Una de las sugerencias es crear ndices e

indicadores para mediciones antes, durante y


26/29

redefinir algunos de los puntos definidos para el monitoreo.

Para eso debemos crear procedimientos de evaluacin:

Previa:evaluacin realizada antes de la implantacin

del plan. Ese diagnstico se puede realizar con base

en el anlisis de riesgo donde quedan en evidencia

problemas de seguridad como: incidencia de virus,

uso de la banda, problemas de respaldos, control o

ausencia de control de accesos lgicos y fsicos, etc.

Si an no hace el anlisis, establezca como tarea la

definicin de ndices e indicadores.

Durante: evaluacin realizada durante la actividad.

Establezca puntos de control. Esto significa determinar

perodos de tiempo que sern verificados si los plazos

previstos se estn cumpliendo, o si el estndar de

calidad establecido est siendo mantenido, si las

personas involucradas siguen con la misma

dedicacin y entusiasmo, si los recursos materiales y

financieros estn atendiendo a las demandas, etc. As,

si algo no est bien, es posible tomar providencias

para, corregir y ajustar de tal manera que los

objetivos se puedan alcanzar conforme lo previsto

anteriormente.

Despus: evaluacin realizada despus de la

conclusin del proceso/proyecto.Alcanzamos los objetos propuestos con la calidad

deseada? Se cumplieron los plazos establecidos?

El presupuesto previsto fue seguido?

Qu se optimiz?

Los ajustes realizados en el transcurso del proceso se

adecuaron y realmente agregaron valor?

En fin, esa evaluacin muestra los resultados y orienta

a nuevas acciones y, si es el caso, es la base para una

replanificacin.

despus de la implantacin del programa.

Adems, puede implantar un sistema de

retroalimentacin por parte de los usuarios

para medir el impacto de las acciones en

materia de seguridad.

Un ejemplo de lo visto en este tema lo tenemos a continuacin.


27/29

Ejemplos

En un anlisis preliminar, se constat una elevada incidencia de accesos no autorizados a la red.

Uno de los indicadores consiste en identificar la cantidad de intentos de accesos no autorizado

realizados impedidos por el nuevo control. El resultado sera un indicador de la proteccin obtenida.

Como ese ejemplo, podemos definir tantos indicadores como sean necesarios para evaluar el xito d

proyecto concretizando la seguridad.

Despus de todo el anlisis que realizamos hasta ahora, es importante revisar el cronograma sobre l

tareas en materia de seguridad. A continuacin revisaremos lo relevante a este concepto.


Cronograma

Todo plan exige un cronograma. En l deben estar

indicadas las actividades y tareas, responsables, plazos,

subordinacin de las etapas y/o indicacin de las que se

pueden realizar simultneamente, o de forma

independiente si es el caso. En ese cronograma tambin

indicamos la periodicidad de la evaluacin durante el

proceso y otros marcos importantes.

Considerando que el plan puede sufrir alteraciones en el

transcurso de su ejecucin, es interesante fijar una lnea

de base inicial de la planificacin para fines de control.

Una herramienta recomendada es MS PROJECT con la cual

podemos controlar todo su plan. Veamos la imagen que se

muestra enseguida:


Tiene actualmente definida una ventana de tiempo

en donde implante sus acciones de seguridad?

Est consciente de los tiempos que toma cada una

de estas tareas?

Cuenta con alguna herramienta que le permita

manejar este cronograma?

Utilizar un software que permita administrar ymonitorear el cronograma en cuestin.

Monitorear continuamente las tareas y elcumplimiento de los plazos trazados originalmente,con la finalidad de ajustar los tiempos o bien losrecursos asignados a las tareas.


28/29


29/29

2.5 Lecciones aprendidas

Lecciones aprendidas

Conocimos la forma que se sugiere para nuestrodocumento del Plan de Accin, su estructura yparticularidades, que permiten que nuestras actividadesen materia de seguridad lleven el orden correcto para suxitoen la empresa.Identificamos cada uno de los puntos del Plan deAccin, con ejemplos y escenarios especficos, que nosayudan a poder representarlos correctamente ennuestro documento final.

[PD] Documentos - Seguridad informatica implementacion.pdf

Documents

Transcript of [PD] Documentos - Seguridad informatica implementacion.pdf