unidad 4 – implementación y plan de seguridadpd] documentos... · 1.3 la importancia de la...

Unidad 4 – Implementación y plan de seguridad Introducción Podemos afirmar que la consecuencia directa tanto de nuestro análisis de riesgos como de nuestra política de seguridad, es cerrar con la implantación de acciones en esta materia. Existen muchos ejemplos que podemos identificar en cuanto a empresas o ambientes en los cuales es urgente tomar dichas acciones. La siguiente noticia muestra sólo uno de esos escenarios.

Noticias del

mundo

Idoia Olza. Pamplona 23 de mayo de 2001 La SEIS pide un plan integral de seguridad de información clínica La Sociedad Española de Informática de la Salud (SEIS) presenta hoy en Madrid un informe sobre confidencialidad de la información clínica. La principal conclusión es la necesidad de diseñar un plan integral de seguridad que implique a los profesionales. El informe aborda esta cuestión desde todos los puntos de vista implicados en el proceso: clínicos, gestores, investigadores, informáticos, expertos en comunicaciones y juristas. Fuente consultada: http://www.diariomedico.com/gestion/ges230501com.html

Objetivos

Objetivos

Conocer la importancia del plan de implementación de seguridad de la empresa, para lograr que su ejecución resulte un éxito en nuestra organización.

Reconocer a través de ejemplos, las diferentes acciones en materia de seguridad que puedan ser tomadas dentro de la empresa, con la finalidad de ayudar en la selección de éstas en nuestra organización.

Interpretar cómo se estructura el plan de seguridad de la organización, a partir del conocimiento de los puntos básicos que se deben incluir.

Conocer la información a ser incluida dentro del plan de acción, y que independientemente de su formato, facilite su implantación dentro de la empresa.

Contenido de la unidad

Implementación de la seguridad Plan de seguridad

Capítulo 1 – Implementación de la seguridad 1.1 Introducción El conocimiento en materia de seguridad que hemos adquirido hasta ahora, nos permite acercarnos más a la toma de acciones dentro de nuestra organización. Dichas acciones deben llevar un orden adecuado que permita una utilidad real para nuestra empresa. El siguiente artículo menciona algunas consideraciones importantes al respecto.

Noticias del

mundo

Elaborar la política de seguridad en la empresa es una cosa, implementarla es algo completamente distinto. En el artículo del autor Charles Cressonwood titulado “Policies: The Path to Less Pain & More Gain", publicado en la fuente mostrada al final de este párrafo, se muestran los resultados de una encuesta, en la cual se demuestra que una compañía que cuenta con una política de seguridad implantada puede tener tantos o más problemas que aquella que no la tiene, lo que sugiere fallos en su implementación. Fuente consultada: http://www.infosecuritymag.com/articles/1999/augcover.shtml

1.2 Objetivos

Objetivos

Conocer la importancia del plan de implementación de seguridad en la empresa, que permita que la ejecución del mismo sea un éxito.

Revisar ejemplos de acciones a tomar dentro de la empresa, con el fin de tener una mayor base para la selección de dichas acciones en nuestra propia implementación.

1.3 La importancia de la implementación Después de conocer las amenazas y puntos débiles del ambiente, adquiridos en el análisis de riesgos, o después de la definición formal de las intenciones y actitudes de la organización que están definidas en la política de seguridad de la información, debemos tomar algunas medidas para la implementación de las acciones de seguridad recomendadas o establecidas.

Concepto

clave

Recordemos que las amenazas son agentes capaces de explotar fallos de seguridad, que denominamos puntos débiles y, como consecuencia de ello, causan pérdidas o daños a los activos de una empresa y afectan sus negocios.

No basta conocer las fragilidades del ambiente o tener una política de seguridad escrita. Debemos instalar herramientas, divulgar reglas, concienciar a los usuarios sobre el valor de la información, configurar los ambientes etc. Debemos elegir e implementar cada medida de protección, para contribuir con la reducción de las vulnerabilidades.

Cada medida debe seleccionarse de tal forma que, al estar en funcionamiento, logre los propósitos definidos. Estos propósitos tienen que ser muy claros.

1.4 Consideraciones para la implementación

Concepto clave

Las medidas de seguridad son acciones que podemos tomar con la finalidad de reducir las vulnerabilidades existentes en los activos de la empresa.

Son varias las medidas de protección que recomendamos para la reducción de las vulnerabilidades de la información. Entre otras:

• Protección contra virus • Implementación de firewalls • Control de acceso a los recursos de la red • Control de acceso físico • Sistemas de vigilancia • Detección y control de invasiones • Políticas generales o específicas de seguridad • Equipos • Configuración de ambientes • Entrenamiento • Campañas de divulgación • Planes de continuidad • Clasificación de la información • VPN – Virtual Private Network • Acceso remoto seguro • Monitoreo y gestión de la seguridad • ICP – Infraestructura de llaves públicas

No olvidemos que el objetivo de la implementación de las medidas de seguridad excede los límites de la informática, definida en el diccionario como "la ciencia que tiene en vista el tratamiento de la información a través del uso de equipos y procedimientos del área de procesamiento de datos". Por ello debemos comprender los ambientes que tratan de la información, no sólo en los medios electrónicos, sino en los convencionales. Resulta inútil definir reglas para crear y usar contraseñas difíciles de adivinar, si los usuarios las comparten o escriben en recados y las pegan al lado de su monitor. El siguiente listado de ejemplos nos permite darnos una idea de lo que se requiere para la protección de los activos en la organización. Son acciones que no se aplican para todos los casos ni ambientes, por lo que debemos analizar y elegir el grupo factible de actividades a implantar dentro de nuestra compañía.

1. Control de acceso a los recursos de la red Implementación de controles en las estaciones de trabajo que permiten la gestión de acceso, en diferentes niveles, a los recursos y servicios disponibles en la red.

Ejemplos

2. Protección contra virus Implementación de un software que prevenga y detecte software maliciosos, como virus,

troyanos y scripts, para minimizar los riesgos con paralizaciones del sistema o la pérdida de información. 3. Seguridad para equipos portátiles Implantación de aplicaciones y dispositivos para la prevención contra accesos indebidos y el robo de información. 4. ICP – Infraestructura de llaves públicas Consiste en emplear servicios, protocolos y aplicaciones para la gestión de claves públicas, que suministren servicios de criptografía y firma digital. 5. Detección y control de invasiones Implantación de una herramienta que analice el tránsito de la red en busca de posibles ataques, para permitir dar respuestas en tiempo real, y reducir así los riesgos de invasiones en el ambiente. 6. Firewall Sistema que controla el tránsito entre dos o más redes, permite el aislamiento de diferentes perímetros de seguridad, como por ejemplo, la red Interna e Internet. 7. VPN – Virtual private network Torna factible la comunicación segura y de bajo costo. Utiliza una red pública, como Internet, para enlazar dos o más puntos, y permite el intercambio de información empleando criptografía. 8. Acceso remoto seguro Torna posible el acceso remoto a los recursos de la red al emplear una red pública, como por ejemplo, Internet. 9. Seguridad en correo electrónico Utiliza certificados digitales para garantizar el sigilo de las informaciones y software para filtro de contenido, y proteger a la empresa de aplicaciones maliciosas que llegan por ese medio. 10. Seguridad para las aplicaciones Implementación de dispositivos y aplicaciones para garantizar la confidencialidad, el sigilo de las informaciones y el control del acceso, además del análisis de las vulnerabilidades de la aplicación, al suministrar una serie de recomendaciones y estándares de seguridad. 11. Monitoreo y gestión de la seguridad Implementación de sistemas y procesos para la gestión de los eventos de seguridad en el ambiente tecnológico, haciendo posible un control mayor del ambiente, para dar prioridad a las acciones e inversiones. 12. Seguridad en comunicación Móvil Acceso a Internet para usuarios de aparatos móviles como teléfonos celulares y PDA’s, para permitir transacciones e intercambiar información con seguridad vía Internet. 13. Seguridad para servidores Configuración de seguridad en los servidores, para garantizar un control mayor en lo que se refiere al uso de servicios y recursos disponibles. 14. Firewall interno Este firewall funciona al aislar el acceso a la red de servidores críticos, minimizando los riesgos de invasiones internas a servidores y aplicaciones de misión crítica.

Después de revisar los ejemplos anteriores, veamos las siguientes preguntas de reflexión:

Preguntas

de reflexión

¿Cuenta usted en la actualidad con alguna de estas medidas implementadas en su empresa? ¿Tiene procesos de monitoreo y mejora de las mismas?

1.5 Comenzando la implementación A continuación incluimos algunas acciones a considerarse en la implementación de la seguridad de la información.

Consideraciones en la implementación de acciones de seguridad de la información

Plan de Seguridad

A partir de la política de seguridad, se definen qué acciones deben implementarse (herramientas de software o hardware, campañas de toma de conciencia, entrenamiento etc.), para alcanzar un mayor nivel de seguridad.

Estas acciones deben estar incluidas en un plan de seguridad para dar prioridad a las acciones principales en términos de su impacto en los riesgos en que se quiere actuar, con el tiempo y costo de implementación, para establecer así las acciones de corto, mediano y largo plazo.

Plan de acción

Una vez definido y aprobado el plan de seguridad, se parte hacia la definición del plan de acción para las medidas que se deben implementar.

Recomendaciones de los fabricantes Es muy importante que las recomendaciones de los fabricantes de los productos sean conocidas antes de la implementación.

Soporte Se puede necesitar la ayuda de profesionales con la experiencia necesaria para la ejecución de determinadas actividades.

Planificación de la implantación Algunas de las cosas a implantar (aplicaciones, equipos, campañas de divulgación y toma de conciencia entre otras) pueden durar varios días y afectar a varios ambientes, procesos y personas de la organización. En esos casos, siempre es útil una planificación por separado.

Plataforma de Pruebas

En algunos casos, una plataforma de pruebas es necesaria para evaluar la solución y reducir los posibles riesgos sobre el ambiente de producción.

Metodología de Implementación

Al realizar la implementación propiamente dicha, es muy importante seguir una metodología, que:

• defina cómo dar los pasos necesarios para ejecutar un plan de acción

• mantenga un mismo estándar de calidad en la implementación sin importar quién lo esté ejecutando.

Por lo tanto, es importante definir cómo se realiza el seguimiento del progreso de la implementación y, en caso de dificultades, saber qué acciones tomar y quién debe ser notificado.

Registro de Seguridad Después de la implementación de una nueva medida de seguridad, es importante mantener el registro de lo que fue implementado. Se deben registrar informaciones como:

• lo que fue implementado (herramienta, entrenamiento etc.);

• cuáles son los activos involucrados; • qué dificultades fueron encontradas y • cómo fueron superadas; hasta qué punto se

alcanzó el objetivo esperado, etc. Este registro tiene dos objetivos principales: mantener el control de todas las medidas implementadas y aprovechar la experiencia acumulada.

Monitoreo y Administración del Ambiente La administración de un ambiente seguro involucra a todo un ciclo de macro actividades. Como lo mencionamos, la primera fase de ese ciclo es el análisis de riesgos, donde se conoce el ambiente y lo que se debe implementar. Además vimos también los aspectos relacionados con la política de seguridad y actualmente abordaremos la implementación de medidas de seguridad. Es necesario monitorear los activos, desde la medición constante de indicadores que muestren qué tan eficaces son las medidas adoptadas y lo que se necesita cambiar. A partir de la lectura de esos indicadores, se hace otro análisis de riesgos y se comienza el ciclo otra vez (ver diagrama adjunto). El éxito de una implementación de seguridad sólo se alcanza al buscar la administración efectiva de todo el ciclo.

Para ilustrar mejor algunas de estas consideraciones, mostramos los siguientes ejemplos.

Ejemplos

En el caso de las pruebas, podemos mencionar la implantación de un laboratorio para revisar diferentes soluciones antivirus, que nos permita valorar su eficacia y facilidad de administración.

También es necesario revisar con cuidado los documentos provenientes de los fabricantes de equipos, para tomar en cuenta todas sus recomendaciones. Por ejemplo, la manera correcta de instalar un servidor, saber cuánto espacio, temperatura y demás características son necesarias.

En el caso del monitoreo, existen algunas aplicaciones que permiten identificar el desempeño de un servidor de base de datos, y con esto nos damos cuenta

1. Análisis de riesgos

3. Implemen-tación de seguridad

4. Monitoreo yretroalimen-

tación

2. Política de

seguridad

Después de revisar

a detalle

estas consideraciones para la implantación de la seguridad, es necesario cuestionarnos lo siguiente:

1.6 Lecciones aprendidas

Capítulo 2 – Plan de seguridad 2.1 Introducción A pesar de que la mayoría de las empresas el día de hoy están conscientes de la importancia de la seguridad de la información, aún falta mucho por hacer. Por ello es necesario tomar plena conciencia y comenzar a tomar acciones, antes de que sea demasiado tarde para su negocio.

si las medidas de seguridad tomadas a favor de dicho desempeño fueron de verdadera utilidad.

Preguntas

de reflexión

¿Está consciente de que la seguridad representa un ciclo continuo de acciones? ¿Está preparado para monitorear y mejorar toda su implementación a lo largo

del tiempo? ¿Cuenta con el personal y la capacitación adecuados?

Lecciones aprendidas

Durante este capítulo, identificamos las consideraciones que se tienen que tomar en cuenta en la implementación de la seguridad en la empresa, para lograr así tener una mejor base que nos ayude a acercarnos al éxito en materia de seguridad en la organización

Comprendimos la gran importancia de las acciones de implementación de la seguridad en nuestra empresa, lo cual permite que nuestras acciones se enfoquen y cumplan de manera correcta.

Conocimos algunos ejemplos de consideraciones a tomar en cuenta en la realización de nuestro plan de seguridad, para aclarar el enfoque que debemos darle al mismo.

Noticias del

mundo

¿Garantizan las empresas la continuidad de su negocio? La visión de Jesús Moreno, presidente de Unisys, es que "la falta de seguridad, o simplemente la vulnerabilidad no conocida, no son buenos aliados para el negocio. Y, por encima de una política exhaustiva de seguridad reactiva, lo cierto es que son cada vez más las empresas que han optado por acometer planes de contingencia proactivos que incluyen un verdadero ‘escenario de caos’, y la forma de reactivar automáticamente las operaciones del negocio en caso de desastre" . Fuente consultada: http://www.vnunet.es/Actualidad/Reportajes/Informática_profesional/Empresas/20040204005/3

2.2 Objetivos

Objetivos

Conocer los puntos básicos que debe contar el plan de seguridad de la organización, para estructurar e implantar correctamente dicho documento dentro de la empresa.

Identificar las características básicas que forman parte del plan de acción, y que independientemente de su formato, deben incluir para su correcta estructura y facilidad de implantación en la organización.

2.3 Plan de seguridad El plan de seguridad se debe apoyar en un cronograma detallado y contener para cada acción los siguientes puntos que enseguida se describen brevemente. Para mayor claridad añadimos un ejemplo de cada uno de los puntos.

PUNTOS A CONSIDERAR DESCRIPCIÓN EJEMPLO

El riesgo que se desea atenuar

Una acción es determinada por el riesgo que se desea atenuar y por los objetivos de seguridad. Además, los objetivos de seguridad se basan en las mejores prácticas del mercado, en estándares y normas de seguridad y en la misma política de seguridad definida

Si en la empresa se tienen servidores de bases de datos, y sabemos que por su naturaleza son susceptibles a algunos ataques que comprometen su información, tendremos que enfocar nuestras acciones a la disminución de estas amenazas.

El(los) activo(s) involucrado(s)

Una acción se toma teniendo en mira uno o varios activos.

Por ejemplo, se puede implementar una herramienta de software (un firewall) para proteger un servidor de base de datos que contenga información crítica al negocio. En este caso, el activo a ser protegido es la base de datos.

Otro ejemplo es cuando deseamos aumentar la toma de conciencia de los empleados con relación a la seguridad de la información. Se puede, en este caso, implementar un tipo de entrenamiento de seguridad en donde el activo involucrado son los empleados de la empresa.

Tener justificados, en función de los objetivos de seguridad

El tiempo que lleva la implementación

Los recursos (humanos y materiales) necesarios

El análisis costo-beneficio La relación costo X beneficio deriva del tiempo de implementación y de los recursos que son necesarios, tanto humanos como materiales.

Si sabemos que una de las acciones a tomar requiere detener la operación por 2 días, es necesario considerar una ventana de tiempo que permita su realización sin afectar el negocio de la empresa.

Si el costo de la implantación de una acción, como comprar servidores, es demasiado alto y no representa ningún beneficio adicional a la organización, se puede reconsiderar y no tomar dicha acción.

Tomar en cuenta aspectos críticos previstos para la implementación y cómo superarlos

Es importante prepararse para enfrentar situaciones adversas.

El responsable por el éxito de la implementación y por mantener el nivel de seguridad de la medida implementada.

El riesgo residual que puede quedar después de la implementación.

Por ejemplo, en el caso de la implementación de un firewall, se puede necesitar sacar un servidor importante del aire por algunos instantes. Por si eso ocurre, hay que estar preparado.

Indicadores para el seguimiento (monitoreo) de la medida implementada

Se debe pensar en la continuidad de la medida implementada. Saber cuál es el riesgo residual que se espera, qué indicadores se usan para medir la efectividad de la medida y controlar el riesgo y quién es el responsable por su operación y control.

La instalación de un sistema que permita monitorear todo el desempeño de su red.

Seleccionar los indicadores que puedan ser útiles para saber si un firewall está siendo efectivo en la detección de intrusos.

Ahora que conocimos algunos puntos a considerar en una toma de acciones en materia de seguridad, es necesario detenernos un poco y reflexionar sobre el tema.

Preguntas

de reflexión

• ¿Tiene plena conciencia de los riesgos que desea atenuar o eliminar en su empresa?

• ¿Conoce la relación costo-beneficio que tendrá durante la implementación de la seguridad?

• ¿Sabe si existirán riesgos residuales en algunos de sus activos después de la implementación?

2.4 Plan de acción

Un plan de acción puede tener varios formatos, pero debe poseer las siguientes características:

• Objetivos bien definidos. Un plan de acción posee objetivos bien definidos, de tal forma que al ser cumplido, esos objetivos sean alcanzados. También debe ser claro, exacto, escrito de forma correcta, sin permitir dudas, ni dobles interpretaciones.

• Coherencia. Las actividades están relacionadas y debe existir armonía entre las situaciones, eventos e ideas, de tal manera que nada se disperse del foco. De la unidad y correlación de las proposiciones depende el alcance de los objetos.

• Secuencia. Debe contar con un camino previamente definido que permita la integración de las actividades al racionalizar los esfuerzos y optimizar el tiempo.

• Flexibilidad. Un plan de acción debe prever contingencias durante la ejecución de las tareas y del proceso como un todo. Es necesario estructurarlo de tal manera que permita insertar o actualizar puntos y/o actividades que enriquezcan o faciliten la implementación como las nuevas tecnologías que surjan. En función de presupuestos, con frecuencia es necesario suprimir algo, pero eso no significa el fin del plan. Los ajustes por lo general se realizan sin que el plan pierda su eje.

Son elementos de un plan de acción

Para llevar a cabo un plan correcto de acción, es necesario seguir un orden estricto para completar cada uno de sus elementos, esto ayuda a no olvidar factores importantes durante su realización.

Ahora describiremos con más detalle cada elemento, así como las preguntas detonadoras de diagnóstico y una serie de recomendaciones específicas para cada uno de ellos; para después proporcionar algunos ejemplos.

Elemento / Preguntas de diagnóstico Recomendaciones

Identificación de la realidad. Es necesario conocer el ambiente a planear, así como todos los detalles referentes al escenario y los factores que lo afectan tanto internos como externos y demás.

Preguntas de diagnóstico

¿Cuál es el negocio de la organización? ¿Hay un plan de negocios, qué dice el mismo? ¿Ya se hizo el análisis de seguridad? ¿Y la política? ¿Cuál es la cultura de la empresa? ¿De un modo general ya existe una percepción de la necesidad de la seguridad? ¿Existen acciones efectivas ya realizadas? ¿Existen normas de reglamentación de la actividad de la organización? ¿Se cuenta con recursos?

• Partir del universo conocido, al asociar la información nueva a los estándares antes convenidos.

• Considerar la diversidad cultural y la multiplicidad de tipos humanos que actúan en la organización.

• Estimular la interrelación entre los miembros del o los equipos que ejecutarán las tareas.

• Presentar las tareas de manera dinámica e interactiva, estimulando la atención y despertando el interés.

• Durante la orientación del o los equipos utilizar casos y términos propios de la organización para ilustrar la información y facilitar la comprensión.

En pocas palabras, hacer un análisis de la situación

Identificación de la realidad

Objetivos

Tareas

Metodología

Recursos

Evaluación

Cronograma

¿Existe presupuesto para seguridad?

para que quede más claro el escenario, sea más fácil elaborar el plan e implementar la seguridad.

A continuación un ejemplo de lo anterior:

Ahora continuarem

os revisando los objetivos.


Objetivos

Los objetivos deben ser claros. Recordemos que se elabora una planificación para alcanzar el propósito de implementar la seguridad de la información, y no sólo cumplir la tarea de elaborar un plan.

Los objetos del plan de acción tienen en mira, entre otras cosas:

• Racionalizar las actividades.

• Asegurar la implantación efectiva y económica del programa de seguridad.

• Conducir al alcance de las metas.

• Verificar la marcha del proceso.


¿Tiene claros los objetivos de seguridad en su empresa? ¿Son realistas? ¿Tienen coherencia entre sí? ¿Están relacionados con las actividades diarias de la organización?

• Expresados en términos del resultado esperado, observable y mesurable.

• Explícitos en lo que se refiere a la tarea a la cual se relaciona el desempeño.

• Realistas y alcanzables en los límites de un período de tiempo determinado.

• Coherentes entre sí, contribuyendo para el alcance del objeto general del plan de acción.

• Claros, sin alternativas, sin palabras inútiles, mencionando el desempeño relativo a cada tarea, inteligibles.

• Inspirados en las actividades diarias.

• Importantes y significativos en el contexto.

Ejemplos

La empresa X implementó en su red local un Router, que la une vía LP CD a la ciudad de Rosario y vía satélite a otras unidades de trabajo. Está previsto contar con una vía red interna de la empresa a Internet por medio de un Firewall, con el objeto de tener acceso a páginas Web, FTP, correo electrónico y transitar información sensible que necesite autenticación y protección contra accesos indebidos.

En ese escenario, dicha información pasa a ser crítica, por lo que tiene que ser protegida en su integridad, confidencialidad y disponibilidad para atender a los niveles de seguridad necesarios y los negocios de dicha empresa. La principal preocupación es garantizar la atención adecuada a los clientes externos e internos, evitar la fuga de información, la pérdida de activos y los desgastes de la imagen de la empresa X.

Ejemplos

Algunos ejemplos de objetivos:

Implementar la aplicación de seguridad Firewall-1.

Capacitar personal para operación de la aplicación.

Crear procedimientos e instrucciones para uso.

Revisemos la información del

elemento tareas:


Tareas

Al seleccionar las tareas debemos considerar su relevancia, actualidad y aplicabilidad, que correspondan a los objetivos ya definidos y si son los adecuados al perfil de la organización.

Al seleccionar las tareas debemos adoptar criterios como:

• Validez: significa que las tareas son representativas para el alcance de los objetos.

• Significado: es importante que las tareas estén vinculadas a la realidad de la organización para dar credibilidad y valor. Las tareas necesitan tener algún significado para el plan.

• Utilidad: cada tarea debe dar como resultado algo útil para el proceso como un todo. Que no existan sin un propósito claramente definido. Típicamente, cada tarea genera un producto.

Para ordenarlas hay que considerar la logística, progresión, continuidad y unidad.


¿Las tareas están relacionadas con los objetos que seleccionamos antes? ¿Estas tareas cumplen con los objetivos de seguridad de la empresa?

Sugerimos que las tareas estén ordenadas de tal modo que permitan una integración (vertical, secuencial o matricial) de manera que el resultado y progreso de cada una pueda auxiliar en la optimización de las tareas que están en marcha. Con seguridad, algunas actividades ocurren al mismo tiempo y hay que preocuparse por la integración, así se optimiza el tiempo y los recursos, y reducimos los costos.

En resumen

Seleccionar las tareas de acuerdo con los objetos.

Al seleccionarlas, considerar el tiempo que se dispone para realizarlas;

Organizarlas de manera lógica, continuada, graduando su complejidad y manteniendo su unidad.

Permitir la integración de las tareas entre sí, con hechos del cotidiano de los equipos de trabajo y con los objetos del plan.

Dejar siempre claro para los equipos la aplicabilidad y la utilidad de cada tarea.

A continuación un ejemplo de lo anterior:

Actualizar Normas, Procedimientos e Instrucciones para uso en conformidad con las Directrices de Seguridad de la Política de Seguridad de la Organización.

Ejemplos

Algunas de las descripciones de tareas que podríamos realizar dentro del plan de acción son:

• Analizar el problema

• Elaborar la planificación del proyecto

• Definir los índices de control

• Compilar los datos

• Estudio del mejor local para la instalación del Firewall-1

El sigu

iente elemento a considerar es la metodología a seguir en nuestro plan de acción, que aparece en el siguiente cuadro.


Metodología

Método significa camino. Metodología, lógica aplicada, camino propio. Por lo tanto, elija con mucha atención el camino a seguir para elaborar su plan.

En su plan puede usar un enfoque deductivo (partiendo de lo general hacia lo particular) o un enfoque inductivo (de lo particular hacia lo general).

En los planes de seguridad es más común el primer enfoque.


¿Cuenta el día de hoy con metodologías de proyectos definidas en su empresa? ¿Dichas metodologías son aplicables a un plan de seguridad?

Siempre que sea posible, definir una estrategia de implementación, considerando:

Establecer una implantación piloto.

Iniciar por ambientes que soporten impactos en sus operaciones.

Solucionar un problema de cada vez.

De esta forma, veremos un ejemplo del concepto que acabamos de revisar.

• Elaborar las instrucciones

• Realizar el entrenamiento

• Instalar y configurar el Firewall-1

• Realizar pruebas

• Elaborar la documentación final

En este ejemplo podemos ver el caso de la implantación de un Firewall en la empresa, y como se especifica la tarea a llevar a cabo poco a poco junto con la metodología a seguir.

• Especificar los productos y los recursos. Firewall-1 es un software que implementa la seguridad y auditoria de uso de la Internet/Intranet. Es compatible con los sistemas operativos de red Windows NT y sabores de UNIX.

• Describir el objetivo.

• Proteger la red interna por medio del control de acceso a los servicios y realizar auditorías en los sitios de Internet/Intranet, e implementación de las reglas de seguridad definidas.

• Definir el alcance.

Ambiente de red en el cual se instalará el Firewall-1

• Establecer los criterios y la estrategia de la seguridad.

• Protección del servidor.

• Ejemplos: el sistema debe mostrar un mensaje de entrada alertando a los usuarios sobre las restricciones al uso

del Firewall; no mostrar el botón de apagado en la pantalla de Inicio; ajustar el tamaño mínimo de password para

14 caracteres etc.

• Auditoría.

• Log activo; exportar el LOG del Firewall cada 7 días; solamente el usuario Administrador puede hacer

configuraciones y análisis de los Logs del producto.

Configuración de las reglas de filtrado.

• Pasos para la instalación.

Prever posibles contingencias.

Ejemplos

Si no sabemos con cuáles recursos contamos, no podemos realizar una planeación adecuada de nuestra implantación de seguridad en la empresa, por ello hay que analizar con cuidado los recursos con los que contamos.


. Recursos

Es crítico para el éxito del plan, la disponibilidad de los

recursos. Siendo así, el apoyo de la alta administración es

fundamental para que el plan alcance sus objetos.

Los recursos a considerar pueden ser: humanos, materiales

y financieros.


¿Cuenta con un presupuesto definido para gastos en materia de seguridad? ¿Hay un personal designado para tareas en esta materia? ¿Cuenta con el equipo necesario para la administración de este proyecto?

Existen algunos criterios que se deben tener en cuenta

como:

Adecuación. Los recursos seleccionados deben

facilitar el alcance de los objetivos y ayudar en

la marcha del proceso, permitiendo agilidad,

velocidad y calidad.

Ahorro. Considerar no sólo el tiempo y los

gastos, sino además los fines deseados se

pueden atender con el empleo de los recursos

disponibles. Ese criterio se refiere también a la

relación entre el tiempo necesario para

elaborar o elegir el recurso y el propósito

definido. Las opciones deben ser lógicas y

objetivas.

Disponibilidad. Los recursos deben estar

disponibles en el momento previsto para su

utilización. La previsión es una de las

condiciones para la disponibilidad.

Antes de entrar en detalles de los tipos de recursos revisemos algunos ejemplos para aclarar este tema.

Ejemplos

Siguiendo con nuestro caso de la instalación de un Firewall en una empresa los recursos necesarios

serían:

Recursos humanos. Un Analista de Seguridad con conocimientos de Firewall-1 y del sistema operativo

en el cual será instalado.

Recursos materiales. Un servidor destinado a la instalación del Firewall-1, sistema operativo a ser

instalado, infraestructura de red y eléctrica.

Recursos financieros. Calcular los costos de la asignación de recursos humanos, adquisición de los

recursos materiales, de actividades extras como transporte y diarias (si es el caso) y otros gastos que

sean necesarios. Es necesario hacer la previsión presupuestaria y financiera.

Siguiendo con el mismo tema, enseguida daremos una información adicional de algunos tipos de

recursos:

Los recursos humanos

El trabajo de planear e implementar la seguridad, presupone equipos interdisciplinarios de especialistas.

Las personas que son parte de estos equipos deben ser orientadas en cuanto a los objetivos y al objeto

del trabajo, las tareas, método, plazos, etc. Pero es importante recordar que también es necesario:

• Comprometer a los responsables por la liberación de los recursos humanos con el éxito del plan.

• Mantener elevada la moral de los equipos.

• Facilitar la relación.

• Distribuir las tareas adecuadamente, considerando el perfil, habilidades, intereses, disponibilidad

etc.

• Distribuir las funciones en los equipos de acuerdo con sus habilidades, intereses y conocimientos.

• Integrar y sintetizar conocimientos.

• Suministrar toda la información complementaria.

• Conocer y saber utilizar los recursos disponibles.

Los recursos materiales

Necesitamos contar con el equipo adecuado, que nos facilite la realización de las tareas en

materia de seguridad, de esto depende que se realicen dichas actividades con el impacto

necesario.

Recordatorios importantes

• Seleccionar y utilizar recursos que estén de acuerdo con la modalidad de la tarea.

• Utilizar el recurso elegido y programar su uso de acuerdo con el tiempo disponible.

• Prever en el presupuesto los recursos necesarios y los disponibles reduciendo el costo.

• Leer con atención las orientaciones para el acceso y la utilización de los recursos

materiales y orientar los equipos en lo que se refiere a su manipulación.

• Cuidar el mantenimiento de los recursos seleccionados para que estén siempre en orden

cuando sean necesarios.

Los recursos financieros

Además del tomar en cuenta el personal y el equipo necesario, el recurso financiero con el que vamos a

contar es importante para dimensionar la capacidad de inversión en materia de seguridad, tanto para la

compra de nuevos activos como para la contratación de personal o capacitación, en caso de ser necesario.

Recordatorios importantes

• Hacer la previsión presupuestaria y financiera.

• Establecer un sistema de control de los gastos.

• Verificar todo lo que hay disponible y que se puede utilizar en el transcurso del proceso

para reducir los costos.

• Dar preferencia a recursos que se utilicen en más de una tarea. Eso ayuda al proceso a su

economía.

• Recordar que el tiempo es dinero. Por lo tanto debemos optimizar las actividades de tal

manera que se realicen más en menor tiempo sin, por otro lado, perjudicar la calidad.

Después de definir los recursos con que contamos, es necesario analizar el proceso de evaluación que

llevaremos a cabo. Para esto, definiremos este concepto y presentaremos algunos ejemplos y

recomendaciones.


Evaluación

El proceso de evaluación no se separa del contexto del

proyecto. Es necesario analizar todos los aspectos e ir

siguiendo a lo largo del proceso. Después de su conclusión,

es necesario hacer una especie de “balance” verificando si ya

se puede dar el trabajo por terminado, o si es necesario

¿Cómo saber si valió la pena? Una de las actividades

más difíciles es hacer un análisis relativo a inversiones en

seguridad.

Una de las sugerencias es crear índices e

indicadores para mediciones antes, durante y

redefinir algunos de los puntos definidos para el monitoreo.

Para eso debemos crear procedimientos de evaluación:

• Previa: evaluación realizada antes de la implantación

del plan. Ese diagnóstico se puede realizar con base

en el análisis de riesgo donde quedan en evidencia

problemas de seguridad como: incidencia de virus,

uso de la banda, problemas de respaldos, control o

ausencia de control de accesos lógicos y físicos, etc.

Si aún no hace el análisis, establezca como tarea la

definición de índices e indicadores.

• Durante: evaluación realizada durante la actividad.

Establezca puntos de control. Esto significa determinar

períodos de tiempo que serán verificados si los plazos

previstos se están cumpliendo, o si el estándar de

calidad establecido está siendo mantenido, si las

personas involucradas siguen con la misma

dedicación y entusiasmo, si los recursos materiales y

financieros están atendiendo a las demandas, etc. Así,

si algo no está bien, es posible tomar providencias

para, corregir y ajustar de tal manera que los

objetivos se puedan alcanzar conforme lo previsto

anteriormente.

• Después: evaluación realizada después de la

conclusión del proceso/proyecto. ¿Alcanzamos los objetos propuestos con la calidad

deseada? ¿Se cumplieron los plazos establecidos?

¿El presupuesto previsto fue seguido?

¿Qué se optimizó?

¿Los ajustes realizados en el transcurso del proceso se

adecuaron y realmente agregaron valor?

En fin, esa evaluación muestra los resultados y orienta

a nuevas acciones y, si es el caso, es la base para una

replanificación.

después de la implantación del programa.

Además, puede implantar un sistema de

retroalimentación por parte de los usuarios

para medir el impacto de las acciones en

materia de seguridad.

Un ejemplo de lo visto en este tema lo tenemos a continuación.

Ejemplos

En un análisis preliminar, se constató una elevada incidencia de accesos no autorizados a la red.

Uno de los indicadores consiste en identificar la cantidad de intentos de accesos no autorizados

realizados impedidos por el nuevo control. El resultado sería un indicador de la protección obtenida.

Como ese ejemplo, podemos definir tantos indicadores como sean necesarios para evaluar el éxito del

proyecto concretizando la seguridad.

Después de todo el análisis que realizamos hasta ahora, es importante revisar el cronograma sobre las

tareas en materia de seguridad. A continuación revisaremos lo relevante a este concepto.


Cronograma

Todo plan exige un cronograma. En él deben estar

indicadas las actividades y tareas, responsables, plazos,

subordinación de las etapas y/o indicación de las que se

pueden realizar simultáneamente, o de forma

independiente si es el caso. En ese cronograma también

indicamos la periodicidad de la evaluación durante el

proceso y otros marcos importantes.

Considerando que el plan puede sufrir alteraciones en el

transcurso de su ejecución, es interesante fijar una línea

de base inicial de la planificación para fines de control.

Una herramienta recomendada es MS PROJECT con la cual

podemos controlar todo su plan. Veamos la imagen que se

muestra enseguida:


¿Tiene actualmente definida una ventana de tiempo

en donde implante sus acciones de seguridad?

¿Está consciente de los tiempos que toma cada una

de estas tareas?

¿Cuenta con alguna herramienta que le permita

manejar este cronograma?

Utilizar un software que permita administrar y monitorear el cronograma en cuestión.

Monitorear continuamente las tareas y el cumplimiento de los plazos trazados originalmente, con la finalidad de ajustar los tiempos o bien los recursos asignados a las tareas.

2.5 Lecciones aprendidas

Lecciones aprendidas

Conocimos la forma que se sugiere para nuestro documento del Plan de Acción, su estructura y particularidades, que permiten que nuestras actividades en materia de seguridad lleven el orden correcto para su éxito en la empresa.

Identificamos cada uno de los puntos del Plan de Acción, con ejemplos y escenarios específicos, que nos ayudan a poder representarlos correctamente en nuestro documento final.

unidad 4 – implementación y plan de seguridadpd] documentos... · 1.3 la importancia de la...

Documents