Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Digital 19847
Digital 19847
DIRECTORA
ANGLICA FLOREZ ABRIL, MSc
Bucaramanga, 19 de 10 de 2010
Nota de aceptacin:
AGRADECIMIENTOS
GLOSARIO
TABLA DE CONTENIDO
Pg.
INTRODUCCIN
1 DESCRIPCIN DEL PROBLEMA ................................................................... 3
2
JUSTIFICACIN ............................................................................................... 4
OBJETIVOS ...................................................................................................... 5
3.1
3.2
4.2.3
4.2.4
4.2.5
4.2.6
4.2.7
Pg.
5.1.1
NEGOCIO .......................................................................................... 21
5.1.2
5.1.3
5.1.4
Acuerdos ............................................................................................ 27
5.1.5
6.4
NEGOCIO ................................................................................................. 32
6.4.1
6.5
6.5.1
6.5.2
Procedimiento .................................................................................... 36
6.6.3
6.6.4
6.6.5
6.6.6
Actualizacin ...................................................................................... 56
6.6.7
Mantenimiento.................................................................................... 58
6.7
6.8
ACUERDOS ............................................................................................. 66
Pg.
7
CONCLUSIONES .................................................................................................. 72
RECOMENDACIONES .......................................................................................... 74
REFERENCIAS ..................................................................................................... 76
LISTA DE FIGURAS
Pg.
Figura 1. Componentes de la Arquitectura de Seguridad de la Informacin de Jan
Killmeyer. ................................................................................................................. 8
Figura 2. Modelo de Arquitectura de Seguridad de Jeimy Cano ............................ 11
Figura 3. Modelo de Arquitectura Empresarial. ...................................................... 13
Figura 4. Fases del Modelo de Arquitectura de seguridad de sistemas de
informacin por el SANS Institute .......................................................................... 17
Figura 5 Elementos del MASI - Modelo de Arquitectura de Seguridad de la
Informacin ............................................................................................................ 20
Figura 6. Marco Normativo..................................................................................... 22
Figura 7. Normativa de seguridad de la informacin............................................. 23
Figura 8. Gestin de la Arquitectura de Seguridad. ............................................... 25
Figura 9. Diagrama de Flujo de Negocio ............................................................... 32
Figura 10. Diagrama de Flujo Marco Normativo .................................................... 35
Figura 11 Diagrama de Flujo Gestin de la Arquitectura de Seguridad ................. 39
Figura 12 Diagrama de Flujo Anlisis de Riesgos. ................................................ 41
Figura 13 Diagrama de Flujo para el Entrenamiento ............................................. 47
Figura 14 Diagrama de Flujo para la Observacin y Atencin de Incidentes ......... 52
Figura 15 Diagrama de Flujo para la Revisin y Evaluacin de ASI ...................... 54
Figura 16 Diagrama de Flujo para la Actualizacin................................................ 57
Figura 17 Diagrama de Flujo para el Mantenimiento de ASI ................................. 59
Figura 18 Modelo de Defensa en Profundidad de Microsoft .................................. 61
Figura 19 Adaptacin del SAFE CISCO. ............................................................... 63
Figura 20 Modelo de Infraestructura MASI ............................................................ 64
Figura 21 Competencias del Arquitecto de Seguridad de la Informacin. ............. 69
Figura 22. Despliegue de la Poltica de Seguridad de la Informacin. ................... 81
LISTA DE TABLAS
Pg.
Tabla 1. Comparativo entre SGSI y MASI ............................................................. 31
Tabla 2 Relacin Metas del Negocio Vs. Metas de la Arquitectura........................ 34
Tabla 3. Lista de Verificacin de los Elementos de la ASI. .................................... 55
Tabla 4 Dispositivos de la Infraestructura del MASI............................................... 65
Tabla 5 Formacin, Funciones y Roles del Arquitecto de SI para la competencia de
Estrategias del Negocio ......................................................................................... 70
Tabla 6 Formacin, Funciones y Roles del Arquitecto de SI para la competencia de
Normativa Corporativa ........................................................................................... 70
Tabla 7 Formacin, Funciones y Roles del Arquitecto de SI para la competencia de
Tecnologas de Informacin ................................................................................... 71
Tabla 8 Formacin, Funciones y Roles del Arquitecto para la competencia Gestin
de la ASI ................................................................................................................ 71
ANEXOS
Pg.
ANEXO A. FORMATO DE LEVANTAMIENTO DE INFORMACIN DE NEGOCIO
............................................................................................................................... 80
ANEXO B. CONSIDERACIONES MARCO NORMATIVO DE SEGURIDAD DE LA
INFORMACIN ..................................................................................................... 81
ANEXO C. FORMATO DE INVENTARIO DE ACTIVOS ...................................... 98
ANEXO D. GENERALIDADES PARA DILIGENCIAMIENTO DEL FORMATO DE
INVENTARIO DE ACTIVOS .................................................................................. 99
ANEXO E. CATLOGO DE AMENAZAS ............................................................ 102
ANEXO F. CATLOGO DE VULNERABILIDADES ............................................. 103
ANEXO G. TABLA VALORES DE PROBABILIDAD E IMPACTO ....................... 104
ANEXO H. INSTRUCTIVO DILIGENCIAMIENTO DE LA MATRIZ DE RIESGO . 106
ANEXO I. ENTRENAMIENTO ............................................................................. 109
ANEXO J . REVISIN Y EVALUACIN .............................................................. 124
ANEXO K. ACTUALIZACIN .............................................................................. 131
ANEXO L. MANTENIMIENTO ............................................................................. 133
AUTOR(ES):
DIRECTOR(A):
RESUMEN
En este documento se detalla el Modelo de Arquitectura de Seguridad de la
Informacin (MASI) el cual se encuentra enmarcado en la descripcin de los
elementos que lo conforman que son: Negocio, Gestin de la Arquitectura de
Seguridad de la Informacin, Marco Normativo de la Seguridad de la Informacin,
Acuerdos e Infraestructura de Seguridad de la Informacin, los cuales fueron
definidos teniendo en cuenta modelos de Arquitecturas de Seguridad de autores
reconocidos como son: Bala Iyer y Richard Gottlieb, Jan Killmeyer, George Farah
y Jeimy Cano; adems otro referente que se tuvo en cuenta en el desarrollo del
modelo fue el de normas internacionales como la ISO 27001:2006 y 27002:2007,
adems del framework de trabajo de ISACA: COBIT 4.1.
Identificados los elementos que conforman MASI, se describen y definen los
aspectos que se deben tener en cuenta en la formalizacin de cada elemento, es
decir, las consideraciones claves que se deben cumplir en la implementacin de
cada elemento para asumir que ste exista. Se establece el paso a paso que
permitir la formalizacin de las actividades y tareas que deben estar cubiertas en
la concepcin de cada elemento del MASI para el negocio.
Finalmente, se describen las competencias (formacin, conocimientos y
habilidades) que deben ser apropiadas por el encargado de llevar a cabo la
implementacin de la metodologa del MASI, sta responsabilidad recae
directamente sobre el Arquitecto de Seguridad de la Informacin.
PALABRAS CLAVES: Modelo, Arquitectura, Diseo, Seguridad de la Informacin,
Diagrama de Flujo.
AUTHOR(S):
DIRECTOR:
ABSTRACT
This paper shows in detail the Model of Information Security Architecture (MASI)
which is framed in the description of the elements that make it up: Business,
Management of Information Security Architecture, Information Security Normative
Framework, Agreements and Infrastructure of Information Security. Such elements
were defined according to the models of security and enterprise architectures
proposed by recognized authors like Bala Iyer and Richard Gottlieb, Jan Killmeyer,
George Farah and Jeimy Cano. Besides, another referent taken account during
the development of the model was the international standards such as ISO
27001:2006 and 27002:2007, besides ISACAs work framework: COBIT 4.1.
Once the elements that make MASI up are identified, there is a description and a
definition of the aspects importants for the formalization of each element, that is,
the keys considerations that must be accomplished during the implementation of
each element to assume that it exists. Afterwards, the steps to allow the
formalization of activities and tasks are established, so that they are covered in the
conception of each MASI element for business.
Finally, there is a description of competences (qualification, knowledge and skills)
which must be appropriate for the person in charge of carrying out the
implementation of MASI methodology. It responsibility depends directly on the
Information Security Architect.
INTRODUCCIN
La seguridad de la informacin es un proceso que busca establecer mecanismos
para conservar en primera instancia la confidencialidad, integridad y disponibilidad
las cuales son las caractersticas bsicas de la informacin, teniendo en cuenta
que sta es considerada como un activo con valor para las organizaciones, los
mecanismos definidos deben la existencia de diferentes tcnicas como son:
phising, spoofing, ingeniera social, troyanos, rootkits, pharming, entre otros
ataques informticos que buscan vulnerar sistemas de informacin con el fin de
robar, destruir, secuestrar o alterar la informacin y con ello afectar el
cumplimiento de las metas del negocio.
Dentro de los mecanismos definidos para la proteccin de la informacin de
pueden establecer: polticas se seguridad, tcnicas de monitorizacin y
aseguramiento de la infraestructura tecnolgica, entre otras actividades asociadas,
sin obviar que es importante que se establezca un marco que permita brindar un
orden y orientar los esfuerzos que se hagan en materia de seguridad de la
informacin propendiendo por que estos de apoyen el desarrollo de los procesos
de negocio y no de entorpecerlos.
El desarrollo de este proyecto de grado est orientado en la definicin del Modelo
de Arquitectura de Seguridad de la Informacin (MASI) como el elemento
orientador dentro del proceso inherente a la seguridad de la informacin, adems
de la gua metodolgica que permitir su formalizacin y las competencias del
encargado de orientar su implementacin.
Por qu MASI?. Con base en la Arquitectura de Seguridad de la Informacin
(ASI) es posible el establecimiento de la administracin de la seguridad de la
informacin, ya que se encarga de alinear los elementos del negocio con los
elementos de seguridad y su contexto. Un modelo define un patrn claro con
elementos genricos a cualquier negocio que permiten su aplicacin, dichas
consideraciones son tenidas en cuenta en la definicin de MASI y en los
elementos que lo conforman.
Para la implementacin de la ASI en las organizaciones, MASI establece la
existencia de un lder el cual ser responsable de orientar la ejecucin de la gua
metodolgica en coordinacin con la Alta Gerencia, en razn de cumplir con los
requerimientos del negocio. Como apoyo a dicho ideal, MASI define las
competencias requeridas por dicho lder enmarcado en el concepto del Arquitecto
de Seguridad de la Informacin.
Realizado tambin por los autores de ste documento como proyecto de grado de Ingeniera
Informtica de la Universidad Pontificia Bolivariana.
2 JUSTIFICACIN
3 OBJETIVOS
4 MARCO TERICO
4.1
o Arquitecto
(Arkhi)
jefe
(tekton)
constructor
Polticas,
estndares y
procedimientos
Organizacin
de seguridad e
infraestructura
de seguridad
Arquitectura
de seguridad
de la
informacin
Lneas base de
seguridad y
evaluacin de
riesgos
Concientizacin
y
entrenamiento
de los usuarios
Cumplimento
Los sistemas de informacin que soportan las actividades del negocio estn
expuestas a vulnerabilidades como: puertas traseras (backdoors), huecos de
seguridad (loopholes), entre otros. El hecho de verificar estos problemas sobre
cierto nmero de servidores demanda tiempo y dinero, por ello se hace necesario
establecer un programa que gestione el riesgo, y este es el objetivo principal de
este elemento que conforma la Arquitectura de Seguridad de la Informacin.
Cumplimiento
10
11
(Procesos de SI) con la Alta Gerencia (expectativas del negocio), con el fin de
alinear los esfuerzos estratgicos, tcticos y operacionales del negocio, teniendo
en cuenta:
o El establecimiento de prioridades con la Alta Gerencia: con base en el
anlisis de riesgos, priorizar los procesos crticos que necesitan atencin
inmediata e inversin, adems del nivel del riesgo aceptado por el negocio.
o Las competencias y habilidades requeridas en el rea de seguridad
informtica: de acuerdo a las necesidades del negocio, establecer los
conocimientos mnimos del personal que se dedicar a la atencin y el
tratamiento de las prioridades definidas por la Alta Gerencia.
o El establecimiento y materializacin del nivel de compromiso entre Alta
Gerencia y el rea de seguridad informtica: esta recomendacin est
enfocada en la definicin de tareas conjuntas entre la Alta Gerencia y el rea
de seguridad de informtica, de tal forma que se haga el mayor esfuerzo para
cumplir con los compromisos organizacionales y de seguridad. Si la Alta
Gerencia se compromete a invertir en el rea de seguridad de la informacin,
sta debera maximizar los recursos y cumplir con la ejecucin presupuestal
de acuerdo a las proyecciones realizadas segn el nivel de prioridad. Por otro
lado, que cada proyecto ejecutado y sus implementaciones se encuentren
alineados con el negocio, de tal manera que trascienda a cada uno de los
actores en la organizacin.
o La definicin y operacionalizacin de los acuerdos de nivel de servicio:
definir los roles y las responsabilidades de cada uno de los usuarios con
respecto a los requerimientos de seguridad del negocio.
o Los niveles de inversin en infraestructura de Seguridad Informtica: incluir
dentro de la programacin presupuestal un rubro destinado a la inversin de la
Alta Gerencia para sus compromisos en el tema de SI.
o Compartir y alinear la agenda interna de la Alta Gerencia con la agenda
interna del rea de SI: considerar el incluir el tema de la SI dentro de las
distintas reuniones que realiza la Alta Gerencia, de esta forma se mantiene al
tanto del trabajo desarrollado en el rea de SI, verificando as el cumplimiento
de la agenda de seguridad.
12
Dominio de procesos
13
Este dominio incluye todo tipo de datos e informacin que tenga la organizacin
tanto digital como fsica (documentos impresos).
Dominio de infraestructura
Dominio de organizacin
Este dominio apoya la identificacin de los elementos que van a permitir que TI
contribuya con el logro de las metas de la organizacin, para lo cual se plantean
los siguientes cuestionamientos:
Las estrategias de TI se encuentran alineadas con las de la
organizacin?
La empresa esta optimizando el uso de los recursos?
Los colaboradores de la organizacin entienden los objetivos de TI?
Se entienden y administran los riesgos de TI?
La calidad de los sistemas de TI es apropiada para las necesidades del
negocio?
14
Los procesos de TI deben cumplir con los objetivos propuestos, para ello se
establece que estos sern evaluados de forma regular. Este dominio tiene en
cuenta la administracin del desempeo, la monitorizacin del control interno, el
cumplimiento regulatorio y la aplicacin del gobierno de TI.
4.2.5 NTC-ISO/IEC 27001:2006
Esta norma adopta el modelo de procesos Deming Planificar-Hacer-VerificarActuar para establecer, implementar, operar, hacer seguimiento, revisar,
mantener y mejorar el Sistema de Gestin de Seguridad de la Informacin (SGSI)
en las compaas. ISO 27001 puede ser empleada en cualquier tipo de
organizacin independiente de las caractersticas de la misma.
Se debe tener en cuenta que los numerales 4, 5, 6,7 y 8 de la norma ISO 27001
son requisitos no excluibles cuando una organizacin declara conformidad con la
norma. Las exclusiones permitidas estn enmarcadas en los controles descritos
en el anexo A de la norma, sin embargo, estas debern ser justificadas [6].
15
16
Realizacin de
Evaluaciones de
la Seguridad
Integracin de
las prcticas de
seguridad para
mantener el
estado de
seguridad
Formulacin del
Diseo de los
Objetivos de la
Arquitectura de
Seguridad
Arquitectura de
Seguridad
Implementacin
del Diseo de los
Objetivos de la
Arquitectura de
Seguridad
Construccin de
Polticas y
Procedimientos
18
19
Know How
5.1.1 NEGOCIO
Este elemento est enmarcado en el conocimiento de los aspectos estratgicos
de la organizacin, en evaluar cada uno de los componentes inmersos en el
desarrollo de la misma. Con el conocimiento del negocio se pueden identificar sus
necesidades en cuanto a SI, de tal manera que se logre suplir las mismas a travs
de la ASI.
A travs del conocimiento del negocio se podr establecer el tipo de organizacin
y el cuadro de mando de la misma, lo cual facilitar la definicin de estrategias de
comunicacin con la Alta Gerencia.
Para la obtencin de este conocimiento MASI plantea el reconocimiento y estudio
de los siguientes documentos, y de no existir se propone su formalizacin:
a. Misin de la organizacin: el entendimiento de la misin permitir
establecer la razn de ser de la organizacin [9].
b. Visin de la organizacin: brinda informacin relacionada con los planes
futuros de la misma, es decir, proyeccin del negocio que tiene la Alta
Gerencia en un tiempo determinado [9].
c. Metas de la organizacin: la evaluacin de la metas de la organizacin
permite conocer las expectativas del negocio.
d. Balanced Scorecard (BSC) (Cuadro de Mando Integral): es un sistema
de planeacin y gestin estratgica empleado por las organizaciones para
alinear todas las actividades que desarrolla con la visin y estrategia de la
misma, as mismo sugiere que las organizaciones sean analizadas desde
cuatro perspectivas: financiera (rentabilidad del negocio), del cliente (cmo
lograr su satisfaccin), interna (lograr la competitividad del personal) y de
innovacin y aprendizaje (cmo lograr ser competitivos en el mercado). El
BSC no slo proporciona mediciones de rentabilidad econmica sino de
todos los mbitos del negocio que finalmente repercuten en el desempeo
de la organizacin.
21
Poltica
Directrices
Normativa Corporativa
Normas
Procedimientos
23
La finalidad primordial de este cdigo es la de lograr la justicia en las relaciones que surgen entre
empleadores y trabajadores, dentro de un espritu de coordinacin econmica y equilibrio social.
Tomado de Cdigo Sustantivo del Trabajo.
24
Normativa Antifraude
El fraude es toda accin negligente que va en contra de lo establecido en el
cdigo de tica. La motivacin del autor del hecho identificado como fraude es
obtener una ganancia, la cual en la mayora de las veces es dinero, basando su
accionar en el manejo de intereses particulares, engaos, sabotajes, chantajes,
entre otras conductas. La normativa antifraude es aquella que permite llevar a
cabo procesos contra los individuos cuyo comportamiento va en contrava del
cdigo de tica organizacional, amparado en el reglamento interno y a la
legislacin vigente que corresponda [17].
5.1.3 Gestin de la Arquitectura de Seguridad
La gestin contiene los elementos necesarios para el mantenimiento, la
administracin y continuo crecimiento de la Arquitectura de Seguridad de la
Informacin. Los elementos que componen la Gestin de la ASI se encuentran en
la Figura 8 [8]:
Figura 8. Gestin de la Arquitectura de Seguridad.
Anlisis de
Riesgo
Observacin y
Atencin a
Incidentes
Mantenimiento
Gestin de
la
Arquitectura
de
Seguridad
Revisin y
Evaluacin
Actualizacin
Entrenamiento
25
Anlisis de Riesgos
La gestin de incidentes permite identificar los eventos que pueden llegar a afectar
los activos de informacin o los eventos que los han afectado, de tal manera que
se logre reducir los impactos de la materializacin de las amenazas, y a su vez
establecer medidas para reducir su probabilidad de ocurrencia. Los resultados de
la atencin de incidentes pueden ser utilizados como insumos para las actividades
de revisin y evaluacin, actualizacin y mantenimiento.
Revisin y Evaluacin
26
Entrenamiento
Actualizacin
Para lograr la actualizacin de los elementos del modelo se requiere del anlisis
de los resultados obtenidos en el proceso de revisin y evaluacin, los cuales
permiten identificar las oportunidades de mejora a nivel de: los elementos de la
ASI, las vulnerabilidades que deben ser actualizadas en el anlisis de riesgos con
sus respectivas salvaguardas, nuevos activos que deben ser protegidos y recurso
humano que requiere ser capacitado. Es conveniente realizar un proceso continuo
de actualizacin que realimente el funcionamiento de la ASI de tal forma que sta
crezca y se renueve a la par del desarrollo organizacional.
Mantenimiento
27
28
Se puede definir la metodologa como una serie de pasos ordenados que van a
permitir seguir un camino para lograr determinado fin [19].
6.1 MTODO DEL MODELO DE ARQUITECTURA DE SEGURIDAD DE LA
INFORMACIN
Los elementos del MASI pueden ser ejecutados en el siguiente orden.
Conocer el Negocio: la ejecucin de las actividades dispuestas en este
elemento del MASI, permitirn obtener el conocimiento detallado de las
expectativas del negocio respecto a la SI, adems de interiorizar los objetivos
del negocio y establecer la forma como la arquitectura apoyar el
cumplimiento de los mismos.
Definir el Marco Normativo de SI: la elaboracin del Marco Normativo permite
plasmar en documentos las expectativas de la Alta Gerencia, as como los
compromisos que debern ser adquiridos por los actores para dar
cumplimiento a stas. El cumplimiento de las medidas dispuestas para
salvaguardar la informacin de la compaa por parte de los actores
30
MASI
Dentro del Marco Normativo se encuentra el
marco de seguridad en el cual se define la
poltica de seguridad de la informacin.
Dentro del elemento Gestin de la Arquitectura
de Seguridad de la Informacin establece un
proceso de anlisis de riesgos en el cual se
realiza un inventario de activos, definicin de
amenazas y vulnerabilidades, valoracin del
riesgo intrnseco y efectivo o residual, definicin
de controles y el mapa de riesgos.
Dentro del elemento de Gestin de la ASI,
declara un proceso para evaluar y revisar la
relacin de los elementos del MASI y de los
elementos del negocio.
Dentro de la Gestin de la ASI, define un
proceso de Actualizacin y Mantenimiento, los
cuales permiten corregir y mejorar los
elementos, procesos, actividades y tareas del
MASI.
Existen anexos que permiten la documentacin
y registro de las actividades inmersas, en los
elementos y los procesos que lo conforman.
Define el elemento Acuerdos con el cual
declara a la Alta Gerencia como un actor
comprometido y responsable en la definicin,
formalizacin y direccin de la SI.
Los Acuerdos definen las prioridades e
inversin y en la Gestin de la ASI define la
actividad de entrenamiento encargada de la
concienciacin.
Dentro del elemento de Gestin de la ASI
define un proceso de Revisin y Evaluacin el
cual es una aproximacin a las Auditoras
Internas planteadas por el SGSI.
Todos los elementos tienen asociado el
acompaamiento formal de la Alta Gerencia,
pues el diseo de un proceso es definido,
revisado, modificado (de ser necesario) y
aprobado en consenso con el Arquitecto de
Seguridad de la Informacin.
El elemento de Gestin de la ASI define todos
los procesos necesarios (anlisis de riesgo,
entrenamiento, observacin y atencin de
incidente, revisin y evaluacin, actualizacin y
mantenimiento) que permiten la mejora
continua de la ASI alineado con el contexto de
negocio.
31
NEGOCIO
Levantamiento de
informacin
NO
Su organizacin ha definido su
visin y misin
SI
Definir la misin y
la visin
Misin y Visin
NO
La
organizacin
cuenta con un plan
de desarrollo
SI
Definir el plan de
desarrollo
organizacional
La organizacin
cuenta con un
mapa de procesos
NO
SI
Plan de desarrollo
organizacional
Definir el mapa de
procesos
La organizacin
cuenta con un balanced
scorecard
NO
SI
mapa de procesos
Definir el balance
score card
NO
La organizacin
ha definido sus metas
Identificar las
metas del negocio
SI
Anlisis de la
informacin
FIN
32
Procedimiento
Levantamiento de informacin: recolectar toda la informacin requerida
tomando como base el numeral 5.1.1 y el formato levantamiento de
informacin del negocio (ver Anexo A).
o Anlisis de la Informacin: el anlisis es la etapa mediante la cual el
Arquitecto de SI interioriza cada uno de los documentos
referenciados y entiende las expectativas del negocio.
o Para lograr el entendimiento requerido se recomienda que se
realicen reuniones con la Alta Gerencia y con las reas encargadas
de la definicin de los planes estratgicos.
Definicin de documentos que identifican el negocio: en caso que la
organizacin no cuente con alguno de los documentos o informacin
referenciada en el formato de levantamiento de informacin del negocio, la
Alta Gerencia deber realizar las reuniones respectivas de tal forma que
estos elementos sean estructurados, y as se puedan identificar los
requerimientos de SI del negocio y estos puedan ser resueltos mediante la
implementacin de la Arquitectura de Seguridad de la Informacin.
Relacin de las metas del negocio con las metas de la arquitectura: la
revisin peridica de la ASI permite establecer qu factores en los elementos
de la misma debern ser actualizados o mejorados con miras a optimizar el
funcionamiento de la misma; de las revisiones desarrolladas pueden surgir
cambios tanto a nivel normativo como de infraestructura que requieran
nuevos acuerdos entre las partes, adems los cambios en las organizaciones
deben estar revisndose para que el conocimiento del negocio no se pierda
con el tiempo. En la Tabla 1 se establece la relacin entre las metas del
negocio5 y las metas de la ASI, las cuales estn enfocadas en dar repuesta a
los siguientes interrogantes:
o Cmo establecer el Marco Normativo de Seguridad de la
Informacin en la organizacin?
o Qu elementos debe contener la Gestin de la ASI en la
organizacin?
o Cmo se identifican los requerimientos tcnicos de SI?
Las metas de negocio definidas en la tabla 1 son un ejemplo, cada organizacin debe definir las
metas de acuerdo a su negocio.
33
Proveer los
lineamientos
para la
organizacin
de la
seguridad en
las empresas
Gestionar la
arquitectura
de
seguridad
de la
informacin
X
X
Establecer el
marco de
comunicacin
entre el rea de
seguridad y la
alta gerencia
Identificar y
cumplir los
requerimientos
de seguridad del
negocio
X
X
Competitividad
Diferenciadores
en el mercado
Entrega eficaz
de productos o
servicios
Mejorar los
procesos del
negocio
Contar con
informacin
veraz para la
toma de
decisiones
Cumplimiento de
normatividad
interna y
requisitos de ley
Comunicacin
entre los
procesos de la
compaa
Identificar e
implementar los
requerimientos
tcnicos de
seguridad
X
X
34
6.5
MARCO NORMATIVO
NO
SI
Identificar las expectativas de
la Alta Gerencia frente a la
creacin de la poltica
Identificar el conocimiento de
seguridad de la informacin
de los actores.
NO
La documentacin cumple con
requisitos establecidos en MASI y
los del Negocio
Informe
de
Conocimiento
de
seguridad de los actores
- Informe expectativas de la Alta
Gerencia
- Informe levantamiento de informacin
del
negocio (ver
procedimiento negocio)
SI
Contraste
entre
las
expectativas de la direccin
frente al conocimiento de los
actores.
La normativa corporativa apoya el
cumplimiento de la normativa de
seguridad de la informacin
Poltica y Directrices de
Seguridad de la Informacin
Aprobacin
de
la
Gerencia de la poltica
Realizar ajustes
Aprobacin de
cambios
Alta
Publicacin
Definir
las
Normas
de
Seguridad de la Informacin
NO
SI
Normas de Seguridad de la
Informacin
Entrenamiento
Identificar
entendimiento
cumplimiento
las polticas
el
y
de
Definicin de Procedimientos
NO
Revisin
de
los
procedimientos por parte del
lder del proceso responsable
de su definicin
SI
Lecciones aprendidas
Aprobacin marco normativo
Fin
35
6.5.2 Procedimiento6
Premisa: la Poltica de Seguridad de la informacin debe estar inmersa en un
proceso de mejora continua.
Convocar una reunin con el equipo de trabajo para la definicin del marco
normativo (TI, rea de seguridad fsica, cultura, gestin humana), a fin de
evaluar que la documentacin existente cuenta con el nivel de detalle
definido en MASI (poltica, directrices, normas y procedimientos), y si
adems, es suficiente para la organizacin.
En el Anexo B se encuentra disponible un ejemplo que puede ser tomado como gua para la
definicin de la poltica, directrices, normas y procedimientos de seguridad de la informacin.
36
37
Aprobacin del Marco Normativo: Una vez definido los documentos que hacen
parte del marco normativo se realiza la aprobacin definitiva del mismo.
38
6.6
GESTIN DE
INFORMACIN
LA
ARQUITECTURA
DE
SEGURIDAD
DE
LA
Elementos de ASI
NO
SI
Entrenar a los actores
del Negocio
NO
SI
SI
Atender
eventualidades de la
Infraestructura
Riesgos
SI
NO
Interiorizacin de los
Actores en el tema de SI
Entrenamiento
SI
NO
Revisin
Requerimientos de la
ASI
Observacin
y Atencin de
Incidentes
NO
SI
Requerimientos
Requerimient
Aprovados
os
Aprobados
Evaluacin y
Revisin y
Revisin
Evaluacin
Actualizacin
Mantenimiento
Realimentar el
proceso
NO
FIN
39
40
NO
SI
SI
Existen
oportunidades de
mejora
Oportunidades
de mejora
Actualizar la
procedimiento
NO
Identificacin de Controles
Definir el equipo analista de riesgo
Identificacin y Valoracin de
Activos
Mapas de riesgo
Identificacin de Amenazas y
Vulnerabilidades de los activos
Se identificaron
Oportunidades de
mejora
NO
SI
Oportunidades de
mejora
Lecciones
Aprendidas
FIN
41
42
43
44
45
Nuevos Activos
Nuevas Amenazas y Vulnerabilidades
Recalcular el Riesgo Intrnseco
Nuevos Controles
Recalcular el Riesgo Residual
Redefinir el Mapa de Riesgos
Estrategias para los planes de accin
Generacin de
Expectativa
NO
Actores Informados o
campaa de expectativa
ejecutada en un periodo
SI
Definicin y
ejecucin del plan
de entrenamiento
Evaluacin de
conocimientos
SI
FIN
47
Oportunidades de
Mejora
NO
Donde:
= 1,962 (ya que la seguridad es del 95%)
p = proporcin esperada (en este caso 5% = 0,05)
q = 1 p (en este caso 1 0,05 = 0,95)
d = precisin (en este caso deseamos un 1%)
Despejando:
n = (1.962 * 0.5 * 0.5) / 0.12 = 96
n= 96 personas a encuestar
48
49
51
INICIO
Reporte de
incidente
Clasificacin del
incidente
Diagnostico Inicial
Escalamiento
Investigacin y
Diagnostico
Resolucin del
Incidente
Comunicacin del
Incidente
Cierre del
Incidente
FIN
52
INICIO
Se requiere evaluacin al
personal
Resultados Atencin de
Incidentes
Requerimiento de revisin
y evaluacin
Anlisis de riesgos
Entrenamiento
NO
NO
SI
SI
SI
Validacin del
conocimiento de
los usuarios
Aplicacin
pruebas de
vulnerabildades
Verificacin de los
elementos
Resultados de la
revisin
Resultados de la
Revisin
Resultados de la
revisin
NO
Se identificaron
oportunidades de
mejora
NO
SI
Actualizacin
FIN
54
55
SI/NO
SI/NO
56
Resultados Revisin y
Evaluacin
Anlisis de Riesgos
Establecimiento de
prioridades (acuerdos)
NO
SI
La actualizacin corresponde
a la implementacin
de planes de mejora
Formalizacin de
las oportunidades
de mejora
SI
Actualizaciones
aprobadas
Evaluacin de planes
de tratamiento
Planes de
tratamiento
aprobados
NO
FIN
57
58
Actualizaciones
aprobadas
Actualizaciones de
tipo Tcnico
NO
Formacin
SI
Ejecucin de la
Actualizacin
NO
SI
SI
Elementos de
MASI
Entrenamiento
NO
Ejecucin de las
actualizaciones
FIN
59
61
62
64
Red Interna
Host
Aplicacin
Datos
Seguridad de HIDS / HIPS Firewall
Cifrado
12
la Red
(WAF )
Actualizacin
Prevencin
VLANs
SO (parches) Buenas
de fugas de
Prcticas
de
Informacin
NIDS / NIPS
Antivirus
Programacin
EFS
DAC (ACLs)
Lneas Base
RBAC (perfiles) Borrado
SSL
MAC
Seguro
(permisos)
SSH
IPSec
Seguridad Fsica: CCTV, Smart Cards, Biomtricos, Controles Ambientales
(HVAC13)
Polticas, Procedimientos y Concienciacin: Marco Normativo, Entrenamiento
(Gestin de la Seguridad de la Informacin)
Gestin del Conocimiento: para el negocio debe ser transparente que pese a
la ausencia de personal (por enfermedad, despido o renuncia) el
funcionamiento de la plataforma tecnolgica no se afecte, por ello se hace
necesario implementar estrategias de documentacin de los procedimientos
operativos que se efectan en el manejo y administracin de los diferentes
dispositivos que la conforman, de tal manera que cualquier miembro del equipo
pueda sortear cualquier eventualidad mientras se soluciona el impase.
12
WAF: por sus siglas en ingles Web Application Firewall, generalmente encaminado a la
prevencin de ataques tipo sql injection y Cross-site Scripting (XSS)
13
HVAC: pos sus siglas en ingles Heating, Ventilating and Air Conditioning, bsicamente es un
sistema encargado de adaptar las condiciones ambientales de los centros de cmputo.
65
6.8
ACUERDOS
66
67
Normativa Corporativa
Estrategias de Negocio
Arquitecto
de Seguridad
de la informacin
Tecnologas de la
Informacin
Gestin de ASI
69
70
71
CONCLUSIONES
73
RECOMENDACIONES
Tener en cuenta que el negocio debe contar con modelos de seguridad que
apoyen su competitividad, MASI es uno de ellos ya que permite
administrar (disear, planear, dirigir y controlar) los procesos estratgicos,
tcticos y operacionales del negocio, de frente a la consolidacin y
permanencia de ste en el contexto de la competitividad de los mercados.
75
REFERENCIAS
[1]
CANO,
Jeimy.
Arquitecturas
de
Seguridad
Informtica:
Entre la administracin y el gobierno de la Seguridad de la Informacin. En:
SEMINARIO DE ACTUALIZACIN EN SEGURIDAD INFORMTICA. (2008:
Bucaramanga). Documento Modulo I Seminario de Actualizacin en Seguridad
Informtica. Bucaramanga: Facultad de Ingeniera Informtica, 2008, p 28.
[2]INSTITUTO COLOMBIANO DE NORMAS TECNICAS Y CERTIFICACION.
NTC-ISO/IEC 27002. Bogot. ICONTEC, 2007.
[3]KILLMEYER, Jan. Information Security Architecture: An Integrated Approach to
Security in the Organization. 2 edicin. Estados Unidos: Auerbach, 2006. 393p
[4] IYER, Bala. GOTTLIEB, Richard. The Four-Domain Architecture: An approach
to support enterprise architecture design. Julio 21 de 2004.Disponible en Web:
http://www.research.ibm.com/journal/sj/433/iyer.html
[5] INTERNATIONAL PROFESSIONAL ASSOCIATION THAT DEALS WITH IT
GOVERNANCE. COBIT 4.1. Estados Unidos. ISACA, 2007.
[6] INSTITUTO COLOMBIANO DE NORMAS TECNICAS Y CERTIFICACION.
NTC-ISO/IEC 27001. Bogot. ICONTEC, 2006.
[7] SysAdmin Audit, Networking and Security Institute. Information Systems
Security Architecture: A Novel Approach to Layered Protection. Estados Unidos.
SANS, 2004.
[8] PARADA, Diego. CALVO, July. Diseo de la arquitectura de seguridad de la
red de la Universidad Pontificia Bolivariana. Bucaramanga, 2008, 219p. Proyecto
de grado (Ingeniera en Informtica). Universidad Pontificia Bolivariana. Facultad
de Ingeniera Informtica.
[9] DE, Zuani. ELIO, Rafael. Introduccin a la administracin de organizaciones. 1
edicin. Argentina: Valletta, 2005. 498p.
[10] Definicin del plan de desarrollo, Enero
http://definicion.de/plan-de-desarrollo/.
de
2010.
Disponible:
de
Seguridad
Modulo
3.
de
2010.
Disponible:
78
ANEXOS
79
LevantamientodeInf
ormacindeNegocio.xlsx
80
81
de sus estrategias del negocio, por tal razn la Alta Gerencia ha estudiado y
avalado la implementacin y aplicacin del documento de Poltica de Seguridad
de la informacin. Es as como la poltica de seguridad de la Informacin busca
establecer los lineamientos que enmarcaran el accionar de los usuarios en cuanto
a la proteccin de la disponibilidad, integridad, y confidencialidad de los activos de
informacin, bajo el marco referencial de la ISO 27002:2005, mediante la
generacin de estructuras mentales y culturales en torno a la Seguridad de la
Informacin que conciencien a los usuarios de la necesidad de contar con
mecanismos de proteccin, teniendo en cuenta buenas prcticas.
Por tanto, la poltica, sus directrices, normas, procedimientos y dems elementos
normativos establecen lineamientos de obligatorio cumplimiento por empleados,
contratistas y cualquier otro ente que establezca alguna relacin con el negocio.
Es responsabilidad de estos reportar los incidentes que atenten contra la
seguridad de los activos de informacin.
El cumplimiento de las polticas no excluye el cumplimiento de las leyes que rigen
en el pas, la Alta Gerencia establecer un plan de accin para la sensibilizacin
de la poltica de tal manera que se facilite el entendimiento y aplicacin por parte
de los actores del negocio; para los cargos que requieran capacitacin especfica
en materia de seguridad de la informacin, la Alta Gerencia avalar y dispondr de
los recursos necesarios para que los colaboradores inicien un proceso de
formacin.
El incumplimiento de la Poltica de SI es motivo de investigacin disciplinaria por
parte de los entes de control interno del negocio, sern ellos los responsables de
investigar y dictaminar la sancin la cual deber ser presentada a la Alta Gerencia.
En caso que el involucrado sea un colaborador de control interno, la Alta Gerencia
ser la encargada de definir un equipo competente para la realizacin de la
investigacin. En caso que el incidente conlleve a un delito tipificado por la ley, el
equipo de control interno informar a la Alta Gerencia quien deber informar a las
autoridades competentes para garantizar el debido proceso.
B.1.1. Directriz de Control de Acceso
82
Norma 1
o Descripcin
El rea de seguridad de la informacin y el rea de gestin de
servicios de la informacin debern definir los procedimientos,
lineamientos de seguridad y buenas prcticas para mitigar los riesgos
relacionados con los accesos no autorizados a los sistemas de
informacin.
o Procedimientos asociados.
Procedimiento de gestin de contraseas para usuarios
Norma 2
o Descripcin
Los usuarios autorizados son responsables de la correcta
administracin de sus permisos de acceso y de la aplicacin de las
normas y procedimientos definidos para tal fin.
Norma 3
o Descripcin
La organizacin deber proveer los recursos para que los procesos de
tecnologa y seguridad de la informacin definan e implementen los
mecanismos de seguridad para controlar el acceso a los servicios de
red.
83
Norma 4
o Descripcin
La organizacin deber proveer los recursos para que los procesos de
tecnologa y seguridad de la informacin definan e implementen los
mecanismos de seguridad para controlar el acceso al sistema
operativo.
o Procedimientos asociados
Procedimiento de Uso de contraseas
Norma 5
o Descripcin
Norma 6
o Descripcin
La organizacin deber proveer los recursos para que los procesos de
tecnologa y seguridad de la informacin definan e implementen los
mecanismos de seguridad para controlar el acceso a la informacin
cuando se empleen los servicios de computacin mvil y trabajo
remoto.
B.3. PROCEDIMIENTO DE USO DE CONTRASEAS
B.3.1. DECLARACIN DE CONFIDENCIALIDAD DE CONTRASEAS
Una vez se han asignado los permisos a los usuarios en los servicios de red, ste
deber firmar una nota de compromiso en el cual se establece que el usuario
deber mantener la confidencialidad de sus contraseas, este requisito es
indispensable a fin de evitar los accesos no autorizados a los sistemas de
informacin.
A continuacin de muestra la nota de compromiso respecto la declaracin de
confidencialidad de contraseas.
84
14
Este procedimiento debe ser empleado solo cuando se considere absolutamente necesario
85
Instalar el Software
Aceptar los trminos de referencia
86
Opciones de administracin
Se recomienda dejar las opciones por omisin del software.
Instalacin finalizada
87
88
cual se quiere
89
90
91
92
Buscar la unidad que se cre con anterioridad en la particin C:/ del disco.
93
94
Ubicacin de la unidad
95
96
Windows emplear la
97
Activos.xlsx
98
99
100
101
102
103
Probabilidad
Muy Alto
Valor
20
Alto
15
Medio
10
Bajo
Catastrfico
Impacto
Consecuencias de la materializacin del riesgo que
pueden afectar la operacin del negocio por largo
tiempo.
Mayor
Medio
Bajo
104
Valor
20
15
10
Riesgos.xlsx
105
Impacto: el impacto debe ser establecido para cada par amenaza vs.
vulnerabilidad, este valor depender de las consecuencias de
materializacin de un riesgo. Para establecer este valor se debe tener en
cuenta la escala de impacto definida en el Anexo G.2.
Criticidad: la criticidad del riesgo est dada por la relacin entre el impacto y
la probabilidad que materializacin del riesgo. Para ello se debe emplear la
matriz de riesgos, teniendo en cuenta los niveles de riesgo que son:
Extremo, Tolerable y Aceptable.
106
107
108
ANEXO I. ENTRENAMIENTO
I.1. ENCUESTA CONOCIMIENTOS GENERALES
1. De los servicios/aplicativos que presta la organizacin, cules conoce?15
a.
b.
c.
e.
g.
Correo
Aplicacin 1
Aplicacin 2
Intranet
Otros
Cules?:_______________________________________________
Correo
Aplicacin 1
Aplicacin 2
Intranet
Otros
Cules?:_______________________________________________
15
Esta informacin deber ser modificada dependiendo de los servicios o aplicaciones con cuente
en la organizacin.
109
b.
d.
e.
Agenda
Pos-it
Ninguno
Otro
Cul?:______________________________________________________
NO
NO
10. A quin llama cuando tiene alguno de los siguientes problemas: fallas en el
sistema operativo, acceso a nuevos servicios, contraseas, virus, o
cualquier otra aplicacin?
a.
b.
c.
d.
rea de tecnologa
Compaero de Trabajo
Jefe Inmediato
Otro
110
Cul?:_________________________________________________
Cules?:____________________________________________________
12. Cuando se levanta de su sitio de trabajo porque necesita ausentarse, usted:
a.
b.
c.
d.
f.
Cierra sesin
Activa el Protector de Pantalla
Suspende el PC
Apaga el PC
Otra
Cul?:__________________________________________________
13. Almacena informacin en las carpetas compartidas que son de uso pblico
en la organizacin?
SI
NO
NO
111
NO
Cul: ____________________________________________________
18. Utiliza como papel reciclaje documentos que hayan sido impresos con
informacin personal, informes, proyectos, entre otros?
SI
NO
NO
20. Comparte archivos o carpetas en su computador para que sean vistos por
otros usuarios de la red?
SI
NO
NO
.
23. En su computador personal almacena informacin:
a
b
c
d
Cul?:__________________________________________________
113
b.
c.
d.
e.
NO
Equipos de cmputo:
Escritorio
Porttiles
Servidores
Intranet
Red Local
Inalmbrica
Extranet
SI
Correo
Web
FTP
DNS
Otro
Cules?: ____________________________________________________
Intranet?:
b.
Extranet?:
c.
Internet?:
114
SI
VPN
WAN
NO
Canales Dedicados
Conmutacin de Paquetes
Conmutacin de Circuitos
c.
d.
e.
Antivirus
Deteccin de Intrusos
IPS
IDS
Aseguramiento de Servidores
Mecanismos de autentificacin
Firmas digitales
Password y Login
SSL
PKI
Cifrado
115
Nota:
Definicin de la periodicidad de las actualizaciones: Inmediata (se realizan cuando
el proveedor la tiene disponible), Peridica (se realizan cada determinado tiempo),
Ocasional (se realizan de vez en cuando), No (no se realizan porque no existe la
cultura)
8. Se realizan copias de seguridad (Backups) de la informacin institucional?
SI
NO
Diariamente
Semanalmente
Mensualmente
Ocasionalmente
Nunca
116
Al interior de la organizacin
Al exterior de la organizacin
Otro
Cul?:__________________________________________________
SI
NO
Servidores
Dispositivos de interconectividad
Aplicaciones
Servicios crticos
NO
Diariamente
Semanalmente
Mensualmente
Ocasionalmente
Nunca
a.
b.
c.
Almacenados
Borrados
Otra
Cul?:__________________________________________________
117
17. Cmo se tiene configurado el tiempo en cada uno de los servidores del
sistema de informacin del negocio?
a.
b.
c.
Cul?:__________________________________________________
NO
SI
NO
SNMP
Otro
Cul?:__________________________________________________
118
NO
Diariamente
Semanalmente
Mensualmente
Ocasionalmente
SI
NO
NO
Ha sido probado
No ha sido probado
NO
119
Bajo
Medio
Alto
Otro
Cul?:__________________________________________________
NO
NO
Muy importante
Importante
Poco Importante
Sin Importancia
120
NO
34. Cundo los llama una empresa proveedora de servicios para realizar un
soporte tcnico ustedes:
a.
b.
_______________________________________________
121
Preguntas de la Encuesta
Pregunta
Observacin
Recomendacin
Preguntas Sugeridas
Observacin
Recomendacin
Consideracin o Cambio
122
Responsable
1
Semana 1
2 3 4
Semana 2
2 3 4
Semana 3
2 3 4
Semana 4
2 3 4
Horario
5
Observacin
Observaciones Generales
123
Recomendacin
Descripcin de la Prueba
En qu consiste la prueba, es decir que herramientas y metodologa se
seguir para conseguir el objetivo.
Forma de Ejecucin
Los pasos necesarios y el orden como se llevar a cabo la prueba, adems el
encargado de dicha prueba.
Resultados esperados
Sabiendo cmo funcionan las herramientas y lo que se quiere lograr con su
uso, plasmar las expectativas que se tienen al aplicar la prueba.
124
Fecha:
Forma de Ejecucin
Los pasos necesarios y en orden como se llevar a cabo la prueba, adems
el encargado de dicha prueba.
Resultados esperados
El encargado de llevar a cabo el simulacro, describe las expectativas que se
tienen con su desarrollo.
125
126
Riesgo
El equipo del punto de contacto deber analizar el riesgo del incidente de
seguridad para ello podrn contar con el apoyo del Arquitecto de Seguridad de la
Informacin. Para el anlisis del incidente se podr emplear la siguiente tabla de
valoracin:
Impacto
Alto
15
Mayor
10
Bajo
10
15
Baja
Media
Alta
Urgencia
Riesgo
Critico
Descripcin
127
Riesgo
Descripcin
Importante
Bajo
Diagnstico Inicial
Teniendo en cuenta la informacin suministrada por quien reporta el incidente,
realizar una valoracin inicial del mismo; en algunos casos se requerir visitar el
rea donde ocurri el incidente y realizar preguntas a quien identific y report el
incidente. En caso que con la informacin existente no se pueda dar solucin al
incidente, ste deber ser escalado a quien considere apropiado por la persona
que se encuentra analizando el incidente.
Escalamiento
El Arquitecto de SI deber contactar a quien fue escalado el incidente para apoyar
el trabajo que ser realizado.
Investigacin y diagnstico
128
Hora
Hora, minutos y segundos en el que
ocurre el incidente.
Activos Afectados
Mencionar segn la clasificacin de activos del Anlisis de Riesgos, los
activos que se vieron comprometidos en el incidente.
Descripcin del incidente
Explicacin detallada del incidente.
Informacin adicional del incidente
129
Comunicacin
Informar a quien notific el incidente que ste fue solucionado.
Cierre
El Arquitecto de Seguridad de la Informacin deber confirmar oficialmente el
cierre del caso luego que se identifique la satisfaccin de quien report el
incidente.
130
ANEXO K. ACTUALIZACIN
Actualizacin
Tipo de Actualizacin
Arquitectura de Seguridad
Negocio
Marco Normativo
Poltica de Seguridad
Directrices
Normas
Procedimientos
Normativa Corporativa
Gestin de Seguridad
Anlisis de Riesgos
Observacin y Atencin de Incidentes
Revisin y Evaluacin
Entrenamiento
Actualizacin
Mantenimiento
Acuerdos
Infraestructura de Seguridad
Gestin del Conocimiento
Directrices, Nomas, Procedimientos
Concienciacin
Seguridad Fsica
Permetro
Red Interna
Host
Aplicacin
Datos
Visibilidad
Control
131
_______________________
Nombre.
Cargo.
La persona que diligencia este formato solicitando la actualizacin debe firmar
con nombre y cargo.
Aprobacin de la Solicitud
SI
NO
132
ANEXO L. MANTENIMIENTO
Mantenimiento
Nivel del Mantenimiento
Arquitectura de Seguridad
Negocio
Marco Normativo
Poltica de Seguridad
Directrices
Normas
Procedimientos
Normativa Corporativa
Gestin de Seguridad
Anlisis de Riesgos
Observacin y Atencin de Incidentes
Revisin y Evaluacin
Entrenamiento
Actualizacin
Mantenimiento
Acuerdos
Infraestructura de Seguridad
Gestin del Conocimiento
Directrices, Normas, Procedimientos y
Concienciacin
Seguridad Fsica
Permetro
Red Interna
Host
Aplicacin
Datos
Visibilidad
Control
Se debe marcar con una X el elemento de la Arquitectura de Seguridad o el
proceso de la Gestin de la Seguridad al que se realizar el mantenimiento.
Fecha
El da, el mes y ao en que inicia el proceso de mantenimiento.
Encargado
133
Director
Arquitecto de Seguridad de la Informacin
Oficial de Seguridad Informtica
Departamento de TI
Terceros
Se debe marcar con una X estipulando quin realiza la evaluacin del proceso de
implementacin del mantenimiento.
Objetivo del mantenimiento
Mencionar el por qu, el cmo y el para qu se debe realizar dicho
mantenimiento.
Sustentacin
Fundamentar si se cumpli el objetivo que se persegua con la implementacin
de dicho mantenimiento, de no ser as explicar las causas por las que la
actualizacin no cumpli con el objetivo trazado.
Firma y Nombre del Encargado
_______________________
Nombre
Cargo
Persona que dirigi el desarrollo del mantenimiento.
Revisado
SI
NO
______________________
Nombre
Cargo
Persona que realiz y evalu la solicitud de mantenimiento.
134