Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Metodologia para Implementación de Modelo de Arquitectura Seguridad PDF
Metodologia para Implementación de Modelo de Arquitectura Seguridad PDF
1
METODOLOGA PARA LA IMPLEMENTACIN DEL MODELO DE
ARQUITECTURA DE SEGURIDAD DE LA INFORMACIN (MASI)
DIRECTORA
Nota de aceptacin:
A toda mi familia en especial a mis primos Milton, Leidy y a sus padres, por su
apoyo incondicional en los proyectos que he emprendido.
A mis compaeros de trabajo en NewNet S.A por todo lo que he podido aprender
y lo que me han enseado durante el tiempo que he trabajado con ellos.
Sin lugar a dudas, no poda pasar inadvertida la persona que con su toque de
perfeccin y crtica constructiva, guio la formalizacin de este trabajo, a mi
maestra, jefe y amiga Anglica Flrez gracias por su tiempo de dedicacin y los
buenos consejos, con los cuales mi formacin personal y profesional se ha
enriquecido positivamente.
Gracias tambin a las personas que estuvieron all acompaando con sus
oraciones, buenos deseos y energa positiva para que se llegara el da de hoy
cuando se culmin este trabajo, a mi novia Leidy Calvo, por la paciencia,
entendimiento y apoyo por hacerme un mejor profesional; a mis padres Javier
Parada y Maritza Serrano, mis hermanos Sergio y Liliana Parada por su oracin
constante, por su acompaamiento y apoyo desinteresado y sobre todo por creer
en m.
Ataque: accin que tiene como finalidad causar dao a un sistema o recurso
informtico en forma no autorizada.
CIO: por sus siglas en ingls CIO (Chief Information Officer) que en castellano se
define como Director Ejecutivo de Tecnologas de Informacin (TI) o como Director
Ejecutivo de Informtica.
Nombre de usuario (ID o Login): nombre o nmero que identifica a los usuarios
para autenticarse ante los servicios informticos de la red.
Pg.
INTRODUCCIN
1 DESCRIPCIN DEL PROBLEMA ................................................................... 3
2 JUSTIFICACIN ............................................................................................... 4
3 OBJETIVOS ...................................................................................................... 5
3.1 OBJETIVO GENERAL ................................................................................ 5
3.2 OBJETIVOS ESPECFICOS ....................................................................... 5
4 MARCO TERICO ........................................................................................... 6
4.1 ARQUITECTURA DE SEGURIDAD DE LA INFORMACIN...................... 6
4.2 MODELOS PARA LA DEFINICIN DE ARQUITECTURAS DE
SEGURIDAD DE LA INFORMACIN................................................................... 7
4.2.1 Arquitectura de seguridad de la informacin segn Jan Killmeyer ....... 7
4.2.2 Modelo de Arquitectura de Seguridad de la Informacin de Jeimy
Cano 10
4.2.3 Arquitectura Empresarial .................................................................... 13
4.2.4 COBIT (Control OBjectives for Information and related Technology) . 14
4.2.5 NTC-ISO/IEC 27001:2006 ................................................................. 15
4.2.6 NTC-ISO/IEC 27002:2007 ................................................................. 16
4.2.7 Arquitectura de seguridad de sistemas de informacin por el SANS
Institute 16
5 ELEMENTOS DEL MODELO DE ARQUITECTURA DE SEGURIDAD DE LA
INFORMACIN MASI ...................................................................................... 20
MASI incorpora un ciclo de mejora continua el cual permite que la Arquitectura
de Seguridad de la Informacin (ASI) se encuentre adaptada a los cambios de la
organizacin ....................................................................................................... 21
5.1 DESCRIPCIN DE LOS ELEMENTOS DEL MASI ................................. 21
Pg.
Pg.
Pg.
Pg.
RESUMEN
ABSTRACT
This paper shows in detail the Model of Information Security Architecture (MASI)
which is framed in the description of the elements that make it up: Business,
Management of Information Security Architecture, Information Security Normative
Framework, Agreements and Infrastructure of Information Security. Such elements
were defined according to the models of security and enterprise architectures
proposed by recognized authors like Bala Iyer and Richard Gottlieb, Jan Killmeyer,
George Farah and Jeimy Cano. Besides, another referent taken account during
the development of the model was the international standards such as ISO
27001:2006 and 27002:2007, besides ISACAs work framework: COBIT 4.1.
Once the elements that make MASI up are identified, there is a description and a
definition of the aspects importants for the formalization of each element, that is,
the keys considerations that must be accomplished during the implementation of
each element to assume that it exists. Afterwards, the steps to allow the
formalization of activities and tasks are established, so that they are covered in the
conception of each MASI element for business.
2
1 DESCRIPCIN DEL PROBLEMA
1
Realizado tambin por los autores de ste documento como proyecto de grado de Ingeniera
Informtica de la Universidad Pontificia Bolivariana.
2 JUSTIFICACIN
7
Figura 1. Componentes de la Arquitectura de Seguridad de la Informacin de
Jan Killmeyer.
Polticas,
estndares y
procedimientos
Organizacin Concientizacin
de seguridad e y
infraestructura entrenamiento
de seguridad Arquitectura de los usuarios
de seguridad
de la
informacin
Lneas base de
seguridad y
Cumplimento
evaluacin de
riesgos
8
A continuacin se detallan algunos objetivos del componente: Organizacin de
Seguridad e Infraestructura[3]:
Los sistemas de informacin que soportan las actividades del negocio estn
expuestas a vulnerabilidades como: puertas traseras (backdoors), huecos de
seguridad (loopholes), entre otros. El hecho de verificar estos problemas sobre
cierto nmero de servidores demanda tiempo y dinero, por ello se hace necesario
establecer un programa que gestione el riesgo, y este es el objetivo principal de
este elemento que conforma la Arquitectura de Seguridad de la Informacin.
9
Bsicamente el autor recomienda tres procesos para la gestin del riesgo: la
creacin de lneas base para mejorar la configuracin del sistema, la educacin a
los administradores y usuarios del sistema, y la evaluacin de los controles
implementados, todo ello aplicado bajo el marco de un ciclo dinmico con el cual
se realice realimentacin sobre el trabajo que se hace en pro de realizar procesos
de mejora continua.
Cumplimiento
10
Figura 2. Modelo de Arquitectura de Seguridad de Jeimy Cano2
2
La consulta y referencia de este modelo fue expresamente autorizado por su autor.
11
Procesos: incorporacin de la norma ISO 27002 en los procesos de la
organizacin, de tal forma que se establezcan directrices con base en buenas
prcticas, que favorezcan el adecuado uso y manejo de la informacin en todos
los niveles de la organizacin: estratgico, tctico y operacional.
12
4.2.3 Arquitectura Empresarial
Dominio de procesos
13
Dominio de informacin y conocimiento
Este dominio incluye todo tipo de datos e informacin que tenga la organizacin
tanto digital como fsica (documentos impresos).
Dominio de infraestructura
Dominio de organizacin
Este dominio apoya la identificacin de los elementos que van a permitir que TI
contribuya con el logro de las metas de la organizacin, para lo cual se plantean
los siguientes cuestionamientos:
14
Adquirir e implementar (AI)
Los servicios se estn entregando de acuerdo con las prioridades del negocio?
Los costos de TI se estn optimizando?
La fuerza de trabajo es capaz de utilizar los sistemas de informacin de manera
productiva y segura?
Estn implantadas de forma adecuada la confidencialidad, integridad y
disponibilidad en los servicios de TI?
Los procesos de TI deben cumplir con los objetivos propuestos, para ello se
establece que estos sern evaluados de forma regular. Este dominio tiene en
cuenta la administracin del desempeo, la monitorizacin del control interno, el
cumplimiento regulatorio y la aplicacin del gobierno de TI.
Se debe tener en cuenta que los numerales 4, 5, 6,7 y 8 de la norma ISO 27001
son requisitos no excluibles cuando una organizacin declara conformidad con la
norma. Las exclusiones permitidas estn enmarcadas en los controles descritos
en el anexo A de la norma, sin embargo, estas debern ser justificadas [6].
15
4.2.6 NTC-ISO/IEC 27002:2007
Esta norma est compuesta por 11 dominios los cuales contienen los objetivos de
control y los controles; en total consta de 133 controles que pueden ser empleados
para la mitigacin de los riesgos identificados [2].
16
3. Disear un modelo para las evaluaciones de seguridad de todos los
componentes identificados, basado en un anlisis del impacto
empresarial (BIA) que permita determinar los controles adecuados tanto
tcnicos como administrativos que se aplicarn sobre los activos.
Realizacin de
Evaluaciones de
la Seguridad
Integracin de
Formulacin del
las prcticas de
Diseo de los
seguridad para
Objetivos de la
mantener el
Arquitectura de
estado de
Seguridad
seguridad
Arquitectura de
Seguridad
Implementacin
del Diseo de los Construccin de
Objetivos de la Polticas y
Arquitectura de Procedimientos
Seguridad
17
infraestructura de TI, las polticas, o definir nuevos controles de seguridad.
Existen dos diseos a tener en cuenta en la arquitectura de seguridad.
18
1. La Gestin del cambio de los diferentes elementos o dispositivos que
conforman la arquitectura.
19
5 ELEMENTOS DEL MODELO DE ARQUITECTURA DE SEGURIDAD DE LA
INFORMACIN MASI
Para definir los elementos que conforman MASI se tomar como referencia el
proyecto de grado: Diseo de la Arquitectura de Seguridad de la red de la
Universidad Pontificia Bolivariana seccional Bucaramanga [8], donde se plantea
una Arquitectura de Seguridad de la Informacin (ASI) conformada por cinco
elementos: Acuerdos, Negocio, Polticas de Seguridad, Gestin de Seguridad e
Infraestructura de Seguridad, los cuales dentro de dicho proyecto se definen pero
no se especifica una metodologa para su implantacin, adems de los modelos
de ASI referenciados en el capitulo anterior.
Para puntualizar MASI (ver Figura 5) est constituido por cinco elementos:
Negocio (lo que el negocio saber hacer3), Marco Normativo de Seguridad de la
Informacin (pautas, reglas, lineamientos para los actores), Gestin de la
Arquitectura de Seguridad de la Informacin (mejora continua), Acuerdos
(alineacin entre seguridad de la informacin y expectativas de la Alta Gerencia),
Infraestructura de Seguridad de la Informacin (seguridad informtica).
3
Know How
MASI incorpora un ciclo de mejora continua el cual permite que la Arquitectura de
Seguridad de la Informacin (ASI) se encuentre adaptada a los cambios de la
organizacin
5.1 DESCRIPCIN DE LOS ELEMENTOS DEL MASI
5.1.1 NEGOCIO
21
e. Plan de desarrollo: herramienta que permite gestionar las directrices,
pautas o acciones que ayudan a cumplir los objetivos, la misin y la visin
del negocio mediante la definicin de indicadores del cumplimiento de las
metas trazadas [10].
Marco Normativo
Poltica
Directrices
Normativa Corporativa
Normas
Procedimientos
22
a la SI (nivel estratgico), la instrumentalizacin de los lineamientos generales,
definidos mediante estndares y normas de SI (nivel tctico) y la definicin de los
procedimientos que detallan los pasos a seguir para el cumplimiento de las
normas de SI (nivel operacional).
23
Normas de seguridad de la informacin.
Normativa corporativa
Cdigo de tica
4
La finalidad primordial de este cdigo es la de lograr la justicia en las relaciones que surgen entre
empleadores y trabajadores, dentro de un espritu de coordinacin econmica y equilibrio social.
Tomado de Cdigo Sustantivo del Trabajo.
24
Normativa Antifraude
Anlisis de
Riesgo
Observacin y
Mantenimiento Atencin a
Incidentes
Gestin de
la
Arquitectura
de
Seguridad
Revisin y
Actualizacin
Evaluacin
Entrenamiento
25
Anlisis de Riesgos
La gestin de incidentes permite identificar los eventos que pueden llegar a afectar
los activos de informacin o los eventos que los han afectado, de tal manera que
se logre reducir los impactos de la materializacin de las amenazas, y a su vez
establecer medidas para reducir su probabilidad de ocurrencia. Los resultados de
la atencin de incidentes pueden ser utilizados como insumos para las actividades
de revisin y evaluacin, actualizacin y mantenimiento.
Revisin y Evaluacin
Para las evaluaciones al recurso humano (los actores) se podr emplear una
encuesta de conocimiento en SI adems de estrategias de observacin que
permitan identificar su comportamiento. Para evaluar la infraestructura se realizan
pruebas de vulnerabilidades. La evaluacin de los elementos de la ASI se logra
mediante la revisin y verificacin continua de cada elemento y sus interacciones.
26
Para definir la periodicidad del proceso de revisin y evaluacin en las
organizaciones se debe considerar la regulacin aplicable al negocio, los ciclos de
auditora establecidos, entre otros factores que pueden influir; MASI propone sea:
Entrenamiento
Actualizacin
Para lograr la actualizacin de los elementos del modelo se requiere del anlisis
de los resultados obtenidos en el proceso de revisin y evaluacin, los cuales
permiten identificar las oportunidades de mejora a nivel de: los elementos de la
ASI, las vulnerabilidades que deben ser actualizadas en el anlisis de riesgos con
sus respectivas salvaguardas, nuevos activos que deben ser protegidos y recurso
humano que requiere ser capacitado. Es conveniente realizar un proceso continuo
de actualizacin que realimente el funcionamiento de la ASI de tal forma que sta
crezca y se renueve a la par del desarrollo organizacional.
Mantenimiento
5.1.4 Acuerdos
27
como referencia el modelo de ASI definido por Jeimy Cano, los Acuerdos
brindarn apoyo a las necesidades de inversin, para llevar a cabo los proyectos
en el contexto de la implementacin, administracin y mantenimiento de la ASI.
Est compuesta por los elementos como: firewalls, VNP, IDS, IPS, entre otros,
requeridos por la organizacin para la mitigacin de los riesgos relacionados con
la seguridad lgica de la informacin (confidencialidad, integridad y disponibilidad),
es decir, de toda aquella informacin que se encuentra almacenada en un
dispositivo electrnico como: servidores, computadores, dispositivos mviles, entre
otros [18].
28
6 METODOLOGA DEL MODELO DE ARQUITECTURA DE SEGURIDAD DE
LA INFORMACIN
Se puede definir la metodologa como una serie de pasos ordenados que van a
permitir seguir un camino para lograr determinado fin [19].
30
Tabla 1. Comparativo entre SGSI y MASI
SGSI MASI
Dentro del Marco Normativo se encuentra el
Precisa un proceso para definir la poltica de
marco de seguridad en el cual se define la
seguridad.
poltica de seguridad de la informacin.
Dentro del elemento Gestin de la Arquitectura
de Seguridad de la Informacin establece un
proceso de anlisis de riesgos en el cual se
SGSI define un proceso para la identificacin,
realiza un inventario de activos, definicin de
valoracin y tratamiento de los riesgos.
amenazas y vulnerabilidades, valoracin del
riesgo intrnseco y efectivo o residual, definicin
de controles y el mapa de riesgos.
Dentro del elemento de Gestin de la ASI,
Define un proceso para el seguimiento y declara un proceso para evaluar y revisar la
revisin de controles. relacin de los elementos del MASI y de los
elementos del negocio.
Dentro de la Gestin de la ASI, define un
proceso de Actualizacin y Mantenimiento, los
Define un proceso de mantenimiento y mejora. cuales permiten corregir y mejorar los
elementos, procesos, actividades y tareas del
MASI.
Existen anexos que permiten la documentacin
Define un proceso de documentacin. y registro de las actividades inmersas, en los
elementos y los procesos que lo conforman.
Define el elemento Acuerdos con el cual
Define un proceso que declara el compromiso,
declara a la Alta Gerencia como un actor
la responsabilidad y revisin por parte de la
comprometido y responsable en la definicin,
Direccin.
formalizacin y direccin de la SI.
Los Acuerdos definen las prioridades e
Define la Gestin de Recursos (aprobacin de
inversin y en la Gestin de la ASI define la
recursos, formacin, toma de conciencia y
actividad de entrenamiento encargada de la
competencia).
concienciacin.
Dentro del elemento de Gestin de la ASI
define un proceso de Revisin y Evaluacin el
Define Auditoras Internas.
cual es una aproximacin a las Auditoras
Internas planteadas por el SGSI.
Todos los elementos tienen asociado el
acompaamiento formal de la Alta Gerencia,
Plantea la revisin del SGSI por parte de la pues el diseo de un proceso es definido,
Direccin. revisado, modificado (de ser necesario) y
aprobado en consenso con el Arquitecto de
Seguridad de la Informacin.
El elemento de Gestin de la ASI define todos
los procesos necesarios (anlisis de riesgo,
Plantea un proceso de mejora del SGSI (mejora entrenamiento, observacin y atencin de
continua, acciones correctivas, acciones incidente, revisin y evaluacin, actualizacin y
preventivas). mantenimiento) que permiten la mejora
continua de la ASI alineado con el contexto de
negocio.
31
En conclusin, MASI, aunque formalmente no declara la implementacin de un
SGSI, tiene intrnsecamente inmersos procesos asociados con el SGSI.
6.4 NEGOCIO
INICIO
Levantamiento de
informacin
Su organizacin ha definido su
NO
visin y misin
SI
Definir la misin y
la visin
La
organizacin
cuenta con un plan
Misin y Visin NO de desarrollo
SI
Definir el plan de
desarrollo
organizacional
La organizacin
NO cuenta con un
mapa de procesos
SI
Plan de desarrollo
organizacional
Definir el mapa de
procesos
La organizacin
cuenta con un balanced
scorecard
NO
SI
mapa de procesos
Definir el balance
score card
La organizacin
NO
ha definido sus metas
SI
Anlisis de la
informacin
FIN
32
Procedimiento
5
Las metas de negocio definidas en la tabla 1 son un ejemplo, cada organizacin debe definir las
metas de acuerdo a su negocio.
33
o Cmo establecer un canal de comunicacin en el cual converjan las
expectativas seguridad y los procesos del negocio?
Para el anlisis de la tabla 2 se debe tener en cuenta que las equis (X)
representan los puntos en los cuales la arquitectura apoya el cumplimiento de las
metas organizacionales.
34
6.5 MARCO NORMATIVO
Identificar el conocimiento de
seguridad de la informacin
de los actores. NO
SI
Contraste entre las
expectativas de la direccin
frente al conocimiento de los
actores.
Aprobacin de
Aprobacin de la Alta cambios
Gerencia de la poltica
Definicin de Procedimientos
NO
Revisin de los
procedimientos por parte del Las evaluacin arrojo
SI
lder del proceso responsable resultados positivos
de su definicin
Lecciones aprendidas
Fin
35
6.5.2 Procedimiento6
Convocar una reunin con el equipo de trabajo para la definicin del marco
normativo (TI, rea de seguridad fsica, cultura, gestin humana), a fin de
evaluar que la documentacin existente cuenta con el nivel de detalle
definido en MASI (poltica, directrices, normas y procedimientos), y si
adems, es suficiente para la organizacin.
6
En el Anexo B se encuentra disponible un ejemplo que puede ser tomado como gua para la
definicin de la poltica, directrices, normas y procedimientos de seguridad de la informacin.
36
informacin, adems de aquellos que puedan ser ejemplarizados y
empleados en las estrategias de sensibilizacin.
37
cumple con los requerimientos se deber realizar la aprobacin de la poltica y
las directrices.
Aprobacin del Marco Normativo: Una vez definido los documentos que hacen
parte del marco normativo se realiza la aprobacin definitiva del mismo.
38
6.6 GESTIN DE LA ARQUITECTURA DE SEGURIDAD DE LA
INFORMACIN
Algo que vale pena tener en cuenta para el proceso es el hecho que el encargado
de su ejecucin pueda acceder especficamente a un componente, esto
dependiendo de lo que ste necesite hacer, adems puede darse que los
productos un componente sean la entrada para la ejecucin de otro.
Elementos de ASI
SI
Entrenar a los actores
del Negocio
NO
SI
SI
Atender
eventualidades de la
Riesgos Infraestructura NO
SI
Entrenamiento Interiorizacin de los
Actores en el tema de SI NO
SI
Revisin
Requerimientos de la
ASI
Observacin
NO
y Atencin de
Incidentes
SI
Requerimientos
Requerimient
Evaluacin y Aprovados
os Aprobados
Revisin y
Revisin
Evaluacin
Actualizacin
Mantenimiento
Realimentar el
proceso
NO
FIN
39
6.6.1 Procedimiento Para la Gestin de la Arquitectura de Seguridad de la
Informacin.
Las Figuras 12, 13, 14, 15 y 16 muestran el proceso de cada uno de los elementos
definidos en el marco de trabajo de Gestin de la Arquitectura de Seguridad de la
informacin, los cuales permiten la formalizacin de la mejora continua de sus
procesos y por ende de los elementos del MASI.
40
Figura 12 Diagrama de Flujo Anlisis de Riesgos.
INICIO
Existen
SI oportunidades de
mejora
Actualizar la Oportunidades
procedimiento de mejora
Definir el procedimiento para el
anlisis de riesgos
NO
Identificacin de Controles
Definir el equipo analista de riesgo
Mapas de riesgo
Identificacin de Amenazas y
Vulnerabilidades de los activos
Se identificaron
NO Oportunidades de SI
mejora
Oportunidades de
mejora
Lecciones
Aprendidas
FIN
41
6.6.2.2 Desarrollo del procedimiento de Anlisis de Riesgos
42
o Identificar los procesos del negocio tomando como base la documentacin
del Sistema de Gestin de Calidad en caso que cuente con uno, de lo
contrario se debern efectuar reuniones con los directivos para
identificarlos.
43
o Tratamiento de los activos
o El clculo del riesgo intrnseco de los activos se realiza sin tener en cuenta
los controles existentes para la mitigacin de los mismos. Se debe tener
en cuenta que este valor no es fcil de identificar, debido a que las
organizaciones intrnsecamente han implementado controles que
complican el hecho que los equipos de trabajo definan valores de
probabilidad y de impacto sin tener en cuenta dichos controles.
44
Anexo G. Para la seleccin de este valor no se deben tener en cuenta los
controles existentes.
Identificacin de Controles
Mapa de Riesgos
45
Definicin y Ejecucin de Planes de Accin
Nuevos Activos
Nuevas Amenazas y Vulnerabilidades
Recalcular el Riesgo Intrnseco
Nuevos Controles
Recalcular el Riesgo Residual
Redefinir el Mapa de Riesgos
Estrategias para los planes de accin
46
6.6.3.1 Diagrama de Flujo para el Entrenamiento
INICIO
Generacin de
Expectativa
NO
Actores Informados o
campaa de expectativa
ejecutada en un periodo
SI
Definicin y
ejecucin del plan
de entrenamiento
Evaluacin de Oportunidades de
conocimientos Mejora
SI
FIN
47
6.6.3.2 Desarrollo del procedimiento de entrenamiento
Donde:
Despejando:
48
Hay que tener en cuenta que si se quiere un nmero pequeo de la
muestra el porcentaje del error asumido debe ser mayor, adems que a
mayor nivel de confianza, mayor es el nmero de la muestra.
49
o Diseado el plan de entrenamiento, este debe ser revisado por el equipo
de trabajo conformado por la Alta Gerencia y el Arquitecto de Seguridad,
este ltimo requiere el aval y apoyo de la Alta Gerencia en la gestin de
los recursos para la ejecucin del mismo.
50
Si el aprendizaje es para los profesionales de TI, se debe pensar en
brindar algn tipo de formacin acadmica, que pueden ser:
diplomados, especializaciones, cursos de certificacin (CISSP, Ethical
Hacking, entre otros), que permitan adquirir las competencias tcnicas y
operativas necesarias para materializar las expectativas de las
directivas en la implementacin de los controles preventivos, detectivos
y correctivos que resultaron del anlisis de riesgos, as como el
aseguramiento de los servicios y sistemas de informacin del negocio.
51
6.6.4.1 Diagrama de Flujo para la Observacin y Atencin de Incidentes
INICIO
Reporte de
incidente
Clasificacin del
incidente
Diagnostico Inicial
Escalamiento
Investigacin y
Diagnostico
Resolucin del
Incidente
Comunicacin del
Incidente
Cierre del
Incidente
FIN
52
Diagnstico inicial: con base en la informacin suministrada en el reporte del
incidente, se identifica si este puede ser resuelto por el punto nico de
contacto o si se requiere escalar el mismo.
53
ha tenido el proceso de Entrenamiento referente al cumplimiento de los
compromisos y buenas prcticas en el desarrollo de sus funciones, de igual
manera el cmo se ha actuado frente a la atencin de eventualidades y si lo que
se hizo por solucionarlas fue ptimo, y por ltimo si lo definido para cada elemento
de ASI est o no alineado con las expectativas del negocio.
INICIO
Resultados Atencin de
Incidentes
Requerimiento de revisin
y evaluacin
Anlisis de riesgos
Entrenamiento
Se requiere evaluacin al
NO
personal
SI
NO
Se identificaron
oportunidades de NO
mejora
SI
Actualizacin
FIN
54
6.6.5.2 Desarrollo del procedimiento de revisin y evaluacin
55
Lista de Verificacin de los Elementos de la ASI SI/NO
Se ha disminuido los niveles de riesgo de los activos de informacin?
Se han realizado mantenimientos a la ASI?
Acuerdos
La Alta Gerencia y el Arquitecto de Seguridad efectan reuniones continuas?
Infraestructura de Seguridad
Se han identificado intentos de ataques a la plataforma tecnolgica?
Se han reportado incidentes relacionados con la no disponibilidad de los servicios de
tecnologa?
6.6.6 Actualizacin
56
Figura 16 Diagrama de Flujo para la Actualizacin
INICIO
Resultados Revisin y
Evaluacin
Anlisis de Riesgos
Establecimiento de
prioridades (acuerdos)
SI
La actualizacin corresponde
Formalizacin de a la implementacin
las oportunidades de planes de mejora
de mejora
SI
Actualizaciones
aprobadas
Evaluacin de planes
de tratamiento
Planes de
tratamiento
aprobados
NO
FIN
57
6.6.6.2 Desarrollo del procedimiento de actualizacin
6.6.7 Mantenimiento
58
Figura 17 Diagrama de Flujo para el Mantenimiento de ASI
INICIO
Actualizaciones
aprobadas
Actualizaciones de Ejecucin de la
NO SI
tipo Tcnico Actualizacin
Formacin NO
SI
Elementos de
MASI
SI
Entrenamiento
NO
Ejecucin de las
actualizaciones
FIN
59
o Someter la solucin a un ambiente de pruebas: mnimo de 24 hrs. antes
de ser puesto en produccin si el mantenimiento es crtico, de no serlo 36
hrs. como mnimo y mximo entre 48 y 76 hrs.
o Delegar en una persona o grupo capacitado y entrenado la
implementacin de la puesta en produccin del mantenimiento; en caso
que no se cuente con personal capacitado se podrn definir otras
estrategias como son la contratacin de de terceros o la capacitacin al
personal interno para que ejecute la actividad, entre otras.
o Aplicacin de la actualizacin o puesta en produccin del mantenimiento.
o Verificacin de cualquier tipo de comportamiento anormal del sistema.
60
defensa en profundidad establece una serie de anillos, capas o niveles de
seguridad con diferentes medidas de proteccin, de tal manera que al
vulnerarse un primer anillo, el atacante se encuentre con un nivel de proteccin
mayor al anterior que fue vulnerado, as el atacante antes de llegar a los datos
tendr que pasar una a una las diferentes contramedidas de seguridad
establecidas en cada uno de los anillos. Este modelo conlleva a que la
probabilidad de que el atacante logre su objetivo disminuya y la probabilidad de
ser detectado aumente, gracias a los mecanismos de monitorizacin y gestin
empleados por el administrador.
61
o Polticas, procedimientos y concienciacin: directrices de seguridad de
uso aceptable de los activos de informacin del negocio para los
usuarios y, necesariamente deben contar con el aval de las directivas
para lograr su cumplimiento.
o Seguridad Fsica: si bien existen medidas de proteccin lgicas, resulta
necesario definir otro tipo de controles que complementen las medidas
de este tipo adoptadas, de tal manera que permitan vigilar y prevenir el
estado fsico de los activos, por ello se hace necesario pensar en
cmaras de vigilancia, puertas con candados magnticos, sistemas
biomtricos, entre otros.
o Permetro: busca proteger los puntos de acceso y de conexin desde
internet hacia la red privada, bsicamente mediante firewalls, proxy o
algn otro mecanismo de control de acceso.
o Red Interna: todas aquellas medidas de proteccin para la red privada
dentro de las cuales se encuentran la segmentacin de la red, IPSec7 y
dispositivos de deteccin y prevencin de intrusos de red.
o Host: se entiende por host tanto los servidores como los equipos de
usuario final, por tanto, los mecanismos de proteccin para esta capa
son especficos para la proteccin de estos dos elementos dentro de la
infraestructura de red. Algunos de estos mecanismos son:
administracin de actualizaciones, firewalls distribuidos, antivirus,
auditoria, entre otros.
o Aplicacin: en esta capa del modelo se definen las medidas de
proteccin tanto para las aplicaciones configuradas en los servidores
(IIS8, SGBD9, entre otras), as como aquellas aplicaciones tpicas del
cliente (Outlook, Office, Office Comunicator, entre otras).
o Datos: es la ltima capa o nivel del modelo dado que su enfoque es la
proteccin de los datos; se deben tener en cuenta entonces elementos
que permitan la proteccin de la confidencialidad (ej: listas de acceso),
la integridad (ej: cifrado) y la disponibilidad (ej: copias de seguridad). En
esta capa tambin se habla del EFS10 cuyo enfoque es el cifrado del
sistema de archivos como por el BitLocker11.
7
IPSec: Es un entorno de estndares abiertos para garantizar comunicaciones privadas y seguras
a travs de redes Internet Protocol (IP), mediante el uso de servicios de seguridad basados en
cifrado Tomado de [25].
8
IIS: Servicios de informacin de Internet.
9
SGBS: Sistema Gestor de Base de Datos.
10
EFS: Sistema de cifrado de archivos.
11
BitLocker: tecnologa de cifrado aplicada a las unidades de Windows en las versiones Ultimate y
Enterprise del Vista y 7.
62
Modelo SAFE de CISCO
63
Teniendo en cuenta los modelos de defensa en profundidad de Microsoft y el
SAFE de Cisco, la definicin del modelo para la infraestructura del MASI est
enmarcado en los elementos del modelo defensa en profundidad de Microsoft
debido a que estos elementos poseen caractersticas genricas fcilmente
identificables en cualquier negocio; se complementa con los aspectos de
visibilidad y control del SAFE Cisco y su ciclo de mejora continua en cada uno de
los procesos de visibilidad (identificacin, monitoreo y correlacin de eventos), y
control (hardening y polticas, segregacin y atencin de incidentes); adems,
como valor agregado se pens en la necesidad de realizar gestin del
conocimiento (documentacin), de tal manera que la adaptacin de stos dos
modelos para MASI implique realizar los esfuerzos necesarios para salvaguardar
el normal funcionamiento de la red privada mediante el aseguramiento de los
dispositivos que la conforman (ver Figura 20).
64
anillo que conforma el modelo, basado en el modelo de Seguridad en Profundidad
de Microsoft.
Gestin del Conocimiento: para el negocio debe ser transparente que pese a
la ausencia de personal (por enfermedad, despido o renuncia) el
funcionamiento de la plataforma tecnolgica no se afecte, por ello se hace
necesario implementar estrategias de documentacin de los procedimientos
operativos que se efectan en el manejo y administracin de los diferentes
dispositivos que la conforman, de tal manera que cualquier miembro del equipo
pueda sortear cualquier eventualidad mientras se soluciona el impase.
12
WAF: por sus siglas en ingles Web Application Firewall, generalmente encaminado a la
prevencin de ataques tipo sql injection y Cross-site Scripting (XSS)
13
HVAC: pos sus siglas en ingles Heating, Ventilating and Air Conditioning, bsicamente es un
sistema encargado de adaptar las condiciones ambientales de los centros de cmputo.
65
teniendo en cuenta que la informacin de los eventos de red se
encuentra ubicada en un repositorio central, haciendo posible la
identificacin de amenazas potenciales que pueden ser mitigadas antes
de que impacten el negocio.
6.8 ACUERDOS
66
Establecer prioridades: mediante los procesos de anlisis de riesgos y revisin
y evaluacin se identifican dentro del negocio riegos y puntos crticos que van
a entorpecer el normal funcionamiento de la ASI, y para evitar que esto suceda
es importante que se definan los niveles de inversin en cuanto a las acciones
que sern ejecutadas para su tratamiento. Teniendo en cuenta que estas
acciones pueden ser priorizadas con base en la matriz de riesgos, dentro de
stas acciones est contemplado el hecho que la organizacin con pleno
conocimiento de lo que esto implica decida asumir el riesgo, es decir, no
ejecutar ninguna accin para el tratamiento de los riesgos o puntos crticos
identificados, o por el contrario, apoyar completamente la ASI y por ende, el
mejoramiento del nivel de seguridad de la organizacin.
67
7 ARQUITECTO DE SEGURIDAD DE LA INFORMACIN
En una primera revisin, esta necesidad pareca estar resuelta con el concepto de
un profesional CIO (Chief Information Officer) cuyo trabajo est enmarcado en
disear e implementar iniciativas de TI, mediante una visin y liderazgo proactivas
que conlleven a que la idea de negocio se mantenga competitiva en el mercado. El
CIO logra materializar esto mediante [3]:
Para que MASI tenga un norte es necesario pensar en una persona con el nivel de
conocimiento adecuado, es decir, que su formacin, conocimiento y habilidades
complementen las del CIO a travs de lo que se denomina ARQUITECTO DE
SEGURIDAD DE LA INFORMACIN, el cual al ser un concepto relativamente
nuevo no hay una directriz clara que lo defina.
MASI define al Arquitecto de SI como aquella persona con competencia a nivel de:
definicin de normativas, conocimiento en estrategias de negocio, tecnologas de
la informacin y gestin de seguridad (ver Figura 21). A continuacin se detallan
las funciones, formacin y roles por cada una de las competencias.
Arquitecto
de Seguridad
de la informacin
Tecnologas de la
Gestin de ASI
Informacin
69
Tabla 5 Formacin, Funciones y Roles del Arquitecto de SI para la
competencia de Estrategias del Negocio
70
Tabla 7 Formacin, Funciones y Roles del Arquitecto de SI para la
competencia de Tecnologas de Informacin
71
CONCLUSIONES
73
RECOMENDACIONES
75
REFERENCIAS
[22] Cisco. Cisco SAFE Solution Overview. Cisco, Estados Unidos. 2009.
77
[25] IPSec (Internet Protocol Security), Junio de 2010. Disponible: IPSec
(Internet Protocol Security).
78
ANEXOS
79
ANEXO A. FORMATO DE LEVANTAMIENTO DE INFORMACIN DE NEGOCIO
LevantamientodeInf
ormacindeNegocio.xlsx
80
ANEXO B. CONSIDERACIONES MARCO NORMATIVO DE SEGURIDAD DE LA
INFORMACIN
81
de sus estrategias del negocio, por tal razn la Alta Gerencia ha estudiado y
avalado la implementacin y aplicacin del documento de Poltica de Seguridad
de la informacin. Es as como la poltica de seguridad de la Informacin busca
establecer los lineamientos que enmarcaran el accionar de los usuarios en cuanto
a la proteccin de la disponibilidad, integridad, y confidencialidad de los activos de
informacin, bajo el marco referencial de la ISO 27002:2005, mediante la
generacin de estructuras mentales y culturales en torno a la Seguridad de la
Informacin que conciencien a los usuarios de la necesidad de contar con
mecanismos de proteccin, teniendo en cuenta buenas prcticas.
82
B.2. NORMAS DE CONTROL DE ACCESO
Norma 1
o Descripcin
o Procedimientos asociados.
Norma 2
o Descripcin
Norma 3
o Descripcin
83
Norma 4
o Descripcin
o Procedimientos asociados
Norma 5
o Descripcin
Norma 6
o Descripcin
84
Premisa: Se debe tener en cuenta que en aquellas organizaciones que no se
cuente con mecanismo automticos para determinar la fortaleza de las
contraseas, dentro de la declaracin de confidencialidad se deber considerar
como responsabilidad del usuario la definicin de contraseas fuertes.
_______________________
Firma
CC.
14
Este procedimiento debe ser empleado solo cuando se considere absolutamente necesario
85
Instalar el Software
86
Opciones de administracin
Instalacin finalizada
87
Seleccin de la ubicacin de la unidad cifrada
88
Seleccionar Mi PC y seleccionar la particin del disco en el cual se quiere
almacenar la unidad cifrada.
89
Seleccionar el tamao de la unidad cifrada. En el espacio demarcado con el
crculo verde se digita el tamao que se crea conveniente en ste. Como se
requiere exclusivamente para almacenar un archivo de contraseas, se reserva un
espacio pequeo.
90
Formato de la unidad cifrada
91
Crear un archivo preferiblemente en Excel el cual puede ser empleado para
detallar el nombre del servicio y la contrasea asociado al mismo.
92
Buscar la unidad que se cre con anterioridad en la particin C:/ del disco.
93
Para desmontar la unidad cifrada, se debe seleccionar la opcin que est
demarcada por el crculo naranja Dismount.
94
Ubicacin de la unidad
Las contraseas son de uso personal e intransferible, para ello los usuarios deben
abstenerse de darlas a conocer a terceros, de mantenerlas escritas o
almacenadas en lugares que sean de fcil acceso a intrusos. Las contraseas
deben cumplir las siguientes caractersticas:
95
Evitar que las contraseas contengan: nombres comunes, datos personales,
fechas de acontecimientos personales o palabras que se encuentren en
diccionarios de cualquier idioma, por ejemplo: elefante, sombrilla,
password, alejandra, 03031975.
Los usuarios deben evitar dejar el computador sin bloquear si se van ausentar de
su puesto de trabajo.
96
Para el ejemplo, la combinacin de teclas configurada es:
Se debe evitar colocar en lugares visibles la informacin que sea importante para
el negocio ya que facilita al personal no autorizado tener acceso a la misma. Esta
informacin deber ser almacenada en un inmueble (archivador, caja fuerte, entre
otros), que permita guardarla con las especificaciones de seguridad pertinentes al
tipo de informacin.
97
ANEXO C. FORMATO DE INVENTARIO DE ACTIVOS
Activos.xlsx
98
ANEXO D. GENERALIDADES PARA DILIGENCIAMIENTO DEL FORMATO DE
INVENTARIO DE ACTIVOS
Formato: identificar el formato (.doc, .xls, .dot, entre otros) del activo en caso
que aplique.
99
Ubicacin: corresponde al lugar en el cual se encuentra almacenado el
activo.
o Confidencialidad:
o Integridad:
o Disponibilidad:
100
Importancia del Activo: corresponde al nivel de importancia del activo
teniendo en cuenta el nivel de confidencialidad, integridad y disponibilidad de
los mismos; para mayor informacin consultar en Anexo C en la pestaa
Valor del Activo.
Etiqueta del Activo: corresponde a la etiqueta que deber ser dispuesta en
los activos la cual permite determinar las medidas de proteccin del activo
teniendo en cuenta su nivel de confidencialidad, integridad y disponibilidad.
101
ANEXO E. CATLOGO DE AMENAZAS
Catlogo de Amenazas
Replicacin de Malware
Fugas de Informacin
Alteracin de la Informacin
Destruccin de la Informacin
Divulgacin de la informacin
Vulnerabilidad de software (Servicios y Aplicaciones)
Software desactualizado (Servicios y Aplicaciones)
Acceso no Autorizado
Intercepcin de Trfico e Informacin
Ataques de denegacin de servicio
Dao en discos de almacenamiento
Errores en la monitorizacin
Errores de configuracin (Administradores)
Dao fsico de dispositivos
Renuncia del Personal
Cada de los canales de comunicacin
Ingeniera social
Ataques de monitorizacin (sniffing)
Abuso de privilegios de usuario
Robo de informacin
Indisponibilidad de personal
102
ANEXO F. CATLOGO DE VULNERABILIDADES
Catlogo de Vulnerabilidades
Falta de capacitacin del personal
Falta de revocacin de derechos de accesos
Deficiencias en la monitorizacin del cumplimiento de procedimientos
Deficiencias en la monitorizacin de equipos activos de red
Falta de mantenimientos
Inconformidad de los colaboradores
Falta de previsin de necesitadas tecnolgicas
Almacenamiento inadecuado de los activos
Control inadecuado de cambios
Inadecuada gestin de usuarios
Inexistencia o inadecuada gestin de desarrollo de software
Inexistencia o inadecuada gestin de vulnerabilidades
Falta de proteccin contra virus o cdigos maliciosos
Inexistencia de procedimientos para el uso del software o herramientas de
cifrado
Inexistencia o falta de gestin de red
Inexistencia o falta de normas de gestin de copias de seguridad
Falta de procedimientos o instructivos para el tratamiento de la informacin
Inadecuada proteccin de medios removibles
Falta de sensibilizacin de Seguridad de la Informacin
103
ANEXO G. TABLA VALORES DE PROBABILIDAD E IMPACTO
Probabilidad Valor
Impacto Valor
Consecuencias de la materializacin del riesgo que
Catastrfico pueden afectar la operacin del negocio por largo 20
tiempo.
Consecuencias de la materializacin del riesgo que
Mayor pueden afectar la operacin de ms de un proceso de 15
negocio.
Consecuencias de la materializacin del riesgo que
10
Medio pueden afectar la operacin de un proceso de
negocio.
Consecuencias de la materializacin del riesgo que
Bajo pueden afectar la operacin de una persona o rea 5
del negocio.
104
G.3. MATRIZ DE VALORACIN DE RIESGO
Riesgos.xlsx
105
ANEXO H. INSTRUCTIVO DILIGENCIAMIENTO DE LA MATRIZ DE RIESGO
Impacto: el impacto debe ser establecido para cada par amenaza vs.
vulnerabilidad, este valor depender de las consecuencias de
materializacin de un riesgo. Para establecer este valor se debe tener en
cuenta la escala de impacto definida en el Anexo G.2.
Criticidad: la criticidad del riesgo est dada por la relacin entre el impacto y
la probabilidad que materializacin del riesgo. Para ello se debe emplear la
matriz de riesgos, teniendo en cuenta los niveles de riesgo que son:
Extremo, Tolerable y Aceptable.
106
Probabilidad: teniendo en cuenta los controles identificados establecer el
nuevo nivel de probabilidad.
107
o Justificacin del plan: Se describen las razones por las cuales es
necesaria la implementacin del plan.
108
ANEXO I. ENTRENAMIENTO
a. Correo
b. Aplicacin 1
c. Aplicacin 2
e. Intranet
g. Otros
Cules?:_______________________________________________
a. Correo
b. Aplicacin 1
c. Aplicacin 2
e. Intranet
f. Otros
Cules?:_______________________________________________
15
Esta informacin deber ser modificada dependiendo de los servicios o aplicaciones con cuente
en la organizacin.
109
b. Un carcter ms de los mnimos
d. Dos caracteres ms de los mnimos
e. Otro
Cuntos? ______________________
a. Agenda
b. Pos-it
c. Ninguno
e. Otro
Cul?:______________________________________________________
SI NO
7. Quin?:
____________________________________________________________
SI NO
9. Quin?:
____________________________________________________________
10. A quin llama cuando tiene alguno de los siguientes problemas: fallas en el
sistema operativo, acceso a nuevos servicios, contraseas, virus, o
cualquier otra aplicacin?
a. rea de tecnologa
b. Compaero de Trabajo
c. Jefe Inmediato
d. Otro
110
Cul?:_________________________________________________
Cules?:____________________________________________________
a. Cierra sesin
b. Activa el Protector de Pantalla
c. Suspende el PC
d. Apaga el PC
f. Otra
Cul?:__________________________________________________
13. Almacena informacin en las carpetas compartidas que son de uso pblico
en la organizacin?
SI NO
SI NO
111
16. Usted deja algunos documentos sobre el escritorio?
SI NO
Cul: ____________________________________________________
18. Utiliza como papel reciclaje documentos que hayan sido impresos con
informacin personal, informes, proyectos, entre otros?
SI NO
19. Se realiza una inspeccin de los documentos que van hacer utilizados
como papel reciclaje?
SI NO
20. Comparte archivos o carpetas en su computador para que sean vistos por
otros usuarios de la red?
SI NO
112
d. Informacin personal de los miembros de la organizacin
e. Otra
Cul?: _________________________________________________
SI NO
.
Cul?:__________________________________________________
113
I.2. ENTREVISTA REA DE TECNOLOGA DE INFORMACIN
SI NO
a. Equipos de cmputo:
Escritorio
Porttiles
Servidores
b. Intranet
c. Red Local
d. Inalmbrica
e. Extranet
NO SI
a. Correo
b. Web
c. FTP
d. DNS
e Otro
Cules?: ____________________________________________________
a. Intranet?:
b. Extranet?:
c. Internet?:
114
4. Qu tecnologa es utilizada para interconectar las diferentes sedes de la
organizacin?
NO SI
a. VPN
b. WAN
SI NO
a. Canales Dedicados
b. Conmutacin de Paquetes
c. Conmutacin de Circuitos
a. Antivirus
b. Deteccin de Intrusos
IPS
IDS
c. Aseguramiento de Servidores
d. Mecanismos de autentificacin
Firmas digitales
Password y Login
SSL
PKI
e. Cifrado
115
7. Con qu periodicidad se realizan actualizaciones y parches de los
servicios de la Red?
Nota:
Definicin de la periodicidad de las actualizaciones: Inmediata (se realizan cuando
el proveedor la tiene disponible), Peridica (se realizan cada determinado tiempo),
Ocasional (se realizan de vez en cuando), No (no se realizan porque no existe la
cultura)
SI NO
________________________________________________________
a. Diariamente
b. Semanalmente
c. Mensualmente
d. Ocasionalmente
e. Nunca
116
11. Dnde se almacenan las copias de seguridad?
a. Al interior de la organizacin
b. Al exterior de la organizacin
c. Otro
Cul?:__________________________________________________
SI NO
a. Servidores
b. Dispositivos de interconectividad
c. Aplicaciones
d. Servicios crticos
SI NO
a. Diariamente
b. Semanalmente
c. Mensualmente
d. Ocasionalmente
e. Nunca
a. Almacenados
b. Borrados
c. Otra
Cul?:__________________________________________________
117
Si su respuesta a la pregunta anterior fue a. Almacenados dirjase a la pregunta
16, de lo contrario contine con la pregunta 17.
____________________________________________________________
____________________________________________________________
17. Cmo se tiene configurado el tiempo en cada uno de los servidores del
sistema de informacin del negocio?
Cul?:__________________________________________________
SI NO
SI NO
a. SNMP
b. Otro
Cul?:__________________________________________________
118
21. Con qu periodicidad se hace esta monitorizacin?
SI NO
a. Diariamente
b. Semanalmente
c. Mensualmente
d. Ocasionalmente
SI NO
SI NO
a. Ha sido probado
b. No ha sido probado
SI NO
119
27. En qu nivel afect el funcionamiento de los Sistemas de Informacin de
la organizacin?
a Bajo
b Medio
c Alto
d Otro
Cul?:__________________________________________________
SI NO
__________________________________________________________________
__________________________________________________________________
_____________________________________________________ _____________
SI NO
a. Muy importante
b. Importante
c. Poco Importante
d. Sin Importancia
120
32. Se cuenta con personal calificado para el desarrollo de la seguridad
informtica en la organizacin?
SI NO
____________________________________________________________
____________________________________________________________
34. Cundo los llama una empresa proveedora de servicios para realizar un
soporte tcnico ustedes:
Cul?: _______________________________________________
121
I.3 FORMATO DE EVALUACIN DE LA ENCUESTA
Preguntas de la Encuesta
Pregunta Observacin Recomendacin
Preguntas Sugeridas
Plan de Entrenamiento
Programa Observacin Recomendacin
Consideracin o Cambio
122
I.5 CRONOGRAMA DE ACTIVIDADES DEL PLAN DE ENTRENAMIENTO
Mes
Actividad Responsable Semana 1 Semana 2 Semana 3 Semana 4 Horario
1 2 3 4 5 1 2 3 4 5 1 2 3 4 5 1 2 3 4 5
Observaciones Generales
123
ANEXO J . REVISIN Y EVALUACIN
Objetivo de la Prueba
Qu se persigue con la realizacin de la prueba.
Descripcin de la Prueba
En qu consiste la prueba, es decir que herramientas y metodologa se
seguir para conseguir el objetivo.
Forma de Ejecucin
Los pasos necesarios y el orden como se llevar a cabo la prueba, adems el
encargado de dicha prueba.
Resultados esperados
Sabiendo cmo funcionan las herramientas y lo que se quiere lograr con su
uso, plasmar las expectativas que se tienen al aplicar la prueba.
124
J.2. REVISIN Y EVALUACIN DEL ENTRENAMIENTO (PRUEBAS DE
CONCEPTO)
Descripcin de la Prueba
En qu consiste la prueba, es decir qu aspectos se evaluaran y qu
metodologa se seguir para conseguir el objetivo.
Forma de Ejecucin
Los pasos necesarios y en orden como se llevar a cabo la prueba, adems
el encargado de dicha prueba.
Resultados esperados
El encargado de llevar a cabo el simulacro, describe las expectativas que se
tienen con su desarrollo.
125
J.3. OBSERVACIN Y ATENCIN DE INCIDENTES
Identificacin
Reporte de Incidentes
Fecha Hora
El da, el mes y ao en el que se Hora, minutos y segundos en el que
presenta el incidente. ocurre el incidente.
Incidente
El nombre que identifica el incidente.
Activos Afectados
Mencionar segn la clasificacin de activos del Anlisis de Riesgos, los
activos que se vieron comprometidos en el incidente.
Descripcin del incidente
Explicacin detallada del incidente.
Informacin adicional del incidente
Lugar donde se identific el incidente:
Persona que identific el incidente:
Jefe inmediato de quien reporta el incidente:
rea a la cual pertenece:
Datos de contacto:
126
Riesgo
Alto 15
Mayor 10
Bajo 5
5 10 15
Urgencia
Baja Media Alta
Riesgo Descripcin
127
Riesgo Descripcin
Diagnstico Inicial
Escalamiento
Investigacin y diagnstico
Resolucin
128
Reporte de Resolucin de Incidentes
Fecha Hora
El da, el mes y ao en el que se Hora, minutos y segundos en el que
presenta el incidente. ocurre el incidente.
Incidente
El nombre que identifica el incidente.
Activos Afectados
Mencionar segn la clasificacin de activos del Anlisis de Riesgos, los
activos que se vieron comprometidos en el incidente.
Descripcin del incidente
Explicacin detallada del incidente.
Lecciones aprendidas
Descripcin de las lecciones aprendidas durante la atencin del incidente.
129
Comunicacin
Cierre
130
ANEXO K. ACTUALIZACIN
Actualizacin
Tipo de Actualizacin
Arquitectura de Seguridad
Negocio
Marco Normativo
Poltica de Seguridad
Directrices
Normas
Procedimientos
Normativa Corporativa
Gestin de Seguridad
Anlisis de Riesgos
Observacin y Atencin de Incidentes
Revisin y Evaluacin
Entrenamiento
Actualizacin
Mantenimiento
Acuerdos
Infraestructura de Seguridad
Gestin del Conocimiento
Directrices, Nomas, Procedimientos y
Concienciacin
Seguridad Fsica
Permetro
Red Interna
Host
Aplicacin
Datos
Visibilidad
Control
131
Mencionar el porqu, el cmo y el para qu se debe realizar dicha actualizacin.
Sustentacin
Fundamentar el objetivo por el cual es necesario realizar dicha actualizacin y el
riesgo en el que se incurre al no hacerlo.
_______________________
Nombre.
Cargo.
SI NO
132
ANEXO L. MANTENIMIENTO
Mantenimiento
Nivel del Mantenimiento
Arquitectura de Seguridad
Negocio
Marco Normativo
Poltica de Seguridad
Directrices
Normas
Procedimientos
Normativa Corporativa
Gestin de Seguridad
Anlisis de Riesgos
Observacin y Atencin de Incidentes
Revisin y Evaluacin
Entrenamiento
Actualizacin
Mantenimiento
Acuerdos
Infraestructura de Seguridad
Gestin del Conocimiento
Directrices, Normas, Procedimientos y
Concienciacin
Seguridad Fsica
Permetro
Red Interna
Host
Aplicacin
Datos
Visibilidad
Control
Se debe marcar con una X el elemento de la Arquitectura de Seguridad o el
proceso de la Gestin de la Seguridad al que se realizar el mantenimiento.
Fecha
El da, el mes y ao en que inicia el proceso de mantenimiento.
Encargado
133
Director
Arquitecto de Seguridad de la Informacin
Oficial de Seguridad Informtica
Departamento de TI
Terceros
Se debe marcar con una X estipulando quin realiza la evaluacin del proceso de
implementacin del mantenimiento.
Objetivo del mantenimiento
Mencionar el por qu, el cmo y el para qu se debe realizar dicho
mantenimiento.
Sustentacin
Fundamentar si se cumpli el objetivo que se persegua con la implementacin
de dicho mantenimiento, de no ser as explicar las causas por las que la
actualizacin no cumpli con el objetivo trazado.
Firma y Nombre del Encargado
_______________________
Nombre
Cargo
Persona que dirigi el desarrollo del mantenimiento.
Revisado
SI NO
______________________
Nombre
Cargo
Persona que realiz y evalu la solicitud de mantenimiento.
134