Documentos de Académico
Documentos de Profesional
Documentos de Cultura
1
CONTENIDO
1. Seguridad de la Informacin 3
2. Seguridad de Informacin Familia ISO/IEC 27000 4
3. Seguridad de Informacin (ISO/IEC 27001) 5
4. Seguridad de Informacin (ISO/IEC 27002) 6
4.1 Contenido de la norma 6
4.2 Gua de Seguridad Informtica 8
4.3 Fases de desarrollo 21
5. Tecnologa, dimensionamiento y sus costos 22
5.1 Casos prcticos 23
2
1. Seguridad de la Informacin
La informacin es un activo que tiene un alto valor y requiere, en consecuencia, una proteccin
adecuada. sta se puede presentar de las siguientes formas:
impresa o escrita en papel,
almacenada electrnicamente,
trasmitida por correo o medios electrnicos,
hablada en conversacin.
La seguridad de la informacin consiste en procesos y controles diseados para protegerla de su
divulgacin no autorizada, transferencia, modificacin o destruccin, a efecto de:
asegurar la continuidad del negocio,
minimizar posibles daos, y
maximizar oportunidades.
La seguridad informtica debe entenderse en el contexto de la seguridad fsica y lgica de la
informacin, y por eso intenta proteger cuatro elementos:
Hardware
Software
Datos
Elementos Consumibles
3
2. Seguridad de Informacin Familia ISO/IEC 27000
La serie de normas ISO/IEC 27000 son estndares de seguridad publicados por la Organizacin
Internacional para la Estandarizacin (ISO) y la Comisin Electrotcnica Internacional (IEC).
La serie contiene las mejores prcticas recomendadas en Seguridad de la informacin para
desarrollar, implementar y mantener especificaciones para los Sistemas de Gestin de la
Seguridad de la Informacin (SGSI), estas normas incluyen:
4
3. Seguridad de Informacin (ISO/IEC 27001)
Estndar para la seguridad de la informacin ISO/IEC 27001 (Information technology - Security
techniques Information security management systems - Requirements)
Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema
de Gestin de la Seguridad de la Informacin (SGSI).
5
4. Seguridad de Informacin (ISO/IEC 27002)
Es un conjunto de recomendaciones sobre qu medidas tomar en la institucin para asegurar los
Sistemas de Informacin.
Publicada en Espaa como UNE-ISO/IEC 27002:2009 desde el 9 de Diciembre de 2009. Otros
pases donde tambin est publicada en espaol son, por ejemplo, Colombia (NTC-ISO-IEC
27002), Venezuela (Fondonorma ISO/IEC 27002), Argentina (IRAM-ISO-IEC 27002), Chile (NCh-
ISO27002), Uruguay (UNIT-ISO/IEC 27002) o Per (como ISO 17799; descarga gratuita.
Los objetivos de seguridad recogen aquellos aspectos fundamentales que se deben analizar
para conseguir un sistema seguro en cada una de las reas que los agrupa.
Para conseguir cada uno de estos objetivos, la norma propone una serie de medidas o
recomendaciones (controles) que son los que en definitiva se aplican para la gestin del riesgo
analizado.
Los objetivos de control son los aspectos a asegurar dentro de cada rea/seccin; y los
controles son los mecanismos para asegurar los objetivos de control (gua de buenas prcticas).
Para cada control establecido, se debe elaborar una gua para su implantacin)
Para la elaboracin del documento que se presentar como gua de seguridad informtica es
conveniente utilizar la ISO/IEC 27002, en virtud que incluye controles especficos relacionados
con aspectos informticos.
DOMINIO DESCRIPCIN
El documento de la poltica de seguridad de la
informacin debiera ser aprobado por la gerencia,
5. Poltica De Seguridad
y publicado y comunicado a todos los empleados
y las partes externas relevantes.
La gerencia debiera apoyar activamente la
seguridad dentro de la organizacin a travs de
Aspectos Organizativos de La una direccin clara, compromiso demostrado,
6.
Seguridad de la Informacin asignacin explcita y reconociendo las
responsabilidades de la seguridad de la
informacin.
Inventario de los activos debiera incluir toda la
informacin necesaria para poder recuperarse de
7. Gestin de Activos. un desastre; incluyendo el tipo de activo, formato,
ubicacin, informacin de respaldo, informacin
de licencias y un valor comercial.
Los roles y responsabilidades de la seguridad
Seguridad Ligada a los debieran ser definidos y claramente comunicados
8.
Recursos Humanos. a los candidatos para el puesto durante el proceso
de pre-empleo.
6
DOMINIO DESCRIPCIN
Se debieran utilizar permetros de seguridad
(barreras tales como paredes, rejas de entrada
9. Seguridad Fsica y del Entorno controladas por tarjetas o recepcionistas) para
proteger las reas que contienen informacin y
medios de procesamiento de informacin.
Procedimientos documentados para las
actividades del sistema asociadas con los medios
de procesamiento de la informacin y
Gestin de Comunicaciones y comunicacin; tales como procedimientos para
10.
Operaciones. encender y apagar computadoras, copias de
seguridad, mantenimiento del equipo, manejo de
medios, cuarto de cmputo, manejo del correo y
seguridad.
Establecer, documentar y revisar la poltica de
11. Control de Acceso. control de acceso en base a los requerimientos
comerciales y de seguridad para el acceso.
Adquisicin, Desarrollo y Identificary acordar los requerimientos de
12. Mantenimiento De Sistemas de seguridad antes del desarrollo y/o implementacin
Informacin. de los sistemas de informacin.
Procedimientos formales de reporte y de la
Gestin de Incidentes en la intensificacin de un evento, ejemplo: cambios del
13.
Seguridad de la Informacin. sistema no controlados, mal funcionamiento del
software o hardware, violaciones de acceso.
Desarrollar y mantener un proceso gerencial para
la continuidad del negocio en toda la organizacin
Gestin de la Continuidad del
14. para tratar los requerimientos de seguridad de la
Negocio.
informacin necesarios para la continuidad
comercial de la organizacin.
Definir explcitamente, documentar y actualizar
todos los requerimientos estatutarios, reguladores
y contractuales relevantes, y el enfoque de la
15. Cumplimiento.
organizacin para satisfacer esos requerimientos,
para cada sistema de informacin y la
organizacin.
7
4.2 Gua de Seguridad Informtica
Para el desarrollo de la gua en cuestin, se tomarn de referencia 5 dominios, los cuales se
relacionan directamente con el rea informtica:
No. DOMINIO
7. Gestin de Activos.
10. Gestin de Comunicaciones y Operaciones.
11. Control de Acceso.
Adquisicin, Desarrollo y Mantenimiento De
12.
Sistemas de Informacin.
Gestin de Incidentes en la Seguridad de la
13.
Informacin.
Activos.-
Informacin: Bases de datos, la data (sorteo, providencias o actos procesales, sentencias,
jurisprudencia; informacin administrativa, informacin financiera), contratos y acuerdos,
resoluciones, planes de continuidad del negocio, registros de auditoras
Archivos de Software: sistemas de gestin de trmite jurisdiccional, sistemas de gestin
documentas, erp, sistemas operativos, entre otros.
Activos de Hardware: Servidores, equipos de comunicacin, equipamiento de TICs
Personal: roles y responsabilidades acorde a la capacidad y experiencia del personal de las
diferentes unidades de TICs
Intangibles: Imagen de transparencia, celeridad, seguridad y justicia.
8
OBJETIVO
No. DE CONTROL ACCIN RIESGO
CONTROL
Todos los activos deben estar La organizacin identificar todos los
claramente identificados y se activos y documentar de acuerdo a
Inventario de
debe elaborar y mantener un su importancia. El inventario incluir
activos
inventario de todos los toda la informacin necesaria para
activos importantes. recuperarse de los desastres.
Una vez que se ha definido,
identificado, elaborado el inventario de
Toda la informacin y los todos los activos de Tics de la
activos asociados con los organizacin se identificar al
servicios de procesamiento responsable o los responsables de El no contar con un
Responsable
de informacin deben ser controlar el uso y seguridad de estos. conjunto de polticas
de los activos
asignada a una parte de la Adems se realizar una revisin especficas as como
organizacin que acta como peridica a la clasificacin y definicin
responsables para el uso
7.1
responsable. de responsables de los activos y de los activos podra verse
servicios que se ofrecen. afectada la integridad y
disponibilidad de la
Las organizaciones establecern un informacin.
Se debe identificar, conjunto de polticas, normas
documentar e implementar especficas, reglas, manuales de uso y
las reglas sobre el uso dems directrices, con el fin de
Uso aceptable aceptable de la informacin y garantizar la seguridad y
de los activos de los activos asociados con disponibilidad respecto al acceso y
los servicios de uso que se d a los activos, asociados
procesamiento de la a los sistemas de informacin de cada
informacin. una de las organizaciones.
9
DOMINIO 10: GESTIN DE COMUNICACIONES Y OPERACIONES
OBJETIVO DE
No. CONTROL ACCIN RIESGO
CONTROL
Preparar procedimientos
documentados para las
Procedimientos de actividades del sistema
operacin documentados asociadas con los medios de
procesamiento de la
informacin y comunicacin;
Sistemas operacionales y el
software de aplicacin
Gestin del cambio
Procedimientos y sujetos a un estricto control
10.1 responsabilidades de autoridades del cambio.
operacionales Tener cuidado que nadie Falta de segregacin de
pueda tener acceso, funciones.
Segregacin de los deberes modificar o utilizar los
activos sin autorizacin o
deteccin.
Identificar el nivel de
separacin necesario entre
Separacin de los medios de los ambientes de desarrollo,
desarrollo, prueba y prueba y operacin para
operacin evitar los problemas
operacionales e implementar
los controles apropiados.
Incluir acuerdos de
seguridad pactados en la
entrega del servicio por un
Entrega del servicio
tercero e incluir definiciones
del servicio y aspectos de la
gestin del servicio.
El monitoreo y revisin de
los servicios de terceros
Gestin de la entrega del debiera asegurar que se
servicio de terceros cumplan los trminos y Falta de calidad en el
10.2 Monitoreo y revisin de los
condiciones de seguridad de servicio adquirido.
servicios de terceros
los acuerdos, y que se
manejen apropiadamente los
incidentes y problemas de
seguridad de la informacin.
El proceso de manejar los
cambios en el servicio de
Manejo de cambios en los
terceros necesita tomarlos
servicios de terceros
cambios realizados por la
organizacin
Identificar los requerimientos
de capacidad de cada
Gestin de la capacidad
actividad nueva y en
proceso.
Asegurar que los
Planeacin y aceptacin del requerimientos y criterios de
sistema aceptacin de los sistemas
10.3 nuevos estn claramente
Fallas de Operacin en los
definidos, aceptados,
Aceptacin del sistema sistemas
documentados y probados.
10
OBJETIVO DE
No. CONTROL ACCIN RIESGO
CONTROL
Basarse en la deteccin de
cdigos maliciosos y la
reparacin de software,
Controles contra cdigos
Proteccin contra el cdigo conciencia de seguridad, y
maliciosos
malicioso y mvil los apropiados controles de
10.4 acceso al sistema y gestin
Posible prdida de
del cambio.
informacin y atraso en las
operaciones.
Considerar acciones para
Controles contra cdigos evitar que el cdigo mvil
mviles realice acciones no-
autorizadas
Proporcionar medios de
respaldo adecuados para
asegurar que toda la Posible prdida de
10.5 Respaldo o Back-Up Respaldo o Back-Up informacin esencial y informacin crtica y
software se pueda recuperar suspensin de actividades
despus de un desastre o
falla de medios.
Implementar controles para
asegurar la seguridad de la
informacin en las redes, y
Controles de redes
proteger los servicios
conectados de accesos no-
Posible intrusin de terceros
autorizados.
10.6 Gestin de seguridad de la red no autorizados e
Determinar y monitorear
interrupcin del servicio.
regularmente la capacidad
Seguridad de los servicios del proveedor del servicio de
de la red red para manejar los
servicios contratados de una
manera segura
Considerar lineamientos
Gestin de medios
para la gestin de medios
removibles
removibles
Definicin de procedimientos
formales para la eliminacin
Retirada de soportes
de medios confidenciales
Gestin de medios que ya no sern requeridos. Posible fuga de informacin.
Establecer procedimientos
10.7
para el manipuleo,
Procedimientos para el procesamiento, almacenaje
manejo de informacin y comunicacin de la
informacin consistente con
su clasificacin.
asegurar la documentacin
Seguridad de la
del sistema de manera
documentacin del sistema
segura
Definir procedimientos y
controles a seguirse cuando
Polticas y procedimientos
se utilizan medios de
de intercambio de
comunicacin electrnicos
Intercambio de informacin informacin
para el intercambio de Posible fuga de informacin
10.8 informacin y suplantacin de
Establecer y mantener las identidades.
polticas, procedimientos y
Acuerdos de intercambio estndares para proteger la
informacin y medios fsicos
en trnsito
11
OBJETIVO DE
No. CONTROL ACCIN RIESGO
CONTROL
Considerar lineamientos
para proteger los medios de
Medios fsicos en trnsito
informacin transportados
entre diferentes ubicaciones
Definir consideraciones de
Mensajes electrnicos seguridad para los mensajes
electrnicos
Definir consideraciones a las
implicancias de seguridad en
Sistemas de informacin
la interconexin de los
sistemas de informacin
Definir consideraciones de
Comercio electrnico seguridad para el comercio
electrnico
Definir consideraciones de
Transacciones en-lnea seguridad para
Comercio electrnico Transacciones en-lnea
Proteger mediante Posibles transacciones
10.9
mecanismos apropiados el fraudulentas
software, data y otra
Informacin pblicamente informacin que requiere un
disponible alto nivel de integridad,
puesta a disposicin en un
sistema pblicamente
disponible,
Considerar registros de
Registro de auditora auditora cuando sea
relevante.
Determinar el nivel de
monitoreo requerido para los
Uso del sistema de
medios individuales
monitoreo
mediante una evaluacin del
riesgo.
Establecer controles para
Proteccin del registro de protegerse contra cambios
informacin no autorizados y problemas
operacionales,
Monitoreo Revisados de manera
Posible incapacidad de
10.10 Registros del administrador regular los registros de
prevenir fallos de sistemas
y operador administrador y operador del
sistema.
Registrar las fallas
reportadas por los usuarios o
por los programas del
sistema relacionadas con los
Registro de fallas
problemas con el
procesamiento de la
informacin o los sistemas
de comunicacin
Colocar la hora del reloj de
Sincronizacin de relojes acuerdo a un estndar
acordado
12
DOMINIO 11: CONTROL DE ACCESO
OBJETIVO DE
CONTROL ACCIN RIESGO
No. CONTROL
Requerimiento para el Poltica de control del Establecer claramente en la poltica Posibles accesos no
11.1 control del acceso acceso de control de acceso las reglas de autorizados.
control del acceso y los derechos
para cada usuario o grupos de
usuarios.
13
OBJETIVO DE
CONTROL ACCIN RIESGO
No. CONTROL
Segregacin en redes Un mtodo para controlar la
seguridad de grandes redes es
dividirlas en dominios de red
lgicos separados
Control de conexin a Los derechos de acceso a la red de
la red los usuarios se debieran mantener
y actualizar conforme
lo requiera la poltica de control de
acceso
Control de routing de la Implementar controles de routing en
red las redes para asegurar que las
conexiones
de la computadora y los flujos de
informacin no violen la poltica de
control de acceso de las
aplicaciones
Procedimientos para un Diseo del procedimiento para
11.5 registro seguro registrarse en un sistema de
operacin de manera que minimice
la oportunidad de un acceso no
autorizado.
Identificacin y Aplicar este control a todos los tipos
autenticacin del de usuarios (incluyendo el personal
usuario de soporte tcnico, operadores,
administradores de redes,
programadores de sistemas y
administradores de bases de
datos).
Sistema de gestin de Los sistemas para el manejo de
Control del acceso al claves secretas claves secretas debieran ser Posible suspensin
sistema operativo interactivos y debieran asegurar de actividades y del
claves secretas adecuadas. servicio.
Uso de las utilidades Se debieran considerar
del sistema lineamientos para el uso de las
utilidades del sistema:
Cierre de una sesin Un dispositivo de cierre debiera
por inactividad borrar la pantalla de la sesin y
tambin, posiblemente ms
adelante, cerrar la aplicacin y las
sesiones en red despus de un
perodo de inactividad definido.
Limitacin del tiempo considerar controles sobre el
de conexin tiempo de conexin para las
aplicaciones de
cmputo sensibles,
Restriccin del acceso Las restricciones para el acceso se
11.6 a la informacin debieran basar en los
Control de acceso a la
requerimientos de las aplicaciones. Posible fuga y
aplicacin y la
Aislar el sistema considerar los siguientes prdida de
informacin
confidencial lineamientos para aislar el sistema informacin
sensible o
confidencial
Computacin y tele- Computacin y Establecer una poltica y adoptar
11.7 Posible
trabajo mvil comunicaciones las medidas de seguridad
suplantacin de
mviles apropiadas para proteger contra los
identidad y accesos
riesgos de utilizar medios de
no autorizados.
computacin y comunicacin mvil.
14
DOMINIO 12. ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE
INFORMACIN
No. OBJETIVO
DE CONTROL ACCIN RIESGO
CONTROL
Posible adquisicin e
implementacin de
Definir de lneas base de
Requisitos de sistemas que no
seguridad en aplicaciones e
seguridad de Anlisis y especificacin de cumplen con medidas
12.1 infraestructura de TI, de
los sistemas los requisitos de seguridad de seguridad
acuerdo a la necesidad de
de informacin reconocidas o
cada aplicacin.
aprobadas por la
Institucin.
Validar los datos de entrada
Validacin de los datos de para evitar errores por
entrada. captura de datos
incorrectos.
Revisar la seguridad de las
aplicaciones a nivel cdigo
para detectar cualquier
Control de procesamiento
corrupcin de la informacin
interno
a travs de errores de
procesamiento o actos Posible liberacin en
deliberados. ambiente productivo de
Tratamiento Evaluar los riesgos de aplicaciones con
12.2 correcto de las seguridad para determinar si vulnerabilidades de
aplicaciones Integridad de los mensajes se requiere la integridad del seguridad y
mensaje e identificar el procesamiento de datos
mtodo de implementacin incorrecto.
ms apropiado.
Validar los datos en el
procesamiento, para
asegurar que la informacin
almacenada sea la correcta
Validacin de los datos de
y la apropiada para las
salida
circunstancias. Ya que an
en los sistemas que han
sido probados se puede
producir output incorrecto.
Desarrollar e implementar
Poltica de uso de controles una Poltica para el uso de
criptogrficos controles criptogrficos, para
proteger la informacin.
Posible afectacin a la
Proteger las claves confidencialidad de la
criptogrficas contra una informacin mantenida
modificacin, prdida y en los sistemas y
destruccin. aplicaciones de la
Controles Proteger contra la Institucin.
12.3 divulgacin no-autorizada,
Criptogrficos
las claves secretas y Posible falsificacin de
Gestin de claves privadas. la firma digital,
Brindar seguridad fsica al reemplazndola con la
equipo utilizado para clave pblica de un
generar, almacenar y usuario.
archivar las claves.
A manera de ejemplo, los
dos tipos de tcnicas
criptogrficas son:
15
No. OBJETIVO
DE CONTROL ACCIN RIESGO
CONTROL
tcnicas de claves secretas
y tcnicas de claves
pblicas.
Minimizar el riesgo de
corrupcin de los sistemas
operacionales, considerando
lineamientos para controlar
los cambios como son:
actualizacin del software
operacional, los sistemas
Control del Software en operacionales slo deben
explotacin mantener cdigos
ejecutables aprobados, y no
cdigos de desarrollo o
compiladores. Establecer
una estrategia de regreso a
la situacin original
(rollback) antes de
implementar los cambios.
Para los propsitos de
pruebas, evitar el uso de
bases de datos
Posibles fugas y
operacionales conteniendo
prdidas de informacin
informacin personal o
Proteccin de los datos de confidencial en posesin
cualquier otra informacin
12.4 prueba del sistema de la Institucin, que
confidencial. Autorizar por
Seguridad de pueden ser utilizadas
separado cada vez que se
los archivos de para fines ajenos a la
copia informacin
sistema misma.
operacional en un sistema
de aplicacin de prueba.
El acceso al cdigo fuente
del programa y los tems
asociados (como diseos,
especificaciones, planes de
verificacin y planes de
validacin) se deben
controlar estrictamente para
evitar la introduccin de una
Control de acceso al cdigo
funcionalidad no-autorizada
fuente de los programas
y para evitar cambios no-
intencionados.
Implementar procedimientos
estrictos de control de
cambios para el
mantenimiento y copiado de
las bibliotecas fuentes del
programa.
Documentar y hacer cumplir
Posible introduccin de
los procedimientos formales
cambios no probados y
de control del cambio para
no autorizados en los
minimizar la corrupcin de
sistemas y aplicaciones
Seguridad en los sistemas de informacin.
de la Institucin.
los procesos Procedimientos de control La introduccin de sistemas
12.5 Posibles problemas de
de desarrollo y de cambios nuevos y los cambios
segregacin de
soporte importantes a los sistemas
funciones en desarrollo
existentes deben realizarse
y operacin.
despus de un proceso
Posible fuga de
formal de documentacin,
Informacin.
especificacin, prueba,
16
No. OBJETIVO
DE CONTROL ACCIN RIESGO
CONTROL
control de calidad e
implementacin manejada.
La buena prctica incluye la
prueba del software nuevo
en un ambiente segregado
de los ambientes de
produccin y desarrollo.
Revisar y probar las
aplicaciones comerciales
crticas, cuando se cambian
los sistemas de operacin,
para asegurar que no exista
un impacto adverso sobre
Revisin tcnica de las
las operaciones
aplicaciones tras efectuar
organizacionales o en la
cambios en el sistema
seguridad. Asignar a un
operativo
grupo o persona especfica
la responsabilidad de
monitorear las
vulnerabilidades, as como
los parches y arreglos que
lancen los vendedores.
Limitar los cambios
necesarios y controlarlos
estrictamente. Utilizar los
Restricciones a los cambios
paquetes de software
en los paquetes de software
suministrados por
vendedores sin
modificaciones.
Considerar puntos para
limitar la filtracin de la
informacin; por ejemplo, a
travs del uso y explotacin
de los canales encubiertos
Fugas de Informacin (covertchannels).
Tomar medidas para
protegerse contra cdigos
Troyanos reduce el riesgo
de la explotacin de los
canales encubiertos.
Supervisar y monitorear, el
desarrollo del software
abastecido externamente.
Externalizacin del Considerar puntos como
desarrollo de software contratos de licencias,
propiedad de cdigos,
derechos de propiedad
intelectual.
Obtener oportunamente la
informacin sobre las Posible incapacidad
vulnerabilidades tcnicas de para detectar problemas
los sistemas de informacin, de seguridad en los
la exposicin de la sistemas y aplicaciones
Gestin de la
Control de las organizacin a dichas de la Institucin.
12.6 vulnerabilidad
vulnerabilidades tcnicas vulnerabilidades evaluadas, Posible incapacidad
tcnica
y las medidas apropiadas para tomar las medidas
tomadas para tratar los necesarias de
riesgos asociados. Un contencin, y responder
inventario actual y completo oportunamente.
de los activos (ver 7.1) es un
17
No. OBJETIVO
DE CONTROL ACCIN RIESGO
CONTROL
prerrequisito para la gestin
efectiva de la vulnerabilidad
tcnica. La informacin
especfica necesaria para
apoyar la gestin de la
vulnerabilidad tcnica
incluye al vendedor del
software, nmeros de la
versin, estado actual del
empleo (por ejemplo, cul
software est instalado en
cul sistema), y la(s)
persona(s) dentro de la
organizacin responsable(s)
del software.
18
DOMINIO 13.GESTIN DE INCIDENTES EN LA SEGURIDAD DE LA INFORMACIN
No. OBJETIVO
DE CONTROL ACCIN RIESGO
CONTROL
Reportar a travs de los
canales gerenciales
apropiados lo ms
rpidamente posible los
eventos de seguridad de
la informacin. Tomar la
conducta correcta en el
Notificacin de los eventos de
caso de un evento en la
seguridad de la informacin
seguridad de la
informacin; por ejemplo:
No llevar a cabo ninguna
Notificacin
accin por cuenta propia,
de eventos y
sino reportar
puntos dbiles
13.1 inmediatamente al punto
de seguridad
de contacto.
de la
Requerir que todos los
informacin
usuarios empleados,
contratistas y terceros de
los sistemas y servicios de
informacin tomen nota y
Notificacin de puntos dbiles reporten cualquier Posible incapacidad
de seguridad debilidad de seguridad para detectar
observada o sospechada problemas de
en el sistema o los seguridad en los
servicios. El mecanismo sistemas y
de reporte debe ser fcil y aplicaciones de la
estar disponible. Institucin.
Establecer las Incapacidad para
responsabilidades y los tomar las medidas
procedimientos de la necesarias de
gerencia para asegurar contencin, y
Responsabilidades y
una respuesta rpida, responder
procedimientos
efectiva y metdica ante oportunamente.
los incidentes de la
seguridad de la
informacin.
Establecer mecanismos
para permitir cuantificar y
Gestin de
monitorear los tipos,
incidentes y
volmenes y costos de los
13.2 mejoras de
Aprendizaje de los incidentes de incidentes en la seguridad
seguridad de
seguridad de la informacin de la informacin. Analizar
la informacin
la informacin obtenida
para identificar los
incidentes recurrentes o
de alto impacto.
Recolectar, mantener y
presentar evidencia para
cumplir con las reglas de
Recopilacin de evidencias evidencia establecidas en
la(s) jurisdiccin(es)
relevante(s). Desarrollar y
seguir los procedimientos
19
No. OBJETIVO
DE CONTROL ACCIN RIESGO
CONTROL
internos cuando se
recolecta y presenta
evidencia para propsitos
de una accin disciplinaria
manejada dentro de una
organizacin.
Realizar en las copias del
material de evidencia
cualquier trabajo forense.
Lo anterior aplica por
ejemplo, para una accin
de seguimiento contra una
persona u organizacin
despus de un incidente
en la seguridad de la
informacin involucra una
accin legal (ya sea civil o
criminal);
20
4.3 Fases de desarrollo
La implementacin de dicha gua debe incluir el desarrollo de objetivos, polticas, procesos y
procedimientos, considerando las siguientes definiciones para su elaboracin:
21
5. Tecnologa, dimensionamiento y sus costos
En general se recomienda que se adopten tecnologas para brindar seguridad en las siguientes
reas:
Esquemas de Seguridad
rea Aplicativo / Software
Escritorio Antivirus, Antispyware, FireWall Personal
IPS local, Filtro Web, Control de Acceso a Red, Dispositivos Mviles
Control de Aplicaciones / Listas Blancas/Negras
Datos Encripcin de disco, Encripcin de archivos, Control de Dispositivos
Prevencin de fuga de informacin local, Prevencin de fuga de informacin
en la red, Administracin de permisos, Respaldo y Restauracin,
Almacenamiento Empresarial (SAN)
Servidor Antivirus, Antispyware, FireWall local
IPS local, Filtro Web, Control de Acceso a Red,
Control de Aplicaciones / Listas Blancas/Negras, Virtualizacin
Red Firewall perimetrales, Prevencin de Intrusos, Firewall de Aplicaciones,
Control de Acceso a Red, Anlisis de Comportamiento, Anlisis Forense,
Control de Infraestructura.
Correo Antispam, Antivirus, Prevencin de Fuga de Informacin
Internet Filtro de Contenidos, Proxy, Antivirus, Antimalware.
Riesgo y Manejador de Vulnerabilidades, Remediador de Vulnerabilidades,
Cumplimiento Auditoria de Polticas, Anlisis y reporte de Riesgo,
Control de Cambios, Monitor de Integridad de Archivos, SIEM,
Manejador de Logs
22
5.1 Casos prcticos
CASO 1
Esquema de seguridad:
INTERNET
Sistema de
Proteccin de
Disponibilidad
23
Ofrece el servicio de seguridad autoadaptable, sin
saturar los servidores de aplicaciones, entregando una
solucin de alta seguridad que garantiza la integridad de
la informacin y las aplicaciones web.
Consola de
Monitoreo
24
PUNTOS CLAVE
OBJETIVO DE TECNOLOGAS
No. PARA PRECIO
CONTROL HW/SW
DIMENSIONAMIENTO
Herramientas de blindaje
para sistema operativo
Herramienta de Seguridad
en Control de Cambios
Requisitos de
Nmero de servidores
seguridad de los
12.1 Nmero de usuarios Herramientas de Pruebas (~520K USD)
sistemas de
Nmero de direcciones IP de Penetracin
informacin
automatizada
Herramienta Anlisis de
vulnerabilidades
Nmero de desarrolladores
de aplicaciones
Tratamiento Servidores de aplicaciones
Nmero de aplicaciones y
12.2 correcto de las
tamao de estas
aplicaciones Servidores de bases de
Nmero de direcciones IP
datos
Consola de monitoreo
Nmero de aplicaciones a
Sistema de proteccin de
integrar en el bus
disponibilidad
criptogrfico ya sean legacy
o de terceros.
Nmero de sistemas que
Controles manejan certificados
12.3
Criptogrficos digitales SSL o llaves de
SSH (F5, firewalls,
BlueCoat, web, servidores,
etc.)
25
PUNTOS CLAVE
OBJETIVO DE TECNOLOGAS
No. PARA PRECIO
CONTROL HW/SW
DIMENSIONAMIENTO
Nmero de aplicaciones,
servidor(es) donde se
encuentra instalada la base
de datos, tamao de la
base de datos
Nmero de base de datos,
segmentos de red, nmero
de sites
12.4
Nmero de sistemas a
Seguridad de los integrar (Switches,
archivos de sistema Sistemas operativos, bases
de datos, etc.)
Nmero de servidores Unix
o Windows
Nmero de endpoints,
Nmero de usuarios
Nmero de servidores
virtuales y nmero de
hypervisors
Nmero de sistemas a
Seguridad en los
integrar (Switches,
12.5 procesos de
Sistemas operativos, bases
desarrollo y soporte
de datos, etc.)
Nmero de endpoints,
Nmero de salidas a
Internet
Gestin de la
Nmero de direcciones IP
12.6 vulnerabilidad
tcnica
Nmero de Segmentos de
red
Numero de bases de datos
y transacciones por base de
datos, Throughput
Notificacin de Nmero de aplicaciones
eventos y puntos web
13.1 dbiles de Nmero de correo saliente
seguridad de la en hora pico / Nmero y
informacin tamao de los enlaces a
Internet
Perodo de retencin,
Nmero de enlaces de red,
Nmero de dispositivos de
red con sus eventos por
26
PUNTOS CLAVE
OBJETIVO DE TECNOLOGAS
No. PARA PRECIO
CONTROL HW/SW
DIMENSIONAMIENTO
segundo
Organigrama de la
institucin
Gestin de Perodo de retencin,
incidentes y Nmero de enlaces de red,
13.2 mejoras de Nmero de dispositivos de
seguridad de la red con sus eventos por
informacin segundo
Nmero de administradores
de servicios
27
CASO 2
SEGURIDAD PERIMETRAL
Seguridad de acceso web Exinda Administrador de ancho de banda
Seguridad de acceso web Checkpoint Filtrado Web
Seguridad de correo
electrnico IronPortmail - Cisco Antispam
Seguridad de autenticacin ASA - Cisco Firewall, IPS
Optimizacin de trfico Cisco- Wave WASS - Acelerador de trfico
Autenticacin Cisco - ACS Autenticacin activos equipos de red
Gestin de aplicaciones Cisco- ACE Balanceador de carga
SEGURIDAD INTERNA
Acceso a servidores de Seguridad de acceso a aplicaciones en ambiente
aplicacin Cisco - VCG virtual
Antivirus MacAfee Proteccin antivirus
Proteccin de equipos Microsoft - WSUS Distribucin de parches y actualizaciones
Proteccin de equipos Red Hat-Satellite Distribucin de parches y actualizaciones
Proteccin de equipos de Configuracin de funcionalidades de seguridad en
activos Cisco - ACL equipos activos
Microsoft- GPO Active Configuracin de polticas de Grupo para la
Autenticacin de usuarios Directory autenticacin de usuarios en el directorio activo
Configuracin de grupos y niveles de seguridad
para la autenticacin de usuarios a la red
Proteccin de red Cisco - inalmbrica, configurando las funcionalidades de
inalmbrica WirelessLanController la controladora a la que se anexan los accesspoint
28
TOPOLOGI SEGURIDAD DEL DATACENTER
29
COSTOS APROXIMADOS
Los valores descritos a continuacin son referenciales y estn ligados a otras soluciones de
tecnologa informtica, por ejemplo en los equipos activos adicionalmente a su funcionalidad de
brindar los elementos de conectividad, permiten la configuracin de polticas de seguridad como listas
de acceso y calidad de servicio para el trfico que pasa por la red como la telefona IP.
INVERSIN
SEGURIDAD
APROXIMADA
Equipamiento de seguridad
perimetral 5'000.000,00
Licenciamiento antivirus 1000.000,00
Consultoras de seguridad 500.000,00
Equipamiento activo y
comunicaciones 18'000.000,00
Equipamiento para servidores para
autenticacin y polticas de
seguridad 1'000.000,00
30