Lineamientos para El Proyecto Del Curso

Lineamientos para proyecto del curso – Infraestructura y
Seguridad
Curso de infraestructura y Seguridad -

1
Instrucciones del Trabajo Práctico
Usted es el nuevo encargado de infraestructura y seguridad de su compañía y se le ha encargado

desarrollar un sistema de gestión de seguridad que le permita a su organización proteger los
activos del negocio en forma apropiada balanceando los riesgos y costos de los controles de
seguridad.
En este documento usted encontrará una serie de formatos y técnicas que deberá adecuar a su
organización. Su experiencia y conocimientos serán muy útiles para completar dichos formatos
y/o para adecuarlos. Considere que usted debe primero identificar los requerimientos de
seguridad de su organización para desarrollar un sistema de gestión a la medida de sus
necesidades. Todos los documentos que usted desarrolle serán sus herramientas de gestión, por
lo tanto, cada vez que defina algún mecanismo de control considere la forma de monitorearlo.
NOTA: Este análisis estará orientado a la infraestructura de redes y centro de datos de una
institución que usted elija.
Buena suerte en el desarrollo de este caso.

2
Actividad 1:
Definiendo los activos de Información de la
organización

3
Actividad 1: Definiendo los Activos de Información de mi Organización
Utilice los siguientes formatos para documentar los activos de información de su organización.
Consulte con su instructor la forma de completarlo.
a) Defina un activo de información en algún proceso de su organización e identifique al (los)

propietario (s)
Perfil de Activo de Información

Nombre del
Activo de
Información
Fecha de Versión
Creación
Definido por:
Descripción del
Activo de
información
Propietarios del
Activo de
Información

4
b) Identifique los medios de almacenamiento del Activo de información

Nombre del
Activo de
Información
Fecha de Versión
Creación
Medios de Almacenamiento
Sistemas y Aplicaciones
Aplicaciones
Sistemas
Operativos
Hardware
Servidores
Redes
PC y Otros
Personas
Funcionarios
de Negocios
Personal
Técnico
Otros
Otros Medios
Ubicación
Física
Papeles
Otros lugares

5
c) Defina los requerimientos de seguridad para los activos de información identificados

Nombre del
Activo de
Información
Fecha de Versión
Creación
Requerimientos de Seguridad
Confidencialidad
Integridad
Disponibilidad

6
d) Determine el valor para su organización del Activo de información

Nombre del
Activo de
Información
Fecha de Versión
Creación
Valuación del Activo de Información

7
Actividad 2:
Identificando y Evaluando los Riesgos de Seguridad

de Información

8
1. Determine los Valores del Riesgo
Tabla 1. Impacto del Riesgo
Nivel Rango Descripción
5 Crítico
4 Mayor
3 Moderado
2 Menor
1 Muy Bajo

9
Tabla 2. Probabilidad del Riesgo
Defina las características de cada uno de los niveles de riesgo
Nivel Rango Descripción
5 Altamente Probable
4 Probable
3 Moderado
2 Bajo
1 Muy Bajo

10
Tabla 3. Nivel de Severidad del Riesgo
Probabilidad Impacto Severidad Color

11
2. Determine los Criterios de tratamiento de riesgos
Criterios Descripción

12
13
3. Identifique y Evalúe los riesgos
Cód. Activo/ Recurso de Identificación de

Riesgo Evaluación de Controles Prob. Imp. Severidad Tratamiento de Riesgo
Ref. Información Afectado Controles

14
Actividad 3
Requerimientos de Seguridad de Información

15
1) En función al análisis de riesgos realizado anteriormente y en el análisis de los
requerimientos de seguridad de los procesos de negocio y de los requerimientos
regulatorios documente los requerimientos de seguridad de información
Requerimiento Fuente Responsable

16
Actividad 4
Definición de Controles de Seguridad de

Información

17
Instrucciones:
En función a los objetivos de control y controles de la NTP 17799 selecciones los objetivos de
control y controles que su organización necesita para cubrir los requerimientos de seguridad de
información

18
ENUNCIADO DE APLICABILIDAD
Objetivo de Estado Conformidad
Código Control ¿Aplicable? Documentos de referencia Justificación
Control Actual NTP 2004
Política de
3
Seguridad
Política de
Documento de Política de
3.1 Seguridad de la 3.1.1
Seguridad de la Información
información
3.1.2 Revisión y Evaluación
Aspectos
4 organizativos para
la seguridad
Estructura para la
Comité de Gestión de Seguridad
4.1 seguridad de la 4.1.1
de la Información
información
Coordinación de la Seguridad de
4.1.2
Información
Asignación de responsabilidades
4.1.3
para seguridad de la información
Proceso de autorización de
4.1.4 recursos para el tratamiento de la
información
Asesoramiento de especialista en
4.1.5
seguridad de la información
Cooperación entre
4.1.6
organizaciones
Revisión independiente de
4.1.7
seguridad de la información.

19
Seguridad en los
Identificación de riesgos por el
4.2 accesos de terceras 4.2.1
acceso de terceros
partes
Requisitos de Seguridad en
4.2.2
contratos con terceros
Requisitos de seguridad en
4.3 Outsourcing 4.3.1
contratos de outsourcing
Clasificación y
5
Control de Activos
Responsabilidad
5.1 5.1.1 Inventario de activos
sobre los activos
Clasificación de la
5.2 5.2.1 Guías de clasificación
Información
Marcado y tratamiento de la
5.2.2
información

20
Seguridad ligada al
6
Personal
Seguridad en la
definición de Inclusión de la seguridad en las
6.1 6.1.1
puestos de trabajo y responsabilidades laborales.
los recursos
6.1.2 Selección y política de personal
6.1.3 Acuerdos de Confidencialidad
Términos y condiciones de la
6.1.4
relación laboral
Formación de Formación y capacitación en

6.2 6.2.1
usuarios seguridad de la información
Respuesta ante
incidencias y malos Comunicación de las incidencias
6.3 6.3.1
funcionamientos de de seguridad
la seguridad
Comunicación de las debilidades

6.3.2
de seguridad

21
Comunicación de los fallos del

6.3.3
software
6.3.4 Aprendiendo de las incidencias
6.3.5 Procedimiento disciplinario
Seguridad Física y
7
del Entorno
7.1 Áreas Seguras 7.1.1 Perímetro de seguridad física
7.1.2 Controles físicos de entrada
Seguridad de oficinas,
7.1.3
despachos y recursos
7.1.4 El trabajo en las áreas seguras

22
Áreas aisladas de carga y

7.1.5
descarga
Seguridad de los Instalación y protección de

7.2 7.2.1
Equipos equipos
7.2.2 Suministro Eléctrico
7.2.3 Seguridad del cableado
7.2.4 Mantenimiento de equipos
Seguridad de equipos fuera de

7.2.5
los locales de la organización
Seguridad en el reuso o
7.2.6
eliminación de equipos
Política de puesto de trabajo
7.3 Controles Generales 7.3.1
despejado y bloqueo de pantalla
7.3.2 Extracción de pertenencias
DOCUMENTO DE APLICABILIDAD

23
Gestión de las
8 Comunicaciones y
Operaciones
Procedimientos y
Documentación de
8.1 responsabilidades 8.1.1
procedimientos operativos
de operación
Control de cambios
8.1.2
operacionales
Procedimiento de gestión de
8.1.3
incidencias
8.1.4 Segregacion de tareas
Separación de los recursos para

8.1.5
desarrollo y para producción
8.1.6 Gestión de servicios externos

24
Planificación y
8.2 aceptación del 8.2.1 Planificación de la capacidad
sistema
8.2.2 Aceptación del sistema
Protección contra Medidas y controles contra

8.3 8.3.1
software malicioso software malicioso
Gestión interna de
8.4 respaldo y 8.4.1 Recuperación de la información
recuperación
8.4.2 Diarios de operación
8.4.3 Registro de fallos
8.5 Gestión de redes 8.5.1 Controles de red
Utilización y
seguridad de los
8.6 8.6.1 Gestión de medios removibles
medios de
información
8.6.2 Eliminación de medios

25
Procedimientos de manipulación
8.6.3
de la información
Seguridad de la documentación
8.6.4
de sistemas
Intercambio de
Acuerdos para Intercambio de
8.7 información y 8.7.1
información y software
software
8.7.2 Seguridad de medios en tránsito
Seguridad en comercio
8.7.3
electrónico
8.7.4 Seguridad del correo electrónico
Seguridad de los sistemas

8.7.5
ofimáticas
Sistemas públicamente
8.7.6
disponibles
Otras formas de intercambio de

8.7.7
información

26
Control de
9
accesos
Requisitos del
9.1 negocio para control 9.1.1 Política de control de acceso
de accesos
Gestión de acceso
9.2 9.2.1 Registro de usuario
de usuarios
9.2.2 Gestión de privilegios
Gestión de contraseñas de
9.2.3
usuario
Revisión de los derechos de

9.2.4
acceso de los usuarios

27
Actividad 5
Desarrollando el Programa de Seguridad de

Información

28
Instrucciones:
En función a los controles de seguridad seleccionados documente un Programa de Seguridad

de información. Utilice el siguiente ejemplo para documentar los objetivos y controles de su
programa.

29
EJEMPLO DE
PROGRAMA DE SEGURIDAD DE INFORMACION

30
Programa de Seguridad de Información
para ABC S.A.
1. Objetivos del Programa de Seguridad de Información
El Programa de Seguridad de Información tiene los siguientes objetivos:
a) Proteger los activos de información de ABC S.A. de accesos no autorizados, modificación

no autorizada y daños que afecten las transacciones de negocios.
b) Crear una línea base de controles de seguridad para adquirir, implementar, monitorear y
auditar en cumplimiento con las necesidades de ABC
c) …………………………………………………………………………………………………
d) …………………………………………………………………………………………………
2. Alcance del Programa de Seguridad de Información
El Programa de Seguridad de Información tiene el siguiente alcance:
2. Descripción del Proceso de Seguridad de Información
El proceso incluye cinco áreas que sirven como marco general para la gestión del proceso de
seguridad de información:
 Evaluación de riesgos de seguridad de información – es el proceso para identificar

y evaluar amenazas, vulnerabilidades, ataques, probabilidad de ocurrencia e impacto.
 Estrategia de Seguridad de información – un plan para mitigar los riesgos que

integre políticas, procedimientos, tecnologías y entrenamiento. El plan deberá ser
revisado y aprobado por _____________________________

31
 Implementación de Controles de Seguridad- la adquisición y operación de las
tecnologías de seguridad así como la asignación específica de responsabilidades,
personal y el aseguramiento de la gestión.
 Monitoreo de la Seguridad.- el uso de varios métodos para tener la confianza que los
riesgos han sido apropiadamente evaluados y mitigados. Estos métodos deberán
verificar que los controles son efectivos y están operando según lo planificado.
 Mejora de los Controles de Seguridad .- es un proceso continuo de recopilar y

analizar información relacionadas a las amenazas y vulnerabilidades. Esta información
será útil para actualizar la evaluación de riesgos, estrategia y controles de seguridad.
2.1 Organización de Seguridad

32
2.2 Controles de Seguridad de Información
Los siguientes controles de seguridad de información han sido identificados y están operando:
Control de Seguridad Descripción del Control

de información
Administración de La organización tiene un procedimiento para otorgar acceso a los activos de
derechos de acceso información en función al rol que tiene cada empleado.
La organización tiene procedimientos de control de acceso físico a las
Seguridad Física instalaciones del edificio a través de tarjetas de proximidad. Todos los visitantes
deben registrarse en recepción y deben ser acompañados por la persona
visitada.

33
Actividad 6
Desarrollando las Políticas, Procedimientos y

Estándares de Seguridad de Información

34
Instrucciones:
En un formato libre usted debe documentar:
a) La política corporativa de seguridad de Información

b) Las políticas especificas de seguridad de Información por área de control
c) Los procedimientos, estándares o guías que soporten las políticas de seguridad de
información establecidas

35
Actividad 7
Desarrollando el Programa de Concientización y

Educación en Seguridad de Información

36
Instrucciones:
Utilice el siguiente ejemplo para documentar un plan de concientización y educación en

seguridad de información para su organización.

37
EJEMPLO DE
PROGRAMA DE CONCIENTIZACION Y ENTRENAMIENTO EN
SEGURIDAD DE INFORMACION

38
Programa de Concientización en Seguridad de Información para ABC S.A.
1. Objetivos del Programa
El Programa de Concientización en Seguridad tiene los siguientes objetivos:
a) Incrementar el nivel de entendimiento de los conceptos y objetivos de la seguridad de

información
b) Incrementar el soporte y compromiso de los empleados en los esfuerzos de seguridad de

información.
c)
d)
2. Estructura del Programa de Concientización
El programa comunicará un amplio rango de mensajes sobre seguridad de información en

varios formatos dentro de la Organización enfocándose en un único tópico de seguridad
mensual.
2.1 Grupos de Audiencias Objetivos
El programa ha sido diseñado para todos los empleados de la organización, incluyendo

terceros.
Grupo Razones de Agrupamiento Miembros

39
2.2 Tópicos de Seguridad de Información
Tópico Descripción del contenido

Lanzamiento. Introducir el programa de concientización, explicar los objetivos y el alcance del
programa.
Malvare Virus, trojan, spyware, gusanos
Integridad Integridad en los datos, aplicaciones, comunicaciones.
Confidencialidad Control de acceso, privacidad, robo de identidad, suplantación.
Estándares de ISO 17799, Common Criteria, ISO 27001, COBIT.

Seguridad
2.3 Métodos de Comunicación
Trabajaremos con el departamento de recursos humanos para utilizar los siguientes métodos:
Método Descripción
Intranet Se publicará semanalmente artículos sobre seguridad de información, incidentes,
noticias.
Seminarios

40
2.4 Indicadores de Medición
El programa de concientización tendrá los siguientes indicadores de medición:
Elemento Criterio de Medición Métodos de Medición

Material preparado, revisado Métodos convencionales
Entrega del Programa y emitido a tiempo. como:
Costo de preparación y o Presupuesto del
emisión de materiales dentro programa
del presupuesto. o Entregables
específicos preparados
mensualmente
Cobertura alcanzada dentro Feedback.

Entrega de Mensajes de de cada grupo de audiencia. Encuestas
Seguridad Resultados de exámenes
Número de empleados
asistentes a charlas.
Número de incidentes de
Reducción en incidentes de seguridad relacionados a
seguridad originados por falta entrega de información
Valor para el Negocio de conciencia en seguridad. confidencial, virus ingresados
por correos electrónicos

41
Actividad 8
Documente su Sistema de Gestión de Seguridad

de Información

42
Instrucciones:
En función a lo establecido en el ISO/IEC 27001 desarrolle la documentación necesaria para su

sistema de gestión de seguridad de información.

43

Lineamientos para El Proyecto Del Curso

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Lineamientos para El Proyecto Del Curso

Cargado por

Copyright:

Formatos disponibles

Lineamientos para proyecto del curso – Infraestructura y

Curso de infraestructura y Seguridad -

Usted es el nuevo encargado de infraestructura y seguridad de su compañía y se le ha encargado

Buena suerte en el desarrollo de este caso.

Curso de infraestructura y Seguridad -

Curso de infraestructura y Seguridad -

a) Defina un activo de información en algún proceso de su organización e identifique al (los)

Perfil de Activo de Información

Curso de infraestructura y Seguridad -

Perfil de Activo de Información

Curso de infraestructura y Seguridad -

Perfil de Activo de Información

Curso de infraestructura y Seguridad -

Perfil de Activo de Información

Curso de infraestructura y Seguridad -

Identificando y Evaluando los Riesgos de Seguridad

Curso de infraestructura y Seguridad -

Tabla 1. Impacto del Riesgo

Nivel Rango Descripción

Curso de infraestructura y Seguridad -

Defina las características de cada uno de los niveles de riesgo

Nivel Rango Descripción

Curso de infraestructura y Seguridad -

Probabilidad Impacto Severidad Color

Curso de infraestructura y Seguridad -

Curso de infraestructura y Seguridad -

Cód. Activo/ Recurso de Identificación de

Curso de infraestructura y Seguridad -

Requerimientos de Seguridad de Información

Curso de infraestructura y Seguridad -

Requerimiento Fuente Responsable

Curso de infraestructura y Seguridad -

Definición de Controles de Seguridad de

Curso de infraestructura y Seguridad -

Curso de infraestructura y Seguridad -

3.1.2 Revisión y Evaluación

Curso de infraestructura y Seguridad -

Curso de infraestructura y Seguridad -

6.1.2 Selección y política de personal

6.1.3 Acuerdos de Confidencialidad

Formación de Formación y capacitación en

Comunicación de las debilidades

Curso de infraestructura y Seguridad -

Comunicación de los fallos del

6.3.4 Aprendiendo de las incidencias

6.3.5 Procedimiento disciplinario

7.1 Áreas Seguras 7.1.1 Perímetro de seguridad física

7.1.2 Controles físicos de entrada

7.1.4 El trabajo en las áreas seguras

Curso de infraestructura y Seguridad -

Áreas aisladas de carga y

Seguridad de los Instalación y protección de

7.2.3 Seguridad del cableado

7.2.4 Mantenimiento de equipos

Seguridad de equipos fuera de

Curso de infraestructura y Seguridad -

8.1.4 Segregacion de tareas

Separación de los recursos para

8.1.6 Gestión de servicios externos

Curso de infraestructura y Seguridad -

8.2.2 Aceptación del sistema

Protección contra Medidas y controles contra

8.4.2 Diarios de operación