EPE - Ingeniería Sistemas Gerencia de Proyectos

ACTA DE CONSTITUCIÓN DEL PROYECTO

CÓDIGO PL01
versión 2019.01
PROYECTO Diseño e Implementación de una arquitectura de red segura basada en
el modelo de defensa en profundidad del dominio 7 seguridad física,
CBK del CISSP:ISC²
PATROCINADOR XX
PREPARADO POR: XX FECHA 06 05 20
REVISADO POR: XX FECHA 08 05 20
APROBADO POR: XX FECHA 12 05 20

REVISIÓN DESCRIPCIÓN (REALIZADA POR) FECHA

(Correlativo) (Motivo de la revisión y entre paréntesis quien la realizó) (de la revisión)
Revisión de temas técnicos y presupuestales (Richard Mendieta, 08 05 20
01
Gerente del proyecto).
02

BREVE DESCRIPCIÓN DEL PRODUCTO O SERVICIO DEL PROYECTO

(Características, funcionalidades, servicio a realizar entre otros)
El proyecto tiene como finalidad diseñar e implementar una arquitectura de red segura usando
el modelo de defensa en profundidad CBK de CISSP ISC2, este producto tiene un enfoque
integral basado en capas, partiendo desde un marco de políticas, un soporte normativo como
procedimientos, guías, manuales, luego empezando desde el perímetro hasta el centro del
modelo que es la información. De ese modo por cada capa (7) se implementan controles,
desde un ámbito físico a uno lógico soportado en las políticas como marco general. En ese
sentido es una arquitectura, que tiene componentes normativos y tecnológicos (controles). Los
que van a ser usados y operados en la organización.

ALINEAMIENTO DEL PROYECTO

1. OBJETIVOS ESTRATÉGICOS DE LA 2. FINALIDAD DEL PROYECTO
ORGANIZACIÓN (Beneficio que tendrá la organización una vez que el producto
(A qué objetivo u objetivos estratégicos se alinea el proyecto) del proyecto esté operativo o sea entregado)

Brindar seguridad en nuestros servicios Tener una red corporativa segura y confiable
digitales a nuestros clientes en todas sus en la organización de modo que los procesos y
operaciones. sistemas estén siempre disponibles, y se
guarde la confidencialidad e integridad de la
información de nuestros clientes y usuarios
finales.
Mantener políticas de seguridad de la
información a nivel corporativo que soporten
nuestras operaciones y nos fortalezcan como
una organización seria y confiable.
3. OBJETIVOS DEL PROYECTO
(Principalmente en términos de costo, tiempo, alcance, calidad)
3.1 Realizar el diseño e implementación de un sistema de seguridad en la sede principal de XXX
con un presupuesto de S/. XXX
3.2 Ejecutar el proyecto en un periodo de XXX días útiles.
3.3 Realizar un diseño de arquitectura de red en base al modelo de defensa en profundidad

Acta de Constitución (Charter Project) Gestión de la Integración Página 1

CBK de CISSP ISC2.
3.4 Establecer solidos controles en el acceso a la red y a la información de la empresa.
3.5 Despliegue y uso eficiente del equipamiento tecnológico de seguridad (Firewall, IDS/IPS y
Sistema biométrico) en la organización.
4. FACTORES CRÍTICOS DE ÉXITO DEL PROYECTO
(Componentes o características que deben cumplirse en el proyecto para considerarlo exitoso)
Conseguir la aprobación y respaldo de la alta dirección.
Contar con el respaldo financiero para el proyecto.
Constante comunicación con el equipo y entre las áreas de la organización interesadas.
Mejora constante del modelo y capacitación del personal de seguridad de TI de la
organización. Cumplir con la exigencia de homologación de equipos perimetrales de seguridad.
Cumplir con la implementación de solidos controles (medios tecnológicos como firewalls,
IDS/IPS, controles biométricos, y políticos de seguridad) en cada una de las 7 capas puesto que
si una falla todo el sistema puede fallar.
Contar con el acceso a la documentación de la infraestructura de seguridad de red, así como
acceso físico a los ambientes del centro de datos y comunicaciones.
5. REQUERIMIENTOS DE ALTO NIVEL
(Principales condiciones y/o capacidades que debe cumplir el producto o servicio y la gestión del proyecto)
 Diseñar una red segura que sea escalable.
 Cumplir con las especificaciones del modelo CBK del séptimo dominio, subdominio
defensa en profundidad de CISSP ISC2(controlas capa por capa como firewalls, IDS/IPS,
VLANS, políticas de seguridad, controles biométricos, etc.)
 Cumplir al 100% con el plan de pruebas planificado.
 Los equipos de seguridad deben estar homologados de acuerdo al estándar manejado
en la organización.
 Establecer una política de seguridad de TI que brinde soporte normativo al modelo de
defensa en seguridad CBK.
 EXTENSIÓN Y ALCANCE DEL PROYECTO
6. FASES DEL PROYECTO 7. PRINCIPALES ENTREGABLES
(Agrupamiento lógico de actividades relacionadas que (Un único y verificable producto, resultado o capacidad de
usualmente culminan elaborando un entregable principal) realizar un servicio que debe ser elaborado para
Metodología TOP DOWN completar un proceso, una fase o un proyecto)
Inicio -Acta de constitución
-Registro de interesados
-Enunciado del alcance
Análisis de requerimientos. -Cronograma de actividades
-Estructura funcional del equipo de trabajo.
-FODA de la organización
- Estado situacional y topología de seguridad
de red actual de la organización.
- Resultado del análisis del tráfico de la red
- Resultado del análisis de vulnerabilidades de
la red.
- Relación de controles de seguridad actuales
- Relación de normativas de seguridad,
procedimientos y guías actuales.
Desarrollo del diseño lógico. Identificación de políticas de seguridad,
procedimientos, guías y manuales a
desarrollar.
Plano de la topología de seguridad de la red y
Identificación de premisas para la
configuración de las reglas de los firewalls.
Identificación de premisas para la elaboración
de reglas del IPS.
Relación de parámetros para la configuración
de seguridad de los firewalls.
Identificación de controles de seguridad a
nivel de red LAN
Relación de controles de seguridad físicos
Parámetros de configuración de servidor
antivirus.
Parámetros de configuración de WAF y
antispam.
Diagrama de seguridad a nivel de VLAN y AD
Desarrollo del diseño físico. Selección de dispositivos de seguridad de red
interna y externa, y de control físico.
Plano topológico a nivel físico de seguridad de
la red.
Requerimientos adicionales de hardware para
servidores y appliance de seguridad de red.
Identificación y ubicación de controles físicos
en áreas de acceso.
Modelación y documentación del diseño Elaboración de diagramas de flujo de acceso a
la red.
Elaboración de documentación de los diseños
físicos y lógicos.
Elaboración de documentación de políticas,
procedimientos, guías y manuales normativos
 de seguridad.

Implementación Realización de las compras del equipamiento

seleccionado.
Instalación de los equipos de seguridad de red
y controles físicos.
Configuración de los dispositivos de seguridad
de red.
Reconfiguración de servidores y equipos ya
existentes.
Publicación y ejecución de políticas de
seguridad, procedimientos, guías y manuales
normativos.
Realización de pruebas de funcionamiento de
dispositivos de red internos y externos.
Realización de pruebas de controles a nivel de
red, físicos, y configuraciones; capacitación.
8. INTERESADOS CLAVE
(Persona u organización que está activamente involucrado en el proyecto o cuyos intereses pueden ser afectados positiva o
negativamente por le ejecución del proyecto o por el producto que elabora)
- Gerente Gral. de XXX (Patrocinador)
- Área de TI
- Directorio de XXX
- Gerente del proyecto
- Jefe del proyecto
- Gerente de servicio al cliente
- Gerente de operaciones
- Gerente de Finanzas

9. RIESGOS
(Evento o condición incierta que, si ocurriese, tiene un efecto positivo o negativo sobre los objetivos del proyecto)

- Internos:
Recorte de presupuesto del proyecto
Cambio de Gerente Gral.
Equipo de TI desmotivado
Concepción errónea de la red
Pérdida de competitividad de la empresa
Accidentes de trabajo
Ambigüedad de los términos o significados
Tiempos mal estimados
Permisos mal gestionados para acceder a ciertas áreas o información de la empresa.
Invertir más de lo planificado.

- Externos:
Eventos desastrosos de tipo natural o de origen humano (ej.: pandemias)
Crisis política económica nacional
Escases de alimentos
Entrega tarde de equipos tecnológicos.
Equipos tecnológicos fallados
10. HITOS PRINCIPALES DEL PROYECTO
(Eventos significativos para el proyecto con sus fechas)

Hito Fecha Fin

Presentación del informe del estado actual 28/05/2020
situacional de la arquitectura de seguridad
de red de la organización, requerimientos y
el acta de constitución del proyecto.
Informe final del desarrollo del diseño lógico 10/07/2020
de la arquitectura seguridad de la red
Informe final del diseño físico de seguridad 31/07/2020
de la red
Presentación de informe de modelación de 03/09/2020
la red segura e instrumentos normativos de
seguridad de la organización
Informe de la implementación del diseño y 03/11/2020
cierre del proyecto

11. PRESUPUESTO PRELIMINAR DEL PROYECTO

(Estimación por orden de magnitud de los costos principales)
Producto / Servicio Costo (S/.) Cantidad
Ing. project Manager 1
Ing. especialista en redes 1
Ing. especialista en seguridad 1
de redes
Ing. electrónico especialista en 1
seguridad física electrónica
Evaluación inicial de la red
Capacitación del personal de
redes y seguridad
Implementación del proyecto
Firewall Fortinet 3
IPS/IDS Cisco 1
Sistema biométrico
TOTAL

12. REQUERIMIENTOS DE APROBACIÓN DEL PROYECTO

(Quién evalúa los FCE, decide el éxito del proyecto y quien cierra el proyecto )

FCE Evaluador Firma el Cierre del Proyecto

(Nombres apellidos y cargo de la persona (Nombres apellidos y cargo de la persona
(Ver punto 4)
asignada) asignada)
Conseguir la aprobación y XXX XXX
respaldo de la alta dirección
Contar con el respaldo XXX XXX
financiero para el proyecto
Constante comunicación con XXX
el equipo y entre las áreas
de la organización interesadas
Mejora constante del modelo XXX
y capacitación del personal de
seguridad de TI de la
organización
Cumplir con la exigencia de XXX
homologación de equipos
perimetrales de seguridad
Cumplir con la XXX
implementación de solidos
controles en cada una de las 7
capas puesto que si una falla
todo el sistema puede fallar.
13. GERENTE DE PROYECTO ASIGNADO AL PROYECTO
(Nombres apellidos y cargo de la persona asignada como gerente del proyecto)

XXX, Gerente de proyecto.

14. AUTORIDAD ASIGNADA

(Autoridad asignada al gerente del proyecto para el uso de recursos)
- Gestionar la ejecución del proyecto bajo los estándares del PMI
- Evaluar el impacto de los cambios en alcance, el tiempo y el costo del proyecto,
buscando alternativas de solución, las mismas que serán sometidas a la aprobación del
patrocinador.
- Aplicar estándares y procedimientos de calidad en el proyecto.
- Direccionar los problemas con las autoridades competentes en la organización.
- Delegar o modificar responsabilidades a los miembros del equipo.
- Hacer cumplir los términos y condiciones que se estipulen en los contratos.
- Asignar, reasignar o sustituir los recursos del equipo del proyecto cuando sea necesario
(no presupuesto).
- Establecer un contacto directo con el patrocinador y los clientes del proyecto con el fin
de mantenerlos informados del avance del mismo.