Documentos de Académico
Documentos de Profesional
Documentos de Cultura
ProyectosdeSegur Inf
ProyectosdeSegur Inf
Resumen:
La Seguridad Informática es un paradigma que en el gobierno y la milicia se ha manejado desde hace mucho
tiempo, pero que es emergente en la industria . En este nuevo dominio los proyectos de Seguridad Informática
no son del tipo donde se tienen bien definidos un inicio, un desarrollo y un fin, sino que están en constante
transformación, sufriendo frecuentes adaptaciones. Es por eso que se habla de la consecución e implantanción
de procesos de Seguridad Informática. Este nuevo enfoque hace que los líderes de este tipo de proyecto
descansen y dependan más de la tecnología y de como ésta influye o se vincula a la solución de los distintos
procesos (Sistemas de Control de Acceso; Telecomunicaciones y Seguridad de Red; Administración de la
Seguridad; Seguridad en Aplicaciones y Desarrollo de Sistemas; Criptografía; Modelos y Arquitecturas de
Seguridad; Continuidad de Negocio y Recuperación de Desastres; Leyes, Investigación y Etica; Operación de
la Seguridad; y Seguridad Física). También hace que se administren los proyectos de acuerdo al tamaño y al
lugar que le toca a cada integrante desempeñar ya sea en proyectos pequeños o en proyectos de gran alcance
donde se tengan que involucrar diferentes proveedores, compañías, personas, etc. Por ultimo la metodología
para la elaboración del proyecto se torna dinámica, lo que conlleva un reto profesional sin igual. En este
artículo se detalla una propuesta de metodología para los proyectos de Seguridad Informática, que va desde el
planteamiento hasta la implantación como un conjunto de procesos que apoya a la operación de la industria.
8 En esta etapa se mencionan pruebas al Proceso de Seguridad Informática de la 9 Se debe eliminar la dependencia de las personas ya sean estas de la
Organización , cabe aclarar que una parte relevante de estas pruebas son las organización, del integrador o de cualquier proveedor a fin de evitar círculos de
pruebas de penetración a los sistemas, tanto individuales, locales y remotos. poder en el Proceso de Seguridad Informática de la Organización. .
Como resultado de esta etapa se debe elaborar la de acoplar ésta, de forma transparente, al Proceso
documentación pertinente como soporte al de Seguridad Informática de la Organización,
proyecto, siendo la mínima: siendo esta la etapa donde se revisan las
necesidades para tal operación.
EN08 Transferencia Operativa
EN09 Procedimientos Operativos Configuración de la Solución.- Durante esta
etapa se configura la Solución de Seguridad
Suministro e instalación de HW &SW de Informática de la Organización, tomando en
Seguridad.- En los proyectos de seguridad de cuenta los siguientes documentos
información de gran escala se debe considerar de
forma relevante la procura y suministro de la EN03 Políticas de Seguridad Informática
plataforma de seguridad informática, tanto en EN04 Estrategia de Migración a la Solución
hardware como en software; la revisión de los EN06 Esquema Técnico basado en las
locales donde se instalarán10, tomando en cuenta la “Políticas de Seguridad Informática”
revisión física de las instalaciones eléctricas y del
equipo de Interconectividad de Red del Centro de Como resultado de esta etapa se debe elaborar la
Cómputo, con el fin de asegurar que éstas documentación pertinente como soporte al
cumplan con los requerimientos necesarios para la proyecto, siendo la mínima:
operación del equipo. Posteriormente se debe
EN10 Memoria de Instalación de la Solución
verificar que el hardware y software sean
instalados correctamente y aquí se configurará el
Pruebas de la Solución.- En esta etapa se
hardware de acuerdo a los requerimientos de la
realizarán las pruebas que se marcan en el
solución aprobada; se instalarán y afinaran los
documento “EN07 Esquema de Pruebas”
sistemas operativos en cada uno de los servidores
concluyendo con la Recepción de la Solución 11.
de acuerdo a la función que tendrá dentro de la
Al terminar satisfactoriamente las pruebas, la
Solución de Seguridad Informática de la
organización aprobará la Integración, y empezará
Organización y como fase final de esta etapa, se
la etapa de Migración de los que se tenga
instalarán de acuerdo a la función de cada servidor
actualmente a la Solución de Seguridad
los Paquetes de Software que correspondan.
Informática de la Organización en Producción.
Como resultado de esta etapa se debe elaborar la
El documento EN07 ”Esquema de Pruebas”
documentación pertinente como soporte al
contiene todas y cada una de las pruebas a realizar
proyecto, siendo la mínima:
durante esta etapa, donde cada prueba tendrá un
EN01 Revisión del Centro de Cómputo objetivo, una descripción narrativa, el programa
EN02 Memoria de Instalación del Equipo de de ejecución y los criterios de aceptación de la
10 la revisión y modificaciones del centro de cómputo en el caso de que exista, de 11 Este es el punto del proyecto donde la implantación de la Solución de
lo contrario se debe construir bajo lineamientos que aseguren la operación de los Seguridad Informática se convierte en el Proceso de Seguridad Informática de la
equipos de forma confiable. Organización
Informática de la Organización satisfactoriamente, a las necesidades de la empresa13 se realizará un
se considera esta como confiable, siendo este nuevo análisis de riesgos, propuesta de mejoras
punto donde se dan por terminados los trabajos de con sus respectivas actualizaciones para así
implantación y se aprueba para proceder a migrar generar un nuevo proyecto o proyectos según sea
la información que se encuentra en la el caso iniciando el ciclo nuevamente.
infraestructura actual a la Solución de Seguridad
Informática de la Organización. Análisis de Riesgos.- Una vez que se encuentre
operando el Proceso de Seguridad Informática de
Migración a la Solución de Seguridad la Organización se deberá realizar periódicamente
Informática de la Organización.- Una vez que la un análisis de riesgos, en primer lugar para
organización y en su caso un tercero aprueba la evaluar la efectividad del proceso y en segundo
confiabilidad de la Solución de Seguridad lugar para que este evolucione según la operación
Informática de la Organización se procede a y las nuevas necesidades de la organización, para
migrar a esta lo que se encuentre operando en la de esta forma saber donde hacer los ajustes
infraestructura actual, siendo el final de esta etapa necesarios14 y de esta forma obtener las Mejoras
el punto en el cual la Solución de Seguridad Recomendadas que tenga base en un análisis de
Informática de la Organización que hasta este riesgos. Esta etapa se puede llevar también desde
momento ha sido proyecto se convierte en el un punto de negocio en donde el Análisis de
Proceso de Seguridad Informática de la Riesgos es apoyado por un Plan de Continuidad
Organización y queda formalmente en de Negocio y de esta forma las Mejoras
producción. Recomendadas serán de acuerdo al Proceso de
Seguridad de la Organización y a las prioridades
Producción.- La producción de la implantación del negocio de la organización.
del proyecto es la operación misma del Proceso de
Parte de las necesidades que puede arrojar el
Seguridad Informática de la Organización, y esta
Análisis de Riesgos pueden ser desde revisión de
debe ser manejada de forma dinámica y evolutiva.
políticas y procedimientos, renovación de
Por ejemplo se deben emitir nuevas políticas de
tecnología, realización de pruebas de penetración,
seguridad de acuerdo a las necesidades actuales de
capacitación, análisis de rendimiento, etc., es por
la organización, se deben desechar las que no
eso que cuando se lleva de forma iterativa esta
apliquen más, se deben modificar aquellas en
metodología es posible generar una base de datos
donde las condiciones que les dieron forma han
de conocimiento del Proceso de Seguridad de la
cambiado. El dinamismo y evolución deben
organización tal que cualquier proyecto o
aplicar para todo lo que forme parte del Proceso
iniciativa se pueda justificar fácilmente 15 por
de Seguridad Informática de la Organización 12.
medio de un análisis de riesgos que toma en
cuenta las experiencias que ha tenido la
Monitoreo de la Solución en Producción.- Una
organización.
vez aceptada la Solución de Seguridad
Informática de la organización, y migrada la 13 Este punto depende del dinamismo con el que la organización se desempeña en
el mercado y que tan vistosa en Internet es, los tiempos para una nueva propuesta
infraestructura actual a la Solución se comenzará de seguridad ya sea nueva o actualización se acortarán.
14 Los ajustes se deben entender como agregar, modificar o desechar partes del
la etapa de producción y monitoreo, y de acuerdo proceso de seguridad de la organización ya sean estos controles, tecnología,
procedimientos, políticas, etc.
15 El tiempo de autorización de presupuestos y cuestiones administrativas
12 Políticas, procedimientos, controles, tecnología, capacitación, equipos de dependerá de cada organización y aquí a lo que nos referimos es a la
respuesta a incidentes, etc. disponibilidad de la información para justificar las mejoras.
aprobada, se distribuye un RFP que contiene
Como resultado de esta etapa la organización todas y cada una de la Peticiones de Mejoras al
debe elaborar la documentación pertinente como Proceso de Seguridad Informática de la
soporte al proyecto, siendo la mínima: Organización a los Integradores, Proveedores,
Consultores según sea el caso, para que estos
ES04 Análisis de Riesgos realicen la correspondiente propuesta de solución
ES05 Mejoras Recomendadas y la presenten a la organización, comenzando el
ES06 Plan de Continuidad de Negocio16 ciclo nuevamente.
Propuesta de Mejoras.- Cuando al organización Como resultado de esta etapa se debe elaborar la
ya cuenta con las -ES04- Mejoras Recomendadas documentación pertinente como soporte al
el siguiente paso que debe realizar es el de dar proyecto, siendo la mínima:
prioridad a cada una de ellas y en base a las
prioridades debe iniciar el proceso detallado de ES08 RFP de Mejoras al Proceso de
propuesta de mejoras a fin de presentarlo a la alta Seguridad Informática de la Organización.
dirección de la organización para obtener el
presupuesto necesario para llevarlas a cabo. La Verificación de Puntos de Control y Calidad.-
Propuesta de Mejoras debe tener base en un Implantar un proyecto de seguridad de esta
estudio de mercado de los productos y/o servicios naturaleza implica el manejar situaciones que no
requeridos; plan de trabajo; análisis costo se presentan en otro tipo de proyectos, una de las
beneficio; condiciones mínimas necesarias legales principales es que cada grupo de trabajo sólo tiene
y/o administrativas que deberá cumplir el que conocer lo que esta realizando y no debe tener
proveedor para realizar el trabajo; Detalle Técnico el panorama completo puesto que si esto llegará a
de las peticiones de Mejoras al Proceso de suceder se pondría en peligro el éxito del
Seguridad Informática de la Organización y la proyecto, y es por eso que se deben de mantener a
planeación del ejercicio del presupuesto con base lo largo de todo el proceso puntos de control y de
en objetivos bien determinados17. calidad de los diferentes productos que aseguren a
la organización que se esta implantando un
Como resultado de esta etapa se debe elaborar la Proceso de Seguridad Informática de la
documentación pertinente como soporte al Organización confiable, lo que hace que se tenga
proyecto, siendo la mínima: de forma contante esta etapa a desde que se toma
la iniciativa, se lleva a cabo, se opera, se
ES07 Propuesta de Mejoras mantiene, evoluciona y se torna dinámica la
seguridad informática en la organización.
Autorización de Mejoras.- La propuesta de
La Verificación de Puntos de Control y Calidad
mejoras es presentada a la alta dirección de la
deberá ser llevada por la organización en todo
organización para su aprobación y una vez que sea
momento y en los momentos que apliquen debe
ser obligación de los integradores, proveedores
16 La inclusión del Plan de Continuidad de Negocio al Proceso de Seguridad
Informática de la Organización se utilizará dependiendo de la madurez que la y/o consultores en la parte que sea su
organización haya obtenido en el Proceso de Seguridad Informática de la
Organización. responsabilidad implantar, siempre con
17 Los objetivos se determinarán con base en los puntos de control que existan en
autorización de la organización.
el proyecto y estos pueden ser al final de cada etapa o cuando se haga la entrega
de bienes - Licencias, Hardware, etc..-
recibirla, operar y mantener el Proceso de
Capacitación.- En cualquier proyecto la Seguridad Informática de la Organización.
capacitación es un tema crítico que puede hacer la
diferencia entre el éxito o el fracaso, pero en la Como resultado de esta etapa se debe elaborar la
implantación de un Proceso de Seguridad documentación pertinente como soporte al
Informática de la Organización es no sólo un tema proyecto, siendo la mínima:
sino la columna vertebral del proyecto, puesto que
Cxx Material de Capacitación de Cada Curso
es fundamental para el éxito de la implantación
Cyy Material de Concienciación
del Proceso de Seguridad de la Informática y
esencial para que la organización lo opere Czz Material de Difusión del Proceso de
correctamente sin que éste se convierta en un Seguridad Informática de la Organización
camino de obstáculos18 para la organización19. La
capacitación se debe considerar en diferentes
2.2 Una Metodología para Proyectos de
caminos siendo algunos de ellos la capacitación
Seguridad Informática
de fundamentos teóricos20 al grupo de la
organización que este implantando el proyecto; la
Cada una de las etapas que han sido descritas debe
capacitación sobre cada uno de los productos
tomar su lugar y tiempo en el desarrollo del
considerados en la solución; la capacitación en
proyecto como se muestra en la figura 1.
técnicas, procedimientos y controles de la
operación de la seguridad informática; la
capacitación en respuesta a incidentes y técnicas
forenses; la difusión del Proceso de Seguridad
Informática de la Organización a lo largo de la
organización así como la concienciación de los
bienes de información de la organización a todo el
personal.
condiciones durante el desarrollo del mismo. Esto información mínima requerida entre los
Mantener la confidencialidad de las Tener en cuenta que así como sucede con las
actividades realizadas por los diferentes políticas de seguridad informática también se
grupos de trabajo que intervengan en el debe revisar durante el proyecto que los
proyecto. productos (HW & SW), servicios, algoritmos,
Negociar Políticas de Seguridad de tal forma etc. sigan siendo vigentes para la tarea que
organización, para que no sean una carga caso de que ya sean obsoletos, hacer efectivos
necesidades de la organización
23 Esto conlleva que no se generen círculos de poder o dependencia de alguno de
La metodología planteada nos lleva a que tanto el Kolluru, Rao; Bartell, Steven; Pitblado, Robin;
líder como la organización que deciden llevar a Stricoff, Scott; Manual de Evaluación y
cabo un Proyecto de Seguridad Informática deben Administración de Riesgos; McGraw Hill; 1995.
comprender que están implantado un proceso
Vaughan, Emmett J; Risk Management; John
estratégico que les ayudará siempre y cuando se
Wiley & Sons, Inc.; 1997.
implante correctamente puesto que si se implanta
mal entonces sólo se tendrá una carga tecnológica Clemen, Robert T.; Reilly, Terence; Making Hard
y burocrática que sangrará económicamente a la Decisions with Decision Tools; Duxbury
empresa y lo peor dará una falsa sensación de Thomson Learning; 1996.
Seguridad Informática.
Banks, Jerry; Handbook of Simulation, Principles,
Para implantar correctamente el Proceso de Methodology, Advances, Applications and
Seguridad Informática es necesario tener una Practice; John Wiley & Sons, Inc.; 1997.
sólida formación en las áreas de conocimiento
descritas en este documento. Mercado Ramírez, Ernesto; Técnicas para la
Toma de Decisiones; Limusa; 1991.
El líder de proyecto y la organización deben estar
consientes de que el implantar un Proceso de Kirkwood, Craig W.; Strategic Decision Making,
Seguridad Informática es una tarea llena de retos Multiobjetive Decision Analysis with
en todos los sentidos. Spreadsheets; Duxbury Press; 1996.