Proyectos de Seguridad Informática:

Un reto de Tecnología, Administración y Metodología

Leonardo García Rojas

Director de Proyectos Estratégicos
CISSP
Innovaciones Telematicas, S.A. de C.V.
lgarcia@intelematica.com.mx

Agustín F. Gutiérrez Tornés

Centro de Investigaciones en Computación del IPN
atornes@cic.ipn.mx

Resumen:
La Seguridad Informática es un paradigma que en el gobierno y la milicia se ha manejado desde hace mucho
tiempo, pero que es emergente en la industria . En este nuevo dominio los proyectos de Seguridad Informática
no son del tipo donde se tienen bien definidos un inicio, un desarrollo y un fin, sino que están en constante
transformación, sufriendo frecuentes adaptaciones. Es por eso que se habla de la consecución e implantanción
de procesos de Seguridad Informática. Este nuevo enfoque hace que los líderes de este tipo de proyecto
descansen y dependan más de la tecnología y de como ésta influye o se vincula a la solución de los distintos
procesos (Sistemas de Control de Acceso; Telecomunicaciones y Seguridad de Red; Administración de la
Seguridad; Seguridad en Aplicaciones y Desarrollo de Sistemas; Criptografía; Modelos y Arquitecturas de
Seguridad; Continuidad de Negocio y Recuperación de Desastres; Leyes, Investigación y Etica; Operación de
la Seguridad; y Seguridad Física). También hace que se administren los proyectos de acuerdo al tamaño y al
lugar que le toca a cada integrante desempeñar ya sea en proyectos pequeños o en proyectos de gran alcance
donde se tengan que involucrar diferentes proveedores, compañías, personas, etc. Por ultimo la metodología
para la elaboración del proyecto se torna dinámica, lo que conlleva un reto profesional sin igual. En este
artículo se detalla una propuesta de metodología para los proyectos de Seguridad Informática, que va desde el
planteamiento hasta la implantación como un conjunto de procesos que apoya a la operación de la industria.

Palabras Clave: Seguridad Informática, metodología, administración de seguridad, proyecto, implantación de

seguridad.

1. INTRODUCCION
La Seguridad Informática es un paradigma que en
el gobierno y la milicia se ha manejado desde
hace mucho tiempo, pero que es emergente en la
industria y por su naturaleza plantea desde sus
inicios la problemática de cómo eliminar los
riesgos y amenazas que atañen a la información de
una empresa. Conociendo que no se pueden
eliminar por completo los riesgos y/o amenazas a
la información de una empresa entonces se debe
plantear una solución con una constante
evaluación y ponderación de las necesidades de
forma evolutiva y dinámica
El presente trabajo plantea que la protección de la
información de una organización se debe manejar
como un proceso estratégico con el que se cuida la
información que en resumen es la razón de ser de
la organización, al cual llamaremos Proceso de
Seguridad Informática de la Organización.
Con el fin de proteger la información de la
organización se plantea la implantación del
Proceso de Seguridad Informática de la
Organización siguiendo una metodología
dinámica y evolutiva además de las necesidades
tanto administrativa como de conocimientos
técnicos básicos para implantarlo y operarlo.
2. METODOLOGÍA
En los proyectos de seguridad informática se
requiere de una metodología que provea los
lineamientos básicos para implantarlos con éxito,
y que ésta contengan mecanismos de seguridad
que garanticen la implantación del proyecto de
forma segura.
A continuación se describen los pasos de una
propuesta de metodología para implantar
Proyectos de Seguridad Informática de gran
alcance1.
2.1 Etapas de la Metodología
A continuación se describen las etapas mínimas
para la implantación de Proyectos de Seguridad
Informática dinámicos y evolutivos.
Auditoría de Seguridad Actual.- La primera vez
que se realice una iniciativa de Seguridad de
Información en la organización es conveniente
que se efectúe una auditoría de seguridad de
información en sus diferentes áreas de
conocimiento (al menos en las que se describen en
este documento)2. Esta auditoría puede llevarse a
cabo por personal interno del cliente o como parte
de la preventa del proveedor. Al final de esta
auditoría se debe emitir un RFP3. Es necesario
evaluar y adquirir lo necesario para implantar el
Proceso de Seguridad Informática de la
Organización y para esto se hace necesario que el
RFP sea distribuido a los diferentes proveedores o
en su caso hacer la evaluación de la solución al
RFP con diferentes productos existentes en el
mercado.
Como resultado de esta etapa la organización
debe elaborar la documentación pertinente como
soporte al proyecto, siendo la mínima:
 ES01 RFP
Propuesta del proyecto.- Cuando se tiene el RFP
completado, este se distribuye a los diferentes
proveedores y es el documento base para todas y
cada una de las propuestas de Solución de
Seguridad Informática de la Organización 4 de los
1 Consideramos Proyectos de Seguridad Informática de gran alcance a aquellos
que consideran a la Seguridad Informática como un proceso dinámico, evolutivo
y principalmente como ventaja estratégica en la permanencia operativa de la
organización.
2 La auditoría debe considerar un Análisis de riesgos.
3 De sus siglas en inglés “Request for Proposal”, petición para propuesta.
4 Durante el documento denominaremos Solución de Seguridad Informática de la
Organización a la implantación del Proceso de Seguridad Informática de la
proveedores para la organización. También el
RFP será el documento con el cual la organización  ES03 Contratos7
evaluará en igualdad de condiciones todas y cada
Detallar Políticas de Seguridad.- Esta etapa es
una de las propuestas presentadas. Al final de esta
una de las etapas más críticas de un proyecto de
etapa se habrá elegido la solución que mejor se
seguridad informática puesto que aquí se crean
adapte a las necesidades de la organización.
y/o en su caso se revisan las Políticas de
Como parte de la propuesta se debe elaborar la Seguridad Informática de la Organización. Ellas
documentación pertinente como soporte al definirán muchas de las acciones y el rumbo de la
proyecto, siendo la mínima: configuración de cada producto, la topología en la
que serán dispuestos, el esquema de operación, la
 ES02 Propuesta de Solución para la forma en la que serán compatibles con la
implantación del Proceso de Seguridad infraestructura y aplicaciones existentes y con lo
Informática de la Organización que se tenga planeado a futuro, y por último
también definirán tareas que tendrán que
Inicio del Proyecto.- Una vez que se ha elegido realizarse en la organización a fin de implantar
una Solución de Seguridad Informática de la correctamente el proceso de seguridad de
Organización, se procede a iniciar los trabajos información.
para la implantación de la solución. Durante esta
etapa hay que considerar muchos puntos de Como resultado de esta etapa se debe elaborar la
seguridad sin que se hayan reglamentado o documentación pertinente como soporte al
formalizado previamente por las políticas de proyecto, siendo la mínima:
seguridad de información5. Parte de las grandes
tareas de esta etapa es delimitar el alcance de los  EN03 Políticas de Seguridad Informática del
trabajos del integrador y éste a su vez dar a SNISP
conocer los alcances a sus asociados de negocio
por medio de un plan de trabajo a nivel macro. Estrategia de Implantación.- En esta etapa se
También se debe explicar y manejar la forma en define la estrategia de implantación con base en
que se administrará el proyecto. Cuando se las Políticas de Seguridad Informática de la
realizarán las juntas, los mecanismos con los que Organización, donde se definen las necesidades de
resolverán los problemas durante el proyecto, la infraestructura de terceros para hacer pruebas,
forma en que fluirá la información 6, los requerimientos para operación paralela, proceso
mecanismos de escalamiento de decisiones entre de migración de servicios, sistemas y equipo y se
otras. desarrollan los procedimientos necesarios para
realizar la migración y se elabora el esquema de
Como resultado de esta etapa se debe elaborar la datos de pruebas
documentación pertinente como soporte al
proyecto, siendo la mínima: Como resultado de esta etapa se debe elaborar la
documentación pertinente como soporte al
Organización.
5 Un caso de estas reglamentaciones puede ser el considerar mecanismos proyecto, siendo la mínima:
y/puntos de control de seguridad informática en los contratos con el integrador
de la solución para que este a su vez hiciera cumplir estos puntos de control con
los terceros que incluya en el proyecto.
6 Este punto es muy importante en este tipo de proyecto puesto que la
información que se dará a conocer a cada uno de los participantes del proyecto 7 Deben considerarse medidas de seguridad de la información, alcances, planes
solo será la mínima indispensable con la que pueda realizar su trabajo. de trabajo, mantenimiento, soporte.
 EN04 Procedimientos de Migración a la
Solución Como resultado de esta etapa se debe elaborar la
documentación pertinente como soporte al
 EN05 Esquema de datos de prueba
proyecto, siendo la mínima:
 EN06 Esquema Técnico basado en las
“Políticas de Seguridad Informática”
 EN07 Esquema de Pruebas

Procedimiento de Transferencia Operativa.- Procedimientos Operativos.- La documentación

Durante esta etapa se documentará la forma en es un tema importante del proyecto y de la
que se hará la transferencia de tecnología al operación diaria del Proceso de Seguridad
personal de la organización, a fin de que éste sea Informática de la Organización y la de los
parte de la implantación de la solución y que a su procedimientos operativos debe reflejar la
vez la misma organización sea autosuficiente en la operación diaria de la operación del Proceso de
operación del Proceso de Seguridad Informática Seguridad Informática de la Organización sin que
de la Organización. estos dependan de una persona en particular9. De
esta forma se asegura que la organización
Como resultado de esta etapa se debe elaborar la
trabajará de forma confiable aún si alguna persona
documentación pertinente como soporte al
falta
proyecto, siendo la mínima:
Como resultado de esta etapa se debe elaborar la
 EN08 Transferencia Operativa documentación pertinente como soporte al
proyecto, siendo la mínima:
Creación del Esquema de Pruebas.- En esta etapa
se documentan las pruebas que se realizarán al  EN09 Procedimientos Operativos
Proceso de Seguridad Informática de la
Organización de la organización una vez que se Transferencia Operativa.- A fin de que la
haya terminado la configuración de la Solución de organización pueda manejar el Proceso de
Seguridad Informática de la Organización para Seguridad Informática de la Organización una vez
que se considere confiable y operativo. Las implantado se hace necesario que el personal de la
pruebas deben tomar en cuenta la estrategia de organización y el personal del integrador
implantación y las políticas de seguridad funcionen como un solo equipo, esta tarea hace
informática de la organización. El esquema de que el personal de la organización tome el control
pruebas debe cumplir y hacer cumplir cada una de durante el desarrollo del proyecto al ser ellos
las políticas de seguridad informática de la quienes comiencen a administrar el proceso de
organización. Como parte del esquema de pruebas seguridad de información de la organización
se deben considerar las pruebas de a elemento de conforme ese se implante y el personal del
seguridad local, las pruebas a cada elemento de integrador se dedique a resolver los problemas
seguridad remoto, la prueba general, las pruebas inherentes a la tecnología y a la implantación del
de rendimiento y por último la auditoría al Proceso de Seguridad Informática de la
Proceso de Seguridad Informática de la Organización.
Organización8

8 En esta etapa se mencionan pruebas al Proceso de Seguridad Informática de la 9 Se debe eliminar la dependencia de las personas ya sean estas de la
Organización , cabe aclarar que una parte relevante de estas pruebas son las organización, del integrador o de cualquier proveedor a fin de evitar círculos de
pruebas de penetración a los sistemas, tanto individuales, locales y remotos. poder en el Proceso de Seguridad Informática de la Organización. .
Como resultado de esta etapa se debe elaborar la
documentación pertinente como
proyecto, siendo la mínima:
 EN08 Transferencia Operativa
 EN09 Procedimientos Operativos
Suministro e instalación de HW &SW de
Seguridad.- En los proyectos de seguridad de
información de gran escala se debe considerar de
forma relevante la procura y suministro de la
plataforma de seguridad informática, tanto en
hardware como en software; la revisión de los
locales donde se instalarán10, tomando en cuenta la
revisión física de las instalaciones eléctricas y del
equipo de Interconectividad de Red del Centro de
Cómputo, con el fin de asegurar que éstas
cumplan con los requerimientos necesarios para la
operación del equipo. Posteriormente se debe
verificar que el hardware y software sean
instalados correctamente y aquí se configurará el
hardware de acuerdo a los requerimientos de la
solución aprobada; se instalarán y afinaran los
sistemas operativos en cada uno de los servidores
de acuerdo a la función que tendrá dentro de la
Solución de Seguridad Informática
Organización y como fase final de esta etapa, se
instalarán de acuerdo a la función de cada servidor
los Paquetes de Software que correspondan.
Como resultado de esta etapa se debe elaborar la
documentación pertinente como
proyecto, siendo la mínima:
 EN01 Revisión del Centro de Cómputo
 EN02 Memoria de Instalación del Equipo de
Cómputo (HW &SW)
Infraestructura Actual.- Durante el proyecto de
seguridad informática se debe tomar en cuenta la
infraestructura que ya se encuentre operando a fin
10 la revisión y modificaciones del centro de cómputo en el caso de que exista, de
lo contrario se debe construir bajo lineamientos que aseguren la operación de los
equipos de forma confiable.
de acoplar ésta, de forma transparente, al Proceso
soporte al de Seguridad Informática de la Organización,
siendo esta la etapa donde se revisan las
necesidades para tal operación.
Configuración de la Solución.- Durante esta
etapa se configura la Solución de Seguridad
Informática de la Organización, tomando en
cuenta los siguientes documentos
 EN03 Políticas de Seguridad Informática
 EN04 Estrategia de Migración a la Solución
 EN06 Esquema Técnico basado en las
“Políticas de Seguridad Informática”
Como resultado de esta etapa se debe elaborar la
documentación pertinente como soporte al
proyecto, siendo la mínima:
 EN10 Memoria de Instalación de la Solución
Pruebas de la Solución.- En esta etapa se
realizarán las pruebas que se marcan en el
documento “EN07 Esquema de Pruebas”
concluyendo con la Recepción de la Solución 11.
Al terminar satisfactoriamente las pruebas, la
de la
organización aprobará la Integración, y empezará
la etapa de Migración de los que se tenga
actualmente a la Solución de Seguridad
Informática de la Organización en Producción.
El documento EN07 ”Esquema de Pruebas”
soporte al
contiene todas y cada una de las pruebas a realizar
durante esta etapa, donde cada prueba tendrá un
objetivo, una descripción narrativa, el programa
de ejecución y los criterios de aceptación de la
pruebas durante esta etapa.
Aprobación de la Solución de Seguridad
Informática de la Organización.- Al terminar las
pruebas realizadas a la Solución de Seguridad
11 Este es el punto del proyecto donde la implantación de la Solución de
Seguridad Informática se convierte en el Proceso de Seguridad Informática de la
Organización
Informática de la Organización satisfactoriamente,
se considera esta como confiable, siendo este
punto donde se dan por terminados los trabajos de
implantación y se aprueba para proceder a migrar
la información que se encuentra
infraestructura actual a la Solución de Seguridad
Informática de la Organización.
Migración a la Solución de
Informática de la Organización.- Una vez que la
organización y en su caso un tercero aprueba la
confiabilidad de la Solución de Seguridad
Informática de la Organización se procede a
migrar a esta lo que se encuentre operando en la
infraestructura actual, siendo el final de esta etapa
el punto en el cual la Solución de Seguridad
Informática de la Organización que hasta este
momento ha sido proyecto se convierte en el
Proceso de Seguridad Informática
Organización y queda formalmente
producción.
Producción.- La producción de la implantación
del proyecto es la operación misma del Proceso de
Seguridad Informática de la Organización, y esta
debe ser manejada de forma dinámica y evolutiva.
Por ejemplo se deben emitir nuevas políticas de
seguridad de acuerdo a las necesidades actuales de
la organización, se deben desechar las que no
apliquen más, se deben modificar aquellas en
donde las condiciones que les dieron forma han
cambiado. El dinamismo y evolución deben
aplicar para todo lo que forme parte del Proceso
de Seguridad Informática de la Organización 12.
Monitoreo de la Solución en Producción.- Una
vez aceptada la Solución de
Informática de la organización, y migrada la
infraestructura actual a la Solución se comenzará
la etapa de producción y monitoreo, y de acuerdo
12 Políticas, procedimientos, controles, tecnología, capacitación, equipos de
respuesta a incidentes, etc.
a las necesidades de la empresa13 se realizará un
nuevo análisis de riesgos, propuesta de mejoras
con sus respectivas actualizaciones para así
generar un nuevo proyecto o proyectos según sea
en la el caso iniciando el ciclo nuevamente.
Análisis de Riesgos.- Una vez que se encuentre
operando el Proceso de Seguridad Informática de
Seguridad la Organización se deberá realizar periódicamente
un análisis de riesgos, en primer lugar para
evaluar la efectividad del proceso y en segundo
lugar para que este evolucione según la operación
y las nuevas necesidades de la organización, para
de esta forma saber donde hacer los ajustes
necesarios14 y de esta forma obtener las Mejoras
Recomendadas que tenga base en un análisis de
riesgos. Esta etapa se puede llevar también desde
un punto de negocio en donde el Análisis de
de la Riesgos es apoyado por un Plan de Continuidad
en de Negocio y de esta forma las Mejoras
Recomendadas serán de acuerdo al Proceso de
Seguridad de la Organización y a las prioridades
del negocio de la organización.
Parte de las necesidades que puede arrojar el
Análisis de Riesgos pueden ser desde revisión de
políticas y procedimientos, renovación de
tecnología, realización de pruebas de penetración,
capacitación, análisis de rendimiento, etc., es por
eso que cuando se lleva de forma iterativa esta
metodología es posible generar una base de datos
de conocimiento del Proceso de Seguridad de la
organización tal que cualquier proyecto o
iniciativa se pueda justificar fácilmente 15 por
medio de un análisis de riesgos que toma en
cuenta las experiencias que ha tenido la
organización.
Seguridad
13 Este punto depende del dinamismo con el que la organización se desempeña en
el mercado y que tan vistosa en Internet es, los tiempos para una nueva propuesta
de seguridad ya sea nueva o actualización se acortarán.
14 Los ajustes se deben entender como agregar, modificar o desechar partes del
proceso de seguridad de la organización ya sean estos controles, tecnología,
procedimientos, políticas, etc.
15 El tiempo de autorización de presupuestos y cuestiones administrativas
dependerá de cada organización y aquí a lo que nos referimos es a la
disponibilidad de la información para justificar las mejoras.
 aprobada, se distribuye un RFP que contiene
Como resultado de esta etapa la organización todas y cada una de la Peticiones de Mejoras al
debe elaborar la documentación pertinente como Proceso de Seguridad Informática de la
soporte al proyecto, siendo la mínima: Organización a los Integradores, Proveedores,
Consultores según sea el caso, para que estos
 ES04 Análisis de Riesgos realicen la correspondiente propuesta de solución
 ES05 Mejoras Recomendadas y la presenten a la organización, comenzando el
 ES06 Plan de Continuidad de Negocio16 ciclo nuevamente.

Propuesta de Mejoras.- Cuando al organización Como resultado de esta etapa se debe elaborar la
ya cuenta con las -ES04- Mejoras Recomendadas documentación pertinente como soporte al
el siguiente paso que debe realizar es el de dar proyecto, siendo la mínima:
prioridad a cada una de ellas y en base a las
prioridades debe iniciar el proceso detallado de  ES08 RFP de Mejoras al Proceso de
propuesta de mejoras a fin de presentarlo a la alta Seguridad Informática de la Organización.
dirección de la organización para obtener el
presupuesto necesario para llevarlas a cabo. La Verificación de Puntos de Control y Calidad.-
Propuesta de Mejoras debe tener base en un Implantar un proyecto de seguridad de esta
estudio de mercado de los productos y/o servicios naturaleza implica el manejar situaciones que no
requeridos; plan de trabajo; análisis costo se presentan en otro tipo de proyectos, una de las
beneficio; condiciones mínimas necesarias legales principales es que cada grupo de trabajo sólo tiene
y/o administrativas que deberá cumplir el que conocer lo que esta realizando y no debe tener
proveedor para realizar el trabajo; Detalle Técnico el panorama completo puesto que si esto llegará a
de las peticiones de Mejoras al Proceso de suceder se pondría en peligro el éxito del
Seguridad Informática de la Organización y la proyecto, y es por eso que se deben de mantener a
planeación del ejercicio del presupuesto con base lo largo de todo el proceso puntos de control y de
en objetivos bien determinados17. calidad de los diferentes productos que aseguren a
la organización que se esta implantando un
Como resultado de esta etapa se debe elaborar la Proceso de Seguridad Informática de la
documentación pertinente como soporte al Organización confiable, lo que hace que se tenga
proyecto, siendo la mínima: de forma contante esta etapa a desde que se toma
la iniciativa, se lleva a cabo, se opera, se
 ES07 Propuesta de Mejoras mantiene, evoluciona y se torna dinámica la
seguridad informática en la organización.
Autorización de Mejoras.- La propuesta de
La Verificación de Puntos de Control y Calidad
mejoras es presentada a la alta dirección de la
deberá ser llevada por la organización en todo
organización para su aprobación y una vez que sea
momento y en los momentos que apliquen debe
ser obligación de los integradores, proveedores
16 La inclusión del Plan de Continuidad de Negocio al Proceso de Seguridad
Informática de la Organización se utilizará dependiendo de la madurez que la y/o consultores en la parte que sea su
organización haya obtenido en el Proceso de Seguridad Informática de la
Organización. responsabilidad implantar, siempre con
17 Los objetivos se determinarán con base en los puntos de control que existan en
autorización de la organización.
el proyecto y estos pueden ser al final de cada etapa o cuando se haga la entrega
de bienes - Licencias, Hardware, etc..-
 recibirla, operar y mantener el Proceso de
Capacitación.- En cualquier proyecto la Seguridad Informática de la Organización.
capacitación es un tema crítico que puede hacer la
diferencia entre el éxito o el fracaso, pero en la Como resultado de esta etapa se debe elaborar la
implantación de un Proceso de Seguridad documentación pertinente como soporte al
Informática de la Organización es no sólo un tema proyecto, siendo la mínima:
sino la columna vertebral del proyecto, puesto que
 Cxx Material de Capacitación de Cada Curso
es fundamental para el éxito de la implantación
 Cyy Material de Concienciación
del Proceso de Seguridad de la Informática y
esencial para que la organización lo opere  Czz Material de Difusión del Proceso de
correctamente sin que éste se convierta en un Seguridad Informática de la Organización
camino de obstáculos18 para la organización19. La
capacitación se debe considerar en diferentes
2.2 Una Metodología para Proyectos de
caminos siendo algunos de ellos la capacitación
Seguridad Informática
de fundamentos teóricos20 al grupo de la
organización que este implantando el proyecto; la
Cada una de las etapas que han sido descritas debe
capacitación sobre cada uno de los productos
tomar su lugar y tiempo en el desarrollo del
considerados en la solución; la capacitación en
proyecto como se muestra en la figura 1.
técnicas, procedimientos y controles de la
operación de la seguridad informática; la
capacitación en respuesta a incidentes y técnicas
forenses; la difusión del Proceso de Seguridad
Informática de la Organización a lo largo de la
organización así como la concienciación de los
bienes de información de la organización a todo el
personal.

Todo este esquema de capacitación y

concienciación proporcionará al personal de la
organización los conocimientos necesarios para

18 Si un Proceso de Seguridad Informática de la Organización no es implantado

De esta forma planteamos la metodología de
correctamente, se puede correr el riesgo de implantar controles que en lugar de
implantación de proyectos de seguridad
ayudar a que la organización maneje su información de forma rápida y confiable,
se tenga una burocracia en el manejo de información que entorpezca las informática evolutivos y dinámicos.
actividades de la organización.
19 En este punto la capacitación se plantea de forma general a la organización, y
debe de tomarse cómo un proceso dinámico, puesto que en la seguridad 3. ADMINISTRACIÓN
informática día a día se tiene algo nuevo y conforme la organización opere el
proceso este le demandará nuevas necesidades. Por ejemplo al inicio se debe Una metodología no sirve de nada si el líder de
capacitar a los técnicos en los productos de seguridad, técnicas para repeler
ataques, controles de seguridad, técnicas de auditoría, etc., posteriormente en los proyecto no tienen los conocimientos básicos para
mecanismos de respuesta a incidentes, IDS, técnicas forenses, etc. y una vez que
se utilice en la organización el proceso de seguridad de forma defensiva también
poder seguirla, puesto que en éste tipo de
se puede llagar a tener la necesidad de llegar a utilizar el Proceso de Seguridad proyectos se requiere supervisar a personas que
Informática de la Organización no sólo de forma defensiva sino ofensiva, así de
esta forma vemos que la capacitación se convierte en la columna vertebral de son expertas en sus respectivos campos 21, negociar
este tipo de proyectos.
20 Se debe considerar la capacitación de un tronco común de conocimientos para
que todo el grupo entienda los conceptos de la misma forma durante las 21 Por ejemplo hackers, desarrolladores especialistas en diferentes tecnologías,
diferentes juntas de trabajo del proyecto etc..
con proveedores y contrapartes de diferentes tipos  Manejar conflictos de intereses en la
de áreas22, es por eso que el líder deberá tener organización en bien del proyecto
prepararse para poder afrontar una problemática  Imparcialidad en el momento de elegir los
que no se presenta en otro tipo de proyectos y productos en bien del proyecto.
obtener un tronco común de conocimientos de  Imparcialidad al momento de deslindar
todas los diferentes campos de seguridad responsabilidades de los participantes del
informática identificados hasta el momento que proyecto.
inicie el proyecto y actualizarse de forma  Verificar que el proyecto se documente a fin
constante durante el desarrollo del mismo. de que la organización sea independiente en
todo momento23.
A continuación describimos algunos ejemplos de
 Hacer que todas y cada una de las personas
la problemática que deberá afrontar el líder de
involucradas en el proyecto cumplan con la
proyecto y los grandes rubros del tronco común de
políticas de seguridad de la organización24.
conocimientos con los que debe contar.
 Tomar cuenta que la organización debe estar
capacitada antes de comenzar la transferencia
3.1 Problemática operativa del proyecto, a fin de que la misma
organización vaya tomando la
Para administrar proyectos de gran alcance en
administración25.
seguridad informática el líder de proyecto debe
 Tomar en cuenta durante las juntas de
afrontar el reto pensando en que esta implantando
un proceso dinámico, el cual modificará sus planeación que sólo se de a conocer la

condiciones durante el desarrollo del mismo. Esto información mínima requerida entre los

conlleva a al líder de proyecto al paradigma dual grupos involucrados en la implantación de la

de trabajarlo como implantación y como sistema solución.

en producción al mismo tiempo.  Verificar durante la implantación de la

Solución de Seguridad Informática de la
Además del paradigma dual el líder de proyecto Organización en todo momento se cumplan
debe saber manejar situaciones de todo tipo y a las políticas de seguridad informática y en su
todos los niveles, como: caso aumentar nuevas y/o desechar las que no
apliquen más

 Mantener la confidencialidad de las  Tener en cuenta que así como sucede con las
actividades realizadas por los diferentes políticas de seguridad informática también se
grupos de trabajo que intervengan en el debe revisar durante el proyecto que los
proyecto. productos (HW & SW), servicios, algoritmos,

 Negociar Políticas de Seguridad de tal forma etc. sigan siendo vigentes para la tarea que

que éstas se acoplen a las necesidades de la están desempeñando en la solución y en el

organización, para que no sean una carga caso de que ya sean obsoletos, hacer efectivos

inútil o al contrario no cubran todas las los contratos de mantenimiento acordados

necesidades de la organización
23 Esto conlleva que no se generen círculos de poder o dependencia de alguno de

los proveedores que intervenga durante el proyecto.

24 las existentes previas al proyecto y las definidas en el proyecto
22 Se debe estar preparado para negociar con abogados, licenciados en 25 Por ejemplo, Llaves de encripción, claves de acceso y todo lo que involucre
informática, ingenieros civiles, protección civil, ingenieros en acceso a la información.
telecomunicaciones, consultores, administradores, etc.
 con los proveedores para obtener los  Ataques en la red
productos que estén vigentes.
Administración de la Seguridad y Riesgo.- Se
3.2 Areas de Conocimiento debe tener conocimiento de cómo administrar la
seguridad y el riesgo, siendo el primero la
Control de Acceso.- Se debe tener conocimiento identificación de los bienes de información de la
de los mecanismos que permiten a los organización y cómo desarrollar, documentar e
administradores especificar lo que pueden hacer implantar políticas, estándares y lineamientos para
los usuarios, que recursos pueden accesar y que asegurar la confidencialidad, integridad y
operaciones pueden realizar sobre el sistema. disponibilidad de la información. También se
deben conocer las herramientas y mecanismos de
Se deben tener conocimientos de al menos: administración de clasificación de datos,
 Contabilidad en los sistemas evaluación y análisis de riesgos, que son usados
 Técnicas de control de acceso para identificar amenazas, clasificación de bienes,
 Administración del control de acceso y ponderación de vulnerabilidades con el fin de
 Modelos de control de acceso que los controles de seguridad sean
 Técnicas de identificación y autenticación implementados correctamente.
 Metodología e Implantación de Control de
El siguiente punto es la administración del riesgo
Acceso
que es la identificación, medida, control y
 Propiedad y custodia de archivos y datos
reducción de la pérdida asociada con eventos de
 Métodos de ataque
incertidumbre y riesgos. Esta administración
 Monitoreo incluye la revisión de la seguridad, análisis de
 Pruebas de Penetración riesgos, selección y evaluación de controles,
análisis costo beneficio, administración de
Telecomunicaciones y Seguridad de Red.- Se decisiones, implementación de controles y
debe tener conocimiento de las estructuras, revisión de la efectividad.
métodos de transmisión, formatos de transmisión
y medidas de seguridad necesarias durante la Se deben tener conocimientos de al menos:
transmisión de información sobre líneas privadas  Conceptos y principios de administración de
y/o públicas a fin de mantener la integridad, la seguridad
disponibilidad, autenticación y confidencialidad
 Control y Administración de cambios
de la información
 Clasificación de información/Datos
 Políticas y prácticas de seguridad aplicables a
Se deben tener conocimientos de al menos:
los empleados
 Modelo ISO/OSI de Comunicación entre
 Políticas, estándares, lineamientos y
Computadoras
procedimientos
 Seguridad en comunicaciones y red
 Roles y responsabilidades
 Conceptos de Intranet / Internet / Extranet
 Seguridad en e-mail
Seguridad en Aplicaciones y Desarrollo de
 Comunicaciones de voz Sistemas.- Se debe tener conocimiento de los
 Implantación de controles de seguridad
controles de seguridad durante el desarrollo de
sistemas y aplicaciones de software
Se deben tener conocimientos de al menos:
 Ambientes distribuidos
 Ambientes locales y no distribuidos
 Bases de datos y datawarehouses
 Almacenamiento de datos e información
 Sistemas de conocimiento (Sistemas expertos
y redes neurales)
 Controles en el desarrollo de sistemas
 Código Malicioso
 Métodos de ataque
Criptografía.- Se debe tener conocimiento de
principios, medios y métodos para ocultar la
información a fin de asegurar su integridad,
confidencialidad y autenticidad.
Se deben tener conocimientos de al menos:
 Utilización de la criptografía
 Conceptos, metodologías y prácticas de
criptografía
 Algoritmos de llave pública
 Algoritmos de llave privada
 Arquitectura de sistema para implantar
funciones de criptografía
 Métodos de ataque
Modelos y Arquitecturas de Seguridad.- Se debe
tener conocimiento de los conceptos, principios,
estructuras y estándares usados para diseñar,
implementar, monitorear y asegurar sistemas
operativos, equipos, redes, aplicaciones y los
controles usados para ejecutar varios niveles de
confidencialidad, integridad y disponibilidad.
Se deben tener conocimientos de al menos:
 Principios, arquitecturas y diseños de
computadoras y redes
 Principios, modelos, arquitecturas y criterios
de evaluación (IETF, ITSEC, TCSEC..)
 Fallas y aspectos de seguridad asociados con
arquitecturas y diseños de sistemas
Operatividad de la Seguridad.- Se debe saber
identificar los controles sobre hardware, medios y
operadores con accesos privilegiados a cualquiera
de estos recursos, siendo la auditoria y el
monitoreo la forma de identificar eventos de
seguridad para posteriormente darle solución
además de proporcionar la información pertinente
para las respectivas personas, grupos o procesos.
Se deben tener conocimientos de al menos:
 Tipos de controles
 Controles en la operación
 Protección de recursos
 Auditoría
 Técnicas y herramientas de monitoreo
 Detección de intrusos
 Técnicas de pruebas de penetración
 Actividades ilícitas (Fraude, colusión,
pornografía..)
 Violaciones, brechas y reportes.
Continuidad de Negocio y Recuperación de
Desastres.- Se debe tener conocimiento de
preparación, pruebas y actualización de acciones
especificas para proteger procesos de negocio
críticos y sus efectos al faltar los sistemas y los
medios de transmisión.
De aquí que los planes de continuidad de negocios
contrarrestan interrupciones a las actividades de
negocio y deben estar disponibles para proteger
procesos críticos de negocio de los efectos de las
fallas o desastres ya sean naturales u ocasionados
por el hombre. Siendo el Análisis de Impacto al
negocio el estudio que determina la proporción
del efecto a cada unidad de negocio cuando hay
interrupciones de computo, o telecomunicaciones,
siendo los financieros en términos de pérdida
monetaria, operacional o de inhabilidad de operar.
Y los planes de recuperación de desastre son los
procedimientos de respuesta a una emergencia,
operación durante la emergencia y recuperación
post-desastre a una pérdida parcial o total de
recursos de computo y/o instalaciones.
Para el plan de recuperación de desastre su
objetivo es proveer la capacidad para trabajar los
procesos críticos en modo degradado y regresar a
una operación normal en un rango de tiempo
aceptable.
Se deben tener conocimientos de al menos:
 Plan de Continuidad de Negocio
 Planes de recuperación de desastre
 Elementos de planes de continuidad de
negocio
 Eventos BCP/DRP
Leyes, Investigación y Etica.- Se debe tener
conocimiento de regulaciones y leyes existentes
en seguridad, técnicas y medidas usadas para
determinar si un crimen fue cometido, métodos de
obtención de evidencia y códigos éticos de la
seguridad.
Se deben tener conocimientos de al menos:
 Leyes (Licenciamiento, Propiedad Intelectual,
Importación/Exportación, transferencia de
información)
 Leyes civiles, administrativas y criminales
 Investigaciones
 Tipos de crímenes computacionales (Militares
e Inteligencia, Negocios, Financieros,
Terroristas, Diversión)
 Manejo de Incidentes
 Ética
Seguridad Física.- Se debe saber identificar las
amenazas, vulnerabilidades y controles, que
pueden ser utilizados para proteger los recursos
empresariales y/o información sensible. Los
recursos, incluyen gente, instalaciones, datos,
equipo, sistemas de soporte, medios y suministros
utilizados.
Se deben tener conocimientos de al menos:
 Protecciones de las instalaciones físicas
(Areas Restringidas, Control de Visitas,
Identificaciones, Tipo de Iluminación,
Selección/Recomendaciones de los Centros
de Computo, Detectores de movimiento,
sensores y alarmas, etc.).
 Técnicas de control de acceso físico
 Seguridad de civiles y del ambiente de
recursos de información
 Amenazas de seguridad física (Fuego, Agua,
Temblores, Tormentas, Sabotaje,
Vandalismo, etc.)
 Elementos de seguridad física (Prevención,
Detección y Supresión de Amenazas;
Controles de Fuego, Agua, Materiales
Tóxicos, Eléctricos, Ambientales, Armas,
CCTV, Detectores, Alarmas, etc.)
4. TECNOLOGÍA
Tecnología un mundo intrincado de propaganda,
nombres de compañías, marcas de productos,
diferentes nombres al mismo conceptos,
ejecutivos de cuenta, etc. y si no se tienen bases
de conocimiento sólidas y no se sigue un orden en
el proyecto la misma tecnología lo puede llevar al
fracaso y a que la compañía gaste dinero en donde
no se necesita y obtenga una pesada carga de
administración de ella sin minimizar la exposición
de la información sensible.
Por todo esto y más es necesario que las
Iniciativas y Proyectos de Seguridad Informática
de una organización sean considerados como un
proceso dinámico y evolutivo que formará parte
de las decisiones estratégicas de la organización y
no como un problema que se resolverá comprando
tecnología.
La tecnología debe ser elegida e implantada una
vez que se hayan evaluado y ponderado todos y
cada uno de los riesgos y la forma optima de
minimizarlos.
5. CONCLUSIONES
CRC Press - Auerbach Publications; 2000.
Winkler, Ira; Corporate Espionage : What It Is,
Why It Is Happening in Your Company What You
Must Do About It; Prima Publishing; 1998
Denning, Dorothy; Information Warfare and
Security; Adison Wesley; 2000.
Denning, Dorothy; Internet Besieged; Addison-
Wesley; 1997.

La metodología planteada nos lleva a que tanto el Kolluru, Rao; Bartell, Steven; Pitblado, Robin;
líder como la organización que deciden llevar a Stricoff, Scott; Manual de Evaluación y
cabo un Proyecto de Seguridad Informática deben Administración de Riesgos; McGraw Hill; 1995.
comprender que están implantado un proceso
Vaughan, Emmett J; Risk Management; John
estratégico que les ayudará siempre y cuando se
Wiley & Sons, Inc.; 1997.
implante correctamente puesto que si se implanta
mal entonces sólo se tendrá una carga tecnológica Clemen, Robert T.; Reilly, Terence; Making Hard
y burocrática que sangrará económicamente a la Decisions with Decision Tools; Duxbury
empresa y lo peor dará una falsa sensación de Thomson Learning; 1996.
Seguridad Informática.
Banks, Jerry; Handbook of Simulation, Principles,
Para implantar correctamente el Proceso de Methodology, Advances, Applications and
Seguridad Informática es necesario tener una Practice; John Wiley & Sons, Inc.; 1997.
sólida formación en las áreas de conocimiento
descritas en este documento. Mercado Ramírez, Ernesto; Técnicas para la
Toma de Decisiones; Limusa; 1991.
El líder de proyecto y la organización deben estar
consientes de que el implantar un Proceso de Kirkwood, Craig W.; Strategic Decision Making,
Seguridad Informática es una tarea llena de retos Multiobjetive Decision Analysis with
en todos los sentidos. Spreadsheets; Duxbury Press; 1996.

Davis, Duane; Business Research for Decision

6. BIBLIOGRAFIA Making Fith Edition; Duxbury Thomson
Summers, Rita C.; Secure Computing Threads Learning; 1999.
and Safeguards; McGraw Hill;1997.

Fites, Philip E., Krats, Martin P.J.; Information

Systems Security a Practitioner´s Guide; Van
Nostrand Reinhold, 1993.

Krause, Micki; Tipton, Harold F;.Information

Security Management Handbook, Fourth Edition;