ONP - Plan Implementacion Seguridad v.1.6

PLAN DE IMPLEMENTACION DE
SEGURIDAD
SERVICIO DE CENTRO DE DATOS Y

COMUNICACIONES
CONCURSO PÚBLICO
N° 0001-2023-ONP
Enero de 2024
Plan de Implementación de Seguridad
SERVICIO DE CENTRO DE DATOS Y COMUNICACIONES
Revisión: 01 Fecha Efectiva: 15-01-2024
HISTORIAL DE LAS REVISIONES
Autores
Fecha 15/01/24
Autor Cargo / Rol
Miguel Espejo Arquitecto de Soluciones TI
Registro de Cambios
Versión Fecha Autor Referencia del Cambio
1.1 16/01/24 Miguel Espejo Revisión general.
Revisores
Versión
Fecha Nombre Cargo / Rol
Aprobada
Plan de Implementación de Servicios 2/14

TABLA DE CONTENIDO
1. INTRODUCCIÓN...................................................................................................................................... 4
1.1. PROPOSITO DEL PLAN................................................................................................................... 4
2. OBJETIVOS............................................................................................................................................. 4
3. ESTRATEGIA DE IMPLEMENTACIÓN................................................................................................... 4
3.1. ARQUITECTURA DE SOLUCIÓN PROPUESTA.............................................................................4
4. CRONOGRAMA....................................................................................................................................... 5
5. MATRIZ DE RIESGOS............................................................................................................................. 6
6. RESPONSABILIDADES.......................................................................................................................... 7
6.1. RESPONSABILIDADES DE CANVIA............................................................................................... 7

6.2. RESPONSABILIDADES DEL CLIENTE...........................................................................................7
7. ANEXOS................................................................................................................................................... 8
7.1. ANEXO - DISEÑOS DE SOLUCIONES DE SEGURIDAD.............................................................................8
PLAN DE IMPLEMENTACION DE SERVICIO DE SEGURIDAD

INFORMATICA
1. INTRODUCCIÓN
El presente documento tiene la finalidad de establecer las estrategias de
implementación del servicio de Seguridad Informática, según lo establecido en el
Servicio de Centro de Datos y Comunicaciones, de acuerdo a lo solicitado en las
bases integradas del Concurso Público N° 0001-2023-ONP.

2. OBJETIVOS
El plan presentado consiste en brindar el detalle de los equipos con los cuales se
brindará la protección informática a la solución presentada, el cual cumple con los
requerimientos establecidos en los terminos de referencia.
3. TÉRMINOS Y DEFINICIONES
Durante el presente plan se mencionan diferentes términos técnicos, cuya definición se
describe a continuación:
a) IPS: Sistema preventor de intrusos, es la tecnología que se encarga de identificar

intentos de explotación de vulnerabilidades por algún atacante, esta funcionalidad
está incluida en los firewalls
b) SIEM: Gestor de eventos y de información de seguridad, consola de seguridad

encargada de recolectar logs de diferentes fuentes (equipos de comunicación, de
seguridad, servidores), a fin de correlacionar dichos logs y generar alertas de
seguridad que pueden representar una amenaza
c) EDR: Endpoint de detección y respuesta, es la capa de protección para los

dispositivos finales (usuarios y servidores) que se instala mediante un agente y son
gestionados dese una consola centralizada ya sea en cloud o en un servidor local
d) HA: Alta disponibilidad es el término utilizado para la característica de redundancia

automática de los dispositivos, la cual conmuta inmediatamente ante una situacion
de falla física en el dispositivo (activo-pasivo), permitiendo que las comunicaciones
no se interrumpan. En los equipos donde se señale este término significa que se
configurará en alta disponibilidad en activo-pasivo
e) EPS: Eventos por segundo es la unidad de medida para las tecnologías SIEM, con
la cual se calcula el licenciamiento de dicha solución
f) Bigbang: Es el término utilizado para los pases a producción que se realizan todo
en un mismo momento, debido a que no puede realizarse de forma progresiva
g) WAF: La función del WAF es garantizar la seguridad del servidor web mediante el análisis
de paquetes de petición HTTP / HTTPS y modelos de tráfico.
h) HTTP: Protocolo de comunicación que posibilita la circulación de información a través de

la World Wide Web.

i) HTTPS: es la versión segura de HTTP, que es el principal protocolo utilizado para enviar
datos entre un navegador web y un sitio web.
j) NAT: Es una parte fundamental entre nuestros dispositivos e Internet. Forma parte del
router, módem o el equipo que utilicemos para conectarnos a la red. En ocasiones es
conocido como enmascaramiento de direcciones IP.
k) SFP: Nos permiten interconectar diferentes dispositivos que utilicen puertos SFP,
generalmente sirven para conectar switches o routers entre sí a través de fibra óptica
monomodo o multimodo.
l) SMTP: Protocolo de red utilizado en el envío y recepción de correos electrónicos.
m) DNS: Traduce los nombres de dominio a direcciones IP para que los navegadores puedan
cargar los recursos de Internet.
n) LAN: Grupo de dispositivos informáticos conectados en un área localizada que suelen

compartir una conexión centralizada a Internet.
o) IoC: Término forense que se refiere a la evidencia en un dispositivo que señala una
brecha de seguridad.
p) RPC: Herramienta básica para establecer estructuras colaborativas y operativas en

redes y arquitecturas cliente-servidor.
4. ESTRATEGIA DE IMPLEMENTACIÓN
4.1. ARQUITECTURA DE SOLUCIÓN PROPUESTA
Los componentes de la solución propuesta que cumplen con lo solicitado en las bases
integradas se indican en la siguiente tabla:
Solución de Seguridad solicitada en Bases Equipo a implementar Tipo

Solución de Firewall, Proxy Directo, IPS 02 Fortigate 1800F en HA Físico
*HA:
Solución de Balanceadores de Tráfico 02 FortiADC 220F en HA Físico
High Solución SIEM FortiSIEM VM Virtual
Solución EDR FortiEDR Cloud
Solución WAF FortiWeb Cloud
Solución de Proxy Reverso 02 FortiADC 400F en HA Físico
availability (Alta disponibilidad)

Los detalles de cada tecnología y la protección o funcionalidad que tiene cada equipo
se detalla a continuación:
Solución de Seguridad Detalles de la funcionalidad de

solicitada en Bases seguridad Equipo a implementar
- Interconectará la red interna de ONP 02 Fortigate 1800F en HA
contra los 3 enlaces de internet
- Permitirá los accesos de red entre los
diferentes servidores o segmentos que
Solución de Firewall
actualmente requieren los sistemas de
ONP
- Recibirá toda la configuración que tiene
en funcionamiento el firewall actual
- Inspección de todo el tráfico transitado
por el firewall (de entrada, o salida a
Solución de detección y internet, comunicación entre diferentes
prevención de Intrusos zonas del firewall: LAN, DMZ, etc.)
Solución de Proxy Directo - Filtrado de URL en la navegación de
usuarios hacia internet
- Grupos de usuarios del Active Directory,
segregados por diferentes perfiles de

navegación
- Distribución de carga de tráfico de

internet dirigido a las aplicaciones 02 FortiADC 220F en HA
mediante algoritmos de balanceo
Solución de Balanceadores de
Tráfico
- Distribución del tráfico dirigido a las
publicaciones a internet mediante 02 FortiADC 400F en HA
respuestas de DNS balanceadas
- Consola de recolección y monitoreo de
eventos de seguridad para hasta 700 EPS
capaz de soportar un crecimiento anual
Solución SIEM de 10% y retención de 90 días FortiSIEM VM
- Integración con hasta 450 equipos para
la recolección de logs (equipos de
comunicación y seguridad, servidores)
- Agente de protección contra malware
instalado en 3379 Endpoints (usuarios y
servidores)
Solución EDR - Gestion centralizada desde una consola FortiEDR
en la nube del fabricante Fortinet
- Permite registrar exclusiones, registrar
hash, archivos o IP para bloquear (IoC)
- Capa de protección contra amenazas
web alojado en la propia nube del
fabricante Fortinet
Solución WAF FortiWeb
- Capacidades para proteger 50
aplicaciones de 1 dominio y 3
aplicaciones de 3 dominios diferentes
- Capa de enmascaramiento de peticiones
y respuestas HTTP, y de
redireccionamiento de las aplicaciones
Solución de Proxy Reverso
según la URL o cabeceras HTTP
- Esta capa lo tendrá las aplicaciones que
no son protegidas por WAF 02 FortiADC 400F en HA
- Capa de aseguramiento de
disponibilidad de las aplicaciones
Solución de Balanceador de
aplicaciones
- Distribución del tráfico de los usuarios
dirigido a las aplicaciones según el tiempo
de respuesta de la aplicación
Cabe resaltar que las características por cada solución requeridas en el TDR integrado
del servicio son soportadas por las tecnologías a implementar

5. CRONOGRAMA
Cronograma de Actividades (Solución de Seguridad vs Tiempo (en días)
%
Duración
Avanc Nombre de Tarea Inicio Fin Responsable
(días)
e
0% Firewalls / Proxy Directo / IPS 05/02/2024 29/03/2024
Levantamiento de información y análisis de los
0% 10 05/02/2024 16/02/2024 Especialista CANVIA
detalles del plan
Preparación de plataforma (cableado, rackeo,
upgrade firmware, alta disponibilidad, monitoreo)
Migración de configuraciones a los nuevos equipos
(Traspaso de archivo de configuración)
Definición y aprobación de checklist de validación
0% 5 11/03/2024 15/03/2024 CANVIA - ONP
de servicios pre y post migración
Integración AD con instalación de agentes
Ventana: 2 horas
0% 1 16/03/2024 16/03/2024 CANVIA - ONP
Afectación: navegación de usuarios a internet,
reinicio de servidores AD
Marcha blanca post-instalación
(monitorear la navegación de usuarios)
Solicitud a ISP de limpieza ARP en los routers de
0% 1 22/03/2024 22/03/2024 ONP
internet para la fecha de la migración (por el VPN)
0% Ejecución de checklist de pruebas pre-migración 1 23/03/2024 23/03/2024 CANVIA - ONP
Pase a producción de nuevos equipos.
Modo: Bigbang (todo en uno)
Ventana: 6 horas
Afectacion: todas las comunicaciones por firewall
0% Ejecución de checklist de pruebas post-migración 1 23/03/2024 23/03/2024 CANVIA - ONP
Marcha blanca post-migración
Escenario rollback: Ante múltiples fallas de
comunicación que afecte de forma crítica las
operaciones de ONP, se retorna al firewall anterior
0% Balanceador de enlaces 12/02/2024 03/05/2024
detalles del plan
Definición y/o aprobación de publicaciones a
0% 5 26/02/2024 02/03/2024 ONP
balancear en los diferentes enlaces
1era parte: balanceo de salida (navegación a
internet, salida de servidores con sus IP públicas
específicas, NAT’s de publicaciones)
0% 5 18/03/2024 22/03/2024 CANVIA - ONP
Solicitud a ISP de limpieza ARP en los routers de
0% 1 05/04/2024 05/04/2024 ONP
internet para la fecha de migración


1era Parte: Balanceo de salida
Ventana: 4 horas
Afectacion: salida y entrada de internet
operaciones de ONP, se retorna al firewall anterior
2da parte: balanceo de entrada (registros DNS)
0% 5 22/04/2024 26/04/2024 CANVIA - ONP
0% Actualización de registros en el DNS de Cloudflare 1 27/04/2024 27/04/2024 ONP
2da Parte: Balanceo de entrada
Ventana: 4 horas
Afectacion: publicaciones balanceadas
operaciones de ONP, se retorna al DNS Cloudflare
0% WAF 19/02/2024 31/05/2024
detalles del plan
Definición y/o aprobación de aplicaciones a
0% 5 04/03/2024 08/03/2024 ONP
proteger por WAF
Configuración de las políticas WAF para las
aplicaciones a proteger
0% 5 15/04/2024 19/04/2024 CANVIA - ONP
Pruebas funcionales preliminares de las
0% aplicaciones con protección de WAF en entorno 15 22/04/2024 10/05/2024 ONP
controlado (apuntar archivo host a IP de WAF)
0% Ejecución de checklist de pruebas pre-migración 1 1 11/05/2024 11/05/2024 CANVIA - ONP
Actualización de registros en el DNS de Cloudflare
0% 1 11/05/2024 11/05/2024 ONP
apuntando a las públicas del WAF
Pase a producción de aplicaciones a WAF
Modo: Progresivo (por grupos de aplicaciones)
0% 1era Parte: Aplicaciones menos críticas 1 11/05/2024 11/05/2024 Especialista CANVIA
Ventana: 3 horas
Afectacion: Aplicaciones a cambiar
Marcha blanca post-migración 1
0% Escenario rollback: Ante múltiples bloqueos 6 12/05/2024 17/05/2024 Especialista CANVIA
regresar el DNS de la aplicación afectada
0% 1 18/05/2024 18/05/2024 ONP

0% 2da Parte: Aplicaciones críticas 1 18/05/2024 18/05/2024 Especialista CANVIA
Ventana: 3 horas
0% Ejecución de checklist de pruebas post-migración 2 1 18/05/2024 18/05/2024 CANVIA - ONP
Marcha blanca post- migración 2
0% 1 25/05/2024 25/05/2024 ONP
0% 3era Parte: Aplicaciones mas críticas 1 25/05/2024 25/05/2024 Especialista CANVIA
Ventana: 3 horas
0% Ejecución de checklist de pruebas post-migración 3 1 25/05/2024 25/05/2024 CANVIA - ONP
Marcha blanca post- migración 3
0% Proxy Reverso 25/03/2024 14/06/2024
detalles del plan
proteger por proxy reverso
0% 5 08/04/2024 12/04/2024 ONP
(aplicaciones internas y aplicaciones que no pasan
por WAF)
0% Migración de configuraciones a los nuevos equipos 8 08/05/2024 17/05/2024 Especialista CANVIA

0% 5 13/05/2024 17/05/2024 CANVIA - ONP
Pruebas funcionales preliminares de las
0% aplicaciones con proxy reverso controlado (apuntar 10 20/05/2024 31/05/2024 ONP
archivo host a IP de proxy reverso)
0% 1era Parte: Aplicaciones internas 1 01/06/2024 01/06/2024 Especialista CANVIA
Ventana: 4 horas
Afectacion: aplicaciones internas proxeadas
Escenario rollback: Ante múltiples fallas en las
aplicaciones que afecte de forma crítica las
operaciones de ONP, se retorna al proxy anterior
2da Parte: Aplicaciones externas sin WAF
Ventana: 4 horas

aplicaciones que afecte de forma crítica las
operaciones de ONP, se retorna al proxy anterior
0% Balanceador de Aplicaciones 17/06/2024 05/07/2024
detalles del plan
0% 3 19/06/2024 21/06/2024 ONP
balancear
(aplicaciones balanceadas)
0% 2da Parte: Aplicaciones externas sin WAF 1 29/06/2024 29/06/2024 Especialista CANVIA
Ventana: 4 horas
0% aplicaciones que afecte de forma crítica las 6 30/06/2024 05/07/2024 Especialista CANVIA
operaciones de ONP, se retorna al balanceador
anterior
0% SIEM 05/02/2024 28/06/2024
detalles del plan
0% Definición y/o aprobación de los equipos a integrar 10 05/02/2024 16/02/2024 ONP
0% Configuración de los equipos a integrar 30 19/02/2024 29/03/2024 Especialista CANVIA
Configuración de las alertas de monitoreo de
seguridad
Configuración de las dashboard de monitoreo de
seguridad
0% Pase a producción de nuevo SIEM 1 24/06/2024 24/06/2024 Especialista CANVIA
0% Marcha blanca post-migración 4 25/06/2024 28/06/2024 Especialista CANVIA
0% EDR 05/02/2024 31/05/2024
detalles del plan
Definicion y/o aprobación de los equipos de
0% 15 19/02/2024 08/03/2024 ONP
usuarios y servidores a desplegar el EDR
Configuración de la cosola EDR, políticas,
exclusiones (servidores y usuarios)
Despliegue automático de EDR a usuarios vía GPO
0% Modo: Progresivo (grupos de usuarios) 21 11/03/2024 17/03/2024 Especialista CANVIA
Grupo 1
0% Modo: Progresivo (grupos de usuarios) 21 18/03/2024 24/03/2024 Especialista CANVIA
Grupo 2
Modo: Progresivo (grupos de usuarios)
Grupo 3
0% Despliegue manual de EDR a usuarios resagados 15 01/04/2024 19/04/2024 Especialista CANVIA
0% Despliegue manual de EDR a servidores 30 22/04/2024 31/05/2024 Especialista CANVIA
6. MATRIZ DE RIESGOS
Descripción del
Descripción del riesgo Probabilidad Impacto Exposición Estrategia Plan de acción
Impacto
Errores en funcionalidades Retraso en el

- Solicitar inmediatamente
específicas en los diversos Baja Alto Alta Mitigar avance del
el soporte del fabricante.
equipos de seguridad proyecto.
- Solicitar inmediatamente
Llegada de equipos y/o Retraso en el el cambio del equipo y/o
partes con alguna falla de Baja Alta Media Mitigar avance de la parte al fabricante del
Hardware instalación. appliance para el
reemplazo (RMA).
- Elaboración de cheklist de
validaciones por el lado de
Revertir el pase a
Falla de funcionalidades de Canvia y aprobado por
producción y
las aplicaciones posterior a Media Alta Media Mitigar ONP
retraso del
los pases a producción - Ejecución del checklist de
proyecto
pruebas en conjunto con
Canvia y ONP
7. RESPONSABILIDADES
7.1. RESPONSABILIDADES DE CANVIA
Nombre del Responsabilidades

Ítem Rol
Responsable
Planeamiento
1 Líder Técnico Jorge Rodriguez Apaza Implementación
Estabilización
2 Jefe de Juan C. Ramírez Diseño y manejo de proyecto
Proyecto Renovación de licencias de las soluciones
implementadas

Ítem Rol
Responsable
Garantía y soporte a las soluciones implementadas en
el servicio
Aseguramiento de calidad del proyecto
Revisión de las actividades y entregables que se van
realizando a lo largo del proyecto
7.2. RESPONSABILIDADES DEL CLIENTE

Ítem Rol
Responsable
Otorgar ventana de mantenimiento de
acuerdo a las fechas planificadas.
Brindar conformidad de las pruebas de
Responsable de seguridad los servicios post migración.
1 José Valdéz
informática Definir y/o aprobar las aplicaciones a
proteger o las integraciones, las cuales
son parte de nuevos requerimientos en
el presente servicio

8. ANEXOS
8.1. Anexo - Diseños De Soluciones De Seguridad
Ilustración 1- Arquitectura de Tecnologías de Seguridad
Nota: Los equipos en alta disponibilidad están distribuidos de manera física en los datacenter de
Canvia (COT4 y COT5). Las tecnologías en nube (Cloud) son “As a Service”
EL DIRECCIONAMIENTO FINAL SERA ENTREGADO EN EL INFORME DE IMPLEMENTACIÓN
NOTA: LOS DIAGRAMAS FINALES SE ENTREGARAN CON EL INFORME DE

IMPLEMENTACIÓN

ONP - Plan Implementacion Seguridad v.1.6

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

ONP - Plan Implementacion Seguridad v.1.6

Cargado por

Copyright:

Formatos disponibles

PLAN DE IMPLEMENTACION DE

SERVICIO DE CENTRO DE DATOS Y

Revisión: 01 Fecha Efectiva: 15-01-2024

HISTORIAL DE LAS REVISIONES

Plan de Implementación de Servicios 2/14

Revisión: 01 Fecha Efectiva: 15-01-2024

1.1. PROPOSITO DEL PLAN................................................................................................................... 4

3.1. ARQUITECTURA DE SOLUCIÓN PROPUESTA.............................................................................4

6.1. RESPONSABILIDADES DE CANVIA............................................................................................... 7

7.1. ANEXO - DISEÑOS DE SOLUCIONES DE SEGURIDAD.............................................................................8

PLAN DE IMPLEMENTACION DE SERVICIO DE SEGURIDAD

Plan de Implementación de Servicios 3/14

Revisión: 01 Fecha Efectiva: 15-01-2024

a) IPS: Sistema preventor de intrusos, es la tecnología que se encarga de identificar

b) SIEM: Gestor de eventos y de información de seguridad, consola de seguridad

c) EDR: Endpoint de detección y respuesta, es la capa de protección para los

d) HA: Alta disponibilidad es el término utilizado para la característica de redundancia

h) HTTP: Protocolo de comunicación que posibilita la circulación de información a través de

Plan de Implementación de Servicios 4/14

Revisión: 01 Fecha Efectiva: 15-01-2024

l) SMTP: Protocolo de red utilizado en el envío y recepción de correos electrónicos.

n) LAN: Grupo de dispositivos informáticos conectados en un área localizada que suelen

p) RPC: Herramienta básica para establecer estructuras colaborativas y operativas en

Solución de Seguridad solicitada en Bases Equipo a implementar Tipo

Plan de Implementación de Servicios 5/14

Revisión: 01 Fecha Efectiva: 15-01-2024

Solución de Seguridad Detalles de la funcionalidad de

Revisión: 01 Fecha Efectiva: 15-01-2024

segregados por diferentes perfiles de

- Distribución de carga de tráfico de

Plan de Implementación de Servicios 7/14

Revisión: 01 Fecha Efectiva: 15-01-2024

Cronograma de Actividades (Solución de Seguridad vs Tiempo (en días)

Plan de Implementación de Servicios 8/14

Revisión: 01 Fecha Efectiva: 15-01-2024

0% Ejecución de checklist de pruebas pre-migración 1 06/04/2024 06/04/2024 CANVIA - ONP

Revisión: 01 Fecha Efectiva: 15-01-2024

Pase a producción de aplicaciones a WAF

0% Migración de configuraciones a los nuevos equipos 8 08/05/2024 17/05/2024 Especialista CANVIA

Definición y aprobación de checklist de validación

Revisión: 01 Fecha Efectiva: 15-01-2024

Afectacion: aplicaciones internas proxeadas

Revisión: 01 Fecha Efectiva: 15-01-2024

Errores en funcionalidades Retraso en el

Nombre del Responsabilidades

Revisión: 01 Fecha Efectiva: 15-01-2024

Nombre del Responsabilidades

7.2. RESPONSABILIDADES DEL CLIENTE

Nombre del Responsabilidades

Plan de Implementación de Servicios 13/14

Revisión: 01 Fecha Efectiva: 15-01-2024

EL DIRECCIONAMIENTO FINAL SERA ENTREGADO EN EL INFORME DE IMPLEMENTACIÓN

NOTA: LOS DIAGRAMAS FINALES SE ENTREGARAN CON EL INFORME DE

Plan de Implementación de Servicios 14/14

También podría gustarte