Unidad 4 Implementacin y plan de seguridad

Introduccin
Podemos afirmar que la consecuencia directa tanto de nuestro anlisis de riesgos como de nuestra
poltica de seguridad, es cerrar con la implantacin de acciones en esta materia.
Existen muchos ejemplos que podemos identificar en cuanto a empresas o ambientes en los cuales
es urgente tomar dichas acciones. La siguiente noticia muestra slo uno de esos escenarios.
Idoia Olza. Pamplona
23 de mayo de 2001
La SEIS pide un plan integral de seguridad de informacin clnica

Noticias del
mundo

La Sociedad Espaola de Informtica de la Salud (SEIS) presenta hoy en Madrid

un informe sobre confidencialidad de la informacin clnica. La principal
conclusin es la necesidad de disear un plan integral de seguridad que
implique a los profesionales.
El informe aborda esta cuestin desde todos los puntos de vista implicados en el
proceso: clnicos, gestores, investigadores, informticos, expertos en
comunicaciones y juristas.

Fuente consultada: http://www.diariomedico.com/gestion/ges230501com.html

Objetivos

Objetivos

Conocer la importancia del plan de implementacin de seguridad

de la empresa, para lograr que su ejecucin resulte un xito en
nuestra organizacin.
Reconocer a travs de ejemplos, las diferentes acciones en
materia de seguridad que puedan ser tomadas dentro de la
empresa, con la finalidad de ayudar en la seleccin de stas en
nuestra organizacin.
Interpretar cmo se estructura el plan de seguridad de la
organizacin, a partir del conocimiento de los puntos bsicos que
se deben incluir.
Conocer la informacin a ser incluida dentro del plan de accin, y
que independientemente de su formato, facilite su implantacin
dentro de la empresa.

Contenido de la unidad
Implementacin de la seguridad
Plan de seguridad

Captulo 1 Implementacin de la seguridad

1.1

Introduccin

El conocimiento en materia de seguridad que hemos adquirido hasta ahora, nos permite acercarnos
ms a la toma de acciones dentro de nuestra organizacin. Dichas acciones deben llevar un orden
adecuado que permita una utilidad real para nuestra empresa. El siguiente artculo menciona algunas
consideraciones importantes al respecto.

Noticias del
mundo

Elaborar la poltica de seguridad en la empresa es una cosa, implementarla es

algo completamente distinto.
En el artculo del autor Charles Cressonwood titulado Policies: The Path to Less
Pain & More Gain", publicado en la fuente mostrada al final de este prrafo, se
muestran los resultados de una encuesta, en la cual se demuestra que una
compaa que cuenta con una poltica de seguridad implantada puede tener
tantos o ms problemas que aquella que no la tiene, lo que sugiere fallos en su
implementacin.
Fuente consultada: http://www.infosecuritymag.com/articles/1999/augcover.shtml

1.2

Objetivos
Conocer la importancia del plan de implementacin de seguridad
en la empresa, que permita que la ejecucin del mismo sea un
xito.
Revisar ejemplos de acciones a tomar dentro de la empresa, con el
fin de tener una mayor base para la seleccin de dichas acciones en
nuestra propia implementacin.
Objetivos

1.3

La importancia de la implementacin

Despus de conocer las amenazas y puntos dbiles del ambiente, adquiridos en el anlisis de riesgos, o
despus de la definicin formal de las intenciones y actitudes de la organizacin que estn definidas en la
poltica de seguridad de la informacin, debemos tomar algunas medidas para la implementacin de
las acciones de seguridad recomendadas o establecidas.

Recordemos que las amenazas son agentes capaces de explotar fallos

de seguridad, que denominamos puntos dbiles y, como consecuencia de
ello, causan prdidas o daos a los activos de una empresa y afectan
sus negocios.
Concepto
clave
No basta conocer las fragilidades del ambiente o tener una poltica de seguridad escrita. Debemos
instalar herramientas, divulgar reglas, concienciar a los usuarios sobre el valor de la informacin,
configurar los ambientes etc. Debemos elegir e implementar cada medida de proteccin, para contribuir
con la reduccin de las vulnerabilidades.
Cada medida debe seleccionarse de tal forma que, al estar en funcionamiento, logre los propsitos
definidos. Estos propsitos tienen que ser muy claros.

1.4

Consideraciones para la implementacin

Las medidas de seguridad son acciones que podemos tomar con la finalidad de
reducir las vulnerabilidades existentes en los activos de la empresa.
Concepto clave

Son varias las medidas de proteccin que recomendamos para la reduccin de las vulnerabilidades
de la informacin. Entre otras:

Proteccin contra virus

Implementacin de firewalls
Control de acceso a los recursos de la red
Control de acceso fsico
Sistemas de vigilancia
Deteccin y control de invasiones
Polticas generales o especficas de seguridad
Equipos
Configuracin de ambientes
Entrenamiento
Campaas de divulgacin
Planes de continuidad
Clasificacin de la informacin
VPN Virtual Private Network
Acceso remoto seguro
Monitoreo y gestin de la seguridad
ICP Infraestructura de llaves pblicas

No olvidemos que el objetivo de la implementacin de las medidas de seguridad excede los

lmites de la informtica, definida en el diccionario como "la ciencia que tiene en vista el
tratamiento de la informacin a travs del uso de equipos y procedimientos del rea de
procesamiento de datos". Por ello debemos comprender los ambientes que tratan de la informacin,
no slo en los medios electrnicos, sino en los convencionales.
Resulta intil definir reglas para crear y usar contraseas difciles de adivinar, si los usuarios las
comparten o escriben en recados y las pegan al lado de su monitor.
El siguiente listado de ejemplos nos permite darnos una idea de lo que se requiere para la proteccin
de los activos en la organizacin. Son acciones que no se aplican para todos los casos ni ambientes,
por lo que debemos analizar y elegir el grupo factible de actividades a implantar dentro de nuestra
compaa.
1. Control de acceso a los recursos de la red
Implementacin de controles en las estaciones de trabajo que permiten la gestin de acceso,
en diferentes niveles, a los recursos y servicios disponibles en la red.

Ejemplos

2. Proteccin contra virus

Implementacin de un software que prevenga y detecte software maliciosos, como virus,

troyanos y scripts, para minimizar los riesgos con paralizaciones del sistema o la prdida de
informacin.
3. Seguridad para equipos porttiles
Implantacin de aplicaciones y dispositivos para la prevencin contra accesos indebidos y el
robo de informacin.
4. ICP Infraestructura de llaves pblicas
Consiste en emplear servicios, protocolos y aplicaciones para la gestin de claves pblicas,
que suministren servicios de criptografa y firma digital.
5. Deteccin y control de invasiones
Implantacin de una herramienta que analice el trnsito de la red en busca de posibles
ataques, para permitir dar respuestas en tiempo real, y reducir as los riesgos de invasiones
en el ambiente.
6. Firewall
Sistema que controla el trnsito entre dos o ms redes, permite el aislamiento de diferentes
permetros de seguridad, como por ejemplo, la red Interna e Internet.
7. VPN Virtual private network
Torna factible la comunicacin segura y de bajo costo. Utiliza una red pblica, como Internet,
para enlazar dos o ms puntos, y permite el intercambio de informacin empleando
criptografa.
8. Acceso remoto seguro
Torna posible el acceso remoto a los recursos de la red al emplear una red pblica, como por
ejemplo, Internet.
9. Seguridad en correo electrnico
Utiliza certificados digitales para garantizar el sigilo de las informaciones y software para
filtro de contenido, y proteger a la empresa de aplicaciones maliciosas que llegan por ese
medio.
10. Seguridad para las aplicaciones
Implementacin de dispositivos y aplicaciones para garantizar la confidencialidad, el sigilo de
las informaciones y el control del acceso, adems del anlisis de las vulnerabilidades de la
aplicacin, al suministrar una serie de recomendaciones y estndares de seguridad.
11. Monitoreo y gestin de la seguridad
Implementacin de sistemas y procesos para la gestin de los eventos de seguridad en el
ambiente tecnolgico, haciendo posible un control mayor del ambiente, para dar prioridad a
las acciones e inversiones.
12. Seguridad en comunicacin Mvil
Acceso a Internet para usuarios de aparatos mviles como telfonos celulares y PDAs, para
permitir transacciones e intercambiar informacin con seguridad va Internet.
13. Seguridad para servidores
Configuracin de seguridad en los servidores, para garantizar un control mayor en lo que se
refiere al uso de servicios y recursos disponibles.
14. Firewall interno
Este firewall funciona al aislar el acceso a la red de servidores crticos, minimizando los
riesgos de invasiones internas a servidores y aplicaciones de misin crtica.

Despus de revisar los ejemplos anteriores, veamos las siguientes preguntas de reflexin:

Preguntas
de reflexin

Cuenta usted en la actualidad con alguna de estas medidas implementadas en su

empresa? Tiene procesos de monitoreo y mejora de las mismas?

1.5

Comenzando la implementacin

A continuacin incluimos algunas acciones a considerarse en la implementacin de la seguridad de la

informacin.

Consideraciones en la implementacin de acciones de seguridad de la

informacin
Plan de Seguridad
A partir de la poltica de seguridad, se definen qu
acciones deben implementarse (herramientas de
software o hardware, campaas de toma de
conciencia, entrenamiento etc.), para alcanzar un
mayor nivel de seguridad.
Estas acciones deben estar incluidas en un plan de
seguridad para dar prioridad a las acciones
principales en trminos de su impacto en los
riesgos en que se quiere actuar, con el tiempo y
costo de implementacin, para establecer as las
acciones de corto, mediano y largo plazo.
Plan de accin
Una vez definido y aprobado el plan de seguridad,
se parte hacia la definicin del plan de accin para
las medidas que se deben implementar.
Recomendaciones de los fabricantes
Es muy importante que las recomendaciones de los
fabricantes de los productos sean conocidas antes
de la implementacin.
Soporte
Se puede necesitar la ayuda de profesionales con la
experiencia necesaria para la ejecucin de
determinadas actividades.
Planificacin de la implantacin
Algunas de las cosas a implantar (aplicaciones,
equipos, campaas de divulgacin y toma de
conciencia entre otras) pueden durar varios das y
afectar a varios ambientes, procesos y personas de
la organizacin.
En esos casos, siempre es til una planificacin
por separado.
Plataforma de Pruebas
En algunos casos, una plataforma de pruebas es
necesaria para evaluar la solucin y reducir los
posibles riesgos sobre el ambiente de produccin.
Metodologa de Implementacin
Al realizar la implementacin propiamente dicha,
es muy importante seguir una metodologa, que:

defina cmo dar los pasos necesarios

para ejecutar un plan de accin
mantenga un mismo estndar de calidad
en la implementacin sin importar quin
lo est ejecutando.

Por lo tanto, es importante definir cmo se realiza

el seguimiento del progreso de la implementacin
y, en caso de dificultades, saber qu acciones
tomar y quin debe ser notificado.
Registro de Seguridad
Despus de la implementacin de una nueva
medida de seguridad, es importante mantener el
registro de lo que fue implementado.
Se deben registrar informaciones como:

lo que fue implementado (herramienta,

entrenamiento etc.);
cules son los activos involucrados;
qu dificultades fueron encontradas y
cmo fueron superadas; hasta qu punto se
alcanz el objetivo esperado, etc.

Este registro tiene dos objetivos principales:

mantener el control de todas las medidas
implementadas y aprovechar la experiencia
acumulada.
Monitoreo y Administracin del Ambiente

4.
Monitoreo y
retroalimentacin

3.
Implementacin de
seguridad

1. Anlisis
de riesgos

2. Poltica
de
seguridad

La administracin de un ambiente seguro

involucra a todo un ciclo de macro actividades.
Como lo mencionamos, la primera fase de ese ciclo
es el anlisis de riesgos, donde se conoce el
ambiente y lo que se debe implementar.
Adems vimos tambin los aspectos relacionados
con la poltica de seguridad y actualmente
abordaremos la implementacin de medidas de
seguridad.
Es necesario monitorear los activos, desde la
medicin constante de indicadores que muestren
qu tan eficaces son las medidas adoptadas y lo
que se necesita cambiar.
A partir de la lectura de esos indicadores, se hace
otro anlisis de riesgos y se comienza el ciclo otra
vez (ver diagrama adjunto).
El xito de una implementacin de seguridad
slo se alcanza al buscar la administracin
efectiva de todo el ciclo.

Para ilustrar mejor algunas de estas consideraciones, mostramos los siguientes ejemplos.

Ejemplos

En el caso de las pruebas, podemos mencionar la implantacin de un

laboratorio para revisar diferentes soluciones antivirus, que nos permita
valorar su eficacia y facilidad de administracin.
Tambin es necesario revisar con cuidado los documentos provenientes de los
fabricantes de equipos, para tomar en cuenta todas sus recomendaciones. Por
ejemplo, la manera correcta de instalar un servidor, saber cunto espacio,
temperatura y dems caractersticas son necesarias.
En el caso del monitoreo, existen algunas aplicaciones que permiten identificar
el desempeo de un servidor de base de datos, y con esto nos damos cuenta

si las medidas de seguridad tomadas a favor de dicho desempeo fueron de

verdadera utilidad.

Despu
s de
revisar
a
detalle
estas consideraciones para la implantacin de la seguridad, es necesario cuestionarnos lo siguiente:

Preguntas
de reflexin

1.6

Est consciente de que la seguridad representa un ciclo continuo de acciones?

Est preparado para monitorear y mejorar toda su implementacin a lo largo
del tiempo?
Cuenta con el personal y la capacitacin adecuados?

Lecciones aprendidas

Lecciones aprendidas

Durante este captulo, identificamos las consideraciones

que se tienen que tomar en cuenta en la
implementacin de la seguridad en la empresa, para
lograr as tener una mejor base que nos ayude a
acercarnos al xito en materia de seguridad en la
organizacin
Comprendimos la gran importancia de las acciones de
implementacin de la seguridad en nuestra empresa,
lo cual permite que nuestras acciones se enfoquen y
cumplan de manera correcta.
Conocimos algunos ejemplos de consideraciones a
tomar en cuenta en la realizacin de nuestro plan de
seguridad, para aclarar el enfoque que debemos darle al
mismo.

Captulo 2 Plan de seguridad

2.1 Introduccin
A pesar de que la mayora de las empresas el da de hoy estn conscientes de la importancia de la
seguridad de la informacin, an falta mucho por hacer. Por ello es necesario tomar plena conciencia
y comenzar a tomar acciones, antes de que sea demasiado tarde para su negocio.

Garantizan las empresas la continuidad de su negocio?

Noticias del
mundo

La visin de Jess Moreno, presidente de Unisys, es que "la falta de

seguridad, o simplemente la vulnerabilidad no conocida, no son buenos
aliados para el negocio. Y, por encima de una poltica exhaustiva de
seguridad reactiva, lo cierto es que son cada vez ms las empresas que han
optado por acometer planes de contingencia proactivos que incluyen un
verdadero escenario de caos, y la forma de reactivar automticamente las
operaciones del negocio en caso de desastre" .
Fuente consultada:
http://www.vnunet.es/Actualidad/Reportajes/Informtica_profesional/Empresas/20040204005/3

2.2 Objetivos
Conocer los puntos bsicos que debe contar el plan de seguridad
de la organizacin, para estructurar e implantar correctamente
dicho documento dentro de la empresa.
Identificar las caractersticas bsicas que forman parte del plan
de accin, y que independientemente de su formato, deben incluir
para su correcta estructura y facilidad de implantacin en la
organizacin.
Objetivos

2.3 Plan de seguridad

El plan de seguridad se debe apoyar en un cronograma detallado y contener para cada accin los
siguientes puntos que enseguida se describen brevemente. Para mayor claridad aadimos un ejemplo de
cada uno de los puntos.

PUNTOS A CONSIDERAR

El riesgo que se desea atenuar

El(los) activo(s) involucrado(s)

DESCRIPCIN

EJEMPLO

Una accin es determinada por el riesgo

que se desea atenuar y por los objetivos
de seguridad. Adems, los objetivos de
seguridad se basan en las mejores
prcticas del mercado, en estndares y
normas de seguridad y en la misma
poltica de seguridad definida

Si en la empresa se tienen
servidores de bases de datos, y
sabemos que por su naturaleza
son susceptibles a algunos
ataques que comprometen su
informacin, tendremos que
enfocar nuestras acciones a la
disminucin de estas amenazas.

Una accin se toma teniendo en mira

uno o varios activos.

Por
ejemplo,
se
puede
implementar una herramienta
de software (un firewall) para
proteger un servidor de base de
datos que contenga informacin
crtica al negocio. En este caso,
el activo a ser protegido es la
base de datos.

Otro
ejemplo
es
cuando
deseamos aumentar la toma de
conciencia de los empleados
con relacin a la seguridad de la
informacin. Se puede, en este
caso, implementar un tipo de
entrenamiento de seguridad en
donde el activo involucrado son
los empleados de la empresa.

Tener justificados, en funcin

de los objetivos de seguridad

El tiempo que lleva la

implementacin

Los recursos (humanos y

materiales) necesarios

El anlisis costo-beneficio
La relacin costo X beneficio
deriva del tiempo de
implementacin y de los
recursos que son necesarios,
tanto humanos como
materiales.

Es importante prepararse para enfrentar

situaciones adversas.

Tomar en cuenta aspectos

crticos previstos para la
implementacin y cmo
superarlos

Indicadores para el seguimiento

(monitoreo) de la medida
implementada

El responsable por el xito de

la implementacin y por
mantener el nivel de
seguridad de la medida
implementada.

El riesgo residual que puede

quedar despus de la
implementacin.

Se debe pensar en la continuidad de la

medida implementada. Saber cul es
el riesgo residual que se espera, qu
indicadores se usan para medir la
efectividad de la medida y controlar el
riesgo y quin es el responsable por
su operacin y control.

Si sabemos que una de las

acciones a tomar requiere
detener la operacin por 2 das,
es necesario considerar una
ventana de tiempo que permita
su realizacin sin afectar el
negocio de la empresa.
Si el costo de la implantacin de
una accin, como comprar
servidores, es demasiado alto y
no representa ningn beneficio
adicional a la organizacin, se
puede reconsiderar y no tomar
dicha accin.
Por ejemplo, en el caso de la
implementacin de un firewall,
se puede necesitar sacar un
servidor importante del aire por
algunos instantes. Por si eso
ocurre, hay que estar preparado.

La instalacin de un sistema que

permita monitorear todo el
desempeo de su red.
Seleccionar los indicadores que
puedan ser tiles para saber si

un firewall est siendo

efectivo en la deteccin de
intrusos.

Ahora que conocimos algunos puntos a considerar en una toma de acciones en materia de
seguridad, es necesario detenernos un poco y reflexionar sobre el tema.

Preguntas
de reflexin

Tiene plena conciencia de los riesgos que desea atenuar o eliminar en

su empresa?

Conoce la relacin costo-beneficio

implementacin de la seguridad?

Sabe si existirn riesgos residuales en algunos de sus activos despus

de la implementacin?

que

tendr

durante

la

2.4 Plan de accin

Un plan de accin puede tener varios formatos, pero debe poseer las siguientes caractersticas:

Objetivos bien definidos. Un plan de accin posee objetivos bien definidos, de tal forma que
al ser cumplido, esos objetivos sean alcanzados. Tambin debe ser claro, exacto, escrito de
forma correcta, sin permitir dudas, ni dobles interpretaciones.

Coherencia. Las actividades estn relacionadas y debe existir armona entre las situaciones,
eventos e ideas, de tal manera que nada se disperse del foco. De la unidad y correlacin de las
proposiciones depende el alcance de los objetos.

Secuencia. Debe contar con un camino previamente definido que permita la integracin de las
actividades al racionalizar los esfuerzos y optimizar el tiempo.

Flexibilidad. Un plan de accin debe prever contingencias durante la ejecucin de las tareas y
del proceso como un todo. Es necesario estructurarlo de tal manera que permita insertar o
actualizar puntos y/o actividades que enriquezcan o faciliten la implementacin como las
nuevas tecnologas que surjan. En funcin de presupuestos, con frecuencia es necesario
suprimir algo, pero eso no significa el fin del plan. Los ajustes por lo general se realizan sin
que el plan pierda su eje.

Son elementos de un plan de accin

Para llevar a cabo un plan correcto de accin, es necesario seguir un orden estricto para completar cada
uno de sus elementos, esto ayuda a no olvidar factores importantes durante su realizacin.

Cronograma
Evaluacin
Recursos
Metodologa
Tareas
Objetivos
Identificacin
de la realidad

Ahora describiremos con ms detalle cada elemento, as como las preguntas detonadoras de
diagnstico y una serie de recomendaciones especficas para cada uno de ellos; para despus
proporcionar algunos ejemplos.

Elemento / Preguntas de diagnstico

Identificacin de la realidad. Es necesario conocer el

ambiente a planear, as como todos los detalles referentes al
escenario y los factores que lo afectan tanto internos como
externos y dems.
Preguntas de diagnstico
Cul es el negocio de la organizacin?
Hay un plan de negocios, qu dice el mismo?
Ya se hizo el anlisis de seguridad?
Y la poltica?
Cul es la cultura de la empresa?
De un modo general ya existe una percepcin de la
necesidad de la seguridad?
Existen acciones efectivas ya realizadas?
Existen normas de reglamentacin de la actividad de la
organizacin?
Se cuenta con recursos?

Recomendaciones

Partir del universo conocido, al asociar la

informacin nueva a los estndares antes
convenidos.

Considerar la diversidad cultural y la multiplicidad

de tipos humanos que actan en la organizacin.

Estimular la interrelacin entre los miembros del

o los equipos que ejecutarn las tareas.

Presentar las tareas de manera dinmica e

interactiva, estimulando la atencin y despertando
el inters.

Durante la orientacin del o los equipos utilizar

casos y trminos propios de la organizacin para
ilustrar la informacin y facilitar la comprensin.
En pocas palabras, hacer un anlisis de la situacin

Existe presupuesto para seguridad?

para que quede ms claro el escenario, sea ms fcil

elaborar el plan e implementar la seguridad.

A continuacin un ejemplo de lo anterior:

La empresa X implement en su red local un Router, que la une va LP CD a la ciudad de
Rosario y va satlite a otras unidades de trabajo.
Est previsto contar con una va red interna de la empresa a Internet por medio de un Firewall,
con el objeto de tener acceso a pginas Web, FTP, correo electrnico y transitar informacin
sensible que necesite autenticacin y proteccin contra accesos indebidos.
En ese escenario, dicha informacin pasa a ser crtica, por lo que tiene que ser protegida en su
integridad, confidencialidad y disponibilidad para atender a los niveles de seguridad necesarios
y los negocios de dicha empresa.
La principal preocupacin es garantizar la atencin adecuada a los clientes externos e internos,
evitar la fuga de informacin, la prdida de activos y los desgastes de la imagen de la empresa
X.

Ejemplos

Elemento / Preguntas de diagnstico

Objetivos
Los objetivos deben ser claros. Recordemos que
se elabora una planificacin para alcanzar el
propsito de implementar la seguridad de la
informacin, y no slo cumplir la tarea de
elaborar un plan.

Los objetos del plan de accin tienen en mira,

entre otras cosas:

Recomendaciones

Expresados en trminos del resultado

esperado, observable y mesurable.

Explcitos en lo que se refiere a la tarea

a la cual se relaciona el desempeo.

Realistas y alcanzables en los lmites

de un perodo de tiempo determinado.

Coherentes entre s, contribuyendo para

el alcance del objeto general del plan de
accin.

Claros, sin alternativas, sin palabras

intiles, mencionando el desempeo
relativo a cada tarea, inteligibles.

Racionalizar las actividades.

Asegurar la implantacin efectiva y

econmica del programa de seguridad.

Conducir al alcance de las metas.

Inspirados en las actividades diarias.

Verificar la marcha del proceso.

Importantes y significativos en el
contexto.

Preguntas de diagnstico
Tiene claros los objetivos de seguridad en su
empresa?
Son realistas?
Tienen coherencia entre s?
Estn relacionados con las actividades diarias de la
organizacin?

Algunos ejemplos de objetivos:

Ejemplos

Implementar la aplicacin de seguridad Firewall-1.

Capacitar personal para operacin de la aplicacin.

Crear procedimientos e instrucciones para uso.

Ahora
contin
uarem
os
revisan
do los
objetiv
os.

Actualizar Normas, Procedimientos e Instrucciones para uso en conformidad con las

Directrices de Seguridad de la Poltica de Seguridad de la Organizacin.

Revise
mos la
inform
acin
del
elemento tareas:
Elemento / Preguntas de diagnstico

Recomendaciones

Tareas
Al seleccionar las tareas debemos considerar su
relevancia, actualidad y aplicabilidad, que correspondan a
los objetivos ya definidos y si son los adecuados al perfil
de la organizacin.

Sugerimos que las tareas estn ordenadas de tal modo

que permitan una integracin (vertical, secuencial o
matricial) de manera que el resultado y progreso de
cada una pueda auxiliar en la optimizacin de las
tareas que estn en marcha. Con seguridad, algunas
actividades ocurren al mismo tiempo y hay que
preocuparse por la integracin, as se optimiza el
tiempo y los recursos, y reducimos los costos.

Al seleccionar las tareas debemos adoptar criterios como:

Validez: significa que las tareas son representativas

para el alcance de los objetos.
Significado: es importante que las tareas estn
vinculadas a la realidad de la organizacin para dar
credibilidad y valor. Las tareas necesitan tener algn
significado para el plan.
Utilidad: cada tarea debe dar como resultado algo
til para el proceso como un todo. Que no existan
sin un propsito claramente definido. Tpicamente,
cada tarea genera un producto.

Para ordenarlas hay que considerar

progresin, continuidad y unidad.

la

logstica,

Preguntas de diagnstico

En resumen

Seleccionar las tareas de acuerdo con los objetos.

Al seleccionarlas, considerar el tiempo que se

dispone para realizarlas;

Organizarlas de manera lgica, continuada,

graduando su complejidad y manteniendo su
unidad.

Permitir la integracin de las tareas entre s, con

hechos del cotidiano de los equipos de trabajo y con
los objetos del plan.

Dejar siempre claro para los equipos la aplicabilidad

y la utilidad de cada tarea.

Las tareas estn relacionadas con los objetos que

seleccionamos antes?
Estas tareas cumplen con los objetivos de seguridad de la
empresa?

A continuacin un ejemplo de lo anterior:

Algunas de las descripciones de tareas que podramos realizar dentro del plan de accin son:

Ejemplos

Analizar el problema

Elaborar la planificacin del proyecto

Definir los ndices de control

Compilar los datos

Estudio del mejor local para la instalacin del Firewall-1

Elaborar las instrucciones

Realizar el entrenamiento

Instalar y configurar el Firewall-1

Realizar pruebas

Elaborar la documentacin final

E
l
s
i
g
u

iente elemento a considerar es la metodologa a seguir en nuestro plan de accin, que

aparece en el siguiente cuadro.
Elemento / Preguntas de diagnstico

Recomendaciones

Metodologa
Mtodo significa camino. Metodologa, lgica aplicada,
camino propio. Por lo tanto, elija con mucha atencin el
camino a seguir para elaborar su plan.
En su plan puede usar un enfoque deductivo (partiendo de
lo general hacia lo particular) o un enfoque inductivo (de lo
particular hacia lo general).
En los planes de seguridad es ms comn el primer
enfoque.

Siempre que sea posible, definir una estrategia de

implementacin, considerando:

Establecer una implantacin piloto.

Iniciar por ambientes que soporten impactos

en sus operaciones.

Solucionar un problema de cada vez.

Preguntas de diagnstico
Cuenta el da de hoy con metodologas de proyectos
definidas en su empresa?
Dichas metodologas son aplicables a un plan de
seguridad?

De esta forma, veremos un ejemplo del concepto que acabamos de revisar.

En este ejemplo podemos ver el caso de la implantacin de un Firewall en la empresa, y como se especifica la tarea a
llevar a cabo poco a poco junto con la metodologa a seguir.

Especificar los productos y los recursos.

Firewall-1 es un software que implementa la seguridad y auditoria de uso de la Internet/Intranet. Es compatible
con los sistemas operativos de red Windows NT y sabores de UNIX.

Describir el objetivo.

Proteger la red interna por medio del control de acceso a los servicios y realizar auditoras en los sitios de
Internet/Intranet, e implementacin de las reglas de seguridad definidas.

Definir el alcance.
Ambiente de red en el cual se instalar el Firewall-1

Ejemplos

Establecer los criterios y la estrategia de la seguridad.

Proteccin del servidor.

Ejemplos: el sistema debe mostrar un mensaje de entrada alertando a los usuarios sobre las restricciones al uso
del Firewall; no mostrar el botn de apagado en la pantalla de Inicio; ajustar el tamao mnimo de password para
14 caracteres etc.

Auditora.

Log activo; exportar el LOG del Firewall cada 7 das; solamente el usuario Administrador puede hacer
configuraciones y anlisis de los Logs del producto.
Configuracin de las reglas de filtrado.

Pasos para la instalacin.

Prever posibles contingencias.

Si no sabemos con cules recursos contamos, no podemos realizar una planeacin adecuada de
nuestra implantacin de seguridad en la empresa, por ello hay que analizar con cuidado los recursos
con los que contamos.

Elemento / Preguntas de diagnstico

Recomendaciones

. Recursos
Es crtico para el xito del plan, la disponibilidad de los

Existen algunos criterios que se deben tener en cuenta

recursos. Siendo as, el apoyo de la alta administracin es

como:

fundamental para que el plan alcance sus objetos.

Adecuacin. Los recursos seleccionados deben

Los recursos a considerar pueden ser: humanos, materiales

facilitar el alcance de los objetivos y ayudar en

y financieros.

la marcha del proceso, permitiendo agilidad,

velocidad y calidad.

Preguntas de diagnstico

Ahorro. Considerar no slo el tiempo y los

gastos, sino adems los fines deseados se
pueden atender con el empleo de los recursos

Cuenta con un presupuesto definido para gastos en

materia de seguridad?
Hay un personal designado para tareas en esta materia?
Cuenta con el equipo necesario para la administracin de
este proyecto?

disponibles. Ese criterio se refiere tambin a la

relacin

entre

el

tiempo

necesario

para

elaborar o elegir el recurso y el propsito

definido. Las opciones deben ser lgicas y
objetivas.

Disponibilidad. Los recursos deben estar

disponibles en el momento previsto para su
utilizacin.

La

previsin

es

una

de

las

condiciones para la disponibilidad.

Antes de entrar en detalles de los tipos de recursos revisemos algunos ejemplos para aclarar este tema.

Siguiendo con nuestro caso de la instalacin de un Firewall en una empresa los recursos necesarios
seran:

Ejemplos

Recursos humanos. Un Analista de Seguridad con conocimientos de Firewall-1 y del sistema operativo
en el cual ser instalado.
Recursos materiales. Un servidor destinado a la instalacin del Firewall-1, sistema operativo a ser
instalado, infraestructura de red y elctrica.
Recursos financieros. Calcular los costos de la asignacin de recursos humanos, adquisicin de los
recursos materiales, de actividades extras como transporte y diarias (si es el caso) y otros gastos que
sean necesarios. Es necesario hacer la previsin presupuestaria y financiera.

Siguiendo con el mismo tema, enseguida daremos una informacin adicional de algunos tipos de
recursos:
Los recursos humanos
El trabajo de planear e implementar la seguridad, presupone equipos interdisciplinarios de especialistas.
Las personas que son parte de estos equipos deben ser orientadas en cuanto a los objetivos y al objeto
del trabajo, las tareas, mtodo, plazos, etc. Pero es importante recordar que tambin es necesario:

Comprometer a los responsables por la liberacin de los recursos humanos con el xito del plan.

Mantener elevada la moral de los equipos.

Facilitar la relacin.

Distribuir las tareas adecuadamente, considerando el perfil, habilidades, intereses, disponibilidad

etc.

Distribuir las funciones en los equipos de acuerdo con sus habilidades, intereses y conocimientos.

Integrar y sintetizar conocimientos.

Suministrar toda la informacin complementaria.

Conocer y saber utilizar los recursos disponibles.

Los recursos materiales

Necesitamos contar con el equipo adecuado, que nos facilite la realizacin de las tareas en
materia de seguridad, de esto depende que se realicen dichas actividades con el impacto
necesario.
Recordatorios importantes

Seleccionar y utilizar recursos que estn de acuerdo con la modalidad de la tarea.

Utilizar el recurso elegido y programar su uso de acuerdo con el tiempo disponible.

Prever en el presupuesto los recursos necesarios y los disponibles reduciendo el costo.

Leer con

atencin las orientaciones para el acceso y la utilizacin de los recursos

materiales y orientar los equipos en lo que se refiere a su manipulacin.

Cuidar el mantenimiento de los recursos seleccionados para que estn siempre en orden
cuando sean necesarios.

Los recursos financieros

Adems del tomar en cuenta el personal y el equipo necesario, el recurso financiero con el que vamos a
contar es importante para dimensionar la capacidad de inversin en materia de seguridad, tanto para la
compra de nuevos activos como para la contratacin de personal o capacitacin, en caso de ser necesario.
Recordatorios importantes

Hacer la previsin presupuestaria y financiera.

Establecer un sistema de control de los gastos.

Verificar todo lo que hay disponible y que se puede utilizar en el transcurso del proceso
para reducir los costos.

Dar preferencia a recursos que se utilicen en ms de una tarea. Eso ayuda al proceso a su
economa.

Recordar que el tiempo es dinero. Por lo tanto debemos optimizar las actividades de tal
manera que se realicen ms en menor tiempo sin, por otro lado, perjudicar la calidad.

Despus de definir los recursos con que contamos, es necesario analizar el proceso de evaluacin que
llevaremos a cabo. Para esto, definiremos este concepto y presentaremos algunos ejemplos y
recomendaciones.
Elemento / Preguntas de diagnstico

Recomendaciones

Evaluacin
El proceso de evaluacin no se separa del contexto del

Cmo saber si vali la pena? Una de las actividades

proyecto. Es necesario analizar todos los aspectos e ir

ms difciles es hacer un anlisis relativo a inversiones en

siguiendo a lo largo del proceso. Despus de su conclusin,

seguridad.

es necesario hacer una especie de balance verificando si ya

se puede dar el trabajo por terminado, o si es necesario

Una de las sugerencias es crear ndices e

indicadores para mediciones antes, durante y

redefinir algunos de los puntos definidos para el monitoreo.

despus de la implantacin del programa.

Para eso debemos crear procedimientos de evaluacin:

Adems, puede implantar un sistema de

Previa: evaluacin realizada antes de la implantacin

retroalimentacin por parte de los usuarios

del plan. Ese diagnstico se puede realizar con base

para medir el impacto de las acciones en

en el anlisis de riesgo donde quedan en evidencia

materia de seguridad.

problemas de seguridad como: incidencia de virus,

uso de la banda, problemas de respaldos, control o
ausencia de control de accesos lgicos y fsicos, etc.
Si an no hace el anlisis, establezca como tarea la
definicin de ndices e indicadores.
Durante: evaluacin realizada durante la actividad.
Establezca puntos de control. Esto significa determinar
perodos de tiempo que sern verificados si los plazos
previstos se estn cumpliendo, o si el estndar de
calidad establecido est siendo mantenido, si las
personas

involucradas

siguen

con

la

misma

dedicacin y entusiasmo, si los recursos materiales y

financieros estn atendiendo a las demandas, etc. As,
si algo no est bien, es posible tomar providencias
para, corregir y ajustar

de tal manera que los

objetivos se puedan alcanzar conforme lo previsto

anteriormente.

Despus:

evaluacin

realizada

despus

de

la

conclusin del proceso/proyecto.

Alcanzamos los objetos propuestos con la calidad
deseada? Se cumplieron los plazos establecidos?
El presupuesto previsto fue seguido?
Qu se optimiz?
Los ajustes realizados en el transcurso del proceso se
adecuaron y realmente agregaron valor?
En fin, esa evaluacin muestra los resultados y orienta
a nuevas acciones y, si es el caso, es la base para una
replanificacin.

Un ejemplo de lo visto en este tema lo tenemos a continuacin.

En un anlisis preliminar, se constat una elevada incidencia de accesos no autorizados a la red.

Uno de los indicadores consiste en identificar la cantidad de intentos de accesos no autorizados
realizados impedidos por el nuevo control. El resultado sera un indicador de la proteccin obtenida.

Ejemplos

Como ese ejemplo, podemos definir tantos indicadores como sean necesarios para evaluar el xito del
proyecto concretizando la seguridad.

Despus de todo el anlisis que realizamos hasta ahora, es importante revisar el cronograma sobre las
tareas en materia de seguridad. A continuacin revisaremos lo relevante a este concepto.

Elemento / Preguntas de diagnstico

Recomendaciones

Cronograma
Todo plan exige un cronograma. En l deben estar

Utilizar un software que permita administrar y

monitorear el cronograma en cuestin.

Monitorear continuamente las tareas y el

cumplimiento de los plazos trazados originalmente,
con la finalidad de ajustar los tiempos o bien los
recursos asignados a las tareas.

indicadas las actividades y tareas, responsables, plazos,

subordinacin de las etapas y/o indicacin de las que se
pueden

realizar

simultneamente,

de

forma

independiente si es el caso. En ese cronograma tambin

indicamos la periodicidad de la evaluacin durante el
proceso y otros marcos importantes.
Considerando que el plan puede sufrir alteraciones en el
transcurso de su ejecucin, es interesante fijar una lnea
de base inicial de la planificacin para fines de control.
Una herramienta recomendada es MS PROJECT con la cual
podemos controlar todo su plan. Veamos la imagen que se
muestra enseguida:
Preguntas de diagnstico

Tiene actualmente definida una ventana de tiempo

en donde implante sus acciones de seguridad?
Est consciente de los tiempos que toma cada una
de estas tareas?
Cuenta con alguna herramienta que le permita
manejar este cronograma?

2.5 Lecciones aprendidas

Lecciones aprendidas

Conocimos la forma que se sugiere para nuestro

documento del Plan de Accin, su estructura y
particularidades, que permiten que nuestras actividades
en materia de seguridad lleven el orden correcto para su
xito en la empresa.
Identificamos cada uno de los puntos del Plan de
Accin, con ejemplos y escenarios especficos, que nos
ayudan a poder representarlos correctamente en
nuestro documento final.