Introduccin
Podemos afirmar que la consecuencia directa tanto de nuestro anlisis de riesgos como de nuestra
poltica de seguridad, es cerrar con la implantacin de acciones en esta materia.
Existen muchos ejemplos que podemos identificar en cuanto a empresas o ambientes en los cuales
es urgente tomar dichas acciones. La siguiente noticia muestra slo uno de esos escenarios.
Idoia Olza. Pamplona
23 de mayo de 2001
La SEIS pide un plan integral de seguridad de informacin clnica
Noticias del
mundo
Objetivos
Objetivos
Contenido de la unidad
Implementacin de la seguridad
Plan de seguridad
Introduccin
El conocimiento en materia de seguridad que hemos adquirido hasta ahora, nos permite acercarnos
ms a la toma de acciones dentro de nuestra organizacin. Dichas acciones deben llevar un orden
adecuado que permita una utilidad real para nuestra empresa. El siguiente artculo menciona algunas
consideraciones importantes al respecto.
Noticias del
mundo
1.2
Objetivos
Conocer la importancia del plan de implementacin de seguridad
en la empresa, que permita que la ejecucin del mismo sea un
xito.
Revisar ejemplos de acciones a tomar dentro de la empresa, con el
fin de tener una mayor base para la seleccin de dichas acciones en
nuestra propia implementacin.
Objetivos
1.3
La importancia de la implementacin
Despus de conocer las amenazas y puntos dbiles del ambiente, adquiridos en el anlisis de riesgos, o
despus de la definicin formal de las intenciones y actitudes de la organizacin que estn definidas en la
poltica de seguridad de la informacin, debemos tomar algunas medidas para la implementacin de
las acciones de seguridad recomendadas o establecidas.
1.4
Las medidas de seguridad son acciones que podemos tomar con la finalidad de
reducir las vulnerabilidades existentes en los activos de la empresa.
Concepto clave
Son varias las medidas de proteccin que recomendamos para la reduccin de las vulnerabilidades
de la informacin. Entre otras:
Ejemplos
troyanos y scripts, para minimizar los riesgos con paralizaciones del sistema o la prdida de
informacin.
3. Seguridad para equipos porttiles
Implantacin de aplicaciones y dispositivos para la prevencin contra accesos indebidos y el
robo de informacin.
4. ICP Infraestructura de llaves pblicas
Consiste en emplear servicios, protocolos y aplicaciones para la gestin de claves pblicas,
que suministren servicios de criptografa y firma digital.
5. Deteccin y control de invasiones
Implantacin de una herramienta que analice el trnsito de la red en busca de posibles
ataques, para permitir dar respuestas en tiempo real, y reducir as los riesgos de invasiones
en el ambiente.
6. Firewall
Sistema que controla el trnsito entre dos o ms redes, permite el aislamiento de diferentes
permetros de seguridad, como por ejemplo, la red Interna e Internet.
7. VPN Virtual private network
Torna factible la comunicacin segura y de bajo costo. Utiliza una red pblica, como Internet,
para enlazar dos o ms puntos, y permite el intercambio de informacin empleando
criptografa.
8. Acceso remoto seguro
Torna posible el acceso remoto a los recursos de la red al emplear una red pblica, como por
ejemplo, Internet.
9. Seguridad en correo electrnico
Utiliza certificados digitales para garantizar el sigilo de las informaciones y software para
filtro de contenido, y proteger a la empresa de aplicaciones maliciosas que llegan por ese
medio.
10. Seguridad para las aplicaciones
Implementacin de dispositivos y aplicaciones para garantizar la confidencialidad, el sigilo de
las informaciones y el control del acceso, adems del anlisis de las vulnerabilidades de la
aplicacin, al suministrar una serie de recomendaciones y estndares de seguridad.
11. Monitoreo y gestin de la seguridad
Implementacin de sistemas y procesos para la gestin de los eventos de seguridad en el
ambiente tecnolgico, haciendo posible un control mayor del ambiente, para dar prioridad a
las acciones e inversiones.
12. Seguridad en comunicacin Mvil
Acceso a Internet para usuarios de aparatos mviles como telfonos celulares y PDAs, para
permitir transacciones e intercambiar informacin con seguridad va Internet.
13. Seguridad para servidores
Configuracin de seguridad en los servidores, para garantizar un control mayor en lo que se
refiere al uso de servicios y recursos disponibles.
14. Firewall interno
Este firewall funciona al aislar el acceso a la red de servidores crticos, minimizando los
riesgos de invasiones internas a servidores y aplicaciones de misin crtica.
Despus de revisar los ejemplos anteriores, veamos las siguientes preguntas de reflexin:
Preguntas
de reflexin
1.5
Comenzando la implementacin
4.
Monitoreo y
retroalimentacin
3.
Implementacin de
seguridad
1. Anlisis
de riesgos
2. Poltica
de
seguridad
Para ilustrar mejor algunas de estas consideraciones, mostramos los siguientes ejemplos.
Ejemplos
Despu
s de
revisar
a
detalle
estas consideraciones para la implantacin de la seguridad, es necesario cuestionarnos lo siguiente:
Preguntas
de reflexin
1.6
Lecciones aprendidas
Lecciones aprendidas
Noticias del
mundo
2.2 Objetivos
Conocer los puntos bsicos que debe contar el plan de seguridad
de la organizacin, para estructurar e implantar correctamente
dicho documento dentro de la empresa.
Identificar las caractersticas bsicas que forman parte del plan
de accin, y que independientemente de su formato, deben incluir
para su correcta estructura y facilidad de implantacin en la
organizacin.
Objetivos
PUNTOS A CONSIDERAR
DESCRIPCIN
EJEMPLO
Si en la empresa se tienen
servidores de bases de datos, y
sabemos que por su naturaleza
son susceptibles a algunos
ataques que comprometen su
informacin, tendremos que
enfocar nuestras acciones a la
disminucin de estas amenazas.
Por
ejemplo,
se
puede
implementar una herramienta
de software (un firewall) para
proteger un servidor de base de
datos que contenga informacin
crtica al negocio. En este caso,
el activo a ser protegido es la
base de datos.
Otro
ejemplo
es
cuando
deseamos aumentar la toma de
conciencia de los empleados
con relacin a la seguridad de la
informacin. Se puede, en este
caso, implementar un tipo de
entrenamiento de seguridad en
donde el activo involucrado son
los empleados de la empresa.
El anlisis costo-beneficio
La relacin costo X beneficio
deriva del tiempo de
implementacin y de los
recursos que son necesarios,
tanto humanos como
materiales.
Ahora que conocimos algunos puntos a considerar en una toma de acciones en materia de
seguridad, es necesario detenernos un poco y reflexionar sobre el tema.
Preguntas
de reflexin
que
tendr
durante
la
Un plan de accin puede tener varios formatos, pero debe poseer las siguientes caractersticas:
Objetivos bien definidos. Un plan de accin posee objetivos bien definidos, de tal forma que
al ser cumplido, esos objetivos sean alcanzados. Tambin debe ser claro, exacto, escrito de
forma correcta, sin permitir dudas, ni dobles interpretaciones.
Coherencia. Las actividades estn relacionadas y debe existir armona entre las situaciones,
eventos e ideas, de tal manera que nada se disperse del foco. De la unidad y correlacin de las
proposiciones depende el alcance de los objetos.
Secuencia. Debe contar con un camino previamente definido que permita la integracin de las
actividades al racionalizar los esfuerzos y optimizar el tiempo.
Flexibilidad. Un plan de accin debe prever contingencias durante la ejecucin de las tareas y
del proceso como un todo. Es necesario estructurarlo de tal manera que permita insertar o
actualizar puntos y/o actividades que enriquezcan o faciliten la implementacin como las
nuevas tecnologas que surjan. En funcin de presupuestos, con frecuencia es necesario
suprimir algo, pero eso no significa el fin del plan. Los ajustes por lo general se realizan sin
que el plan pierda su eje.
Cronograma
Evaluacin
Recursos
Metodologa
Tareas
Objetivos
Identificacin
de la realidad
Ahora describiremos con ms detalle cada elemento, as como las preguntas detonadoras de
diagnstico y una serie de recomendaciones especficas para cada uno de ellos; para despus
proporcionar algunos ejemplos.
Recomendaciones
Ejemplos
Recomendaciones
Importantes y significativos en el
contexto.
Preguntas de diagnstico
Tiene claros los objetivos de seguridad en su
empresa?
Son realistas?
Tienen coherencia entre s?
Estn relacionados con las actividades diarias de la
organizacin?
Ejemplos
Ahora
contin
uarem
os
revisan
do los
objetiv
os.
Revise
mos la
inform
acin
del
elemento tareas:
Elemento / Preguntas de diagnstico
Recomendaciones
Tareas
Al seleccionar las tareas debemos considerar su
relevancia, actualidad y aplicabilidad, que correspondan a
los objetivos ya definidos y si son los adecuados al perfil
de la organizacin.
la
logstica,
Preguntas de diagnstico
En resumen
Ejemplos
Analizar el problema
Realizar el entrenamiento
Realizar pruebas
E
l
s
i
g
u
Recomendaciones
Metodologa
Mtodo significa camino. Metodologa, lgica aplicada,
camino propio. Por lo tanto, elija con mucha atencin el
camino a seguir para elaborar su plan.
En su plan puede usar un enfoque deductivo (partiendo de
lo general hacia lo particular) o un enfoque inductivo (de lo
particular hacia lo general).
En los planes de seguridad es ms comn el primer
enfoque.
Preguntas de diagnstico
Cuenta el da de hoy con metodologas de proyectos
definidas en su empresa?
Dichas metodologas son aplicables a un plan de
seguridad?
En este ejemplo podemos ver el caso de la implantacin de un Firewall en la empresa, y como se especifica la tarea a
llevar a cabo poco a poco junto con la metodologa a seguir.
Describir el objetivo.
Proteger la red interna por medio del control de acceso a los servicios y realizar auditoras en los sitios de
Internet/Intranet, e implementacin de las reglas de seguridad definidas.
Definir el alcance.
Ambiente de red en el cual se instalar el Firewall-1
Ejemplos
Ejemplos: el sistema debe mostrar un mensaje de entrada alertando a los usuarios sobre las restricciones al uso
del Firewall; no mostrar el botn de apagado en la pantalla de Inicio; ajustar el tamao mnimo de password para
14 caracteres etc.
Auditora.
Log activo; exportar el LOG del Firewall cada 7 das; solamente el usuario Administrador puede hacer
configuraciones y anlisis de los Logs del producto.
Configuracin de las reglas de filtrado.
Si no sabemos con cules recursos contamos, no podemos realizar una planeacin adecuada de
nuestra implantacin de seguridad en la empresa, por ello hay que analizar con cuidado los recursos
con los que contamos.
Recomendaciones
. Recursos
Es crtico para el xito del plan, la disponibilidad de los
como:
y financieros.
Preguntas de diagnstico
entre
el
tiempo
necesario
para
La
previsin
es
una
de
las
Antes de entrar en detalles de los tipos de recursos revisemos algunos ejemplos para aclarar este tema.
Siguiendo con nuestro caso de la instalacin de un Firewall en una empresa los recursos necesarios
seran:
Ejemplos
Recursos humanos. Un Analista de Seguridad con conocimientos de Firewall-1 y del sistema operativo
en el cual ser instalado.
Recursos materiales. Un servidor destinado a la instalacin del Firewall-1, sistema operativo a ser
instalado, infraestructura de red y elctrica.
Recursos financieros. Calcular los costos de la asignacin de recursos humanos, adquisicin de los
recursos materiales, de actividades extras como transporte y diarias (si es el caso) y otros gastos que
sean necesarios. Es necesario hacer la previsin presupuestaria y financiera.
Siguiendo con el mismo tema, enseguida daremos una informacin adicional de algunos tipos de
recursos:
Los recursos humanos
El trabajo de planear e implementar la seguridad, presupone equipos interdisciplinarios de especialistas.
Las personas que son parte de estos equipos deben ser orientadas en cuanto a los objetivos y al objeto
del trabajo, las tareas, mtodo, plazos, etc. Pero es importante recordar que tambin es necesario:
Comprometer a los responsables por la liberacin de los recursos humanos con el xito del plan.
Facilitar la relacin.
Distribuir las funciones en los equipos de acuerdo con sus habilidades, intereses y conocimientos.
Leer con
Cuidar el mantenimiento de los recursos seleccionados para que estn siempre en orden
cuando sean necesarios.
Verificar todo lo que hay disponible y que se puede utilizar en el transcurso del proceso
para reducir los costos.
Dar preferencia a recursos que se utilicen en ms de una tarea. Eso ayuda al proceso a su
economa.
Recordar que el tiempo es dinero. Por lo tanto debemos optimizar las actividades de tal
manera que se realicen ms en menor tiempo sin, por otro lado, perjudicar la calidad.
Despus de definir los recursos con que contamos, es necesario analizar el proceso de evaluacin que
llevaremos a cabo. Para esto, definiremos este concepto y presentaremos algunos ejemplos y
recomendaciones.
Elemento / Preguntas de diagnstico
Recomendaciones
Evaluacin
El proceso de evaluacin no se separa del contexto del
seguridad.
materia de seguridad.
involucradas
siguen
con
la
misma
Despus:
evaluacin
realizada
despus
de
la
Ejemplos
Como ese ejemplo, podemos definir tantos indicadores como sean necesarios para evaluar el xito del
proyecto concretizando la seguridad.
Despus de todo el anlisis que realizamos hasta ahora, es importante revisar el cronograma sobre las
tareas en materia de seguridad. A continuacin revisaremos lo relevante a este concepto.
Recomendaciones
Cronograma
Todo plan exige un cronograma. En l deben estar
realizar
simultneamente,
de
forma
Lecciones aprendidas