El ciclo de Deming

1. Analizar la arquitectura de red

existente

2. Incorporando modelo BMIS

PLANIFICACION
1. Analizar la arquitectura de red existente

Como un primer paso para comenzar a implementar el modelo BMIS al nuevo

modelo de seguridad dentro de la organización es analizar el programa de
seguridad existente y las soluciones que ya se encuentran implementadas, si
estas existieran.

Identificaremos el estado de desarrollo con respecto a seguridad, si existe algún

tipo de programa de seguridad, tal vez en forma de políticas y reglas, o de
soluciones técnicas que se encuentran implementadas.

Existen diversas formar de realizar el análisis del programa de seguridad y

cualquiera de ellas puede ser utilizado, el BMIS propone evaluar en esta fase:

- El cumplimiento de la seguridad
 1. Cumplimiento de la seguridad

Luego de analizar la red actual y si esta cumple con los requerimientos de

seguridad de la empresa, debemos evaluar la existencia de otros temas a incluir
en el nuevo modelo de red segura, como:

- Políticas de seguridad
- Estándares y/o certificaciones internacionales

HACER (DO)
1. Incorporando modelo BMIS

a. Para que el BMIS sea efectivo, es necesario analizar todas las medidas y soluciones
de seguridad existentes para la organización para tomar conocimiento de las
mismas e integrarlas adecuadamente

-Políticas de seguridad

-Estándares
Proceso de
monitoreo
Capacitación y
concientización

Herramientas para gestión

de Identidades
 Elementos y Soluciones de seguridad
Elemento Solución de seguridad asociada
Organización -Políticas de Seguridad
-Estándares y guías de seguridad para la red
corporativa
Tecnología Herramienta de Gestión de Identidades
Procesos Proceso de monitoreo:
- enlaces remotos
- uso de correo electrónico
Personas Capacitación y concientización

2. Política de seguridad a Implementar:

Política de Seguridad para la Gestión de la Red de Datos IT

Esta política aplica para toda la infraestructura de networking administrada por el

proceso de soporte de servicios organizacional, donde se busca la definición,
implementación, monitoreo, soporte y mantenimiento de una arquitectura de red de
datos que brinde niveles aceptables de seguridad, la cual garantice los controles y
niveles autoritativos de conectividad.

o Para la adecuada protección de los sistemas de información conectados a la red

de datos de La Empresa, se debe desarrollar y mantener de una arquitectura
red segmentada o segregada donde se establezcan normas de configuración
para la inspección y control del tráfico.

o Se debe deshabilitar todos aquellos servicios, parámetros y puertos de red que

no sean necesarios para el funcionamiento de la infraestructura de red,
garantizando los criterios mínimos de seguridad.

o La configuración de enrutadores, switchs, firewalls, sistemas de detección y

prevención de intrusos de intrusos y otros dispositivos de seguridad de red;
debe ser documentada, respaldada por copia de seguridad y mantenida por la
administración de la red de datos.

o Todo instalación o cambio dispositivo de networking deberá ser revisado,

registrado y aprobado por la administración del área de plataforma antes de
conectarse a la red de datos de La Empresa.

o La transmisión de datos corporativa a través de redes públicas, se debe

desarrollar por medio de mecanismos de cifrado a fin de garantizar la
confidencialidad e integridad de la información.

o Las conexiones de acceso remoto deberán ser estrictamente controladas bajo

el esquema avalado por el área de Seguridad de la Información y gestionado por
la administración del área de plataforma de La Empresa.
o El uso de analizadores de red (sniffers), es permitido única y exclusivamente
para el Área de Seguridad de la Información y los administradores de la red de
datos de La Empresa.