Вы находитесь на странице: 1из 90

Seguridad de la Informacin Plan de Implementacin de la Gestin de Seguridad de la Informacin 01/09/12

MAESTRA EN GESTIN DE TECNOLOGAS DE LA INFORMACIN SEGURIDAD DE LA INFORMACIN PLAN DE IMPLEMENTACIN DE LA GESTIN DE SEGURIDAD DE LA INFORMACIN SBADO, 01 DE SEPTIEMBRE DE 2012

Grupo No. 4: Joaqun Donato Alcerro Julio Csar Sandoval Ligia Mara Castellanos Ren Velsquez Roberto Emilio Bueso 10323084 11143088 11143099 11143112 11143127

Seguridad de la Informacin Plan de Implementacin de la Gestin de Seguridad de la Informacin 01/09/12

NDICE
1. INTRODUCCIN .................................................................................................................................. 1 2. RESUMEN EJECUTIVO...................................................................................................................... 2 3. DESCRIPCIN GENERAL DE LA EMPRESA ................................................................................ 3 3.1 Misin ................................................................................................................................................ 3 3.2 Visin ................................................................................................................................................ 3 3.3 Objetivos Estratgicos .................................................................................................................... 3 4. DEFINICIN DEL PROBLEMA .......................................................................................................... 4 5. JUSTIFICACIN ................................................................................................................................... 5 6. COMPROMISO DE LA ALTA GERENCIA EN RELACIN A LA GESTIN DE SEGURIDAD INFORMTICA ........................................................................................................................................... 6 7. PLAN DE IMPLEMENTACIN DE UN GOBIERNO DE SEGURIDAD INFORMTICA ........... 8 7.1 MARCO GENERAL DE FUNCIONAMIENTO DEL GOBIERNO DE SEGURIDAD INFORMATICA....................................................................................................................................... 9 7.2 IMPLEMENTACION DEL GOBIERNO DE SEGURIDAD INFORMATICA .......................... 10 7.3 POLITICA DE SEGURIDAD DE LA INFORMACION .............................................................. 14 7.4 OPERATIVIDAD DEL GOBIERNO DE SEGURIDAD DE INFORMACION ................... 15 7.5 CONCIENTIZACION Y CAPACITACION ............................................................................ 16 8. DESARROLLO DE UN PLAN DE IDENTIFICACIN Y EVALUACIN DE RIESGO ............. 18 8.1 8.2 8.3 8.4 Percepcin del Riesgo ............................................................................................................ 18 Procedimiento de Identificacin del Riesgo ......................................................................... 19 Riesgos en Seguridad de la Informacin ............................................................................. 20 Beneficios de la Identificacin de Riesgos........................................................................... 24

9. DETERMINACIN DE AMENAZAS Y VULNERABILIDADES ................................................... 25 10. CREACIN DE UN PLAN DE CONTINUIDAD DE NEGOCIO Y RECUPERACION EN CASO DE DESATRES ............................................................................................................................ 36 10.1 Propsito y Alcance .................................................................................................................... 36 10.1.1 Propsito ............................................................................................................................... 36 10.1.2 Alcance ................................................................................................................................. 36 10.1.3 Supuestos ............................................................................................................................. 37 10.2 Primeros Pasos ........................................................................................................................... 38 10.2.1 Consideraciones de Seguridad y Medios de Comunicacin ........................................ 38 10.2.2 Reconocimiento ................................................................................................................... 38 10.2.3 Montar el Equipo de Evaluacin de Desastres ............................................................... 39 10.2.4 Evaluacin ............................................................................................................................ 39 10.3 Estrategia de Recuperacin ...................................................................................................... 41 10.3.1 Paso de Recuperacin 1- Enfoque de Equipo................................................................ 41 10.3.2 Paso de Recuperacin 2 Montar Equipos de Recuperacin ................................... 43

Seguridad de la Informacin Plan de Implementacin de la Gestin de Seguridad de la Informacin 01/09/12

10.3.3 Paso de Recuperacin 3 - Invocar los Procedimientos de Servicios de Recuperacin de Negocio .............................................................................................................. 43 10.3.4 Paso de Recuperacin 4 Recuperar los Registros Vitales........................................ 44 10.3.5 Paso de Recuperacin 5 Desplegar Equipos de Recuperacin............................... 45 10.3.6 Recuperacin Lnea de Servicios .................................................................................. 45 10.3.7 Recuperacin Prximos Pasos ...................................................................................... 45 10.4 Restablecimiento de los Servicios IT en la Secretara de la Presidencia .......................... 46 10.4.1 Lugares para el restablecimiento de servicio IT de la Secretara de la Presidencia 46 10.4.2 Consideraciones para el restablecimiento de los Servicios IT. .................................... 47 11. DESARROLLO DE UN PLAN DE GESTIN DE RESPUESTAS A INCIDENTES ............... 68 11.1 Propsito y Alcance .................................................................................................................... 68 11.1.1 Propsito ............................................................................................................................... 68 11.1.2 Alcance ................................................................................................................................. 68 11.1.3 Supuestos ............................................................................................................................. 69 11.1 Primeros Pasos ........................................................................................................................... 69 11.2.1 Consideraciones de Seguridad y Medios de Comunicacin ........................................ 69 11.2.2 Reconocimiento ................................................................................................................... 70 11.2.3 Montar el Equipo de Evaluacin de Emergencias (Triage). ......................................... 70 11.2.4 Evaluacin ............................................................................................................................ 71 11.2.5 Escalada ............................................................................................................................... 71 11.3 Estrategia de Accin y Evaluacin (Triage) ............................................................................ 72 11.3.1 Paso de Evaluacin 1- Enfoque de Equipo..................................................................... 72 11.3.2 Paso de Evaluacin 2 Tipos de Desastre .................................................................... 75 11.3.3 Paso de Evaluacin 3 Nomenclatura ............................................................................ 75 11.3.4 Paso de Evaluacin 4 Evaluacin Rpida de Equipos .............................................. 78 11.3.6 Recuperacin Lnea de Servicios .................................................................................. 81 11.3.7 Recuperacin Prximos Pasos ...................................................................................... 81 12. CONCLUSIONES Y RECOMENDACIONES ............................................................................... 84 12.1 Conclusiones ............................................................................................................................... 84 12.2 Recomendaciones ...................................................................................................................... 84 ANEXOS ....................................................................................................................................................... I Anexo A. Formato de Reporte Mensual de Seguridad de Informacin.......................................... i BIBLIOGRAFA ..........................................................................................................................................II

Seguridad de la Informacin Plan de Implementacin de la Gestin de Seguridad de la Informacin 01/09/12

1. INTRODUCCIN
El mundo globalizado y altamente competitivo en el que se vive actualmente, exige que las organizaciones cada vez se preocupen mas por muchos temas como ser el de la Seguridad de la Informacin y que cada vez ms necesiten de mejores medios para administrar dicha informacin de manera eficiente garantizando la disponibilidad e integridad de la misma. Partiendo de ello es que en el siguiente informe se muestra la creacin de un plan detallado de la Gestin de Seguridad de la Informacin para la Secretaria de Estado del Despacho Presidencial de Honduras, la cual necesita de un plan bien definido de este tipo para cumplir con sus objetivos concerniente a los asuntos del estado en Despacho de la Presidencia, coordinando asuntos de gabinete, economa, aspectos judiciales, instituciones autnomas, informacin relevante para la toma de decisiones de la Presidencia, aspectos civiles etc. Es por ello que en el presente informe es realizado en base a la necesidad que en la actualidad requieren las organizaciones privadas o de gobierno respecto a tener un plan que le ayude a implementar y controlar la Seguridad desde el punto de vista fsico as como lgico para con l poder controlar o mitigar los posibles riesgos o ataques que sufren en la actualidad los sistemas de informacin. Teniendo en consideracin la importancia de la seguridad de la informacin en las empresas es imprescindible tambin determinar en el plan desarrollado en este informe un gobierno de seguridad de la informacin que es parte del gobierno corporativo de las organizaciones en este caso de la Secretara de Despacho de la Presidencia de la Republica, esto permite y garantiza que exista un mejor control de los procesos, que los riesgos estn relacionados con la informacin , que a su vez se puedan tomar las mejores prcticas y que los recursos de informacin de la empresa se utilicen con responsabilidad.

Seguridad de la Informacin Plan de Implementacin de la Gestin de Seguridad de la Informacin 01/09/12

2. RESUMEN EJECUTIVO
El presente informe muestra la creacin de un plan detallado de la Gestin de Seguridad de la Informacin para la Secretaria de Estado del Despacho Presidencial de Honduras as como la creacin de un Gobierno de Seguridad de la Informacin eficiente capaz de mejorar, controlar y prevenir los riesgos y vulnerabilidades en los Sistemas de Informacin. Para ello es importante la definicin de un plan para enfrentar a los riesgos y vulnerabilidades tecnolgicas de la actualidad por las que pasan las organizaciones respecto a la informacin y a su integridad. Es importante tambin como lo muestra el informe que exista un compromiso por parte de la gerencia respecto a todo lo concerniente a la seguridad de la informacin en lo que se refiere a costos, amenazas, riesgos, mtricas, metodologas de mitigacin para el cumplimiento y resguardo de la informacin. A su vez el informe muestra las principales y ms importantes amenazas y vulnerabilidades que la Secretaria de Estado del Despacho Presidencial debe tomar en cuenta para cuidar o salvaguardar la informacin de cualquier dao humano, informtico o natural que pueda ocurrir. Teniendo en cuenta las posibles amenazas o ataques es de gran importancia que la Secretaria tenga determinado un plan de gestin y continuidad de negocio o recuperacin en caso de ocurrir un desastre. Por ltimo el informe muestra una propuesta o mejora de una infraestructura y arquitectura de la seguridad de la informacin capaz de controlar y utilizar las mejores prcticas para la deteccin de problemas en base a los argumentos antes descritos.

Seguridad de la Informacin Plan de Implementacin de la Gestin de Seguridad de la Informacin 01/09/12

3. DESCRIPCIN GENERAL DE LA EMPRESA


3.1 MISIN Tiene como misin primordial analizar, evaluar y asesorar el desempeo de la Poltica Interior del Gobierno, para darle objetividad a las determinaciones que se apliquen, atendiendo a los requerimientos de las Dependencias y la Ciudadana y con ello brindar equilibrio a las acciones de Gobierno estableciendo los nexos con los dems Poderes del Estado que permitan alcanzar los acuerdos necesarios en beneficio del mismo. 3.2 VISIN Ser la Dependencia de apoyo confiable y oportuno del Presidente de la Repblica en las decisiones que se apliquen en la obtencin del equilibrio de Gobernabilidad para brindar resultados giles que se reflejen en los planteamientos de la ciudadana y organizaciones. 3.3 OBJETIVOS ESTRATGICOS Conduccin y Apoyo a la Gestin Institucional. Sostenibilidad de los programas y proyectos prioritarios de la Presidencia de la Repblica. Modernizacin del Estado. Competitividad. Conduccin Tcnico Poltica.

Seguridad de la Informacin Plan de Implementacin de la Gestin de Seguridad de la Informacin 01/09/12

4. DEFINICIN DEL PROBLEMA


La Secretara de la Presidencia no tiene un plan de gestin de la seguridad de la informacin, por lo tanto no tiene polticas de seguridad ni estndares que requiere un gobierno de seguridad. Debido a esto, en el momento que ocurra un desastre, no existe documentacin alguna que nos ayude a actuar debidamente para la mitigacin de desastres. Un plan de seguridad de la informacin contiene acciones preventivas y reactivas que permiten resguardar y proteger la informacin buscando estos principios: Confidencialidad. Disponibilidad. Integridad. Tambin sirve para realizar auditoras de sistemas de informacin y la planificacin de la continuidad del negocio que son elementos necesarios que toda institucin debe tener.

Seguridad de la Informacin Plan de Implementacin de la Gestin de Seguridad de la Informacin 01/09/12

5. JUSTIFICACIN
Debido a la gran cantidad de riesgos y amenazas a las que puede exponerse la Secretara de la Presidencia si no se toman las medidas necesarias, es importante implementar un gobierno de seguridad de la informacin que asegure la seguridad de la informacin. Con la implementacin de un gobierno de seguridad se busca: Asegurar la continuidad del negocio. Minimizar riesgos y Mejor funcionamiento de las operaciones de la Secretara.

El gobierno de seguridad debe establecer polticas, controles, estndares y actividades que puedan detectar vulnerabilidades y amenazas que pongan en riesgo la informacin de la Secretara de la Presidencia.

Seguridad de la Informacin Plan de Implementacin de la Gestin de Seguridad de la Informacin 01/09/12

6.

COMPROMISO DE LA ALTA GERENCIA EN RELACIN A LA

GESTIN DE SEGURIDAD INFORMTICA


La Alta Gerencia en la Secretara de la Presidencia tiene como funcin principal coordinar la labor presidencial, dando seguimiento a las prioridades del Presidente de la Republica para asegurar el cumplimiento de los acuerdos de los gabinetes sectoriales y la evaluacin de las metas e indicadores para la medicin del desempeo de la Gestin Presidencial, en torno a instrumentos de planificacin estratgica, con el fin de asegurar la eficiencia y eficacia de las demandas de la sociedad hondurea. Un problema que encontramos en los altos directivos es el desconocimiento de temas importantes referentes a la seguridad de la informacin como son: 1. Seguridad de la informacin y 2. Tecnologa. Para crear un compromiso de la Alta Gerencia en actividades de seguridad de la informacin, es necesario que estn claros de los costos que involucrara si un incidente o desastre afecta la organizacin. Existen herramientas que pueden apoyar a la alta gerencia en la toma de decisiones como ser el ROSI que busca justificar la inversin en seguridad de la informacin en trminos monetarios. Con esta herramienta y otras ms podemos potenciar la seguridad de la informacin en un entorno en el que exista un alto grado de confianza en una institucin gubernamental importante como lo es una Secretara de Estado. La Secretara de la Presidencia como pilar fundamental del Estado de Honduras debe ser un ejemplo para las dems instituciones gubernamentales en temas relacionados con la tecnologa y debe crear una estrategia en la cual se involucre la seguridad de la informacin para crear confianza en todos sus sistemas de informacin. Es importante que la Alta Gerencia entienda ella misma lo importante que es su consciente involucramiento y participacin en la implementacin de un gobierno de

Seguridad de la Informacin Plan de Implementacin de la Gestin de Seguridad de la Informacin 01/09/12

seguridad y que a su vez haga partcipe de esta conciencia a todo el personal de la organizacin.

Seguridad de la Informacin Plan de Implementacin de la Gestin de Seguridad de la Informacin 01/09/12

7. PLAN DE IMPLEMENTACIN DE UN GOBIERNO DE SEGURIDAD INFORMTICA


Tal como lo menciona Peter Drucker El conocimiento se esta convirtiendo rpidamente en el nico factor de productividad dejando a un lado el capital y la mano de obra. Entenderemos por conocimiento a la informacin que tiene un propsito y sentido. Tomando en cuenta lo anterior, las organizaciones deben considerar la informacin como un activo de alto valor el cual deben proteger de la manera ms adecuada a fin de garantizar su integridad, confidencialidad y disponibilidad. Para lograr lo anterior, las organizaciones debe conformar un Gobierno de Seguridad de la Informacin a fin de: 1. Alinear estratgicamente la seguridad de la informacin a las necesidades del negocio tomando en cuenta la cultura organizacional, modelo de administracin, tecnologa e inversin. 2. Gestionar los riesgos inherentes a la administracin de los activos, en este caso particular, informacin. Cuando hablamos de gestin de riesgo nos referimos a una gestin integral y desde una perspectiva gerencial. Incluye el entendimiento colectivo de amenazas, vulnerabilidades, riesgo organizacional, mitigacin, aceptacin y transferencia de riesgos. 3. Entrega de valor a la organizacin siendo eficiente en el uso de recursos en las reas de mayor impacto y beneficio econmico, basndose en estndares y conformando una cultura de mejora continua que integra la seguridad informtica en sus procesos de negocio. 4. Gestionar adecuadamente los recursos informticos y asegurarse que el conocimiento adquirido sean parte de la organizacin y estn disponibles. 5. Medir el desempeo utilizando mtricas definidas, acordadas y alineadas a los objetivos estratgicos que faciliten la medicin del desempeo. 6. Implementar una estrategia de seguridad integral en toda la organizacin.

Seguridad de la Informacin Plan de Implementacin de la Gestin de Seguridad de la Informacin 01/09/12

El objetivo principal de la seguridad de la informacin es reducir el impacto en la organizacin a un nivel aceptable mediante la administracin y mitigacin de riesgos. Por otra parte, muchas veces la seguridad se convierte en un factor crtico de xito en organizaciones que dependen mucho de informacin sensitiva tanto propios como de sus clientes y tambin, puede ser un requisito legal o regulatorio que obliga a las organizaciones a implementar un plan de seguridad de la informacin. 7.1 MARCO GENERAL DE FUNCIONAMIENTO DEL GOBIERNO DE SEGURIDAD INFORMATICA Siguiendo los estndares del Instituto de Gobernabilidad de TI el marco general de funcionamiento del Gobierno de Seguridad de la Secretara de Estado en el Despacho Presidencial (SDP) debe adoptar es el siguiente: Diagrama conceptual del Gobierno de Seguridad de la Informacin

Fuente: Information Security Governance Guideance for Boards of Directors and Executive Management 2nd Edition

Seguridad de la Informacin Plan de Implementacin de la Gestin de Seguridad de la Informacin 01/09/12

Como muestra el diagrama, el Gobierno de Seguridad de Informacin es responsabilidad de la alta gerencia y directores de la organizacin tomando de base la estrategia y objetivos corporativos. As mismo, es importante hacer notar que este diagrama representa el marco conceptual general del Gobierno de Seguridad de Informacin. La SDP deber conformar un Gobierno de Seguridad Informtica que tendr como parte de sus funciones la gestin de riesgos e implementacin de la Estrategia de Seguridad de la Informacin. As mismo deber establecer mtricas que contribuyan o faciliten el monitoreo del cumplimiento de los objetivos propuesto en sta estrategia para finalmente reportar a la alta gerencia sobre el desempeo y efectividad de la misma. 7.2 IMPLEMENTACION DEL GOBIERNO DE SEGURIDAD INFORMATICA Se propone entonces integrar, mediante memorando interno, el Gobierno de Seguridad Informtica de la SDP como se indica en la siguiente matriz de roles y responsabilidades: Relaciones de los resultados del gobierno de seguridad con las

responsabilidades gerenciales Nivel Gestin de Alineacin Gestin Entrega de Valor Medicin de Desempe o Consejo Direccin: Ministra Aprueba la Aprueba estrategia de Seguridad de las medidas asociad Valida que Confirma la la Gestiona la En base al desempe o valida si Gestin de Recursos Aseguram iento del

Estratgica de Riesgo

proceso

estrategi a

efectividad obtencin la de

de de

los el proceso requiere

la as a la segurida Gestin d entrega el

implement

recursos

Informacin alineada la

acin de la necesarios ajustes estrategia para la

a de Riesgos

valor de

implement

10

Seguridad de la Informacin Plan de Implementacin de la Gestin de Seguridad de la Informacin 01/09/12

Relaciones

de

los

resultados

del

gobierno

de

seguridad

con

las

responsabilidades gerenciales Nivel Gestin de Alineacin Gestin Entrega de Valor Medicin de Desempe o estrategia organizacio nal esperad o seguridad acin de la estrategia de seguridad Direccin Ejecutiva: ViceMinistro Valida que Analizan la estrategia de Seguridad de Informacin se con estrategia organizacio nal. el impacto de Aprueba la propuest Aprueba las mtricas Valida correcta asignacin la Valida la Gestin de Recursos Aseguram iento del

Estratgica de Riesgo

proceso

integracin de los

los a valor

de de

y uso de procesos para una

riesgo en

e evaluacin los recursos

la indicador del es

eficiente lo Seguridad de la

organiza

Desempe segn ha

aline cin

y relaciona o dos.

la propone al Consejo Direcci n el

determina do Comit Ejecutivo

Informaci

el n

plan de mitigaci n Comit Directivo Coordina Coordin Valida Valida que Asigna los Valida que lo las mtricas recursos solicitados por el proceso de

con el CISO a con el que la

CISO la propuest elaborac

Directores, elaboracin

o por el estn

el seguridad

11

Seguridad de la Informacin Plan de Implementacin de la Gestin de Seguridad de la Informacin 01/09/12

Relaciones

de

los

resultados

del

gobierno

de

seguridad

con

las

responsabilidades gerenciales Nivel Gestin de Alineacin Gestin Entrega de Valor Medicin de Desempe o Coordinad ores, de estrategia la in del CISO es acorde el que a CISO y funciona correctame nte desde inicio a fin Gestin de Recursos Aseguram iento del

Estratgica de Riesgo

proceso

anlisis de

valor la realidad garantiza de la su disponibili dad

Administra de cin, Secretario General, RRHH, Asesora Legal Director de seguridad de seguridad alineada la estrategia organizaci n Toma base estrategia

riesgo y realment a plan de e

organizaci

se n

mitigaci necesita n en la

organiza cin.

de Elaborar la el anlisis de

Especific a la estrategi

Define las Elabora un Ejecuta plan de administra

como mtricas de medicin

gestin de y gestiona recursos las

la organizacio

informaci n CISO

nal y define riesgo y a la estrategia propone

de del desempe

en base a polticas la para la

segurida

r el plan d de la o de

e estrategia de

integracin de los

Coordinad

de

informaci instrument os

or Unidad seguridad de Tecnolog a de

mitigaci n la n generar valor a la organiza cin

de Seguridad de

procesos

medicin

la de seguridad de la

informacin .

Informaci n aprobada

informaci n a lo largo de toda la

12

Seguridad de la Informacin Plan de Implementacin de la Gestin de Seguridad de la Informacin 01/09/12

Relaciones

de

los

resultados

del

gobierno

de

seguridad

con

las

responsabilidades gerenciales Nivel Gestin de Alineacin Gestin Entrega de Valor Medicin de Desempe o empresa Auditores: Valida que Supervis Dan la Auditora Interna estrategia de seguridad de la an la seguimie nto Monitoreo de Monitoreo del adecuado Verificaci n del Gestin de Recursos Aseguram iento del

Estratgica de Riesgo

proceso

gestin del riesgo

al resultados

cumplimien

cumplim ento los avances segn los

segn las uso de los to de los recursos procesos de asegurami ento

de mtricas aprobadas

informacin este alineada con estrategia organizacio nal y no se contrapone a objetivos organizacio nales. los la

indicador es.

La conformacin del Gobierno de Seguridad incluye a la alta gerencia, que conforman el Consejo Directivo y Direccin Ejecutiva y todos los mandos intermedios como Directores, Coordinadores, entre otros que conforman el Comit Directivo. As mismo, incluye el Director de Seguridad de la Informacin que por afinidad asume la

13

Seguridad de la Informacin Plan de Implementacin de la Gestin de Seguridad de la Informacin 01/09/12

responsabilidad el Coordinador de la Unidad de Tecnologa y Auditora Interna quienes harn el rol auditor. La conformacin del Gobierno de Seguridad de Informacin ser muestra del compromiso y apoyo de la alta gerencia en la gestin de la seguridad de la informacin de la Secretara y ser la base para su implementacin. 7.3 POLITICA DE SEGURIDAD DE LA INFORMACION Establecer las polticas internas de seguridad de la informacin es un elemento vital para establecer una estrategia de seguridad de la informacin alineada a la estrategia organizacional. En ese sentido, el Comit Directivo en coordinacin con el Director de Seguridad de Informacin (CISO) deber elaborar una poltica de seguridad de la informacin con al menos los siguientes aspectos: 1. Objetivo de la poltica 2. Alcance de la poltica 3. La poltica de seguridad de la informacin que incluye: a. Identificacin y valoracin de activos organizacionales b. Clasificacin de la informacin segn su nivel de confidencialidad c. Uso de los recursos tecnolgicos como laptops, computadoras, equipos de comunicacin, servidores de datos. d. Manejo y administracin de documentos fsicos internos e. Control de acceso a reas restringidas f. Uso correcto del correo electrnico g. Uso correcto de acceso a Internet h. Licenciamiento, derechos de autor e instalacin de aplicaciones en equipos de la organizacin i. Auditoras de Tecnologas de Informacin

4. Procedimientos internos para cumplir con las polticas 5. Sanciones relacionadas a la falta de cumplimiento de la poltica Estas polticas debern ser aprobadas por la Direccin Ejecutiva y el Consejo de Direccin para garantizar su implementacin.

14

Seguridad de la Informacin Plan de Implementacin de la Gestin de Seguridad de la Informacin 01/09/12

7.4 OPERATIVIDAD DEL GOBIERNO DE SEGURIDAD DE INFORMACION La seguridad de la informacin requiere de rpidas respuestas a incidentes ya que de no atenderse pueden involucrar prdidas significativas para la organizacin. En ese sentido, se propone el siguiente esquema funcional: Esquema funcional del Gobierno de Seguridad de la Informacin

Fuente: Department of Computer Science at Johns Hopkins University (http://www.cs.jhu.edu/~sdoshi/jhuisi650/papers/spimacs/SPIMACS_CD/wisg/p1.p df) Direct Desde el punto de vista operativo, es de suma importancia tener a todos los responsables en la seguridad informtica en estrecha comunicacin. Estableciendo un mecanismo interno de trabajo que les permita responder rpidamente a cualquier incidente de seguridad.

15

Seguridad de la Informacin Plan de Implementacin de la Gestin de Seguridad de la Informacin 01/09/12

Monitor Desde el punto de vista de monitoreo, se requiere una continua evaluacin de los riesgos y establecer contramedidas a stos sin embargo, tambin se requiere de un monitoreo en tiempo real de incidentes de seguridad a fin de darles seguimiento en ese mismo momento. Evaluate En esta fase, se toma de base la informacin capturada en la fase de monitoreo para medir el desempeo y efectividad de la estrategia de seguridad implementada. As mismo, en esta fase se toman las acciones pertinentes para mejorar la seguridad o atender cualquier incidente. En este proceso de evaluacin se harn los reportes a los altos ejecutivos quienes en todo momento debern estar enterados de cualquier situacin relacionada a la seguridad de la informacin. Oversee Sern responsables de las auditoras relacionadas a Seguridad de la Informacin. 7.5 CONCIENTIZACION Y CAPACITACION Para asegurar el cumplimiento de la estrategia de seguridad de la informacin es importante que todos los involucrados, incluyendo a los usuarios finales sean capacitados en Seguridad Informtica la cual se deber acompaar de una campaa de concientizacin. En ese sentido, el Comit Directivo deber elaborar una estrategia de concientizacin y capacitacin de todo el personal de la organizacin incluyendo al menos los siguientes temas: Nivel de Gestin Consejo Direccin Capacitacin Conceptos bsicos de Gestin de

seguridad de la informacin y riesgo Direccin Ejecutiva Conceptos bsicos de Gestin de

seguridad de la informacin, riesgo y

16

Seguridad de la Informacin Plan de Implementacin de la Gestin de Seguridad de la Informacin 01/09/12

planeacin estratgica Comit Directivo Conceptos seguridad, bsicos riesgos, de gestin de de

Administracin

proyectos, mejores practicas Director de seguridad de la informacin Certificacin en auditoria, mejores CISO practicas, ( COBIT, ITIL, Ethical Hacking, ISACA, CCNA) Auditores Certificacin en auditoria, mejores

practicas, ( COBIT, ITIL, Ethical Hacking, ISACA, CCNA)

17

Seguridad de la Informacin Plan de Implementacin de la Gestin de Seguridad de la Informacin 01/09/12

8. DESARROLLO DE UN PLAN DE IDENTIFICACIN Y EVALUACIN DE RIESGO


La identificacin del riesgo es un proceso repetido que debe realizarse constantemente y debe integrarse con la estrategia y planificacin de la organizacin. Es de gran importancia, identificar aquellos riesgos a los que se enfrenta la institucin, que representan una amenaza para el cumplimiento de los objetivos estratgicos y el cumplimiento de la estrategia de seguridad de la informacin. PROCESO RIESGOS ITERATIVO DE GESTIN DE

8.1 PERCEPCIN DEL RIESGO En el proceso de identificacin de riesgos, influye la percepcin que se distingue de los riesgos. La percepcin del riesgo como amenaza es el tipo ms utilizado para identificarlos. En este contexto, gestionar el riesgo significa instalar sistemas de control que minimicen tanto la probabilidad de que ocurran sucesos negativos como su severidad (la prdida econmica que supondra para el emprendedor). Es un enfoque de naturaleza defensiva, su propsito es asignar recursos para reducir la probabilidad de sufrir impactos negativos. Desde la percepcin del riesgo como oportunidad, la gestin significa utilizar tcnicas que maximicen los resultados, limitando los posibles
18

Seguridad de la Informacin Plan de Implementacin de la Gestin de Seguridad de la Informacin 01/09/12

perjuicios o costes. El enfoque es de naturaleza ofensiva. La gestin del riesgo desde la perspectiva del riesgo como incertidumbre se dirige a minimizar la desviacin entre los resultados que la empresa desea obtener y los que realmente obtiene. Para la identificacin de los riesgos en seguridad de la informacin de la Secretara del Estado del Despacho Presidencial, se hizo uso de la percepcin del riesgo como amenaza. 8.2 PROCEDIMIENTO DE IDENTIFICACIN DEL RIESGO Existen diversas tcnicas utilizadas para la identificacin de riesgos. Entre los procedimientos ms comunes se destacan: Anlisis de Procesos: Procedimiento enfocado en identificar riesgos

operativos. Cuestionarios: Enfocados a detectar las preocupaciones del personal sobre riesgos o amenazas que perciben en el entorno operativo. Lluvia de Ideas: Un equipo de empleados se rene para exponer ideas o sensaciones de riesgo. Entrevistas: Un especialista(s) en riesgos prepara una serie de entrevistas para diferentes responsables en la organizacin, con el fin de extraer sus preocupaciones. Talleres de Trabajo: Reunin de un grupo de empleados, enfocados en identificar riesgos y su posible impacto en la empresa. Comparacin con Otras Organizaciones: Utilizacin de BENCHMARKING para compararse con los competidores. Con el fin de que el procedimiento de riesgos sea exitoso, es necesario considerar los siguientes factores: 1. Obtener el apoyo y particin de la alta gerencia. 2. Involucrar a expertos tcnicos y expertos en el negocio. 3. Distribuir la responsabilidad a travs de las unidades de negocio. 4. Documentar y mantener los resultados.

19

Seguridad de la Informacin Plan de Implementacin de la Gestin de Seguridad de la Informacin 01/09/12

El conjunto de tcnicas utilizadas para la identificacin de los riesgos de seguridad de la informacin en la Secretara del Estado del Despacho Presidencial se bas en la combinacin de Anlisis de Procesos, Lluvia de Ideas y Talleres de Trabajo. 8.3 RIESGOS EN SEGURIDAD DE LA INFORMACIN Las organizaciones generalmente logran percibir los riesgos en la seguridad de la informacin hasta que se ven altamente expuestos a estos. La identificacin de riesgos es un proceso constante debido a que la utilizacin de nuevos equipos y tecnologas, hace que los riesgos clsicos de seguridad tambin vayan cambiando y se vayan modificando. La identificacin de los riesgos permite a los tomadores de decisiones tener la informacin necesaria para comprender los factores que influyen

negativamente en las operaciones de la institucin. De este modo, la toma de decisiones se realiza de forma informada, tomando las acciones necesarias para reducir el riesgo. La evaluacin de los riesgos en la seguridad de la informacin representa un gran reto, debido a que los datos y probabilidad asociados con los factores de seguridad de la informacin son limitados y cambian constantemente. Por ejemplo: La probabilidad de que un hacker sofisticado ataque y los costos de los daos, prdidas o problemas son difciles de calcular. La prdida en la confianza del cliente y la divulgacin de informacin sensible, inherentemente son difciles de cuantificar. Los riesgos de seguridad de la informacin encontrados en la Secretara del Estado del Despacho Presidencial, se presentan a continuacin:

20

Seguridad de la Informacin Plan de Implementacin de la Gestin de Seguridad de la Informacin 01/09/12

Escala de Probabilidades y Magnitud 1 Insignificante Ninguna) 2 3 4

(incluido

Baja Media Alta Riesgo = Probabilidad de Amenaza

x Magnitud de Dao

Bajo Riesgo = 1 6 (verde) Medio Riesgo = 8 9 (amarillo) Alto Riesgo = 12 16 (rojo)

IDENTIFICACIN DE RIESGOS Riesgo Exposicin Cdigo Malicioso Fuga Informacin Confidencial Ataques de 1 2 2 de 2 2 4 Probabilidad a 2 Magnitud 3 Clasificacin 6

Ingeniera Social Accesos Lgicos 2 3 6

No Autorizados Accesos Fsicos 3 4 12

No Autorizados Daos por Fallas 3 de Elctrica Energa 4 12

21

Seguridad de la Informacin Plan de Implementacin de la Gestin de Seguridad de la Informacin 01/09/12

Daos Perforacin Tuberas Incendios Inundacin Terremotos Infeccin Mquinas Virus Intromisiones Nivel de Red

por 4 de

16

3 1 1 de 2 Por

4 4 4 2

12 4 4 4

a 2

Intrusiones en la 2 Base de Datos Huelgas Fallas de Terceros Intromisiones 4 3

3 3 4

12 9 8

a 2

Nivel de Sistema Operativo Fallas por Errores 3 Humanos Fraudes 1 2 3 3 6 3 9

Fallas en los Aires 2 de Precisin Robo Contraseas Hurto Hacking a 3 la 2 de 2

3 4

9 8

Pgina de Internet Falta de Planes de 2 4 8

22

Seguridad de la Informacin Plan de Implementacin de la Gestin de Seguridad de la Informacin 01/09/12

Contingencia Fallas Control Cambios Configuraciones Falta Identificacin de 3 de 3 9 en el 3 de de 3 9

Vulnerabilidades Cultura Organizacional no Orientada Seguridad Informacin Fallas en Filtros de 3 Correo Electrnico Fallas Restricciones Mensajera Instantnea Fallas en las 3 de de 2 6 en 2 de 2 4 3 9 a de la la 4 4 16

Restricciones Navegacin Internet Fallas Seguridad VPNs Fallas en en

la 3 de

la 2 de

Segmentacin las VLANs

23

Seguridad de la Informacin Plan de Implementacin de la Gestin de Seguridad de la Informacin 01/09/12

8.4 BENEFICIOS DE LA IDENTIFICACIN DE RIESGOS El proceso de identificacin de los principales riesgos, trae consigo los siguientes beneficios: Existe una garanta de que los mayores riesgos han sido identificados y evaluados. Existe una mayor comprensin de los riesgos y las acciones a tomar. Permite hacer uso de mecanismos en donde se llega a un consenso para priorizacin de los riesgos. La identificacin de los riesgos es un soporte para proceder a la implementacin de controles y para la elaboracin de un plan de accin de seguridad de la informacin. El proceso iterativo, permite monitorear el riesgo y reducir los impactos de estos.

24

Seguridad de la Informacin Plan de Implementacin de la Gestin de Seguridad de la Informacin 01/09/12

9. DETERMINACIN DE AMENAZAS Y VULNERABILIDADES


Una vulnerabilidad en seguridad informtica se refiere a una debilidad que permite a un atacante reducir la capacidad de un sistema para asegurar la confidencialidad de la informacin. La vulnerabilidad es una interseccin de tres elementos bsicos: la susceptibilidad de un sistema de informacin, la capacidad del atacante de acceder al sistema de informacin y la capacidad del atacante de explotar la debilidad encontrada. Para explotar la vulnerabilidad, el atacante puede hacer uso de herramientas o tcnicas, capaces de infringir con la seguridad de los sistemas de informacin o de la red. La administracin de vulnerabilidades, al igual que la gestin del riesgo, se convierte en un proceso cclico de identificar, clasificar, remediar y mitigar las vulnerabilidades. En seguridad de la informacin, una amenaza se refiere a la probabilidad de que ocurra una situacin capaz de explotar una vulnerabilidad que comprometa la informacin y que pueda causar daos. Cuando una amenaza hace uso de una vulnerabilidad para infringir daos, se genera un impacto. En seguridad informtica, el impacto se contextualiza por medio de la prdida de disponibilidad, integridad y confidencialidad. Las vulnerabilidades y amenazas pueden clasificarse segn los efectos causados, como ser: Interrupcin: Los recursos de un sistema o servicios no se encuentran disponibles. Intercepcin: Una entidad no autorizada, consigue acceso a un recurso. Modificacin: Una entidad no autorizada consigue acceso a informacin y es capaz de manipularla. Fabricacin: Creacin de elementos nuevos dentro de los servicios tecnolgicos.

Por otro lado, las vulnerabilidades y amenazas pueden clasificarse segn su forma actuar: Escaneo de Puertos: Identificacin de puertos abiertos y de utilidad para el atacante.

25

Seguridad de la Informacin Plan de Implementacin de la Gestin de Seguridad de la Informacin 01/09/12

Ataques de Autentificacin: Un atacante es capaz de suplantar un ente con autorizacin para acceder a los servicios. Explotacin de Errores: Bsqueda de agujeros de seguridad en los sistemas operativos, protocolos de red o aplicaciones. Ataques de Denegacin de Servicios: Consiste en dejar fuera de servicio un ente, un servidor u otro componente de la infraestructura tecnolgica.

La identificacin de amenazas y vulnerabilidades es un paso crucial para determinar el grado de exposicin de la seguridad de la informacin. A continuacin se presenta una lista de las amenazas ms comunes que existen en la Seguridad de la Informacin. Las amenazas marcadas con una X, se determinaron como posibles amenazas de la Secretaria de Estado del Despacho Presidencial. La Naturaleza y Accidentes 1 2 3 4 5 6 7 8 Terremotos Derrumbes Volcanes Incendios Lluvias e Inundaciones Accidentes de Transporte (Carros, Aviones) Exposicin a Materiales Peligrosos Llamaradas Solares X X

Empleados Actuales y Ex Empleados 1 2 Errores Humanos Sabotaje X X

26

Seguridad de la Informacin Plan de Implementacin de la Gestin de Seguridad de la Informacin 01/09/12

3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21

Alteracin Vandalismo Hurto Sindicatos y Huelgas Pandemias y Enfermedades Intercambios de Informacin Fraude Responsabilidad en Acciones de Empleados Escndalos Crmenes Corporativos Abuso Discriminatorio Acoso Laboral Acoso Sexual Conducta No Profesional Negligencia Conducta Pasiva/Agresiva Venganzas Fraudes en Seguros Demandas en Contra del Empleador

X X X X X X X X

X X

Competidores 1 Espionaje Industrial

27

Seguridad de la Informacin Plan de Implementacin de la Gestin de Seguridad de la Informacin 01/09/12

2 3 4 5 6 7 8 9

Hurto de Propiedad Intelectual Infracciones de Copyright Vilipendio Infracciones Ilegales Sobornos Infraccin de Patentes Investigaciones Competitivas Vigilancia de Precios

Litigantes 1 Bsqueda de Datos Confidenciales como Prueba X

La Prensa 1 2 3 Mala Publicidad Exposicin de Secretos Industriales Exposicin de Estrategia y Nuevos Productos X

HACKERS 1 2 3 4 Suplantacin IP Ingeniera Social Ataques de MAN IN THE MIDDLE Envenenamiento DNS X X X X

28

Seguridad de la Informacin Plan de Implementacin de la Gestin de Seguridad de la Informacin 01/09/12

5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22

Troyanos CRACKS Gusanos Virus Espionaje SPAM PHISHING SPYWARE MALWARE Desciframiento de Contraseas SNIFFING de Red BACK DOOR/TRAP DOOR TUNNELING Ataques a la Pgina WEB Secuestro de Sesiones/IP Ataques REPLAY Manipulacin de Sistemas Penetracin de Sistemas

X X X X X X X X X

X X X

Criminales 1 2 Secuestro Soborno X X

29

Seguridad de la Informacin Plan de Implementacin de la Gestin de Seguridad de la Informacin 01/09/12

3 4 5 6 7 8 9 10

Extorsin Fraude Robo Ataques Fsicos a la Infraestructura Chantaje de Informacin Asaltos Venta de Informacin Robada Acoso Ciberntico

X X

Gobierno, Terroristas y Organizaciones Polticas 1 2 3 4 5 6 7 8 9 10 Actos de Guerra Guerras Nucleares Guerras Biolgicas Guerras Qumicas Guerras Tecnolgicas Espionaje Terrorismo Ciber-Guerras Armas Electromagnticas Intervencin Telefnica X X X X

Existe un mito comn en la gestin de la seguridad de la informacin: Vulnerabilidades = Amenazas. Existen expertos en seguridad que generalmente confunden 2 de los

30

Seguridad de la Informacin Plan de Implementacin de la Gestin de Seguridad de la Informacin 01/09/12

trminos ms importantes en seguridad de la informacin. Las amenazas se refieren a personas, tecnologa o eventos que tienen el potencial de causar incidentes de seguridad de la informacin. Las vulnerabilidades son las brechas que pueden ser explotadas por las amenazas. A continuacin, se enumeran las vulnerabilidades ms comunes en la Seguridad de la Informacin. Las que se encuentran marcadas con una X, se encontraron durante la investigacin realizada a la Secretara del Estado del Despacho Presidencial. Empleados 1 2 3 4 5 6 7 8 9 10 11 12 13 14 Interaccin Social Interaccin con el Cliente Discutir Asuntos de Trabajo en Lugares Pblicos Sacar Documentos e Informacin de la Oficina Enviar Documentos e Informacin Por Correo Enviar Por Correo o Fax Informacin de la Oficina Instalacin de Aplicaciones No Autorizadas Desinstalar o Deshabilitar Herramientas de Seguridad Permitir Acceso a Personas No Autorizadas Abrir EMAILS que Contienen SPAM Conectar Dispositivos Personales a la Red de la Compaa Escribir las Contraseas o Informacin Sensible Prdida de Documentos de Identificacin (Carnet de la Empresa) Poco Conocimiento de Seguridad de la Informacin X X X X X X X X X X

31

Seguridad de la Informacin Plan de Implementacin de la Gestin de Seguridad de la Informacin 01/09/12

Ex Empleados 1 2 3 Ex Empleados Trabajando para la Competencia Ex Empleados que Conservan Informacin de la Empresa Ex Empleados que Discuten Informacin de la Empresa X X

Tecnologa 1 2 3 4 5 6 Redes Sociales Paginas para Compartir Archivo Cambios Rpidos en la Tecnologa Sistemas Viejos de Legaca Almacenar Informacin en Dispositivos Mviles Navegadores de Internet X X X

HARDWARE 1 2 3 4 Susceptibilidad al Sucio, Calor y Humedad Debilidades de Diseo de Hardware Hardware Desactualizado Hardware Mal Configurado X X

SOFTWARE 1 2 Pruebas de Compatibilidad Insuficientes Falta de Controles de Rastros para Auditoras X

32

Seguridad de la Informacin Plan de Implementacin de la Gestin de Seguridad de la Informacin 01/09/12

3 4 5 6 7

Mal Diseo de Software Software que No Considera Factores Humanos Complejidad del Software Software como Un Servicio Vendedores de Software que Cambian de Dueo o Quiebran

X X

Redes 1 2 3 4 5 6 7 Comunicaciones de Red Desprotegidas Conexiones Fsicas Abiertas Infraestructuras de Red Inseguras Cuentas de Usuario sin Utilizar Privilegios Excesivos a Usuarios Ejecucin de SCRIPTS Innecesarios Redes Inalmbricas X X X

Administracin de TI 1 2 3 4 5 6 Capacidad Insuficiente de TI Falta de Actualizacin de Parches Mal Manejo de Incidentes y Problemas Falta de Notificacin de Errores y Alertas de Seguridad Errores de Sistema Operativo Falta de Auditoras Regulares X X X X

33

Seguridad de la Informacin Plan de Implementacin de la Gestin de Seguridad de la Informacin 01/09/12

7 8 9 10 11 12 13 14 15 16

Mal Manejo de la Basura Insuficiente Control de Cambios Fallas en los Procesos de Negocio Reglas de Negocio Inadecuadas Controles de Negocio Inadecuados Procesos Incapaces de Considerar Factores Humanos Sobre-Confianza en Controles de Seguridad Falta de Gestin de Riesgos Constantes Cambios en el Negocio Falta de un Plan de Continuidad del Negocio

X X X X X X X X

Socios y Proveedores 1 2 3 4 5 6 7 Disrupcin de Servicios de Telecomunicaciones Disrupcin de Servicios Pblicos como Electricidad, Gas y Agua Fallas de Hardware Fallas de Software Prdidas de Correo y Paquetes (Fsicos) Interrupciones de Suministro Compartir Datos Confidenciales con Socios y Proveedores X X X X X X

Clientes 1 Los Clientes Acceden a reas Seguras

34

Seguridad de la Informacin Plan de Implementacin de la Gestin de Seguridad de la Informacin 01/09/12

Los Clientes Acceden a Datos Confidenciales

Oficinas y Data Centers 1 2 3 4 5 6 Sitios Propicios a Desastres Naturales Lugares de Inestabilidad Poltica Lugares Sujetos a Espionaje de Gobierno Fuentes de Energa Poco Confiables reas de Altos ndices de Criminalidad Sitios Mltiples en la Misma rea Geogrfica X X

Algunas vulnerabilidades especficas, encontradas en la investigacin, se enumeran a continuacin: 1. No existe un sitio alterno para recuperacin de los datos en caso de que el Data Center actual se vea comprometido. 2. Existe una tubera de agua desprotegida que cruza el espacio fsico del Data Center. 3. No existe un dispositivo de comunicacin de respaldo, para el dispositivo de comunicacin en donde se conectan todos los servidores. 4. No existen mecanismos de proteccin contra incendios. 5. El acceso al Data Center principal se realiza por medio de una llave comn. No existe autenticacin biomtrica, ni una bitcora de accesos de entradas y salidas del Data Center.

35

Seguridad de la Informacin Plan de Implementacin de la Gestin de Seguridad de la Informacin 01/09/12

10.

CREACIN DE UN PLAN DE CONTINUIDAD DE NEGOCIO Y

RECUPERACION EN CASO DE DESATRES


Este plan se diseo para asistir con la recuperacin de sistemas empresariales crticos. Su estructura se describe continuacin pero, idealmente, los usuarios debern haberlo ledo antes y estar familiarizados con su contenido. Si usted no esta familiarizado con este documento y su contenido, gran parte de la informacin que usted requiere esta dentro de este plan y puede ser entendido rpidamente. La tabla de contenido a continuacin le ayudara a travs del plan. Lee la tabla de contenido a continuacin para entender lo que esta en este plan, a continuacin comenzar con la seccin 2 y trabajar a travs del plan por etapas. El resto del plan provee mas detalles y debe ser contemplado como lo requiere la seccin 2 y si es necesario. 10.1 PROPSITO Y ALCANCE 10.1.1 Propsito El propsito de este Plan de Recuperacin de Desastres es proporcionar un conjunto de procedimientos para: Evaluar si una situacin potencialmente desastrosa ha surgido. Limitar el dao causado por el desastre. Asegurar que la recuperacin es posible despus de un desastre. Habilitar el restablecimiento de los servicios estratgicos al personal clave dentro de un plazo definido. Habilitar la restauracin del servicio completo normal en el menor tiempo posible.

10.1.2 Alcance El Plan de Recuperacin de Desastres esta limitado a la recuperacin del Ministerio de la Presidencia en la oficina principal y no cubre todos los aspectos de la recuperacin del negocio. En el peor de los escenarios, este plan supone la destruccin parcial o
36

Seguridad de la Informacin Plan de Implementacin de la Gestin de Seguridad de la Informacin 01/09/12

total en la oficina principal con la consiguiente perdida de algunos o todos los materiales. Este plan se limita a: Aplicaciones de Bases de Datos SQL Server y MySQL. Servidor de correos Exchange. Windows 2003 y Aplicaciones identificadas como crticas. La conectividad de la red como esta prevista en Honduras. Capacidad inicial para apoyar a los usuarios designados clave.

Este plan no incluye: Recuperacin de las oficinas general de la casa presidencial y otros ministerios. Enlaces de comunicacin WAN. Los procedimientos de usuario final para cubrir la prdida de servicio y de datos entre las aplicaciones de respaldo. 10.1.3 Supuestos Los usuarios finales remotos de Ministerio de la Presidencia, son capaces de continuar con su negocio sin las instalaciones centrales, por un periodo que podra ser superior a tres das. Los usuarios finales de la Secretara de la Presidencia, son capaces de recuperarse desde el punto de las ltimas copias de seguridad, que podra ser de hasta dos das de trabajo en el momento del desastre. Que el contenido de este plan ser aplicado y probado dos veces por ao. Que la Secretara de la Presidencia y sus procedimientos de control y cambios incluye la enmienda a este plan cuando sea relevante.

37

Seguridad de la Informacin Plan de Implementacin de la Gestin de Seguridad de la Informacin 01/09/12

10.2 PRIMEROS PASOS 10.2.1 Consideraciones de Seguridad y Medios de Comunicacin Con carcter prioritario, todas las acciones deben ser adoptadas para garantizar la vida de las personas y reducir al mnimo cualquier posible dao en caso de que el desastre sea total. Considere la posibilidad de: Las personas que resultaron heridas deben moverse a una zona segura, y brindarles primeros auxilios. Es seguro para entrar o permanecer en el lugar afectado? Contactar a los servicios de emergencia pertinentes ej. polica, servicios de ambulancia, bomberos y similares. Es imperativo que los comentarios emitidos por la Secretara de la Presidencia sean claros, coherentes y correctos; por lo tanto, todas las comunicaciones externas deben ser dirigidas a travs de la oficina de comunicaciones de la Secretara.

10.2.2 Reconocimiento En el caso de una emergencia es esencial evaluar la situacin y reconocer que es probable que tenga o haya ocurrido un desastre. En esta etapa el objetivo no es llevar acabo una evaluacin formal, sino reconocer que ha surgido una situacin de emergencia de manera que la escalada puede seguir. Debe tener en cuenta: Que personas han sido afectadas? Qu edificios son afectados? Que servicios han sido afectados? Qu recursos han sido afectados? Que acceso ha sido afectado?

38

Seguridad de la Informacin Plan de Implementacin de la Gestin de Seguridad de la Informacin 01/09/12

10.2.3 Montar el Equipo de Evaluacin de Desastres Si hay alguna razn para creer que la situacin puede ser un desastre, entonces tantos miembros como sea posible del equipo designado para evaluacin de desastres, deben ser contactados. Equipo de Evaluacin de Desastres Nombre Telfono Casa Joaqun Alcerro (504) (504)33905458 (504) (504)99465074 (504) (504)99820026 (504) (504)99820026 Administrador de la Red Director Tcnico Gerente de Operaciones Celular Habilidades/Funcin Trabajo DR Designado Coordinador de

Una vez montado si el designado coordinador de recuperacin de desastres no esta disponible, el equipo debe designar a uno de los presentes. Si esto no puede ser realizado rpidamente entonces la persona de ms alto nivel del equipo de recuperacin de desastres actuara como coordinador de recuperacin de desastres. En ausencia de un lugar adecuado para cumplir, se sugiere lo siguiente: Si el desastre se suscito en la oficina principal, el lugar definido por la Alta Gerencia se utilizara como un centro de datos o con un proveedor que proporcione servicios de Data Center certificado.

10.2.4 Evaluacin El equipo de desastre debe verificar la informacin que puede ser obtenida y decidir sobre el grado de severidad del desastre y sus implicaciones. Una definicin de un desastre ya ha sido acordada con la gestin empresarial de alto nivel, para ayudar en esta evaluacin lo siguiente:
39

Seguridad de la Informacin Plan de Implementacin de la Gestin de Seguridad de la Informacin 01/09/12

El evento que significa que la comunicacin con los sistemas de principales necesarios para ejecutar el negocio no estarn disponibles durante un periodo de 72 horas Cualquier evento que signifiqu que los sistemas crticos necesarios para ejecutar el negocio no estarn disponibles por un periodo de 72 horas El equipo debe evaluar la magnitud del desastre y el curso de accin necesario. Considere: Evaluacin Accin Tpica

Daos importantes en el sitio de los Invocar con el proveedor de DR contratados equipos que requieren los servicios (outsourcing) y poner en marcha el plan de completos de instalacin de recuperacin completa.

recuperacin remota. El desastre ha limitado el impacto Invocar con el proveedor de DR contratados fsico pero los servicios de IT estn para el sitio alterno, solucin mvil, enviar al gravemente daados. sitio un de kit de IT, especifico si procede. Un subconjunto del plan de recuperacin para restaurar los servicios. El desastre se limita a un equipo Invocar con el proveedor de DR contratados especfico. para enviar al sitio base. O proceder con los manuales y procedimientos para la recuperacin

10.2.5 Escalada En este punto se considera que la evaluacin se concluye en un desastre, que la situacin existe y es necesario intensificar el proceso e invocar los planes de recuperacin. Notificacin Es esencial que las siguientes personas y organizaciones sean notificadas inmediatamente de la situacin de 'desastre' y el plan de accin propuesto: Gerente de IT HN IT Manager

40

Seguridad de la Informacin Plan de Implementacin de la Gestin de Seguridad de la Informacin 01/09/12

Gerente Financiero HN Local CFO Gerente General HN Local CEO Encargado de comunicaciones Proveedores de servicio de recuperacin de desastre

10.3 ESTRATEGIA DE RECUPERACIN En el caso de la prdida total de la prestacin o que la oficina de la Secretara de la Presidencia este inoperable por un perodo de tres das, el objetivo es recuperar las instalaciones de servicios de TI en otro sitio. Si despus de un perodo adicional de hasta ochenta das es imposible volver a ocupar la oficina principal los servicios de TI, ser restablecido en otro sitio. Para ayudar a la recuperacin: Mltiples equipos de recuperacin deberan ser reunidos y desplegados. Los servicios de mltiples proveedores deben ser contratados. Los registros vitales se mantienen y se almacenan fuera del sitio. Los planes individuales se mantienen para cada plataforma.

10.3.1 Paso de Recuperacin 1- Enfoque de Equipo Se sugiere que la recuperacin se realice con el despliegue de hasta cinco equipos: Gestin de Desastres y Coordinacin del Equipo Encabezado por el Coordinador de Recuperacin de Desastres que gestiona la recuperacin efectiva del proyecto, este equipo: Evala y concilia las prioridades de la cooperacin, mientras que coordina los equipos de recuperacin especficos de IT. Informa a los ejecutivos de la Secretara de la Presidencia y proporciona los medios de informacin, ya sea directamente o a travs de un portavoz. Sirve de enlace con la Secretara de Finanzas en funciones y sitios.

41

Seguridad de la Informacin Plan de Implementacin de la Gestin de Seguridad de la Informacin 01/09/12

Equipo de Recuperacin de Windows Este equipo administra y efecta la recuperacin de los sistemas Windows y las aplicaciones de IT incluyendo la "infraestructura". El equipo trabaja en conjunto con el equipo de Bases de Datos local, redes y equipos de recuperacin de aplicaciones al mismo tiempo reporta directamente al Coordinador de recuperacin de desastres. Equipo de Recuperacin de Bases de Datos Local. Este equipo administra y efecta la recuperacin de Bases Datos local. El equipo trabaja en conjunto con el equipo de Windows, Redes y Aplicaciones de los equipos de recuperacin y presenta informes directamente al Coordinador de recuperacin de desastres. Equipo de Recuperacin de Redes Este equipo administra y maneja la recuperacin de los enlaces de red. El equipo trabaja en conjunto con el equipo de Windows, aplicaciones y el equipo de recuperacin de Bases de Datos local y presenta informes directamente al coordinador de recuperacin de desastres. Equipo de Recuperacin de Aplicaciones Este equipo administra y maneja la recuperacin del resto de las aplicaciones. El equipo trabaja en conjunto con el equipo de Windows, redes, y Bases de Datos local y presenta informes directamente al coordinador de recuperacin de desastres. Equipo de Recuperacin de Servicios de Asistencia y Operaciones Este equipo proporciona servicios de asistencia y reporta directamente al coordinador de recuperacin de desastres. Los equipos deben ser revisados y modificados si fuera necesario a la luz de las prioridades acordadas y el curso de accin. Asegrese que las personas asignadas a los equipos tengan las habilidades y los conocimientos necesarios para llevar a cabo las tareas. En este punto, el equipo de Evaluacin de Desastres se disolver y pasa el control a la gestin de desastres y Equipo de Coordinacin.

42

Seguridad de la Informacin Plan de Implementacin de la Gestin de Seguridad de la Informacin 01/09/12

10.3.2 Paso de Recuperacin 2 Montar Equipos de Recuperacin Dependiendo de la magnitud de la catstrofe es ahora necesario montar los equipos de recuperacin adecuado. La coordinacin de recuperacin de desastres es responsable de la formacin de estos equipos.

10.3.3 Paso de Recuperacin 3 - Invocar los Procedimientos de Servicios de Recuperacin de Negocio El equipo de Gestin de Desastres ahora debe invocar la recuperacin de desastres completo con un proveedor de servicios de Data Center certificado. Utilice el siguiente procedimiento: Preparar la siguiente informacin antes de hacer la llamada al proveedor. 1. 2. 3. 4. Nombre del cliente y direccin Nmero de cliente: 1929 El sitio designado afectado Numero de telfono para la llamada devuelta por el director o equipo de especialistas de recuperacin de desastres. 5. Especifique que producto o servicio debe ser utilizado, y alguna capacidad adicional (como previamente se ha arreglado con el proveedor). 6. El tiempo de utilizacin para empezar, y si es posible la duracin prevista.

Representantes autorizados a llamar al proveedor, numero de telfono 000-0000 (0800 17.30 lunes a viernes), 0000-0000 (otros horarios). Si el llamado se hace fuera de horarios, deje un mensaje y el coordinador de operaciones lo llamara en 15 minutos. (Este acuerdo se deber negociar) Brinde el estado que esta colocando una LLAMADA DE ALERTA DE DESASTRE. El coordinador de operaciones de suministro con la informacin requerida. La persona asignada para la recuperacin de desastres se pondr en contacto con el cliente, o bien confirmar el uso de las instalaciones del proveedor y una copia de seguridad de la Secretara de la Presidencia.

43

Seguridad de la Informacin Plan de Implementacin de la Gestin de Seguridad de la Informacin 01/09/12

10.3.4 Paso de Recuperacin 4 Recuperar los Registros Vitales Los registros vitales se almacenan fuera del sitio con el apoyo de medios electrnicos e incluyen guas tcnicas de recuperacin especficas para cada plataforma. Adicionalmente, el DR de la Secretara enva el Documento de Recuperacin de desastres de la Secretara de la Presidencia y copias adicionales mantenidas en memorias Flash USB, y Cintas Magnticas. Utilice el siguiente procedimiento para autorizar y solicitar servicios contratados fuera del sitio de almacenamiento de la Secretara de la Presidencia para entregar los materiales de recuperacin para recuperacin de desastres o al proveedor: Prepare la siguiente informacin antes de hacer la llamada al proveedor. 1. Nombre del cliente y direccin 2. un numero de referencia 3. La direccin de que los materiales deben ser entregados a El proveedor Tegucigalpa D.C. Honduras C.A. TEL. (504)2222-0345 mvil (504)9999-5074, 3333-5458, 9998-0026 4. Los materiales que se entregaran: Servidor de Respaldo - semana 1, 2, 3, 4 o 5 Las cintas ms recientes de Bases de Datos semanal o mensual Estado del sistema ms reciente del Windows Ultima cinta de configuracin del Router principal Ultimo reporte de las aplicaciones Lista mas reciente de las direcciones IP Toda la informacin necesaria para las diferentes aplicaciones Etc. Representantes Autorizados para llamar a la Secretara de la Presidencia, numero de telfono 222-2222 (Horas de Oficina) o 999-9999 (fuera de horarios). Personal de recepcin deber estar registrado en la firma de compaas autorizadas para la recepcin de los materiales de la Secretara de la Presidencia.

44

Seguridad de la Informacin Plan de Implementacin de la Gestin de Seguridad de la Informacin 01/09/12

10.3.5 Paso de Recuperacin 5 Desplegar Equipos de Recuperacin Desplegar el: Equipo de recuperacin de Windows Equipo de recuperacin de Bases de Datos Local Equipo de recuperacin de Redes Equipo de recuperacin de Aplicaciones a: El proveedor. Edif xxxxx Col. xxxx fte. Lugar xxxx Tel. (504)2222-0345 mvil (504)9999-5074, 3333-5458, 9998-0026 Tegucigalpa D.C. Honduras C.A.

10.3.6 Recuperacin Lnea de Servicios Servicio de asistencia debe ser puesta en el Data Center del proveedor o lugar alternativo hasta que las instalaciones de IT se restablezcan en la oficina principal de la Secretara o un lugar alternativo.

10.3.7 Recuperacin Prximos Pasos En esta etapa el Servicio de Recuperacin de Negocios ha sido invocado, los equipos de recuperacin desplegados y los registros vitales transportados desde el almacenamiento fuera del sitio del centro de recuperacin. Cada equipo de recuperacin ahora emplea guas especficas para la recuperacin de las plataformas que son responsables para. Por favor refirase a los documentos vitales: SDP HN Honduras DR BD Local Gua de Recuperacin de Desastres - SDP HN-DR-002. SDP HN Honduras DR Aplicaciones Gua de Recuperacin de Desastres SDP HN-DR-003. SDP HN Honduras DR Windows Gua de Recuperacin de Desastres SDP HN-DR-004.
45

Seguridad de la Informacin Plan de Implementacin de la Gestin de Seguridad de la Informacin 01/09/12

SDP HN Honduras DR Comunicaciones e Infraestructura de Red Gua de Recuperacin de Desastres SDP HN-DR-005. SDP HN Honduras DR Empieza Aqu SDP HN-DR-006.

La Recuperacin de Desastres y Gestin de Equipo de Coordinacin debe ahora controlar el progreso de la recuperacin de aplicaciones especficas con el fin de buscar la aceptacin del usuario y sign-off de la recuperacin con un acceso controlado a los sistemas de recuperacin. La recuperacin proporciona una lista de consideraciones y acciones que deben revisarse de manera peridica durante la recuperacin. Con la recuperacin inminente es necesario abordar el restablecimiento a la normalidad de los servicios de IT en la Secretara de la Presidencia.

10.4 RESTABLECIMIENTO DE LOS SERVICIOS IT EN LA SECRETARA DE LA


PRESIDENCIA El acuerdo actual con los proveedores de servicios y productos para el uso de sus servicios de recuperacin es de hasta 16 semanas. En el caso de que la oficina de la Secretara de la Presidencia este desocupada por un perodo superior a este perodo, y la construccin no esta de acuerdo a una extensin temporal de otras disposiciones, ser necesaria volver a establecer instalaciones permanentes de TI. Es muy difcil predecir las circunstancias que prevalecen por lo que este captulo tiene por objeto proporcionar una lista de consideraciones y probablemente lugares.

10.4.1 Lugares para el restablecimiento de servicio IT de la Secretara de la Presidencia Las siguientes localidades pueden ser consideradas para el restablecimiento de los servicios IT: Lugares El proveedor Consideraciones Conexin existente a la red de la Secretara de la Presidencia, sitio controlado, ej. Acceso seguro, suministro de oficinas con espacios de parqueo, solo para el personal necesario.

46

Seguridad de la Informacin Plan de Implementacin de la Gestin de Seguridad de la Informacin 01/09/12

En un permetro no mayor de 20 kilmetros. Direccin exactos y lugar Conexin existente a la red de la Secretara de la Presidencia, sitio controlado ej. Acceso seguro, suministro de oficinas y espacios para parqueo. En un permetro no mayor de 130 kilmetros.

10.4.2 Consideraciones para el restablecimiento de los Servicios IT. Equipo de Escritorio Adquisicin, configuracin. Comunicaciones Voz, datos. Personal viaje, pago, perturbacin, alojamiento, moral. Sitio distancia, acceso (posiblemente 24 horas), parqueos, espacios de oficina. Ambiente IT.

Equipos de Recuperacin de Desastres El Equipo de Evaluacin de Desastres Nombre Telfono casa Telfono Celular Habilidades trabajo /Funcin de

3390-5458 9946-5074

Designado Coordinador DR Administracin, Aplicaciones,

Sistemas Operativos de Red / Gerente de IT y Operaciones 9982-0026 Asociado a Redes, Sistemas

Operativos de Red, Aplicaciones / Gerente Tcnico

La Gestin de Desastres y el Equipo de Coordinacin Nombre Telfono de Telfono Casa Celular 9946-5074 Habilidades/Funcin Trabajo Gerente IT de

47

Seguridad de la Informacin Plan de Implementacin de la Gestin de Seguridad de la Informacin 01/09/12

9982-0026

Gerente de Operaciones

Equipo de Recuperacin de Windows (HW/SW) Equipos: Windows Server, Active Directory, Exchange, SQL Server local. Nombre Telfono de Telfono Casa Joaqun Alcerro Celular 9982-0026 Habilidades/Funcin Trabajo Preparacin Server/Active Webmail/Proxy/ Joaqun Alcerro 9982-0026 Preparacin de Windows Server para /Exchange/Domino Outsourcing1 Restauracin y configuracin de SAN Outsourcing2 Configuracin Firewall Outsourcing3 Configuracin y restauracin de SQL Server Outsourcing4 Configuracin Antivirus Outsourcing5 Instalacin, Configuracin y y restauracin/ y restauracin/ de Windows Directory/ de

restauracin de Virtualizacin

Equipo de Recuperacin de Bases de Datos Local (HW/SW) Equipos: Windows, SQL Server, Restauracin y configuracin de Aplicaciones. Nombre Telfono de Telfono Casa Joaqun Alcerro Outsourcing1 Celular 9982-0026 Habilidades/Funcin Trabajo Preparacin de Windows Server. Restauracin y configuracin de Aplicaciones de

48

Seguridad de la Informacin Plan de Implementacin de la Gestin de Seguridad de la Informacin 01/09/12

Outsourcing2

Configuracin de SQL Server.

El Equipo de Recuperacin de Redes Equipos: Cisco IOS, TCP/IP Nombre Telfono de Telfono Casa Joaqun Alcerro Proveedor 1 Celular 9982-0026 9982-4816 Habilidades/Funcin Trabajo CCNA/Administrador de la Red CCNA/Supervisor Configuracin de la red Proveedor 2 Certificado en Cat5 and 6 de de

/Supervisor de red cableada.

Equipo de Servicios de Asistencia y Operaciones Nombre Telfono de Telfono Casa Donaldo Sarmiento Joaqun Alcerro Outsourcing Celular 9946-5074 9982-0026 Habilidades/Funcin Trabajo Administrador IT Administrador de Operaciones Supervisor Coordinador asistencia Outsourcing Supervisor de operaciones / de de operaciones/ Servicios de de

Centro Soporte Outsourcing Supervisor de operaciones /

Soporte Tcnico Nota: el primer miembro de cada equipo de la lista es el lder del equipo sugerido, sin embargo, las circunstancias podran dictar lo contrario.

49

Seguridad de la Informacin Plan de Implementacin de la Gestin de Seguridad de la Informacin 01/09/12

Contactos Internos Nombre Telfo Telfono Habilidades Direccin

no de Celular Casa 9946-5074 IT Manager Col la Campaa 3ra calle casa 2943. 9982-0026 Infrastructure Manager, NOS Col Israel sur bloque R casa 18, 2da etapa cuadra al norte del anillo perifrico. 33903390-5458 3390CEO Honduras CFO Honduras Director Recursos Humanos 3390-3157 Director Comercial 3390-4536 Gerente Planta 3391-8606 Industrial Expantion Manager (Lempira) Coordinador de Seguridad Empresarial de

50

Seguridad de la Informacin Plan de Implementacin de la Gestin de Seguridad de la Informacin 01/09/12

Externos Compaa Contacto / Telfono Habilidades Direccin en

Funcin de trabajo

Tegucigalpa D.C. / Sistema maneja que

GBM

Tulio Tercero

232-2319

Respaldo de datos

Edif. Sonisa fte colonia Luis Landa /Representante de IBM y sus productos, consultoras, partes.

Netsystem

Emyl Ponce / Gerente General

9920-6091

Soporte IT, Network Asociated

Col. Villa vieja /soporte IT /Outsourcing IT, Infraestructura, comunicaciones, Equipos por pedido.

Electryce

Carlos Fernndez/ Gerente General

255-2132

Cableado Estructurado, Electricidad

Col. Hato de En medio / cableado de red en lugar, acometidas de servicio.

Multidata

Yuri Lpez/ Asesor Ventas

206-3282

Comunicacin e infraestructura

Anillo perifrico contiguo a Nacional de ingenieros Coliseo, / enlace de datos TGU-COM.

Navega

Wilfredo Banegas Jefe NOC/

99963202/2754545

ISP

Boulevard La Hacienda, plaza Creta/ proveedor de

51

Seguridad de la Informacin Plan de Implementacin de la Gestin de Seguridad de la Informacin 01/09/12

Gabriela Urrea Siemens Sergio Paz/Jefe de Ventas 269-2424 Proveedor de Planta telefnica y accesorios

Internet.

Boulevard Suyapa Contiguo Procredit/ representante de Siemens internacional.

ENETCOM

Javier

230-

Proveedor de Servicios de Configuracin de plantas Telefnicas Siemens

Col. Kennedy 3ra calle, 3era entrada 3ra avenida, casa 3617/configuracin de plantas telefnicas Centro Comercial los Castaos/Final del Boulevard Morazn edif. Tigo / telefona celular Roaming internacional, GSM, plan corporativo.

Crcamo/Ge 6993/7217 rente General 5601/3309 -2514

Tigo

Hilda Mabel Pagoaga /Flor Idalma Herrera

99475116/9992 -5810

Proveedor de telefona Celular

Claro

Lourdes Manzanares

205-4301

Proveedor de telefona Celular

Col. San Carlos contiguo a metro media. / Telefona celular Roaming internacional, plan corporativo.

Lufergo

Marco Baca/ asesor de ventas

232-4016, 232-4317

Proveedor de Equipos de computo DELL,

Col. Florencia atrs de Banpas del Boulevard Suyapa/

52

Seguridad de la Informacin Plan de Implementacin de la Gestin de Seguridad de la Informacin 01/09/12

software Symantec.

Representante de DELL venta de Hardware y software Symantec.

Cosem

Allan Chinchilla

235-2150

Proveedor de Equipos de computo HP

Edificio Cosem, Atrs de Plaza Sta. Mnica del Boulevard Suyapa / Representante de HP Venta de porttiles y desktop HP

CCS Intelisys

Fernando Castro B

232-4141

Proveedor de Equipos de Computo, Software de antivirus, NOS.

Edif. Quilico, Boulevard Morazn / venta de computadoras HP y software (HP, McAfee, Microsoft)

Grupo POPA

Norman Meja/ Asesor de ventas

235-9509

Proveedor de Equipos de Computo/software/

Colonia Tepeyac Ave. Luis Bogrn 1326 Tegucigalpa

Virtualizacin/Servi D.C. cios.

Infotec

Tulio Tercero/Ra l Aguilera

2694462/63

Proveedor de Equipo de Cmputo.

Centro Comercial del aeropuerto o Centro Comercial los Prceres.

Multisistem as

Irma Gonzales/ asesor de

220-1454

Proveedor de Equipos de Computo.

Representante de HP tramita garantas a equipos

53

Seguridad de la Informacin Plan de Implementacin de la Gestin de Seguridad de la Informacin 01/09/12

Ventas Columbia electrnica Rodman Elvir/asesor de ventas, tcnico 225-0698 Proveedor de equipos brother y servicios de mantenimientos a los mismos Jetstereo Yuri Rub/asesor de ventas Rosabal Electrnica Jos Chacn 2320290/2887619 287-844050 Proveedor de Equipo para impresin en Red Proveedor de Equipos de proteccin elctrica

HP Boulevard comunidad econmica europea, barrio Guacerique # 2029 Sala de ventas de equipos de oficina boulevard Morazn. Colonia Alameda Ave, Tiburcio Carias Andino casa# 528 /representante de Panam APC, venta, instalacin y asesora de equipo de proteccin, UPS, Reguladores, Racks, gabinetes.

Ingelmec

Ing. Abraham Riera/ asesor de Ventas

2310846/64/9 7

Proveedor de Equipos de proteccin elctrica

Colonia las minitas contiguo al redondel hacia Cybex /representante de Liebert venta, instalacin y asesora de equipo de proteccin UPS, reguladores, piso falso. Racks, gabinetes.

54

Seguridad de la Informacin Plan de Implementacin de la Gestin de Seguridad de la Informacin 01/09/12

Contactos del Edificio y Servicios Compaa Contacto Numero Telfono de Direccin /sistema que maneja de

/oficina/celular Empresa de Seguridad SANAA ENEE Jos Arely Alemn Emergencias Emergencias 239-8472 239-2939/ 9547-0186 Predios del IPM y FHIS, col. Lomas de Toncontn D.C. 1era Ave. Fte. Yude Canahuati Boulevard Suyapa fte. Supermercado La colonia # 1. Bomberos Control de Incendios 246-4900/ 239-8472 198 Cruz Roja Polica Mantenimiento de aire acondicionado Servicios de Correo Sonia Moreno de Meza 239-2728/ 9986-1609 Colonia el Prado, 1ra calle. Calle de la salud Casa # 872. Emergencias 195 Emergencias 199 Adalid Izaguirre 245-8759/ 9905-7411 Tegucigalpa D.C. Tegucigalpa D.C. Anillo perifrico fte. International School. Tegucigalpa D.C.

Hardware Incluido en este DR Plan

55

Seguridad de la Informacin Plan de Implementacin de la Gestin de Seguridad de la Informacin 01/09/12

Servidores Windows incluidos en este DR Plan Equipos: Windows, SQL Server, Restauracin y configuracin de Aplicaciones. Servidor Funcin No CPU Memoria Infraestructura Active Directory PDC / WINS / DNS / 1 DHCP / Exchange Domino Mail Server 1 4096MB 2048MB 2x68GB RAID 6.10 IBM 278.87GB RAID 5 DELL SQL local File Server Share Folders 1 4096MB Server BD Historical Data Base. 1 3072/640MB 305.1+33.9GB RAID 7.0 IBM 278.87GB RAID 5 DELL McAfee Antivirus Web Mail Antivirus Server External Mail Service by DMZ. Proxy SQL Server SQL local De Escritorio Desktops Support/recovery staff 160 1 2.8 Almacenamiento SAN Almacenamiento 8 200 GB Normal 400 ZIP x 1.00gb 80gb Server BD Historical data base 1 3072MB 305.1GB IBM ISA Server 1 512MB 1 6144MB 136.73GB 42.37GB IBM 37.29GB ATA RAID 1 Especificacin Disco Duro

SERVERAID 7.00

Equipo de Redes Incluido en este Plan

56

Seguridad de la Informacin Plan de Implementacin de la Gestin de Seguridad de la Informacin 01/09/12

Servidores

Funcin

No Especificacin

Cisco 2950

Switch Ncleo

de 1 /

de configuracin fija, gestionado conmutadores 10/100 Mbps proporciona una conectividad de grupos de trabajo de base para las redes de pequeas a medianas empresas.

Core Switch

Cisco series

2900

XL Switch ncleo

de 1 /

Deteccin automtica 10/100 Fast Ethernet que ofrecen un rendimiento excepcional, modularidad verstil y fcil de usar de gestin. incluye tres configuraciones modulares con diferentes

Core Switch

densidades de Puerto. Trendnet Te 100 - Switch S24V de 1 24 10/100Mbps Auto-negociacin, Auto-MDIX Fast Ethernet Ports, Full / Half-Duplex modo de transferencia para cada puerto, Soporta 768K bytes de datos de RAM de bfer, el control de flujo IEEE 802.3x para modo half duplex, Soporta puertos VLAN (25 grupos) y Port-Based / IEEE 802.1p Calidad de servicio (alta o baja). Linksys SR224 Switch de 3 Cuenta con 24 puertos 10/100 proporcionar ancho de banda dedicado a la mitad-o full-duplex modos, sus puertos conmutados 10/100 funcionan a 200 Mbps en modo full-duplex, una serie de puertos que el apoyo automtico MDI / MDI-X de deteccin de cable, compatible con los principales sistemas operativos de red, la tienda ha avanzado y renvo de conmutacin de paquetes optimiza la

Distribucin

Distribucin /Distribution switch

transferencia de datos, ha particionado automtico que protege los ordenadores de las lneas cadas de red, y tiene la regeneracin de seales

57

Seguridad de la Informacin Plan de Implementacin de la Gestin de Seguridad de la Informacin 01/09/12

garantiza la integridad de la transferencia de datos. Dlink DES-1024D Switch de 1 Soporte Full / Half duplex por puerto

Distribucin

Control de flujo para la transmisin segura Auto-negociacin MDI / MDIX

Inventario de Software Software Software Software de Oficina MS Office Standard Edition MS Project Adobe Acrobat Internet Explorer Back Office Software Windows Server Exchange SQL Server Database Sistema Operativo de Desktop Windows End of table XP sp 2 /Vista 20/09/09 Server CAL 8.0.6 / 8.1.6 7 7 2003 2003 8.0 6.0 Vendedor Versin

Informacin sobre licencia de Software Producto MS Office 2003 Suplidor Microsoft Llave de Licencia

Tabla de Aplicaciones Criticas de la Secretara de la Presidencia

58

Seguridad de la Informacin Plan de Implementacin de la Gestin de Seguridad de la Informacin 01/09/12

Aplicacin Active Directory Exchange

ABO / Descripcin Joaqun Alcerro / Provee polticas, permisos para el acceso de todos los usuarios. Joaqun Alcerro SDP HN / Exchange es la aplicacin de correo de Ministerio de la Presidencia.

SQL Server BD Local McAfee Firewall

Joaqun Alcerro SDP HN / Servidor de Bases de Datos Joaqun Alcerro SDP HN / Servidor de Antivirus. Joaqun Alcerro SDP HN / El firewall protege la red corporativa desde el acceso no autorizado de la red externa. Una vez que la conexin se establece desde el sitio de recuperacin para acceder a la red externa SDP HN los accesos sern siempre garantizados por el cortafuego y servidores Proxy.

Internet access

Joaqun Alcerro SDP HN / acceso a internet.

Registros Vitales y de los Materiales La Secretara de la Presidencia utiliza los servicios de datos de la empresa especialista en almacenamiento de un proveedor vital para almacenar copias de seguridad de medios y documentos. Una serie de documentos y materiales se han identificado como esenciales para la recuperacin de las operaciones de IT. Estos documentos son designados como "documentos vitales". La siguiente es una lista de los registros vitales designados: Registros Vitales Titulo del Documento Plan de Recuperacin de Este documento contiene un plan detallado de las medidas necesarias para identificar, escalada, invocar y recuperar los Contenido

59

Seguridad de la Informacin Plan de Implementacin de la Gestin de Seguridad de la Informacin 01/09/12

Desastres SDP HN.

servicios clave a personal clave en caso de un desastre. Proporciona informacin sobre la planificacin para la restauracin de los servicios normales. Se complementa con: Gua de Recuperacin de Aplicaciones de Bases de Datos SDP HN. Gua de Recuperacin de Aplicaciones de Servidores Windows SDP HN. Paquete de Recuperacin de Desastres para Router SDP HN.

Gua de Recuperacin de Aplicaciones Bases de Datos SDP HN Gua de Recuperacin de Aplicaciones de Servidores Windows Paquete de Recuperacin de Desastres para Router Contraseas

Instrucciones detalladas para restaurar y recuperar las aplicaciones de Bases de Datos SDP HN.

Instrucciones detalladas para restaurar y recuperar las aplicaciones crticas de servidores Windows SDP HN, incluyendo Exchange, aplicaciones hospedadas, PDC y DNS, DHCP instalaciones.

Las instrucciones detalladas y los elementos para recuperar la infraestructura crtica de comunicaciones SDP HN.

Detalles o almacenamiento de contraseas crticas por ejemplo, Administradores de dominio, raz, etc.

60

Seguridad de la Informacin Plan de Implementacin de la Gestin de Seguridad de la Informacin 01/09/12

Material de Respaldo Material SAN Propsito Copias de seguridad de Servidor de archivos, BD Local, Exchange Concesin de Licencias Documentos de Oficina Copia de Seguridad del Estado del Sistema Memoria Flash del Router Respaldo de datos de la configuracin del router Respaldo de Datos o el almacenamiento de contraseas crticas, por ejemplo, Administrador de dominio, usuario, etc. Numero de Licencia

Ver especficas de Servidor Windows, Exchange y guas de recuperacin de Bases de Datos para Descripciones detalladas de las copias de seguridad de los materiales y las polticas. Varios Material Vital Material Papelera pre Impresa Propsito No se Utiliza Actualmente

Listas de Verificacin Lista de Notificacin En el caso de que se declarara una "catstrofe", muchas de las siguientes personas deben ser notificadas. Posicin Nombre Telfono Casa HN IT Manager SDP HN Bill Gates Finance Julio Sandoval de Telfono Celular 9946-5074 3390-5458 Terminado

61

Seguridad de la Informacin Plan de Implementacin de la Gestin de Seguridad de la Informacin 01/09/12

Director SDP HN Infrastructure Joaqun Alcerro Manager Communications Manager Outsourcing Provider Service Mnica Naranjo 9982-0026

Lista de Verificacin de Evaluacin de Recuperacin La siguiente lista de consideraciones debe ser revisada de manera regular Durante la recuperacin. Consideraciones Ha sido todo el equipo de gestin disponible informado de la emergencia y la ubicacin del centro de control? Ha sido comunicada la evaluacin de los daos iniciales a todos los equipos de gestin? Hay algn asunto personal que necesite ser resuelto? Si es necesario, tener la liberacin de los registros vitales autorizados Recuerde que usted puede tener slo un lugar. Son necesarias medidas especiales de seguridad, debido por ejemplo a la sospecha de incendio provocado? Es el sitio Seguro? Ha sido designado el coordinador de desastres y los miembros del equipo estn en modo de espera? Tiene el equipo de Windows, redes y equipo de directores de operaciones designados con los miembros de su equipo en modo de espera? Tiene la evaluacin de daos detallada, basada en lista de comprobacin, indicar la necesidad de invocar el plan de recuperacin y declarar un desastre? Notas

62

Seguridad de la Informacin Plan de Implementacin de la Gestin de Seguridad de la Informacin 01/09/12

Si la declaracin de desastre ha sido declarado a todos los jefes de equipo en el lugar y los miembros del equipo? Los usuarios han sido informados de la situacin y su papel? Estn los arreglos en el lugar para que el equipo de gestin le mantenga informados del progreso? Han sido informados los altos ejecutivos Tienen vas de comunicacin hacia los altos ejecutivos como se acord? La recuperacin inicial a la ltima copia de seguridad ha terminado? Cul es la situacin de las aplicaciones individuales? Ha sido restaurada el trabajo Normal en los departamentos de negocio? Cual es la situacin del reaseguro? Cul es el estado de re restablecimiento?

Lista de Evaluacin de Daos Los siguientes aspectos deben ser evaluados en el caso de una "catstrofe" que se declara. Aspectos Evaluar en Principales Servicios Comentarios Terminado

Edificio General

Acceso Servicios Emergencia Zonas Exclusin Estructura Sala Informtica Seguridad Electricidad Generador de de de

63

Seguridad de la Informacin Plan de Implementacin de la Gestin de Seguridad de la Informacin 01/09/12

Edificio Interno Entorno y Equipos de IT Personal

UPS Telefona Agua Distribucin Elctrica Cableado Iluminacin Proteccin contra incendios Aire Acondicionado Primer Piso Segundo Piso Tercer Piso Techo Servidores Oracle Servidores Windows Router Switches Arreglos Disco Bibliotecas Cintas Seguridad Rack Gabinetes Lesiones de de

64

Seguridad de la Informacin Plan de Implementacin de la Gestin de Seguridad de la Informacin 01/09/12

Disponibilidad Notificaciones Habilidades Tercerizacin

Informacin til Hotel Alojamiento.

Caractersticas de los Servidores. Tipo de Alias Serial 003E19946D56AE TEGHN CD1 8E0E00DCB3BD3 0C201 00B9BFC39564FD TEGHN CF02 TEGHN CDBB0 1 TEGHNI SA 3HS1HM23 FIXED ATA ST340016A 8B0E006FB6BD30 C201 00C6F23622AE8F 491000E03ECD90 EC01 FIXED RAID DELL PERC 6/I 1.11 278.87 GB 37.29 GB FIXED RAID DELL PERC 5/I 1.03 278.87 GB FIXED RAID DELL PERC 5/I 1.03 278.87 GB disco Tipo de bus Modelo Tama o

65

Seguridad de la Informacin Plan de Implementacin de la Gestin de Seguridad de la Informacin 01/09/12

TARIFI CADOR TEGHN ASR01 TEGHN ARA TEGHN COST1 6 TEGHN COST1 8 TEGHN CIP01 TEGHN TIV01 800055F500 8000Error! No se encuentra origen TEGHN CIP01 TEGHN TIV01 TEGHN SEPM0 1 TEGHN CD9 TEGHN N/A N/A FIXED FIXED RAID SCSI IBM RAID 1 IBM SERVERAID 7.00 JFV84SEC FIXED N/A HP DF146BABUE HPD6 8A9F6AE201 FIXED RAID IBM SERVERAID 6.10 de el la FIXED RAID IBM SERVERAID 6.10 800019DB00 FIXED RAID IBM SERVERAID 6.10 6RW0PXE3 FIXED ATA ST380815AS 6RW0PX2Q FIXED ATA ST380815AS 6FB1RK7X FIXED ATA ST340810A 3HS2GY5R FIXED ATA ST340016A 3HS1KGNH FIXED ATA ST340016A

37.29 GB 37.29 GB 37.29 GB

74.53 GB

74.53 GB 67.79 GB 68.37 GB

referencia.A2AB0 1 FIXED RAID IBM SERVERAID 6.10

67.79 GB 410.19 GB

136.73 GB 67.79 GB 101.70

66

Seguridad de la Informacin Plan de Implementacin de la Gestin de Seguridad de la Informacin 01/09/12

CJ1 TEGHN CJ1 TEGHN CJ1 TEGHN CJ2 TEGHN CJ3 TEGHN CJ5 TEGHN WEB01 TEGHN SOL02 TEGCLI ECOSTI NG TEGHN SOL02 TEGHN COSTIN VNVB30G2T2V72 G 26 V FIXED ATA IC35L060AVV207-0 VNC404A4DXUN UF VNVB30G2T2T04 V FIXED ATA IC35L060AVV207-0 FIXED ATA IC35L080AVVA07-0 N/A VN64RECDF6951 H FIXED ATA HDS722516VLAT20 FIXED RAID IBM RAID 1 N/A FIXED SCSI IBM SERVERAID 7.00 N/A FIXED RAID IBM RAID 1 N/A FIXED RAID IBM SERVERAID 4.84 N/A FIXED SCSI IBM SERVERAID 7.00 N/A FIXED SCSI IBM SERVERAID 7.00

GB 101.70 GB 101.70 GB 33.89 GB 16.95 GB 33.90 GB 42.37 GB 128.00 GB

74.50 GB 37.27 GB

37.27 GB

67

Seguridad de la Informacin Plan de Implementacin de la Gestin de Seguridad de la Informacin 01/09/12

11. DESARROLLO DE UN PLAN DE GESTIN DE RESPUESTAS A INCIDENTES


Este plan se diseo para asistir con la evaluacin de incidentes o una situacin de emergencia para determinar y categorizar si existe un desastre, incidente, alerta o evaluacin. Su estructura se describe continuacin pero, idealmente, los usuarios

debern haberlo ledo antes y estar familiarizados con su contenido. 11.1 PROPSITO Y ALCANCE 11.1.1 Propsito El propsito de este plan de gestin de respuestas a incidentes y emergencias es proporcionar un conjunto de procedimientos para: Evaluar si una situacin potencialmente desastrosa ha surgido. Evaluar si la situacin es un desastre, incidente o alerta. Evaluar cambios relevantes en este manual. Determinar el nivel de severidad del desastre, incidente o alerta si existe. Ejecutar el Plan de Recuperacin de Desastres. Montar un Centro de Comando Temporal. Habilitar la restauracin del servicio completo normal en el menor tiempo posible, si solo es un incidente o alerta.

11.1.2 Alcance El plan de gestin de incidentes y emergencias est limitado a la evaluacin preliminar de un incidente o emergencia de la Secretaria de la Presidencia y su centro de datos y no cubre todos los aspectos del plan de contingencias o desastres del negocio. En el peor de los escenarios, este manual supone la destruccin parcial o total del centro de datos de la Secretaria de la Presidencia y el centro de datos con la consiguiente perdida de algunos o todos los materiales o equipos. Este manual se limita a: Aplicaciones SQL Server.

68

Seguridad de la Informacin Plan de Implementacin de la Gestin de Seguridad de la Informacin 01/09/12

Servidor de correos Exchange. Equipo de respaldos. Gestin de la conectividad del enlace Internacional. Windows Server y Aplicaciones identificadas como crticas. La conectividad de la red como est prevista en Honduras.

11.1.3 Supuestos Este manual Supone: Que a pesar que el centro de datos se destruyo el resto del edificio, la Secretaria de la Presidencia se mantiene intacta y accesible. En caso de que la emergencia se limite a un incidente, alerta o simple evaluacin, el personal de IT deber realizar las gestiones pertinentes para reactivar los servicios daados. Los usuarios finales locales y remotos de Secretaria de la Presidencia, son capaces de continuar con su negocio sin las instalaciones centrales, por un periodo que podra ser superior a 24 horas. Que el contenido de este plan ser aplicado y probado 6 veces por ao. Que la Secretaria de la Presidencia y sus procedimientos de control y cambios incluye la enmienda a este plan cuando sea relevante. 11.1 PRIMEROS PASOS 11.2.1 Consideraciones de Seguridad y Medios de Comunicacin Con carcter prioritario, todas las acciones deben ser adoptadas para garantizar la vida y reducir al mnimo cualquier posible dao en caso de que la emergencia no est controlada. Considere la posibilidad de: Las personas que resultaron heridas en el movimiento a una zona segura, y la prestacin de primeros auxilios. Es seguro entrar o permanecer en el lugar afectado?

69

Seguridad de la Informacin Plan de Implementacin de la Gestin de Seguridad de la Informacin 01/09/12

Es imperativo que los comentarios emitidos por la Secretaria de la Presidencia sean claros coherentes y correctos; por lo tanto, todas las comunicaciones externas deben ser dirigidas a travs de la oficina de comunicaciones del grupo.

11.2.2 Reconocimiento En el caso de una emergencia es esencial evaluar la situacin y reconocer que es probable que tenga o haya ocurrido un incidente. En esta etapa el objetivo no es llevar acabo una evaluacin formal, si no reconocer que ha surgido una situacin de emergencia de manera que la escalada puede seguir. Debe tener en cuenta: Que servicios han sido afectados? Qu recursos han sido afectados? Que acceso ha sido afectado?

11.2.3 Montar el Equipo de Evaluacin de Emergencias (Triage). Si hay alguna razn para creer que la situacin puede ser un incidente, alerta o evaluacin entonces tantos miembros como sea posible del equipo designado para evaluacin de emergencias, deben ser contactados. Equipo de Evaluacin de Emergencias (Triage) Nombre Telfono Casa Joaqun Alcerro (504) (504)99820026 Paul McCartney (504) (504)33905458 John Lennon (504) (504)99820026 Ringo Starr (504) (504)9946Encargado Evaluacin. Encargado Planificacin Operaciones, Designado Coordinador, CFO. Celular Habilidades/Funcin Trabajo Lder Triage de

70

Seguridad de la Informacin Plan de Implementacin de la Gestin de Seguridad de la Informacin 01/09/12

5074 John Harrison (504) (504) Encargado Seguridad

Empresarial, Logstica.

Una vez montado el equipo si el designado coordinador de evaluacin de emergencias no est disponible, el equipo debe designar a uno de los presentes. Si esto no puede ser realizado rpidamente entonces la persona de ms alto nivel del equipo de evaluacin de emergencias actuara como coordinador de evaluacin de emergencias. En ausencia de un lugar adecuado para cumplir, se sugiere lo siguiente. La oficina principal de la Secretaria de la Presidencia se utilizar como un centro de comando.

11.2.4 Evaluacin El equipo de evaluacin de emergencias debe verificar la informacin que puede ser obtenida y decidir sobre el grado de severidad del desastre o incidente y sus implicaciones. El equipo debe evaluar la magnitud del desastre o incidente y el curso de accin necesario.

11.2.5 Escalada En este punto se considera que la evaluacin se concluye en un desastre o incidente la situacin existe y es necesario intensificar el proceso de restauracin de los equipos que sufrieron daos y se toma como desastre para invocar los planes de recuperacin segn el nivel de severidad encontrado. Notificacin Es esencial que las siguientes personas sean notificadas inmediatamente de la situacin de 'desastre' o 'incidente' y el plan de accin propuesto: Gerente de IT

71

Seguridad de la Informacin Plan de Implementacin de la Gestin de Seguridad de la Informacin 01/09/12

HN IT Manager Gerente Financiero HN Local CFO Gerente General HN Local CEO Encargado de comunicaciones Proveedores de servicio de recuperacin de desastre si amerita.

11.3 ESTRATEGIA DE ACCIN Y EVALUACIN (TRIAGE) En el caso de la prdida total de la prestacin o que la oficina de Secretaria de la Presidencia este inoperable por un perodo de 24 horas. Para ayudar a la evaluacin: Un equipo de evaluacin (Triage) debera ser reunido y desplegado. Si el desastre es evidente se deber invocar el Plan de Recuperacin de Desastres. Los servicios de mltiples proveedores deben ser contratados si el desastre es evidente. Determinar que el sitio es seguro y se puede comenzar la evaluacin. Evaluar los equipos del centro de datos. Determinar el nivel de severidad del desastre o incidente. Los planes individuales se mantienen para cada plataforma. Superar el incidente si existe a travs del despliegue del Triage.

11.3.1 Paso de Evaluacin 1- Enfoque de Equipo Se sugiere que la evaluacin se realice con el despliegue del Triage:

Gestin de evaluacin y Coordinacin del Equipo

72

Seguridad de la Informacin Plan de Implementacin de la Gestin de Seguridad de la Informacin 01/09/12

Encabezado por el Coordinador del (Triage) que gestiona la evaluacin efectiva del sitio, este equipo: Evala y concilia las prioridades basado en los reportes generados por el equipo, mientras que ejecuta lo que corresponde segn la evaluacin del centro de datos. Informa a ejecutivos de la Secretaria de la Presidencia y proporciona los medios de informacin, ya sea directamente o a travs de un portavoz. Sirve de enlace con la Secretaria de la Presidencia en funciones y sitios. En ausencia del Coordinador del Triage, designa un nuevo Coordinador.

Coordinador Triage. Administra, Gestiona, Evala, Controla la situacin basado en la informacin suministrada por el resto del equipo. Ejecuta segn reportes lo que corresponda a cada rea (Logstica, planificacin, Finanzas, Operaciones). Decide el cierre del incidente o el comienzo del Plan de Recuperacin de Desastres. Encargado de Logstica. Efecta la movilizacin externa de personal, entrada y salida. Efecta la movilizacin externa de equipos y repuestos, entrada y salida. Sirve de enlace entre el encargado de planificacin, finanzas y coordinador Triage encaminado a agilizar el restablecimiento de los equipos incluyendo la infraestructura. Reporta directamente a Coordinador Triage.

Encargado de Evaluacin y Operaciones. Efecta o designa personal para la evaluacin de los equipos e infraestructura daados. Genera el reporte de daos. Efecta la movilizacin interna de personal, entrada y salida. Efecta la movilizacin interna de equipos y repuestos, entrada y salida.

73

Seguridad de la Informacin Plan de Implementacin de la Gestin de Seguridad de la Informacin 01/09/12

Sirve de enlace entre encargado de evaluacin, planificacin, logstica y Coordinador Triage encaminado a agilizar el restablecimiento de los equipos incluyendo la infraestructura.

Reporta directamente a Coordinador Triage y Encargado de Planificacin.

Encargado de Planificacin. Efecta la planificacin interna de personal, entrada y salida. Asigna tareas al personal. Genera reportes de cantidades de equipos, repuestos segn evaluacin. Gestiona la compra de equipos y repuestos para reparacin o substitucin. Gestiona la contratacin de proveedores de productos y servicios. Sirve de enlace entre encargado de evaluacin, finanzas y Coordinador Triage encaminado a agilizar el restablecimiento de los equipos incluyendo la infraestructura. Reporta directamente a Coordinador Triage.

Encargado de Finanzas. Administra recursos financieros para la movilizacin y contratacin de personal. Administra recursos financieros para la compra de equipos y repuestos. Administra recursos financieros para la contratacin de proveedores. Recibe reportes de planificacin, logstica de equipos, repuestos, personal. Trabaja en conjunto con el encargado de planificacin, logstica y coordinador Triage encaminado a agilizar el restablecimiento de los equipos incluyendo la infraestructura. Reporta directamente a Coordinador Triage.

El equipo debe ser revisado y modificado si fuera necesario a la luz de las prioridades acordadas y el curso de accin. Asegrese que las personas asignadas al equipo tengan las habilidades y los conocimientos necesarios para llevar a cabo las tareas. Si el Triage determina un desastre:

74

Seguridad de la Informacin Plan de Implementacin de la Gestin de Seguridad de la Informacin 01/09/12

En este punto, el equipo de Evaluacin de Emergencias (Triage) se disolver invocara el Plan de Recuperacin de Desastres y pasa el control a la gestin de desastres y Equipo de coordinacin.

11.3.2 Paso de Evaluacin 2 Tipos de Desastre Desastres Naturales o Accin Humana Incendio total o parcial en el data center. Inundacin total o parcial en el data center. Dao fsico a la estructura del edificio y equipos del data center por terremoto o temblor. Corto circuito o tormenta elctrica que dae o afecte los equipos de data center.

Desastre Tecnolgico o Accin Humana Enlace fuera de servicio por un periodo mayor a 24 horas. Colapso de equipos o fallo interno por falta de mantenimiento o vida til.

11.3.3 Paso de Evaluacin 3 Nomenclatura Dependiendo de la magnitud de la emergencia es ahora necesario comenzar la evaluacin, rpida y concisa utilizando el cdigo de colores. Cdigo de Colores Accin Desastre, evaluacin. Color Negro: Daos importantes en los equipos que requieren, alta Medio: 6 - 8 Server Criticidad alta Menor: 5 - 3 Server Criticidad Categoras de desastres: Grave: 9 o + Server Criticidad Tpica para Declaracin alerta amarilla de o

Incidente,

sustitucin completa, (Irreparables, quemados, sumergidos en lquidos, no encienden).

75

Seguridad de la Informacin Plan de Implementacin de la Gestin de Seguridad de la Informacin 01/09/12

alta

1. Si la grafica contiene ms del 50% de los equipos (9 o ms equipos en color negro) de alta y media criticidad se declara un desastre con nivel de severidad 1. Invoque el Plan de Recuperacin de

Desastres.

2. Si la grafica contiene entre el 31% y 49% de los equipos (6 a 8 equipos en color negro) de alta y media criticidad se declara un desastre con nivel de severidad 2. Invoque el Plan de Recuperacin de

Desastres.

3. Si la grafica contiene el 30% de los equipos (5 a 3 equipos en color negro) de alta criticidad se declara un desastre con nivel de severidad 3. Invoque el Plan de Recuperacin de

Desastres. Color Rojo: Dao Considerable en los equipos se limita al impacto fsico pero reparable, el equipo enciende tiene video y muestra la Categoras de Incidentes: Grave: 4 Server Criticidad alta Medio: 3 Server Criticidad alta Menor: 2 Server Criticidad alta

76

Seguridad de la Informacin Plan de Implementacin de la Gestin de Seguridad de la Informacin 01/09/12

informacin de su hardware (BIOS), requiere cambio de partes como Disco Duro, Memoria, Tarjetas de expansin, etc. Posiblemente se puede recuperar aplicar DATA, garanta se o

Leve : 1 Server Criticidad alta 1. Si la grafica contiene ms del 50% de los equipos (9 o ms equipos en color rojo) de alta y media criticidad se declara un desastre con nivel de severidad 1. Invoque el Plan de Recuperacin de

recomienda

seguro segn corresponda.

Desastres. 2. Si la grafica contiene entre el 31% y 49% de los equipos (6 a 8 equipos en color rojo) de alta y media criticidad se declara un desastre con nivel de severidad 2. Invoque el Plan de Recuperacin de

Desastres. 3. Si la grafica contiene el 30% de los equipos (5 equipos en color rojo) de alta criticidad se declara un desastre con nivel de severidad 3. Invoque el Plan de Recuperacin de

Desastres. Color Amarillo: Dao medio o menor Categoras de alertas amarillas: severidad 1: 9 Server

en los equipos se limita al impacto Alerta amarilla lgico, el equipo enciende tiene Criticidad alta video y muestra su hardware

la informacin de Alerta amarilla severidad 2: 8 a 6 Server (BIOS), carga el Criticidad alta Alerta amarilla severidad 3: 5 Server

sistema operativo pero presenta mltiples errores lgicos, sistema operativo corrupto, aplicaciones

Criticidad alta

77

Seguridad de la Informacin Plan de Implementacin de la Gestin de Seguridad de la Informacin 01/09/12

daadas no cargan o muestran errores de DLL, hardware malos o no reconocidos, con una

1. Si la grafica contiene ms del 50% de los equipos (9 o ms equipos en color amarillo) de alta y media criticidad se declara un incidente alerta amarilla severidad 1. 2. Si la grafica contiene entre el 31% y 49% de los equipos (6 a 8 equipos en color amarillo) de alta y media

regeneracin se puede reactivar sin problemas.

criticidad no se declara un desastre, se declara un incidente alerta amarilla severidad 2. 3. Si la grafica contiene el 30% de los equipos (5 equipos en color amarillo) de alta y media criticidad se declara un incidente alerta amarilla

severidad 3. Color Verde: No presenta daos y Si la grafica presenta server en color verde se puede reactivar inmediatamente. significa que no tienen ningn problema y pueden operar en otro sitio.

11.3.4 Paso de Evaluacin 4 Evaluacin Rpida de Equipos Los equipos se debern evaluar en primera instancia por el Triage de forma rpida y concisa para tomar el mejor curso de accin en el menor tiempo posible. Si se determina la necesidad de regenerar los equipos daados tome en cuenta lo siguiente: Los registros vitales se almacenan fuera del sitio con el apoyo de medios electrnicos e incluyen guas tcnicas de recuperacin especficas para cada plataforma. Utilice el cdigo de colores para determinar rpidamente si es un desastre, incidente, alerta o simplemente una auditoria de control o evaluacin del manual.

78

Seguridad de la Informacin Plan de Implementacin de la Gestin de Seguridad de la Informacin 01/09/12

Matriz M.1
M. 1 EVALUACION DE SERVICIOS
Nivel de Criticidad Servicios Active directory 10 SAN DELL MD3000i 11 Plataforma de Virtualizacion 12 Firewall ISA Server Aplicaciones de Negocio y Base de Datos 13 Enlace de Internet 15 Colaboracion y Mensajeria Instantania 08 File Server 07 Portales pblicos institucionales 04 Antivirus Coorporativo 06 Servicio Actualizaciones Automticas Filtrado de Correo Electrnico Servicios de DNS Pblico Menos Critico Mas Critico

ALTA

entre 17 % y 30% Severidad 3 3 a 5 server

entre 31% y 49% Severidad 2 6 a 8 server

> del 50% Severidad 1 9 server o +

MEDIA

Mas Critico

Menos Critico

BAJA

Verde

Amarillo Nivel de Dao

Rojo

Negro

Desastre:

Incidentes:

Alerta Amarilla:

Severidad 1: mas 9 server alta, media Severidad 2: 6 a 8 sever alta, media Severidad 3: 3 a 5 server alta, media

Grave: 2 server alta, media y 8 baja Medio: 1 server alta, media y 8 baja Menor: 8 server criticidad baja Leve: < de 8 server criticidad baja

Severidad 1: mas de 9 server alta, media Severidad 2: 6 a 8 sever alta, media Severidad 3: 5 server alta, media
Verde: Pruebas o Auditoria

EVALUACION DE HARDWARE
Nivel de Criticidad Equipo Comunicacin Switch y Router Principal Equipo comunicacin de acceso de usuarios ALTA Menos Critico Mas Critico

entre 17 % y 30% Severidad 3 3 a 5 server

entre 31% y 49% Severidad 2 6 a 8 server

> del 50% Severidad 1 9 server o +

Aires Acondicionados de Presicin MEDIA Mas Critico UPS Menos Critico BAJA

Verde

Amarillo Nivel de Dao

Rojo

Negro

Desastre:

Incidentes:

Alerta Amarilla:

Severidad 1: mas 9 server alta, media Severidad 2: 6 a 8 sever alta, media Severidad 3: 3 a 5 server alta, media

Grave: 2 server alta, media y 8 baja Medio: 1 server alta, media y 8 baja Menor: 8 server criticidad baja Leve: < de 8 server criticidad baja

Severidad 1: mas de 9 server alta, media Severidad 2: 6 a 8 sever alta, media Severidad 3: 5 server alta, media
Verde: Pruebas o Auditoria

Codigo de Colores:
Negro: dao irreparable (quemado, no enciende)

Rojo: dao considerable pero arranca hasta el BIOS posiblemente se pueda recuperar datos. Amarillo: dao medio y menor pero reutilizable, errores de sistema operativo corrupto o aplicaciones daadas, error de memoria, etc. Verde: no presenta daos y se puede reactivar inmediatamente.

Nota: si el enlace con Columbus

se cae por mas de 24 horas y no se activa el de contingencias se convierte en un incidente grave

siempre y cuando, no implique equipos daados o compra de equipo

79

Seguridad de la Informacin Plan de Implementacin de la Gestin de Seguridad de la Informacin 01/09/12

Utilice el Diagrama D.1 de contenido y ubicacin para determinar rpidamente la posicin de cada equipo y considerar, si es un desastre, incidente, alerta o simplemente una auditoria de control o evaluacin del manual.
Organizacin de Server en Gabinetes y Rack's, Equipo de Comunicaciones de Unidad de Tecnologia SDP

Gabinete de servidores Izquierdo


42 ISA 41 40 CMS 39 38 37 36 35 34 33 32 31 30 29 28 27 26 25 24 23 22 21 20 19 18 17 16 FILE SERVER 15 14 13 12 11 10 9 8 7 6 5 4 3 2 1 15 14 13 12 11 10 9 8 7 BANDEJA Coredisa KVM BANDEJA MONITOR LCD SQL 39 38 37 36 35 34 33 32 31 30 29 28 27 26 25 24 23 22 21 20 19 18 17 16 41 40 42

Gabinete Servidores Central


42 SWITCH DELL Power Connect 6248 41 40 39 38 37 36 ARES Base de Datos -Instancia 2 35 34 33 32 METIS Administracion de cluster de virtualizacion y SAN 31 30 ATENEA Archivos e Impresion 29 28 ZEUS Controlador de Dominio 27 26 25 24 ARTEMIS Servidor 1 de Cluster de NLB del Firewall 23 22 21 20 19 18 17

Gabinete de UPS para Servidores


42 41 40 39 38 37 36 35 34 33 Monitor 32 31 30 29 28 KVM BANDEJA Teclado, mouse 27 26 25 24 UPS 1 23 22 21 20 Banco baterias de UPS1 19 18 17 Banco baterias 16 15 14 UPS 2 13 12 11 10 Banco baterias de UPS2 9 8 7 9 8 7 UPS 3 6 5 4 3 Banco baterias de UPS 3 2 1

RACK Comunicaciones
Regleta de corriente TRIPP LITE de 6 conectores

Organizador de Cables

Router Rv 042 6 puertos swtich Dell power connect 5324/ 24 puertos BANDEJA

QUIRON Antivirus Corporativo

Router Cisco 2800 series Patch panel 24 puertos de Back Bone Organizador de Cables 24 puertos Switch linksys SRW 248G4 / 48 Prt. De Respaldo organizador de Cables 24 puertos Switch catalyst 4948 Red Interna Pach Panel 24 Prt. para red UT Pach Panel 24 Prt. para red telefonica UT organizador de Cables de telefonia 24 puertos

HERA Controlador de Dominio Replica

APOLO servidor 2 del Cluster de NLB del Firewall

SBS

SAN

16 15 14

GEA Servidor 2 del Cluster de Base de Datos

13 12 11

URANO Servidor 1 del Cluster de Base de Datos

10

Sistema Financiero UAP

TEMIS Servidor 1 de Virtualizacion

6 5 4 3

UNTANGLE

5 4 3 2 1 TETIS Servidor 2 de Virtualizacion

2 1

Criticidad Alta

Vista Superior Data Center Panel corriente


Criticidad Media

Criticidad Baja

Gabinete Derecho UPS

Importante

R a c k

Gabinete Central Servidores

C o m u n i c a c i

Aire de Precision 5 toneladas

Gabinete Izquierdo Servidores Aire de Precision 5 toneladas

Puerta Data Center

80

Seguridad de la Informacin Plan de Implementacin de la Gestin de Seguridad de la Informacin 01/09/12

11.3.6 Recuperacin Lnea de Servicios Servicio de asistencia debe ser restablecidas en el menor tiempo posible.

11.3.7 Recuperacin Prximos Pasos En esta etapa si se determina un desastre el Plan de Recuperacin de Desastres deber ser invocado, los equipos de recuperacin desplegados y los registros vitales transportados desde el almacenamiento fuera del sitio del centro de recuperacin. Lista de Verificacin de la Evaluacin La siguiente lista de consideraciones debe ser revisada de manera regular durante la evaluacin: Consideraciones Se ha informado de la emergencia y la ubicacin de la misma a la brigada de seguridad? Es necesaria la presencia de entidades especializadas para evaluar daos? Son necesarias medidas especiales de seguridad para estabilizar el rea afectada segn reporte de las entidades especializadas? (ej. bomberos) Son necesarias medidas especiales de seguridad, debido por ejemplo a la sospecha de incendio provocado? Es posible acceder al sitio afectado? Se realizo ya la evaluacin de las aseguradoras, (si aplica) y permiten acceder a reas y equipos afectados? Ha sido convocado el equipo de evaluacin (Triage) disponible, e informado de la emergencia y la ubicacin de esta? Ver. Apndice A. Pg. 17 del manual de evaluacin de desastres. Cuenta con el diagrama de organizacin y ubicacin de los equipos en el Notas

81

Seguridad de la Informacin Plan de Implementacin de la Gestin de Seguridad de la Informacin 01/09/12

Data Center? Ver diagrama D.1 plastificado con las ubicaciones Cuenta con la lista de comprobacin para la evaluacin de los equipos en el Data Center? Ver matriz M.1 plastificado con las aplicaciones. Cuenta con personal calificado para la evaluacin de los equipos en el Data Center? Se ha iniciado la evaluacin de los daos a todos los equipos del Data Center? La magnitud de los daos evaluados determina? Es un Desastre Es un Incidente (escriba el tipo de incidente segn el nivel de dao) Es una alerta Amarilla Es una evaluacin de rutina La Severidad de los daos evaluados determina? Severidad 1 Severidad 2 Severidad 3 Tiene la evaluacin de daos detallada, basada en lista de comprobacin para evaluacin de desastres, reporte de daos de entidades

especializadas? (ej. Bomberos, polica, etc.) Que Indican la necesidad de invocar el plan de recuperacin y declarar un desastre, incidente o alerta y su nivel? Si se declara un desastre complete los siguientes enunciados, de lo contrario envi informe de evaluacin al gerente de Informtica y gerente de infraestructura solamente. Ha sido comunicada la evaluacin de los daos iniciales a todos los

82

Seguridad de la Informacin Plan de Implementacin de la Gestin de Seguridad de la Informacin 01/09/12

equipos de gestin? Ver apndice A.3 Disaster Recovery Plan, y apndice A.2 de manual de evaluacin de desastres Hay algn asunto personal que necesite ser resuelto? (ej. Personal necesario, fatalidades, etc.) Si es necesario, tener la liberacin de los registros vitales autorizados Recuerde que usted puede tener slo una copia. Extraerlos de caja fuerte en oficina IT, o Sitio alterno segn corresponda (TGU, SAP, casa de un ministro, etc.) Es el sitio Seguro? Ha sido designado el coordinador de desastres y los miembros del equipo estn en modo de alerta? Ver apndice A.2 y B.1 del manual de evaluacin de desastres. La declaracin de desastre ha sido informada a todos los jefes de equipo apropiado y los miembros del equipo? Ver apndice A del Disaster Recovery Plan. Los usuarios han sido informados de la situacin y su papel pro-activo en la recuperacin? Se ha designado el sitio y estn los arreglos pertinentes en el lugar destinado para centro de comando temporal, para que el equipo de gestin mantenga informados del progreso a quien corresponda (CODIR)? Han sido informados los altos ejecutivos (CODIR) ver apndice B.1 Disaster Recovery Plan Se definieron y se tienen vas de comunicacin hacia los CODIR? La recuperacin inicial ha comenzado?

83

Seguridad de la Informacin Plan de Implementacin de la Gestin de Seguridad de la Informacin 01/09/12

12. CONCLUSIONES Y RECOMENDACIONES


12.1 CONCLUSIONES No existe un gobierno de seguridad implementado, sin embargo, se han tomado en cuenta algunos aspectos de seguridad bsicos. La Alta Gerencia ha aceptado que la informacin es un activo importante del Estado, que requiere de una adecuada gestin de seguridad. Existe una mala coordinacin interna entre los mandos intermedios que dificultar la implementacin del Gobierno de Seguridad, por lo que el compromiso de la Alta Gerencia es de vital importancia. 12.2 RECOMENDACIONES Implementar un gobierno de seguridad de la informacin, comenzando por aprobar las polticas de seguridad de la informacin. Involucrar a la Alta Gerencia y mandos intermedios en la definicin, planificacin e implementacin de un gobierno de seguridad, a fin de obtener un compromiso de todos los involucrados. Implementar el DRP en la Secretara del Despacho Presidencial.

84

Seguridad de la Informacin Plan de Implementacin de la Gestin de Seguridad de la Informacin 01/09/12

ANEXOS
ANEXO A. FORMATO DE REPORTE MENSUAL DE SEGURIDAD DE

INFORMACIN Reporte Mensual de Seguridad de Informacin Secretaria del Despacho Presidencial


Resumen Ejecutivo Describir brevemente las actividades llevadas a cabo para evaluacin de la seguridad. Recalcar la importancia de seguridad de la informacin para la SDP. Describir brevemente esfuerzos realizados por la organizacin en el tema de seguridad de la informacin. Describir los avances realizados y las acciones tomadas. Resaltar 3 problemas importantes descubiertos que tienen un impacto significativo en la Secretara. Lista de TOP 10 Priorizar los diez temas ms urgentes a atender concernientes a seguridad de la informacin. El TOP 10 incluye debilidades y vulnerabilidades encontradas en la evaluacin de la seguridad de la informacin. Problema de Seguridad #1: (Ejemplo) Polticas de Seguridad de la Informacin Descripcin La definicin de polticas de seguridad de la informacin es indispensable para guiar las medidas a tomar en la Secretara. No existen polticas formalmente definidas para la SDP. Recomendacin: Desarrollar formalmente un set de polticas de seguridad de la informacin, orientadas a cumplir con las necesidades de la Secretara y su misin. Se debe utilizar la poltica como base para elaborar un programa de seguridad eficaz. Problema de Seguridad #2: Descripcin Recomendacin:

Seguridad de la Informacin Plan de Implementacin de la Gestin de Seguridad de la Informacin 01/09/12 Problema de Seguridad #3: Descripcin Recomendacin: Problema de Seguridad #4: Descripcin Recomendacin: Problema de Seguridad #5: Descripcin Recomendacin: Problema de Seguridad #6: Descripcin Recomendacin: Problema de Seguridad #7: Descripcin Recomendacin: Problema de Seguridad #8: Descripcin Recomendacin: Problema de Seguridad #9: Descripcin Recomendacin: Problema de Seguridad #10: Descripcin Recomendacin: Acciones a Tomar: Describir las acciones que se tomarn para mitigar los 10 problemas anteriormente descritos.

ii

Seguridad de la Informacin Plan de Implementacin de la Gestin de Seguridad de la Informacin 01/09/12

BIBLIOGRAFA

Alcerro, J. D. (22-23-27 de Agosto de 2012). Ingeniero. (I. R. Velasquez, Entrevistador) Office, U. G. (s.f.). Obtenido de www.gao.gov Portal ISO 27000. (s.f.). Obtenido de www.iso27000.es Simplicable. (s.f.). Obtenido de www.simplicable.com Universidad de Nacional de Tucuman. (s.f.). Obtenido de http://www.herrera.unt.edu.ar/curso_seguridad/pdf/ModuloXx2.pdf