GERENCIA EN SEGURIDAD DE

INFORMACIN

Ing. Juan Dvila

MBA, CISM, CRISC, CISA, ISO 27001 LA, ISO 22301 LA,
Cobit 5 F Acredited Trainer
 Sesin 8
DESARROLLO DEL PROGRAMA DE
SEGURIDAD DE INFORMACIN
3 Identificar Recursos Internos y
Externos
Identificar, adquirir, administrar y definir los
requisitos de recursos internos y externos para
ejecutar el programa de seguridad de la
informacin.

3
 Recursos de Seguridad
Recursos internos:
Administradores de SSOO, DBAs, desarrolladores,
experto en gobierno de TI, etc.
Recursos externos:
Proveedores, consultores e investigadores.
Evaluaciones de seguridad.
Monitoreo remoto de firewalls y detectores de
intrusos, etc.

4
 Gestin de Recursos Internos
Administracin financiera:
Presupuesto, planeacin de tiempos, mediciones como
TCO y ROI, adquirir/comprar, administracin de
inventarios, etc.
Gestin de RRHH:
Descripciones de puestos, planificacin organizacional,
reclutamiento, seleccin y contratacin, gestin del
desempeo, formacin y desarrollo del personal, cierre de
relaciones laborales, en lnea con estndares.
Gestin de proyectos:
Dotacin y asignacin de recursos y esfuerzos en el
proyecto y en las actividades en curso, niveles de
utilizacin, desempeo, etc.

5
 Actividades de Debida Diligencia
(Due Diligence) en Seguridad
Entender que los terceros pueden presentar riesgos sobre
los recursos de informacin:
Acuerdos de confidencialidad.
Uso aceptable de los recursos de informacin.
Due dilligence en contratos y acuerdos, verificando que
incluyan los requerimientos de las polticas de seguridad
de informacin.
La infraestructura de TI debe ser protegida y confiable:
Revisiones peridicas de seguridad de la infraestructura de TI.

6
 Actividades de Enlace con los
Proveedores de Servicio
Direccionar actividades en reas atendidas por terceros
que pueden tener impacto en el programa de seguridad
de informacin.
Actuar como enlace con los proveedores internos y
externos de aseguramiento, de modo que las actividades
de aseguramiento se puede completar con eficacia.
Requerimientos de revisin peridica.
Plan de implementacin de recomendaciones.

7
 Supervisar Servicios de Seguridad
Gestionada (MSS)
Uso de proveedores en gestin de seguridad de la
informacin, en crecimiento.
Outsourcing de servicios de seguridad asociada con:
Seguridad perimetral.
Servicios de deteccin de intrusos.
Servicios de evaluaciones de vulnerabilidades.
Otros servicios.
FCE: ANS.

8
Aproveche Fuentes de Informacin
Externas
Amenazas a la organizacin originadas desde fuentes
internas y externas.
Necesidad de estar al tanto de fuentes de reportes
de vulnerabilidades, para que el programa de
seguridad pueda ser actualizado segn las
vulnerabilidades que se identifiquen.
Necesidad de guardar registros de nuevas
vulnerabilidades relativas al uso de la tecnologa
usada en la compaa.
Proceso de monitoreo de boletines de seguridad .
9
 Qu puede salir mal ?
Debilidades de gestin o de las habilidades
interpersonales.
Conflictos Inter-departamentales.
Fallas en el desempeo de actividades bsicas
financieras / administracin de RRHH.
Demasiada confianza en la ayuda externa.
Dificultades de los ciclos de compras.
Prdida de control sobre los recursos externos:
Resultado en costos incrementados y/o
disminuyendo seguridad.
10
4 Arquitecturas de Seguridad de
la Informacin
Establecer y mantener arquitecturas de
seguridad de la informacin (personas,
procesos, tecnologa) para ejecutar el
programa de seguridad de la informacin.

11
 Ejemplos de Arquitectura de
Seguridad
Seguridad de redes
Arquitectura de firewalls
IDS / IPS
Desarrollo Web
Base de datos
Active Directory / LDAP

12
 Arquitectura de Red Perimetral

ISP Router
DMZ Web & Mail Servers
Internet
Enrutador de filtrado
Cortafuegos
Defensa en profundidad: (firewall)
- Enrutador de filtrado
- Firewalls - Security Zones
- DMZ Hosts (Web; Mail)
- IDS Sensors (Network & Host) Cortafuegos
(firewall)
Servidores de Aplicacin & BBDDs

13
 Arquitecturas de Seguridad
Arquitectura de seguridad de virtualizacin:
Vmware ESX / ESXi ; vCenter
Microsoft Hyper-V
Oracle VM
Seguridad en computacin en la nube (Cloud
Computing Security):
Modelos de servicio (SaaS; PaaS; IaaS)
Modelos de implementacin (Pblico; Privado)

14
 Qu puede salir mal ?
Pobre diseo de arquitectura.
Debilidades en el diseo de seguridad.

15
 Sesin 8: Caso por analizar
Un vendedor detallista importante pidi al Oficial de Seguridad de Informacin que
revisara su estado de cumplimiento con los requisitos de las compaas de las tarjetas
de crdito para proteger informacin del tarjetahabiente. El vendedor usa registros
inalmbricos en puntos de venta que se conectan con los servidores de aplicaciones
ubicados en cada tienda. Esos registros utilizan cifrado WEP.
El servidor de aplicacin, ubicado por lo general en el medio del rea de servicio al
cliente de la tienda, enva todos los datos de venta a travs de frame relay a los
servidores de BBDD ubicados en las oficinas centrales corporativas del vendedor, y
utilizando cifrado fuerte a travs de una VPN al procesador de tarjetas de crdito para
aprobacin de la venta.
Las BBDD corporativas estn ubicadas en un sub-equipo filtrado protegido de la red de
rea local corporativa. Adicionalmente, los datos agregados de ventas semanales por
lnea de producto son copiados desde las BBDD corporativas a los medios magnticos
y enviados por courier a un tercero para anlisis de los patrones de compra. Se
observ que no han sido aplicados parches al software de BBDD del vendedor en ms
de dos aos. Esto se debe a que se haba abandonado el soporte de vendedor para la
BBDD debido a los planes de la gerencia de eventualmente migrar hacia un nuevo
sistema ERP.
16