DISEO DE UN PLAN DE SEGURIDAD

ACTIVIDAD No 2
INSTALAR Y ADMINISTRAR LA SEGURIDAD EN LA RED A PARTIR DE NORMAS INTERNACIONALES

TECNOLOGIA EN GESTION DE REDES DATOS CENTRO DE SERVICIOS Y GESTIN EMPRESARIAL SENA, MEDELLN

INTRODUCCION
Con esta actividad podr profundizar en los conceptos fundamentales de la normatividad de seguridad de la informacin y a la vez estar en capacidad de estructurar y disear un plan de seguridad que incluya todos los componentes administrativos, operativos y tcnicos requeridos para dar respuesta al anlisis de riesgos realizado en la fase anterior del proyecto y que permitan hacer una adecuada implantacin de este mismo, mas adelante.

PALABRAS CLAVES (KEY WORDS)

Plan de seguridad, NTC-ISO 27001, normas ISO 27000, SGSI, criptografa clsica y moderna, algoritmos simtricos, algoritmos asimtricos, firma digital y certificados digitales, distribucin de llaves, tokens, smatcards, biometra, IDS, VPN, kerberos, PGP, SSH, SSL/TLS/SET, S/MIME, PKI, IPSEC, seguridad perimetral, firewalls, iptables, ISA server, proxy-cache, filtrado de contenidos, ACLs, redes privadas virtuales, Ingeniera social, hardening en sistemas operativos.

DESCRIPCIN DE ACTIVIDADES 2 DISEO DE UN PLAN DE SEGURIDAD Actividad

2.1

Descripcin
Realice una lectura de la norma tcnica colombiana NTC-ISO 27001 y encuentre los factores diferenciadores con la norma estndar ISO 27001. Para esto asesorese con los instructores expertos y con profesionales que hayan trabajado en la implantacin de Sistemas de Gestin de la Seguridad de la Informacin (SGSI).

2.2

Disee una tabla comparativa donde se muestren diferencias relevantes entre 10 de las normas pertenecientes a la familia ISO 27000. Como ejemplo puede tomar las normas 27002, 27004, 27005, 27799, etc. Investigue sobre la existencia de otras normas de seguridad vigentes diferentes a las de la familia ISO 27000, discuta con sus compaeros la aceptacin de estas normas en el entorno colombiano. Visite el sitio web de CertiCamaras Colombia, explorelo y cree un resumen de todos los servicios y productos que ofrece actualmente, para esto es importante que analice cuidadosamente la documentacin oficial que se ofrece en el sitio. Su resumen puede mejorar si se apoya en material extra donde se expliquen los conceptos y tecnologas usadas en escenarios reales, para mas informacin visitar la plataforma elearning. Realice un foro con su grupo de trabajo donde se trabaje con la temtica de aseguramiento de comunicaciones internas y externas en ambientes corporativos, saque las conclusiones pertinentes del foro y publiquelas en su blog personal. Para este foro puede invitar instructores expertos a participar, el foro debe plantearse desde la necesidad de proteger la integridad, confidencialidad y disponibilidad de la informacin en un ambiente corporativo. Recuerde que siempre puede relacionar la informacin obtenida con su caso prctico.

2.3

2.4

2.5

2.6

Investigue sobre los productos existentes de seguridad en el mercado, para esto tome como referencia las empresas mas reconocidas en este mbito y luego encuentre empresas colombianas que ofrezcan soluciones similares. Con las investigacin realizada elabore un TOP 50 de productos de seguridad que usted considere que tienen una aplicabilidad real en el entorno de la entidad que se esta auditando. El precio de los productos no debe influir en su decisin, solo bsese en las caracteristicas y la aplicabilidad que tiene en su entorno. Desarolle de forma completa el taller 1, que tiene por nombre: Actividad2_Taller1_FIREWALL que se encuentra en la plataforma e-learning, recuerde contextualizar el ejercicio para que tenga relacin con el proyecto actual. Desarrolle de forma completa el taller 2, que tiene por nombre: Actividad2_Taller2_VPN que se encuentra en la plataforma e-learning, recuerde contextualizar el ejercicio para que tenga relacin con el proyecto actual. Desarrolle de forma completa el taller 3, que tiene por nombre: Actividad2_Taller3_PROXY que se encuentra en la plataforma e-learning, recuerde contextualizar el ejercicio para que tenga relacin con el proyecto actual.

2.7

2.8

2.9

2.10

Desarrolle de forma completa el taller 4, que tiene por nombre: Actividad2_Taller4_IPS que se encuentra en la plataforma e-learning, recuerde contextualizar el ejercicio para que tenga relacin con el proyecto actual. Lea documentacin relacionada con el hardening de sistemas operativos, para esto puede navegar en el sitio del NIST donde encontrar guas y herramientas de apoyo. Una vez investigado sobre este tema, disee una 'cheat sheet' (tabla trampa/pastel) donde se resuman a modo de tips las estrategias de hardening para cada uno de los siguientes sistemas operativos: - Windows 200X Server - GNU/Linux, cualquier distribucin - Solaris 10 Las "cheat sheet" se deben imprimir por grupos y hacerlas validar de un instructor experto del rea de redes. En total el grupo de trabajo debe quedar con 3 tablas las cuales debe plastificar y conservar durante el resto del proyecto.

2.11

2.12

Elabore una tabla comparativa donde se especifiquen las diferencias entre los siguientes planes: -Plan de continuidad del negocio -Plan de respuesta a incidentes -Plan de recuperacin de desastres Una vez realizada la tabla, organice un foro global (todos los grupos) y concluyan sobre la temtica tratada, como evidencia de este foro se debe generar un acta donde aparezca el resumen de lo acontecido y la firma de cada una de las personas que asisti Esta actividad es obligatoria para cada miembro del grupo de trabajo.

Tabla 1. Sub actividades correspondientes a la Actividad 2.

EVIDENCIAS DE APRENDIZAJE ACTIVIDADES 2 DISEO DE UN PLAN DE SEGURIDAD

Evidencias de Conocimiento
1. Prueba de conocimiento sobre la normatividad en seguridad de la informacin al terminar la (A2.3). Esta prueba es de carcter individual. 2. Prueba de conocimiento sobre las herramientas tecnolgicas existentes para eliminar amenazas y

mitigar riesgos nivel corporativo al terminar la actividad (A2.12). Esta prueba es de carcter individual.

Evidencias de Desempeo
1. Verificacin del proceso de identificacin de productos de seguridad, una lista de chequeo donde se verifique la creacin del TOP 50. (A2.6). 3. Verificacin del proceso de desarrollo de los talleres de FIREWALL, VPN, PROXY e IPS. (A2.7, A2.8, A2.9 y A2.10).

Evidencias de Producto
1. Resumen con todas las diferencias puntuales explicadas entre las normas NTC-ISO 27001 y la ISO 27001. (A2.1). 2. Tabla comparativa de normas de la familia 27000. (A2.2). 3. Resumen sobre productos y servicios ofrecidos por CertiCamara. (A2.4). 7. Cheats Sheets (x3), tamao carta o menor y plastificadas. (A2.11). 8. Acta firmada por todos los participantes del foro. (A2.12). 10. CD o DVD que contenga todo el material desarrollado/investigado durante la fase 2, incluyendo el plan de seguridad de la informacin realizado. El material debe entregarse de forma organizada y con las respectivas licencias que permitan una redistribucin acadmica.

Tabla 2. Evidencias de aprendizaje para la Actividad 2.

Actividades elaboradas por: Fernando Alonso Quintero Londoo Andres Mauricio Ortiz Morales Revisado por:

Versin: Fecha: 2.0 2.1 22/02/2012 22/01/2012