Expositor: Ing. Arturo E. Garro Morey (C.I.P.

48005); ®CopyRights 2019 Lamina N° 1

e-mail: garroarturo@gmail.com
2019

Ingeniería de Requerimientos
Principios de Supervivencia y
Garantía de la Información

Expositor: Ing. Arturo E. Garro Morey (C.I.P. 48005); ®CopyRights 2019 Lamina N° 2
e-mail: garroarturo@gmail.com
 Principios de Sobrevivencia y Garantía de la Información

• A las organizaciones les agrada que sus tecnologías sobrevivan a ataques,

fallas y accidentes.
• Las tecnologías de los sistemas de cómputo, los componentes de la
infraestructura de software y de redes cambian con frecuencia y es vulnerable a
interrupciones.
• Los Administradores de Sistemas, requieren de una sólida educación para
poder reaccionar a los cambios tecnológicos, minimizar las interrupciones y
administrar sus sistemas de computo y los componentes de la infraestructura
de sus redes.
• Se han seleccionado 10 principios de sobrevivencia y garantía de la información
que constituyen en si una base, para el Administrador de Sistemas de la
organización.

Fuente: Software Engineering Institute at Carnegie Mellon University

Expositor: Ing. Arturo E. Garro Morey (C.I.P. 48005); ®CopyRights 2019 Lamina N° 3
e-mail: garroarturo@gmail.com
 Principio 1: La Sobrevivencia es una preocupación de la gran empresa

• Sobrevivencia, en el contexto de la
seguridad del computo, es la capacidad de
un sistema de completar su misión en un
tiempo aceptable, evitando ataques, fallas o
accidentes.
• Como un concepto y como practica, la
sobrevivencia debe difundirse en todos los
niveles de la organización.

• Los roles de las gerencias contribuyen en diferentes formas al completo éxito

de la sobrevivencia de la organización, desde el líder, que toma decisiones
definiendo las políticas de seguridad, al administrador de sistemas, que
recomienda e instala tecnologías que apoyan a dicha sobrevivencia.

• Una organización realmente preocupada por la importancia de la sobrevivencia

contribuye con el crecimiento en el largo plazo y al cumplimiento de la misión.
Expositor: Ing. Arturo E. Garro Morey (C.I.P. 48005); ®CopyRights 2019 Lamina N° 4
e-mail: garroarturo@gmail.com
 Principio 2: Todo es Data

• Todo en y alrededor de un sistema de computo,

de los componentes de la infraestructura de una
red, y de la unidad funcional de sobrevivencia
puede ser considerado y reconocido como data.
• Esta perspectiva es útil debido a que ayuda a las
gerencias a definir y gestionar la información
que requiere ser protegida y luego a decidir
como protegerla.
• Comprendiendo que la información de una organización existe a través de varios estados,
tales como almacenamiento, transmisión y procesamiento, ayuda al Administrador del
sistema (AS) a comprender la necesidad de utilizar herramientas y técnicas, como por
ejemplo: sistemas de auditoria de redes, listas para el control de accesos, encriptación y
una sólida integración.
• En el tema de la seguridad de la información, hay tres atributos para la data (llamado el trío
InfoSec) que deben ser considerados y asegurados: Confidencialidad, Integridad y
Disponibilidad (CID). Los lugares en los que la data reside y las técnicas generales que
deben de utilizarse para proteger sus tres atributos CID están todos definidos en la
publicación gubernamental: NSTISSI 4011: National Training Standard for Information
Systems Security Professionals.
Expositor: Ing. Arturo E. Garro Morey (C.I.P. 48005); ®CopyRights 2019 Lamina N° 5
e-mail: garroarturo@gmail.com
 Principio 3: No todos los datos tiene el mismo valor para la empresa

• Toda organización tiene variados activos de

información. Estos activos de información (incluso
referidos como datos) no son todos del mismo
valor. Entendiendo la importancia relativa de cada
activo de información, para la misión de la
organización, los administradores de los sistemas
podrán dirigir los esfuerzos de supervivencia para
proteger los activos basados en su criticidad y
prioridad. Debe Gerenciarse el Riesgo

• Hay varios métodos para gestionar una evaluación de riesgos de seguridad de la

información para identificar los activos de información mas importantes. Uno de ellos es
OCTAVE® (Operationally Critical Threat, Asset, and Vulnerability Evaluation), una técnica
planeamiento para la seguridad sobre riesgos de activos estratégicos
http://www.cert.org/octave/.

• Los administradores de sistemas necesitan saber sobre gestión de riesgos debido a que no
pueden proteger todos los activos. Los procesos y tecnologías de seguridad son técnicas
de mitigación de riesgos que requieren ser seleccionados y gestionados para minimizar los
riesgos de los activos críticos de información.

Expositor: Ing. Arturo E. Garro Morey (C.I.P. 48005); ®CopyRights 2019 Lamina N° 6
e-mail: garroarturo@gmail.com
 Principio 4: Una política que garantice la información determina las
acciones a tomar

• El aseguramiento de la información puede entenderse como las Operaciones de

Información (OI) que protegen y defienden la información y los Sistemas de
Información (SI) que aseguren su disponibilidad, integridad, autenticidad,
confidencialidad y no-repudio. Esto incluye contar con la restauración de los sistemas
de información incorporando protección y capacidades de detección y reacción.
• Las funciones de los Administradores de
Sistemas deben de definirse por políticas
organizacionales y de seguridad, que
establezcan que es aceptables y que es
inaceptables por parte de todos los
usuarios.
• Los Administradores deben entender la
importancia de la documentación,
implementación y apoyo a las políticas que
deben regularmente revisarse, actualizarse
y reflejar su rol y objetivo.

Expositor: Ing. Arturo E. Garro Morey (C.I.P. 48005); ®CopyRights 2019 Lamina N° 7
e-mail: garroarturo@gmail.com
 Principio 5: Considerar critica la identificación de los usuarios de los sistemas
de computo y de los componentes de la infraestructura de redes

• Los Administradores de Sistemas crean accesos seguros para los activos de información
basados en la identificación de los usuarios.
• No importa cuan avanzada sea la tecnología de control de acceso a los activos de
información, si esta basada en una débil identificación de los usuarios; de ser así será
irrelevante.
• Los Administradores de Sistemas requieren saber si las bases del mecanismo de
identificación de los usuarios, son lo suficientemente fuertes y confiables para proteger los
activos de información.
• Para lograr estas metas, requieren de una tecnología adecuada y políticas que la
complementen.

• Los Administradores de Sistemas necesitan identificar

infoprocesos (la sumatoria de usuarios + sistemas de
computo + infraestructura de redes de una
organización) de una manera realista . Por ejemplo:
deben saber si la red a la que van a conectar sus
computadores es la correcta. Incluso que infoprocesos
están conectados a su infraestructura de redes y que ó
quienes no deben estarlo.

Expositor: Ing. Arturo E. Garro Morey (C.I.P. 48005); ®CopyRights 2019 Lamina N° 8
e-mail: garroarturo@gmail.com
 Principio 6: Las Unidades Funcionales de Sobrevivencia (UFS) son una útil
forma de pensar en las redes empresariales.

• Las Unidades Funcionales de Supervivencia, son una colección de componentes de

sistemas de computo y de infraestructura de redes que transportan activos de
información de uno ó más servicios a varios usuarios que deben ser identificados por
la Unidad Funcional de Supervivencia (UFS; en ingles SFU: Survivable Functional
Unit). La UFS deberá desarrollarse para proveer servicios esenciales ante la presencia
de ataques y fallas, y recuperar todos los servicios en un tiempo admisible.
• Los Infoprocesos son parte de la
Unidad Funcional de Supervivencia
(UFS) y se debe tener una
descripción de su arquitectura, de
cada uno de ellos, así como una
relación de preguntas que el
Administrador del Sistema
considera importantes y cuya
respuesta exige la mejora de las
funcionalidades de las UFS o se
requiere crear nuevas.

Expositor: Ing. Arturo E. Garro Morey (C.I.P. 48005); ®CopyRights 2019 Lamina N° 9
e-mail: garroarturo@gmail.com
 Principio 7: La Aplicación de los Conocimientos de Seguridad (ACS) provee
una cercana visión estructurada de la organización.

• Un Administrador de Sistemas requiere de una infraestructura diseñada para soportar y mejorar la

supervivencia de las UFS y de sus componentes (sistemas de computo e infraestructura de
redes).
• Los métodos de Aplicación de los Conocimientos de Seguridad (ACS; en ingles SKIP: Security
Knowledge in Practice ) son mejoras que estructuran y ordenan las unidades de seguridad. Estas
practicas están diseñadas para mejorar la seguridad de los sistemas de computo y redes durante
todo su ciclo de vida.
• Los ACS deben ser aplicados a todos
los niveles. Son la base para
administrar sistemas de
supervivencia.
• Los Administradores de Sistemas
pueden saber que pasos se han
realizado, donde se encuentran y cual
será el curso de su acción.
• La ACS se aplican mejor luego de una
evaluación de los riesgos de los
activos de información de la
organización.

Expositor: Ing. Arturo E. Garro Morey (C.I.P. 48005); ®CopyRights 2019 Lamina N° 10
e-mail: garroarturo@gmail.com
 Principio 8: El mapa de ruta nos guía en la opciones de implementación (todas
las tecnologías, no son iguales)

• Puede ser una ardua tarea, el abrirse paso

entre la amplia gama de herramientas y
productos comerciales de seguridad.
• La oferta tecnológica disponible para el
Administrador del Sistema, es variada y
compleja. Esta oferta es referencial y la
selección que haga el AS deberá ser la
más racional y conveniente.
• El Mapa de Ruta tecnológica, incorpora
los conceptos de progreso y secuencia,
creando la conciencia de otorgar mayor
protección a soluciones mas sofisticadas.

• Rojo, significa peligro, ignorancia y negligencia. Si la organización no es consciente de la

importancia de la protección de los activos según su categoría.
• Amarillo, significa que se deben aplicar acciones inmediatas tan pronto como sea posible.
• Verde, significa un nivel aceptable de protección comparado con las medidas estándar aplicadas
por otras organizaciones.
• Azul, significa que se han aplicado medidas mas avanzadas, que deben ser reforzadas por políticas,
requerimientos de seguridad e identificación de activos críticos.

Expositor: Ing. Arturo E. Garro Morey (C.I.P. 48005); ®CopyRights 2019 Lamina N° 11
e-mail: garroarturo@gmail.com
 Principio 9: Probar los supuestos, para comprender los riesgos

• Un Administrador de Sistemas requiere

aprender a «pensar como un intruso»,
incluyendo la forma de vulnerar la
seguridad de las tecnologías utilizadas
en la organización.
• Regularmente debe buscar debilidades
y revisar las vulnerabilidades de las
tecnologías utilizadas.
• Un Administrador de Sistemas debe
aprender a sobrevivir y mejorar la
seguridad.
• No debe aceptar a ciegas lo que promete una tecnología.
• El valor de un Administrador de Sistemas, esta en su experiencia, lo que le permite
sustentar sus propuestas, que es una de sus principales responsabilidades.

Expositor: Ing. Arturo E. Garro Morey (C.I.P. 48005); ®CopyRights 2019 Lamina N° 12
e-mail: garroarturo@gmail.com
 Principio 10: La capacidad de comunicarse es crítica para llegar a todos los
responsables de las decisiones

• Un Administrador de Sistemas requiere:

 Adaptar su lenguaje a sus oyentes.
 Conocer el negocio, para apalancar los objetivos e identificar los activos de
información críticos.
 Todos los miembros de la organización deben reconocer la importancia de que la
sobrevivencia de la información es tarea de todos y requiere de su colaboración.
 La comunicación es una de las cualidades más apreciadas de un Administrador de
Sistemas.

Expositor: Ing. Arturo E. Garro Morey (C.I.P. 48005); ®CopyRights 2019 Lamina N° 13
e-mail: garroarturo@gmail.com