propuesta implementacion nist
Páginas: 37 (9097 palabras)
Publicado: 6 de mayo de 2013
CAPÍTULO 5
Propuesta de
implementación,
caso práctico
126
Capítulo 5. Propuesta de implementación, caso práctico
5.1.
Obtención de información de los activos y la infraestructura
La Dirección General del Colegio de Ciencias y Humanidades es la entidad encarga de dirigir
correctamente los procesos educativos, académicos, administrativos y técnicos de los 5 planteles de nivelbachillerato, como entidad central de control se maneja una variedad de activos que deberá ser protegida,
este capítulo se centra en el análisis de riesgo de la institución, enfocado en los procesos electrónicos y
servicios que brinda la institución. La Dirección General del Colegio de Ciencias y Humanidades
contemplan el siguiente organigrama, para desempeñar sus funciones (figura 5.1).Figura 5. 1 Organigrama Dirección General Colegio de Ciencias y Humanidades.
Una de las Secretarías que conforman el organigrama es la Secretaría de Informática, encargada entre
algunas de sus actividades de:
x Evaluar y establecer políticas generales del Colegio de Ciencias y Humanidades en materia de
cómputo y telecomunicaciones que apoyen a la Dirección General y a los 5 planteles delcolegio,
para una toma de decisiones que repercutan en el mejor aprovechamiento de la infraestructura
actual.
x Supervisar el uso adecuado de los equipos y redes de cómputo, así como los programas que usan en
el colegio.
x Establecer los procesos de capacitación necesarios para el óptimo aprovechamiento de la
infraestructura de cómputo y telecomunicaciones.
Estos puntos mencionados, son parte delas actividades que realiza la Secretaría de Informática, tareas
relacionadas con este trabajo, que como objetivo plantea "La implementación de un esquema de seguridad
perimetral", por lo que la administración, aprobación y mejoras en procesos serán evaluados por la
Secretaría de informática.
La fase de la recopilación de información se llevó a cabo empleando:
x Entrevistas y cuestionarios alos responsables de la administración de telecomunicaciones,
servidores y sistemas.
x Cuestionarios a los usuarios finales.
x Visitas a sites.
x Recorrido por las instalaciones de la organización.
x Escaneos del segmento de red.
127
Capítulo 5 Propuesta de implementación, caso práctico
Todo el proceso de identificación de información cae dentro de uno de los pasos de análisis deriesgos, para
este caso, el análisis de riesgos está basado en los documentos emitidos por el NIST 800-30 y 800-53,
debido a que se utilizan otros documentos de la misma serie SP 800, dedicada a la seguridad de la
información y que presenta los mismos beneficios de emplear el análisis de riesgos con base en alguna otra
metodología como BS 7799 parte 3, MARGERIT, OCTAVE, COBIT, ISO 27005, entreotros. A
continuación se muestra el diagrama del análisis de riesgos basado en la metodología recomendada por
NIST 800-30 (figura 5.2).
Figura 5. 2 Análisis de Riesgos NIST 800-30.
128
Capítulo 5. Propuesta de implementación, caso práctico
El análisis de riesgo se centrará en servidores, instalaciones, sistemas y equipos de telecomunicaciones, ya
que los controles que se implementaránpara gestionar los riesgos serán administrados por la Secretaría de
Informática, en caso de que se detecten vulnerabilidades que no puedan ser gestionados por la Secretaría
mencionada, sólo se realizará la recomendación pertinente. La obtención de información es uno de los
procesos más largos que se realiza al momento de tratar una implementación de seguridad, debido a que
muestra el total deactivos físicos a proteger. Durante una primera etapa se buscó información a través de
documentos, herramientas de escaneo, cuestionarios, entrevistas en sitio a los responsables de servidores e
infraestructura por parte de la Secretaría de Informática, solicitando el acceso a la siguiente lista de
documentos, políticas y guías de configuración, lo cual corresponde a la documentación técnica...
Propuesta de
implementación,
caso práctico
126
Capítulo 5. Propuesta de implementación, caso práctico
5.1.
Obtención de información de los activos y la infraestructura
La Dirección General del Colegio de Ciencias y Humanidades es la entidad encarga de dirigir
correctamente los procesos educativos, académicos, administrativos y técnicos de los 5 planteles de nivelbachillerato, como entidad central de control se maneja una variedad de activos que deberá ser protegida,
este capítulo se centra en el análisis de riesgo de la institución, enfocado en los procesos electrónicos y
servicios que brinda la institución. La Dirección General del Colegio de Ciencias y Humanidades
contemplan el siguiente organigrama, para desempeñar sus funciones (figura 5.1).Figura 5. 1 Organigrama Dirección General Colegio de Ciencias y Humanidades.
Una de las Secretarías que conforman el organigrama es la Secretaría de Informática, encargada entre
algunas de sus actividades de:
x Evaluar y establecer políticas generales del Colegio de Ciencias y Humanidades en materia de
cómputo y telecomunicaciones que apoyen a la Dirección General y a los 5 planteles delcolegio,
para una toma de decisiones que repercutan en el mejor aprovechamiento de la infraestructura
actual.
x Supervisar el uso adecuado de los equipos y redes de cómputo, así como los programas que usan en
el colegio.
x Establecer los procesos de capacitación necesarios para el óptimo aprovechamiento de la
infraestructura de cómputo y telecomunicaciones.
Estos puntos mencionados, son parte delas actividades que realiza la Secretaría de Informática, tareas
relacionadas con este trabajo, que como objetivo plantea "La implementación de un esquema de seguridad
perimetral", por lo que la administración, aprobación y mejoras en procesos serán evaluados por la
Secretaría de informática.
La fase de la recopilación de información se llevó a cabo empleando:
x Entrevistas y cuestionarios alos responsables de la administración de telecomunicaciones,
servidores y sistemas.
x Cuestionarios a los usuarios finales.
x Visitas a sites.
x Recorrido por las instalaciones de la organización.
x Escaneos del segmento de red.
127
Capítulo 5 Propuesta de implementación, caso práctico
Todo el proceso de identificación de información cae dentro de uno de los pasos de análisis deriesgos, para
este caso, el análisis de riesgos está basado en los documentos emitidos por el NIST 800-30 y 800-53,
debido a que se utilizan otros documentos de la misma serie SP 800, dedicada a la seguridad de la
información y que presenta los mismos beneficios de emplear el análisis de riesgos con base en alguna otra
metodología como BS 7799 parte 3, MARGERIT, OCTAVE, COBIT, ISO 27005, entreotros. A
continuación se muestra el diagrama del análisis de riesgos basado en la metodología recomendada por
NIST 800-30 (figura 5.2).
Figura 5. 2 Análisis de Riesgos NIST 800-30.
128
Capítulo 5. Propuesta de implementación, caso práctico
El análisis de riesgo se centrará en servidores, instalaciones, sistemas y equipos de telecomunicaciones, ya
que los controles que se implementaránpara gestionar los riesgos serán administrados por la Secretaría de
Informática, en caso de que se detecten vulnerabilidades que no puedan ser gestionados por la Secretaría
mencionada, sólo se realizará la recomendación pertinente. La obtención de información es uno de los
procesos más largos que se realiza al momento de tratar una implementación de seguridad, debido a que
muestra el total deactivos físicos a proteger. Durante una primera etapa se buscó información a través de
documentos, herramientas de escaneo, cuestionarios, entrevistas en sitio a los responsables de servidores e
infraestructura por parte de la Secretaría de Informática, solicitando el acceso a la siguiente lista de
documentos, políticas y guías de configuración, lo cual corresponde a la documentación técnica...
Leer documento completo
Regístrate para leer el documento completo.