Metodología para el Aseguramiento de Entornos Informatizados MAEI.

Transcripción

1 UNIVERSIDAD DE BUENOS AIRES FACULTAD DE INGENIERÍA Ingeniería en informática Tesis de grado: Metodología para el Aseguramiento de Entornos Informatizados MAEI. Alumna: María Victoria Bisogno Padrón: Tutor: Prof. Lic. Sergio Villagra Co-tutores: Andrea Morales, Saverio Locane, y Héctor Dinamarca 12 de octubre de 2004

2 I. ÍNDICE: I. Índice:... 1 II. Prefacio Propósito de la tesis Estado del Arte de la Seguridad Informática Motivación para la realización de este trabajo Alcance de la tesis Organización del documento III. Introducción La metodología El estudio del entorno La implantación de la solución Descripción de las fases IV. Desarrollo de la metodología AEI Definición del Alcance Contenido: Análisis de Requerimientos de Usuario Documento de Requerimientos de Usuario Ejemplo - Requerimientos de Usuario Elaboración del Alcance Alcance Ejemplo - Alcance Aprobación del Alcance Estimación de tiempos y costos Costos capitales Costos recurrentes Costos No recurrentes Elaboración del Plan de Trabajo Relevamiento Contenido: Elaboración del Relevamiento General Relevamiento General Elaboración del Relevamiento de Usuario Relevamiento de Usuario Asignación de puntaje Aclaración sobre las preguntas

3 2.2.4 Resultados de la evaluación Evaluación del entorno Referencias al puntaje obtenido en el test por nivel: Configuraciones de resultados: Análisis de vulnerabilidades Conocer al enemigo Ejemplo Atacantes Las amenazas Análisis de Vulnerabilidades Aspectos funcionales Análisis de la documentación Análisis de las aplicaciones y equipos Intento de Penetración Herramientas de análisis de vulnerabilidades Mapa de Vulnerabilidades Vulnerabilidades a nivel físico Vulnerabilidades a nivel lógico Vulnerabilidades a nivel de la organización Análisis de Riesgos Informe de Riesgos Ejemplo Informe de Riesgos Planificación Contenido: Elaboración del Plan de Aseguramiento Protección física Protección de las Instalaciones Protección de los equipos Protección lógica Protección de la información Protección del Sistema Operativo Protección de los datos Protección a nivel de la organización Aprobación del Plan de Aseguramiento Implantación Contenido: Elaboración del Relevamiento de Activos Inventario de Activos

4 4.1.2 Ejemplo Inventario de Activos Rotulación de activos Análisis de Criticidades Clasificación de la Información Identificación de la información Tipos de información Beneficios de la clasificación de la información Riesgos de la información Elaboración/ adaptación de la Normativa de Seguridad Interiorización del experto con la política y negocio de la organización Elaboración/adaptación de la Normativa de Seguridad Política de Seguridad Definición Ámbitos de aplicación y personal afectado Normas y Procedimientos Definición Espectro de las Normas y los Procedimientos Ejemplo Normas y Procedimientos Estándares, Esquemas y Manuales de usuarios Definición Implantación y uso de la Normativa de Seguridad Convenio de Confidencialidad Aprobación de la Política de Seguridad Publicación de la Normativa de Seguridad Implantación de una campaña de concientización Capacitación de los usuarios Implantación del Plan de Aseguramiento Implantación a nivel físico Implantación a nivel lógico Implantación a nivel de la organización Elaboración del Plan de Recuperación del Entorno ante Desastres (PRED) Determinación del escenario considerado Determinación de los tipos de operación en una contingencia Establecimiento de criticidades Tabla de Criticidades por Equipo Ejemplo - Tabla de Criticidades por Equipo Tabla de Criticidades por Servicios

5 Ejemplo - Tabla de Criticidades por Servicios Tabla de Criticidades por Aplicaciones Ejemplo - Tabla de Criticidades por Aplicaciones Determinación de las prestaciones mínimas Análisis de riesgos Probabilidad de ocurrencia de desastres Determinación de los niveles de desastre Presentación de las distintas estrategias posibles de recuperación Selección de la estrategia de recuperación Elaboración de la estrategia de recuperación Mitigación de riesgos Medidas preventivas Descripción de la estrategia Requerimientos para llevar a cabo el Plan Esquemas técnicos Formación del Equipo de Recuperación del Entorno ante Desastres (ERED) Roles y responsabilidades Asignación de roles Establecimiento de los procedimientos Declaración de la emergencia Recuperación de las prestaciones Reestablecimiento de las condiciones normales Estabilización Contenido: Análisis de resultados Ajuste Cierre de la implantación Capacitación de usuarios Técnicas para la capacitación de usuarios: Mantenimiento Contenido: Control de incidencias Incidencias de seguridad Notificación de incidencias Documentación Reporte de Incidencias Manual de Procedimientos sobre Reporte de Incidencias

6 6.1.5 Respuesta a incidencias Recolección de incidencias Registro de incidencias Investigación Seguimiento de incidencias Prevención de incidencias Control de cambios Procedimiento de Control de Cambios Diagrama de flujo Formulario de Control de cambios ABM Activos Ejemplo - AMB Activos Actualizaciones de Software Documento de Actualizaciones de Software V. Conclusión VI. Bibliografía VII. Anexo I. MAEI Resumen de Fases y Tareas VIII. Anexo II. Estándares Internacionales. Reseña introductoria ISO/IEC estándar Cobit MAGERIT IX. Anexo III. Glosario de términos

7 II. PREFACIO 1. Propósito de la tesis La Seguridad Informática es una disciplina cuya importancia crece día a día. Aunque la seguridad es un concepto difícil de medir, su influencia afecta directamente a todas las actividades de cualquier entorno informatizado en los que interviene el Ingeniero en Informática, por lo que es considerada de vital importancia. [Huerta2000] define la seguridad como una característica de cualquier sistema (informático o no) que nos indica que ese sistema está libre de todo peligro, daño o riesgo, y que es, en cierta manera, infalible... para el caso de sistemas informáticos, es muy difícil de conseguir (según la mayoría de los expertos, imposible) por lo que se pasa a hablar de confiabilidad. [IRAM/ISO/IEC17799] sostiene que la seguridad de la información protege a ésta de una amplia gama de amenazas, a fin de garantizar la continuidad comercial, minimizar el daño al negocio y maximizar el retorno sobre las inversiones y las oportunidades. En cualquier entorno informatizado es necesario estar protegido de las múltiples (y hasta desconocidas) amenazas, garantizando, fundamentalmente, la preservación de tres características: Integridad: que se proteja la exactitud y totalidad de los datos y los métodos de procesamiento; Confidencialidad: que la información sea accesible sólo a las personas autorizadas; Disponibilidad: que los usuarios autorizados tengan acceso a la información y a los recursos cuando los necesiten; [IRAM/ISO/IEC17799] también agrega La seguridad de la información se logra implementando un conjunto adecuado de controles, que abarca políticas, prácticas, procedimientos, estructuras organizacionales y funciones del software. Para la realización de este trabajo se han estudiado diversas metodologías de seguridad citadas en el Anexo I, que cubren distintos aspectos, pero ninguna tiene un enfoque estructural similar al que un Ingeniero en Informática le da a los problemas, según la visión que se adquiere con la formación en la Universidad. 6

8 Además, la bibliografía relacionada ofrece soluciones puntuales para problemas específicos de seguridad, pero no da una solución integral al problema. La motivación de este trabajo es la falta de una herramienta que les permita a los profesionales de Informática analizar e implementar técnicas de seguridad en entornos informatizados bajo la visión del Ingeniero. El propósito del presente proyecto es formalizar una metodología práctica, y factible para convertir entornos informatizados inseguros en entornos protegidos, y lograr una clara evaluación de los mismos, teniendo en cuenta el objetivo y los procesos del negocio. El principal objetivo, entonces, es proveer a los Ingenieros en Informática y Licenciados en Análisis de Sistemas de una herramienta con modelos estructurados para que, de forma ordenada y efectiva, les facilite y les guíe en la tarea de dar informe de las vulnerabilidades presentes en el entorno en que trabajan y las posibles soluciones, para luego implementarlas con éxito y así lograr una efectiva protección y documentación del entorno objetivo. Esta metodología estará compuesta por una serie de fases en las que se aplicarán procedimientos y se buscará el conocimiento de los procesos, y a su vez, una completa documentación que avale y acompañe al proyecto y que sirva de referente a lo largo de la vida operativa del entorno. Se pretende que esta metodología cree un cambio cultural en el ambiente donde se implementa (una empresa informatizada, un sector informatizado de un negocio, etc.), al aplicar políticas que afecten al personal, al uso de los recursos y a la forma de trabajo, además de una conciencia integral de la importancia de la seguridad en entornos informatizados y las implicancias de las falencias en este tema. Este proyecto está destinado a aplicarse en entornos en los que nunca se han realizado controles de seguridad, como en los que están bajo un régimen de seguridad controlado, sobre el que se desea evaluar su efectividad, o comprobar su completitud. Al hablar de sistema inseguro se hace referencia a un sistema no confiable, no auditado, no controlado o mal administrado con respecto a la seguridad. NOTA: De ahora en más se hará referencia al experto en seguridad, actor protagonista del proceso de aseguramiento aquí presentado, como ES. 7

9 2. Estado del Arte de la Seguridad Informática. Básicamente, los problemas de Seguridad Informática son sucesos que no deseamos que ocurran. La mayoría son inesperados, aunque en muchos casos se pueden prevenir. Cuando hablamos de incidentes de Seguridad, o problemas de Seguridad Informática nos referimos a: Acceso no autorizado a la información; Descubrimiento de información; Modificación no autorizada de datos; Invasión a la privacidad; Denegación de servicios; Etc. Cada entorno informatizado es diferente, y maneja distintos tipos de información, y por ende, es distinta la forma en que se tratan los datos. Los componentes de los entornos informatizados son distintos, por lo que las especificaciones de seguridad asociadas a cada uno varía notablemente dependiendo de la tecnología utilizada a nivel de plataforma, software base y dispositivos físicos. La funcionalidad y características técnicas de los componentes de los entornos varían notablemente según la marca, en particular en los aspectos concernientes a la seguridad. Hoy en día la amenaza más común en los ambientes informatizados se centra en la eliminación o disminución de la disponibilidad de los recursos y servicios que utiliza el usuario. El crecimiento de las telecomunicaciones y la estricta dependencia que existe entre el negocio de las empresas y la tecnología informática hace crítica la inversión en seguridad. Cada vez más los procesos comerciales se ven estrechamente ligados a procesos informáticos. Prácticamente toda la información vital para el negocio de una compañía comercial se encuentra informatizada, no sólo almacenada en dispositivos electrónicos, sino que, en la mayor parte de los casos, se encuentra distribuida físicamente y viaja constantemente a través de medios públicos como redes de telefonía e Internet. Es por eso que se pone énfasis en el crecimiento de soluciones para el problema de la Seguridad Informática, por lo que el conocimiento en esta área ha crecido 8

10 enormemente en los últimos años, al punto en que somos capaces de afirmar que es posible lograr una completa enumeración de las fallas de seguridad de los sistemas y los entornos en los que viven. Estas fallas de seguridad son las que se convierten en amenazas susceptibles de ser aprovechadas por usuarios malintencionados para causar daño o algún tipo de invasión a la confidencialidad. Protegerse contra accesos no autorizados es el problema más sencillo a resolver, ya que durante años se han desarrollado y perfeccionado algoritmos matemáticos para la encripción de datos, para el intercambio seguro de información, para garantizar el correcto funcionamiento del software, que se ha traducido en herramientas capaces de proporcionar soluciones rápidas y sencillas a problemas técnicos de seguridad. Desafortunadamente, no es suficiente simplemente arreglar los errores o eliminar las fallas técnicas de seguridad. El problema va mucho más allá. La Seguridad Informática es un problema cultural, en el que el usuario juega un rol protagónico. La responsabilidad sobre la seguridad de los datos y equipos ya no recae solamente en el personal técnico especializado encargado de resguardar los bienes y servicios brindados por el entorno, sino que es el usuario el que debe velar por la seguridad de los bienes físicos y lógicos que maneja. Para ello debe existir una conciencia de trabajo seguro, de resguardo de la confidencialidad y de protección de los activos utilizados a diario en el trabajo de cada individuo. Por esta razón la seguridad Informática debe estar incorporada desde el principio de todo proceso, desde el diseño para garantizar la evaluación de todos los factores funcionales (y no solamente los técnicos) a tener en cuenta para el uso seguro del entorno. Si esto sucede, el objetivo inicial de la seguridad habrá sido logrado. La seguridad, entonces, debe nacer en el diseño seguro de los sistemas, de la correcta formación de la estructura de la organización, de la adecuada distribución de tareas y contraposición de intereses en los roles de control y ejecución de tareas. Luego de lograr eso se deben implantar medidas de índole técnica que garanticen el adecuado uso de los recursos y servicios solamente a los usuarios autorizados, y la disponibilidad de los mismos. Pero lo importante es ver que la Seguridad Informática ya no es un problema de la gente especializada en sistemas, sino que ha salido de los laboratorios y los centros de cómputo para instalarse en el escritorio del usuario, en donde nacen los problemas de Seguridad. 9

11 3. Motivación para la realización de este trabajo Este trabajo es la culminación de muchos años de estudio, en los que incursioné en técnicas, modelos, formas de trabajo, teorías, estudios y descubrimientos y a través de ellos me empapé de conocimientos en las distintas formas en que los presenta la ciencia. Durante los años transcurridos en la facultad, mi forma de pensar se fue modelando, puliendo, transformando, de modo de lograr una visión distinta de la vida, no solo de los problemas de la ingeniería. Luego, al ingresar en el mundo laboral, descubrí que los aspectos del negocio tienen una influencia crucial en la toma de decisiones en todos los aspectos, incluido el de las soluciones informáticas. En el tiempo que llevo tratando clientes, observando distintas realidades, y conociendo su negocio, como el de la industria petrolera, el de la industria del maíz, el de los laboratorios químicos, el de entidades estatales, el de los bancos, el de las líneas aéreas, entre otros, aprendí que es fundamental tener en cuenta los procesos del negocio al evaluar los procesos informáticos. Es por eso que en este trabajo pretendo traducir el conocimiento en seguridad informática disperso por el mundo en sus distintas formas, ya sea de conocimiento público o el privado al que pueda acceder, para crear una herramienta de trabajo que siga la línea de pensamiento del Ingeniero de la UBA, agregando a esta línea de pensamiento la incursión en los procesos de negocio del cliente con que se trabaje, para ofrecerle la mejor solución. Particularmente como alumna, el tema me fue atrapando luego de cursar la materia Introducción a los sistemas distribuidos en la que se vieron técnicas de seguridad en el contexto del modelo TCP/IP. En esa oportunidad la seguridad informática fue presentada con seriedad, aunque de forma escueta, pero especialmente logró despertar mi interés personal, por lo que comencé a investigar sobre el tema. Un tiempo después descubrí de la existencia de la asignatura Criptografía y Seguridad Informática dictada como materia optativa en la carrera Ingeniería Electrónica. Inmediatamente me interesé en la misma y realicé los trámites correspondientes para lograr la autorización para cursarla y la aceptación de los créditos como materia optativa. 10

12 Pude cursarla efectivamente y aprobarla en el segundo cuatrimestre del año 2002, lo cual dejó una marca importante en mi formación profesional ya desde mi condición de alumna. Luego continué investigando sobre el tema, pero noté que la información se encontraba dispersa y desordenada; sin embargo también noté que la bibliografía era en general muy específica. Considero muy importante para la formación de los Ingenieros en Informática la educación en Seguridad Informática. Cualquier profesional de esta carrera debería poseer un mínimo conocimiento sobre el tema que le permita profundizar en el aspecto que considere necesario. Es por esto que decidí realizar este trabajo con la idea de que sirva de guía para los colegas en el trabajo de detectar fallas de seguridad y recomendar soluciones en el aspecto del entorno en que se esté trabajando, que a fin de cuentas este es el trabajo del ingeniero: dar soluciones. 4. Alcance de la tesis En esta tesis se desarrollará una metodología de trabajo. Se describirán las tareas y subtareas a realizar para obtener resultados específicos, se indicará un orden para realizarlas, se servirá de documentación a desarrollar para completar informes y relevamientos, se dará un marco general para el desarrollo del proyecto de aseguramiento del entorno en estudio, pero no se entrará en detalle en los siguientes temas: Administración del proyecto: No se entrará en detalles en la formalización del Alcance, ni en la estimación de tiempos y costos del proyecto, ya que son tareas puramente administrativas que no hacen al problema de aseguramiento del entorno informatizado. Vulnerabilidades conocidas en sistemas operativos y aplicaciones: No se enumerarán las vulnerabilidades conocidas en software base ni en aplicativos, ya que éstas cambian y se incrementan día a día, lo que restaría escalabilidad y vigencia en el tiempo a la tesis. Implantación de las soluciones en plataformas tecnológicas específicas: 11

13 No se entrará en detalle en configuraciones ni ejecución de procesos específicos para solucionar problemas de seguridad en sistemas operativos ni software aplicativo pues se pretende hacer una metodología portable, independiente de la plataforma tecnológica. 5. Organización del documento El trabajo ha sido desarrollado en seis partes: I. Índice II. Prefacio III. Introducción IV. Desarrollo de la Metodología AEI V. Conclusión VI. Bibliografía VII. Anexo I. MAEI Resumen de Fases y Tareas VIII. Anexo II. Estándares Internacionales. Reseña introductoria. IX. Anexo III. Glosario de términos. A su vez, la parte IV, Desarrollo de la Metodología AEI, está organizada en seis capítulos correspondientes a cada una de las fases de la metodología que aquí se presenta. Los capítulos son los siguientes: 1. Definición del Alcance. 2. Relevamiento. 3. Planificación. 4. Implantación. 5. Estabilización. 6. Mantenimiento. 12

14 III. INTRODUCCIÓN. 1. La metodología. La metodología propuesta se compone de seis fases que agrupan etapas. Estas fases, a su vez, desde un aspecto macroscópico se pueden generalizar en dos grandes grupos: el estudio del entorno y la implantación de la solución. 1.1 El estudio del entorno. En este primer grupo de fases se encuentran: La definición del Alcance; El Relevamiento; La Planificación. Aquí se fija como objetivo conocer al entorno informatizado donde se implementará la metodología, a fin de asegurarlo. Este conocimiento implica la intervención del usuario, que aportará el conocimiento personal desde su perspectiva, también aportará inquietudes y necesidades que ayudarán al ES a dar la solución más satisfactoria para el cliente. Cliente es toda entidad, empresa, organismo o persona que presente su entorno informatizado con el fin de que el ES lo analice y lo asegure. En este estudio, el ES investiga, observa, documenta. Investiga cómo se trabaja, cómo está formada la empresa, qué tecnología posee, cómo ésta es utilizada. Observa cómo se manejan los empleados, cuáles son las políticas implícitas en el entorno con respecto al trabajo, al manejo de la información y de los bienes. Documenta en un formato comprensible el conocimiento que él adquiere, para el intercambio con el usuario, y como fuente para el desarrollo de la solución de la próxima etapa de la metodología. 1.2 La implantación de la solución. Este segundo grupo de fases comprende: 13

15 La Implantación de la solución; La Estabilización del entorno; El Mantenimiento de la solución, para guardar el entorno en condiciones confiables de seguridad. En esta parte el ES ya conoce el entorno objetivo, por lo que se dedica a hallar la solución que mejor se adapte al mismo. Vuelca la planificación a la práctica, a través de la implantación de las técnicas que se eligieron en la etapa anterior, genera y desarrolla los modelos de análisis que forman parte del Plan de Aseguramiento y que le servirán de ahí en adelante, durante toda la vida del ambiente. Luego de la ejecución del Plan de Aseguramiento, el entorno objetivo se estabiliza determinando una adecuada capacitación de los usuarios, y verificando los beneficios logrados como resultado. La implantación se cierra, aunque siempre queda latente una extensión de la misma que se ocupará del registro de incidencias, de cambios en los bienes físicos y lógicos, entre los que se considerarán las periódicas actualizaciones de software antivirus y otras técnicas a aplicarse con regularidad para mantener el nivel de seguridad a medida que el entorno cambia. A continuación se exhibe un diagrama que muestra las fases: 14

16 Plan de aseguramiento aprobado? Sí No Planificación Implantación de la solución Implantación Relevamiento Estabilización Definición del Alcance Estudio del Entorno Entorno protegido Entorno inseguro Mantenimiento 2. Descripción de las fases. Las siguientes son las fases de la metodología AEI, con las principales etapas que las constituyen. Las mismas se desarrollarán en detalle en la parte IV de este trabajo, Desarrollo de la metodología AEI. 1. Definición del Alcance En esta fase se determinan qué aspectos, sectores, áreas y recursos se van a proteger. Se desarrolla en cinco subfases: 1.1 Análisis de requerimientos de usuario En esta etapa se realiza la negociación con el cliente sobre los niveles, sectores, servicios y activos a proteger en función de los requerimientos que hace el usuario. 1.2 Elaboración del Alcance Se confecciona un documento detallando objetivos claros y puntuales que se deberán cumplir en el proceso de aseguramiento. 1.3 Aprobación del Alcance 15

17 En esta etapa el cliente determina la aprobación o el rechazo del Alcance, de manera de continuar o no con el proyecto, o ver las modificaciones que él propone. 1.4 Estimación de tiempos y costos Parte destinada a la determinación aproximada de la duración del proyecto y de los costos asociados: recursos financieros, recursos humanos, recursos recurrentes y no recurrentes, etc. 1.5 Elaboración del Plan de Trabajo Luego del análisis anterior, y con el objetivo bien claro, el ES confecciona el plan a seguir estimando períodos de trabajo, asignación de recursos y fechas de presentación de los entregables. 2. Relevamiento En esta etapa el ES comienza a familiarizarse con el entorno a proteger, mediante la identificación de los elementos que lo componen. Comprende las siguientes etapas: 2.1 Elaboración del Relevamiento General El ES realiza una inspección general sobre los aspectos de la organización, de su negocio y de los bienes. 2.2 Elaboración del Relevamiento de Usuario Consiste en obtener información del usuario respecto de las costumbres y usos del sistema, el manejo de la información, y el nivel de conciencia del usuario respecto a las potenciales amenazas existentes en su entorno. Se elabora el Relevamiento de Usuario. 2.3 Análisis de vulnerabilidades Determinación de las amenazas presentes en la organización respecto de la seguridad. 2.4 Análisis de riesgos Se analiza el impacto y la probabilidad de ocurrencia de las vulnerabilidades detectadas en la etapa anterior, el riesgo que implican y los potenciales nuevos riesgos a los que esté expuesto el entorno. 3. Planificación Esta fase comprende el análisis detallado de los puntos a proteger estudiando el entorno en distintos aspectos: el físico, el lógico y el de la organización. 3.1 Elaboración del Plan de Aseguramiento 16

18 El Plan de Aseguramiento es el documento que describe las medidas que se tomarán para asegurar el sistema, según los objetivos planteados en el Alcance. 3.2 Aprobación del Plan de Aseguramiento El Plan de Aseguramiento debe ser consensuado por el cliente para comenzar su implantación. Por motivos de presupuesto, de política, u otras causas el responsable del proyecto por parte del cliente puede solicitar recortes o ampliaciones del Plan, que serán analizadas por el ES quien deberá exigir una justificación por todos los cambios solicitados, y presentar los riesgos que estos generen en el entorno. 4. Implantación En esta fase se llevará a cabo el Plan de Aseguramiento antes propuesto (y aprobado) y las etapas de ajuste político y organizativo que el ES considere necesarias. Vemos a continuación las etapas de esta fase: 4.1 Elaboración del Relevamiento de Activos Es una enumeración detallada de los bienes físicos y lógicos de la empresa, junto con una asignación de responsabilidades sobre cada activo, y la valoración de su criticidad a nivel de la seguridad, y la clasificación de la información en cuanto a su criticidad. En esta etapa se elabora el Inventario de Activos 4.2 Clasificación de la Información A partir del análisis de criticidad de los activos, se procede a clasificar la información según su grado de criticidad en cuanto a la disponibilidad, confidencialidad e integridad. Esto permitirá determinar las medidas necesarias de seguridad a fijar en el marco normativo de la empresa. 4.3 Elaboración/adaptación de la Normativa de Seguridad Esta etapa de la implantación consiste en el punto de partida del proceso de aseguramiento de un entorno. Pretende establecer las pautas, los requisitos legales, normativos, reglamentarios y contractuales que deben cumplir todos los miembros de la organización, sus socios comerciales, los contratistas y los prestadores de servicios. 4.4 Publicación de la Normativa de Seguridad Una vez elaborada, se debe dar a conocer el Manual de Seguridad de la organización, haciendo firmar los convenios de confidencialidad existentes y la confirmación de lectura y conocimiento de las Normas por parte de los usuarios. 17

19 4.5 Implantación del Plan de Aseguramiento En esta etapa se implantarán todas las medidas planificadas especialmente para el entorno objetivo, en cada nivel analizado: físico, lógico y de la organización. 4.6 Elaboración del Plan de Recuperación del Entorno ante Desastres El Plan de Recuperación del Entorno ante Desastres consiste en un plan para garantizar la continuidad del negocio cuando ocurran eventuales catástrofes de distinta índole. Para la elaboración de este plan se deberá tener en cuenta la criticidad de las aplicaciones y de los equipos, y el riesgo al que están expuestos, según lo estudiado en la etapa 2.2 de la fase de Alcance. Los desastres pueden ser naturales (inundaciones, caídas de rayos, tormentas eléctricas), provocados intencionalmente (sabotaje, hurto, negación de servicio), por error humano (incendios, destrucción accidental de información) o, fallas mecánicas o eléctricas inherentes a los equipos (rotura de discos, placas de red quemadas). En todos los casos habrá que prever cierto número de accidentes, su probabilidad de ocurrencia, identificar los equipos y aplicaciones críticas para el funcionamiento del negocio, y crear un plan de contingencia que garantice la continuidad del negocio y la recuperación del entorno informatizado en un tiempo adecuado. 5. Estabilización En este período se pretende estabilizar el entorno ya que a esta altura del proyecto, seguramente ha sufrido numerosos cambios. Se hace una observación y evaluación de la implantación en las siguientes etapas: 5.1 Análisis de resultados En esta etapa se cotejan los resultados obtenidos con el Alcance planteado en la fase 1 de esta metodología y se evalúan los resultados obtenidos: los objetivos logrados y los puntos postergados o descartados con su respectiva justificación. 5.2 Ajuste Esta subfase de estabilización está dedicada a realizar ajustes sobre el Plan de Aseguramiento según los resultados obtenidos y analizados en la etapa anterior de esta misma fase y los inconvenientes o nuevos requerimientos que pudieran surgir en la etapa de implantación. 18

20 Los puntos de control que necesiten cambios, mejoras o los que surjan durante el proyecto se tomarán en cuenta para completar y adaptar el Plan de aseguramiento para una segunda implementación, delimitando nuevamente su Alcance, que podrá reducirse a aplicar solamente los cambios surgidos en esta etapa para lograr un completo aseguramiento del entorno. 5.3 Cierre de la implantación El cierre de la implantación se realiza cuando se concluyeron los últimos controles que constituyen el Plan de Aseguramiento y concluidas las etapas de concientización y capacitación de usuarios de la fase 4 de esta metodología. 5.4 Capacitación de usuarios Se les explica a los usuarios los cambios efectuados, los nuevos procesos y formas de proceder ante incidencias, y la manera en que deben administrar la seguridad para mantener el entorno protegido. 6. Mantenimiento Esta fase comienza posteriormente a la implantación del Plan de Aseguramiento, luego de la estabilización del entorno y se mantiene durante toda su vida. Durante la vida del entorno ocurrirán incidencias y cambios que deberán ser analizados y documentados, así como también se deberán llevar a cabo controles periódicos y aplicar las correspondientes actualizaciones para mantener un nivel confiable de seguridad en el entorno, en las siguientes subfases: 6.1 Control de incidencias Esta fase se ocupa de analizar y documentar las incidencias ocurridas del uso diario de los recursos, tales como: Mal funcionamiento de elementos de hardware; Ruptura de elementos de hardware; Anomalías en productos de software; Fallas en procesos; Detección de virus malignos; Averío de documentación; Pérdida de bienes; Etc. Todo incidente, incluso los no especificados en este trabajo, deberá ser reportado a quien corresponda, según lo especificado en la Normativa de seguridad, mediante un Reporte de Incidencias, y asentado en el Registro de Incidencias por el responsable a cargo. El Registro de Incidencias es un documento destinado para tal fin. 19