SESION 10: Implementacin: Implementando Seguridad

AGENDA

Gestin del Proyecto Gerencia del proyecto Desarrollando el Plan

Control de cambios y tecnologa Supervisando Implementacin Ejecutando el Plan Ciclo de retroalimentacin Estrategias de conversin El modelo del ojo del toro Subcontratar o no Consideraciones al cambio Resistencia al cambio

Aspectos financieros Prioridades Tiempo y cronograma Personal Alcance Procura Factibilidad Organizacional Entrenamiento y adoctrinamiento

Objetivos :
Al trmino de esta sesin los alumnos sern capaces de: Describir como el Modelo de Seguridad de la organizacin se convierte en un Plan de proyecto Discutir las numerosas consideraciones organizacionales que deben ser tomadas en cuenta por el Plan del Proyecto Describir el significativo rol del Gerente del Proyecto en el xito de un proyecto de Seguridad de la Informacin

Objetivos
Al trmino de esta sesin los alumnos sern capaces de: Discutir la necesidad de profesionales de Gestin de Proyectos para Proyectos complejos Describir las estrategias tcnicas y modelos para implementar el Plan del Proyecto Reconocer los problemas no tcnicos que las organizaciones enfrentan en tiempos de cambios rpidos

Introduccin

En general la Fase de inplementacin es conseguida cambiando la configuracin y operacin de los sistemas de informacin de la organizacin para hacerlos mas seguros. Ello incluye cambios a:

Procedimientos (a travs de polticas) Gente (a travs de entrenamiento) Hardware (a travs de firewalls) Software (a travs de encriptacin) Datos (tal vez a travs de su clasificacin)

Introduccin

Durante la fase de implementacin, la organizacin traduce su Modelo de Seguridad de Informacin en un Plan concreto de Proyecto Un plan de proyecto entrega instrucciones a los individuos que estn ejecutando la implementacin

Introduccin

Estas instrucciones se enfocan en los cambios a los controles de seguridad necesarios para el hardware, software, procedimientos, datos, y personas que componen los sistemas de informacin de la organizacin Antes que un Plan de Proyecto pueda ser desarrollado, la Gerencia debe haber articulado y coordinado la visin de la seguridad de la Informacin y los objetivos involucrados en la ejecucin del plan

Fase de Implementacin
Analyze Logical Design Physical Design Implementa tion: Implementing Security Chapter 10 Implementa tion: Personnel & Security Chapter 11 Maintain

FIGURE 10- 1

Implem ent ation P h ase wit h in th e SecSDLC

Gestin del proyecto

Una vez que la visin y objetivos de la organizacin son documentados y entendidos, el modelo puede ser convertido en un Plan de Proyecto Los principales pasos en la ejecucin del Plan del Proyecto son:

Planeamiento del proyecto Supervisar tareas y mantener el control Desenvolver el plan del proyecto

Gestin del Proyecto

El plan del proyecto puede ser desarrollado de muchas formas Cada organizacin tiene que determinar su propia Metodologa de Gestin de proyectos para proyectos de TI y de Seguridad de informacin

Gerencia de Proyecto

Cuando sea posible, los proyectos de seguridad de informacin deben seguir las prcticas organizacionales de la Gestin de Proyectos. Si su organizacin no tiene definidas sus prcticas de gerencia de Proyecto, se pueden seguir las siguientes guas generales sobre prcticas de Gerencia de Proyectos que pueden ser aplicadas

Desarrollando el Plan del Proyecto

Creacin de un Plan detallado del Proyecto usando una simple herramienta de planificacin como es la estructura de descomposicin del trabajo (WBS)

Los atributos comunes de la tareas son:

Cada tarea principal luego es dividida ya sea en tareas mas pequeas o acciones especficas

Trabajo a ser conseguido (actividades y entregables) Individuos (o juegos de habilidades) asignados para la ejecucin de tareas Fechas de inicio y fin para las tareas (cuando son conocidas) (hitos) Cantidad de esfuerzo requerido para completar en horas o das de trabajo (entender tareas y acordar estimados) Gastos de capital estimados para las tareas (firewall y otros) Gastos corrientes para las tareas (programa de gestin de la seguridad) Otras tareas sobre las que las tareas dependen (predecesoras, sucesoras)

Planeamiento del Proyecto

Conforme el plan es desarrollado, la adicin de detalle al plan no siempre es sencilla Las consideraciones especiales incluyen:

Aspecto financiero prioridad tiempo personal alcance procura Factibilidad organizacional Entrenamiento y adoctrinamiento Control de cambios y aspectos tecnolgicos

Desarrollando el Plan del Proyecto

Cada gran tarea es luego dividida ya sea en tareas mas pequeas o en acciones especficas Los componentes claves del proyecto son:

Identificar el trabajo a ser conseguido Describir el juego de habilidades o necesidades de personal para conseguir la tarea Centrarse en la determinacin de las fechas de determinacin para los hitos principales

Desarrollando el Plan del Proyecto

Estimar los gastos de capital esperados para culminar la tarea, subtarea o accin Estimar los gastos corrientes para culminar la tarea, subtarea o accin. Observe donde sea posible las dependencias con otras tareas o pasos actuales de las acciones

Aspectos Financieros

No importa que necesidades de seguridad existen en la organizacin, la cantidad de esfuerzo que puede ser gastada depende de los fondos disponibles Un anlisis Costo-beneficio debe ser verificado antes del desarrollo del plan del proyecto

Aspectos financieros

Tanto las organizaciones pblicas como privadas tienen restricciones presupuestales, a pesar de que son de naturaleza diferente Para justificar la cantidad presupuestada para un proyecto de seguridad ya sea en organizaciones pblicas o lucrativas, puede ser til comparar gastos de organizaciones similares

Prioridad

En general, los controles principales de seguridad de la informacin deben ser cronogramados primero La implementacin de controles es guiada por la priorizacin de las amenazas y el valor de los activos de informacin amenazados Un control que cuesta un poco mas y que est en un nivel mas bajo de la lista de priorizacin pero que trata muchas mas vulnerabilidades especficas y amenazas tiene una mayor prioridad que uno de prioridad mas alta y menos caro que solo trata una vulnerabilidad en particular

Tiempo y cronograma

El tiempo es otra restriccin que tiene un amplio impacto en el desarrollo del plan del proyecto El tiempo puede impactar docenas de puntos en el desarrollo de un plan de proyecto, los que incluyen:

Tiempo para ordenar y recibir un control de seguridad debido a reservas de un vendedor o fabricante Tiempo para instalar y configurar el control Tiempo para entrenar a usuarios Tiempo para conseguir el retorno de la inversin en el control

Personal

La falta de personal suficiente, calificado, entrenado y disponible tambin es una restriccin al proyecto Personal con experiencia es frecuentemente necesitado para implementar las tecnologas disponibles y desarrollar e implementar polticas y programas de entrenamiento Si ningn miembro del personal es entrenado para configurar un firewall que est siendo comprado, alguien debe ser entrenado o contratado con la experiencia suficiente para esa tecnologa en particular

Alcance

Es no realista instalar todos los componentes de seguridad de informacin a la vez En adicin a las restricciones de manipular tantas tareas complejas a la vez, hay problemas de conflictos interrelacionados entre la instalacin de controles de seguridad de informacin y las operaciones diarias de la organizacin La instalacin de nuevos controles de seguridad de informacin tambin pueden causar conflictos con los controles existentes

Procura

Todos los planificadores de TI y seguridad de informacin deben considerar la adquisicin de productos y servicios Hay algunas restricciones en el proceso de seleccin de equipamiento y servicios en muchas organizaciones, especficamente en la seleccin de ciertos vendedores de servicios o productos de fabricantes y proveedores Estas restricciones pueden cambiar las especificaciones de una tecnologa particular o an eliminarla de las posibilidades reales

Factibilidad Organizacional

Las Polticas requieren de tiempo para desarrollarse y las nuevas tecnologas requieren de tiempo para ser instaladas, configuradas, y probadas Los empleados necesitan entender como un nuevo programa impacta en su trabajo

Factibilidad Organizacional

La meta del Plan del proyecto es evitar que los nuevos componentes de seguridad impacten directamente en las operaciones diarias de los empleados individuales Los cambios deben ser transparentes a usuarios, a menos que la nueva tecnologa cause cambios a procedimientos, como requerir autenticacin o verificacin adicional

Entrenamiento y adoctrinamiento

El tamao de la organizacin y la conduccin normal del negocio puede impedir un simple pero gran programa de entrenamiento Como resultante, la organizacin debe conducir fases o enfoques de pilotos para su implementacin, tales como desplegar el entrenamiento departamento por departamento

Entrenamiento y adoctrinamiento

En el caso de polticas, puede ser suficiente resumir a los supervisores sobre la nueva poltica y luego que estos actualicen a los usuarios finales en reuniones normales Asegurar que documentos de conformidad estn distribuidos a todos los empleados que los requieran para su lectura, entendimiento y acuerdo con las nuevas polticas

Control de cambio y la tecnologa

En las organizaciones que tienen grandes infraestructuras, el control de cambios y los problemas de la tecnologa son esenciales

Gerencia del Proyecto

Requiere un juego nico de habilidades y un entendimiento completo de un amplio campo de conocimiento especializado Es una asuncin realista que muchos proyectos de seguridad de informacin requieren un gerente de proyecto entrenado. Gerente de Seguridad de Informacin o Gerente de TI con muchas habilidades y versado en tcnicas de Gestin de Proyectos para supervisar el proyecto

Gerencia del Proyecto

Adems, cuando se seleccione tecnologas avanzadas o integradas o se subcontraten los servicios, aun los Gerentes de proyectos experimentados son aconsejados que busquen asistencia experta cuando se requiera un proceso formal de concurso

Supervisando Implementacin

Algunas organizaciones pueden designar a un representante ideal de la gerencia general para supervisar la implementacin de un plan de proyecto Una alternativa es designar un Gerente TI senior o al Gerente de Informacin de la organizacin para dirigir la implementacin

Supervisando Implementacin

La solucin ptima es designar a una persona adecuada de la comunidad de inters de Seguridad de la Informacin, ya que el enfoque inherente est en las necesidades de seguridad de informacin de la organizacin Depende de cada organizacin encontrar el liderazgo adecuado para la implementacin exitosa del proyecto

Ejecutando el Plan

Usar retroalimentacin de sucesos para controlar la ejecucin del proyecto:

Progreso es medido peridicamente Las medidas son comparadas contra los resultados esperados

Cuando ocurren desviaciones significativas se deben tomar acciones correctivas

Ejecutando el Plan

En el caso de acciones correctivas se requiere ya sea el estimado que estuvo defectuoso o el rendimiento o la demora ocasionada

Cuando un estimado es defectuoso, se debe de corregir el plan y actualizar las dems actividades siguientes para reflejar el cambio Cuando el rendimiento tiene demoras adicione recursos, alarge el cronograma o reduzca la calidad o cantidad de entregables

Ejecutando el Plan

Las decisiones usualmente son expresadas en terminos de negociaciones Con frecuencia un Gerente de Proyecto puede ajustar uno de tres parmetros de planeamiento

Esfuerzo y dinero destinado Tiempo transcurrido o impacto en el cronograma Calidad/Cantidad de entregables

Ciclo de retroalimentacin
Plan es desarrollado Trabajo Progreso es medido Si Proyecto es completo

Completo? No Si En objetivo?

No

Accin Correctiva

FIGURE 10-2

Negative Feedback Loop

Tpicos tcnicos de la implementacin

Algunas partes del proceso de implementacin son tcnicos por naturaleza, tratan con la aplicacin de tecnologa, mientras otros que no lo son tratan con la interfase de los humanos con el sistema tcnico

Estrategias de Conversin

Conversin Directa: tambin conocida como proceder framente, involucra detener el viejo mtodo y comenzar el nuevo (hacer pruebas para reducir problemas). Implementacin faseada: es el enfoque mas comn que involucra desplegar una pieza del sistema a travs de toda la organizacin (es lo mejor).

Estrategias de conversin
(continuacin)

Implementacin de Piloto: involucra implementar todas las mejoras de seguridad en una simple oficina, departamento, o divisin y resolver los problemas dentro de ese grupo antes de expandirlo al resto de la organizacin (investigacin y desarrollo para resolver problemas que emergan). Operaciones en Paralelo: involucran ejecutar los nuevos mtodos junto con los antiguos mtodos

El Modelo del ojo del toro

Polticas Redes Sistemas
DMZ; autenticacion y autorizacin

Servidores; control de procesos

Aplicaciones

ERP, e-mail, automatiz. de oficina

The Bulls-Eye Model

El Modelo del ojo del toro

A travs de la revisin del Modelo de Seguridad de Informacin y el estado actual de los esfuerzos de seguridad de informacin en trmino de las cuatro capas del modelo del ojo del toro, los planificadores del proyecto pueden encontrar guas acerca de donde hacer presin para ampliar las capacidades de la seguridad de informacin Depende del proceso de evaluacin de los planes del proyecto en una progresin a travs de las cuatro capas: polticas, redes, sistemas y aplicaciones

El Modelo del ojo del toro

Las ms importantes y usables polticas de TI y de seguridad de informacin van primero Los controles de redes son diseados y desplegados en segundo lugar En tecer lugar la Informacin, procesos, y sistemas fabricados son asegurados El paso final es evaluacin y remedio de la seguridad de las aplicaciones de la organizacin.

Subcontratar o No

Asi como algunas organizaciones subcontratan las operaciones TI, las organizaciones pueden subcontratar parte o todo el programa de seguridad de la informacin Cuando una organizacin ha subcontratado los servicios TI, la seguridad de la informacin debe ser parte del convenio de contrato con esa empresa Como la subcontratacin es compleja, la contratacin de especialistas y abogados que verifiquen los aspectos legales y tcnicos del contrato de outsourcing

Tecnologa y Control de cambios

Otros factores que determinan el xito de una organizacin TI y del proceso de implementacin de la seguridad no son de naturaleza tcnica pero tratan con la interfase humana con los sistemas tcnicos Estos factores incluyen tecnologa y

procesos de control de cambios

Tecnologa y Control de cambios

La gestin de la tecnologa es un proceso complejo que una organizacin usa para gestionar los impactos y costos causados por la implementacin de la tecnologa, innovacin y obsolescencia Este gobierno de la tecnologa tambin facilita la comunicacin acerca de los avances tcnicos y problemas a travs de la organizacin

Tecnologa y Control de cambios

Las grandes y medianas organizaciones tratan con el impacto de cambio tcnico sobre la operacin de la organizacin a travs de un proceso de control de cambios

Perspectivas de cambio pueden causar que los empleados se resistan conciente o inconcientemente El stress del cambio puede incrementar la probabilidad de errores o crear vulnerabilidades La resistencia al cambio puede ser reducida construyendo elasticidad para el cambio

Tecnologa y Control de cambios

Gestionando el proceso de cambio:

Mejora la comunicacin acerca del cambio Mejora la coordinacin entre los grupos organizacionales conforme los cambios son cronogramados y completados Reducir las consecuencias no deseadas por tener un proceso para resolver los conflictos potenciales e interrupciones Mejorar la calidad del servicio conforme las fallas potenciales son eliminadas y trabajando junto los grupos Asegurar la gestin de que todos los grupos estn cumpliendo con las Polticas de la organizacin respecto a la tecnologa, procura, y seguridad de la informacin

Cultura de Cambio

Uno de los modelos mas viejos para hacer cambios en el modelo de Lewin:

Descongelando: derritiendo los duros y rpidos hbitos y procedimientos establecidos. Moviendo: la transicin entre la vieja forma y la nueva. Recongelando: la integracin de los nuevos mtodos hacia la cultura organizacional.

Consideraciones en Cambios

Para hacer que una organizacin realice cambios mas amenos, se deben tomar algunos pasos:

Reducir la resistencia al cambio desde el inicio del proceso de planeamiento Dar pasos para modificar la organizacin para que sea mas aceptante a los cambios

Reducir Resistencia

Mientras ms arraigados estn los mtodos anteriores y comportamientos, mas dificil sern los cambios El mecanismo primario usado para superar esta resistencia al cambio es mejorar la interaccin entre los miembros afectados de la organizacin y los planificadores del proyecto en las fases mas tempranas del ciclo de vida de desarrollo de sistemas de seguridad Las guas para mejorar esta interaccin es un proceso de tres pasos:

communicar educar involucrar

Desarrollar soporte para el cambio

La mejor situacin es una organizacin con una cultura que est mas all de la baja resistencia al cambio pero que fomenta la elasticidad para el cambio Esta elasticidad significa que la organizacin ha llegado a esperar que el cambio es una parte necesaria de la cultura organizacional y que adoptar el cambio es mas productivo que lucharlo Para desarrollar tal cultura la organizacin debe cumplir exitosamente con muchos proyectos que requieren cambios