DISEÑO DE UN PLAN DE SEGURIDADACTIVIDAD No 2 INSTALAR Y ADMINISTRAR LA SEGURIDAD EN LA RED A PARTIR DE NORMAS INTERNACIONALES TECNOLOGIA EN GESTION DE REDES DATOS CENTRO DE SERVICIOS Y GESTIÓN EMPRESARIAL SENA, MEDELLÍN INTRODUCCION Con esta actividad podrá profundizar en los conceptos fundamentales de la normatividad de seguridad de la información y a la vez estará en capacidad de estructurar y diseñar un plan de seguridad que incluya todos los componentes administrativos, operativos y técnicos requeridos para dar respuesta al análisis de riesgos realizado en la fase anterior del proyecto y que permitan hacer una adecuada implantación de este mismo, mas adelante. PALABRAS CLAVES (KEY WORDS) Plan de seguridad, NTC-ISO 27001, normas ISO 27000, SGSI, criptografía clásica y moderna, algoritmos simétricos, algoritmos asimétricos, firma digital y certificados digitales, distribución de llaves, tokens, smatcards, biometría, IDS, VPN, kerberos, PGP, SSH, SSL/TLS/SET, S/MIME, PKI, IPSEC, seguridad perimetral, firewalls, iptables, ISA server, proxy-cache, filtrado de contenidos, ACLs, redes privadas virtuales, Ingeniería social, hardening en sistemas operativos. DESCRIPCIÓN DE ACTIVIDADES 2 DISEÑO DE UN PLAN DE SEGURIDAD Actividad 2.1 Descripción Realice una lectura de la norma técnica colombiana NTC-ISO 27001 y encuentre los factores diferenciadores con la norma estándar ISO 27001. Para esto asesorese con los instructores expertos y con profesionales que hayan trabajado en la implantación de Sistemas de Gestión de la Seguridad de la Información (SGSI). Realice un foro con su grupo de trabajo donde se trabaje con la temática de aseguramiento de comunicaciones internas y externas en ambientes corporativos. el foro debe plantearse desde la necesidad de proteger la integridad. Para este foro puede invitar instructores expertos a participar. para esto tome como referencia las empresas mas reconocidas en este ámbito y luego encuentre empresas colombianas que ofrezcan soluciones similares.4 2. explorelo y cree un resumen de todos los servicios y productos que ofrece actualmente. 2. Desarolle de forma completa el taller 1. Con las investigación realizada elabore un TOP 50 de productos de seguridad que usted considere que tienen una aplicabilidad real en el entorno de la entidad que se esta auditando. 27004. que tiene por nombre: Actividad2_Taller1_FIREWALL que se encuentra en la plataforma e-learning. discuta con sus compañeros la aceptación de estas normas en el entorno colombiano. para mas información visitar la plataforma elearning. recuerde contextualizar el ejercicio para que tenga relación con el proyecto actual.8 2. saque las conclusiones pertinentes del foro y publiquelas en su blog personal. Recuerde que siempre puede relacionar la información obtenida con su caso práctico. que tiene por nombre: Actividad2_Taller2_VPN que se encuentra en la plataforma e-learning. Su resumen puede mejorar si se apoya en material extra donde se expliquen los conceptos y tecnologías usadas en escenarios reales. solo básese en las caracteristicas y la aplicabilidad que tiene en su entorno.2.9 .7 2. Como ejemplo puede tomar las normas 27002. 27005.3 2. recuerde contextualizar el ejercicio para que tenga relación con el proyecto actual. Investigue sobre la existencia de otras normas de seguridad vigentes diferentes a las de la familia ISO 27000. Desarrolle de forma completa el taller 2.5 2. que tiene por nombre: Actividad2_Taller3_PROXY que se encuentra en la plataforma e-learning. confidencialidad y disponibilidad de la información en un ambiente corporativo. El precio de los productos no debe influir en su decisión. recuerde contextualizar el ejercicio para que tenga relación con el proyecto actual. Desarrolle de forma completa el taller 3. 27799.2 Diseñe una tabla comparativa donde se muestren diferencias relevantes entre 10 de las normas pertenecientes a la familia ISO 27000.6 Investigue sobre los productos existentes de seguridad en el mercado. para esto es importante que analice cuidadosamente la documentación oficial que se ofrece en el sitio. 2. etc. Visite el sitio web de CertiCamaras Colombia. Prueba de conocimiento sobre las herramientas tecnológicas existentes para eliminar amenazas y . como evidencia de este foro se debe generar un acta donde aparezca el resumen de lo acontecido y la firma de cada una de las personas que asistió Esta actividad es obligatoria para cada miembro del grupo de trabajo. que tiene por nombre: Actividad2_Taller4_IPS que se encuentra en la plataforma e-learning. Tabla 1. recuerde contextualizar el ejercicio para que tenga relación con el proyecto actual.12 Elabore una tabla comparativa donde se especifiquen las diferencias entre los siguientes planes: -Plan de continuidad del negocio -Plan de respuesta a incidentes -Plan de recuperación de desastres Una vez realizada la tabla.GNU/Linux. Una vez investigado sobre este tema.3).Solaris 10 Las "cheat sheet" se deben imprimir por grupos y hacerlas validar de un instructor experto del área de redes. EVIDENCIAS DE APRENDIZAJE ACTIVIDADES 2 DISEÑO DE UN PLAN DE SEGURIDAD Evidencias de Conocimiento 1. Sub actividades correspondientes a la Actividad 2.11 2. Esta prueba es de carácter individual.2. 2. Prueba de conocimiento sobre la normatividad en seguridad de la información al terminar la (A2.Windows 200X Server . cualquier distribución . organice un foro global (todos los grupos) y concluyan sobre la temática tratada. Lea documentación relacionada con el hardening de sistemas operativos.10 Desarrolle de forma completa el taller 4. para esto puede navegar en el sitio del NIST donde encontrará guías y herramientas de apoyo. 2. diseñe una 'cheat sheet' (tabla trampa/pastel) donde se resuman a modo de tips las estrategias de hardening para cada uno de los siguientes sistemas operativos: . En total el grupo de trabajo debe quedar con 3 tablas las cuales debe plastificar y conservar durante el resto del proyecto. 9 y A2.7. Evidencias de Desempeño 1.mitigar riesgos nivel corporativo al terminar la actividad (A2.12). (A2. 10. Resumen sobre productos y servicios ofrecidos por CertiCamara. A2. Evidencias de Producto 1.1). incluyendo el plan de seguridad de la información realizado. El material debe entregarse de forma organizada y con las respectivas licencias que permitan una redistribución académica. Tabla comparativa de normas de la familia 27000. Tabla 2. Verificación del proceso de desarrollo de los talleres de FIREWALL. 2. una lista de chequeo donde se verifique la creación del TOP 50. A2. 7. Acta firmada por todos los participantes del foro. Verificación del proceso de identificación de productos de seguridad. (A2. (A2. 3.10). VPN.0 2.2).6). 3. tamaño carta o menor y plastificadas. 8.4). (A2. (A2. CD o DVD que contenga todo el material desarrollado/investigado durante la fase 2.12). (A2.1 22/02/2012 22/01/2012 . Evidencias de aprendizaje para la Actividad 2. (A2. Esta prueba es de carácter individual.8. PROXY e IPS. Actividades elaboradas por: Fernando Alonso Quintero Londoño Andres Mauricio Ortiz Morales Revisado por: Versión: Fecha: 2.11). Resumen con todas las diferencias puntuales explicadas entre las normas NTC-ISO 27001 y la ISO 27001. Cheats Sheets (x3).
Report "Actividad2 Diseno de Un Plan de Seguridadv2.1"