Escolar Documentos
Profissional Documentos
Cultura Documentos
CONTENIDO 1. TTULO DEL PROYECTO Y PERODO DE EJECUCIN .......................................... 1 2. DESCRIPCIN GENERAL DEL PROYECTO ............................................................ 1 3. OBJETIVOS DEL PROYECTO ................................................................................... 2 4 JUSTIFICATIVAS ........................................................................................................ 3 5 ALCANCE ................................................................................................................... 4 6 PARTES INTERSADAS................................................................................................ 7 7. MATRIZ DE RESPONSABILIDADES ......................................................................... 7 8. GESTION DEL PROYECTO ................................................................................... 9 9. PLAN DE APLICACIN DE LOS RECURSOS FINANCIEROS ................................. 11
PLAN DE TRABAJO - PDT CERT-PY Proveer checklist gubernamentales. (lista de verificacin) de seguridad a otras instituciones
Asesorar a las instituciones gubernamentales y/o privadas en recomendaciones de soluciones de seguridad. Promover servicios de formacin del Capital Humano de las diferentes Instituciones, tanto en el sector privado, como en el pblico, para el escenario de seguridad en el manejo de Informacin y Comunicaciones.
Objetivos Especficos
Contar con expertos responsables del desarrollo de medidas preventivas y reactivas ante incidencias de seguridad en los sistemas de informacin. Contar con una Infraestructura de Tecnologas de manejo de informacin y comunicaciones que puedan servir de base para el manejo de eventos en el escenario de Seguridad. Contar con sistemas expertos de manejos de Informacin de Eventos de Seguridad, as como sistemas de Comunicacin especializados para dichos eventos. Definir Planes y Polticas que apoyen al manejo de los escenarios de la Seguridad de la informacin y las Comunicaciones. Definir procesos que permita el manejo efectivo de incidentes de seguridad que se presente. Disear contra medidas de eventos de seguridad. Proporcionar servicios de respuesta ante incidentes a vctimas de ataques en la red. Publicar alertas relativas a amenazas y vulnerabilidades y ofrecer informacin que ayude a mejorar la seguridad de los sistemas. Estudiar el estado de seguridad global de redes y ordenadores. Apoyar la estrategia de seguridad nacional, a travs de definiciones de polticas de seguridad TICs. Implementar un sistema de formacin que permita el desarrollo de programas de educacin de seguridad estructuradas y peridicas, a los efectos de que las distintas 2
PLAN DE TRABAJO - PDT CERT-PY unidades del gobierno cuenten con personal calificado que pueda prevenir y reaccionar ante situaciones de riesgos, y tambin del sector privado??.
4. JUSTIFICATIVAS
El gobierno paraguayo actualmente no cuenta con una organizacin con la capacidad de dar respuestas a incidentes de seguridad ciberntica, tanto dentro del gobierno como en el sector privado y la ciudadana en general, debilidad que trasciende al nivel de Estado paraguayo. Esta situacin se presenta debido a que muchas instituciones gubernamentales si bien consideran que la seguridad de la informacin es importante, no logran visualizar y dimensionar el riesgo de contar o no con sistema de seguridad, motivados por la inexistencia mediata e inmediata de amenazas y catstrofes crticos. Esta situacin responde al porque el mtodo bsico de seguridad comnmente utilizado sigue siendo el registro a travs del nombre de usuario y contrasea, con los permisos correspondientes y que prcticamente ninguna institucin cuenta con centros de recuperacin de datos de alta seguridad para casos de ataques, y si lo disponen tienen estructuras de seguridad muy dbiles. Sin embargo, existen recientemente importantes muestras de incidentes que se han presentado con pginas del gobierno expuestas en Internet deajando en evidencia la necesidad de organizar y planificar una unidad con capacidad de actuar, responder y analizar el origen de situaciones como estas. Tanto el aumento paulatino del uso de Internet, como el crecimiento del uso de las computadoras y la conformacin de un Gobierno Electrnico nos exigen asumir un rol mas protagnico en defensa de estos ataques cibernticos que atentan hoy da a un bien pblico, como lo es la infraestructura tecnolgica de un pas. Claramente se visualiza la necesidad de organizar una unidad capaz de responder a incidentes de seguridad TICs, un CERT PY (Equipo de Respuesta Ante Incidencias de Seguridad en el Paraguay), que establezca polticas de seguridad en los sistemas e infraestructura, a travs de un trabajo coordinado con el Ministerio de Defensa Nacional. Resumiendo existe una gran debilidad en materia de seguridad ciberntica debido a: Falta de polticas de seguridad TICs. Deficiencia en cuanto a infraestructura tecnolgica en las instituciones Escasa casi nula formacin de tcnicos especializados en la materia Inexistencias de una unidad gubernamental que concentre sus esfuerzos en la seguridad ciberntica
PLAN DE TRABAJO - PDT CERT-PY Cabe remarcar que la creacin de la organizacin planteada CERT PY no invalida la continuidad del trabajo que viene realizando el CSIRT-PY y otros que puedan surgir, sino ms bien lo aglutina y lo potencia. La modificacin sustancial de la forma en que se vena trabajando ser que el nico referente nacional e internacional sobre seguridad de TICs por parte del Estado paraguayo ser esta nueva organizacin.
5. ALCANCE
Diseo organizacional del CERT PY Dimensionamiento de la Infraestructura fsica, sistemas de manejo de informacin y sistemas de comunicaciones para el CERT PY Conformacin del equipo tcnico que incorporar el CERT PY Implementacin de la infraestructura fsica, sistemas de manejo de informacin y sistemas de comunicaciones que son requeridos. Diseo y definicin de servicios a ser brindados por la unidad Diseo y definicin de los sistemas expertos de manejo de Informacin de Seguridad, y sistemas de Comunicaciones especializados utilizadas por la CERT PY. Implementacin de los sistemas expertos de manejo de Informacin de Seguridad, y sistemas de Comunicaciones especializados. Realizar investigaciones para la implementacin de Planes y Polticas de Seguridad. Realizar un Plan para reaccin ante incidentes de Seguridad. Realizar estudios sobre el estado de seguridad global de redes y ordenadores a nivel pblico y privado. Definicin de estrategia de apoyo a la seguridad nacional Identificacin de medidas bsicas de seguridad a ser aplicadas. Diseo y definicin de medidas preventivas que implementara la unidad Diseo de protocolos de actuacin para cada una de las intervenciones a ser llevadas a cabo por la unidad. Diseo y puesta en operacin del Portal CERT PY Diseo e implementacin de programas de formacin especializada en materias de ciberseguridad Puesta en operacin del CERT PY
5.2 RESULTADOS ESPERADOS Creacin de una dependencia gubernamental (CERT PY) que se encargar de definir planes y polticas de seguridad TICs a nivel Nacional. Conformacin de un equipo de tcnicos responsable del desarrollo de medidas preventivas y reactivas ante incidencias de seguridad en los sistemas de informacin. Implementacin de una Infraestructura de Tecnologas de manejo de informacin y comunicaciones que puedan servir de base para el manejo de eventos en el escenario de Seguridad. Implementacin de sistemas expertos de manejos de Informacin de Eventos de Seguridad, as como sistemas de Comunicacin especializados para dichos eventos. Estrategias y Polticas diseadas y elaboradas que apoyaran al manejo de los escenarios de la Seguridad de la informacin y las Comunicaciones. Protocolos de actuacin diseados y elaborados que permitirn el manejo efectivo de incidentes de seguridad que se presente.
PLAN DE TRABAJO - PDT CERT-PY Lograr un diseo contra medidas de eventos de seguridad. Instalacion de capacidades tecnicas que permitiran realizar tareas de prevencion, y asi tambien proporcionar servicios de respuesta ante incidentes a vctimas de ataques en la red. Implementacion de un Portal que permita publicar alertas relativas a amenazas y vulnerabilidades y ofrecer informacin que ayude a mejorar la seguridad de los sistemas. Establecimiento de un sistema de formacin que permita el desarrollo de programas de educacin de seguridad estructuradas y peridicas, a los efectos de que las distintas unidades del gobierno cuenten con personal calificado que pueda prevenir y reaccionar ante situaciones de riesgos. Establecimiento de politicas que apoyen la estrategia de seguridad nacional, a travs de definiciones de polticas de seguridad TICs.
5.3 PREMISAS
La SETICs, identificara el espacio fisico adecuado para la instalacion del CERT PY. La Itaipu Binacional se reserva el derecho de autorizar a la conveniada, en este caso la FPTI-PY, a divulgar o no los datos relativos a las mediciones termogrficas realizadas en las instalaciones de la GIS. La comunicacin interna de los involucrados en el proyecto y que dependen de otras Instituciones estar bajo la responsabilidad del responsable del proyecto por parte de la SETICs. La Itaipu Binacional contar con la infraestructura necesaria para la instalacin y puesta en produccin del sistema informtico desarrollado como producto del proyecto.
5.4 RESTRICCIONES
La SETICs no cuenta con local propio, por lo que se debera identificar un espacio fisico donde se instalara esta dependencia gubernamental, atendiendo a que no esta contemplado en el presente proyecto la adquisicion del mismo. El costo operativo del CERT PY pasado los 24 meses no est contemplado en el presente proyecto. La adecuacion y/o construccion debera estar terminada dentro de los 4 meses de haber iniciado el proyecto. Las adquisiciones relacionada con la infraestructura tecnologica debe estar finalizada dentro de los 4 meses de haber iniciado el proyecto.
5.5 RIESGOS
Sub-estimacin errona en tiempo y recursos. No se conoce el lugar fisico lo que conlleva a un riesgo en la estimacion del presupuesto asignado para la adecuacion fisica del mismo. Excaso personal tecnico calificado en el mercado. Prdida de recursos humanos contratados para el proyecto. La SETICs no cuenta con presupuesto publico lo que impide la designacion de contrapartidas presupuestarias en casos que se requieran. Los tiempos de validacin referentes al proyecto (validacin de los diferentes informes) por parte de los profesionales de la Itaipu Binacional que se establecen el cronograma del proyecto pueden no ser cumplidos. Esto podr impactar en el cronograma y presupuesto si dichas actividades no son realizadas en tiempo y forma
6. PARTES INTERESADAS
La FPTI_PY, como gestora del proyecto. La SETICs, como entidad responsable del proyecto, en cumplimiento de uns de sus funciones misionales, atribuidas por Decreto Presidencial. El Ministerio de Defensa, como instancia gubernamental encargada de la defensa del pais. La Presidencia de la Republica, como representante del poder ejecutivo, en cumplimiento de su responsabilidad de la seguridad del pais, atribuida por la Constitucion Nacional
7. MATRIZ DE RESPONSABILIDADES
Actividad Disponibilidad de datos e informacin para elaboracin del producto Levantamiento de Requisitos del Producto Validacin de Documento de Requisitos del Producto Desarrollo e Implementacin del Producto Implantacin del Producto Validacin de entregables del Producto Elaboracin del Manuales de Producto Elaboracin de informes del Proyecto Capacitacin INSTITUCIN CLIENTE FPTI-PY R C R I R I R I R R I R R R 7
PLAN DE TRABAJO - PDT CERT-PY Mantenimiento Evolutivo durante el proyecto Fiscalizacin del Proyecto de acuerdo al Plan de Trabajo V R R
Sigla R V
Rol Descripcin Responsabl Este rol realiza el trabajo y es responsable por su e realizacin. Este rol se encarga de comprobar si el producto Verificador concuerda con los criterios establecidos en las especificaciones tcnicas del producto. Este rol posee alguna informacin o capacidad necesaria para terminar el trabajo. Se le informa y Consultado se le consulta informacin (comunicacin bidireccional). Este rol debe ser informado sobre el progreso y los Informado resultados del trabajo. A diferencia del Consultado, la comunicacin es unidireccional.
PLAN DE TRABAJO - PDT CERT-PY 8. GESTION DE PROYECTOS 8.1 CRONOGRAMA MACRO DE ACTIVIDADES
DESCRIPCION DE ACTIVIDADES Adecuacion de la Infraestructura fisica Identificar el lugar fisico donde operaria el CERT Elaborar el Proyecto de Adecuacion Contratar Fiscalizacion de la Obra Realizar los trabajos de adecuacion Instalacion de la Infraestructura tecnica Elaborar las especificaciones tecnicas de los recursos informaticos y de servicios a ser adquiridos Adquirir e instalar equipos y contratar servicios requeridos Poner en operacin la infraestructura Otras adquisiciones Especificar Rodados Especificar Mobiliarios Adquirir Rodados/Mobiliarios Organizacion de la Unidad Disear estructura organizativa Definir Funciones de las diferentes unidades Definir los cargos y perfiles tcnicos requeridos y dimensionar cantidad de RRHH mnimos e ideal. Definir criterios de seleccin Elaboracion de Terminis de Referencia Organizar los Servicios Relevar y diagnosticar el estado de seguridad de redes y ordenadores del sector publico Identificar medidas bsicas de seguridad a ser aplicadas conforme el punto anterior. Determinar los servicios del CERT Nacional. Disear protocolos de actuacin para cada una de las intervenciones a ser llevadas a cabo por la unidad. Capacitacion interna sobre Servicios Capacitacion interna sobre Protocolos de actuacion Disear Politicas y Estrategias de SeguridadOrganizar los Servicios Identificar requerimientos especificos Elaborar Politicas de Seguridad Disear estrategias de apoyo a la seguridad nacional Puesta en Operacion del CERT PY Incorporar RRHH y tcnicos con los diferentes perfiles requeridos. Implementacion del Portal Realizar monitoreo permanente Asistir en respuesta a incidentes presentados Plan de Formacion Continua Disear plan de educacin permanente en ciberseguridad. Realizar cursos de certificacin en ciberseguridad.
Ao 1 MES 1 MES 2 MES 3 MES 4 MES 5 MES 6 MES 7 MES 8 MES 9 MES 10 MES 11 MES 12
Ao 2
T1 T2 T3 T4
8.3 GESTION DE CALIDAD La Gestin de la Calidad de un proyecto envuelve los procesos y actividades que determinan responsabilidades, objetivos y polticas de calidad de la organizacin ejecutante a fin de que el proyecto satisfaga las necesidades por las que fue establecido1. Esta seccin se debe establecer cmo ser realizada la gestin de la calidad del proyecto y de producto. Ej. Para el caso de convenios con ITAIPU, el siguiente texto debera ser aplicado: ITAIPU, a travs de representantes designados o a travs de su unidad gestora, se reserva el derecho de auditar durante las fases del proyecto la calidad de los entregables con una metodologa propia basada en el PMI. Al inicio del proyecto, ITAIPU entregar a la FPTI-PY una planilla con la siguiente informacin: a) Entregables y componentes a ser considerados para el control de la calidad por etapa. b) Procesos de control de calidad para cada grupo de entregables. c) Nombre de revisores de proyecto a ser incorporados al equipo de control de calidad. Los puntos a y b sern establecidos con acuerdo de las partes. Si la metodologa establecida requiere de recursos extras se solicitar un aditivo de tiempo y de recursos financieros para poder cumplir con lo pactado. Un Plan de Calidad asociado al proyecto ser elaborado por la FPTI-PY en la etapa inicial del proyecto dentro del Plan para la Direccin del Proyecto (PDP) El grupo de calidad designado por ITAIPU emitir peridicamente informes de evaluacin a ser remitidos a los gerentes de proyecto y coordinadores de ITAIPU, con las
A Guide to the Project Management Body of Knowledge (PMBOK GUIDE), 4ta Edicin.
10
PLAN DE TRABAJO - PDT CERT-PY recomendaciones pertinentes para asegurar la calidad del entregable relacionado. Dichas recomendaciones sern transmitidas a la FPTI.
9. PLAN DE APLICACIN DE LOS RECURSOS FINANCIEROS a) b) 9.1 ORIGEN DE LOS RECURSOS La ITAIPU, realizar los aportes financieros que sean necesarios para cubrir gastos relativos al pago de ejecucin del proyecto, conforme a los detalles de recursos financieros y econmicos indicados en este Plan de Trabajo. Los fondos financieros sern dados por la ITAIPU a la FPTI_PY y sern depositados en cuenta bancaria de la FPTI_PY, conforme al cronograma de desembolsos establecido en este Plan de Trabajo, siendo que el primer desembolso ser efectuado inmediatamente a la aceptacin de este plan de trabajo y los siguientes, contra presentacin de rendicin de Cuentas acompaada de la documentacin respaldatoria de los gastos efectuados. FPTI Fundacin Parque Tecnolgico de Itaipu: Aporte de recursos financieros y econmicos La ITAIPU aportar recursos econmicos para la implementacin del proyecto, cuyo detalle se encuentra en este plan de trabajo. Tanto la ITAIPU como la FPTI_PY entienden que los montos detallados en este plan de trabajo son estimativos, pudiendo sufrir variaciones durante la ejecucin del Convenio. 9.2 RESMEN FINANCIERO
Descripcin FPTI-PY AO 1 AO2
c) d)
Rubro: Recursos Humanos - Rol (PERFIL) 3.748.800.000 Rubro: Consultora Especifica 1.000.000.000 Rubro: Capacitacin 117.000.000 Rubro: Equipamientos y Equipos Informticos 3.767.150.000 Rubro: Conectividad (servicios) 200.000.000 Rubro: Construccion Edilicia 1.400.000.000 Rubro: Infraestructura Administrativa 820.800.000 Rubro: Mobiliario 50.000.000 Rubro: Rodados 200.000.000 Rubro: Seguros 48.000.000 Rubro: Servicios Generales 0 Rubro: Software 0 Rubro: Viaticos y Viajes 120.000.000 Rubro: Comunicaciones y Eventos 52.000.000 TOTAL PLANIFICACIN en guaranes: 11.523.750.000 TOTAL PLANIFICACIN en dolares: 2.619.034
1.874.400.000 1.874.400.000 1.000.000.000 58.500.000 58.500.000 3.767.150.000 100.000.000 100.000.000 1.400.000.000 410.400.000 410.400.000 50.000.000 200.000.000 24.000.000 24.000.000 60.000.000 60.000.000 26.000.000 26.000.000 8.970.450.000 2.553.300.000 2.038.739 580.295
11
AO 1 AO 2
Adquisicion de Rodados Adquisicion de Mobiliarios Construccion/Adecuacion Fisica Adquisicion e Instalacion de Equipos Informaticos
Diseo Organizacional
Plan de Servicios y Protocolos de actuacion Diseo de Politicas y Estrategias de Seguridad Puesta en Operacion del CERT PY
12