PLAN DE TRABAJO

Implementacin del Centro de respuesta a incidentes de seguridad ciberntica - CERT-PY

CONTENIDO 1. TTULO DEL PROYECTO Y PERODO DE EJECUCIN .......................................... 1 2. DESCRIPCIN GENERAL DEL PROYECTO ............................................................ 1 3. OBJETIVOS DEL PROYECTO ................................................................................... 2 4 JUSTIFICATIVAS ........................................................................................................ 3 5 ALCANCE ................................................................................................................... 4 6 PARTES INTERSADAS................................................................................................ 7 7. MATRIZ DE RESPONSABILIDADES ......................................................................... 7 8. GESTION DEL PROYECTO ................................................................................... 9 9. PLAN DE APLICACIN DE LOS RECURSOS FINANCIEROS ................................. 11

PLAN DE TRABAJO - PDT CERT-PY

1. TTULO DEL PROYECTO Y PERIODO DE EJECUCIN

Ttulo: Implementacin del Centro de respuesta a incidentes de seguridad ciberntica CERT-PY Periodo: 24 meses El tiempo establecido corresponde a la ejecucin efectiva del proyecto. La misma inicia cuando se realiza el primer desembolso correspondiente. El tiempo entre la firma del convenio y el primer desembolso es considerada una etapa preliminar que no se considera como parte del desarrollo (ejecucin) del proyecto. As mismo, al finalizar las actividades tcnicas del proyecto, el tiempo establecido para la rendicin de cuentas finales (cierre administrativo) no es considerado parte del tiempo de ejecucin del proyecto.

2. DESCRIPCIN GENERAL DEL PROYECTO

El Proyecto centra sus esfuerzos en la conformacin de un CERT PY - Centro de respuesta a incidentes de seguridad en tecnologas de la informacin, a travs del cual organiza un grupo de tcnicos especialistas responsable del desarrollo de medidas preventivas y reactivas ante incidencias de seguridad en los sistemas de informacin. CERT PY se encargara de realizar el estudio sobre el estado de seguridad global de redes y ordenadores a nivel nacional y proporcionara servicios de respuesta ante incidentes a vctimas de ataques en la red. Publicara alertas relativas a amenazas y vulnerabilidades y ofrecera informacin que ayude a mejorar la seguridad de estos sistemas. El CERT PY cumplir principalmente las siguientes funciones: Definir planes y polticas de seguridad TICs. Recepcionar y procesar los distintos incidentes de seguridad informtica que son presentados. Controlar el dao provocado por incidentes de seguridad informtica a los sistemas de informacin de las organizaciones. Desarrollar actividades pro-activas tales como anuncios, construir conciencia educacin/entrenamiento, servicios de deteccin de intrusos y otros, que permitan prevenir la ocurrencia de incidentes contra la infraestructura informtica de los diferentes organismos y entidades del Estado. Realizar monitoreos de forma constante a travs de auditoras de seguridad o evaluaciones, el cumplimiento y la aplicacin de las polticas TICs de seguridad definida por los organismos competentes. Validar la calidad de los servicios, productos, estndares, mtodos, etc., sobre seguridad.

PLAN DE TRABAJO - PDT CERT-PY Proveer checklist gubernamentales. (lista de verificacin) de seguridad a otras instituciones

Asesorar a las instituciones gubernamentales y/o privadas en recomendaciones de soluciones de seguridad. Promover servicios de formacin del Capital Humano de las diferentes Instituciones, tanto en el sector privado, como en el pblico, para el escenario de seguridad en el manejo de Informacin y Comunicaciones.

3. OBJETIVOS DEL PROYECTO Objetivo General:

El presente proyecto tiene como objetivo General establecer una dependencia gubernamental (CERT PY) que se encargue de definir planes y polticas de seguridad TICs, con capacidad de responder a diversas amenazas de seguridad informtica a travs de la definicin de aspectos tcnicos, aspectos de gestin y aspectos fsicos, siguiendo los estndares de seguridad internacionales, garantizando de esta manera la proteccin de informacin del Poder Ejecutivo.

Objetivos Especficos
Contar con expertos responsables del desarrollo de medidas preventivas y reactivas ante incidencias de seguridad en los sistemas de informacin. Contar con una Infraestructura de Tecnologas de manejo de informacin y comunicaciones que puedan servir de base para el manejo de eventos en el escenario de Seguridad. Contar con sistemas expertos de manejos de Informacin de Eventos de Seguridad, as como sistemas de Comunicacin especializados para dichos eventos. Definir Planes y Polticas que apoyen al manejo de los escenarios de la Seguridad de la informacin y las Comunicaciones. Definir procesos que permita el manejo efectivo de incidentes de seguridad que se presente. Disear contra medidas de eventos de seguridad. Proporcionar servicios de respuesta ante incidentes a vctimas de ataques en la red. Publicar alertas relativas a amenazas y vulnerabilidades y ofrecer informacin que ayude a mejorar la seguridad de los sistemas. Estudiar el estado de seguridad global de redes y ordenadores. Apoyar la estrategia de seguridad nacional, a travs de definiciones de polticas de seguridad TICs. Implementar un sistema de formacin que permita el desarrollo de programas de educacin de seguridad estructuradas y peridicas, a los efectos de que las distintas 2

PLAN DE TRABAJO - PDT CERT-PY unidades del gobierno cuenten con personal calificado que pueda prevenir y reaccionar ante situaciones de riesgos, y tambin del sector privado??.

4. JUSTIFICATIVAS
El gobierno paraguayo actualmente no cuenta con una organizacin con la capacidad de dar respuestas a incidentes de seguridad ciberntica, tanto dentro del gobierno como en el sector privado y la ciudadana en general, debilidad que trasciende al nivel de Estado paraguayo. Esta situacin se presenta debido a que muchas instituciones gubernamentales si bien consideran que la seguridad de la informacin es importante, no logran visualizar y dimensionar el riesgo de contar o no con sistema de seguridad, motivados por la inexistencia mediata e inmediata de amenazas y catstrofes crticos. Esta situacin responde al porque el mtodo bsico de seguridad comnmente utilizado sigue siendo el registro a travs del nombre de usuario y contrasea, con los permisos correspondientes y que prcticamente ninguna institucin cuenta con centros de recuperacin de datos de alta seguridad para casos de ataques, y si lo disponen tienen estructuras de seguridad muy dbiles. Sin embargo, existen recientemente importantes muestras de incidentes que se han presentado con pginas del gobierno expuestas en Internet deajando en evidencia la necesidad de organizar y planificar una unidad con capacidad de actuar, responder y analizar el origen de situaciones como estas. Tanto el aumento paulatino del uso de Internet, como el crecimiento del uso de las computadoras y la conformacin de un Gobierno Electrnico nos exigen asumir un rol mas protagnico en defensa de estos ataques cibernticos que atentan hoy da a un bien pblico, como lo es la infraestructura tecnolgica de un pas. Claramente se visualiza la necesidad de organizar una unidad capaz de responder a incidentes de seguridad TICs, un CERT PY (Equipo de Respuesta Ante Incidencias de Seguridad en el Paraguay), que establezca polticas de seguridad en los sistemas e infraestructura, a travs de un trabajo coordinado con el Ministerio de Defensa Nacional. Resumiendo existe una gran debilidad en materia de seguridad ciberntica debido a: Falta de polticas de seguridad TICs. Deficiencia en cuanto a infraestructura tecnolgica en las instituciones Escasa casi nula formacin de tcnicos especializados en la materia Inexistencias de una unidad gubernamental que concentre sus esfuerzos en la seguridad ciberntica

PLAN DE TRABAJO - PDT CERT-PY Cabe remarcar que la creacin de la organizacin planteada CERT PY no invalida la continuidad del trabajo que viene realizando el CSIRT-PY y otros que puedan surgir, sino ms bien lo aglutina y lo potencia. La modificacin sustancial de la forma en que se vena trabajando ser que el nico referente nacional e internacional sobre seguridad de TICs por parte del Estado paraguayo ser esta nueva organizacin.

5. ALCANCE
Diseo organizacional del CERT PY Dimensionamiento de la Infraestructura fsica, sistemas de manejo de informacin y sistemas de comunicaciones para el CERT PY Conformacin del equipo tcnico que incorporar el CERT PY Implementacin de la infraestructura fsica, sistemas de manejo de informacin y sistemas de comunicaciones que son requeridos. Diseo y definicin de servicios a ser brindados por la unidad Diseo y definicin de los sistemas expertos de manejo de Informacin de Seguridad, y sistemas de Comunicaciones especializados utilizadas por la CERT PY. Implementacin de los sistemas expertos de manejo de Informacin de Seguridad, y sistemas de Comunicaciones especializados. Realizar investigaciones para la implementacin de Planes y Polticas de Seguridad. Realizar un Plan para reaccin ante incidentes de Seguridad. Realizar estudios sobre el estado de seguridad global de redes y ordenadores a nivel pblico y privado. Definicin de estrategia de apoyo a la seguridad nacional Identificacin de medidas bsicas de seguridad a ser aplicadas. Diseo y definicin de medidas preventivas que implementara la unidad Diseo de protocolos de actuacin para cada una de las intervenciones a ser llevadas a cabo por la unidad. Diseo y puesta en operacin del Portal CERT PY Diseo e implementacin de programas de formacin especializada en materias de ciberseguridad Puesta en operacin del CERT PY

PLAN DE TRABAJO - PDT CERT-PY

5.1 PRINCIPALES ENTREGAS

Productos Construccion/Adecuacion Fisica Adquisicion e Instalacion de Equipos Informaticos Adquisicion de Rodados Adquisicion de Mobiliarios Descripcion Documento que especifique el espacio fisico a ser utilizado Certificacion tecnica que demuestre la puesta en operacin de la infraestructura fisica Especificaciones tecnicas de los recursos informaticos y de servicios a ser adquiridos Adquisiciones / Contrataciones Certificacion tecnica que demuestre la puesta en operacin de la infraestructura Tecnica Adquisicion de Rodados Adquisicion de Mobiliarios Estructura Organica Descripcion de Funciones Diseo Organizacional Descripcion de cargos y perfiles Propuesta de cantidad minima de RRHH Especificacion de criterios para seleccin del personal Terminos de referencias Relevar y diagnosticar el estado de seguridad de redes y ordenadores del Sector Publico Identificar medidas bsicas de seguridad a ser aplicadas conforme el punto anterior. Plan de Servicios y Protocolos de actuacion Determinar los servicios del CERT PY. Protocolos de actuacin para cada una de las intervenciones a ser llevadas a cabo por la unidad. Protocolos de actuacin en relacion a las medidas preventivas Identificacion de requerimientos Diseo de Politicas y Estrategias de Seguridad Elaboracion de Politicas Diseo de Estrategia Contratacion de los RRHH Contratacion de Sewrvicios Implementacion del Portal Puesta en Operacion del CERT PY Implementacion de Servicios Disear plan de educacin permanente en ciberseguridad. Realizar cursos de certificacin en ciberseguridad.

5.2 RESULTADOS ESPERADOS Creacin de una dependencia gubernamental (CERT PY) que se encargar de definir planes y polticas de seguridad TICs a nivel Nacional. Conformacin de un equipo de tcnicos responsable del desarrollo de medidas preventivas y reactivas ante incidencias de seguridad en los sistemas de informacin. Implementacin de una Infraestructura de Tecnologas de manejo de informacin y comunicaciones que puedan servir de base para el manejo de eventos en el escenario de Seguridad. Implementacin de sistemas expertos de manejos de Informacin de Eventos de Seguridad, as como sistemas de Comunicacin especializados para dichos eventos. Estrategias y Polticas diseadas y elaboradas que apoyaran al manejo de los escenarios de la Seguridad de la informacin y las Comunicaciones. Protocolos de actuacin diseados y elaborados que permitirn el manejo efectivo de incidentes de seguridad que se presente.

PLAN DE TRABAJO - PDT CERT-PY Lograr un diseo contra medidas de eventos de seguridad. Instalacion de capacidades tecnicas que permitiran realizar tareas de prevencion, y asi tambien proporcionar servicios de respuesta ante incidentes a vctimas de ataques en la red. Implementacion de un Portal que permita publicar alertas relativas a amenazas y vulnerabilidades y ofrecer informacin que ayude a mejorar la seguridad de los sistemas. Establecimiento de un sistema de formacin que permita el desarrollo de programas de educacin de seguridad estructuradas y peridicas, a los efectos de que las distintas unidades del gobierno cuenten con personal calificado que pueda prevenir y reaccionar ante situaciones de riesgos. Establecimiento de politicas que apoyen la estrategia de seguridad nacional, a travs de definiciones de polticas de seguridad TICs.

5.3 PREMISAS
La SETICs, identificara el espacio fisico adecuado para la instalacion del CERT PY. La Itaipu Binacional se reserva el derecho de autorizar a la conveniada, en este caso la FPTI-PY, a divulgar o no los datos relativos a las mediciones termogrficas realizadas en las instalaciones de la GIS. La comunicacin interna de los involucrados en el proyecto y que dependen de otras Instituciones estar bajo la responsabilidad del responsable del proyecto por parte de la SETICs. La Itaipu Binacional contar con la infraestructura necesaria para la instalacin y puesta en produccin del sistema informtico desarrollado como producto del proyecto.

5.4 RESTRICCIONES
La SETICs no cuenta con local propio, por lo que se debera identificar un espacio fisico donde se instalara esta dependencia gubernamental, atendiendo a que no esta contemplado en el presente proyecto la adquisicion del mismo. El costo operativo del CERT PY pasado los 24 meses no est contemplado en el presente proyecto. La adecuacion y/o construccion debera estar terminada dentro de los 4 meses de haber iniciado el proyecto. Las adquisiciones relacionada con la infraestructura tecnologica debe estar finalizada dentro de los 4 meses de haber iniciado el proyecto.

PLAN DE TRABAJO - PDT CERT-PY

5.5 RIESGOS
Sub-estimacin errona en tiempo y recursos. No se conoce el lugar fisico lo que conlleva a un riesgo en la estimacion del presupuesto asignado para la adecuacion fisica del mismo. Excaso personal tecnico calificado en el mercado. Prdida de recursos humanos contratados para el proyecto. La SETICs no cuenta con presupuesto publico lo que impide la designacion de contrapartidas presupuestarias en casos que se requieran. Los tiempos de validacin referentes al proyecto (validacin de los diferentes informes) por parte de los profesionales de la Itaipu Binacional que se establecen el cronograma del proyecto pueden no ser cumplidos. Esto podr impactar en el cronograma y presupuesto si dichas actividades no son realizadas en tiempo y forma

6. PARTES INTERESADAS
La FPTI_PY, como gestora del proyecto. La SETICs, como entidad responsable del proyecto, en cumplimiento de uns de sus funciones misionales, atribuidas por Decreto Presidencial. El Ministerio de Defensa, como instancia gubernamental encargada de la defensa del pais. La Presidencia de la Republica, como representante del poder ejecutivo, en cumplimiento de su responsabilidad de la seguridad del pais, atribuida por la Constitucion Nacional

7. MATRIZ DE RESPONSABILIDADES
Actividad Disponibilidad de datos e informacin para elaboracin del producto Levantamiento de Requisitos del Producto Validacin de Documento de Requisitos del Producto Desarrollo e Implementacin del Producto Implantacin del Producto Validacin de entregables del Producto Elaboracin del Manuales de Producto Elaboracin de informes del Proyecto Capacitacin INSTITUCIN CLIENTE FPTI-PY R C R I R I R I R R I R R R 7

PLAN DE TRABAJO - PDT CERT-PY Mantenimiento Evolutivo durante el proyecto Fiscalizacin del Proyecto de acuerdo al Plan de Trabajo V R R

Sigla R V

Rol Descripcin Responsabl Este rol realiza el trabajo y es responsable por su e realizacin. Este rol se encarga de comprobar si el producto Verificador concuerda con los criterios establecidos en las especificaciones tcnicas del producto. Este rol posee alguna informacin o capacidad necesaria para terminar el trabajo. Se le informa y Consultado se le consulta informacin (comunicacin bidireccional). Este rol debe ser informado sobre el progreso y los Informado resultados del trabajo. A diferencia del Consultado, la comunicacin es unidireccional.

PLAN DE TRABAJO - PDT CERT-PY 8. GESTION DE PROYECTOS 8.1 CRONOGRAMA MACRO DE ACTIVIDADES
DESCRIPCION DE ACTIVIDADES Adecuacion de la Infraestructura fisica Identificar el lugar fisico donde operaria el CERT Elaborar el Proyecto de Adecuacion Contratar Fiscalizacion de la Obra Realizar los trabajos de adecuacion Instalacion de la Infraestructura tecnica Elaborar las especificaciones tecnicas de los recursos informaticos y de servicios a ser adquiridos Adquirir e instalar equipos y contratar servicios requeridos Poner en operacin la infraestructura Otras adquisiciones Especificar Rodados Especificar Mobiliarios Adquirir Rodados/Mobiliarios Organizacion de la Unidad Disear estructura organizativa Definir Funciones de las diferentes unidades Definir los cargos y perfiles tcnicos requeridos y dimensionar cantidad de RRHH mnimos e ideal. Definir criterios de seleccin Elaboracion de Terminis de Referencia Organizar los Servicios Relevar y diagnosticar el estado de seguridad de redes y ordenadores del sector publico Identificar medidas bsicas de seguridad a ser aplicadas conforme el punto anterior. Determinar los servicios del CERT Nacional. Disear protocolos de actuacin para cada una de las intervenciones a ser llevadas a cabo por la unidad. Capacitacion interna sobre Servicios Capacitacion interna sobre Protocolos de actuacion Disear Politicas y Estrategias de SeguridadOrganizar los Servicios Identificar requerimientos especificos Elaborar Politicas de Seguridad Disear estrategias de apoyo a la seguridad nacional Puesta en Operacion del CERT PY Incorporar RRHH y tcnicos con los diferentes perfiles requeridos. Implementacion del Portal Realizar monitoreo permanente Asistir en respuesta a incidentes presentados Plan de Formacion Continua Disear plan de educacin permanente en ciberseguridad. Realizar cursos de certificacin en ciberseguridad.

Ao 1 MES 1 MES 2 MES 3 MES 4 MES 5 MES 6 MES 7 MES 8 MES 9 MES 10 MES 11 MES 12

Ao 2
T1 T2 T3 T4

PLAN DE TRABAJO - PDT CERT-PY

8.2 CRONOGRAMA MACRO DE ACTIVIDADES DE GESTION DEL PROYECTO

Cronograma Macro de Actividades de Gestin del Proyecto
DESCRIPCION Plan de trabajo del Proyecto (PDT) Convenio (CONV) Cronograma (CRO) Estructura de Desglose de Trabajo(EDT) Plan para la Direccin del Proyecto (PDP) Consultorias Especificas contratadas Infraestructura fisica lista Infraestructura informatica lista Personal Tecnico Contratado Puesta en Operacion de CERT Listo Validacin de entregables del proyecto (VEP) Informe de avance del proyecto (IAP) Informe de Rendicin de Cuentas Parcial (IRCP) Informe de Cierre de Tcnico del Proyecto (ICTP) Informe de rendicin de cuenta final (IRCF) Trmino de Cierre de Proyecto (TCP)
Preliminar MES 1 MES 2 MES 3 MES 4 MES 5 MES 6 MES 7 MES 8 MES 9 MES 10 MES 11 MES 12 Posterior

8.3 GESTION DE CALIDAD La Gestin de la Calidad de un proyecto envuelve los procesos y actividades que determinan responsabilidades, objetivos y polticas de calidad de la organizacin ejecutante a fin de que el proyecto satisfaga las necesidades por las que fue establecido1. Esta seccin se debe establecer cmo ser realizada la gestin de la calidad del proyecto y de producto. Ej. Para el caso de convenios con ITAIPU, el siguiente texto debera ser aplicado: ITAIPU, a travs de representantes designados o a travs de su unidad gestora, se reserva el derecho de auditar durante las fases del proyecto la calidad de los entregables con una metodologa propia basada en el PMI. Al inicio del proyecto, ITAIPU entregar a la FPTI-PY una planilla con la siguiente informacin: a) Entregables y componentes a ser considerados para el control de la calidad por etapa. b) Procesos de control de calidad para cada grupo de entregables. c) Nombre de revisores de proyecto a ser incorporados al equipo de control de calidad. Los puntos a y b sern establecidos con acuerdo de las partes. Si la metodologa establecida requiere de recursos extras se solicitar un aditivo de tiempo y de recursos financieros para poder cumplir con lo pactado. Un Plan de Calidad asociado al proyecto ser elaborado por la FPTI-PY en la etapa inicial del proyecto dentro del Plan para la Direccin del Proyecto (PDP) El grupo de calidad designado por ITAIPU emitir peridicamente informes de evaluacin a ser remitidos a los gerentes de proyecto y coordinadores de ITAIPU, con las

A Guide to the Project Management Body of Knowledge (PMBOK GUIDE), 4ta Edicin.

10

PLAN DE TRABAJO - PDT CERT-PY recomendaciones pertinentes para asegurar la calidad del entregable relacionado. Dichas recomendaciones sern transmitidas a la FPTI.

9. PLAN DE APLICACIN DE LOS RECURSOS FINANCIEROS a) b) 9.1 ORIGEN DE LOS RECURSOS La ITAIPU, realizar los aportes financieros que sean necesarios para cubrir gastos relativos al pago de ejecucin del proyecto, conforme a los detalles de recursos financieros y econmicos indicados en este Plan de Trabajo. Los fondos financieros sern dados por la ITAIPU a la FPTI_PY y sern depositados en cuenta bancaria de la FPTI_PY, conforme al cronograma de desembolsos establecido en este Plan de Trabajo, siendo que el primer desembolso ser efectuado inmediatamente a la aceptacin de este plan de trabajo y los siguientes, contra presentacin de rendicin de Cuentas acompaada de la documentacin respaldatoria de los gastos efectuados. FPTI Fundacin Parque Tecnolgico de Itaipu: Aporte de recursos financieros y econmicos La ITAIPU aportar recursos econmicos para la implementacin del proyecto, cuyo detalle se encuentra en este plan de trabajo. Tanto la ITAIPU como la FPTI_PY entienden que los montos detallados en este plan de trabajo son estimativos, pudiendo sufrir variaciones durante la ejecucin del Convenio. 9.2 RESMEN FINANCIERO
Descripcin FPTI-PY AO 1 AO2

c) d)

Rubro: Recursos Humanos - Rol (PERFIL) 3.748.800.000 Rubro: Consultora Especifica 1.000.000.000 Rubro: Capacitacin 117.000.000 Rubro: Equipamientos y Equipos Informticos 3.767.150.000 Rubro: Conectividad (servicios) 200.000.000 Rubro: Construccion Edilicia 1.400.000.000 Rubro: Infraestructura Administrativa 820.800.000 Rubro: Mobiliario 50.000.000 Rubro: Rodados 200.000.000 Rubro: Seguros 48.000.000 Rubro: Servicios Generales 0 Rubro: Software 0 Rubro: Viaticos y Viajes 120.000.000 Rubro: Comunicaciones y Eventos 52.000.000 TOTAL PLANIFICACIN en guaranes: 11.523.750.000 TOTAL PLANIFICACIN en dolares: 2.619.034

1.874.400.000 1.874.400.000 1.000.000.000 58.500.000 58.500.000 3.767.150.000 100.000.000 100.000.000 1.400.000.000 410.400.000 410.400.000 50.000.000 200.000.000 24.000.000 24.000.000 60.000.000 60.000.000 26.000.000 26.000.000 8.970.450.000 2.553.300.000 2.038.739 580.295

11

PLAN DE TRABAJO - PDT CERT-PY

9.2 CRONOGRAMA DE DESEMBOLSO

Tabla 8: Cronograma de Desembolsos Financiero Desembolso 1er Desembolso 4.485.225.000 2do Desembolso 4.485.225.000 3er Desembolso 1.276.650.000 4to Desembolso 1.276.650.000 Total 11.523.750.000

AO 1 AO 2

9.3 RESUMEN DE ENTRAGABLES - COSTO - FECHA

Costo Aproximado (Gs.) * 200.000.000 50.000.000 1.400.000.000 3.767.150.000 200.000.000 450.000.000 350.000.000 5.106.600.000 Fecha de Entrega Aproximada ** Mes 2 Mes 2 Mes 4 Mes 4 Mes 4 Mes 12 Mes 12 Mes 6 al 24

Adquisicion de Rodados Adquisicion de Mobiliarios Construccion/Adecuacion Fisica Adquisicion e Instalacion de Equipos Informaticos
Diseo Organizacional

Plan de Servicios y Protocolos de actuacion Diseo de Politicas y Estrategias de Seguridad Puesta en Operacion del CERT PY

12