Documentos de Académico
Documentos de Profesional
Documentos de Cultura
RESUMEN ......................................................................................................................................... 1
1. Alcance ......................................................................................................................................... 2
1.1. Introducción ......................................................................................................................... 2
1.2. Actividad de negocio ......................................................................................................... 2
1.3. Estructura organizativa ..................................................................................................... 2
1.4. Organigrama de la empresa ............................................................................................ 2
1.5. Estado inicial de la seguridad ......................................................................................... 3
2.Política de seguridad ................................................................................................................. 4
3. Activos de la seguridad de la información ......................................................................... 6
3.1.- valoración de activos ....................................................................................................... 6
4. Análisis y valoración de riesgos............................................................................................ 7
4.1 términos y definiciones...................................................................................................... 7
5.- Gestión de riesgos ................................................................................................................. 10
Mitigación ................................................................................................................................... 10
RESUMEN
1
1. Alcance
1.1. Introducción
La Institución sobre la que se realizará el estudio la identificaremos a lo largo del presente
Documento como ICO la cual es una sucursal de la institución en la ciudad de Oruro.
Se tiene por objetivo con esta actividad, promover la ejecución de prácticas de seguridad
Adecuadas y la posible implementación de un Sistema de Gestión de Seguridad de la
Información (SGSI) con base en la norma ISO/IEC 27001 para cubrir los servicios de soporte y
Servicios especializados, disponibles para los clientes.
Director regional
Director académico
Kardex
Soporte técnico
Secretaria
Limpieza
Facilitadores
2
Director
Regional
Director
Academico
Soporte
Secretaria kardex Facilitadores Limpieza
Tecnico
Gestión de activos
• Antivirus
3
Los facilitadores tienes a su cargo dependiendo del área que instruyen laboratorios de
entre 10 a 30 máquinas de ser necesario equipados con programas especializados a la
materia que imparten
Antes de entrar a trabajar, la persona que empieza las tareas para las que se contrató, ha
de firmar un acuerdo de confidencialidad y no divulgación con el fin de evitar fugas de
información confidencial de la empresa.
Cuando una persona es dada de baja de su puesto de trabajo, se le revocan los privilegios
de acceso inmediatamente.
En cuanto a los controles de acceso, cada usuario tiene asignado un identificador lógico
que le permitirá acceder a servidor de ser necesario utiliza el usuario dado de alta en el
servidor, con sus permisos pertinentes según las funciones a realizar dentro de la empresa.
2.Política de seguridad
Dado que la empresa no dispone de ninguna política de seguridad ni directiva parecida,
actualizada y reconocida por los trabajadores, el objetivo principal será la creación de una
política adecuada para la empresa y ,donde marcará las pautas a seguir por los trabajadores
para preservar la seguridad de la información. Junto con la política, se definirán las bases del
que será el Sistema de Gestión de Seguridad de la Información.
Definimos uno a uno los diferentes roles con sus responsabilidades, teniendo en cuenta que los
empleados de la compañía son reducidos y poco especializados en seguridad, ya que sus
áreas de competencia están lejos de los temas informáticos y seguridad de la información.
4
• Nombrar los miembros del comité de seguridad de la información y dotarle de todo el
soporte y recursos necesarios junto con las directrices de trabajo.
• Aprobar la política, las normas y responsabilidades en materia de seguridad.
• Determinar el límite de riesgo aceptable en materia de seguridad.
• Analizar los posibles riesgos introducidos por los cambios en las funciones o en el
funcionamiento de la compañía para adoptar las medidas de seguridad más
adecuadas.
• Aprobar el plan de seguridad de la información que recoja los principales proyectos e
iniciativas en la materia.
Por otro lado, se define de forma genérica algunas de las tareas a realizar por el nivel
operativo, que es donde se encuentran los perfiles más activos dentro del sistema de gestión
• Clasificar la información de la cual son responsables según la criticidad que esta tenga
para la compañía en términos de confidencialidad, privacidad, integridad, continuidad,
autenticidad, no repudio, trazabilidad e impacto mediático, determinando el uso que se
hará de la información y quien puede acceder.
• Tener conocimiento de la normativa general o sectorial aplicable a la información de la
cual son responsables, incluyendo la normativa vigente en materia de protección de
datos de carácter personal.
• Realizar el seguimiento del estado de la seguridad de los sistemas de información que
traten la información de la que son responsables y gestionar la mitigación de riesgos
dentro de su nivel de decisión.
• Implicarse y definir procedimientos alternativos en caso de indisponibilidad del sistema
o falta de integridad de la información.
• Colaborar con las revisiones y el seguimiento durante la realización del proyecto.
• Cumplir las políticas, normas y procedimientos en materia de seguridad de la
5
información.
Obtener información de los activos críticos mediante entrevistas y consultas directamente con los
Trabajadores de la compañía. Ya que el número de estos es reducido, se pueden tener
entrevistas individuales con ellos para determinar los activos críticos para cada uno de ellos,
con el fin de obtener un mapa de los activos y recursos esenciales y valiosos para el correcto
funcionamiento de la información y funciones de la compañía. Una vez asignados los activos se
han de asignar responsabilidades de mantenimiento de los controles apropiados.
De la información obtenida, se debería obtener una clasificación en función del valor, requisitos
legales, sensibilidad y criticidad para la compañía. El nivel de protección de la información
puede ser determinado analizando la confidencialidad, integridad y disponibilidad, entre otros
requisitos, para la información considerada.
6
N° DESCRIPCION VALORACION
1 Nómina de estudiantes MEDIA
2 Software de gestión de facturación ALTO
3 Software de planillas ALTO
4 Equipo de escritorio secretaria ALTO
5 Equipo de escritorio dirección ALTO
6 Equipo de escritorio Kardex ALTO
7 Equipo de escritorio soporte ALTO
técnico
9 Impresora secretaria BAJO
10 Impresora dirección BAJO
11 Impresora Kardex BAJO
12 Servidor soporte técnico ALTO
13 Personal administrativo MEDIO
14 Facilitadores MEDIO
15 Red cableada Ethernet MEDIO
16 Red inalámbrica wifi BAJO
17 Proveedor de servicios Entel BAJO
18 Equipos destinados a estudiantes BAJO
19 Ambientes alquilados por contrato MEDIO
20 Reputación de la institución ALTO
7
Sistema de gestión de seguridad de la información.- es la parte del sistema gerencial
general, basada en un enfoque de riesgo comercial; par establecer, implementar, operar,
monitorear revisar, mantener y mejorar la seguridad de la información
Valuación de riesgo.- proceso general de análisis del riesgo y evaluación del riesgo.
Evaluación del riesgo.- proceso de comparar el riesgo estimado con el criterio de riesgo
dado para determinar la importancia del riesgo
Gestión del riesgo.- actividades coordinadas para dirigir y controlar una organización con
relación al riesgo
8
7 Equipo de escritorio -hacking -reinstalar el
soporte técnico -virus equipo
-fuego
-corte de energía
-humedad
9 Impresora secretaria -agua
-corte circuito
-temperatura
-humedad
10 Impresora dirección -agua
-corte circuito
-temperatura
-humedad
11 Impresora Kardex -agua
-corte circuito
-temperatura
-humedad
12 Servidor soporte técnico -hacking -conectada a la red -reinstalar el
-virus general al se puede equipo
-fuego reconocer desde -backup de la
-corte de energía cualquier equipo base de datos
-humedad
-falla eléctrica
-accesos a
información por
terceros no
autorizados
13 Personal administrativo -filtración de -bajo salario -contrato de
información confidencialidad
- corromper datos
14 Facilitadores -personal no -falsificación de -revisión
calificado documentos detallada de la
-daño a propiedad -amistades documentación
15 Red cableada Ethernet -phishing Acceso desde
cualquier maquina
16 Red inalámbrica wifi -phishing Acceso desde
-hacking cualquier maquina
17 Proveedor de servicios -Corte de servicio
Entel
18 Equipos destinados a -Daños materiales Acceso libre sin
estudiantes -daños de sistema contraseña
19 Ambientes alquilados por -desalojo Acceso compartió
contrato
20 Reputación de la -difamación -estudiantes
institución -calumnia resentidos
-estudiantes
insatisfechos
9
5.- Gestión de riesgos
Mitigación
N° ACTIVOS AMENAZAS VULNERABILIDADES MEDIDAS DE
SALVAGUARDA
1 Nómina de estudiantes -alteración de -sufrir cambios -revisión de
nombres -alumnos fantasma presencial de
estudiantes
-facturación
-Verificación de
datos
2 Software de gestión de -phishing -backup
facturación -comprobación
escrita
3 Software de planillas -modificación -backup
-comprobación
escrita
4 Equipo de escritorio -hacking -solo una persona -implantación de
secretaria -virus atiende sin cámaras cámaras de
-fuego seguridad
-corte de energía -extintores
-humedad -acceso
personal
autorizado
-reinstalar el
equipo
5 Equipo de escritorio -hacking -bloqueo
dirección -virus automático de
-fuego equipo
-corte de energía -extintores
-humedad -reinstalar el
equipo
6 Equipo de escritorio -hacking -reinstalar el
Kardex -virus equipo
-fuego -bloqueo
-corte de energía automático
-humedad -extintor
10
-humedad -funcionamiento
continuo
12 Servidor soporte técnico -hacking -conectada a la red -reinstalar el
-virus general al se puede equipo
-fuego reconocer desde -backup de la
-corte de energía cualquier equipo base de datos
-humedad -respaldo de la
-falla eléctrica información en
-accesos a otro ambiente
información por -regulador de
terceros no energía
autorizados -separar la red
en una subred
-acceso
restringido
13 Personal administrativo -filtración de -bajo salario -contrato de
información confidencialidad
- corromper datos -incentivo a la
permanencia y
lealtad
-involucrarlos en
el proceso
14 Facilitadores -personal no -falsificación de -revisión
calificado documentos detallada de la
-daño a propiedad -amistades documentación
-verificación de
experiencia
-examen de
suficiencia
15 Red cableada Ethernet -phishing Acceso desde -red separada a
cualquier maquina equipos
importantes
16 Red inalámbrica wifi -phishing Acceso desde -red separada a
-hacking cualquier maquina equipos
importantes
17 Proveedor de servicios -Corte de servicio -contacto con la
Entel empresa
18 Equipos destinados a -Daños materiales Acceso libre sin -congelar la
estudiantes -daños de sistema contraseña información
-responsables
de cuidado
facilitadores a
cargo
-reinstalar el
equipo
19 Ambientes alquilados por -desalojo Acceso compartió -instalación de
contrato cámaras de
seguridad
- personal de
seguridad
20 Reputación de la -difamación -estudiantes -atención
institución -calumnia resentidos personalizadas
-estudiantes a casos
insatisfechos especiales para
evitar
11
estudiantes
insatisfechos
12