INDICE

RESUMEN ......................................................................................................................................... 1
1. Alcance ......................................................................................................................................... 2
1.1. Introducción ......................................................................................................................... 2
1.2. Actividad de negocio ......................................................................................................... 2
1.3. Estructura organizativa ..................................................................................................... 2
1.4. Organigrama de la empresa ............................................................................................ 2
1.5. Estado inicial de la seguridad ......................................................................................... 3
2.Política de seguridad ................................................................................................................. 4
3. Activos de la seguridad de la información ......................................................................... 6
3.1.- valoración de activos ....................................................................................................... 6
4. Análisis y valoración de riesgos............................................................................................ 7
4.1 términos y definiciones...................................................................................................... 7
5.- Gestión de riesgos ................................................................................................................. 10
Mitigación ................................................................................................................................... 10
RESUMEN

En el presente documento se realiza la elaboración de un plan de seguridad de la información a

una institución dedicada al sector de la educación y capacitación. La elaboración de este proyecto
consta de las diferentes etapas que componen la elaboración del plan de seguridad, y de un plan
director de seguridad acorde a las necesidades de la institución. Para ello se realiza un análisis de
riesgos inicial, para identificar los activos críticos que podrían comprometer la continuidad del
negocio en caso de incidente. Con este análisis inicial, posteriormente se analizaran las amenazas
que pueden afectar a la empresa sujeta al análisis y con ello se obtendrán los resultados de los
activos que se encuentran en riesgo potencial. A partir de estos resultados podrán diseñarse los
proyectos necesarios para acercar a niveles óptimos la seguridad de los activos de la organización.

En el documento también se puede encontrar una auditoría interna y de cumplimiento con el

objetivo de detectar la situación actual en la que se encuentra la organización y poder obtener un
punto de partida a partir del cual comenzar a elaborar el plan de seguridad.

1
1. Alcance

1.1. Introducción
La Institución sobre la que se realizará el estudio la identificaremos a lo largo del presente
Documento como ICO la cual es una sucursal de la institución en la ciudad de Oruro.

Se tiene por objetivo con esta actividad, promover la ejecución de prácticas de seguridad
Adecuadas y la posible implementación de un Sistema de Gestión de Seguridad de la
Información (SGSI) con base en la norma ISO/IEC 27001 para cubrir los servicios de soporte y
Servicios especializados, disponibles para los clientes.

1.2. Actividad de negocio

La actividad principal de la institución ICO es ofrecer diferentes servicios relacionados con
La educación y capacitación superior a personas o empresas. Estos servicios son los siguientes:

 Capacitación en cursos libres a elección del estudiante

 Formación en la Carrera de contabilidad
 Formación en la carrera de secretariado
 Formación en la Carrera de sistemas informáticos
 Formación en la carrera de diseño grafico

La sede principal de la empresa se encuentra en la Ciudad de La Paz.

1.3. Estructura organizativa

La empresa cuenta con 8 trabajadores administrativos de planta y 20 facilitadores distribuidos en
el mismo edificio y planta,
Independientemente de las diferentes funciones que puedan desempeñar.

La distribución por áreas de la empresa es la siguiente:

Director regional
Director académico
Kardex
Soporte técnico
Secretaria
Limpieza
Facilitadores

1.4. Organigrama de la empresa

2
 Director
Regional

Director
Academico

Soporte
Secretaria kardex Facilitadores Limpieza
Tecnico

1.5. Estado inicial de la seguridad

Actualmente, la empresa no cuenta con un departamento de seguridad ni tampoco tiene
subcontratado una empresa externa que realice esta tarea. No obstante, cuenta con un soporte
informático en caso de incidente del que se hace cargo la institución,
pero únicamente en casos de emergencia, sin tener ningún plan específico ni análisis de
riesgos de la empresa específica en cuestión y como soporte de áreas especializadas para
guiar en la resolución de problemas e incidentes.

El encargado de supervisar tareas relacionadas con al seguridad es el responsable de Soporte

Técnico, que realiza esta tarea no como tarea principal, sino como complemento del buen
funcionamiento para lograr los objetivos de las diferentes secciones. Por tanto, no se dispone
de ningún SGSI implantado previamente.

Gestión de activos

La empresa no cuenta con un inventario de activos actualizados ni detallados según su

función o importancia dentro de la organización de la empresa. Por tanto, tampoco están
clasificados como demanda la ISO.

Cada trabajador de planta dispone de un pc de sobremesa exceptuando limpieza

equipados con:

• Sistema operativo Windows 7

• Herramientas Office

• Antivirus

No Todo el software utilizado dispone de las licencias pertinentes. Además se dispone de 4

impresoras para las áreas de mayor necesidad.

3
 Los facilitadores tienes a su cargo dependiendo del área que instruyen laboratorios de
entre 10 a 30 máquinas de ser necesario equipados con programas especializados a la
materia que imparten

La sala de servidores se encuentra en una sala de trabajo de la compañía, separada

físicamente en otra sala o edificio. El acceso a esta habitación se encuentra
custodiada por una llave de la que únicamente disponen copia los responsables TIC.

Seguridad relativa a los recursos humanos

Antes de entrar a trabajar, la persona que empieza las tareas para las que se contrató, ha
de firmar un acuerdo de confidencialidad y no divulgación con el fin de evitar fugas de
información confidencial de la empresa.

Cuando una persona es dada de baja de su puesto de trabajo, se le revocan los privilegios
de acceso inmediatamente.

Seguridad física y controles de acceso

La empresa no dispone de ningún mecanismo de seguridad con el fin de identificar a las

Personas que acceden a las instalaciones. Debido a que es una empresa de tamaño
pequeño tampoco se dispone de tarjetas para invitados de manera que estos estén
identificados.

En cuanto a los controles de acceso, cada usuario tiene asignado un identificador lógico
que le permitirá acceder a servidor de ser necesario utiliza el usuario dado de alta en el
servidor, con sus permisos pertinentes según las funciones a realizar dentro de la empresa.

2.Política de seguridad
Dado que la empresa no dispone de ninguna política de seguridad ni directiva parecida,
actualizada y reconocida por los trabajadores, el objetivo principal será la creación de una
política adecuada para la empresa y ,donde marcará las pautas a seguir por los trabajadores
para preservar la seguridad de la información. Junto con la política, se definirán las bases del
que será el Sistema de Gestión de Seguridad de la Información.

El sistema de Gestión de la seguridad de la información ha de estar compuesto por un equipo

que se encargue de crear, mantener, supervisar y mejorar el sistema. En este documento se
detallan los diferentes roles y responsabilidades para llevar a cabo un correcto funcionamiento
y gestión de la seguridad de la información.

Definimos uno a uno los diferentes roles con sus responsabilidades, teniendo en cuenta que los
empleados de la compañía son reducidos y poco especializados en seguridad, ya que sus
áreas de competencia están lejos de los temas informáticos y seguridad de la información.

El comité de dirección presenta las siguientes funciones:

• Tener la seguridad de la información como un punto fijo en la agenda del comité de

dirección de la compañía.

4
• Nombrar los miembros del comité de seguridad de la información y dotarle de todo el
soporte y recursos necesarios junto con las directrices de trabajo.
• Aprobar la política, las normas y responsabilidades en materia de seguridad.
• Determinar el límite de riesgo aceptable en materia de seguridad.
• Analizar los posibles riesgos introducidos por los cambios en las funciones o en el
funcionamiento de la compañía para adoptar las medidas de seguridad más
adecuadas.
• Aprobar el plan de seguridad de la información que recoja los principales proyectos e
iniciativas en la materia.

El comité de seguridad de la información se encarga de:

• Implantar las directrices del comité de dirección.

• Asignar roles y funciones en materia de seguridad.
• Presentar al comité de dirección las políticas, normas y responsabilidades en materia
de seguridad de la información.
• Validar el plan de seguridad de la información y presentarlo para aprobación del comité
de dirección.
• Supervisar la implantación y realizar el seguimiento.
• Comprobar que se cumpla la legislación que sea aplicable en materia de seguridad.
• Promover la concienciación y formación de usuarios y liderar la comunicación
necesaria.
• Revisar las incidencias más destacadas.
• Aprobar y revisar periódicamente el cuadro de comando de la seguridad de la
información y de la evolución del SGSI.

Por otro lado, se define de forma genérica algunas de las tareas a realizar por el nivel
operativo, que es donde se encuentran los perfiles más activos dentro del sistema de gestión

de la información y de cada departamento en concreto. Es habitual que las valoraciones sean

formuladas directamente por estas personas ya que conocen directamente el impacto sobre
sus departamentos y sus activos.

Por tanto, podríamos definir las siguientes tareas:

• Clasificar la información de la cual son responsables según la criticidad que esta tenga
para la compañía en términos de confidencialidad, privacidad, integridad, continuidad,
autenticidad, no repudio, trazabilidad e impacto mediático, determinando el uso que se
hará de la información y quien puede acceder.
• Tener conocimiento de la normativa general o sectorial aplicable a la información de la
cual son responsables, incluyendo la normativa vigente en materia de protección de
datos de carácter personal.
• Realizar el seguimiento del estado de la seguridad de los sistemas de información que
traten la información de la que son responsables y gestionar la mitigación de riesgos
dentro de su nivel de decisión.
• Implicarse y definir procedimientos alternativos en caso de indisponibilidad del sistema
o falta de integridad de la información.
• Colaborar con las revisiones y el seguimiento durante la realización del proyecto.
• Cumplir las políticas, normas y procedimientos en materia de seguridad de la

5
información.

3. Activos de la seguridad de la información

La compañía ICO no dispone actualmente de ninguna clasificación de activos o controles
sobre el uso indebido de estos. Por tanto, es vital para el buen funcionamiento del sistema
implantar este tipo de controles y clasificación de activos.

Obtener información de los activos críticos mediante entrevistas y consultas directamente con los
Trabajadores de la compañía. Ya que el número de estos es reducido, se pueden tener
entrevistas individuales con ellos para determinar los activos críticos para cada uno de ellos,
con el fin de obtener un mapa de los activos y recursos esenciales y valiosos para el correcto
funcionamiento de la información y funciones de la compañía. Una vez asignados los activos se
han de asignar responsabilidades de mantenimiento de los controles apropiados.

De la información obtenida, se debería obtener una clasificación en función del valor, requisitos
legales, sensibilidad y criticidad para la compañía. El nivel de protección de la información
puede ser determinado analizando la confidencialidad, integridad y disponibilidad, entre otros
requisitos, para la información considerada.

N° DESCRIPCION LOCALIZACION PROPIETARIO

1 Nómina de estudiantes Oficina Soporte técnico Director académico
2 Software de gestión de facturación Oficina secretaria Director regional
3 Software de planillas Oficina Soporte técnico Director regional
4 Equipo de escritorio secretaria Oficina secretaria Secretaria
5 Equipo de escritorio dirección Oficina dirección Director académico
6 Equipo de escritorio Kardex Oficina Kardex Director académico
7 Equipo de escritorio soporte Oficina soporte técnico Responsable de soporte
técnico técnico
9 Impresora secretaria Oficina secretaria Responsable de soporte
técnico
10 Impresora dirección Oficina dirección Responsable de soporte
técnico
11 Impresora Kardex Oficina Kardex Responsable de soporte
técnico
12 Servidor soporte técnico Oficina Soporte técnico Responsable de soporte
técnico
13 Personal administrativo Director regional
14 Facilitadores Director regional
15 Red cableada Ethernet Institución Responsable de soporte
técnico
16 Red inalámbrica wifi Oficina Soporte técnico Responsable de soporte
técnico
17 Proveedor de servicios Entel Oficina Soporte técnico Director regional
18 Equipos destinados a estudiantes Aulas Responsable de soporte
técnico
19 Ambientes alquilados por contrato Director regional
20 Reputación de la institución Director regional

3.1.- valoración de activos

6
 N° DESCRIPCION VALORACION
1 Nómina de estudiantes MEDIA
2 Software de gestión de facturación ALTO
3 Software de planillas ALTO
4 Equipo de escritorio secretaria ALTO
5 Equipo de escritorio dirección ALTO
6 Equipo de escritorio Kardex ALTO
7 Equipo de escritorio soporte ALTO
técnico
9 Impresora secretaria BAJO
10 Impresora dirección BAJO
11 Impresora Kardex BAJO
12 Servidor soporte técnico ALTO
13 Personal administrativo MEDIO
14 Facilitadores MEDIO
15 Red cableada Ethernet MEDIO
16 Red inalámbrica wifi BAJO
17 Proveedor de servicios Entel BAJO
18 Equipos destinados a estudiantes BAJO
19 Ambientes alquilados por contrato MEDIO
20 Reputación de la institución ALTO

4. Análisis y valoración de riesgos

4.1 términos y definiciones
Activo.- cualquier cosa que tenga valor para la organización

Disponibilidad.- la propiedad debe estar disponible y utilizable cuando lo requiera una

entidad autorizada

Confidencialidad.- la propiedad que esa información este disponible y no sea divulgada a

personas, entidades, procesos no-autorizados

Seguridad de la información.- preservación de la confidencialidad, integridad, y

disponibilidad de la información; además también pueden estar involucradas otras propiedades
como la autenticidad, responsabilidad, no-repudio y confiabilidad.

Evento de seguridad de la información.- una ocurrencia identificada el estado de un

sistema servicio o red indicando una posible violación de la política de seguridad de la información
o falla en las salvaguardas, o una situación previamente desconocida que puede ser relevante para
la seguridad.

Incidente de la seguridad de la información.- solo una serie de eventos de seguridad de la

información no deseados o inesperados que tienes una significativa probabilidad de comprometer
las operaciones comerciales y amenazan la seguridad de la información.

7
 Sistema de gestión de seguridad de la información.- es la parte del sistema gerencial
general, basada en un enfoque de riesgo comercial; par establecer, implementar, operar,
monitorear revisar, mantener y mejorar la seguridad de la información

Integridad.- la propiedad de salvaguardar la exactitud e integridad de los activos

Riesgo residual.- el riesgo remanente después del tratamiento del riesgo

Aceptación de riesgo.- decisión de aceptar el riesgo

Análisis de riesgo.- uso sistemático de la información para identificar fuentes y para

estimar el riesgo.

Valuación de riesgo.- proceso general de análisis del riesgo y evaluación del riesgo.

Evaluación del riesgo.- proceso de comparar el riesgo estimado con el criterio de riesgo
dado para determinar la importancia del riesgo

Gestión del riesgo.- actividades coordinadas para dirigir y controlar una organización con
relación al riesgo

Tratamiento del riesgo.- proceso de tratamiento de la selección e implantación de

medidas para modificar el riesgo.

N° ACTIVOS AMENAZAS VULNERABILIDADES SALVAGUARDA

1 Nómina de estudiantes -alteración de -sufrir cambios -revisión de
nombres -alumnos fantasma presencial de
estudiantes
-facturación
2 Software de gestión de -phishing -backup
facturación
3 Software de planillas -modificación -backup
4 Equipo de escritorio -hacking -solo una persona -reinstalar el
secretaria -virus atiende sin cámaras equipo
-fuego
-corte de energía
-humedad
5 Equipo de escritorio -hacking -reinstalar el
dirección -virus equipo
-fuego
-corte de energía
-humedad
6 Equipo de escritorio -hacking -reinstalar el
Kardex -virus equipo
-fuego
-corte de energía
-humedad

8
7 Equipo de escritorio -hacking -reinstalar el
soporte técnico -virus equipo
-fuego
-corte de energía
-humedad
9 Impresora secretaria -agua
-corte circuito
-temperatura
-humedad
10 Impresora dirección -agua
-corte circuito
-temperatura
-humedad
11 Impresora Kardex -agua
-corte circuito
-temperatura
-humedad
12 Servidor soporte técnico -hacking -conectada a la red -reinstalar el
-virus general al se puede equipo
-fuego reconocer desde -backup de la
-corte de energía cualquier equipo base de datos
-humedad
-falla eléctrica
-accesos a
información por
terceros no
autorizados
13 Personal administrativo -filtración de -bajo salario -contrato de
información confidencialidad
- corromper datos
14 Facilitadores -personal no -falsificación de -revisión
calificado documentos detallada de la
-daño a propiedad -amistades documentación
15 Red cableada Ethernet -phishing Acceso desde
cualquier maquina
16 Red inalámbrica wifi -phishing Acceso desde
-hacking cualquier maquina
17 Proveedor de servicios -Corte de servicio
Entel
18 Equipos destinados a -Daños materiales Acceso libre sin
estudiantes -daños de sistema contraseña
19 Ambientes alquilados por -desalojo Acceso compartió
contrato
20 Reputación de la -difamación -estudiantes
institución -calumnia resentidos
-estudiantes
insatisfechos

9
5.- Gestión de riesgos
Mitigación
N° ACTIVOS AMENAZAS VULNERABILIDADES MEDIDAS DE
SALVAGUARDA
1 Nómina de estudiantes -alteración de -sufrir cambios -revisión de
nombres -alumnos fantasma presencial de
estudiantes
-facturación
-Verificación de
datos
2 Software de gestión de -phishing -backup
facturación -comprobación
escrita
3 Software de planillas -modificación -backup
-comprobación
escrita
4 Equipo de escritorio -hacking -solo una persona -implantación de
secretaria -virus atiende sin cámaras cámaras de
-fuego seguridad
-corte de energía -extintores
-humedad -acceso
personal
autorizado
-reinstalar el
equipo
5 Equipo de escritorio -hacking -bloqueo
dirección -virus automático de
-fuego equipo
-corte de energía -extintores
-humedad -reinstalar el
equipo
6 Equipo de escritorio -hacking -reinstalar el
Kardex -virus equipo
-fuego -bloqueo
-corte de energía automático
-humedad -extintor

7 Equipo de escritorio -hacking -reinstalar el

soporte técnico -virus equipo
-fuego -bloqueo
-corte de energía automático
-humedad -extintor

9 Impresora secretaria -agua -revisión de

-corte circuito continua de tinta
-temperatura -funcionamiento
-humedad continuo
10 Impresora dirección -agua -revisión de
-corte circuito continua de tinta
-temperatura -funcionamiento
-humedad continuo
11 Impresora Kardex -agua -revisión de
-corte circuito continua de tinta
-temperatura

10
 -humedad -funcionamiento
continuo
12 Servidor soporte técnico -hacking -conectada a la red -reinstalar el
-virus general al se puede equipo
-fuego reconocer desde -backup de la
-corte de energía cualquier equipo base de datos
-humedad -respaldo de la
-falla eléctrica información en
-accesos a otro ambiente
información por -regulador de
terceros no energía
autorizados -separar la red
en una subred
-acceso
restringido
13 Personal administrativo -filtración de -bajo salario -contrato de
información confidencialidad
- corromper datos -incentivo a la
permanencia y
lealtad
-involucrarlos en
el proceso
14 Facilitadores -personal no -falsificación de -revisión
calificado documentos detallada de la
-daño a propiedad -amistades documentación
-verificación de
experiencia
-examen de
suficiencia
15 Red cableada Ethernet -phishing Acceso desde -red separada a
cualquier maquina equipos
importantes
16 Red inalámbrica wifi -phishing Acceso desde -red separada a
-hacking cualquier maquina equipos
importantes
17 Proveedor de servicios -Corte de servicio -contacto con la
Entel empresa
18 Equipos destinados a -Daños materiales Acceso libre sin -congelar la
estudiantes -daños de sistema contraseña información
-responsables
de cuidado
facilitadores a
cargo
-reinstalar el
equipo
19 Ambientes alquilados por -desalojo Acceso compartió -instalación de
contrato cámaras de
seguridad
- personal de
seguridad
20 Reputación de la -difamación -estudiantes -atención
institución -calumnia resentidos personalizadas
-estudiantes a casos
insatisfechos especiales para
evitar

11
estudiantes
insatisfechos

12