La tarea de la semana consiste en la elaboración del bosquejo de un Proyecto de Implantación

de un SGSI, usando la metodología PHVA en una empresa ficticia donde demuestre su capacidad

de análisis y observación. Para esta tarea se le pide realizar lo siguiente:
Para esta tarea, se le pide realizar lo siguiente:

Elige una organización ficticia. 
Realice la recolección activos de la organización.
Realice el análisis riesgos necesario.
Solo considere la fase de planear
Presente el informe final que considere, pero no este limitado a:
1.Introducción
2.Identificación de la organización
3.Problema
4.Objetivo 
5.Planear
6.Definición del Alcance del SGSI
7.Identificación de Activos de Información (utilice lo trabajado durante la primera semana)
8.Análisis de Riesgos (utilice lo trabajado durante la segunda semana)
9.Declaración de Aplicabilidad (utilice la información del foro de esta semana)
10.Definición de Políticas (bosquejo enunciativo) 
11.Conclusiones
12.Recomendaciones

El Informe Final debe presentarse de manera individual, y presenta las siguientes consideraciones

acerca del formato:
Tipo de texto: Times New Roman tamaño 12 Interlineado: 1.5 Contenido: Mínimo 5 hojas y
máximo 15 hojas.
-----------------------------------------------------------------------------------------------
 UNIVERSIDAD AUTÓNOMA JOSÉ BALLIVIÁN
ESCUELA BOLIVIANA DE POSGRADO
MAESTRÍA EN TECNOLOGÍAS DE LA INFORMACIÓN
Y SEGURIDAD INFORMÁTICA

MODULO XIV: IMPLEMENTACIÓN DE SISTEMAS DE SEGURIDAD

ARQUITECTURA INFORMÁTICA
Docente: M.Sc. Aldo Ramiro Valdez Alvarado

TAREA 3 SEMANA 3
PROYECTO DE IMPLANTACIÓN DE UN SGSI
EN UNA EMPRESA FICTICIA

Maestrante: Ing. David Enrique Mendoza Gutiérrez

Santa Cruz, Bolivia – Junio 2020

PROYECTO DE IMPLANTACIÓN DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE
LA INFORMACIÓN PARA UNA EMPRESA FICTICIA
CASO DE ESTUDIO:
Centro de Capacitación Contínuo de COTAS RL
C4

1. Introducción

La gestión de la información en este centro de capacitación contínuo cooperativo es su activo mas

importante por lo que se deben dirigir todos los esfuerzos administrativos para contar con un Sistema
de Gestión de la Seguridad de la Información de acorde a a esta institución de servicio a sus
asociados.

A pesar de pertenecer administrativamente de la cooperativa COTAS RL, el C4 deberá tener como

una unidad de negocios independiente en su campo de acción, un Plan de Gestión y dentro de su
plan de gestión contemplar la implantación de un SGSI para asegurar su funcionamiento en el
ámbito de la seguridad de su información implementándose para ello los distintos controles que
gestionen la seguridad de la información en base a la política de seguridad de la información
definida por la institución.

En C4, se va a implantar un SGSI adecuado a los controles y requerimientos de la norma ISO

27001.

El objetivo es cumplir a través de un SGSI con las políticas de seguridad de la información

definidas por la institución que cuidarán de garantizar un tratamiento adecuado de los problemas
de seguridad de la información que se presenten valorando los riesgos y los procedimientos de
gestión utilizados en el modelo PDCA (Plan, Do, Check, Act - PHVA).

2. Identificación de la organización

Dentro del accionar de la cooperativa COTAS RL, como parte de su responsabilidad social
cooperativa con sus asociados y usuarios de sus servicios, se ha creado una fundación para
 atender este accionar social que contribuya al crecimiento humano en lo científico, académico y
cultural de los asociados y pueblo en general que tengan acceso a cualquiera de los servicios que
presta la cooperativa y con los cuales siente la necesidad de interactuar con ellos para mejorar su
calidad de formación buscando así dar un paso mas en la democratización tecnológica en Bolivia.

Es así, que dentro del seno de la Fundación COTAS, se creó el C4, Centro de Capacitación
Contínuo Cooperativo, como parte del cumplimiento de la RSE y la RSC enmarcadas en el Plan
de Gestión Anual de la cooperativa y de la fundación.

3. Misión

Mejorar la calidad de formación de los asociados a través de programas de capacitación

contínuos.

4. Visión

COTAS RL, no sólo busca clientes o vender servicios, su principal interés es consagrar su
funcionamiento institucional orientando todos sus esfuerzos a mejorar la calidad de vida de los
bolivianos acerccándoles la tecnología y acompañándolos en el buen uso de la misma.

5. Valores
 ayuda mutua
 responsabilidad
 democracia
 igualdad
 equidad
 solidaridad
 honestidad
 transparencia
 responsabilidad social
 preocupación por los demás
6. Servicios que se ofrecen
 Asistencia Técnica y Regularización Institucional: implica la actualización y cumplimiento
de todas las obligaciones de emisión de documentación que exige la Autoridad de
Fiscalización de Coopeerativas e INALCO y el Ministerio de Educación de Bolivia.

 Se realiza un estado de situación, se brinda asesoramiento y acompañamiento en el proceso

de actualización académica y en el conocimiento de los estatutos y reglamentos así como de
los beneficios con los que cuenta la cooperativa para los asociados y para los usuarios.

 En este punto, se trabaja con el consejo de administración, de vigilancia, delegados y

miembros de los directorios distritales de la cooperativa, con el objetivo de utilizar el
espacio como un proceso de formación para todos ellos.

 Desarrollar planes educativos en áreas de interés de los asociados en busqueda de promover

el emprendedurismo familiar y cooperativo con programas de formación adecuados para los
distintos fines.

7. Estructura de la organización
8. Problema

C4 basa todos sus procesos con el uso y aplicación de TICs - tecnologías de información y
comunicación – en todas las actividades que conllevan su accionar cooperativo y que
representan un gran beneficio para los asociados; este gran movimiento de información
provoca a su vez riesgos, los cuales se deben gestionar de la mejor manera para mantener la
confianza de los participantes en todo momento disminuyendo las posibilidades de que
existan amenazas.

Con la implementación de un SGSI se busca generar sentido de pertenencia y compromiso con

los temas referidos a la seguridad, ya que se logra la participación activa de los miembros
de la organización en las diferentes etapas de desarrollo.

9. Objetivos

 Promover el conocimiento de los orígenes y filosofía del movimiento cooperativo,

revalorizando al cooperativismo como modelo de organización social basado en los valores
y principios establecidos por la Alianza Cooperativa Internacional.

 Brindar herramientas que permitan comprender la importancia de la educación, la

promoción y la integración cooperativa como así también conocer el estado actual de su
desarrollo y su impacto social y económico.

 Identificar y comprender las características de los distintos tipos de cooperativas.

 Promover la capacitación de los niveles decisorios; ejecutivos y profesionales internos y

externos de las organizaciones en temas vinculados con el marco legal de las Cooperativas y
la gestión económico financiera.

 Otorgar a los órganos de control interno y a los asociados herramientas para la evaluación de
las políticas de la entidad.
10. Planear

El presente proyecto persigue la definición de las bases para la implementación de un SGSI

(Sistema de Gestión de la Seguridad de la Información) que responda a las políticas de
seguridad de la información de la institución y que comprende las siguientes fases:

1. Determinar del alcance del SGSI

2. Redactar la una Política de SGSI
3. Identificar la metodología de evaluación de riesgos y determinar los criterios para la
aceptabilidad de riesgos
4. Identificar activos, vulnerabilidades y amenazas
5. Evaluar la magnitud de los riesgos
6. Identificar y evaluar opciones para el tratamiento de riesgos
7. Seleccionar controles para el tratamiento de riesgos
8. Obtener la aprobación de la gerencia para los riesgos residuales
9. Obtener la aprobación de la gerencia para la implementación del SGSI
10. Redactar una declaración de aplicabilidad que detalle todos los controles aplicables y
determine cuáles ya se han implementados y cuáles no son aplicables.

11. Definición del Alcance del SGSI

Este proyecto comprende el diseño de una política de seguridad orientada al cumplimiento de los
controles de la norma ISO 27001 dirigida a procesos, activos y riesgos que pertenecen al
área de DESARROLLO E IMPLEMENTACIÓN DE UNA PLATAFORMA VIRTUAL COMO
SOFTWARE EDUCATIVO en la u n i d a d d e n e g o c i o s C 4 – C e n t r o d e
C a p a c i t a c i ó n C o n t í n u a C o o p e r a t i v a d e l a F u n d a c i ó n C O TA S .

En este trabajo se abarca el área de TI, específicamente las áreas de Implantación y de

Desarrollo de Aplicaciones Educativas.
La lista de ACTIVOS son establecidos de acuerdo al valor que considera la institución según los
procesos o servicios que maneja.

12. Identificación de Activos de Información

Un inventario de activos identificando su ubicación, responsable y funciones, permitirá realizar un

análisis y valoración de riesgos para determinar las amenazas, vulnerabilidades e impacto que
presentan en la Institucion.

Según la norma ISO 27001:2005, se debe identificar el conjunto de activos de la información,

entendiendo un activo como cualquier elemento que represente valor para la Institucion, tal es el
caso de activos de información bases de datos, documentación, equipos de laboratorio, instalaciones
físicas, manuales, software, hardware, contratos de equipo de comunicaciones, servicios
informáticos y de telecomunicaciones, elementos generales como iluminación, energía, aire
acondicionado, servicio de internet y las personas, que son quienes generan, transmiten y destruyen
información, entre otros, los cuales se encuentran enmarcados dentro de los procesos seleccionados
para la definición del alcance (Procesos estratégicos, misionales y de apoyo).

Los activos se podrían clasificar de manera general, como lo muestra la siguiente figura:
13. Lista de Activos de la institución:

[D] Datos
Código: D.2 Nombre: Expedientes académicos
Descripción: Información relacionada con el expediente académico de los asociados de la
cooperativa que fungirán como estudiantes tales como calificaciones, asistencia a clases, partes
Tipo: Ficheros
Dependencias
Activos: SW.2 Grado: Alto
¿Por qué? Todos los datos relacionados con los expedientes académicos de los asociados que se
registren voluntariamente deben introducirse en la plataforma de C4 para que desde la Fundación
COTAS tengan acceso a estos datos Valor
Total Confidencialidad Integridad Disponibilidad Autenticidad Trazabilidad
Alto Alto Alto Medio Alto Alto

[CF] Codigo fuente

Código: CF.1 Nombre: Líneas de código
Descripción: Archivos que contienen el código fuente correspondiente a las aplicaciones
desarrolladas o las implementaciones realizadas con código fuente o código embebido en estas y
Tipo: Ficheros
Dependencias
Activos: SW.1 Grado: Alto
¿Por qué? Todos los datos relacionados con los códigos desarrollados en la institución o que
han sido insertados como código embebido en aplicaciones externas deben estar registradas
con su respectiva documentación y control
Valor de versiones para que según el nivel de acceso
Total Confidencialidad Integridad Disponibilidad Autenticidad Trazabilidad
Alto Alto Alto Alto Alto Alto
14. Análisis de Riesgos

Treatedprobability

urrentriskrating
entstatus

Targetriskrating
awprobability

awriskrating

entcost

pact
ner

Treatedim
pact
Assetow

awim

Treatm

Treatm
Impact Treatment Notes Last update
R

C
dpto marketing
daño fisico en el archivo, robo, cambio
backup on line constante, antivirus,
intespectivo, perdida de la fuente y 75 % 75 % 56 % firewalls, antisyware $50 50 % 10 % 30 % 3 % 7 % ninguna 14/06/2020
propiedad intelectual

ADMINISTRADOR DE
cambio, pérdida de datos por daños
SISTEMAS fisicos, cambio de estructura de base de 15 % 80 % 12 %
backup en la nube, backup en
$100 80 % 5 % 60 % 3 % 4 % ninguna 14/06/2020
medios
datos

No actualizacion de sistema operativo actualización en línea programada,

DEPARTAMENTO DE
por Zeroday, no actualizacion 10 % 25 % 3 % verificación en páginas oficiales $50 50 % ### ### #REF! #REF! ninguna 14/06/2020
SISTEMAS programada sobre actualizaciones

DEPARTAMENTO DE
no actualización de firmware de router, actualización programada de
SISTEMAS no actualización de software, no 15 % 40 % 6 % firmware, actualización en línea de $100 45 % 20 % 30 % 6 % #REF! ninguna 14/06/2020
actaulización de ACL de router firmware, software, gestión de ACL

instalación de generador auxiliar,

DEPARTAMENTO DE daño en fuentes de poder, pérdida
20 % 70 % 14 % instalación de ups, backup en línea $500 20 % 10 % 20 % 2 % #REF! ninguna 14/06/2020
SISTEMAS intespectiva de información
de los datos
revisión periódica de equipo,
daño en pantalla, daño en disco duro, revisión de cumplimiento de plan de
DEPARTAMENTO DE
daño de tarjeta madre, daño de 30 % 20 % 6 % miantenimiento, actualización de $200 40 % 40 % 50 % 20 % #REF! ninguna 14/06/2020
SISTEMAS procesador equipos, backups diarios de la
información
15. Declaración de Aplicabilidad

Con las consideraciones iniciales sobre la política de seguridad de la información, se tienen que
seguir los siguientes controles para la implantación del SGSI de C4:

Núm. N ombre
A .5 Políticas de seguridad de la información
Directrices establecidas por la dirección para la
A .5.1 seguridad de la información

A .5.1.1 Políticas para la seguridad de la información

Revisión de las políticas para seguridad de la
A .5.1.2 información
A .6 Organización de la seguridad de la información

A .6.1 Organización interna

Roles y responsabilidades
A .6.1.1 para la seguridad de información
Dispositivos móviles y
A .6.2 teletrabajo

A .6.2.1 Política para dispositivos móviles

A .6.2.2 Teletrabajo
A .7 Seguridad de los recursos humanos

A .7.1 Antes de asumir el empleo

A .7.1.1 Selección

A .7.1.2 Términos y condiciones del empleo

A .7.2 Durante la ejecución del empleo

A .7.2.1 Responsabilidades de la dirección

A .7.2.2 Toma de conciencia, educación y formación en la seguridad de la información

A .7.3 Terminación o cambio de empleo
A .8 Gestión de activos
Responsabilidad por los
A .8.1 activos

A .8.1.1 Inventario de activos

A .8.1.2 Propiedad de los activos

A .8.2.1 Clasificación de la información

A .8.2.2 Etiquetado de la información

A .8.2.3 Manejo de activos

A .9 Control de acceso
Requisitos del negocio para
A .9.1 control de acceso

A .9.1.1 Política de control de acceso

A .9.1.2 Política sobre el uso de los servicios de red

A .9.2 Gestión de acceso de usuarios

A .9.2.1 Registro y cancelación del registro de usuarios

A .9.2.2 Suministro de acceso de usuarios

Gestión de información de
A .9.2.4 autenticación secreta de usuarios
Control de acceso a
A .9.4 sistemas y aplicaciones
Protección contra amenazas
A .11.1.4 externas y ambientales
A .11.1.5 Trabajo en áreas seguras
A .11.2 Equipos

A .11.2.1 Ubicación y protección de los equipos

A .11.2.3 Seguridad del cableado

A .11.2.4 Mantenimiento de equipos

A .11.2.6 Seguridad de equipos y activos fuera de las instalaciones

Procedimientos operacionales y
A .12.1 responsabilidades
A .12.1.1 Procedimientos de operación documentados

A .12.3.1 Respaldo de información

A .12.4.1 Registro de eventos

A .12.4.2 Protección de la información de registro

A .12.4.3 Registros del administrador y del operador

Control de software
A .12.5 operacional
Instalación de softw are en
A .12.5.1 sistemas operativos
Gestión de la vulnerabilidad
A .12.6 técnica
Restricciones sobre la
A .12.6.2 instalación de softw are
Gestión de la seguridad de
A .13.1 las redes
A .13.1.1 Controles de redes

A .13.1.2 Seguridad de los servicios de red

A .13.2.1 Políticas y procedimientos de transferencia de información

A .13.2.4 Acuerdos de confidencialidad o de no divulgación

A .14 Adquisición, desarrollo y mantenimientos de sistemas

A .14.1.2 Seguridad de servicios de las aplicaciones en redes publicas

A .14.2 Seguridad en los procesos de desarrollo y soporte

A .14.2.1 Política de desarrollo seguro

A .14.2.2 Procedimientos de control de cambios en sistemas

Revisión técnica de las aplicaciones después de
A .14.2.3 cambios en la plataforma de operación
Pruebas de seguridad de
A .14.2.8 sistemas

A .14.2.9 Prueba de aceptación de sistemas

Gestión de la prestación de servicios con los
A .15.2 proveedores
Seguimiento y revisión de los servicios de los
A .15.2.1 proveedores

A.15.2.2 Gestión de cambios en los servicios de proveedores

A .18.2.2 Cumplimiento con las políticas y normas de seguridad

A .18.2.3 Revisión del cumplimiento técnico

16. Definición de Políticas de Seguridad del SGSI

• La información de la que C4 es propietario y/o depositario debe ser únicamente

accesible para las personas debidamente autorizadas, pertenezcan o no a la
Organización
• La presente Política de Seguridad, así como el resto de Cuerpo Normativo del SGSI
(procedimientos, guías, etc.) deberá ser accesible para todos los miembros de C4 dentro
del alcance del SGSI, así como el personal ajeno al mismo que se relaciona con éste a
través de alguno de sus procesos

• La Organización debe cumplir con todos aquellos requerimientos legales, regulatorios y

estatuarios que le sean de aplicación, así como los requerimientos contractuales

• La confidencialidad de la información debe garantizarse en todo momento

• La integridad de la información debe asegurarse a través de todos los procesos que la

gestionan, procesan y almacenan

• La disponibilidad de la información debe garantizarse mediante las adecuadas medidas

de respaldo y continuidad del negocio

• Todo el personal dentro del alcance del SGSI de C4, deberá disponer de la adecuada
formación y concienciación en materia de Seguridad de la Información

• Todo incidente o debilidad que pueda comprometer o haya comprometido la

confidencialidad, integridad y/o disponibilidad de la información deberá ser registrado
y analizado para aplicar las correspondientes medidas correctivas y/o preventivas. Así
mismo se comunicarán a las partes interesadas en los plazos correspondientes.

• Todo miembro de C4 dentro del alcance del SGSI, tanto perteneciente a la Fundacion
COTAS como al Grupo Operativo de COTAS RL, es responsable de implementar,
mantener y mejorar la presente Política, así como de velar por el cumplimiento de la
misma

• Todo miembro de C4 dentro del alcance del SGSI es responsable de garantizar la

adecuada implementación, mantenimiento y mejora del SGSI, así como su conformidad
con el estándar ISO/IEC 27001:2013
17. Conclusiones

La implatanción del Sistema de Gestión de Seguridad de la información desde su concepción deberá

estar a cargo de un profesional o equipo de profesionales en Seguridad de la Información.

La implantación en C4 de un SGSI en base a una política de Seguridad de la Información deberá

seguir los lineamientos de la institución madre que es la cooperativa COTAS donde existe
actualmente dentro de su Plan de Gestión Institucional un SGSI en funcionamiento y siendo esta
una unidad de negocios independiente pero gestionada administrativamente a través de la Fundación
COTAS, se deberá cumplir con la misma política institucional de seguridad de la información.

18. Recomendaciones

Para asegurar la solidez institucional una organización de este tipo, como C4, debe contar con los
mejores profesionales que pueda conseguir para gestionar un SGSI en todas sus etapas, siendo esta
una garantía de cumplimiento, de calidad con los fines que persigue la fundación para el beneficio
de todos los asociados que accederán a las capacitaciones y otros servicios que esta preste.

Desde el inicio se debe contemplar el Tratamiento de Riesgos como un instrumento de

consolidación tecnológica dentro del mercado boliviano e internacional para potenciar la mara C4
como sinónimo de seguridad, transparencia, seriedad y sobre todo cumplimiento de todos los
preceptos del cooperativismo.