REPÚBLICA BOLIVARIANA DE VENEZUELA

MINISTERIO DEL PODER POPULAR PARA LA EDUCACIÓN

UNIVERSITARIA, CIENCIA Y TECNOLOGÍA
INSTITUTO UNIVERSITARIO POLITÉCNICO “SANTIAGO MARIÑO”
EXTENSIÓN MARACAY

PROPUESTA DE PLAN DE SEGURIDAD DE DATOS E INFORMACIÓN

Autor: José Arturo Pereira Zambrano

Profesor: Ing. Wilmer Leal

Julio, 2020.
 CAPITULO I

OBJETIVOS Y ALCANCES DEL PLAN

El objetivo del presente trabajo es realizar un diagnóstico de la situación

actual en cuanto a la seguridad de información de la entidad, que actualmente
administra y diseñar un Plan de seguridad de la Información (PSI) que permita
desarrollar operaciones seguras basadas en políticas y estándares claros y
conocidos por todo el personal de la entidad. Adicionalmente, el presente trabajo
contempla la definición de la entrega y los proyectos más importantes que deben
ser llevados a cabo para culminar con el Plan de Implementación.

Cabe destacar que esta política deberá aplicar a toda la entidad, sus
funcionarios, contratistas y terceros de la entidad. Por lo tanto, todas las
personas cubiertas por el alcance y aplicabilidad deberán dar cumplimiento a
esta política. Sin embargo, es importante recalcar que, hay que diseñar un Plan
de seguridad informática mediante la aplicación de buenas prácticas de
seguridad que permita desarrollar políticas y estándares claros para la
preservación de la confidencialidad, integridad y disponibilidad.

Asimismo, el cumplimiento de la política de seguridad y privacidad de la

información es obligatorio. Si los funcionarios de la entidad o terceros violan este
plan, la entidad se reserva el derecho de tomar las medidas correspondientes.
También, mediante sociabilización a todos los funcionarios se dará a conocer el
contenido del documento de las políticas de seguridad, así mismo se deberá
informar a los contratistas y/o terceros en el momento que se requiera con el
propósito de realizar los ajustes y la retroalimentación.

Finalmente, específicamente se recalca que sus objetivos son analizar el

estado actual de seguridad informática, verificar la metodología utilizada para el
análisis de riesgo, identificar los riesgos asociados, determinar las posibles
políticas de seguridad informática del sistema de información, y, por último,
plantear las medidas y procedimientos adecuados para dar cumplimiento a las
políticas de seguridad informática del sistema.
 CAPITULO II

METODOLOGÍA Y PROCEDIMIENTOS UTILIZADOS

Metodología ESA

La estrategia empleada para la planificación y desarrollo del presente

trabajo, está basada en la metodología Enterprise Security Arquitecture (ESA)
para el diseño de un modelo de seguridad, como marco general se establece el
diseño de políticas, normas y procedimientos de seguridad para el posterior
desarrollo de controles sobre la información de la empresa.

En el desarrollo del trabajo se utilizan los siguientes procedimientos de

trabajo:

Entrevistas: para la identificación de riesgos y vulnerabilidades de la

organización con el siguiente personal de la empresa:

-Gerente de División de Negocios

-Gerente de División de Riesgos

 -Gerente de División de Administración y Operaciones

-Gerente de División de Finanzas

-Gerente de Asesoría Legal

-Auditor de Sistemas

-Gerente de Sistemas

-Gerente Adjunto de Seguridad informática

-Asistente de Seguridad Informática

Definición y discusión: para conceptualizar y diseñar los servicios

informáticos que se implementarían sobre la entidad.

Elaboración: de políticas de seguridad de información de la entidad

tomando como referencia el estándar para seguridad de información ISO 17799,
sobre el Código para la práctica de la gestión de la seguridad de la información.

Evaluación: de la arquitectura de red actual y diseño de una propuesta de

arquitectura de red.

CAPITULO III

Implementación de Políticas de Seguridad de la Información

Una política de seguridad de información es un conjunto de reglas

aplicadas a todas las actividades relacionadas al manejo de la información de
una entidad, teniendo el propósito de proteger la información, los recursos y la
reputación de la misma. El propósito de las políticas de seguridad de la
información es proteger la información y los activos de dato de la entidad. Las
políticas son guías para asegurar la protección y la integridad de los datos dentro
de los sistemas de aplicación, redes, instalaciones de cómputo y procedimientos
manuales.
 Cumplimiento Obligatorio

El cumplimiento de las políticas y estándares de seguridad de la

información es obligatorio y debe ser considerado como una condición en lo
contratos de la persona.

La entidad puede obviar algunas de las políticas de seguridad definidas

en este documento, únicamente cuando se ha demostrado claramente que el
cumplimiento de dichas políticas debe ser documentada y aprobada por el área
de seguridad informática y el área de auditoria interna, detallando el motivo que
justifica el no-cumplimiento de la politica.

Organización de la Seguridad

En esta política se definen los roles y responsabilidades a lo largo de la

organización con respecto a la protección de recursos de información. Esta
política se aplica a todos los empleados y otros asociados con la entidad, cada
uno de los cuales cumple un rol en la administración de la seguridad de la
información. Todos los empleados son responsables de mantener un ambiente
seguro en tanto que el área de seguridad informática debe monitorear el
cumplimiento de la política de seguridad definida y realizar las actualizaciones
que sean necesarias, producto de los cambios en el entorno informático y las
necesidades del negocio.

Estructura Organizacional

En la administración de la seguridad de la información participan todos los

empleados siguiendo uno o más de los siguientes roles:

-Área de Seguridad Informática

-Usuario
 -Custodio de Información

-Propietario de Información

-Auditor Interno

Derechos Morales y Patrimoniales

Los usuarios son responsables de la custodia y la confidencialidad de los

datos y la información a la cual tengan acceso en forma directa e indirecta. La
empresa es propietaria de todos los datos e información que circule o se genere
al interior de la misma o que esté disponible a través de sus sistemas de
información y/o computadores.

En este sentido, el Gerente y Servidores públicos de nivel directivo

clasificaran los datos y la información generados o utilizados por su Subgerencia
solicitando a sus colaboradores y contratistas seguir los procedimientos
establecidos por la Subgerencia Administrativa y Financiera para el resguardo
de los mismos a través de copias de seguridad (Backup).

Divulgación de la Información y Confidencialidad

La información entregada a los medios de comunicación debe hacerse a

través del funcionario encargado del manejo de la comunicación empresarial. La
empresa no se hace responsable por las consecuencias que se deriven de la
utilización inadecuada por parte de terceros. Igualmente, se abstiene de
suministrar la información que haya recibido de terceros para su uso interno y
confidencial.

Exigir a los usuarios la protección de la información clasificada como

confidencial o de uso restringido. Incluir una cláusula de confidencialidad en los
contratos u órdenes, cuando el contratista requiera acceder de manera directa o
indirecta a los datos o información de la Empresa. Todo empleado que participe
en proyectos de la Empresa, o tenga acceso a su información, debe guardar
confidencialidad sobre la misma. El responsable del proyecto debe solicitar a los
participantes, como parte de los términos, compromiso y condiciones iniciales de
su participación, que firmen un acuerdo de confidencialidad de la información.

Recursos Informáticos

Establecer el cambio periódico de los recursos informáticos, dependiendo

de la obsolescencia, la vida útil, el estado de los mismos y las necesidades de la
Empresa. Se dará de baja a los equipos teniendo en cuenta el procedimiento
establecido para tal fin. Exigir a los usuarios la utilización responsable y
razonable de los recursos informáticos. Igualmente, el acatamiento de las
medidas de control establecidas para proteger el software, el hardware y los
datos. Esas medidas deben estar acorde con la importancia de los datos y la
naturaleza de los riesgos.

Administración y Control Informático

La conexión a la red debe ser autorizada por el Profesional de Recursos

Informáticos con las directrices emitidas por la Subgerencia Administrativa y
Financiera. No pueden conectarse computadores, servidores, hubs, switches,
routers, o cualquier otro hardware a la red sin la autorización correspondiente.
Asimismo, La empresa suministrara el acceso al correo electrónico y a
internet, como herramientas para la realización de las labores, dependiendo de
las responsabilidades y naturaleza del trabajo contratado, conforme a lo previsto
en el manual de funciones. El uso inadecuado de internet constituirá una falta
grave, que se clasificará como tal por la magnitud del hecho o por no atender los
requerimientos de la empresa para que se cese la utilización indebida. La
comprobación y las sanciones disciplinarias se realizarán conforme lo
establecido en la legislación aplicable.
 Información Almacenada en Medios Digitales

Toda información almacenada en cualquier dispositivo o medio de la

entidad, incluyendo discos duros, flash drives, códigos fuentes de programas de
computadora, correo electrónico y datos confidenciales de los clientes, es
propiedad de dicha entidad. Las prácticas de seguridad de datos deben ser
consistentes para ser efectivas. Los datos sensibles deben ser protegidos, sin
importar la forma en que sean almacenados.

Etiquetado de la Información

Toda información almacenada en medios físicos transportables (BackUps,

CD’s, etc.) que sean confidenciales o restringidas deben estar claramente
etiquetadas como tal, con letras grandes que sean legibles sin la necesidad de
un lector especial. Todo documento o contenedor de información debe ser
etiquetado como “Restringida”, “Confidencial”, de “Uso Interno” o de Acceso
“General”, dependiendo de la clasificación asignada.

Todo documento en formato digital o impreso debe presentar una etiqueta

en la parte superior e inferior de cada página, con la clasificación
correspondiente. Todo documento clasificado como “Confidencial” o
“Restringido” debe contar con una carátula en la cual se muestre la clasificación
de la información que contiene.

Distribución de la información

La información confidencial y restringida debe ser controlada cuando es

transmitida por correo electrónico interno, externo o por Courier. Si el servicio de
Courier o Correo externo es usado, se debe solicitar una confirmación de entrega
al receptor. Los reportes confidenciales y otros documentos sensibles deben
usarse en conjunto con sobres confidenciales y estos últimos también ser
sellados. Todo usuario, antes de transmitir información clasificada como
“Restringida” o “Confidencial”, debe asegurarse que el destinatario de la
información esté autorizado a recibir dicha información.

La transmisión de información clasificada como “Restringida” o

“Confidencial”, Transmitida dese o hacia la entidad a través de redes externas,
debe realizarse utilizando un medio de transmisión seguro, es recomendable el
uso de técnicas de encripción para la información transmitida.

Eliminación de la Información

La eliminación de documentos y otras formas de información deben

asegurar la confidencialidad de la información de las unidades de negocio. Se
debe borrar los datos de los medios magnéticos, como cassetes, disquetes,
discos duros, DASD, que se dejen de usar en la entidad debido a daño u
obsolencia, antes de que estos sean eliminados. En el caso de los equipos
dañados, la empresa de reparación o destrucción del equipo debe certificar que
los datos hayan sido destruidos o borrados.

Seguridad Física y del Entorno

Implantar los controles de seguridad apropiados para el ingreso a las

instalaciones de la empresa de funcionarios, contratistas y terceros. El acceso
de personal contratista, se debe autorizar una vez se haya formalizado el
contrato y de acuerdo con los controles de seguridad definidos. Se debe exigir al
personal contratista, cumplir igualmente con las políticas, procesos
procedimientos establecidos en la empresa.

Esta guía, proporciona la metodología establecida por la Entidad para la

administración y gestión de los riesgos a nivel de procesos; orienta sobre las
actividades a desarrollar desde la definición del contexto estratégico, la
identificación de los riesgos, su análisis, valoración y la definición de las opciones
de manejo que pueden requerir la formulación de acciones adicionales para
garantizar una adecuada gestión del riesgo.