ESCUELA DE GESTIÓN PÚBLICA

PLURINACIONAL
DIPLOMADO EN SEGURIDAD DE LA INFORMACIÓN V.7

PLAN DE GESTIÓN DE RIESGOS PARA EL SISTEMA DE

GESTIÓN SATELITAL DEL HUB SANTIVAÑEZ DE ENTEL

AUTOR: ANGELA GONZALES VENTURA

Cochabamba, Junio de 2019

PLAN DE ACCIÓN
INSTITUCIONAL
(PAI)

Nombre: Angela Gonzales Ventura

Facilitador: Jan Abel Perez Quispe

ÍNDICE DE CONTENIDO

ii
ÍNDICE DE CONTENIDO..............................................................................................iii
ÍNDICE DE FIGURAS....................................................................................................v
ÍNDICE DE TABLAS......................................................................................................v
ÍNDICE DE ANEXOS.....................................................................................................v

CAPITULO I GENERALIDADES...............................................................................1
1.1 INTRODUCCIÓN..................................................................................................1
1.2 ANTECEDENTES DE LA INSTITUCIÓN.............................................................2
a) Normativa legal...................................................................................................2
b) Misión..................................................................................................................5
c) Visión...................................................................................................................5
d) Organigrama.......................................................................................................6
1.3 PLANTEAMIENTO DEL PROBLEMA..................................................................6
1.3.1 Problema central............................................................................................7
1.4 OBJETIVOS..........................................................................................................7
1.4.1 Objetivo General............................................................................................7
1.4.2 Objetivos específicos.....................................................................................7
1.5 Matriz de consistencia..........................................................................................8
1.6 Justificación..........................................................................................................9
1.6.1 Justificación Teórica.......................................................................................9
1.6.2 Justificación Técnica....................................................................................10
1.6.3 Justificación Social.......................................................................................10
1.6.4 Justificación Económica...............................................................................10
1.7 ALCANCE...........................................................................................................10

CAPITULO II PROPUESTA.....................................................................................11
2.1 DESARROLLO DE LA PROPUESTA................................................................11
a) Establecimiento del contexto............................................................................11
b) Identificación de Activos....................................................................................12
c) Valoración de los Activos..................................................................................13
d) Evaluación del Riesgo.......................................................................................14
e) Tratamiento del riesgo......................................................................................16

iii
 2.2. CRONOGRAMA DE IMPLEMENTACIÓN........................................................17

CAPITULO III CONCLUSIONES Y RECOMENDACIONES...................................18

3.1 CONCLUSIONES...............................................................................................18
3.2 RECOMENDACIONES.......................................................................................18

REFERENCIA BIBLIOGRÁFICA.................................................................................19
GLOSARIO DE TÉRMINOS........................................................................................20

ÍNDICE DE FIGURAS

Figura1.1. ORGANIGRAMA DE ENTEL........................................................................6

iv
Figura 2.1. CLASIFICACION DE LA VULNERABILIDAD DEL ACTIVO.....................14
Figura 2.2. IMPACTO DEL RIESGO DEL ACTIVO.....................................................15

ÍNDICE DE TABLAS

Tabla 1.1. NORMATIVA DE ENTEL..............................................................................2

Tabla 1.2. MATRIZ DE CONSISTENCIA......................................................................8
Tabla 2.1. TABLA DE ACTIVOS..................................................................................12
Tabla 2.2. VALORACION DE ACTIVOS IDENTIFICADOS........................................14
Tabla 2.3. EVALUACION DEL RIESGO......................................................................15
Tabla 2.4. CONTROLES DE SEGURIDAD ESTABLECIDOS....................................16
Tabla 2.5. CRONOGRAMA.........................................................................................17

ÍNDICE DE ANEXOS

ANEXO 1. PROCESODE GESTIÓN DEL RIESGO....................................................22

ANEXO 2. FODA ENTEL.............................................................................................23
ANEXO 3. TIPOS DE ACTIVOS MAGIRET................................................................24
ANEXO 4. CATALOGO DE AMENAZAS (MAGIRET)................................................33
ANEXO 5. EJEMPLO DE VULNERABILIDADES........................................................35

v
 PLAN DE GESTIÓN DE RIESGOS PARA EL SISTEMA DE GESTIÓN
SATELITAL DEL HUB SANTIVAÑEZ DE ENTEL

CAPITULO I GENERALIDADES

1.1 INTRODUCCIÓN.

Los sistemas informáticos están sometidos a potenciales amenazas de seguridad de

diversa índole, originadas tanto desde dentro de la propia organización, como desde
fuera, procedentes de una amplia variedad de fuentes. A los riesgos físicos, entre
ellos, accesos no autorizados a la información, catástrofes naturales, sabotajes,
incendios, y accidentes; hay que sumarle los riesgos lógicos como contaminación
con programas malignos, ataques de denegación de servicio y otros.

Es posible disminuir el nivel de riesgo de forma significativa y con ello la

materialización de las amenazas y la reducción del impacto sin necesidad de realizar
elevadas inversiones ni contar con una gran estructura de personal.

Para ello se hace necesario conocer y gestionar de manera ordenada los riesgos a
los que está sometido el sistema informático, considerar procedimientos adecuados y
planificar e implantar los controles de seguridad que correspondan en base a
directrices establecidas en el ámbito interno, extraídos de los Lineamientos para la
elaboración e implementación de los Planes Institucionales de Seguridad de la
Información de las entidades del sector público. Todo lo mencionado anteriormente
se expone en el presente documento enfocado específicamente a la gestión de
riesgos del sistema de gestión satelital del Hub Santivañez de Entel.

A través del Programa de Telecomunicaciones de Inclusión Social – PRONTIS, Entel

S.A. ha realizado la habilitación de una Estación Terrena Satelital o HUB en la
localidad de Santivañez, en el departamento de Cochabamba. Esta moderna
infraestructura cuenta con una variedad de antenas satelitales, equipos y sistemas
que permiten controlar y monitorear el funcionamiento de los equipos satelitales
instalados en las estaciones remotas (áreas rurales).

1
Por ello el plan de gestión del riesgo a desarrollar inicia con el establecimiento del
contexto, es decir el conocimiento del entorno interno y externo enfocado a la
realización de su misión.

Una segunda labor referida a la identificación del riesgo, relacionado a los activos
que componen el sistema de gestión.

Una tercera tarea referido a la evaluación del riesgo, enfocado a establecer las
prioridades a tratar de acuerdo al tipo de riesgo e impacto. Y como última tarea la del
tratamiento del riesgo mediante el establecimiento de los controles pertinentes ante
los riesgos identificados. De esta manera el plan de gestión del riesgo se constituye
en fuente para el desarrollo y elaboración del Plan Institucional de Seguridad de la
Información (PISI) de la empresa de Telecomunicaciones Entel.

1.2 ANTECEDENTES DE LA INSTITUCIÓN.

a) Normativa legal.

En la siguiente tabla se describen todas las normas vigentes en Bolivia, bajo las
cuales se rige la empresa:

Tabla 1.1. NORMATIVA DE ENTEL

Nro. LEY/DS NOMBRE OBJETO
Constitución Constitución Política Parágrafo I, Articulo 20:
1 Política del del estado Toda persona tiene derecho al acceso
Estado universal y equitativo a los servicios
De fecha: 7 de básicos de agua potable,
febrero del 2009 alcantarillado, electricidad, gas
domiciliario, postal y
telecomunicaciones.
Ley No. 164 Ley General de Objeto:
2 De fecha: 8 de Telecomunicaciones La presente Ley tiene por objeto
agosto de , establecer el
2011 Tecnologías de régimen general de
Información y telecomunicaciones y tecnologías de

2
 Comunicación información y comunicación, del
servicio postal y el sistema de
regulación, en procura del vivir bien
garantizando el derecho humano
individual y colectivo a la
comunicación, con respeto a la
pluralidad económica, social,
jurídica, política y cultural de la
totalidad de las bolivianas y los
bolivianos, las naciones y
pueblos indígena originario
campesinos, y las comunidades
interculturales y afrobolivianas
del Estado Plurinacional de Bolivia.
Título I, Articulo 5:
Continuidad: Los servicios de
telecomunicaciones y tecnologías de
información y comunicación, así como
el servicio postal, deben prestarse en
forma permanente y sin
interrupciones, salvo los casos
previstos por norma
TITULO III, Articulo 7:
Promover la provisión de servicios en
telecomunicaciones y tecnologías de
información y comunicación y postal
en el marco de los principios de
acceso universal, continuidad,
calidad y solidaridad.
Objeto:
DS No. 1793 Decreto que Se aprueba el Reglamento General a
3 De fecha: 13 aprueba el la Ley Nº 164,
3
 de reglamento a ley de 8 de agosto de 2011, Ley
noviembre 164 General de
de 2013 Telecomunicaciones, Tecnologías de
Información y Comunicación.
Objeto:
Reglamentar las actividades del sector
de telecomunicaciones en aplicación a
la Ley Nº 164, de 8 de agosto de
2011, General de
4 Reglamento Reglamento General Telecomunicaciones, Tecnologías de
general a la a la Ley Nº 164, de 8 Información y Comunicación para el
LEY 164 de agosto de 2011, Sector de Telecomunicaciones.
De fecha: 24 de General de Titulo X, Capítulo I, Articulo 164:
octubre de 2012 telecomunicaciones, (Continuidad del servicio) Sin
tecnologías de perjuicio de los derechos establecidos
información en la Ley Nº 164, cuando la ATT
tramite reclamaciones, respecto a los
servicios de telecomunicaciones
disponibles al público; previo análisis
podrá ordenar al operador o
proveedor que mantenga el servicio o
que, en el plazo que el indique,
proceda a su reconexión, según
corresponda, mientras resuelva el
reclamo presentado
DS No. 1497 Decreto Supremo  Objeto:
5 De fecha: 20 de 1497 El presente Decreto Supremo tiene
febrero de 2013 por objeto establecer: los Convenios
Marco y el Registro Único de
Proveedores de servicios del Estado –
RUPE.
Objeto:

4
 El presente Estatuto, en el marco de
los preceptos
Ley 2027 Ley del Estatuto del de la Constitución Política del Estado,
6 De fecha: 27 de Funcionario Público tiene por objeto regular la relación del
octubre de 1999 Estado con sus servidores públicos,
garantizar el desarrollo de la carrera
administrativa y asegurar la dignidad,
transparencia, eficacia y vocación de
servicio a la colectividad en el ejercicio
de la función pública, así como la
promoción de su eficiente desempeño
y productividad.
Fuente: Elaboración propia.

b) Misión.

Proporcionar servicios de telecomunicaciones a través de redes tecnológicamente

actualizadas y modernas, cumpliendo la normativa vigente e impulsando el
crecimiento económico productivo de nuestro país; logrando que todos los habitantes
del Estado Plurinacional de Bolivia, accedan a la comunicación telefónica e internet
bajo premisas de calidad y tarifas equitativas. [1]

c) Visión.

Para el año 2025, nos comprometemos a sumar todos nuestros esfuerzos para lograr
mantener a ENTEL Bolivia como una empresa líder en el ramo de las
telecomunicaciones, con el fin de satisfacer la demanda y las necesidades de los
habitantes del Estado Plurinacional de Bolivia. [2]

5
d) Organigrama.

Figura1.1. ORGANIGRAMA DE ENTEL

Fuente: http://www.entel.bo

1.3 PLANTEAMIENTO DEL PROBLEMA.

La estación terrena Santivañez es una infraestructura instalada en la localidad de

Santivañez en el departamento de Cochabamba a cargo de la empresa de
telecomunicaciones ENTEL.

La implementación de esta moderna infraestructura tiene el objetivo de potenciar

y retransmitir las señales de voz e internet, que emite el satélite boliviano Túpac
Katari, a los aproximadamente 1000 telecentros instalados actualmente en áreas
rurales del país para recibir los servicios de telefonía e internet.

Asimismo cuenta un sistema de gestión satelital (Hughes), que funciona las 24 horas,
los 7 días de la semana y 365 días del año, dicho sistema permiten controlar y
monitorear el funcionamiento de los equipos satelitales instalados en las áreas
rurales.

6
Este sistema, como cualquier otro, está expuesto a diferentes tipos de riesgos que
pueden afectar su normal funcionamiento y esto provocaría una situación alarmante
y grave en la estación terrena Santivañez además de atenerse a las sanciones
impuestas por la ATT a empresas de telecomunicaciones, siendo necesario elaborar
un plan de gestión de riesgos que ayude a identificar y gestionar de manera
ordenada los riesgos a los que está sometido el sistema informático, con el fin de
reducir el nivel de riesgo de forma significativa y con ello la materialización de las
amenazas y la reducción del impacto considerando procedimientos adecuados,
planificando e implantando los controles de seguridad que correspondan en base a
directrices establecidas en el ámbito interno del País.

1.3.1 Problema central.

¿Cuáles son las vulnerabilidades, riesgos y amenazas de los activos del sistema de
gestión satelital del Hub Santivañez, que permitan implementar controles de
seguridad para la reducción del impacto del riesgo?

1.4 OBJETIVOS.

1.4.1 Objetivo General.

Identificar las vulnerabilidades, amenazas y riesgos en los activos del sistema de

gestión satelital del Hub Santivañez, para establecer controles de seguridad que
permitan reducir el impacto de riesgo.

1.4.2 Objetivos específicos.

 Desarrollar el establecimiento del contexto de la organización para conocer el

ámbito de desenvolvimiento en el marco de gestión del riesgo.
 Identificar los activos involucrados en el funcionamiento del sistema de
gestión.
 Establecer una valoración de los activos identificados.
 Evaluar las vulnerabilidades, amenazas y riesgos más probables para
determinar su impacto y probabilidad de incidencia.

7
  Tratar el riesgo aplicando la mejor opción para su atención mediante las
directrices establecidas en el PISI.

1.5 Matriz de consistencia.

Tabla 1.2. MATRIZ DE CONSISTENCIA

PROBLEMA OBJETIVO OBJETIVOS TAREAS
PRINCIPAL GENERAL ESPECÍFICOS
¿Cuáles son las Identificar las Establecimiento 1.1
vulnerabilidades, vulnerabilidades, del contexto de Establecimiento
riesgos y amenazas amenazas y la organización del contexto
de los activos del riesgos en los externo
sistema de gestión activos del 1.2
satelital del Hub sistema de gestión Establecimiento
Santivañez, que satelital del Hub del contexto
permitan implementar Santivañez , para interno
controles de establecer
seguridad para la controles de
reducción del impacto seguridad que
del riesgo? permitan reducir el
impacto de riesgo
PROVOCA PARA Identificación de 1.3 Identificación
Incertidumbre y Tener una idea los activos de los activos
desconocimiento de clara de los involucrados en
los riesgos inminentes riesgos presentes los sistemas de
en el sistema de en el sistema de gestión
gestión, provocando gestión y
fallos continuos en el establecer
funcionamiento del controles para
mismo. mitigar el impacto
del riesgo y actuar
proactivamente.
Valoración de 1.4 Identificación

8
 activos de la escala de
valoración de
activos
1.5 Valoración de
activos
identificados
Evaluar las 1.6 Identificación
vulnerabilidades, de la escala de
amenazas y clasificación de
riesgos más vulnerabilidades y
probables amenazas de
activos e impacto
del riesgo
1.7 Evaluación del
riesgo de los
activos
identificados
Tratamiento del 1.8. Establecer los
riesgo controles a
implementar
Fuente: Elaboración propia.

1.6 Justificación.

1.6.1 Justificación Teórica.

El conocimiento de la gestión del riesgo, así como los procesos que lo componen
proveen a la Institución de una estrategia y/o herramienta para que no se responda
de manera reactiva ante situaciones adversas que afecten el cumplimiento de los
objetivos, sino más bien proactiva, mediante la identificación de los riesgos y su
reducción. Así también se provee a la MAE de un análisis que apoye a la toma de
decisiones respecto a los riesgos latentes. [3]

9
1.6.2 Justificación Técnica.

Mediante los conocimientos asimilados en el Diplomado se adquirió herramientas

teóricas y prácticas para llevar adelante la gestión del riesgo en una organización y/o
Institución así también de otros aspectos relacionadas a la seguridad de información
precautelando su disponibilidad, integridad y confidencialidad. [3]

1.6.3 Justificación Social.

Los servicios de Telecomunicaciones (Telefonía e internet), se han vuelto

indispensables en nuestro entorno, siendo el acceso a las telecomunicaciones un
derecho establecido por ley, en este sentido las empresas de Telecomunicaciones
deben asegurar el acceso y continuidad de estos servicios. Para ello dichas
empresas deben desarrollar e implementar las medidas necesarias con el propósito
de garantizar y velar por la continuidad de estos servicios.

1.6.4 Justificación Económica.

La interrupción por agentes externos o internos de los servicios ofrecidos por una
empresa de telecomunicaciones, que afecte el normal desarrollo de las actividades,
genera sin duda costes económicos, daño a la imagen institucional, sanciones por
las autoridades reguladoras de Telecomunicaciones e incluso malestar social.

En tal sentido gestionar el riesgo hace que la Institución esté preparada ante la
materialización de los riesgos para minimizar sus consecuencias, logrando reducir
costes económicos por pérdidas o daños.

1.7 ALCANCE.

La gestión del riesgo tendrá como alcance el sistema de gestión satelital de la

estación terrena Santivañez, así como a los futuros sistemas de gestión que se
planeen implementar en dicha estación.

10
 CAPITULO II PROPUESTA

2.1 DESARROLLO DE LA PROPUESTA.

El plan de gestión del riesgo es un conjunto de tareas que se deben realizar para
minimizar la ocurrencia de un incidente mediante el establecimiento de controles.

El proceso de gestión del riesgo (ANEXO 1) consiste en lo siguiente:

a) Establecimiento del contexto (misión, visión, POA, PEI, etc.).

b) Identificación del riesgo (identificación de activos involucrados en el
funcionamiento del sistema de gestión).
c) Evaluación del riesgo.
d) Tratamiento del riesgo (mediante controles establecidos en el PISI).

Ahora bien, estas tareas se operativizarán mediante una MATRIZ DE RIESGOS que
se demostrara de manera gráfica de acuerdo al desarrollo de la propuesta [3]:

a) Establecimiento del contexto.

El establecimiento del contexto es el punto de partido del proceso de gestión del

riesgo de manera general, permitiendo de esta manera conocer sus objetivos, su
entorno y el abanico de criterios de riesgos.

Para conocer el contexto de la empresa Entel se realizó el análisis FODA (Anexo 2)

del mismo se obtuvo su contexto externo como interno.

 Establecimiento del contexto externo.

1. Inversiones altas por la demanda de equipos más especializados ante el
constante avance tecnológico.
2. Empresa líder en telecomunicaciones.
3. Vanguardia tecnológica en equipos de telecomunicaciones.
 Establecimiento del contexto interno.
1. Implementación de proyectos de telecentros y radio bases satelitales, dirigidos
a brindar cobertura total en áreas rurales del país

11
b) Identificación de Activos.

En la siguiente tabla se muestran los activos involucrados en el correcto

funcionamiento del sistema de gestión satelital:

Tabla 2.3. TABLA DE ACTIVOS

INVENTARIO DE ACTIVOS IDENTIFICADOS

# Activo Descripción Tipo Ubicación

Computadoras de escritorio a
Hardware – Oficina de
Pcs de través de las cuales se accede a
1 Equipamiento monitoreo
gestión la interfaz gráfica del software
informático del Hub
de gestión satelital.

Software que permite recolectar

Software – Instalado en
Software de información de los equipos
2 Aplicaciones el servidor
gestión remotos para su procesamiento
informáticas Hughes
y gestión.

Red de datos Infraestructura por donde se Redes de Data center

3
interna transmite la información. comunicaciones del Hub

Servidor en el cual está Hardware –

Servidor Data center
4 instalado el software de gestión Equipamiento
Hughes del Hub
y la base de datos del mismo. informático

Personal encargado de operar el

sistema de gestión las 24 hrs e Oficina de
5 Operadores interpretar la información Personal monitoreo
proporcionada por el software de del Hub
gestión satelital.

Fuente: Elaboración propia.

12
c) Valoración de los Activos.

Escala de valoración de activos.

Esta valoración se los realiza mediante el triángulo de seguridad respecto a la

DISPONIBILIDAD, INTEGRIDAD Y CONFIDENCIALIDAD DE LA INFORMACIÓN,
realizando las siguientes preguntas:

1. ¿Qué importancia tendría que el activo no estaría disponible?

2. ¿Qué importancia tuviera que la información asociada al activo fuera
modificada sin control?
3. ¿Qué importancia tendría que la información asociada al activo fuera conocido
por personas no autorizadas?

Escala de valoración de los activos identificados.

Para el desarrollo de la presente matriz se utiliza un listado de activos (MAGERIT)

para establecer el tipo de activo. ANEXO 3. [3]

13
Valoración de activos identificados.

Tabla 2.4. VALORACION DE ACTIVOS IDENTIFICADOS

Fuente: Elaboración propia.

d) Evaluación del Riesgo.

Escala de clasificación de vulnerabilidades de activos e impacto del riesgo.

El riesgo se analiza determinado las consecuencias y su probabilidad. Un suceso

puede tener múltiples consecuencias y puede afectar a múltiples objetivos. También
se debe tener en cuenta los controles existentes, así como su eficacia y eficiencia. La
finalidad de la evaluación del riesgo es ayudar a la toma de decisiones, determinando
los riesgos a tratar y la prioridad para implementar el tratamiento. Mediante la
siguiente tabla se clasifica la vulnerabilidad del activo:

14
 Figura 2.2. CLASIFICACION DE LA VULNERABILIDAD DEL ACTIVO
Fuente: Modelo PAI.

De la misma manera el Impacto del riesgo al activo

Figura 2.3. IMPACTO DEL RIESGO DEL ACTIVO

Fuente: Elaboración propia.

Evaluación del riesgo.

Tabla 2.5. EVALUACION DEL RIESGO

VALORACIÓN DE RIESGOS

Nivel
# Activo Amenaza Situación Vulnerabilidad Probabilidad Impacto de
Riesgo

Condiciones
Daños al Susceptibilidad
inadecuadas
Pcs de equipo / a las
1 de PROBABLE MODERADO MEDIO
gestión Perdida de variaciones de
temperatura y
Datos temperatura
humedad

Un acceso
no
autorizado al
software d
Manipulación podría ser Gestión
Software de las aprovechado deficiente de
2 PROBABLE CRÍTICO ALTO
de gestión configuracion para las
es manipular las contraseñas
configuracion
es de los
equipos
remotos.

Red de Tráfico
Robo de Robo de POCO
3 datos sensible sin SEVERO MEDIO
información información PROBABLE
interna protección

15
 Avería de
Servidor Interrupción Mantenimiento
4 origen físico o PROBABLE CRÍTICO ALTO
Hughes del servicio insuficiente
lógico

Implementaci Falta de
Operadore Errores del ón de conciencia
5 PROBABLE MODERADO MEDIO
s administrador software no acerca de la
seguro seguridad

Fuente: Elaboración propia.

Mediante el listado de amenazas (MAGERIT) y ejemplos de vulnerabilidades se

establece el tipo de amenaza y vulnerabilidad del activo ANEXO 3 Y 4.

e) Tratamiento del riesgo.

Implica la selección y la implementación de una o varias opciones para modificar el

riesgo.

Controles a implementar.

En base al ANEXO A CONTROLES DE SEGURIDAD del PISI [5], se implementarán

los siguientes controles:

Tabla 2.6. CONTROLES DE SEGURIDAD ESTABLECIDOS

VALORACIÓN DE RIESGOS TRATAMIENTO

# Activo Amenaza Control Directriz Actividad

Implementar controles para

minimizar el impacto
Condiciones
ocasionado por condiciones
Pcs de inadecuadas de
1 5,2,1 iii ambientales, incendios,
gestión temperatura y
inundaciones, polvo,
humedad
vibraciones, interferencias
eléctricas y otros.

Habilitar las cuentas de acceso

Manipulación basado en roles de usuario
Software de
2 de las 3,2,1 i, viii para el procesamiento,
gestión
configuraciones administración, consulta o uso
de la información.

16
 Implementar controles para el
Red de resguardo de la integridad,
Robo de
3 datos 7,1,1 v confidencialidad y
información
interna disponibilidad de la
información.

Realizar mantenimientos
periódicos y pruebas de
Avería de
Servidor funcionalidad por personal
4 origen físico o 5,2,1 v
Hughes calificado al equipamiento de
lógico
acuerdo a las especificaciones
del fabricante

Errores del Realizar capacitaciones sobre

5 Operadores 1,2,1 ii, iii
administrador el PISI de la institución

Fuente: Elaboración propia.

2.2. CRONOGRAMA DE IMPLEMENTACIÓN.

Los controles que se emplearán en base a la evaluación de los riegos de los activos
identificados se aplicarán de la siguiente manera:

Tabla 2.7. CRONOGRAMA

ACTIVIDADES OBSERVACIONES
JUNIO JULIO AGOSTO SEPTIEMBRE OCTUBRE
Entrega del
1 plan
X
Sustentación
2 del plan
X
Aplicación
3 CONTROL 1
X
Aplicación
4 CONTROL 2
X
Aplicación
5 CONTROL 3
X
Aplicación
6 CONTROL 4
X
Aplicación
7 CONTROL 5
X
Evaluación
8 Controles X
implementados

17
 CAPITULO III CONCLUSIONES Y RECOMENDACIONES

3.1 CONCLUSIONES.

Como conclusión se puede decir que se cumplió con el objetivo general y los
objetivos específicos del plan ya que se realizó la identificación de los activos más
relevantes para el funcionamiento del sistema de gestión satelital del Hub
Santivañez.

También se puede afirmar que el análisis de riesgos nos permitió determinar los
controles a establecer para minimizar el impacto de un posible incidente, previniendo
sucesos perjudiciales y al tiempo estar preparados de manera proactiva ante los
riesgos y seguir operando en las mejores condiciones; de esta manera se puede
concluir que con la implementación de este plan el riesgo se reduce a un nivel
residual asumible.

3.2 RECOMENDACIONES.

Se recomienda que la empresa Entel destine recursos para la creación de una

unidad de seguridad informática, capaz de gestionar técnicas y metodologías, para
aplicar la solución más efectiva posible contra las amenazas de sus activos.

Aplicar el mejoramiento en la Gestión de activos, responsabilidad sobre los activos y

clasificación de la información.

Actualizar los controles establecidos acorde a la identificación de nuevos riesgos.

18
 REFERENCIA BIBLIOGRÁFICA

[1] Misión de Entel S.A. Disponible en

http://www.entel.bo/inicio3.0/index.php/presentacion1/misión. Descargado el 20 de
junio de 2019
[2] Visión de Entel S.A. Disponible en
http://www.entel.bo/inicio3.0/index.php/presentacion1/visión. Descargado el 20 de
junio de 2019
[3] (Lluzco, 2019) Lluzco Eduardo. 2018. DESARROLLO DE UN PLAN DE
GESTIÓN DEL RIESGO PARA PROCESOS TECNOLÓGICOS EN LA
POLICÍA BOLIVIANA. Escuela de Gestión Pública Plurinacional.
[4] Normativa vigente en Bolivia. Disponible en
http://www.auditores.org.bo/content/normas-de-contabilidad-nacional-del-ctnac.
Descargado el 14 de junio de 2019
[5] Lineamientos para la elaboración e implementación de los Planes
Institucionales de Seguridad de la Información de las entidades del sector público.
Disponible en https://www.ctic.gob.bo/wp-content/uploads/bsk-pdf-
manager/Lineamientos_Seguridad-Aprobados_Pleno_06-09-17_198.pdf. AGETIC.
Descargado el 10 de mayo de 2019.

19
 GLOSARIO DE TÉRMINOS

Activo Es todo aquello que tiene valor para la entidad o

institución pública.

Activo de información Conocimientos o datos que tienen valor para la

organización.

Amenaza Causa potencial de un incidente no deseado, que

puede dar lugar a daños en un sistema o en una
organización.

Disponibilidad La información estará accesible y podrá ser

utilizada en el momento que se lo necesite.

Confidencialidad Propiedad que determina que la información no esté

disponible ni sea revelada a individuos, entidades o
procesos autorizados.

Integridad Propiedad de salvaguardar la exactitud y

completitud de los activos.

Gestión Conjunto de procesos para alcanzar los objetivos

propuestos.

Gestión del Riesgo Actividades coordinadas para dirigir y controlar una

organización en lo relativo al,

Riesgo Efecto de la incertidumbre sobre la consecución de

los objetivos.

Plan de gestión del riesgo Específica el enfoque, los componentes de gestión

y los recursos a aplicar para la gestión del riesgo.

Vulnerabilidad Debilidad de un activo o control, que puede ser

explotada por una amenaza.

20
Estación terrena o Hub Un Tele puerto, Estación terrestre o Hub es una
estación de radio terrestre para telecomunicaciones
para la retransmisión de distintos servicios de
televisión, voz y datos vía satélite.

21
 ANEXOS

ANEXO 1. PROCESO DE GESTIÓN DEL RIESGO

22
 ANEXO 2. FODA ENTEL

Fortalezas
1 Cobertura y conectividad a nivel nacional
2 Empresa líder en telecomunicaciones
3 Vanguardia tecnológica en equipos de telecomunicaciones
4 Implementación de proyectos de telecentros y radio bases satelitales, dirigidos a
brindar cobertura total en áreas rurales del país
5 Solidez financiera
Oportunidades
1 Alta demanda de telefonía móvil en el país
2 Políticas de gobierno a favor de empresas estatales
3 Precios más bajos en planes de telefonía e internet en comparación a TIGO y VIVA
4 Tiene acuerdos de ROAMING que las otras empresas no tienen
5 Incursionar y crecer en nuevos negocios
Debilidades
1 La mayoría de sus ingresos están concentrados en telefonía móvil, lo cual
representa una debilidad al tener poca diversidad de riesgo al no poseer otras
líneas de negocios
2 Pocos acuerdos en el mercado de los Smartphone
3 Problemas de conexiones por enlaces satelitales en áreas rurales
4 Fuerte presencia de TIGO en el occidente del país
5 Dependencia de empresas privadas para mantener la operación de sus servicios
Amenazas
1 Surgimiento de un nuevo competidor de telefonía móvil
2 Inversiones altas por la demanda de equipos más especializados ante el constante
avance tecnológico
3 Disconformidad de los usuarios por problemas en enlaces satelitales
4 Necesidad de cambiar la tecnología satelital por otra tecnología más estable
5 Mayor probabilidad de recibir sanciones por fallos de servicios

23
 ANEXO 3. TIPOS DE ACTIVOS MAGIRET

DATOS E INFORMACIÓN

Los datos son el corazón que permite a una organización prestar sus servicios. La
información es un activo abstracto que será almacenado en equipos o soportes de
información (normalmente agrupado como ficheros o bases de datos) o será
transferido de un lugar a otro por los medios de transmisión de datos.

Nomenclatura Tipos de datos/información

[files] ficheros
[backup] copias de respaldo
[conf] datos de configuración
[int] datos de gestión interna
[password] credenciales (ej. contraseñas)
[auth] datos de validación de credenciales
[acl] datos de control de acceso
[log] registro de actividad
[source] código fuente
[exe] código ejecutable
[test] datos de prueba

CLAVES CRIPTOGRÁFICAS
La criptografía se emplea para proteger el secreto o autenticar a las partes.
Las claves criptográficas, combinando secretos e información pública, son
esenciales para garantizar el funcionamiento de los mecanismos criptográficos.

Nomenclatura Claves criptográficas

[info] Protección de la información
[encrypt] claves de cifra
[shared_secret] secreto compartido (clave simétrica) (1)
[public_encryption] clave pública de cifra (2)
[public_decryption] clave privada de descifrado (2)
[sign] claves de firma
[shared_secret] secreto compartido (clave simétrica)
[public_signature] clave privada de firma (2)
[public_verification] clave pública de verificación de firma (2)
[com] protección de las comunicaciones
[channel] claves de cifrado del canal
[authentication] claves de autenticación
[verification] claves de verificación de autenticación
[disk] cifrado de soportes de información

24
[encrypt] claves de cifra
[x509] certificados de clave pública
(1) Por ejemplo, DES, 3-DES,
AES,etc.
(2) Por ejemplo, RSA, Diffie Hellman,
curvas elípticas, etc.
SERVICIOS
Función que satisface una necesidad de los usuarios (del servicio).
Esta sección contempla servicios prestados por el sistema.

Nomenclatura Tipos de servicios

anónimo (sin requerir identificación del
[anon]
usuario)
al público en general (sin relación
[pub]
contractual)
a usuarios externos (bajo una relación
[ext]
contractual)
interno (a usuarios de la propia
[int]
organización)
[www] world wide web
[telnet] acceso remoto a cuenta local
[email] correo electrónico
[file] almacenamiento de ficheros
[ftp] transferencia de ficheros
[edi] intercambio electrónico de datos
[dir] sevicio de directorio (1)
[idm] gestión de identidades (2)
[ipm] gestión de privilegios
[pki] PKI – Infraestructura de clave pública (3)
(1)
Localización de personas (páginas blancas), empresas o servicios (páginas
amarillas);
Permitiendo la identificación y facilitando los atributos que caracterizan al elemento
determinado
(2)
Servicios que permiten altas y bajas de usuarios de los sistemas, incluyendo su
caracterización

25
Y activando los servicios de aprovisionamiento asociados a sus cambios de estado
respecto de la organización.
(3)
Servicios asociados a sistemas de criptografía de clave pública, incluyendo
especialmente la gestión de certificados

APLICACIONES SOFTWARE
Con múltiples denominaciones (programas, aplicativos, desarrollos, etc.) se refiere
a
tareas que han sido automatizadas para su desempeño por un equipo informático.
Las aplicaciones gestionan, analizan y transforman los datos permitiendo la
explotación de la información para la prestación de los servicios.
No preocupa en este apartado el denominado “código fuente” o programas que
serán datos de interés comercial, a valorar y proteger como tales. Dicho código
aparecería como datos.

Nomenclatura Tipos de Aplicaciones (Software)

[prp] desarrollo propio (in house)
[sub] desarrollo a medida (subcontratado)
[std] estándar (off the shelf)
[browser] navegador web
[www] servidor de presentación
[app] servidor de aplicaciones
[email_client] cliente de correo electrónico
[email_server] servidor de correo electrónico
[file] servidor de ficheros
[dbms] sistema de gestión de bases de datos
[tm] monitor transaccional
[office] ofimática
[av] anti virus
[os] sistema operativo
[hypervisor] gestor de máquinas virtuales
[ts] servidor de terminales
[backup] sistema de backup

EQUIPOS INFORMÁTICOS (HARDWARE)

Dícese de los medios materiales, físicos, destinados a soportar directa o
indirectamente los servicios que presta la organización, siendo pues depositarios

26
temporales o permanentes de los datos, soporte de ejecución de las aplicaciones
informáticas o responsables del procesado o la transmisión de datos.

Nomenclatura Tipos de equipos informáticos (hardware)

[host] grandes equipos (1)
[mid] equipos medios (2)
[pc] informática personal (3)
[mobile] informática móvil (4)
[pda] agendas electrónicas
[vhost] equipo virtual
[backup] equipamiento de respaldo (5)
[peripheral] periféricos
[print] medios de impresión (6)
[scan] escáneres
[crypto] dispositivos criptográficos
[bp] dispositivo de frontera (7)
[network] soporte de la red (8)
[modem] módems
[hub] concentradores
[switch] conmutadores
[router] encaminadores
[bridge] pasarelas
[firewall] cortafuegos
[wap] punto de acceso inalámbrico
[pabx] centralita telefónica
[ipphone] teléfono IP

(1)
Se caracterizan por haber pocos, frecuentemente uno sólo, ser económicamente
gravosos y requerir un entorno específico para su operación. Son difícilmente
reemplazables en caso de destrucción.
(2)
Se caracterizan por haber varios, tener un coste económico medio tanto de
adquisición como de mantenimiento e imponer requerimientos estándar como
entorno de operación.
No es difícil reemplazar los en caso de destrucción.
(3)
Se caracterizan por ser multitud, tener un coste económico relativamente pequeño

27
e imponer solamente unos requerimientos mínimos como entorno de operación.
Son fácilmente reemplazables en caso de destrucción.
(4)
Se caracterizan por ser equipos afectos a la clasificación como informática personal
que, además, son fácilmente transportables de un sitio a otro, pudiendo estar tanto
dentro del recinto propio de la organización como en cualquier otro lugar.
(5)
Son aquellos equipos preparados para hacerse cargo inmediato de los equipos en
producción.
(6)
Dícese de impresoras y servidores de impresión.
(7)
Son los equipos que se instalan entre dos zonas de confianza.
(8)
Dícese de equipamiento necesario para transmitir datos: routers, módems, etc.

28
 REDES DE COMUNICACIONES

Nomenclatura Tipos de redes de comunicaciones

[PSTN] red telefónica
[ISDN] rdsi (red digital)
[X25] X25 (red de datos)
[ADSL] ADSL
[pp] punto a punto
[radio] comunicaciones radio
[wifi] red inalámbrica
[mobile] telefonía móvil
[sat] por satélite
[LAN] red local
[MAN] red metropolitana
[Internet] Internet

SOPORTES DE INFORMACIÓN
En este epígrafe se consideran dispositivos físicos que permiten almacenar
información de forma permanente o al menos, durante largos periodos de tiempo.

Nomenclatura Tipos de soportes de información

[electronic] electrónicos
[disk] discos
[vdisk] discos virtuales
[san] almacenamiento en red
[disquette] disquetes
[cd] cederrón (CD-ROM)
[usb] memorias USB
[dvd] DVD
[tape] cinta magnética
[mc] tarjetas de memoria
[ic] tarjetas inteligentes

29
[non_electronic] no electrónicos
[printed] material impreso
[tape] cinta de papel
[film] microfilm
[cards] tarjetas perforadas

EQUIPAMIENTO AUXILIAR
En este epígrafe se consideran otros equipos que sirven de soporte a los sistemas
de información, sin estar directamente relacionados con datos.
Nomenclatura Tipos de equipamiento auxiliar
[power] fuentes de alimentación
[ups] sistemas de alimentación ininterrumpida
[gen] generadores eléctricos
[ac] equipos de climatización
[cabling] cableado
[wire] cable eléctrico
[fiber] fibra óptica
[robot] robots
[tape] ... de cintas
[disk] ... de discos
[supply] suministros esenciales
equipos de destrucción de soportes de
[destroy]
información
[furniture] mobiliario: armarios, etc
[safe] cajas fuertes

INSTALACIONES
En este epígrafe entran los lugares donde se hospedan los sistemas de
información y comunicaciones.
Ciones. Tipos de instalaciones
[site] recinto
[building] edificio
[local] cuarto
[mobile] plataformas móviles
[car] vehículo terrestre: coche, camión, etc.
[plane] vehículo aéreo: avión, etc.
[ship] vehículo marítimo: buque, lancha, etc.
[shelter] contenedores
[channel] canalización
[backup] instalaciones de respaldo

30
 PERSONAS
En este epígrafe aparecen las personas relacionadas con los sistemas de
información.
Nomenclatura Tipos de Pesonal
[ue] usuarios externos
[ui] usuarios internos
[op] operadores
[adm] administradores de sistemas
[com] administradores de comunicaciones
[dba] administradores de BBDD
[sec] administradores de seguridad
[des] desarrolladores / programadores
[sub] subcontratas
[prov] proveedores
ANEXO 4. CATALOGO DE AMENAZAS (MAGIRET)

Degradación del activo

Amenaza
Disponibilidad Integridad Confidencialidad
Desastres Naturales
Fuego (Incedios) x
Daños por agua (Inundaciones) x
Desastres Naturales x
De origen industrial
Fuego (Incedios) x
Daños por agua (Inundaciones) x
Desastres industriales x
Contaminación mecánica x
Contaminación electromagnética x
Avería de origen físico o lógico x
Corte del suministro eléctrico x
Condiciones inadecuadas de
x
temperatura o humedad
Fallo de servicios de comunicaciones x
Interrupción de otros servicios y
x
suministros esenciales
Degradación de los soportes de
x
almacenamiento de la información
Emanaciones electromagnéticas x
Errores y fallos no intencionados
Errores de los usuarios x x x
Errores del administrador x x x

31
Errores de monitorización (log) x
Errores de configuración x
Deficiencias en la organización x
Difusión de software dañino x x x
Errores de [re-]encaminamiento x
Errores de secuencia x
Escapes de información x x
Alteración accidental de la información x
Destrucción de información x
Fugas de información x
Vulnerabilidades de los programas
x x x
(software)
Errores de mantenimiento /
x x
actualización de programas (software)
Errores de mantenimiento /
x
actualización de equipos (hardware)
Caída del sistema por agotamiento de
x
recursos
Pérdida de equipos x x
Indisponibilidad del personal x
Ataques intencionados
Manipulación de los registros de
x
actividad (log)
Manipulación de la configuración x x x
Suplantación de la identidad del
x x x
usuario
Abuso de privilegios de acceso x x x
Uso no previsto x x x
Difusión de software dañino x x x
[Re-]encaminamiento de mensajes x
Alteración de secuencia x
Acceso no autorizado x x
Análisis de tráfico x

32
 ANEXO 5. EJEMPLO DE VULNERABILIDADES

Tipo Activo Vulnerabilidad

Susceptibilidad a la humedad, el polvo y la suciedad
Mantenimiento insuficiente/instalación fallida de los
medios de almacenamiento
Ausencia de esquemas de reemplazo periódico
Sensibilidad a la radiación electromagnética
Ausencia de un eficiente control de cambios en la
Equipamiento informático configuración
Susceptibilidad a las variaciones de temperatura
Susceptibilidad a las variaciones de voltaje
Falta de cuidado en la disposición final
Almacenamiento sin protección
Copia no controlada
Software - Aplicaciones Defectos bien conocidos de software
informáticas Ausencia o insuficiencia de pruebas de software
Ausencia de terminación de la sesión cuando se
abandona la estación de trabajo
Ausencia de pistas de auditoría
Asignación errada de los derechos de acceso
Software ampliamente distribuido
Interfaz de usuario compleja
Ausencia de documentación
Configuración incorrecta de parámetros
Tablas de contraseñas sin protección
Habilitación de servicios innecesarios
Fechas incorrectas

33
 Software nuevo o inmaduro
Especificaciones incompletas o no claras para los
desarrolladores
Ausencia de control de cambios eficaz
En términos de tiempo utilización de datos errados en los
programas de aplicación
Ausencia de mecanismos de identificación y
autentificación como la autentificación de usuario
Gestión deficiente de las contraseñas
Falla en la producción de informes de gestión
Ausencia de copias de respaldo
Ausencia de pruebas de envío o recepción de mensajes
Lineas de comunicación sin protección
Tráfico sensible sin protección
Conexión deficiente de los cables
Punto único de falla
Redes de
comunicaciones Ausencia de identificación y autentificación de emisor y
receptor
Arquitectura insegura de la red
Transferencia de contraseñas en claro
Gestión inadecuada de la red (Tolerancia a fallos en el
enrutamiento)
Ausencia del personal
Procedimientos inadecuados de contratación
Entrenamiento insuficiente en seguridad
Uso incorrecto de software y hardware
Personal Falta de conciencia acerca de la seguridad
Ausencia de mecanismos de monitoreo
Trabajo no supervisado de personal externo o de limpieza
Ausencia de políticas para el uso de los medios de
telecomunicaciones y mensajería
Uso inadecuado o descuidado del control de acceso físico
a las edificaciones o recintos
Ubicación en un área susceptible de inundación
Instalaciones
Red energética inestable
Ausencia de protección física de la edificación, puertas y
ventanas

34