Documentos de Académico
Documentos de Profesional
Documentos de Cultura
PROYECTO FINAL PrincipioSeguridadInformatica GRUPO 1
PROYECTO FINAL PrincipioSeguridadInformatica GRUPO 1
Grupo 1.
Oseas Isaí Guzmán Figueroa 1593-18-22247
Sergio Fernando Sicán Patzán 1593-16-602
Jorge Alexander García Morales 1593-17-10169
Klely Beatriz Morales Paredes 1593-14-2644
Luis Alexander España Romero 1593-16-13453
Donal Obed Morales Reyes 1593-14-7977
Plan sábado
Sección B
Marzo 2023
Índice
1. Introducción ........................................................................................................ 1
2. Documentación de la Empresa .......................................................................... 2
10. Conclusiones................................................................................................. 44
11. Recomendaciones ........................................................................................ 45
12. Bibliografía .................................................................................................... 46
13. Anexos .......................................................................................................... 48
Índice de Tablas
Tabla 1: Datos Generales de la Organización ............................................................ 2
Tabla 2: Equipo Consultor .......................................................................................... 2
Tabla 3: Evaluación de Cumplimientos I .................................................................. 26
Tabla 4: Evaluación de Cumplimientos II ................................................................. 27
Tabla 5: Formulario de Cumplimiento Sistemas de Información .............................. 28
Tabla 6: Formulario de Cumplimiento Computadoras .............................................. 29
Tabla 7: Formulario de Cumplimiento Empleados .................................................... 29
Tabla 8: Formulario de Cumplimiento Dispositivos de Red ...................................... 30
Tabla 9: Formulario de Cumplimiento Seguridad Cibernética .................................. 31
Tabla 10: Checklist Cumplimiento Sistemas de Información .................................... 31
Tabla 11: Checklist Cumplimiento Sistemas de Cómputo ........................................ 32
Tabla 12: Checklist Cumplimiento Empleados ......................................................... 33
Tabla 13: Checklist Cumplimiento Dispositivos de Red............................................ 34
Tabla 14: Checklist Cumplimiento Dispositivos de Red............................................ 34
Tabla 15: Checklist Cumplimiento Ciberseguridad ................................................... 35
Tabla 16: Usuarios Objetivos ................................................................................... 41
Tabla 17: Desarrollo de Temas Concientización Usuarios ....................................... 41
1
1. Introducción
La seguridad informática es una base fundamental de nuestro entorno, al estar
cada vez más expuestos a servicios electrónicos y ante la constante evolución de
los sistemas informáticos mundiales. La tecnología como servicio sigue ganando
terreno en la actualidad, y ante la pandemia de COVID-19 que cómo resultado
impulsó el crecimiento de las herramientas tecnológicas que al reducir el contacto
humano y así mismo los contagios con este virus, también hizo nacer nuevas
amenazas y vulnerabilidades que tratan de ser explotadas por grupos y personas
que buscan sacar provecho de esto.
El crecimiento de estas amenazas también demanda más profesionales en
la rama de la seguridad informática que puedan asegurar la continuidad de los
negocios asegurando su bien más preciado, los datos, y a su vez la infraestructura
en la que están resguardados.
El Registro de la Propiedad Intelectual, dependencia del Ministerio de
Economía de Guatemala, que es el encargado de llevar el control de registro de
signos distintivos, patentes industriales y de invención, así como de derechos de
autor en obras literarias, musicales y software, busca mejorar sus procedimientos
del departamento de tecnología así como la infraestructura actual y la arquitectura
de su red y centro de datos, por lo que fuimos requeridos como equipo para hacer
una auditoría a éstos puntos, tomando en cuenta que los procesos son manuales,
aunque los registros son digitales.
En el documento se encuentra la situación actual de su departamento de
informática, hallazgos y recomendaciones para mejorar su nivel de seguridad a nivel
de centro de datos, procesos tecnológicos y aseguramiento de la red.
2
2. Documentación de la Empresa
Tabla 1: Datos Generales de la Organización
3. Antecedentes y Justificación
En el tiempo actual el avance tecnológico que se presenta trae consigo desafíos
que emiten preocupaciones a los altos directivos organizacionales. Garantizar al
máximo los niveles de disponibilidad, integridad y confidencialidad de la información
manejada diariamente en las organizaciones es un tema de gran importancia que
se tiene en cuenta dentro de las labores empresariales hoy en día.
En el mundo de las redes y telecomunicaciones se van viendo diferentes
amenazas tales como los ataques de ciberdelincuentes en busca de datos e
información confidenciales y de gran interés comercial, modificación de información
altamente confidencial, que se realizan con algún interés comercial,
socioeconómico, competitivo o con la idea de que el atacante obtenga alguna
reputación.
Pero esta problemática presentada actualmente no afecta solo a las grandes
empresas u organizaciones con una gran infraestructura para su funcionamiento, ni
las grandes y pequeñas empresas, ni los gobiernos están exentas, según la firma
de ciberseguridad Digiware, en el año transcurrido entre agosto de 2016 y 2017, se
han presentado 198 millones de ciberataques, de acuerdo con la compañía en
promedio se registran 542 mil incidentes y el impacto de los daños informáticos ha
generado grandes pérdidas económicas.
Es de gran utilidad para una empresa la implementación de un SGSI (Sistema
de Gestión de Seguridad de la Información) el cual está fundamentado sobre la
norma ISO27001 y se refiere a un proceso sistemático para la protección ante
cualquier amenaza que podría llegar afectar la confidencialidad, integridad o
disponibilidad de la información.
Este sistema ofrece los mejores procedimientos y las mejores prácticas que
siendo aplicados correctamente en el ámbito de la empresa, proporcionando una
mejora continua y apropiada para evaluar los riegos que se enfrenta diariamente la
empresa, establecer controles para una mejor protección y defender así el activo
más valioso dentro de la empresa, la cual es la información.
9
5. Procedimientos de Seguridad
5.1. Procedimiento Sistema de Autenticación
El departamento de informática deberá implementar los controles pertinentes
para autenticar y validar a cada empleado que ingresa a la red institucional, además
de mantener seguros los accesos periódicamente realizando los cambios de
contraseñas. El tipo de autenticación que se aplicará a cada miembro de la
institución es la autenticación por conocimientos, en la cual deberá responder a una
serie de preguntas que solo el empleado deberá conocer, estas preguntas deben
ser cambiadas en un tiempo máximo de 3 meses.
Aprobado
Instrucciones Emisión Versión
para la Por
evaluación de 20 de marzo
AER v1.0
las políticas. de 2023
A continuación, se presentan las instrucciones para evaluar el cumplimiento de las
políticas de seguridad de la empresa en relación con los sistemas de información,
sistemas de cómputo, empleados, dispositivos de red y seguridad cibernética.
No. Nombre Criterios Prioridad
a. Verificar que
los sistemas de
información estén
protegidos mediante
contraseñas seguras y
robustas, con una
longitud mínima de 8
caracteres y que esta
sea actualizada
periódicamente.
b. Verificar que
todos los sistemas de
Evaluación de información cuenten
I1 los sistemas de con el software Alta
información pertinente para evitar
archivos maliciosos y
que se realice un
análisis completo del
sistema al menos una
vez al mes.
c. Verificar que
se realice una copia de
seguridad de los
sistemas de
información al menos
una vez a la semana y
que se almacenen en
una ubicación segura.
Nota: Si la respuesta a alguna de las preguntas es solo un “Si” o "No" por favor
proporcione detalles adicionales en la sección de comentarios.
E1: Sistemas de información
No. Criterios Respuesta Comentarios
¿Están los sistemas de
información de la empresa
1 protegidos por contraseñas
fuertes y únicas?
E2: Computadoras
No. Criterios Respuesta Comentarios
¿Se tiene algún método de autenticación para
1 acceder a las computadoras?
E3: Empleados
No. Criterios Respuesta Comentarios
¿Se realizan pruebas de verificación de antecedentes
penales, policiacos y referencias antes de contratar a
1
un nuevo empleado para el área de TIC?
30
Creado Versión
Fecha creación: 20 de marzo de 2023
por: AER v1.0
Instrucciones: Marcar con una “X” según corresponda la respuesta a cada pregunta.
Checklist 1: Sistemas de Información
Criterio Si se No se
No.
cumple cumple
Todos los sistemas de información
estén protegidos con contraseñas
1
seguras.
Checklist 3: Empleados
Si se No se
No. Criterio
cumple cumple
Se verifico que todos los empleados hayan recibido
1 capacitación en seguridad de la información.
Checklist 4: Ciberseguridad
Si se No se
No. Criterio
cumple cumple
Se ha implementado una política de detección de
1 intrusos.
8. Plan Estratégico
8.1. Objetivo General
Poner en marcha el sistema de gestión de seguridad de la información en la
institución Registro de la Propiedad Intelectual, principalmente el plan estará
ejecutado por el departamento de IT y con jefes de los demás departamentos. El
propósito principal es resguardar toda la información de la organización, así mismo
aplicar al proyecto las políticas y procedimientos de seguridad tal y como ha sido
alineadas. Es importante que todo el proyecto sea ejecutado bajo la norma ISO
27001.
8.2. Objetivos Específicos
• Determinar los puntos débiles y vulnerables de la institución.
• Mitigar cada uno de los riesgos identificados.
• Generar los objetivos y políticas de seguridad.
• Aumentar la seguridad de la información a través de políticas definidas
conforme a las necesidades de la organización.
• Asegurar que las políticas y objetivos de seguridad sean cumplidos en su
totalidad.
• Dar seguimiento a cada una de las normas a mediano y largo plazo.
• Resguardar de manera eficaz el trabajo remoto de todos los departamentos
de la institución.
• Adquirir el software correspondiente a todas las soluciones que vayan
surgiendo a través de los riesgos identificados.
• Tener un documento formal en el cual sea especificado los puntos débiles de
la seguridad de la información de la institución y así mismo tener el plan para
contrarrestar cualquier incidente que pueda darse en esta.
8.3. Alcance
El siguiente proyecto trata de un sistema de gestión de seguridad de la
información en Registro de la Propiedad Intelectual, dicho proyecto cuenta con el
apoyo incondicional de la institución para elaboración y ejecución de este. A la vez
37
Tiempo Ciclo
Actividad Desarrollo Usuario
estimado
Como tema principal para la
capacitación se debe de
enseñar a los usuarios cómo
identificar las diferentes
amenazas y riesgos de
Identificación de
seguridad a los que se
amenazas y
enfrentan en el entorno de Todos 45 min. Mensual
riesgos de
trabajo. Se deben concientizar
seguridad:
sobre temas como
Identificar correos electrónicos
maliciosos, sitios web
fraudulentos y ataques de
ingeniería social.
42
10. Conclusiones
Se identifican vulnerabilidades y amenazas en los procesos e infraestructura
lógica y física del Registro de la Propiedad Intelectual; y se sugieren correcciones e
implementación de políticas de seguridad que pueden mitigar de forma razonable
los riesgos y asegurar la integridad, confidencialidad y disponibilidad de la
información en los puntos siguientes:
• Gestión para el Centro de Datos y sus procesos.
• Servidores y sus servicios.
• Redes y transmisión de datos.
• Procesos Informáticos
• Base de Datos
El sistema de gestión de seguridad de la información implementado en dicha
organización ha permitido que se identifiquen vulnerabilidades dentro de los
sistemas y así mismo ambigüedades en la gestión de la información en los
diferentes departamentos.
Los riesgos dentro de las organizaciones, aunque sean de entidades
gubernamentales siempre van a existir, es por ello la importancia de contar con un
plan de respaldo para saber cómo dar respuesta a las incidencias que se puedan ir
generando.
45
11. Recomendaciones
Auditorías periódicas de 1 año al departamento de Informática para mantener
actualizadas las políticas y seguridad de los procesos e infraestructura, para reducir
los riesgos que con el tiempo siguen evolucionando.
Hacer una auditoría integral, que pueda incluir a otros departamentos
funcionales de la institución cómo Recursos humanos y Departamento financiero,
que infieren directamente a los procesos y procedimientos tecnológicos de la
institución, y de esta manera poder generar políticas de seguridad que integren
procesos completos del Registro de la Propiedad Intelectual.
Es importante dar siempre la retroalimentación adecuada al plan realizado en el
proyecto, así mismo se debe actualizar el plan al menos una vez por año y tratar de
implementar conocimientos y herramientas tecnológicas actuales.
Dentro del proyecto realizado se estiman políticas para integrar nuevos sistemas
de seguridad tanto físicas como lógicas, es por ello que se debe aclarar que este
proyecto no cuenta con un presupuesto ni tampoco alguna inclinación para integrar
equipo tecnológico de alguna marca en específico.
46
12. Bibliografía
https://www.inmegen.gob.mx/media/filer_public/b6/c0/b6c016a5-4e47-46b3-
b4a5-
d3cf890cda08/politica_de_escritorio_y_pantalla_limpia_de_informacion.pdf
Kaspersky Latam. (2019). Artículo Web. Obtenido de ¿Qué es el cifrado de datos?
Definición y explicación: https://latam.kaspersky.com/resource-
center/definitions/encryption
Microblau. (s.f.). Artículo Web. Obtenido de ¿Cada cúanto debo actualizar la web
de mi empresa?: https://www.microblau.net/blog/cada-cuanto-debo-
actualizar-la-web-de-mi-empresa/
normaiso españa. (s.f.). Blog . Obtenido de Criptografía:
https://normaiso27001.es/a10-criptografia
Prisma. (2020). Artículo Web. Obtenido de El ciclo Deming: en qué consiste y cómo
en la gestión y mejora de procesos: https://www.eurofins-
environment.es/es/el-ciclo-deming-que-consiste-y-como-ayuda-gestion-
procesos/
Registro de la Propiedad Intelectual. (2020). Obtenido de
https://portal.rpi.gob.gt/wp-content/uploads/2020/12/guiadelusuario.pdf
48
13. Anexos
13.1. Plantilla de Políticas
NOMBRE DE LA DIRECTIVA:
FECHA DE CREACIÓN: 17/03/2023 Registro Intelectual de Guatemala
Sistema de Autenticación
ROL RESPONSABILIDAD
VII. APROBACIÓN
NOMBRE DE LA DIRECTIVA:
FECHA DE CREACIÓN: 17/03/2023 Registro Intelectual de Guatemala
Límites de Accesos
Establecer los límites de acceso al personal para que solo aquellos empleados
que necesiten ingresar a datos confidenciales puedan tener acceso.
Agrupar a los empleados según las categorías a las que pertenecen para
brindarles acceso a documentos confidenciales solamente a las personas
autorizadas para ese tipo de información.
V. ROLES / RESPONSABILIDADES
ROL RESPONSABILIDAD
VII. APROBACIÓN
NOMBRE DE LA DIRECTIVA:
FECHA DE CREACIÓN: 17/03/2023 Registro Intelectual de Guatemala
A. ACCESO A
DATOS
B. USO DE DATOS
V. ROLES / RESPONSABILIDADES
ROL RESPONSABILIDAD
VII. APROBACIÓN
NOMBRE DE LA DIRECTIVA:
FECHA DE CREACIÓN: 17/03/2023 Registro Intelectual de Guatemala
Establecer periodos regulares para realizar las copias de seguridad de los datos
importantes para que posteriormente sean almacenadas en lugares establecidos
como seguros, teniendo en cuenta que también se debe de establecer políticas
de seguridad para su posterior manipulación.
A. ACCESO A
DATOS
B. USO DE DATOS
V. ROLES / RESPONSABILIDADES
ROL RESPONSABILIDAD
VII. APROBACIÓN
NOMBRE DE LA DIRECTIVA:
FECHA DE CREACIÓN: 17/03/2023 Registro Intelectual de Guatemala
Al hacer uso de una red pública interna, se debe de considerar políticas que
establezcan restricciones de sitios web no autorizados. Manteniendo la red
monitoreada por un sistema de alertas. Se considera hacer uso de este tipo de
servicio al personal autorizado.
A. ACCESO A DATOS
B. USO DE DATOS
C. INTEGRACIÓN DE DATOS
V. ROLES / RESPONSABILIDADES
ROL RESPONSABILIDAD
VII. APROBACIÓN
NOMBRE DE LA DIRECTIVA:
FECHA DE CREACIÓN: 17/03/2023 Registro Intelectual de Guatemala
Auditorias
B. USO DE DATOS
Se evaluará la estructuración físicas y lógicas de las
bases de datos.
59
V. ROLES / RESPONSABILIDADES
ROL RESPONSABILIDAD
VII. APROBACIÓN
NOMBRE DE LA DIRECTIVA:
FECHA DE CREACIÓN: 17/03/2023 Registro Intelectual de Guatemala
Medidas de protección
V. ROLES / RESPONSABILIDADES
ROL RESPONSABILIDAD
VII. APROBACIÓN
NOMBRE DE LA DIRECTIVA:
FECHA DE CREACIÓN: 17/03/2023 Registro Intelectual de Guatemala
OBJETIVO DE LA POLÍTICA
REGLAS DE POLÍTICA
C. INTEGRACIÓN DE
DATOS
D. INTEGRIDAD DE
LOS DATOS
63
V. ROLES / RESPONSABILIDADES
ROL RESPONSABILIDAD
VII. APROBACIÓN
NOMBRE DE LA DIRECTIVA:
FECHA DE CREACIÓN: 17/03/2023 Registro Intelectual de Guatemala
X. PROCEDIMIENTO DE LA POLÍTICA
E. ACCESO A DATOS
Solo los usuarios autorizados podrán acceder a la
información importante de la empresa.
ROL RESPONSABILIDAD
XIV. APROBACIÓN