PROYECTO FINAL PrincipioSeguridadInformatica GRUPO 1

Facultad de Ingeniería de Sistemas de Información
Maestría en Seguridad Informática

Principios de Seguridad Informática
Inga. Brenda Amarilis Gramajo González
Firmado digitalmente por

BRENDA AMARILIS BRENDA AMARILIS
GRAMAJO GRAMAJO GONZALEZ
Fecha: 2023.04.12 02:00:36
GONZALEZ -06'00'
SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN PARA LA

INSTITUCIÓN REGISTRO DE LA PROPIEDAD INTELECTUAL
Grupo 1.
Oseas Isaí Guzmán Figueroa 1593-18-22247
Sergio Fernando Sicán Patzán 1593-16-602
Jorge Alexander García Morales 1593-17-10169
Klely Beatriz Morales Paredes 1593-14-2644
Luis Alexander España Romero 1593-16-13453
Donal Obed Morales Reyes 1593-14-7977
Plan sábado
Sección B
Marzo 2023
Índice
1. Introducción ........................................................................................................ 1
2. Documentación de la Empresa .......................................................................... 2
2.1. Registro de la Propiedad Intelectual ............................................................ 2
2.1.1. ¿Qué es la Propiedad Intelectual? ........................................................ 3

2.1.2. Misión .................................................................................................... 3
2.1.3. Visión..................................................................................................... 3
2.1.4. Antecedentes Históricos ........................................................................ 3
2.1.5. Departamento de Marcas ...................................................................... 4
2.1.6. Departamento de Patentes.................................................................... 6
3. Antecedentes y Justificación .............................................................................. 8

4. Objetivos y Políticas de Seguridad ................................................................... 11
4.1. Integridad ................................................................................................... 11

4.2. Política Sistema de Autenticación .............................................................. 11
4.2.1. Objetivo ............................................................................................... 11
4.3. Política Límites de Accesos ....................................................................... 11
4.3.1. Objetivo ............................................................................................... 11
4.4. Política Software Actualizado de los Equipos ............................................ 12
4.4.1. Objetivo ............................................................................................... 12
4.5. Política Backup de Respaldo de Archivos ................................................. 12
4.5.1. Objetivo ............................................................................................... 12
4.6. Política Uso de Dispositivos Móviles .......................................................... 13
4.6.1. Objetivo ............................................................................................... 13
4.7. Política de Auditorías ................................................................................. 13
4.7.1. Objetivo ............................................................................................... 13
4.8. Política Medidas de Protección .................................................................. 14
4.8.1. Objetivo ............................................................................................... 14

4.9. Política de Seguridad Física ...................................................................... 14
4.9.1. Objetivo ............................................................................................... 14
4.10. Política Seguridad y Restricciones de la Conexión de Internet .............. 15
4.10.1. Objetivo ............................................................................................... 15
4.11. Política Contraseñas Seguras ................................................................ 16
4.11.1. Objetivo ............................................................................................... 16
4.12. Política Uso de Controles Criptográficos ................................................ 16
4.12.1. Objetivo ............................................................................................... 16
4.13. Política Escritorio y Pantalla Limpia ........................................................ 17
4.13.1. Objetivo ............................................................................................... 17
4.14. Política Teletrabajo Seguro .................................................................... 18
4.14.1. Objetivo ............................................................................................... 18
5. Procedimientos de Seguridad .......................................................................... 19
5.1. Procedimiento Sistema de Autenticación ................................................... 19

5.2. Procedimiento Límite de Accesos .............................................................. 19
5.3. Procedimiento Software Actualizado de los Equipos ................................. 19
5.4. Procedimiento Backup de Respaldo de Archivos ...................................... 19
5.5. Procedimiento para Uso de Dispositivos Móviles ...................................... 20
5.6. Procedimiento para Auditorías ................................................................... 20
5.7. Procedimiento para Medidas de Protección .............................................. 20
5.8. Procedimiento Seguridad Física ................................................................ 20
5.9. Procedimiento Seguridad y Restricciones de la Conexión a Internet......... 20
5.10. Procedimiento Contraseñas Seguras ..................................................... 21
5.11. Procedimiento Uso de Controles Criptográficos ..................................... 21
5.12. Procedimiento Escritorio y Pantalla Limpia ............................................. 21
5.13. Procedimiento Teletrabajo ...................................................................... 21
6. Diagramas de la Arquitectura de la Seguridad (Aplicaciones, Redes, Sistemas)

23
6.1. Diagrama Arquitectura Actual .................................................................... 23
6.2. Diagrama Arquitectura Propuesto .............................................................. 24
7. Instrucciones, Checklist y Formularios ............................................................. 26

8. Plan Estratégico ............................................................................................... 36
8.1. Objetivo General ........................................................................................ 36

8.2. Objetivos Específicos ................................................................................. 36
8.3. Alcance ...................................................................................................... 36
8.4. Metodología de Implementación ................................................................ 37
8.4.1. Ciclo de Deming (Plan Do Check Act) ................................................. 37

8.4.2. Planeación........................................................................................... 38
8.4.3. Implementación ................................................................................... 38
8.4.4. Revisión............................................................................................... 38
8.4.5. Mejora Continua .................................................................................. 39
9. Plan de Concientización a los Usuarios ........................................................... 40
9.1. Introducción al Plan ................................................................................... 40

9.2. Objetivo ...................................................................................................... 40
9.3. Alcance ...................................................................................................... 40
9.4. Normativa a Utilizarse ................................................................................ 40
9.4.1. Normativa ISO 270001 ........................................................................ 40
9.5. Usuarios Objetivos ..................................................................................... 41

9.6. Desarrollo Temas....................................................................................... 41
10. Conclusiones................................................................................................. 44
11. Recomendaciones ........................................................................................ 45
12. Bibliografía .................................................................................................... 46
13. Anexos .......................................................................................................... 48
13.1. Plantilla de Políticas................................................................................ 48

Índice de Ilustraciones
Ilustración 1: Diagrama Arquitectura de Red Actual RPI .......................................... 23
Ilustración 2: Diagrama Arquitectura de Red Propuesto RPI.................................... 24
Ilustración 3: Diagrama Ciclo de Deming ................................................................. 37
Índice de Tablas
Tabla 1: Datos Generales de la Organización ............................................................ 2
Tabla 2: Equipo Consultor .......................................................................................... 2
Tabla 3: Evaluación de Cumplimientos I .................................................................. 26
Tabla 4: Evaluación de Cumplimientos II ................................................................. 27
Tabla 5: Formulario de Cumplimiento Sistemas de Información .............................. 28
Tabla 6: Formulario de Cumplimiento Computadoras .............................................. 29
Tabla 7: Formulario de Cumplimiento Empleados .................................................... 29
Tabla 8: Formulario de Cumplimiento Dispositivos de Red ...................................... 30
Tabla 9: Formulario de Cumplimiento Seguridad Cibernética .................................. 31
Tabla 10: Checklist Cumplimiento Sistemas de Información .................................... 31
Tabla 11: Checklist Cumplimiento Sistemas de Cómputo ........................................ 32
Tabla 12: Checklist Cumplimiento Empleados ......................................................... 33
Tabla 13: Checklist Cumplimiento Dispositivos de Red............................................ 34
Tabla 14: Checklist Cumplimiento Dispositivos de Red............................................ 34
Tabla 15: Checklist Cumplimiento Ciberseguridad ................................................... 35
Tabla 16: Usuarios Objetivos ................................................................................... 41
Tabla 17: Desarrollo de Temas Concientización Usuarios ....................................... 41
1
1. Introducción
La seguridad informática es una base fundamental de nuestro entorno, al estar
cada vez más expuestos a servicios electrónicos y ante la constante evolución de
los sistemas informáticos mundiales. La tecnología como servicio sigue ganando
terreno en la actualidad, y ante la pandemia de COVID-19 que cómo resultado
impulsó el crecimiento de las herramientas tecnológicas que al reducir el contacto
humano y así mismo los contagios con este virus, también hizo nacer nuevas
amenazas y vulnerabilidades que tratan de ser explotadas por grupos y personas
que buscan sacar provecho de esto.
El crecimiento de estas amenazas también demanda más profesionales en
la rama de la seguridad informática que puedan asegurar la continuidad de los
negocios asegurando su bien más preciado, los datos, y a su vez la infraestructura
en la que están resguardados.
El Registro de la Propiedad Intelectual, dependencia del Ministerio de
Economía de Guatemala, que es el encargado de llevar el control de registro de
signos distintivos, patentes industriales y de invención, así como de derechos de
autor en obras literarias, musicales y software, busca mejorar sus procedimientos
del departamento de tecnología así como la infraestructura actual y la arquitectura
de su red y centro de datos, por lo que fuimos requeridos como equipo para hacer
una auditoría a éstos puntos, tomando en cuenta que los procesos son manuales,
aunque los registros son digitales.
En el documento se encuentra la situación actual de su departamento de
informática, hallazgos y recomendaciones para mejorar su nivel de seguridad a nivel
de centro de datos, procesos tecnológicos y aseguramiento de la red.
2
2. Documentación de la Empresa
Tabla 1: Datos Generales de la Organización
Nombre de la organización Registro de la Propiedad Intelectual
Domicilio de la organización 7 avenida 7-61 zona 4
Nombre del contacto Ing. Julio Mejía
Correo electrónico del contacto jmejia@rpi.gob.gt
Teléfono de la organización 23247070
Sitio web de la organización https://portal.rpi.gob.gt/
Fecha de revisión Del 20 de enero al 24 de marzo de 2023
Nota: Guía General del Usuario Registro de la Propiedad Intelectual Guatemala
Tabla 2: Equipo Consultor
Auditor Líder Oseas Isaí Guzmán Figueroa
Equipo Auditor Jorge Alexander Garcia Morales
Equipo Auditor Klely Beatriz Morales Paredes
Equipo Auditor Donal Obed Morales Reyes
Equipo Auditor Sergio Fernando Sicán Patzán
Equipo Auditor Luis Alexander España Romero
Nota: Elaboración Propia
2.1. Registro de la Propiedad Intelectual

La guía general del usuario de la Propiedad Intelectual dice lo siguiente:
Es una dependencia del Ministerio de Economía, encargada de promover la
protección, estímulo y fomento de la creatividad intelectual, así como la
inscripción y registro de los Derechos de Propiedad Intelectual. Acuerdo
Gubernativo N.º 182-2000 Reglamento Orgánico Interno del Ministerio de
Economía (Registro de la Propiedad Intelectual, 2020).
3
2.1.1. ¿Qué es la Propiedad Intelectual?

Es el conjunto de bienes inmateriales, producto del intelecto humano que son
objeto de protección, cuyo objetivo es garantizar las actividades económicas
de la industria y del comercio contra la competencia desleal, otorgando
además protección a los derechos de los autores sobre su creatividad y
originalidad aplicada, para obtener beneficios económicos (Registro de la
Propiedad Intelectual, 2020).
2.1.2. Misión
La guía general del usuario de la Propiedad Intelectual dice lo siguiente: “Somos
la institución registral que protege, estimula y fomenta las creaciones del intelecto;
garantizando la certeza jurídica en Propiedad Intelectual” (Registro de la Propiedad
Intelectual, 2020).
2.1.3. Visión
“Alcanzar el reconocimiento nacional e internacional como la institución confiable y
garante de la protección que estimula y fomenta la actividad intelectual” (Registro
de la Propiedad Intelectual, 2020).
2.1.4. Antecedentes Históricos
El término de Propiedad Industrial se deriva de su utilización en el Convenio
de París de fecha 10 de marzo de 1883, del cual Guatemala fue miembro
signatario. Pocos años más tarde, nuestro país tuvo que renunciar al
Convenio porque la cuota asignada resultaba demasiado onerosa y no se
presentaban muchas solicitudes de registro de marcas.
El 20 de mayo de 1886, por Decreto 148 de la Asamblea Legislativa se
creó la primera Oficina de Patentes, dependencia del Ministerio de Fomento,
con anterioridad denominada “Sección de Industrias”. (Registro de la
Propiedad Intelectual, 2020)
4

Bajo el Decreto 882 del 31 de diciembre de 1924, fue creada la Oficina de
Marcas y Patentes. Por Decreto No. 28, de fecha 4 de diciembre de 1944,
dicha oficina pasa a ser parte del Ministerio de Economía y Trabajo
deslizándo este último el 16 de octubre de 1956, por habérsele conferido
atribuciones específicas al Ministerio de Economía, del cual pasó a ser
dependencia.
Desde el 27 de mayo de 1975, por el Decreto 26-73, se aplica el Convenio
Centroamericano, donde se adopta el nombre de “Registro de la Propiedad
Intelectual”, tal y como lo establece el artículo 164 de dicho Convenio.
A partir del 22 de junio de 1998, por el Decreto 33-98, la institución pasa
a denominarse Registro de la Propiedad Intelectual, comprendiendo la
Propiedad Industrial (Marcas y demás signos distintivos; Patentes de
invención, dibujos o diseños industriales y modelos de utilidad; y por otra
parte el Derecho de Autor y Derechos Conexos. El Acuerdo Gubernativo 182-
2000, de fecha 12 de mayo 2000, contempla como dependencia del Ministerio
de Economía al Registro de la Propiedad Intelectual. (Registro de la
Propiedad Intelectual, 2020)
2.1.5. Departamento de Marcas
Tiene a su cargo el trámite de las solicitudes de adquisición, modificación y
mantenimiento de derechos sobre los distintos signos distintivos (marcas,
nombres comerciales, emblemas, expresiones o señales de publicidad,
denominaciones de origen e indicaciones geográficas), funciones que se
realizan en su distintas secciones: recepción, escaneo e ingreso de datos,
forma y novedad, inscripciones, traspasos (enajenaciones, licencias de uso,
cambios de nombre y cancelaciones), renovaciones, errores materiales,
certificaciones, constancias, anotaciones judiciales y otras anotaciones
especiales, elementos figurativos y archivo. (Registro de la Propiedad
Intelectual, 2020)
5
2.1.5.1 Signo Distintivo. La guía general del usuario de la Propiedad

Intelectual dice lo siguiente: “Es cualquier signo que constituya una marca,
nombre comercial, un emblema, una expresión o señal de publicidad, una
indicación geográfica o denominación de origen” (Registro de la Propiedad
Intelectual, 2020).
2.1.5.2 Marca. La guía general del usuario de la Propiedad Intelectual dice
lo siguiente: “Todo signo que sea apto para distinguir los productos o servicios
producidos, comercializados o prestados por una persona individual o jurídica,
de otros productos o servicios idénticos o similares que sean producidos,
comercializados o prestados por otra” (Registro de la Propiedad Intelectual,
2020).
2.1.5.3 Nombre Comercial. La guía general del usuario de la Propiedad
Intelectual dice lo siguiente: “Un signo denominativo o mixto, con el que se
identifica y distingue a una empresa, a un establecimiento mercantil o a una
entidad” (Registro de la Propiedad Intelectual, 2020).
2.1.5.4 Expresión o Señal de Publicidad. La guía general del usuario de
la Propiedad Intelectual dice lo siguiente:
Toda leyenda, anuncio, frase, combinación de palabras, diseño, grabado o
cualquier otro medio similar, siempre que sea original y característico, que se
emplee con el fin de atraer la atención de los consumidores o usuarios sobre
uno o varios productos, servicios, empresas o establecimientos mercantiles.
(Registro de la Propiedad Intelectual, 2020).
2.1.5.5 Indicación Geográfica. La guía general del usuario de la
Propiedad Intelectual dice lo siguiente:
Todo nombre, expresión, imagen o signo que designa o evoca una región,
una localidad o un lugar determinado, que identifica un producto originario de
esa región, localidad o lugar determinado, cuando su localidad o
características se deban fundamental o exclusivamente al medio geográfico,
incluyendo los factores naturales y humanos, y cuya producción,
6
transformación y elaboración se realice dentro de la zona geográfica

delimitada. (Registro de la Propiedad Intelectual, 2020)
2.1.5.6 Denominación de Origen. La guía general del usuario de la
Propiedad Intelectual dice lo siguiente:
Todo nombre, expresión, imagen o signo que designa o evoca una región,
una localidad o un lugar determinado, que identifica un producto originario de
esa región, localidad o lugar determinado, cuando su calidad o características
se deban fundamental o exclusivamente al medio geográfico, incluyendo los
factores naturales y humanos, y cuya producción, transformación y
elaboración se realice dentro de la zona geográfica delimitada. (Registro de
la Propiedad Intelectual, 2020)
2.1.6. Departamento de Patentes
Ingresar, analizar y clasificar la tecnología contenida en los documentos de
patentes, con el fin de implementar el banco de datos para la ejecución del
examen técnico de fondo; así como llevar a cabo la difusión de información
tecnológica contenida en dichos documentos. Realizar el trámite técnico-
administrativo de las diferentes solicitudes de patentes de invención,
patentes de modelos de utilidad, solicitudes de registro de dibujos y diseños
industriales, desde su ingreso hasta la obtención del título o certificado
respectivo. Brindar asesoría a cualquier persona interesada que lo solicite.
(Registro de la Propiedad Intelectual, 2020)
2.1.6.1 Patente. La guía general del usuario de la Propiedad Intelectual
dice lo siguiente: “Es el título otorgado por el Estado que ampara el derecho del
inventor o del titular con respecto a una invención, cuyos efectos y alcances
están determinados por el Decreto 57-2000 del Congreso de la República, Ley
de Propiedad Industrial” (Registro de la Propiedad Intelectual, 2020).
2.1.6.2 Invención. La guía general del usuario de la Propiedad Intelectual
dice lo siguiente: “Es toda creación humana que permite transformar la materia
7
o la energía que existe en la naturaleza para su aprovechamiento por el hombre

y satisfacer necesidades concretas” (Registro de la Propiedad Intelectual, 2020).
2.1.6.3 Modelo de Utilidad. La guía general del usuario de la Propiedad
Intelectual dice lo siguiente: “Es toda mejora o innovación en la forma,
configuración o disposición de elementos de algún objeto o de una parte del
mismo, que le proporcione algún efecto técnico en su fabricación,
funcionamiento o uso” (Registro de la Propiedad Intelectual, 2020).
2.1.6.3 Dibujos y Diseños Industriales. La guía general del usuario de
la Propiedad Intelectual dice lo siguiente: “Es el aspecto ornamental de un
artículo utilitario. El dibujo o diseño industrial puede consistir en rasgos de tres
dimensiones; forma, superficie y el volumen de un artículo o rasgos en dos
dimensiones como los diseños, líneas o el color” (Registro de la Propiedad
Intelectual, 2020).
8
3. Antecedentes y Justificación
En el tiempo actual el avance tecnológico que se presenta trae consigo desafíos
que emiten preocupaciones a los altos directivos organizacionales. Garantizar al
máximo los niveles de disponibilidad, integridad y confidencialidad de la información
manejada diariamente en las organizaciones es un tema de gran importancia que
se tiene en cuenta dentro de las labores empresariales hoy en día.
En el mundo de las redes y telecomunicaciones se van viendo diferentes
amenazas tales como los ataques de ciberdelincuentes en busca de datos e
información confidenciales y de gran interés comercial, modificación de información
altamente confidencial, que se realizan con algún interés comercial,
socioeconómico, competitivo o con la idea de que el atacante obtenga alguna
reputación.
Pero esta problemática presentada actualmente no afecta solo a las grandes
empresas u organizaciones con una gran infraestructura para su funcionamiento, ni
las grandes y pequeñas empresas, ni los gobiernos están exentas, según la firma
de ciberseguridad Digiware, en el año transcurrido entre agosto de 2016 y 2017, se
han presentado 198 millones de ciberataques, de acuerdo con la compañía en
promedio se registran 542 mil incidentes y el impacto de los daños informáticos ha
generado grandes pérdidas económicas.
Es de gran utilidad para una empresa la implementación de un SGSI (Sistema
de Gestión de Seguridad de la Información) el cual está fundamentado sobre la
norma ISO27001 y se refiere a un proceso sistemático para la protección ante
cualquier amenaza que podría llegar afectar la confidencialidad, integridad o
disponibilidad de la información.
Este sistema ofrece los mejores procedimientos y las mejores prácticas que
siendo aplicados correctamente en el ámbito de la empresa, proporcionando una
mejora continua y apropiada para evaluar los riegos que se enfrenta diariamente la
empresa, establecer controles para una mejor protección y defender así el activo
más valioso dentro de la empresa, la cual es la información.
9
Un sistema de gestión de seguridad de la información analiza y gestiona los

riesgos que se puedan presentar en una entidad basados en los procesos
misionales, y activos de información con los que cuenta una empresa, de forma que
se garantice un mayor control en cuanto a las vulnerabilidades que se puedan
presentar, evitando la materialización de amenazas que afecten directa o
indirectamente el funcionamiento diario de la empresa.
La implementación de un sistema de gestión de la seguridad de la información
dentro de las organizaciones basados en el ciclo de vida de la información resulta
de gran importancia aportando grandes beneficios tales como:
• Garantizar un alto nivel de confidencialidad, integridad y disponibilidad de la
información manejada en las labores diarias en la empresa.
• Existirá un mejoramiento continuo que genera una continua evaluación de la
situación actual y facilitará la detección de vulnerabilidades o incidentes de
seguridad a tiempo.
• El acceso a la información tendrá controles de acceso de acuerdo con niveles
de seguridad y confidencialidad que dificultan la manipulación por parte de
personas no autorizadas.
• Ayuda a mantenerse al margen de la legislación nacional en cuanto al manejo
de la información de proveedores, clientes, aliados estratégicos, entre otros.
• Los proveedores, aliados estratégicos y clientes de la empresa tendrán
mayor confianza debido a la calidad y confidencialidad que genera la
implementación de un SGSI.
La Presente Investigación surge del problema que ocurre actualmente en la
empresa de Registro de propiedad intelectual, no se logra mantener una
disponibilidad y confidencialidad en la información que es el activo primordial en la
empresa. Cada día se ve el crecimiento y demanda del registro de los avances
tecnológicos; se observa que por falta de integridad en la información no se
garantiza la exactitud de los datos transportados o almacenados, y no se asegura
que no se ha producido alguna alteración, pérdida o destrucción, ya sea de forma
intencionada o accidental.
10
Con gestiones sistemáticas de control se evitar posibles amenazas como

ciberataques que van en busca de datos e información; mejores decisiones y
grandes resultados tanto eficientes como ágiles, también tener información en
tiempo real. Que se logre introducir el tema a la empresa de registro para que se
desarrollen en el área y lo utilicen como una gran herramienta.
11
4. Objetivos y Políticas de Seguridad

4.1. Integridad
Mantener los datos e información seguros e íntegros sin caer en cambios e
infiltraciones internas o externas que puedan manipular la información sin
autorización previa, además del resguardo adecuado de los equipos informáticos,
así también, como los documentos importantes.
4.2. Política Sistema de Autenticación

4.2.1. Objetivo
Implementar un sistema de autenticación para el acceso a la red institucional,
por medio de contraseñas complejas y seguras, cumpliendo los estándares de una
contraseña de alto nivel, además que los cambios de dichas contraseñas sean
periódicos.
• La autenticación será realizada para cada uno de los empleados de la
empresa.
• Esta será utilizada para acceder a los sistemas de red dentro de la empresa.
• El tipo de autenticación que se aplicará será la autenticación por
conocimientos.
• El empleado deberá responder de manera confidencial 3 preguntas de
diferente índole.
4.3. Política Límites de Accesos
4.3.1. Objetivo
Establecer los límites de acceso al personal para que solo aquellos empleados
que necesiten ingresar a datos confidenciales puedan tener acceso.La
autenticación será realizada para cada uno de los empleados de la empresa.
• Los empleados pueden hacer uso de la información a cualquier momento del
día.
• Se tiene un acceso ilimitado a la información.
• Los empleados no cuentan con un tamaño máximo de archivos para poder
almacenar información.
12
• Para el ingreso al sistema el empleado tiene 3 intentos para colocar sus

credenciales correctas, luego el sistema bloqueara en intento de ingreso a
este por 30 minutos.
4.4. Política Software Actualizado de los Equipos
4.4.1. Objetivo
Los equipos conectados a la red deben de estar actualizados, además de
contener las configuraciones adecuadas para el resguardo de la información.Los
empleados pueden hacer uso de la información a cualquier momento del día.
• Instalar las nuevas las nuevas actualizaciones de los programas utilizados
en la empresa.
• Las actualizaciones de dichos programas únicamente se instalarán cuando
estas ya no estén en modo prueba.
• Mantener las licencias de los programas al día.
• No instalar ningún tipo de crack o parche para activar ciertos programas.
• No se debe instalar ningún tipo de programa de terceros que ayuden a
realizar determinadas tareas sin la autorización del departamento de IT.
4.5. Política Backup de Respaldo de Archivos
4.5.1. Objetivo
Establecer periodos regulares para realizar las copias de seguridad de los datos
importantes para que posteriormente sean almacenadas en lugares establecidos
como seguros, teniendo en cuenta que también se debe de establecer políticas de
seguridad para su posterior manipulación.
• Todas las actividades que sean realizadas día a día dentro de la empresa
deben ser almacenadas en los sitios de respaldo correspondientes.
• Los sitios que se utilizarán para el almacenamiento diario de las actividades
pueden ser los siguientes: OneDrive o Dropbox.
• Cada empleado deberá realizar un pequeño reporte con las actividades
realizadas y almacenadas cada día.
13
4.6. Política Uso de Dispositivos Móviles

4.6.1. Objetivo
Establecer las políticas de uso para dispositivos móviles (Smartphone, laptop…
etc.) personales dentro de la red de la empresa.
• Los dispositivos móviles deberán estar en silencio.
• No se permite tomar fotografías con los smartphones dentro de la empresa.
• No se debe conectar ningún tipo de dispositivo móvil inteligente al sistema
de red de la empresa.
• Si es necesario tomar una llamada importante, se debe hacer con la mayor
discreción posible.
4.7. Política de Auditorías
4.7.1. Objetivo
Realizar auditorías de seguridad informática de forma periódica que ayuden a
detectar posibles vulnerabilidades de seguridad para que puedan ser corregidas lo
antes posible evitando que afecte la seguridad de toda la red o la integridad de los
datos de la empresa.
• Las auditorias deben de ser de manera interna.
• Antes de realizar las auditorías es necesario recopilar todos los antecedentes
de auditorías hechas con anterioridad.
• Se debe realizar una auditoría web para conocer principalmente las
vulnerabilidades que puedan tener todos los servicios de la empresa alojados
en la nube.
• Es importante realizar auditoría de redes para que todo el sistema conectado
a la misma red de la empresa tenga un grado alto de seguridad.
• También se debe implementar las auditorías físicas con el fin de asegurar el
área perimetral de todo el equipo y bienes en general de la empresa.
• Se deben realizar pruebas de hacking para descubrir vulnerabilidades en los
sistemas utilizados dentro de la empresa.
14
4.8. Política Medidas de Protección

4.8.1. Objetivo
Implementar medidas de protección para reforzar la seguridad contra los
ataques informáticos como los realizados por fuerza bruta.
• Instalación de antivirus Bitdefender a cada uno de los ordenadores en la
empresa.
• Actualizar los antivirus con licencias válidas según el tiempo de activación de
las licencias adquiridas.
• Instalación de Firewall de software para todos los sistemas y Firewall de
hardware para todo el equipo de red.
• Se debe actualizar todo el Firewall en un tiempo considerable.
• Al momento de que existan varias personas para administrar el Firewall, es
necesario asignar privilegios limitados a cada una de estas, únicamente para
que puedan hacer uso de este con sus tareas predeterminadas.
• Se debe asignar también un SSO para acceder a ciertos sistemas de uso
privilegiado.
4.9. Política de Seguridad Física
4.9.1. Objetivo
Integrar servicios de seguridad física a la organización, para proteger los equipos
de cómputo, servidores, routers, switch, backup, etc.
• Se deben instalar cámaras de seguridad que tengan alcance a todo el
espacio físico de la empresa.
• Debe haber guardias de seguridad al menos en el horario laboral todos los
días.
• Los empleados de la empresa podrán ingresar a la misma por medio de
reconocimiento por huella.
• La empresa debe contar con un equipo de alarmas.
• También se debe instalar un sistema de climatización para todos los
servidores y equipo de cómputo que no necesite.
15
• Se debe instalar de igual manera un sistema de bloqueo biométrico para los

racks de los servidores.
• Integrar dentro de la empresa un sistema de químicos antiincendios.
• Es importante que la empresa también cuente con extintores, si es posible
uno en cada departamento.
• La empresa debe adquirir equipo antisísmico para proteger los racks o
gabinetes en el departamento de sistemas.
• Para el ingreso al departamento de sistemas se deberá emplear un control
de acceso, donde solo pueda ingresar personal autorizado.
4.10. Política Seguridad y Restricciones de la Conexión de Internet
4.10.1. Objetivo
Proteger la red interna de la red pública, evitando la propagación de virus,
malware, phishing y ataques DdoS. Evitar el robo de identidad y robo de información
personal y/o la organización.
• Está prohibido que los empleados naveguen por páginas para visualización
de películas.
• Los empleados no pueden realizar ningún tipo de descarga de archivos sin
autorización prevista.
• No se pueden guardar contraseñas en los diferentes navegadores web
utilizados en los equipos de la empresa.
• Verificar con detenimiento cada url a donde se va ingresar credenciales que
puedan comprometer al sistema de la empresa.
• No ingresar a links que contengan descargas de dudosa procedencia.
• Evitar ingresar a cualquier tipo de publicidad que aparezca en las diferentes
páginas web.
• Es importante no pausar la protección del antivirus en ningún momento.
16
4.11. Política Contraseñas Seguras

4.11.1. Objetivo
Es importante contar con una contraseña segura principalmente para evitar
cualquier ataque de fuerza bruta sobre las credenciales que se tengan, ya sea
corporativamente o bien de manera personal.
• Las contraseñas para las credenciales de todo el personal de la empresa
deben tener un mínimo de 12 caracteres.
• Estas deben incluir al menos una letra mayúscula, letras minúsculas,
números y símbolos.
• Se deben evitar usar secuencias de patrones o secuencias de números como
lo son: qwerty, 1234.
• La contraseña no debe estar relacionada a características especiales de las
personas como lo puede ser: fechas de cumpleaños, combinación de
nombres y apellidos, teléfonos, nombre de mascotas, equipos deportivos.
• El sistema de la empresa le asignará una contraseña por defecto a cada
usuario nuevo registrado, este debe cambiar su contraseña inmediatamente
y no utilizar la que genera el sistema.
• No utilizar la contraseña que se utiliza para ingresar al sistema de la empresa
en otras cuentas como lo puede ser en: correos electrónicos personales,
redes sociales, bancas virtuales, etc.
4.12. Política Uso de Controles Criptográficos
4.12.1. Objetivo
Se requiere tener un sistema que fortalezca la seguridad y transparencia de
información dentro de la empresa. Los controles criptográficos sin duda ayudan a
que la información digital, principalmente sensible, pueda ser administrada
confidencial e íntegramente.
• Se empleará claves de cifrado para acceso a servidores que manejen la
información sensible de la empresa.
17
• Las credenciales de usuario para cada empleado serán protegidas con

claves de cifrado.
4.13. Política Escritorio y Pantalla Limpia
4.13.1. Objetivo
Tiene como objetivo incentivar a todos las personas de los diferentes
departamentos de la empresa a resguardar todos los datos físicos en su área de
trabajo, así como los datos lógicos importantes en cada uno de sus equipos de
cómputo.
• Se debe mantener ordenada el área de trabajo de cada uno de los
empleados.
• No puede haber ningún tipo de información impresa en el área de trabajo de
las personas cuando estas no se encuentren en esta.
• No se pueden conectar ningún tipo de disco externo, memorias USB,
teléfonos celulares a los equipos de computación de la empresa, a menos
que se tenga la autorización previa.
• El área de impresoras no debe contener ningún tipo de documento sobre
esta.
• Cuando las personas necesiten levantarse de su asiento los ordenadores
deben de permanecer suspendidos, y no solo apagar el monitor.
• Los ordenadores deben apagarse por completo al finalizar cada jornada
laboral.
• Queda prohibido tener anotado usuarios o contraseñas en papel y
mantenerlos en el área de trabajo.
• No se debe tener almacenados archivos importantes en el escritorio del
ordenador, estos deben estar almacenados en carpetas en mis documentos.
18
4.14. Política Teletrabajo Seguro

4.14.1. Objetivo
Garantizar la seguridad del tráfico de información de la empresa a través de la
web, con el fin de que la empresa no pueda ser víctima de cualquier ataque de
ciberseguridad.
• Los empleados para realizar la conexión hacia la red de la empresa deben
utilizar una red privada VPN, para garantizar que sea una conexión segura.
• Es importante que la VPN siempre se haga a través de un segmento de red
distinto para llevar el control de las conexiones, por usuario o por host.
• Se debe permitir la conexión sólo al host requerido por medio de ip.
• Es importante que se realicen virtualizaciones, es decir crear escritorios
virtuales para no tener acceso físico a una estación y controlar mejor todas
las sesiones.
• También se debe de implementar un control de usuarios a través de Active
Directory o LDAP.
• Agregar a los aplicativos internos tiempo de conexión dependiendo el tráfico
de red para saber si es teletrabajo o no, y auditarlo con el tiempo de conexión
a VPN.
• Al momento de hacer videoconferencias los colaboradores deben tener
cuidado con sus cámaras para no mostrar algún tipo de información sensible
de la empresa.
• Así mismo al momento de compartir pantalla del ordenador, los empleados
no deben tener abiertos archivos o ventanas donde se muestre información
que pueda comprometer la seguridad de la empresa.
19
5. Procedimientos de Seguridad
5.1. Procedimiento Sistema de Autenticación
El departamento de informática deberá implementar los controles pertinentes
para autenticar y validar a cada empleado que ingresa a la red institucional, además
de mantener seguros los accesos periódicamente realizando los cambios de
contraseñas. El tipo de autenticación que se aplicará a cada miembro de la
institución es la autenticación por conocimientos, en la cual deberá responder a una
serie de preguntas que solo el empleado deberá conocer, estas preguntas deben
ser cambiadas en un tiempo máximo de 3 meses.
5.2. Procedimiento Límite de Accesos

Agrupar a los empleados según las categorías a las que pertenecen para
brindarles acceso a documentos confidenciales solamente a las personas
autorizadas para ese tipo de información. Para acceder a dicha información las
personas recibirán la autorización únicamente por su correo electrónico
institucional.
5.3. Procedimiento Software Actualizado de los Equipos

Actualizar el sistema operativo de equipos de cómputo, firewalls, routers,
switches, servidores, entre otros. Al mantener los equipos actualizados se busca
reforzar la seguridad de los datos de la red ante personas no autorizadas. Los
sistemas y programas utilizados deben ser actualizados máximo a cada 6 meses o
cuando se crea conveniente hacerlo.
5.4. Procedimiento Backup de Respaldo de Archivos
Realizar copias de seguridad de los datos y/o establecer métodos de
redundancia de información por medio de RAIDS, además del reglamento para
almacenar la información, se debe establecer a la terna encargada de la
manipulación de los métodos de almacenaje, también se debe documentar lo
realizado y presentar a la auditoría de la organización. Estos respaldos se deben
llevar a cabo al menos una vez por semana, mientras más veces se puedan realizar
será mejor.
20
5.5. Procedimiento para Uso de Dispositivos Móviles

Las redes de internet que se estén utilizando dentro de la institución deben de
estar restringidas que prohíban el acceso a sitios web no autorizados, así mismo la
red se mantendrá monitoreada por un sistema de alertas, este tipo de procedimiento
se realizará con el personal autorizado.
5.6. Procedimiento para Auditorías
De manera periódica (tiempo establecido por “El Registro de Propiedad
Intelectual”), se deben realizar auditorías internas a los sistemas informáticos,
buscando algunas deficiencias o vulnerabilidades en el hardware y software. Se
considera que la auditoría puede contribuir en el descubrimiento de alguna
alteración en la información o el robo de datos.
5.7. Procedimiento para Medidas de Protección
Se implementan firewalls, antivirus, SSO, controles de autenticación para el
ingreso físico a la red y el software que determine la organización para proteger la
red de ataques realizados por máquinas usadas para el hacking por fuerza bruta.
Además de la concientización a los empleados para que eviten dejar la puerta libre
a intrusos en la red.
5.8. Procedimiento Seguridad Física
Al realizar la integración de servicios de seguridad física para evitar el ingreso
de personal no autorizado a las instalaciones de la empresa, se debe trabajar en
conjunto con la seguridad lógica, almacenando los equipos de mayor riesgo en
lugares seguros, aplicando controles de accesos de doble autenticación o más,
vigilancia por circuitos cerrados de televisión y equipos de intrusión.
5.9. Procedimiento Seguridad y Restricciones de la Conexión a Internet
Agrupar a las personas autorizadas que tienen permitido la conexión a internet
desde la red institucional y establecer las restricciones de accesos a los sitios
sospechosos, permitiendo el uso adecuado de la red.
21
5.10. Procedimiento Contraseñas Seguras

El departamento de IT debe tomar en cuenta las normas para registrar
contraseñas nuevas en el sistema, debe desarrollar los módulos correspondientes
para cumplir con cada una de estas normas, es importante tomar en cuenta que las
contraseñas deben ser cambiadas en un lapso de 3 meses como máximo. Así
mismo se estará capacitando a todo el personal de la empresa para que utilice los
siguientes softwares para la generación de contraseñas seguras.
• LastPass: Se trata de una herramienta que ayuda a la generación de
contraseñas seguras, utilizando las normas que a los usuarios les convenga
añadir (LastPass, s.f.).
• Password Cheker: Es un software creado por Kaspersky que se utiliza para
la verificación de contraseñas, muestra el nivel de seguridad que tiene la
misma y también un tiempo aproximado que puede ser encontrada por un
ataque de fuerza bruta (Kaspersky, s.f.).
5.11. Procedimiento Uso de Controles Criptográficos
Para el uso de controles criptográficos, se empleará la técnica de cifrado
asimétrico en conjunto con algoritmo de cifrado RC4. Así mismo es necesario utilizar
un software en el cual se puedan gestionar las claves de cifrado, para este caso se
estará evaluando la posibilidad de integrar los servicios de WebSphere Application
Server.
5.12. Procedimiento Escritorio y Pantalla Limpia
Se deben realizar capacitaciones constantes donde se deje claro cada una de
las reglas descritas en la política, esta política se emplea de manera general a cada
uno de los departamentos de la empresa. La pérdida de información sensible no
solo se puede dar a través de manera externa, sino que también puede ser de
manera interna.
5.13. Procedimiento Teletrabajo
Principalmente la empresa debe proporcionar el equipo tecnológico necesario a
cada uno de los colaboradores que lo necesiten, así mismo el departamento de IT
debe ser responsable de la instalación y el mantenimiento de dicho equipo. Debe
22
haber capacitaciones con el personal de la empresa para garantizar la adaptación

y uso adecuado de las tecnologías para el trabajo remoto. Es importante
concientizar a los colaboradores de su responsabilidad, puesto que ninguna medida
es segura si el usuario no le da la atención requerida.
23
6. Diagramas de la Arquitectura de la Seguridad (Aplicaciones,

Redes, Sistemas)
6.1. Diagrama Arquitectura Actual
Ilustración 1: Diagrama Arquitectura de Red Actual RPI

24
6.2. Diagrama Arquitectura Propuesto
Ilustración 2: Diagrama Arquitectura de Red Propuesto RPI

25
Para la propuesta de esta nueva red se cambia los siguiente:

• Los puertos predeterminados a cada uno de los aplicativos.
• Se restringen accesos a los aplicativos y archivos basados en la política
de roles.
• Las políticas y roles se aplican desde Active Directory 2019.
26
7. Instrucciones, Checklist y Formularios

Tabla 3: Evaluación de Cumplimientos I
Aprobado
Instrucciones Emisión Versión
para la Por
evaluación de 20 de marzo
AER v1.0
las políticas. de 2023
A continuación, se presentan las instrucciones para evaluar el cumplimiento de las
políticas de seguridad de la empresa en relación con los sistemas de información,
sistemas de cómputo, empleados, dispositivos de red y seguridad cibernética.
No. Nombre Criterios Prioridad
a. Verificar que
los sistemas de
información estén
protegidos mediante
contraseñas seguras y
robustas, con una
longitud mínima de 8
caracteres y que esta
sea actualizada
periódicamente.
b. Verificar que
todos los sistemas de
Evaluación de información cuenten
I1 los sistemas de con el software Alta
información pertinente para evitar
archivos maliciosos y
que se realice un
análisis completo del
sistema al menos una
vez al mes.
c. Verificar que
se realice una copia de
seguridad de los
sistemas de
información al menos
una vez a la semana y
que se almacenen en
una ubicación segura.

27
Tabla 4: Evaluación de Cumplimientos II
a. Verificar que todos los sistemas de cómputo

estén protegidos con medidas de autenticación para
evitar el ingreso de personas no admitidas a este.
Evaluación de b. Verificar que los sistemas operativos se
los sistemas de mantengan actualizados con los últimos parches y Alta
cómputo actualizaciones de seguridad.
c. Verificar que se realice una copia de seguridad de
los sistemas de cómputo al menos una vez a la semana
y que se almacenen en una ubicación segura.
a. Verificar que todos los empleados reciban
capacitación en seguridad de la información al menos
una vez al año.
b. Verificar que todos los empleados estén
conscientes de la política de seguridad de la empresa y
Evaluación de se les solicite que la firmen al momento de su ingreso por
primera vez a la empresa. Moderada
los empleados
c. Verificar que todos los empleados cumplan con
las políticas de seguridad de la empresa, en particular en
cuanto al uso adecuado de contraseñas, la protección de
información confidencial y la notificación de incidentes de
seguridad.
a. Verificar que los dispositivos de red estén
Evaluación de protegidos y configurados de la manera correcta.
los dispositivos b. Verificar que los dispositivos de red se Moderada
de red mantengan actualizados con los últimos parches y
actualizaciones de seguridad.
a. Verificar que la empresa cuente con un plan de
respuesta a incidentes de seguridad de la información
que se encuentre actualizado y que se realice al menos
una simulación al año.
Evaluación de la b. Verificar que la empresa cuente con políticas y
seguridad procedimientos claros para la gestión de Alta
cibernética vulnerabilidades, incidentes de seguridad, y la
continuidad del negocio.
c. Verificar que la empresa cuente con un plan de
recuperación de desastres que se encuentre actualizado
y que se realice al menos una simulación al año.

28
Tabla 5: Formulario de Cumplimiento Sistemas de Información
Formulario de Evaluación de Cumplimiento de Políticas de

Seguridad
Fecha creación: 20 de marzo de Aprobado

Versión v1.0
2023 por: AER
Este formulario se utiliza para evaluar el cumplimiento de las políticas de seguridad de la
empresa. Es importante responder a todas las preguntas de manera precisa y honesta.
Instrucciones: Responder las preguntas de manera clara y concisa.
Nota: Si la respuesta a alguna de las preguntas es solo un “Si” o "No" por favor
proporcione detalles adicionales en la sección de comentarios.
E1: Sistemas de información
No. Criterios Respuesta Comentarios
¿Están los sistemas de
información de la empresa
1 protegidos por contraseñas
fuertes y únicas?
¿Se realizan copias de

2 seguridad regularmente?
¿Se utiliza algún software

3 antivirus en los sistemas de
información?
¿Se realiza actualización

4 periódica del software y firmware
en los sistemas de información?
¿Se tiene algún método de

5 autenticación para acceder a los
sistemas de información?
29
¿Están los sistemas de

6 información accesibles solo a
personal autorizado?
Tabla 6: Formulario de Cumplimiento Computadoras
E2: Computadoras
¿Se tiene algún método de autenticación para
1 acceder a las computadoras?
¿Están los sistemas de computadora de la empresa

2 protegidos por contraseñas fuertes y únicas?
¿Se realizan actualizaciones de software y firmware

3 periódicamente en los sistemas de cómputo?
¿Se realiza algún monitoreo de actividad en los

4 sistemas de cómputo?
¿Se dispone de una política clara para el uso de

dispositivos USB externos en los sistemas de
5
cómputo?
Tabla 7: Formulario de Cumplimiento Empleados
E3: Empleados
¿Se realizan pruebas de verificación de antecedentes
penales, policiacos y referencias antes de contratar a
1
un nuevo empleado para el área de TIC?
30
¿Se dispone de alguna política clara de seguridad de

2 la información para los empleados?
¿Se realizan reuniones de capacitación periódicas

para los empleados sobre la seguridad de la
3
información?
¿Se cuenta con alguna política clara de control de

acceso de los empleados a los sistemas de información
4
y sistemas de cómputo de la empresa?
¿Están los empleados conscientes de la política de

5 seguridad de la empresa y su importancia?
Tabla 8: Formulario de Cumplimiento Dispositivos de Red
E4: Dispositivos de red

¿Están los dispositivos de red de la empresa
1 protegidos por firewall?
¿Se posee VPNs para cada departamento de la

2 empresa?
¿Se realiza algún monitoreo de tráfico de red en la

3 empresa?
¿Se realiza actualización periódica de firmware y

4 software en los dispositivos de red de la empresa?
¿Se dispone de alguna política clara para el uso de

5 dispositivos inalámbricos en la empresa?
31
¿Se cuenta con alguna política clara para mitigar un

acceso no autorizado a los dispositivos de red de la
empresa?
Tabla 9: Formulario de Cumplimiento Seguridad Cibernética
E5: Seguridad Cibernética

¿Se realiza algún monitoreo de seguridad cibernética
1 en la empresa?
¿Se dispone de alguna política clara para el uso de

2 correo electrónico y navegación web en la empresa?
¿Se dispone de algún plan de contingencia en caso de

3 tener un incidente de seguridad cibernética?
¿Están los empleados conscientes de la importancia

4 de la seguridad cibernética?
¿Se realizan pruebas periódicas de penetración en los

sistemas de información y sistemas de cómputo de la
5
empresa?
Tabla 10: Checklist Cumplimiento Sistemas de Información

32
Checklist de Evaluación de Cumplimiento de Políticas de

Seguridad – Registro de la Propiedad Intelectual
Creado Versión
Fecha creación: 20 de marzo de 2023
por: AER v1.0
Instrucciones: Marcar con una “X” según corresponda la respuesta a cada pregunta.
Checklist 1: Sistemas de Información
Criterio Si se No se
No.
cumple cumple
Todos los sistemas de información
estén protegidos con contraseñas
1
seguras.
Se realizan copias de seguridad de

manera regular y que estén
2
almacenadas de forma segura.
Todos los sistemas de información

estén actualizados con las ultimas
3
parches de seguridad.
Se utilice un software antivirus en los

4 sistemas de información.
Los sistemas de información estén
5 protegidos por un firewall y que estén

configurados correctamente.
Se ha implementado en las políticas
6 seguridad el acceso a los sistemas de

información.
Tabla 11: Checklist Cumplimiento Sistemas de Cómputo
Checklist 2: Sistemas de Cómputo

Si se No se
No. Criterio
cumple cumple
33
Se realizan copias de seguridad de manera regular y

1 estas están almacenadas de forma segura.
2 Se utilice software antivirus
Todos los sistemas de cómputo estén protegidos con

3 contraseñas seguras y estas se cambian con regularidad.
Verificar que cada área con sus sistemas de cómputo

4 esté, segmentadas por subredes.
Se ha implementado una política de uso de dispositivos
5 de almacenamiento externos.
Tabla 12: Checklist Cumplimiento Empleados
Checklist 3: Empleados
Si se No se
No. Criterio
cumple cumple
Se verifico que todos los empleados hayan recibido
1 capacitación en seguridad de la información.
Se verifico que todos los empleados hayan recibido

2 capacitación sobre seguridad de la información.
Se ha implementado una política de contraseñas seguras

3 y se verifico que se esté cumpliendo.
Se ha implementado una política de acceso a los

4 sistemas de información y se verifico que esté
cumpliendo.
Se ha implementado una política de uso de dispositivos

5 personales.
Se ha implementado una política de privacidad y

6
protección de datos personales.

34
Tabla 13: Checklist Cumplimiento Dispositivos de Red
Checklist 4: Dispositivos de Red

Si se No se
No. Criterio
cumple cumple
Los dispositivos de red están protegidos con
1 contraseñas seguras y que se cambien regularmente.

2 están almacenadas de forma segura.
Todos los dispositivos de red estén actualizados con los

3 últimos parches de seguridad.
Los dispositivos de red están protegidos por un firewall

4 y que estén configurados correctamente.

5 dispositivos de red y que se esté cumpliendo.
Tabla 14: Checklist Cumplimiento Dispositivos de Red
Checklist 4: Dispositivos de Red

Si se No se
No. Criterio
cumple cumple
Los dispositivos de red están protegidos con
1 contraseñas seguras y que se cambien regularmente.

2 están almacenadas de forma segura.
Todos los dispositivos de red estén actualizados con los

3 últimos parches de seguridad.
Los dispositivos de red están protegidos por un firewall

4 y que estén configurados correctamente.

5 dispositivos de red y que se esté cumpliendo.
35
Tabla 15: Checklist Cumplimiento Ciberseguridad
Checklist 4: Ciberseguridad
Si se No se
No. Criterio
cumple cumple
Se ha implementado una política de detección de
1 intrusos.
Se ha implementado una política de monitoreo de

2 seguridad.
Se ha implementado una política de gestión de

3 incidentes de seguridad.

36
8. Plan Estratégico
8.1. Objetivo General
Poner en marcha el sistema de gestión de seguridad de la información en la
institución Registro de la Propiedad Intelectual, principalmente el plan estará
ejecutado por el departamento de IT y con jefes de los demás departamentos. El
propósito principal es resguardar toda la información de la organización, así mismo
aplicar al proyecto las políticas y procedimientos de seguridad tal y como ha sido
alineadas. Es importante que todo el proyecto sea ejecutado bajo la norma ISO
27001.
8.2. Objetivos Específicos
• Determinar los puntos débiles y vulnerables de la institución.
• Mitigar cada uno de los riesgos identificados.
• Generar los objetivos y políticas de seguridad.
• Aumentar la seguridad de la información a través de políticas definidas
conforme a las necesidades de la organización.
• Asegurar que las políticas y objetivos de seguridad sean cumplidos en su
totalidad.
• Dar seguimiento a cada una de las normas a mediano y largo plazo.
• Resguardar de manera eficaz el trabajo remoto de todos los departamentos
de la institución.
• Adquirir el software correspondiente a todas las soluciones que vayan
surgiendo a través de los riesgos identificados.
• Tener un documento formal en el cual sea especificado los puntos débiles de
la seguridad de la información de la institución y así mismo tener el plan para
contrarrestar cualquier incidente que pueda darse en esta.
8.3. Alcance
El siguiente proyecto trata de un sistema de gestión de seguridad de la
información en Registro de la Propiedad Intelectual, dicho proyecto cuenta con el
apoyo incondicional de la institución para elaboración y ejecución de este. A la vez
37
el proyecto se ejecutará principalmente en el departamento de IT, y únicamente

estará disponible para esta institución. El proyecto tiene como fin implementar
políticas que ayuden a la seguridad de la información más no se contempla algún
tipo de presupuesto para adquirir equipo tecnológico o software que se considere
necesario.
8.4. Metodología de Implementación
Habiendo definido el proyecto de SGSI a realizar en la institución ya antes
mencionada, también es importante tomar en cuenta la metodología empleada para
obtener la información necesaria que conlleva el proyecto. Esta metodología está
sugerida por la ISO/IEC 27001:2005 y esta se describe a continuación:
8.4.1. Ciclo de Deming (Plan Do Check Act)
Según Prisma (2020) se define como:
El sistema más utilizado para implementar plan de gestión y mejora continua.
Recibe el nombre de Edwards Deming quien fue su principal impulsor … El
ciclo Deming está compuesto por cuatro etapas, de manera, que al finalizar
la última de ellas comienza la primera de nuevo. Esto permite que la actividad
sea evaluada una y otra vez periódicamente incorporando nuevas mejoras.
Ilustración 3: Diagrama Ciclo de Deming
Nota: Fuente Prisma

38
Con respecto al ciclo descrito anteriormente, se completaron las fases

correspondientes a este, de la siguiente manera:
8.4.2. Planeación
• Recopilar la documentación necesaria para el planteamiento del sistema
de gestión de la seguridad, como lo puede ser: organigramas generales,
plan estratégico de IT, manuales de operación, gestión de continuidad de
IT, etc.
• Información acerca de los integrantes de los departamentos
seleccionados y sus roles.
• Revisar las gestiones actuales al centro de datos y todos sus procesos.
• Para ello se necesita tener acceso al departamento de IT.
• Establecer el alcance para el proyecto.
• Se debe revisar también las redes y transmisiones de datos en los
procesos informáticos.
• Realización de políticas de seguridad de la información.
• Es necesario tomar en cuenta realizar estudios para la continuidad del
negocio, entre ello se recomienda realizar un Análisis de Impacto en el
Negocio.
8.4.3. Implementación
• Mitigar los riesgos identificados de acuerdo con las evaluaciones de
seguridad.
• Implementar las políticas de seguridad en los departamentos
correspondientes.
• Establecer los marcos de trabajo y bajo que normas se van a poner en
marcha las normas de las políticas.
8.4.4. Revisión
• Utilizar checklist y evaluaciones de desempeño para conocer la manera
en que se está aplicando el SGSI.
39
• Crear documento para tener un control de las fases finalizadas y

aprobados del proyecto.
• Al momento de finalizar un proceso dentro de las fases del proyecto, debe
haber validaciones de las mismas y estas serán por parte del
departamento de IT.
• Realizar constante retroalimentación para reforzar los puntos ambiguos
en las diferentes etapas del proyecto.
8.4.5. Mejora Continua
• Aumentar la comunicación y estar en contexto con la culminación del
proyecto.
• Capacitación constante en nuevas herramientas tecnologías para
resguardar la información de la institución.
• Realizar mejoras o implementar nuevas políticas según las necesidades.
• Realizar programas recomendablemente anuales para los temas de
Seguridad y Ciberseguridad, en el cual se establezcan nuevas medidas
de protección y se pueda alcanzar más experiencia en esta área
40
9. Plan de Concientización a los Usuarios

9.1. Introducción al Plan
El aumento en la dependencia de los sistemas informáticos y la relación que
existe entre estos, aumentan el riesgo de ataques de ciberseguridad y la
vulnerabilidad de los datos. Por lo tanto, es esencial que todos los empleados de la
organización comprendan la importancia de la seguridad informática y estén
capacitados para proteger la información empresarial.
9.2. Objetivo
El objetivo principal de este plan es concientizar a los usuarios de la empresa
sobre la importancia de la seguridad informática y proporcionarles conocimientos y
herramientas para proteger la información empresarial.
9.3. Alcance
El plan de Concientización incluirá a todos los usuarios de la institución,
independientemente del área, así como a toda aquella persona que tenga acceso a
los documentos informáticos de la empresa. Este plan tiene como fin concientizar a
los usuarios sobre las amenazar cibernéticas a las que pueden enfrentarse.
Se cubrirán los temas como la importancia de las contraseñas seguras, el
manejo adecuado de la información confidencial, la identificación y prevención de
correos maliciosos, la detección y respuesta a incidentes de seguridad y la
importancia de las actualizaciones y parches de seguridad.
9.4. Normativa a Utilizarse
9.4.1. Normativa ISO 270001
Esta normativa se puede aplicar a cualquier tipo de organización, ya sea pública
o privada. Esta define un marco de trabajo para la gestión de la seguridad de la
información. Este marco se basa en el enfoque de mejora continua, lo que significa
que se debe mantener y mejorar constantemente el SGSI de una organización.
41
9.5. Usuarios Objetivos

Tabla 16: Usuarios Objetivos
Usuarios Temas por tratar
Configuraciones de dispositivos, contraseña, entre otros.

Área Técnica
Encargados de Normas, políticas de seguridad, buenas prácticas, concientización a

TIC usuarios.
Identificación de amenazas, uso de herramientas, contraseñas
Usuarios Finales
seguras.

9.6. Desarrollo Temas
Al finalizar este plan, se espera que los empleados comprendan las siguientes áreas.
Tabla 17: Desarrollo de Temas Concientización Usuarios
Tiempo Ciclo
Actividad Desarrollo Usuario
estimado
Como tema principal para la
capacitación se debe de
enseñar a los usuarios cómo
identificar las diferentes
amenazas y riesgos de
Identificación de
seguridad a los que se
amenazas y
enfrentan en el entorno de Todos 45 min. Mensual
riesgos de
trabajo. Se deben concientizar
seguridad:
sobre temas como
Identificar correos electrónicos
maliciosos, sitios web
fraudulentos y ataques de
ingeniería social.
42
Generar conciencia sobre la

seguridad, dotar de
Ambiente laboral
herramientas a los usuarios Todos 40 min. Anual
seguro
para proteger su información y
dispositivos.
Dar a conocer y retroalimentar
Anual o
Políticas de sobre las políticas de
Todos 30 min. cuando se
seguridad seguridad que la empresa
actualice
posee.
Capacitar al personal que
Herramientas tendrá a su cargo el configurar
Área
Técnicas y los dispositivos, que y como Cada dos
Técnica 1 hr.
configuraciones implementar las meses
TIC
de dispositivos configuraciones de los
dispositivos.
Se debe enseñar a los
usuarios cómo protegerse
contra las amenazas
Resiliencia de los cibernéticas; es importante
Todos 30 min. Mensual
sistemas enseñar a los usuarios cómo
reconocer y reportar
violaciones de privacidad de
datos
Concientizar sobre el uso de
contraseñas seguras para
proteger su información
Semanal o
Uso de personal y la de la
cuando
contraseñas organización. Se deben Todos 30 min
amerite
seguras enseñar las mejores prácticas
cambio.
para crear contraseñas
fuertes, como el uso de
caracteres especiales,
43
mayúsculas y minúsculas, así

como la importancia de no
reutilizar contraseñas para
múltiples cuentas.
El manejo de la información
personal, la recopilación y uso Área
Privacidad de los
de datos por parte de terceros Técnica 45 min Recurrente
datos
y la protección de datos de TIC
clientes y proveedores.
Concientizar a los usuarios
técnicos sobre la necesidad
de instalar todas las
actualizaciones de seguridad, Área
Actualizaciones
ya que estas muchas veces Técnica 45 min Mensual
de software
contienen correcciones TIC
críticas que solucionan
vulnerabilidades de seguridad
importantes.
Concientizar sobre cómo
manejar la información
confidencial, no
compartiéndola con personas
extrañas o no autorizadas,
Seguridad de los asegurar de que la
datos información este almacenada Todos 45 min Mensual
institucionales de forma segura. También es
importante enseñar a los
usuarios cómo manejar y
proteger la información en
dispositivos móviles y en
línea.

44
10. Conclusiones
Se identifican vulnerabilidades y amenazas en los procesos e infraestructura
lógica y física del Registro de la Propiedad Intelectual; y se sugieren correcciones e
implementación de políticas de seguridad que pueden mitigar de forma razonable
los riesgos y asegurar la integridad, confidencialidad y disponibilidad de la
información en los puntos siguientes:
• Gestión para el Centro de Datos y sus procesos.
• Servidores y sus servicios.
• Redes y transmisión de datos.
• Procesos Informáticos
• Base de Datos
El sistema de gestión de seguridad de la información implementado en dicha
organización ha permitido que se identifiquen vulnerabilidades dentro de los
sistemas y así mismo ambigüedades en la gestión de la información en los
diferentes departamentos.
Los riesgos dentro de las organizaciones, aunque sean de entidades
gubernamentales siempre van a existir, es por ello la importancia de contar con un
plan de respaldo para saber cómo dar respuesta a las incidencias que se puedan ir
generando.
45
11. Recomendaciones
Auditorías periódicas de 1 año al departamento de Informática para mantener
actualizadas las políticas y seguridad de los procesos e infraestructura, para reducir
los riesgos que con el tiempo siguen evolucionando.
Hacer una auditoría integral, que pueda incluir a otros departamentos
funcionales de la institución cómo Recursos humanos y Departamento financiero,
que infieren directamente a los procesos y procedimientos tecnológicos de la
institución, y de esta manera poder generar políticas de seguridad que integren
procesos completos del Registro de la Propiedad Intelectual.
Es importante dar siempre la retroalimentación adecuada al plan realizado en el
proyecto, así mismo se debe actualizar el plan al menos una vez por año y tratar de
implementar conocimientos y herramientas tecnológicas actuales.
Dentro del proyecto realizado se estiman políticas para integrar nuevos sistemas
de seguridad tanto físicas como lógicas, es por ello que se debe aclarar que este
proyecto no cuenta con un presupuesto ni tampoco alguna inclinación para integrar
equipo tecnológico de alguna marca en específico.
46
12. Bibliografía
Alcaldía Mayor de Bogotá. (2021). Fondo de prestaciones Económicas. Obtenido

de https://foncep.gov.co/sites/default/files/2022-
01/7.%20Plan%20Estrategico%20de%20Seguridad%20y%20Privacidad%2
0de%20la%20Informacio%CC%81n.pdf
Cisco. (s.f.). Ensayo Web. Obtenido de Cómo configurar el firewall en 6 pasos:
https://www.cisco.com/c/es_mx/solutions/small-business/resource-
center/security/how-to-setup-a-firewall.html
Corpocaldas. (2022). Obtenido de Plan estrátegico de seguridd de la información
PESI:
https://corpocaldas2022.blob.core.windows.net/webadmin/file_PlandeSe_Ri
mU6KcI.pdf
Cruz Díaz, M. A., & Fukusaki Infantas, S. (2017). Diseño e implementación de un
sistema de gestión de seguridad de la información para proteger los activos
de información de la clínica Medcam Perú. Obtenido de Tesis para
licenciatura de ingeniero en computación:
https://repositorio.usmp.edu.pe/bitstream/handle/20.500.12727/3369/cruz_f
ukusaki.pdf?sequence=1&isAllowed=y
Edix. (2022). Artículo web. Obtenido de Auditoría de seguridad informática:
definición, tipos y fases: https://www.edix.com/es/instituto/auditoria-
seguridad-informatica
Hoffman-latam. (2019). Artículo Web. Obtenido de Soluciones Antisísmicas: Cómo
evitar los factores de reisgo en tu centro de datos: https://hoffman-
latam.com/blog/soluciones-antisismicas-como-evitar-los-factores-de-riesgo-
en-tu-centro-de-datos/
InfoCitel. (2006). Artículo web. Obtenido de Autenticación de Usuarios:
https://www.oas.org/en/citel/infocitel/2006/junio/seguridad_e.asp
Instituto Nacional de Medicina Genómica México. (2021). Obtenido de Politica de
escritorio y pantalla limpia de información:
47
https://www.inmegen.gob.mx/media/filer_public/b6/c0/b6c016a5-4e47-46b3-
b4a5-
d3cf890cda08/politica_de_escritorio_y_pantalla_limpia_de_informacion.pdf
Kaspersky Latam. (2019). Artículo Web. Obtenido de ¿Qué es el cifrado de datos?
Definición y explicación: https://latam.kaspersky.com/resource-
center/definitions/encryption
Microblau. (s.f.). Artículo Web. Obtenido de ¿Cada cúanto debo actualizar la web
de mi empresa?: https://www.microblau.net/blog/cada-cuanto-debo-
actualizar-la-web-de-mi-empresa/
normaiso españa. (s.f.). Blog . Obtenido de Criptografía:
https://normaiso27001.es/a10-criptografia
Prisma. (2020). Artículo Web. Obtenido de El ciclo Deming: en qué consiste y cómo
en la gestión y mejora de procesos: https://www.eurofins-
environment.es/es/el-ciclo-deming-que-consiste-y-como-ayuda-gestion-
procesos/
Registro de la Propiedad Intelectual. (2020). Obtenido de
https://portal.rpi.gob.gt/wp-content/uploads/2020/12/guiadelusuario.pdf
48
13. Anexos
13.1. Plantilla de Políticas
NOMBRE DE LA DIRECTIVA:
FECHA DE CREACIÓN: 17/03/2023 Registro Intelectual de Guatemala
VERSIÓN NO. CREADO POR

01 Donal Morales
I.POLITICA PARA LA RED
Sistema de Autenticación
II. OBJETIVO DE LA POLÍTICA
Implementar un sistema de autenticación para el acceso a la red institucional, por medio

de contraseñas complejas y seguras, cumpliendo los estándares de una contraseña de
alto nivel, además que los cambios de dichas contraseñas sean periódicos.
III. PROCEDIMIENTO DE LA POLÍTICA
El departamento de informática deberá implementar los controles pertinentes

para autenticar y validar a cada empleado que ingresa a la red institucional,
además de mantener seguros los accesos periódicamente realizando los cambios
de contraseñas.
IV. REGLAS DE POLÍTICA
A. ACCESO A Desde todas las fuentes y localizaciones tanto si se trata

DATOS de locales, en la nube o de una combinación de ambos.
49
Se realizará la identificación de los activos de información

B. USO DE DATOS de la empresa, las vulnerabilidades, la jerarquización de
acceso y de las amenazas.
Preparación de datos esencial para que las analíticas y
C. INTEGRACIÓN DE
DATOS otras aplicaciones sean capaces de utilizar los datos con
éxito.
D. INTEGRIDAD DE Los datos están protegidos contra cambios o
LOS DATOS manipulaciones no autorizados.
V. ROLES / RESPONSABILIDADES
ROL RESPONSABILIDAD
Jefe de IT Autorizar los procesos y políticas de acceso a datos.

Encargado de Generar y asignar los roles y permisos de acceso a
seguridad datos.
Responsable de sus accesos y las acciones que se
Usuario final
realicen con ellos.
VI. PROCESO DE REVISIÓN
Se realizará revisión periódicamente, a efecto de garantizar el cumplimiento de

la política, normas y procedimiento de seguridad.
VII. APROBACIÓN
Se registra la firma del Superior responsable de la autorización de la ejecución

del procedimiento.
Se escribirá la fecha de autorización del procedimiento (Dia/Mes/Año).
50

01 Donal Morales
I. POLITICA PARA LA RED
Límites de Accesos
Establecer los límites de acceso al personal para que solo aquellos empleados
que necesiten ingresar a datos confidenciales puedan tener acceso.
Agrupar a los empleados según las categorías a las que pertenecen para
brindarles acceso a documentos confidenciales solamente a las personas
autorizadas para ese tipo de información.
Se empleará seguridad para proteger los datos contra

A. ACCESO A
DATOS riesgos, tales como perdida, acceso no autorizado,
destrucción, uso, modificación o divulgación de los mismos.
Limitación de uso y divulgación de los datos debieran ser
B. USO DE DATOS reforzadas medidas de seguridad como los niveles de
autoridad para acceder a los datos.
Se realizara limpieza de datos, estandarizar a toda la
C. INTEGRACIÓN
DE DATOS empresa para la entrada y el mantenimiento de los datos,
se creará una copia de seguridad de los datos, elegirá el
51
software adecuado para automatizar las tares, y seguirá con

el proceso de la limpieza de datos.
Se garantizará la exactitud de los datos transportados o

D. INTEGRIDAD DE almacenados, asegurando que no se ha producido su
LOS DATOS alteración, perdida o destrucción, ya sea de forma
accidental o intencionada.
ROL RESPONSABILIDAD
Jefe de IT Autorizar los procesos y políticas de acceso a datos.

Encargado de
Generar y asignar los roles y permisos de acceso a datos.
seguridad
Responsable de sus accesos y las acciones que se
Usuario final
realicen con ellos.

VII. APROBACIÓN

del procedimiento.
52

01 Donal Morales
Software actualizado de los equipos.
Los equipos conectados a la red deben de estar actualizados, además de

contener las configuraciones adecuadas para el resguardo de la información.
Actualizar el sistema operativo de equipos de cómputo, firewalls, routers,

switches, servidores, entre otros. Al mantener los equipos actualizados se busca
reforzar la seguridad de los datos de la red ante personas no autorizadas.
A. ACCESO A
DATOS
B. USO DE DATOS
Se conectará software para establecer un flojo de datos

C. INTEGRACIÓN continuo y eficaz de un extremo a otro en toda la
DE DATOS organización, garantizando que se tenga acceso a los datos
que necesitan, siempre que lo necesiten.
53
Los datos deben ser definidos en términos de

D. INTEGRIDAD DE almacenamiento, se determinará el enfoque que será mejor
LOS DATOS para la integración de datos, incluyendo la transformación
y traducción de datos vivos.
ROL RESPONSABILIDAD
Jefe de Actualizar el sistema operativo de equipos de cómputo, firewalls,

IT routers, switches, servidores, entre otros.

VII. APROBACIÓN

del procedimiento.
54

01 Donal Morales
Backup de respaldo de archivos
Establecer periodos regulares para realizar las copias de seguridad de los datos
importantes para que posteriormente sean almacenadas en lugares establecidos
como seguros, teniendo en cuenta que también se debe de establecer políticas
de seguridad para su posterior manipulación.
Realizar copias de seguridad de los datos y/o establecer métodos de

redundancia de información por medio de RAIDS, además del reglamento para
almacenar la información, se debe establecer a la terna encargada de la
manipulación de los métodos de almacenaje, también se debe documentar lo
realizado y presentar a la auditoría interna de la organización.
A. ACCESO A
DATOS
B. USO DE DATOS
Se asociará las bases de datos y sus diferentes motores,

C. INTEGRACIÓN DE permitiendo tomar la copia de seguridad de los datos de
DATOS forma autónoma y directa sobre el motor y las instancias
que lo conforman.
55
Se mantendrá con exactitud la información tal cual fue

D. INTEGRIDAD DE
LOS DATOS generada, sin ser manipulada o alterada por personas o
procesos no autorizados.
ROL RESPONSABILIDAD
Usuario interno u operador Realizar la solicitud de un Backup

VII. APROBACIÓN

del procedimiento.
56

01 Donal Morales
Uso de dispositivos móviles
Establecer las políticas de uso para dispositivos móviles (Smartphone, laptop…

etc.) personales dentro de la red de la empresa.
Al hacer uso de una red pública interna, se debe de considerar políticas que
establezcan restricciones de sitios web no autorizados. Manteniendo la red
monitoreada por un sistema de alertas. Se considera hacer uso de este tipo de
servicio al personal autorizado.
A. ACCESO A DATOS
B. USO DE DATOS
C. INTEGRACIÓN DE DATOS
D. INTEGRIDAD DE LOS DATOS

57
ROL RESPONSABILIDAD
Realización de listado de dispositivos móviles obteniendo

Departamento toda la información de los empleados como nombre,
local de TI ubicación, numero de contacto, nivel y dirección de correo
electrónico.

VII. APROBACIÓN

del procedimiento.
58

01 Donal Morales
Auditorias
Realizar auditorías de seguridad informática de forma periódica que ayuden a

detectar posibles vulnerabilidades de seguridad para que puedan ser corregidas
lo antes posible evitando que afecte la seguridad de toda la red o la integridad
de los datos de la empresa.
De manera periódica (tiempo establecido por “El Registro de Propiedad

Intelectual”), se deben realizar auditorías internas a los sistemas informáticos,
buscando algunas deficiencias o vulnerabilidades en el hardware y software. Se
considera que la auditoria puede contribuir en el descubrimiento de alguna
alteración en la información o el robo de datos.
Se realizará auditoria ya sea por una incidencia que

A. ACCESO A
DATOS vulnero la información, por cambio de personal a cargo
de la gestión.
B. USO DE DATOS
Se evaluará la estructuración físicas y lógicas de las
bases de datos.
59
C. INTEGRACIÓN DE Se evaluará si se están cumpliendo o no las normativas

DATOS legales.
D. INTEGRIDAD DE Se realizará integridad de los datos y protección de

LOS DATOS accesos.
ROL RESPONSABILIDAD
Auditores de Auditaran los accesos a los datos para la verificación

sistemas comprobar la evaluación de los riesgos potenciales.

VII. APROBACIÓN

del procedimiento.
60

01 Donal Morales
I. POLÍTICAS PARA LA RED
Medidas de protección
Implementar medidas de protección para reforzar la seguridad contra los ataques

informáticos como los realizados por fuerza bruta.
Se implementan firewalls, antivirus, SSO, controles de autenticación para el

ingreso físico a la red y el software que determine la organización para proteger
la red de ataques realizados por máquinas usadas para el hacking por fuerza
bruta. Además de la concientización a los empleados para que eviten dejar la
puerta libre a intrusos en la red.
Realización de protocolos de seguridad para evitar que

A. ACCESO A
DATOS personas no autorizadas puedan acceder a la
información, manipularla o destruirla.
Los protocolos de red garantizaran la seguridad y la
B. USO DE DATOS integridad de los datos cuando estos viajen de un punto a
otro de la red.
C. INTEGRACIÓN DE Protocolo de Transferencia de archivo de un equipo a otro

DATOS a través de la red.
D. INTEGRIDAD DE Protección frente a corrupción por fallos de soporte o

LOS DATOS borrado.
61
ROL RESPONSABILIDAD
Jefe de Se asegurará de aumenta la seguridad de la empresa con la

IT realización de protocolos.

VII. APROBACIÓN

del procedimiento.
62

01 Donal Morales
I. POLÍTICAS PARA LA RED
Política de seguridad física
OBJETIVO DE LA POLÍTICA
Integrar servicios de seguridad física a la organización, para proteger los equipos

de cómputo, servidores, routers, switch, backups… etc.
Al realizar la integración de servicios de seguridad física para evitar el ingreso de

personal no autorizado a las instalaciones de la empresa, se debe trabajar en
conjunto con la seguridad lógica, almacenando los equipos de mayor riesgo en
lugares seguros, aplicando controles de accesos de doble autenticación o más,
vigilancia por circuitos cerrados de televisión y equipos de intrusión.
REGLAS DE POLÍTICA
Se realizará revisión periódica de identificadores de

A. ACCESO A acceso; una formal realizada con auditoria, una vez al año,
DATOS y las diferentes divisiones internas se realizaran cada 3
meses.
La información sensitiva o confidencial solo debe ser
B. USO DE DATOS enviada por medio de encriptación, ambos el dueño y el
receptor deben autorizar la transmisión de antemano.
C. INTEGRACIÓN DE
DATOS
D. INTEGRIDAD DE
LOS DATOS
63
ROL RESPONSABILIDAD
Las directivas de Garantizar la continuidad del negocio en caso de un evento

empresa que afecte la operación normal de la empresa.

VII. APROBACIÓN

del procedimiento.
64

01 Donal Morales
VIII. POLÍTICAS PARA LA RED
Seguridad y restricciones de la conexión de internet.
IX. OBJETIVO DE LA POLÍTICA
Proteger la red interna de la red pública, evitando la propagación de virus,

malware, phishing y ataques DdoS. Evitar el robo de identidad y robo de
información personal y/o la organización.
X. PROCEDIMIENTO DE LA POLÍTICA
Agrupar a las personas autorizadas que tienen permitido la conexión a internet

desde la red institucional y establecer las restricciones de accesos a los sitios
sospechosos, permitiendo el uso adecuado de la red.
XI. REGLAS DE POLÍTICA
E. ACCESO A DATOS
Solo los usuarios autorizados podrán acceder a la
información importante de la empresa.
F. USO DE DATOS Realizar actividades de seguridad de auditoría.
G. INTEGRACIÓN DE Proteger los datos para que no puedan husmear ni

DATOS interpretar, lo que se suele hacer es cifrar la información.
Medidas de seguridad adicionales para garantizar la

H. INTEGRIDAD DE
LOS DATOS integridad de los datos cuando estos entran en su sistema
procedentes de fuentes que no sean de confianza.
65
XII. ROLES / RESPONSABILIDADES
ROL RESPONSABILIDAD
Supervisión de Seguridad y restricciones de la conexión

Jefe de IT
de internet.
Encargado de
Asignar restricciones de la conexión de internet.
seguridad
XIII. PROCESO DE REVISIÓN

XIV. APROBACIÓN

del procedimiento.

PROYECTO FINAL PrincipioSeguridadInformatica GRUPO 1

Cargado por

Información del documento

Descripción original:

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

PROYECTO FINAL PrincipioSeguridadInformatica GRUPO 1

Cargado por

Copyright:

Formatos disponibles

Facultad de Ingeniería de Sistemas de Información

Maestría en Seguridad Informática

Firmado digitalmente por

SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN PARA LA

2.1. Registro de la Propiedad Intelectual ............................................................ 2

2.1.1. ¿Qué es la Propiedad Intelectual? ........................................................ 3

3. Antecedentes y Justificación .............................................................................. 8

4.1. Integridad ................................................................................................... 11

4.2.1. Objetivo ............................................................................................... 11

4.3. Política Límites de Accesos ....................................................................... 11

4.3.1. Objetivo ............................................................................................... 11

4.4. Política Software Actualizado de los Equipos ............................................ 12

4.4.1. Objetivo ............................................................................................... 12

4.5. Política Backup de Respaldo de Archivos ................................................. 12

4.5.1. Objetivo ............................................................................................... 12

4.6. Política Uso de Dispositivos Móviles .......................................................... 13

4.6.1. Objetivo ............................................................................................... 13

4.7. Política de Auditorías ................................................................................. 13

4.7.1. Objetivo ............................................................................................... 13

4.8. Política Medidas de Protección .................................................................. 14

4.8.1. Objetivo ............................................................................................... 14

4.9.1. Objetivo ............................................................................................... 14

4.10. Política Seguridad y Restricciones de la Conexión de Internet .............. 15

4.10.1. Objetivo ............................................................................................... 15

4.11. Política Contraseñas Seguras ................................................................ 16

4.11.1. Objetivo ............................................................................................... 16

4.12. Política Uso de Controles Criptográficos ................................................ 16

4.12.1. Objetivo ............................................................................................... 16

4.13. Política Escritorio y Pantalla Limpia ........................................................ 17

4.13.1. Objetivo ............................................................................................... 17

4.14. Política Teletrabajo Seguro .................................................................... 18

4.14.1. Objetivo ............................................................................................... 18

5. Procedimientos de Seguridad .......................................................................... 19

5.1. Procedimiento Sistema de Autenticación ................................................... 19

6. Diagramas de la Arquitectura de la Seguridad (Aplicaciones, Redes, Sistemas)

7. Instrucciones, Checklist y Formularios ............................................................. 26

8.1. Objetivo General ........................................................................................ 36

8.4.1. Ciclo de Deming (Plan Do Check Act) ................................................. 37

9. Plan de Concientización a los Usuarios ........................................................... 40

9.1. Introducción al Plan ................................................................................... 40

9.4.1. Normativa ISO 270001 ........................................................................ 40

9.5. Usuarios Objetivos ..................................................................................... 41

13.1. Plantilla de Políticas................................................................................ 48

Nombre de la organización Registro de la Propiedad Intelectual

Domicilio de la organización 7 avenida 7-61 zona 4

Nombre del contacto Ing. Julio Mejía

Correo electrónico del contacto jmejia@rpi.gob.gt

Teléfono de la organización 23247070

Sitio web de la organización https://portal.rpi.gob.gt/

Fecha de revisión Del 20 de enero al 24 de marzo de 2023

Nota: Guía General del Usuario Registro de la Propiedad Intelectual Guatemala

Tabla 2: Equipo Consultor

Auditor Líder Oseas Isaí Guzmán Figueroa

Equipo Auditor Jorge Alexander Garcia Morales

Equipo Auditor Klely Beatriz Morales Paredes

Equipo Auditor Donal Obed Morales Reyes

Equipo Auditor Sergio Fernando Sicán Patzán

Equipo Auditor Luis Alexander España Romero

Nota: Elaboración Propia

2.1. Registro de la Propiedad Intelectual

2.1.1. ¿Qué es la Propiedad Intelectual?

La guía general del usuario de la Propiedad Intelectual dice lo siguiente: