CURSO

PLANIFICACIÓN ESTRATÉGICA DE LA
SEGURIDAD DE LA INFORMACIÓN

MAESTRÍA EN SEGURIDAD INFORMÁTICA

ESPOL-FIEC
2022
 TEMA
INTRODUCCIÓN

Pensar en la estrategia y la planificación es el inicio

del éxito para una empresa
Agenda
• Syllabus del curso
• Calendario
• Bibliografía
• Políticas del curso
• Formación de equipos
Bibliografía
- ISO 27000-2018
- ISO 27001-2013
- ISO 27002-2015
- NQA-ISO-27001 Guia de implementacion. Authored on behalf of NQA by:
Julian Russell.
- Gestión de riesgo de la TI. CEDIA
- Gestión de la seguridad de información. CEDIA
- Esquema gubernamenta de la seguridad de informacion. EGSI
- Cómo implantar un SGSI según UNE-EN ISO//27001 y su aplicación en el
Esquema Nacional de Seguridad. 2018. Fernández y Fernández. AENOR
Políticas del curso
• Llegar a tiempo a clases
• Se llevará un control de asistencia, usando TEAMS
• Trabajos, presentaciones, participación 50%
• Examen 50%. Se va a tomar un test cada dos clases
Horario de clases
• 11 de Noviembre, Viernes 18h00 – 22h00, 10 min de receso después 2da hora
• 12 de Noviembre Sábado 08h00 – 12h00, 10 min de receso después 2da hora
• 13 de Noviembre Domingo 08h00 – 12h00, 10 min de receso cada 2da horas.
• 17 de Noviembre Jueves 18h00 – 22h00, 10 min de receso cada 2da horas.
• 18 de Noviembre Viernes 18h00 – 22h00, 10 min de receso después 2da hora
• 19 de Noviembre Sábado 08h00 – 12h00, 10 min de receso después 2da hora
• 20 de Noviembre Domingo 08h00 – 12h00, 10 min de receso cada 2da horas.
• 25 de Noviembre Viernes 18h00 – 22h00, 10 min de receso cada 2da horas.
Programa de estudios
• 1. Introducción • 4. Análisis y tratamiento de riesgos
1.1 Politicas del curso
4.1 Metodología de riesgo
4.2 Riesgos y activos de información
1.2 Planificacion estrategica 4.3 Matriz de riesgo
1.3 Mision y Vision 4.4 Tratatmiento de riesgo
1.4 Analisis FODA
1.5 Estrategia DOFA • 5 Planificacion de proyectos
5.1 Definicion de politicas
• 2. Seguridad informática en la organización 5.2 Implementacion de controles
2.1. Verificacion de las normas y políticas 5.3 Planificacion de proyecto.
2.2. Errores y actos deliberados
2.3. Control insuficiente de cambios
2.4 Análisis de brecha
2.5 Vulenrabilidades y amenazas de los activos de información.
• 3. Activo de información
3.1 Procesos de informacion
3.2 Activos de inofrmacion
3.3 Prinicipios de seguridad
3.4 Vulnerabilidades y amenazas
Conformación de equipos
• Conformar grupos de tres integrantes
• Ir a la pestaña grupo en el canal de clases
• Escoger los grupos
• Una vez que hayan escogidos los grupos, van a ir a trabajar en cada
canal de grupos.
• Tiempo 10 min
Agenda
• Planificación estratégica
• Niveles de planificación
• Componentes de la Planificación estratégica
• Niveles de madurez
• Análisis Foda
• Estrategias DOFA
EJERCICIO-1: Preguntas en el chat

• ¿Qué es estrategia?
• ¿Qué es planificación?
• ¿ué es planificación estratégica?
• ¿Qué es proposición de valor?
• ¿Qué es ventaja competitiva?
Respondiendo a las preguntas

• ¿Qué es estrategia?
• Es un conjunto de acciones estructuradas que los administradores adoptan para mejorar
el desempeño de la empresa.
• ¿Qué es planificación?
• Es el proceso de establecer proyectos, asignar recursos y tiempo.
• ¿Qué es planificación estratégica?
• ES EL PROCESO DE PLANIFICAR LAS ACCIONES ESTRUCTURADAS DEFINIDA POR LOS
DIRECTIVOS.
• ¿Qué es proposición de valor?
• SON LAS DIFERENTES PROCESOS, RECURSOS, Y PRODUCTOS QUE TE DIFERENCIAN DE LOS
DEMÁS COMPETIDORES, Y POR EL CUAL EL MERCADO TE CONSIDERA DIFERENTE.
• ¿Qué es ventaja competitiva?
• Las caracteristicas en el producto o servicio que TE DIFERENCIA DE LOS DEMÁS.
Planeación estratégica
La planeación estratégica es una técnica administrativa que, mediante
el análisis del ambiente de una organización, crea la conciencia sobre
sus oportunidades y amenazas, sus puntos fuertes y débiles, para el
cumplimiento de su misión.
 CUÁL SON LOS COMPONENTES DE LA PLANIFICACIÓN ESTRATÉGICA

Valores institucionales VISIÓN

BARRERAS
IMPLICADOS

S
IA
G
DIAGNÓSTICO E
T
A
R
T OBJETIVOS
S AÑO 3
SITUACIÓN ACTUAL E PLANES
DE ACCIÓN
OBJETIVOS
AÑO 2

OBJETIVOS PLANES
AÑO 1 DE ACCIÓN
MISIÓN
PLANES
DE ACCIÓN
ENTORNO
MODELO DE PLANEACIÓN ESTRATÉGICA
Valor de la utopía, imaginación,
arte y creatividad

ASPIRACIONES Saber hacia donde vamos

VISIÓN Quienes somos, razón de existencia.

Identidad, “Guía de acción”
MISIÓN
Categoría rectora de la
OBJETIVOS organización
ESTRATÉGICOS
Vías para alcanzar la Misión y los
ESTRATEGIAS objetivos

Dificultades y limitaciones,
BARRERAS debilidades y amenazas

PLANES
DE Acción, guía, cuándo, con qué
ACCIÓN recurso, quiénes

ACCIÓN
Misión
• Es la razón de ser de la organización, para qué existe, cuál es
su función social, qué hace o debe hacer
• Es el punto de partida de la estrategia y lo que le da cohesión e
integridad a la organización

La Misión debe:
• Tener estabilidad en el tiempo, aunque puede ser ajustada
• Quedar claramente definida, escrita y divulgada a todos los
trabajadores de la organización
Visión
• Comprensión compartida de lo que debe ser la organización y cómo debe
cambiar
• Imagen mental de un estado futuro deseable y posible para la organización

La Visión debe:
• Comprometernos de corazón
• Movilizar nuestra conciencia
• Motivar las preocupaciones y necesidades profundas.
• Estar basada en dos profundas necesidades humanas: calidad y dedicación
• Reflejar los valores prioritarios
• Engendrar autorreflexión personal
Objetivos estrategicos
• Son los propósitos que desean mejoran o que quieren alcanzar las
empresas de su razón de ser, son redactados de forma general, para
que de ellas se generen muchos objetivos tácticos.
• Ejemplo
• ESPOL
• Desarrollar y difundir innovación e investigación de alto impacto en la sociedad.
• Empresa Software
• Desarrollar servicios de software para las empresas de tipo privado.
• Empresa comida rápida
• Desarrollar comida con la mejor nutrición y uso orgánico de productos
Objetivos tácticos
• Se deriban de los objetivos estratégicos, para diversificarlos mejor en
las acciones.
• Ejemplo
• ESPOL
• Desarrollar y difundir innovación e investigación de alto impacto en la sociedad.
• Generar y transferir investigación orientada a la demana.
• Empresa Software
• Desarrollar servicios de software para las empresas de tipo privado.
• Implementar servicios de software a través de la nube
• Empresa comida rápida
• Desarrollar comida con la mejor nutrición y uso orgánico de productos
• Realizar servicio de comida bajo demanda.
Estrategias
• Son acciones de lo objetivos tácticos
• Ejemplo
• ESPOL
• Desarrollar y difundir innovación e investigación de alto impacto en la sociedad.
• Generar y transferir investigación orientada a la demana.
• Fortalecer las capacidades de gestión y transferencia de ciencia y tecnología de los grupos y centros de investigación.
• Vincular y orientar la oferta de investigación de la espol con las demandas de la sociedad, en especial del sector
productivo.
• Empresa Software
• Desarrollar servicios de software para las empresas de tipo privado.
• Implementar servicios de software a través de la nube
• Revisar proveedores que no prestén ese servicio
• Decidir que tipo servicios se desea desarrollar
• Empresa comida rápida
• Desarrollar comida con la mejor nutrición y uso orgánico de productos
• Realizar servicio de comida bajo demanda.
• Evaluar si van a hacer en horarios de comidas o comida de dietas
• Evaluar que tipos de ingredientes se van a poner.
Barreras
• Son los obstáculos que se interponen entre la misión y la visión
• Son elementos negativos que interfieren en el cumplimiento de
los objetivos
• Pueden ser externas e internas.
• Representan desafíos o retos a la dirección de la entidad.
• Son problemas a solucionar indefectiblemente
• Son indicadores de futuros conflictos si se dejan de resolver
 EJEMPLO LA ESPOL
• Aspiración
• Ser la primera universidad del ecuador en el ranking internacional.
• Visión
• Ser una comunidad académica consolidada con altos estándares internacionales, de
lideres creativos e innovadores que respondan de forma oportunida a las necesidads
de la socieda
• Misión
• Cooperamos con la sociedad para mejorar la calidad de vida y promover el desarrollo
sostenibley equitativo, a traves de la formacion profesional, integra y competente,
investigacion e innovacion
• Objetivos estratégicos
1. Desarrollar y difundir innovación e investigación de alto impacto en la sociedad
2. Garantizar una oferta académica, con operaciones eficientes, que cumpla con
estándares nacionales e internacionales de calidad y que responda oportunamente a
las necesidades de la sociedad
3. Proporcionar experiencias educativas y entornos de aprendizaje gratificantes, que
garanticen la formación de profesionales íntegros y competentes y que aseguren su
rápida incorporación del sector productivo
4. Desarrollar actividades de vinculación que generen un impacto transformador en la
socidad y que contribuyan con la sostenibilidad institucional
5. Implementar un modelo de gestión eficiente, eficaz y sostenible, fundamentado en
procesos que cumplan con altos estándares de calidad y con orientación a la
satisfacción del cliente
EJEMPLO LA ESPOL
• Objetivo estratégico-1
• Desarrollar y difundir innovacion e investigacion de alto impacto en la
sociedad.
• Objetivo táctico-1.1
• Generar y transferir investigación orientada a la demana.
• Estrategias
• Fortalecer las capacidades de gestión y transferencia de ciencia y tecnología de los
grupos y centros de investigación.
• Vincular y orientar la oferta de investigación de la espol con las demandas de la
sociedad, en especial del sector productivo.
• Otorgar incentivos que formenten la investigación en alianza con socios estranjeros y
el desarrollo de proyectos con pares latinoamericanos
• Consolidar los centros de investigación con lineas de investigacion similares hacia la
demand a y la innovacion
• Indicadores
• Número de proyectos de investigación en ejecución con contraparte de empresas
nacionales o internacionales. LINEA BASE: 7 META: 15
• Número de proyectos de investigación en ejecución. LINEA BASE: 250 META:
300
EJERCICIO-2 (15 min)

• En la pestaña T1.1, el ejercicio es individual

• De la empresa en que trabajan
• Realicen un objetivo estratégico, un objetivo
tactico, un par de estrategias y un par de
indicadores.
Alineamiento estratégico

Es el vínculo entre el Plan Estratégico de Tecnología de Información

(PETI), la Planeación Estratégica de Negocios (PEN), y la Planificación
Estratégica de la Seguridad de la Información de las organizaciones.
Ejemplo de relación
• OE-ESPOL: Implementar un modelo de gestión eficiente, eficaz y
sostenible, fundamentado en procesos que cumplan con altos
estándares de calidad y con orientación a la satisfacción del cliente.
• OT-PETI: Desarrollar aplicaciones moviles para dar servicio de
consulta académica a los estudiantes.
• OT-PESI: Desarrollar políticas de seguridad para institución.
• E1-Politicas de control de acceso
• E2-Politicas de respado
• E3-Politicas de correo electrónico….
Nivel de madurez
• Nivel 1: Proceso inicial: Sin alineamiento. Es altamente improbable
que estas organizaciones consigan alinear la estrategia de las TI, la
seguridad de la información y el negocio.
• Nivel 2: Proceso disciplinado: Organización comprometida con el
alineamiento. Iniciando el proceso de madurez del alineamiento
estratégico. Este nivel la organización a clasificado los activos de
información, estan desarrollando políticas de seguridad, van en
coordinación con el negocio y sus unidades funcionales, las
oportunidades potenciales comienzan a ser identificadas.
Nivel de madurez
• Nivel 3: Proceso focalizado: Procesos normalizados, consistente e
integrándose a los objetivos del negocio. La TI comienza a ser
integrada al negocio y la seguridad comienza a ser integrada
también.
• Nivel 4: Proceso gerenciado: Proceso previsible y controlado
refuerza el concepto de las TI como proveedora de resultados. La
organización visualiza la TI como fuente de innovación y creatividad
para la ventaja competitiva. Así mismo, mira a la seguridad como un
pilar fundamental en la operación. La TI y la seguridad de la
información es vista como un factor que contribuye con la estrategia
e innovadora para el éxito del negocio.
Nivel de madurez
• Nivel 5: Proceso optimizado: Alineamiento completo. Proceso de
gestion estratégica continua, integra los procesos de planeación
estratégica de las TI y de seguridad con los procesos de negocio.
EJERCICIO-3 (10 min) Nivel de madurez

• En la pestaña T1.2, el ejercicio es individual

• De la empresa en que trabajan
• Contesten individualmente las preguntas.
Análisis estratégico utilizando FODA

• Un análisis FODA (Fortalezas, Oportunidades, Debilidades y

Amenazas), es una herramienta de planeación y toma de
decisiones que te ayuda a entender los factores internos y
externos de una situación que quieras mejorar, innovar o
incluso prevenir. También se le conoce como análisis DAFO, y
algo importante por saber es que al realizarlo debes
asegurarte de que cada elemento escrito en este ejercicio
pueda medirse, para después corroborar si la estrategia
elegida fue la mejor.
Para que sirve un análisis FODA
• Un análisis FODA sirve para evaluar de manera visual y
concreta una situación y tener un panorama de las
consecuencias -buenas o malas- que podrían tenerse al elegir
una decisión. En las empresas puede ser común que sirva como
un estudio previo para trazar la estrategia del siguiente año
(ventas, publicidad, logística, seguridad, tecnología,etcétera) o
el plan de un proyecto en particular: rediseño de un producto o
servicio, nuevas ideas de negocio, inversión en un mercado o
zona geográfica distinta…
Ejercicio -4 DOFA
• Vamos a ver un video de DOFA
• Luego, contestar las siguientes preguntas, en equipo.
• Ir la pestaña T3
Ahora vamos a utilizar más
información técnica para
poder elaborar un FODA a
la seguridad de la empresa
Maestría en seguridad informática 2022
Revolución digital
Defensa en profundidad
Si todo lo que se encuentra entre su información más
sensible y un atacante ve una sola capa de seguridad, el
trabajo del atacante es sencillo.
Ninguna medida de seguridad, mejor dicho, ninguna capa
de seguridad es infalible contra los ataques. Al agregar
capas independientes a la arquitectura de seguridad se
aumenta el tiempo que puede tomar el atacar el sitio, lo que
permitiría detectar las intrusiones y los ataques justo
cuando estos ocurren.
Esta filosofía establece que los sistemas de seguridad
deben ser entendidos y contenidos dentro de capas, cada
una independiente de la anterior de forma funcional y
conceptual-
 PROCEDIMIENTOS YC
S
I TI CA ON
L C
PO IEN
TIZ
AC
IÓ
SEGURIDAD FÍSICA N

PERÍMETRO

RED

SERVIDORES

APLICACIONES

DATOS
Defensa a profundidad

• Conceptos de diseño • Componentes

• Evaluación de riesgos • Ruteadores
• Estrategias y • Switches
estándares • Firewalls
• Zonas seguras • Access point
• Vpn
• Endurecimiento de
sistemas • Dial up
• Detector de intrusiones
• Control de accesos
Endurecimiento de sistemas

• Endurecimiento del sistema operaciones • No permitir anonymus ftp

• Eliminar servicios no requeridos
• Incrementar tamaño de los archivos de log
• Actualización periódica de parches
• Permisos sobre directorios, archivos y otros
• Desactivar protocolos no encriptados
objetos
• Protección contra virus
• Desplegar mensajes de alertas
• Renombrar cuentas de administrador
• Cambiar claves por defecto • Separación de funciones
• Desactivar cuentas de invitados • Segmentación de red
Fortalezas Estrategia de éxito
1. Financieramente estable F1O2 Pasar el ERP a la Nube
2. Respeto y compromiso a los empleados F1O7 Seguir vendiendo produtos
3. Revision anual de equipos
4. Cambio anual de contraseñas
5. Confidencialidad y PI Estrategia de adaptación
6. Politicas de seguridad D1A3 Contratar recursos
7. Tecnologicamente funcional D4A3 Contratar recursos
D2A1 Buscar actualizar versiones
Debilidades
1. No tienen responsable seguridad D2A2 Buscar actualizar versiones
2. No tienen licencias completas
3. No tienen control de firewall Estrategia de reacción
4. Solo una persona conoce tecnicamente el ERP F1A1 Actualización del ERP
F1A2 Actualización del antivirus
Oportunidades
F1A4 Comprar firewall
1. Esta vendiendo nuevos productos, F1A3 Contratar recursos
la tecnolgia lo soporta.
2. Cambiar el ERP y pasarlo a la nube Estrategia de riesgo
evitar gastar en un DataCenter D1A2 Razonware, Spyware
3. Cambiar el firewall para tener control D1A1 Que la oporación de pare
Amenazas D3A4 Hacking e intrusión
1. El ERP hay que hacerle upgrade porque no
soporta nuevas versiones de S.O y BD.
2. El antivirus necesita actualizacion de S.O y se ha desactivado
3. Falta recursos
4. No tener el control del firewall
EJERCICIO-4 DE LECTURA (20 min)

• IR AL CANAL DE SU EQUIPO
• LEER LA LECTURA CUYA PESTAÑA ES L-1
• 20 MIN.
• Y en el T1.4 Hacer una sintesis.
EJERCICIO-5 (20 min)

• EJERCICIO EN EQUIPO:
• En T1.5, realice cada uno el FODA se seguridad de
la empresa que trabajan y que estrategias
sugieren.
TEST-1

• En teams
• Tareas
• Vamos a ser el test-1
• Tienen 20 min.