PLAN DE
ACTUALIZACION DE LA
SEGURIDAD DE LA
INFORMACION DEL
SISTEMA ACADEMICO
SIRINGUERO
Ing. Ruddy Chao

¿Por qué preocuparse por la seguridad?
Problemas comunes:
•Destrucción de la información o datos.
•Modificación o distorsión de información.
•Robo, eliminación o pérdida de información.
•La revelación de información.
•La interrupción de los servicios.

NATURALEZA DEL
PROYECTO De acuerdo al instructivo Nro.
021/2020 Solicitud del Programa
Operativo Anual Gestion 2021 de la
dirección de Información Académica
ACTUALIZACION DE LA SEGURIDAD DE
LA INFORMACIÓN DEL SISTEMA
ACADEMICO SIRINGUERO DE LA UAP
COBIJA

CRONOGRAMA DEL PROYECTO MACRO

INTRODUCCIÓN  La D.I.A como toda institución y dirección que
pertenece a la Universidad Amazónica de Pando
se enfrenta a una serie de amenazas que ponen
en riesgo de forma directa o indirecta los datos
personales académicos de la información que
se genera transmite y resguarda, así como los
recursos tecnológicos con los que se desarrolla
las actividades antes mencionadas.
 Se considera al activo de información como un
recurso de vital importancia,
 Para el desarrollo del presente plan se
consideró lineamientos de las la ISO/ICE 27000,
27001, 27002, así también se tomó en cuenta
los Lineamientos para la elaboración e
implementación Planes Institucionales de
Seguridad de la Información Planes
Institucionales de Seguridad de la Información
de la AGETIC

OBJETIVOS

OBJETIVO GENERAL
Elaborar un plan de proyecto
sobre las medidas de seguridad
de la información para la
administración del Sistema
Académico Siringuero dentro
de la Dirección de Información
Académica de la Universidad
Amazónica de Pando.

OBJETIVOS ESPECIFICO
Analizar el contexto ac
tual de seguridad de la
información para la ad
ministración del sistem
a siringuero.
/////////////////
Identificar los riesgos a lo
s cuales está expuesto el
sistema siringuero y todo
s los activos de informaci
ón que se relacionan con
él
/////////////////
Definir las medidas y dir
ectrices de seguridad de
información dentro de la
Dirección de Informació
n Académica, relacionad
os a sistema siringuero,
para precautelar la dispo
nibilidad, integridad y co
nfidencialidad del sistem
a.
/////////////////
Promover LA CULTURA
de seguridad dentro de l
a Dirección de Informaci
ón académica y los adm
inistradores del Sistema
Académico Siringuero.
/////////////////

ALCANCES
La seguridad de la información
es un conjunto de medidas
preventivas y reactivas de las
organizaciones y sistemas
tecnológicos que permiten
reguardar y proteger la
información
Se basara en todo aquel activo de
información que rodea el Sistema
Académico Siringuero, con ello nos
referimos, a políticas de seguridad,
personas, dispositivos informáticos y el
sistema de información Siringuero.

ALGUNAS DEFINICIONES
SECURITY
Documento en el cual el servidor público y/o
terceros se comprometen a respetar la
confidencialidad de la información y a usarla
solo para el fin que se estipule.
Acuerdo de confidencialidad
Permite identificar las debilidades en cuanto
a controles de seguridad inexistentes o
ineficaces. Se sugiere que la evaluación se
realice por tipo de activo agrupado por
similares características.
Analisis de riesgo
La palabra seguridad procede del latín
securĭtas
ātis que significa ' o 'conocimiento claro y
seguro de algo’
SEGURIDAD
Conocimientos o datos que tienen valor para
la organización.
Activos de información.

Estructura básica de seguridad de información y
seguridad informática

SEGURIDAD DE LA
INFORMACIÓN
Es la disciplina que nos habla de los riesgos, de
las amenazas, de los análisis de escenarios, de
las buenas prácticas y los esquemas
normativos, que nos exigen niveles de
aseguramiento de procesos y de tecnología
para elevar el nivel de confianza en la creación,
utilización, almacenaje, transmisión,
recuperación y disposición final de la
información". (ISOTools Excellence, 2017)
35%
You can simply impress your
audience and add a unique zing and
appeal to your Presentations.
Your Text Here
20%
You can simply impress your
audience and add a unique zing and
appeal to your Presentations.
Your Text Here
Despliegue de las tecnologías antivirus,
firewalls, detección de intrusos, detección de
anomalías, correlación de eventos, atención
de incidentes,
SEGURIDAD INFORMATICA
"La seguridad informática protege el sistema
informático, tratando de asegurar la integridad y la
privacidad de la información que contiene. Por lo
tanto, podríamos decir, que se trata de
implementar medidas técnicas que preservarán las
infraestructuras y de comunicación que
soportan la operación de una empresa, es decir, el
hardware y el software empleados por la
empresa". (ISOTools Excellence, 2017

TRIADA DE LA SEGURIDAD DE
LA INFORMACIÓN

Requisitos de seguridad
Análisis de riesgos
considera los objetivos y
estrategias de negocio de la organización,
lo
que resulta en la identificación de las
vulnerabilidades y las amenazas a los
activos
Leyes vigente, estatutos, reglamentos y las
cláusulas contractuales que deben cumplirse
para la organización, sus socios,
subcontratistas y proveedores

Estado Inicial
de la
seguridad de
la información
En base a las buenas practicas de la
ISO/IEC 27002 11 ITEMS

Estado Inicial de la seguridad de
la información
Datos código
DÍAUSADAT002
/2019
Reglamento de
uso del siringuero
Procedimientos
Políticas de
seguridad
Actualmente tanto la
Dirección como la
Unidad de Sistemas
Académicos, no cuenta
de ninguna clasificación
de activos in situ y si
bien tiene políticas sobre
el manejo de los activos,
no cuenta con controles
sobre el uso y manejo
adecuado del mismo.
Clasificación
y control de
activos
Identificar y establecer
medidas de control físicas
para proteger
adecuadamente los activos
de información para evitar
incidentes que afecten a la
integridad física de la
información o interferencias
no deseadas
Seguridad
física y del
entorno
Existe lineamientos
dentro de las
políticas, donde los
funcionarios tienen
bien especificados su
roles dentro de la
organización , sin
embargo estas
políticas hay que
actualizarlas
Aspecto
Organizativo De
La Seguridad
De La
Información
Independientemente
del contrato no
cuenta con algún
procedimiento de
vinculación
desvinculación del
funcionario a la
Dirección de
Información
Académica.
Seguridad
de los
recursos
humanos
De la DIA, entorno a Sistema Académico
Siringuero

Estado Inicial de la seguridad de
la información
Es necesario
proteger los datos
de información en
el caso de que
algún intruso
pueda tener
acceso físico a la
información
Criptografía
Las comunicaciones de la
Dirección se realizan a
través de la Red la interna,
a la misma se conectan la
unidad de trámites,
registros, archivo y cajas.
Así también los clientes
externos tienen acceso
mediante servicio de
internet.
Seguridad de las
Comunicaciones
Actualmente no se
cuenta con ningún
tipo de contrato
externo para el
desarrollo de
sistemas, módulos
o aplicaciones
Relación con
proveedores
Seguridad de
operaciones
Si bien hay
procedimientos
específicos de
desarrollo,
mantenimiento y
prueba de los
módulos de los
sistemas, no se da
un hincapié total a
las pruebas de
seguridad de los
módulos realizado.
Adquisición,
Desarrollo Y
Mantenimiento De
Los Sistemas De
Información
Los procedimientos
documentados de
operación están
escuetamente plasmados
dentro de las políticas de
seguridad de información,
sin embargo hace falta
formularios que contenga
información precisa de
cada una de las
operaciones que se hacen
para el manejo de la
información.
De la DIA, entorno a Sistema Académico
Siringuero

Estado Inicial de la seguridad de
la información
Detectar, informar y evaluar incidentes
de la Seguridad de la información
Responder a incidentes
Reportar vulnerabilidades
Aprender de los incidentes de la
Seguridad de la información.
Gestión de
incidentes de la
seguridad de la
información
Example Text :
Get a modern
PowerPoint
Presentation that
is beautifully
designed.
Your Text
CONTINUIDAD
DE NEGOCIO
Para reducir los niveles de
interrupción de negocio
causada por desastres y
fallas en la seguridad, es
importante para esta parte
realizar un análisis de
riesgos.
De la DIA, entorno a Sistema Académico
Siringuero

EVALUACIÓN ACTUAL EN BASE PLAN DE IMPLEMENTACIÓN DE
SEGURIDAD DE LA INFORMACIÓN (PISI) DE LA AGETIC
Consta de
11 items
4 CRITICAS
Se basa en la no interrupción de los servicios
que provee la dirección ya sea por cuestiones
físicas o ambientales.
Actualmente no cuenta con un plan de
contingencia o algún procedimiento en caso
de algún incidente.
Plan de contingencias tecnológicas
Seguridad física y ambiental
Implementar controles de conexión,
autenticación y cifrado para los servicios de
red.
Implementar controles de seguridad
perimetral que protejan la red ante posibles
intrusiones.
Se deberán implementar reglas de control de
salida y registro según corresponda.
Seguridad de las comunicaciones
ACTUALIZACION DE LOS
PROCEDIMIENTOS ACTUALES DE
REACCIÓN FRENTE A INCIDENTES DE
SEGURIDAD.
IMPLANTACIÓN DE UN SERVIDOR DE
LOG Y FIREWALL.
Gestión de incidentes de seguridad de la
información
Una de los controles mas críticos puesto que
las copias de seguridad se lo hacen en
formato normal y no se encriptan.
Los datos que se transmiten por la red se las
hace en texto plano.
Criptografía

RESULTADO DE EVALUACIÓN DE CONTROLES
CONTROLES ESPECÍFICOS Implementados
Total de
controles
Seguridad en recursos humanos 1 18
Gestión de activos de información 5 37
Control de accesos 8 42
Criptografía 0 7
Seguridad física y ambiental 6 52
Seguridad de las operaciones 4 19
Seguridad de las comunicaciones 2 44
Desarrollo, mantenimiento y adquisición de sistemas 3 49
Gestión de incidentes de seguridad de la información 0 13
Plan de contingencias tecnológicas 0 11
Cumplimiento 0 15

RESULTADO DE EVALUACIÓN DE CONTROLES
Dentro de la Dirección de información académica
1 5 8 0 6 4 2 3 0 0 0
18
37
42
7
52
19
44
49
13
11
15
0
10
20
30
40
50
60
Implementados Total de controles

En esta fase se evaluá todos
los activos (Personas,
Hardware, Software,
Información digital, Información
impresa, Servicios, etc.) Que
se encuentran relacionados
con la Unidad de sistemas
académicos y demás unidades
que están dentro de la dirección
de información académica
ANÁLISIS DE RIESGO
 MAGERIT
 Valoración de activos
 Inventario de y valoración
de los activos de
información
 Análisis de amenazas,
vulnerabilidad riesgos y
salvaguardas

CLASIFICACIÓN DE ACTIVOS
Content Here
VALORACIÓN DE
ACTIVOS
[P]Personas
[L]Instalaciones
[SW]Software Aplicaciones informáticas
[HW]Equipamiento informático (hardware)
[COM]Redes de comunicación
[Media]Soportes de información
[AUX]Equipamiento auxiliar
[COM]Redes de comunicación
[Media]Soportes de información
[AUX]Equipamiento auxiliar
[D]Datos/Información
[S] Servicios
Muy bajo
1
Bajo
2
Medio
3
Alto
4
Muy Alto
5

A C T I V O S D E
INFORMACIÓN
We Create Quality
Professional PPT
Presentation
You can simply impress your audience and add a
unique zing and appeal to your Presentations. Get
a modern PowerPoint Presentation that is
beautifully designed. Easy to change colors,
photos and Text. I hope and I believe that this
Template will your Time, Money and Reputation.
Easy to change colors, photos and Text.

Análisis de amenazas, vulnerabilidad riesgos y
salvaguardas
Internet
Desastres
Naturales
De origen
industrial
Clasificación de amenazas
Errores y fallos
no
intencionados
Ataques
Intencionados
DIA

Selección de 9 dominios relacionados a la seguridad de la
información,
La identificación de los controles a
implementar para poder mitigar las
vulnerabilidades dentro del Sistema
Siringuero, los mismos que tiene por
objeto resguardar la confidencialidad,
integridad, y disponibilidad de la
información.
Selección mínimos de
controles De seguridad de la información del
Sistema Académico Siringuero
SEGUN AGETIC

Selección de Controles mínimos de seguridad de la información
Control de de accesos
Criptografía
Seguridad física y ambiental
Seguridad de las operaciones
Seguridad de las comunicaciones
Desarrollo, mantenimiento y
adquisición de sistemas
Gestión de incidentes

Administración de accesos
 Se deberán establecer los requisitos de
autorización para la creación y asignación de
roles y privilegios de una cuenta.
 Se deberán actualizar los
procesos/procedimientos que reflejen el flujo de
actividades a seguir, responsables, tiempos, quién
autoriza, quién es consultado, quién es informado,
quién es responsable de la cuenta de acceso y la
forma y medio de entrega de las credenciales. Se
deberá tomar en cuenta el criterio de menor
privilegio.
 Se deberá establecer el flujo de actividades a
seguir para la revisión y cancelación de accesos
al momento de la desvinculación laboral.
 Elaborar procesos/procedimientos especiales
para el acceso a servicios privilegiados como
bases de datos, sistemas operativos y
aplicaciones de administración.
 Implementar técnicas seguras Para fortalecer la
información de autenticación.
Control de accesos
Criptografía
Control de acceso
a redes y servicios
de red
 Monitorear los
accesos de la red
inalámbrica.
 Implementar
controles de acceso
a los servicios
Controles criptográficos
Elaborar e implementar un reglamento
sobre el uso de criptografía para la
protección de la información.
Definir la fortaleza y la calidad del
algoritmo de cifrado de acuerdo al tipo y
criticidad de la información.
Utilizar cifrado para proteger la
información en medios de
almacenamiento, transferencia de
archivos, información transmitida por
redes de comunicación y otros que se
considere necesario.
Utilizar firma digital para asegurar la
autenticidad e integridad de la información.
Elaborar o actualizar un
proceso/procedimiento para la
administración de claves, que considere:
la generación, distribución,
almacenamiento, cambio o actualización,
recuperación, respaldo, destrucción y
otras que se considere necesario.
Controles mínimos de seguridad de la información
1
2

Seguridad física y ambiental
Asegurar áreas e instalaciones donde se genere, procese o transmita o
almacene información, con el objetivo de prevenir accesos no autorizados
que comprometan la seguridad de la información.
Controles
Seguridad del
equipamiento
Proteger el equipamiento
interno y externo de la
entidad para prevenir el daño,
perdida, o compromiso de los
mismo. (compra de equipos
informáticos).
Implementar controles para
minimizar el impacto
ocasionado por condiciones
ambientales, incendios,
inundaciones, polvo,
vibraciones, interferencias
eléctricas y
S.F en e. C.P.D
Proceso formal para el
acceso, mantenimiento,
supervisión.
Implementar dispositivos de
enfriamiento y extracción de
aire.
Implementar cableado
estructurado.
Controles mínimos de seguridad de la información
Supervisión de
I/O
Escritorio Limpio
3

Garantizar y asegurar que las actividades
operacionales en instalaciones de procesamiento
de información se realicen de forma correcta.
Identificar los recursos críticos e
indispensables para las operaciones.
Se deberán revisar y eliminar los datos
obsoletos almacenados.
- Se deberá sacar de servicio a las
aplicaciones, sistemas, bases de datos
o entornos en desuso y/o obsoletos.
GESTIÓN DE LA
CAPACIDAD
Seguridad de las
operaciones
Realizar registros que contenga al
menos la información de:
 Quien autoriza los cambios
 Quien realiza los cambios
 Fecha
 Descripción de las tareas
 Validación del cambio
 Otros
Información crítica y/o estratégica se
deberán almacenar los respaldos en
múltiples medios de acuerdo a
requerimiento.
La información confidencial, estas
deben estar protegidas con el uso de
técnicas criptográficas.
RESPALDOS
Controles mínimos de seguridad de la información
Realizar actividades de
formación y concienciación
sobre los procedimientos
sobre el tratamiento de la
información y su cuidado o
segurida
4

Seguridad de las
comunicaciones
01
Elaborar y actualizar
periódicamente los diagramas de
red y documentar la arquitectura
de la red.
Restringir el ancho de banda para
recursos de alto consumo acorde
al puesto laboral
02
Implementar y documentar reglas de acceso y
salida en los dispositivos de seguridad.
Se deberá monitorear regularmente la
actividad en las redes de datos.
Implementar, cuando se vea necesario,
parámetros técnicos de encriptación para
conexiones seguras y reglas de seguridad.
03
Implementar redes redes locales
virtuales (VLAN).
Y una segmentación de la red
.
Seguridad en la
red perimetral
Segmentación
de la red
Asegurar la
protección de la
información en
redes y la
protección de la
infraestructura de
soporte
Gestión de la
red
5

6
Controles mínimos de seguridad de la información

01 02
03
04
Gestion de
incidentes
El documento de reporte de incidentes y
vulnerabilidades deberá ser socializado a
los servidores públicos para que los
mismos conozcan los medios de reporte.
Se deberá llevar una bitácora de eventos
para el análisis posterior sobre los costos
asociados al incidente y sobre los cuales
se deben implementar soluciones a
corto, mediano y largo plazo para reducir
la probabilidad de ocurrencia futura
Elaborar y/o actualizar procedimientos de
gestión de incidentes de seguridad de la
información, los mismos deben establecer
roles, responsabilidades informar, evaluar
y responder sobre eventos de seguridad..
El RSI (responsable de seguridad de
información) deberá identificar el
incidente para registrar el mismo, el
tratamiento que se le dio y/o
escalamiento
6
Controles mínimos de seguridad de la información

Procesos y/o documentos a
implementar o actualizar
Actualización de los procedimientos de
asignación de contraseñas y dado de baja
a los diferentes usuarios.
Elaboración de acuerdo de confidencialidad del
Usuario con la Dirección de Información
Académica mediate la Unidad de Sistemas
Académicos.
Elaboración de un procedimiento y
reglamentación de acceso al Centro de
Procesamiento de Datos.
Implementación de un formulario de
monitoreo constante de los activos de
información(licencia, soporte, y nuevas
vulnerabilidades)
Implementación de procedimiento de
análisis de vulnerabilidades a los sistemas
y servidores a través del Etickal Haking.
Elaborar e implementar un reglamento
sobre el uso de criptografía para la
protección de la información
Se deberá elaborar procesos y/o
procedimientos de gestión de incidentes de
seguridad de la información, los mismos deben
establecer roles, responsabilidades informar,
evaluar y responder sobre eventos de
seguridad..
Get a modern PowerPoint Presentation
that is beautifully designed.
Contents Here

GRACIAS Si tu empresa gasta más en café que en seguridad TI,
serás hackeado. Es más, merecerás ser hackeado.
El único sistema completamente seguro es aquel que
está apagado, encerrado en un bloque de cemento y
sellado en una habitación rodeada de alambradas y
guardias armados.