UNIVERSIDAD AUTONOMA GABRIEL RENE MORENO

FACULTAD INTEGRAL DE ICHILO

CARRERA DE INGENIERÍA EN SISTEMAS

“DISEÑO DE UN ANÁLISIS PRELIMINAR DE LA SEGURIDAD DE LA

INFORMACIÓN DEL INSTITUTO MARIA AUXILIADORA”

Materia:
VISION INTEGRAL DE LA AUDITORIA Y SEGURIDAD INFORMATICA

INTEGRANTES:
ISRAEL RUBEN MOGRO TORREZ
JOEL VASQUEZ GARCIA
LUIS ALEJO RAMOS
SERGIO BASILIO
LUIS CHIRI
Docente:
Ing. Gonzalo Salazar
Yapacaní – Provincia Ichilo
Santa Cruz – Bolivia
 DISEÑO DE UN ANALISIS PRELIMIAR PARA LA
IMPLANTACIÓN DE UN SISTEMA DE GESTIÓN DE
SEGURIDAD DE LA INFORMACIÓN BASADO EN LA
NORMA ISO 27001
INTRODUCCION

En los últimos 20 años, con el desarrollo de la tecnología, la información se ha

convertido en uno de los activos más importantes dentro de las empresas, pudiendo
estar presente en múltiples formatos: papel, almacenada electrónicamente,
ilustrada en películas, hablada en conversaciones o transmitida por alguna
tecnología de comunicaciones, entre otros.

Debido a esto, las empresas en la actualidad han reducido cada vez más sus
inversiones en la compra de productos y herramientas tecnológicas, destinando
más bien parte de su presupuesto a la gestión de seguridad de información.

1. CONTEXTO CORPORATIVO

1.1. DESCRIPCIÓN GENERAL

El instituto técnico maría auxiliadora ITMA con más de 39 años de servicio educativo
en el municipio de Yapacaní, es un centro de formación profesional técnica y de
capacidad laboral dirigida por las hijas de maría auxiliadora. Nació como una
respuesta a la necesidad de mano de obra calificada, nació en el año 1979 con la
carrera de corte y confección que egreso un año después, el instituto tiene como
directora a Sor. Arminda Suarez.
En la actualidad el instituto ofrece carreras que ayude a los y las jóvenes a realizarse
como personas, según los principios salesianos de Don Bosco y María auxiliadora
bajo el amparo de nuestra madre maría auxiliadora.
Con el tiempo la exigencia de ampliar el servicio dado el alto volumen de población
que se interesaba por las carreras técnicas; fue esta institución que amplía su
capacidad de 7 carreras las cuales son:
❖ Enfermería: Técnico medio
❖ Secretariado Ejecutivo: Técnico superior
❖ Operador en programas de computación: 5 meses
❖ Dactilografía Computarizada: 5 meses
 ❖ Belleza y Cosmetología: 5 meses
❖ Peluquería varones: 5 meses
❖ Corte y confección: 1 año

MISION

El instituto tiene como misión fundamental brindar un buen servicio de formación

técnica y capacidad de mano de obra calificada adecuada a las exigencias y el
cambio tecnológico.

VISION
El instituto técnico ITMA es una institución educativa cristiana de formación
técnica profesional integrada, que colabora en la construcción de una sociedad
más justa y solidaria.

1.1.1. ORGANIGRAMA DE LA EMPRESA

 CONSEJO
ACADEMICO

RECTOR/A

DIRECTOR DIRECTOR
ACADEMICO ADMINISTRATIVO

JEFE DE
CARRERA JEFE DE
PERSONAL
TECNICO CAPACITACI
ADMINISTRATIVO
MEDIO O ONES
SUPERIOR

PLANTEL PLANTEL
DOCENTE DOCENTE

1.1.2. ESTADO DE LA SEGURIAD DE LA INFORMACION

La institución no cuenta con los recursos suficientes para una auditoría externa
o interna ya que no cuenta con un profesional del área para la seguridad de la
información.

Según el análisis realizado se necesita realizar las siguientes actividades:

• Diagnostico físico a la infraestructura

• Verificar las vulnerabilidades

• Revisión a las políticas de seguridad

La institución no cuenta con una dirección de tecnología que tiene por
objetivos proveer y administrar los recursos de tecnologías o recursos de
seguridad de información, lo cual es considerado como una de las áreas
fundamentales para garantizar la integridad, confiabilidad y disponibilidad
de la información.
1.2. OBJETIVOS

1.2.1. OBJETIVO GENERAL

El presente proyecto es analizar un sistema de gestión de seguridad de la

información, basado en la norma ISO 27001. Para el instituto María
Auxiliadora.

1.2.2. OBJETIVO ESPECIFICOS

• Identificar y analizar los riesgos de la institución, con relación a la seguridad

de información de los principales procesos identificados, aplicando la norma
ISO 27001.

• Definir la política, alcance y objetivos del Sistema de Gestión de Seguridad de

la información.

• Definir la metodología para la identificación y clasificación de activos de

información y para la valoración y tratamiento de riesgos de Seguridad de la
Información.

• Establecer la estructura organizacional, roles y responsabilidades en cuanto

a la Seguridad de la Información.

• Establecer un mecanismo para la gestión de incidentes de la seguridad de

información.

1.3. ALCANCE Y LIMITACIONES

1.3.1. ALCANCE

El alcance de proyecto es el diseño de un Sistema de Gestión de seguridad

de la información para la institución Maria auxiliadora, lo cual esta orientado a
cubrir la parte administrativa para la primera fase de implantación de un
Sistema de Gestión de Seguridad de la información.

El alcance del proyecto abarca solo el proceso de Gestión de Información para

la institución, por lo cual el proceso de selección de activos de información y
valoración de riesgos se realizará en este proceso.

1.3.2. LIMITACIONES
 Este proyecto consistirá solo en el análisis y diseño del SGSI basado en la
norma ISO 27001, pero no abarca la parte de la implementación del SGSI
dentro de una empresa.

2. JUSTIFICACION

Por lo tanto, los motivos para el análisis del sistema digital del Instituto Técnico
María Auxiliadora de Yapacaní son de generar eficiencia en las funciones
internas de inscripción y se puedan optimizar para un excelente aprovechamiento
de sus recursos tanto en el tiempo de ejecución como en el manejo de la
información.

Para eso se tiene un concepto muy importante: Sistema de Gestión de Seguridad

de Información (SGSI). Un SGSI implica crear un plan de diseño,
implementación, y mantenimiento de una serie de procesos que permitan
gestionar de manera eficiente la información, para asegurar la integridad,
confidencialidad y disponibilidad de la información.

3. MARCO TEORICO

El instituto técnico maría auxiliadora ITMA con más de 39 años de servicio

educativo en el municipio de Yapacaní, es un centro de formación profesional
técnica y de capacidad laboral dirigida por las hijas de maría auxiliadora. Nació
como una respuesta a la necesidad de mano de obra calificada, nació en el año
1979 con la carrera de corte y confección que egreso un año después, el instituto
tiene como directora a Sor. Arminda Suarez.

En la actualidad el instituto ofrece carreras que ayude a los y las jóvenes a

realizarse como personas, según los principios salesianos de Don Bosco y María
auxiliadora bajo el amparo de nuestra madre maría auxiliadora.

Con el tiempo la exigencia de ampliar el servicio dado el alto volumen de

población que se interesaba por las carreras técnicas

3.1 SEGURIDAD DE LA INFORMACION

 Está caracterizada por la preservación de los siguientes aspectos:

i. Confidencialidad: Asegurando que la información seas accesible solo por

aquellos que están autorizados.

ii. Integridad: Salvaguardando la exactitud de la información en su

procesamiento, así como su modificación autorizada.

iii. Disponibilidad: asegurando que los usuarios autorizados tengan acceso

a la información y a los activos asociados cuando sea requerido.

3.1.1 GESTION DE SEGURIDAD DE LA INFORMACION

Se requiere la participación activa de toda la organización con relación a la

planeación, definición, identificación e implantación de controles.

La institución debe seleccionar sus activos de información en términos de se

valor, requerimientos, legales, sensibilidad y criticidad, para poder detectar los
riesgos que puedan afectar su seguridad y determinar las medidas de
prevención, detección, retardo y reacción.

3.1.2. SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION

Los pasos que debería seguir la institución para proteger sus activos de
información. Primero identificar los activos de información que tienen un
impacto, luego hacer un análisis y evaluación de los riesgos y finalmente
decidir cuáles son las alternativas adecuadas para tratar el riesgo a implantar
para minimizar las posibilidades de que las amenazas puedan causar daños.

El SGSI es una forma sistemática de administrar la información sensible de

una institución, para que permanezca segura. Abarca a las personas,
procesos y las tecnologías de información.

3.1.3. NORMA ISO/IEC 27001

Esta norma es la principal de la serie, y según ella la seguridad de la

información es la preservación de la confidencialidad, integridad y
disponibilidad, así como de los sistemas implicados en el tratamiento de la
información.
 Esta norma tiene como finalidad proporcionar un modelo para establecer,
implementar, operar, monitorear, revisar, mantener y mejorar un sistema de
gestión de seguridad de información (SGSI).

4. DISEÑO DEL SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION

Para realizar el diseño del SGSI, se realizó primero el análisis y gestión de riesgos
de los activos que están involucrados en los procesos de la institución.

Luego de este análisis se redactó la declaración de aplicabilidad donde se detalló

los controles relevantes y aplicables al alcance del SGSI que se está diseñando
en este proyecto, en función de las conclusiones obtenidas de proceso de
evaluación y gestión de riesgos.

4.1. FASE I. DIAGNOSTICO

La institución no cuenta con licencias originales, antivirus para la seguridad de
la institución, no cuentan con personal del área de sistema de información.

4.1.1. DIAGNOSTICO ESTADO ACTUAL DE LA SEGURIDAD

El instituto actualmente se encuentra vulnerable, no dispone del personal

dentro del área de la seguridad de la información.

Su información la almacenan en discos externos.

4.2. FASE II. PREPARACION

Los pasos que debería seguir la institución para proteger sus activos de
información. Primero identificar los activos de información que tienen un
impacto.

CONOCIMIENTO DE LA ORGANIZACIÓN

El instituto técnico maría auxiliadora ITMA con más de 39 años de servicio

educativo en el municipio de Yapacaní, es un centro de formación profesional
técnica y de capacidad laboral dirigida por las hijas de maría auxiliadora. Nació
como una respuesta a la necesidad de mano de obra calificada, nació en el año
1979 con la carrera de corte y confección que egreso un año después, el instituto
tiene como directora a Sor. Arminda Suarez.

MISION
 El instituto tiene como misión fundamental brindar un buen servicio de formación
técnica y capacidad de mano de obra calificada adecuada a las exigencias y el
cambio tecnológico.

VISION

El instituto técnico ITMA es una institución educativa cristiana de formación

técnica profesional integrada, que colabora en la construcción de una sociedad
más justa y solidaria.

4.2.2. ALCANCE DEL SGSI

La presente propuesta cubrirá los aspectos de seguridad de los activos

tangibles e intangibles partícipes en el Instituto Técnico María Auxiliadora,
para esto se adaptará la Norma ISO 27001 en base a la realidad existente en
una Organización Privada, con un análisis de riesgo, identificación de
amenazas y Vulnerabilidades.

El sistema de Gestión de la Seguridad de la información aplica solo para la

institución técnica, ubicada en la Provincia Ichilo (Yapacani) del departamento
de Santa Cruz.

4.2.3. POLITICA DEL SGSI

Política de seguridad: Tiene un compromiso en prestar servicios de

capacitaciones con seguridad y enfoque de gestión del riesgo.

Política de humanización: Esta comprometida en fortalecer valores y actitudes

en el desempeño y formación de los estudiantes.

Política de gestión tecnología: Esta comprometido con una adecuada gestión

de tecnología.

Política de responsabilidad social empresarial: Desarrolla actividades que

fortalecen y mejorar continuamente los procesos de información.

4.2.4. OBJETIVO DEL SGSI

El Sistema de Gestión de Seguridad de la Información (SGSI) basado en la

norma ISO 27001 tiene el objetivo asegurar que la institución tiene
implementado todos los controles adecuados sobre la confidencialidad,
 integridad y disponibilidad de la información, para proteger la información de
las partes interesadas, se deben incluir empleados y la sociedad en general.

4.2.5. ESTRUCTURA ORGANIZACIONAL DE LA SEGURIDAD

 CONSEJO
ACADEMICO
(Es el que cordina
con la directora
sobre el avance
academico de las
carreras)

RECTOR/A
(Encargada de la
institucion)

DIRECTOR
DIRECTOR ADMINISTRATIVO
ACADEMICO (Encargado de
(Se encarga de coordinar con el
planificar el avance personal
academico) administrativo de la
institucion)

JEFE DE
CARRERA PERSONAL
JEFE DE ADMINISTRATIVO
TECNICO MEDIO O
CAPACITACIONES
SUPERIOR (El que se encarga
(Es el que dicta de inscripciones)
(Se encarga de
clases)
supervisar al plantel
docente)

PLANTEL PLANTEL
DOCENTE DOCENTE
(El que dicta clases) (El que dicta clases)

4.3. FASE III. PLANIFICACION

Esta fase se planteó y desarrollo con el propósito de poder alcanzar los

siguientes objetivos específicos del proyecto:

• Definir la metodología para la identificación y clasificación de activos de

información y para la valoración y tratamiento de riesgos de Seguridad
de la Información.

• Clasificar los activos de información del proceso de Gestión de

 Tecnología de la entidad, valorar sus riesgos de seguridad y definir los
planes de tratamiento de los riegos encontrados, de acuerdo a la
metodología definida.

• Definir las políticas de la Seguridad de la Información de la entidad

tomando como base la norma ISO 27001:2013.

• Definir un mecanismo para la gestión de incidentes de seguridad.

4.3.1. CLASIFICACION DE ACTIVOS DE TECNOLOGIA

TIPO DE ACTIVO DESCRIPCION

SERVICIO Falta de personal
autorizado para realizar las actividades
DATOS/INFORMACION Copia de respaldo
SOTFWARE Sistema de registro
EQUIPOS INFORMATICO 4 computadoras,2 router,2 swtich.
REDES DE COMUNICACION Servicio externo.
SOPORTE DE INFORMACION Disco duro externo
4.3.2. VALORACION RIESGOS ACTIVOS DE TECNOLOGIA

Se procedió a realizar la valoración de los riesgos a los cuales están

expuestos los activos de información que se identificaron para el proceso de
tecnología, para lo cual, se desarrolló las siguientes actividades:
RIESGO TIPO DE
ITEM CATEGORIA
IDENTIFICADO RIESGO
No disponibilidad
del servicio de
1 OPERATIVO ALTO
mantenimiento a
equipos
No disponibilidad
del servidor
2 TECNOLOGICO ALTO

Funcionamiento
3 inadecuado de TECNOLOGICO EXTREMO
aplicaciones de
software
Falta de personal
4 autorizado para FINANCIERO EXTREMO
realizar las
actividades
5 Instalación de TECNOLOGICO ALTO
software no
autorizado

4.3.4. POLITICAS DE SEGURIDAD DE LA INFORMACION

Se elaboro el manual de Políticas de Seguridad de la información, que corresponde

al documento que contiene las políticas, normas y lineamientos que regirán la
seguridad de la información en la institución y las responsabilidades y obligaciones
de todos los colaboradores y terceros que tengan acceso a la información de la
institución.

4.3.5. INCIDENTES DE SEGURIDAD

La gestión de información sobre incidentes de seguridad es recopilar, reportar,

registrar, analizar, compartir y utilizar información (datos incluidos) vinculada
 a un evento de seguridad o a una secuencia de eventos.

4.3.5.1. FASES GESTION DE INCIDENTES DE SEGURIDAD

Fase inicial (preparación y prevención y detección y preanálisis).

Contención, erradicación y recuperación (notificación, análisis, contención y

erradicación).

Recuperación del incidente (recuperación).

Actividad después del incidente (reflexión y documentación).

4.3.5.2. CATEGORIZACION INCIDENTES DE SEGURIDAD

1. Notificar el incidente: si una persona detecta un evento que pueda generar

algún daño al funcionamiento de la institución es necesario que lo comunique
según establezca los procedimientos de comunicación.

2. Clasificar el incidente: la persona que recibe la notificación de

los incidentes es la encargada de clasificarla. La persona que detecta un
incidente puede realizar una primera clasificación, pero un experto será la
persona adecuada para realizar la clasificación de una forma adecuada.

3. Tratar el incidente: una vez el incidente es clasificado y se conoce la

gravedad, es necesario acordar el tiempo necesario para la resolución, una
persona experta será la encarga de establecer las medidas necesarias para
resolverlo.

4. Cerrar el incidente: cuando el incidente se resuelve surge información que

debe quedar registrada, y la persona que envió la notificación del incidente
debe ser notificada sobre que el incidente se ha cerrado.

4.3.5.3. PROCEDIMIENTO REPORTE Y ATENCION DE INCIDENTES

Actual mente no cuenta con un responsable del área de Información.

 Todo el reporte o incidente maneja la directora

5. RESULTADOS Y DISCUSIONES

Los resultados obtenidos de este proyecto se derivan del desarrollo de tres fases
que fueron definidas para dar cumplimiento a los objetivos específicos que se
establecieron con el propósito de poder alcanzar el objetivo general de proyecto.

6. CONCLUCIONES
El diseño de un Sistema de Gestión de Seguridad de la Información basado en
un modelo de mejoras prácticas y lineamientos de seguridad, como es la norma
ISO 27001, es un herramientas de gran ayuda que permite identificar los
diferentes aspectos que se deben tener en cuenta cuando las organizaciones
deciden establecer un modelo de seguridad de la información, ya que si los
organizaciones logran cumplir al pie de la letra lo establecido está en la norma
ISO/IEC 27001:2013, podar llegar a forjar en el tiempo un adecuado y sostenible
Sistema de Gestión de Seguridad de la Información.
Con este proyecto se pretendió diseñar un Sistema de Seguridad de la
Información para un instituto María Auxiliadora, para lo cual se decidió utilizar
como marco de referencia la norma ISO 27001.
Resultado de tratar de aplicar los diferentes requerimientos de la norma ISO
27001, se logró obtener una serie de diagnósticos que permitieron establecer el
nivel de madures de la entidad frente a la gestión de la seguridad de la
información.

7. RECOMENDACIONES

La entidad requiere implementar una serie de controles con el objetivo de

fortalecer su seguridad y poder dar cumplimiento a los requerimientos
establecidos en la norma ISO 27001, por eso es fundamental que lleven a cabo
los diferentes planes de acciones que se definieron.

Entre las principales recomendaciones derivadas de la investigación emprendida,

establecemos los siguientes:

• Actualización de los Sistemas Operativos permitiendo la adecuación del

Sistema Automatizado de Inscripción, en los equipos del personal
administrativo.
 • Es recomendable diseñar un plan de seguridad y respaldo, que permita
rescatar los datos en caso de cualquier eventualidad.

• Es necesario disponer un personal del área de la seguridad de la

información.

• Deben optar por la compra de licencias originales de Windows y antivirus.

8. BIBLIOGRAFIA

Hochman, E. y Montero, M. (1982). Técnicas de Investigación Documental.

Editorial Trillas. 6ta. Edición.

Lugo (2000). Diagnóstico organizacional del proceso de inscripción y elaboración

de horarios de la Dirección de Control de Estudios de la Universidad
Metropolitana. Universidad Católica Andrés Bello.

Balestrini, M. (2002). Como se elabora el Proyecto de Investigación. Manual para

la elaboración, presentación y evaluación de los trabajos de grados. Consultorios
asociados y servicio editorial. Sexta Edición.

Morales y Muñoz (2001). Propuesta de un Sistema de Información para optimizar

el Proceso de Inventario de Materiales de los almacenes de la CANTV.
Universidad Santa María.

O"Brien James (2001). Sistemas de Información Gerencial. Mc Graw Hill. 6ta.

Edición.

Tamayo Mario (1983). El Proceso de la Investigación Científica. Fundamentos de

la Investigación con Manual para la Evaluación de Proyectos. 2da. Edición.

9. ANEXOS
INSTITUTO MARIA AUXILIADORA

OFICINA ADMINISTRATIVA
OFICINA ADMINISTRATIVA

SALA DE COMPUTO
OFICINA ADMINISTRATIVA

OFICINA
Swtich sala de computo
Recepción