UNIVERSIDAD MARIANO GÁLVEZ DE GUATEMALA

FACULTAD DE INGENIERÍA EN SISTEMAS

MAESTRÍA EN SEGURIDAD INFORMATICA
PRINCIPIOS DE SEGURIDAD INFORMATICA

“Sistema de Gestión de Seguridad de la Información”

Nota: 89/100
KAREN PATRICIA Firmado digitalmente por
KAREN PATRICIA
JAIRO JOSÉ SARCEÑO RIVERA HERNANDEZ HERNANDEZ RIVERA
Fecha: 2023.04.04
RIVERA 20:09:56 -06'00'
ALLIZON DENISE DONIS ALVARADO
CRISTIAN GABRIEL ROSALES CORDOVA
CRISTIAN JOSE CURUP MUYUS
CARLOS RENÉ RAMOS LÓPEZ

GUATEMALA, MARZO DE 2023

 Índice

Introducción............................................................................................................... 1
Documentación de la empresa .................................................................................. 2
Antecedentes y Justificación ..................................................................................... 4
Antecedentes ............................................................................................................ 4
Justificación ........................................................................................................... 5
Objetivos de Seguridad ............................................................................................. 5
Políticas de seguridad ............................................................................................... 6
1. Política de contraseñas ................................................................................... 6
2. Política de acceso de usuarios ........................................................................ 6
3. Política de parches y actualizaciones .............................................................. 6
4. Política de segmentación de red ..................................................................... 7
5. Política de control de dispositivos ................................................................... 7
6. Política de copias de seguridad ....................................................................... 7
7. Política de protección contra malware ............................................................. 7
8. Política de auditoría y registro de eventos....................................................... 7
9. Política de acceso a servidores ....................................................................... 7
10. Política de gestión de riesgos ...................................................................... 7
11. Política de gestión de incidentes .................................................................. 7
12. Política de autenticación multifactor ............................................................. 8
13. Política de redundancia de infraestructura ................................................... 8
14. Política de gestión de accesos privilegiados ................................................ 8
15. Política de acceso a internet ........................................................................ 8
Procedimientos de seguridad .................................................................................... 8
Diagrama de arquitectura de seguridad de Telecomunicaciones. ........................... 22
Instrucciones, Checklist y formularios ..................................................................... 24
Solicitud de instalación de software en equipos de computo .................................. 26
Solicitud de acceso a la red .................................................................................... 28
Solicitud de instalación de software en servidores de plataforma central ............... 28
Control de acceso a la sala de servidores............................................................... 29
Plantilla de las políticas (Anexo) ............................................................................. 30
Política de Contraseñas ....................................................................................... 30
Política de Acceso de usuarios ............................................................................ 31
Política de parches y actualizaciones .................................................................. 32
Política de segmentación de red .......................................................................... 33
Política de control de dispositivos ........................................................................ 34
Política de copias de seguridad ........................................................................... 35
Política de protección contra malware ................................................................. 36
Política de auditoría y registro de eventos. .......................................................... 37
Política de acceso a servidores ........................................................................... 38
Política de gestión de riesgos .............................................................................. 39
Plan Estratégico ...................................................................................................... 40
Plan de concientización a los usuarios.................................................................... 48
Bibliografía .............................................................................................................. 51
 Índice de figuras
Figura 1 Logo de SAT .................................................................................................... 4
Figura 2 Diagrama de Red ........................................................................................... 23
 Índice de tablas
Tabla 1 Lista de verificación SGSI ................................................................................ 24
Tabla 2 Objetivos estratégicos ...................................................................................... 46
 1

Introducción
Un sistema de gestión de seguridad de la información (SGSI) es un marco
integral diseñado para proteger la confidencialidad, integridad y disponibilidad de la
información que maneja una organización.
Un SGSI es un conjunto de políticas, procedimientos, estándares y controles que
se implementan para gestionar los riesgos de seguridad de la información y proteger
los activos críticos de una organización.
El objetivo principal de un SGSI es establecer un enfoque sistemático y
disciplinado para identificar, evaluar y tratar los riesgos de seguridad de la
información. También ayuda a garantizar el cumplimiento de los requisitos legales
y regulatorios, y a mejorar la confianza de los clientes y otras partes interesadas en
la organización.
La implementación de un SGSI implica la identificación y evaluación de los
riesgos de seguridad de la información, la definición de políticas y procedimientos
de seguridad, la implementación de medidas de seguridad y la revisión continua del
sistema para garantizar que siga siendo efectivo y esté actualizado.
El SGSI se basa en la norma internacional ISO/IEC 27001, que proporciona un
marco para establecer, implementar, mantener y mejorar continuamente un SGSI.
La norma establece requisitos específicos para la gestión de la seguridad de la
información, incluyendo la gestión de riesgos, la selección de controles de seguridad
y la implementación de un programa de auditoría y revisión.
La implementación de un SGSI puede ayudar a una organización a cumplir con
las leyes y regulaciones aplicables, a proteger sus activos de información y a
aumentar la confianza de los clientes y socios comerciales.
 2

Documentación de la empresa
• Perfil actual
La Superintendencia de Administración Tributaria es una entidad estatal
descentralizada, con competencia y jurisdicción en todo el territorio nacional, para
ejercer con exclusividad las funciones de administración tributaria, contenidas en la
legislación.
La Institución goza de autonomía funcional, económica, financiera, técnica y
administrativa y cuenta con personalidad jurídica, patrimonio y recursos propios.
Es objeto de la SAT, ejercer con exclusividad las funciones de Administración
Tributaria contenidas en el Decreto Número 1-98 del Congreso de la República de
Guatemala, Ley Orgánica de la Superintendencia de Administración Tributaria.
La SAT es la entidad encargada de administrar, controlar y fiscalizar la
recaudación de tributos internos y comercio exterior, mediante el uso de
mecanismos verificadores los cuales permitan realizar de forma ordenada y correcta
la recaudación a nivel nacional.
Actualmente la SAT cuenta con recursos tecnológicos que coadyuvan a la
recaudación de tributos, así como el comercio exterior, sin exceptuar la gestión
institucional.
La SAT está conformada por distintas gerencias y departamentos los cuales
tienen a su cargo distintas funciones específicas que juntas contribuyen con los
objetivos y enfoque de la institución
Para poder alcanzar los objetivos y mejorar el rendimiento en general de la
institución, la tecnología juega un papel muy importante, tomando en cuenta que es
necesaria la división y la estructuración del trabajo y enfoque de cada departamento
que conforman e intervienen en el funcionamiento de la institución.
El área de informática se encuentra estratégicamente divida en departamentos
para apoyar y contribuir con el correcto funcionamiento de la institución referente al
uso de las tecnologías de la información en las distintas áreas. Entre los
departamentos principales de informática se encuentra Plataforma Tecnológica.
 3

• Perfil objetivo – Alcance

Con el objetivo de mejorar el control aduanero, facilitar el comercio exterior y
fortalecimiento institucional, la SAT ha desarrollado el Programa de Modernización
Integral Aduanera MIAD por medio de la Intendencia de Aduanas, que se encuentra
incluido en el Plan Estratégico Institucional 2021-2025, pretende el desarrollo de
herramientas que mejoren los procesos y controles referentes al sistema aduanero.
La inclusión del Plan Estratégico Institucional PEI por parte de la SAT, tiene entre
sus objetivos la modernización de manera integral del Servicio Aduanero y de
Comercio Exterior, para el cumplimiento de lo anterior mencionado, se establecieron
diversos pilares en los que se puede mencionar la facilitación, control, y servicio
aduanero.
Dentro de estos pilares se encuentra la facilitación de emisiones de resoluciones
y autorizaciones, facilitación del comercio exterior, diseño de sistemas y
procedimientos que promuevan la automatización de tareas, para la mejora del
control, haciendo énfasis en el sistema aduanero, mejorando los controles y
facilitando las gestiones que se realicen con respecto a la administración y control
aduanero.
La SAT tiene previsto fortalecer las capacidades de gestión institucional,
mejorando puntos indispensables para el crecimiento institucional y que beneficie al
país, enfocándose en temas de la eficiencia en la administración, planificación de
recursos físicos, económicos y humanos internos, así también facilitando y
apoyando el desarrollo del país en general.
En función de este fortalecimiento se implementarán diversos mecanismos e
instrumentos tecnológicos, lo cual promueva y facilite las capacidades de gestión
institucional, es por ello por lo que es necesario e indispensable mejorar temas
relacionados con informática, como lo es la infraestructura y seguridad en general.
Esto ofreciendo disponibilidad, integridad y privacidad de todos los datos que en ella
se encuentran inmersos.
 4

• Visión
“Ser en el 2,023 una Administración Tributaria renovada, efectiva y
automatizada, a la vanguardia de las mejores prácticas de administración de tributos
internos y los que gravan el comercio exterior”. (SAT, Portal SAT, 2023)
• Misión
Recaudar con transparencia y efectividad los recursos para el Estado,
brindando servicios que faciliten el cumplimiento de las obligaciones tributarias
y aduaneras, con apego al marco legal vigente. (SAT, Portal SAT, 2023)
• Logo SAT
Figura 1 Logo de SAT
Logo de SAT

• Objetivos estratégicos
Aumentar la recaudación de manera sostenida.
Reducir las brechas de cumplimiento tributario.
Incrementar la eficiencia del servicio aduanero.
Fortalecer las capacidades de gestión institucional. (SAT, 2021)
Antecedentes y Justificación
Antecedentes
La Superintendencia de Administración Tributaria (SAT) en Guatemala fue
creada en 1997 como una entidad independiente encargada de administrar y
recaudar los impuestos en el país. Anteriormente, la responsabilidad de la
administración tributaria estaba dividida entre diferentes instituciones
gubernamentales, lo que resultó en una gestión ineficiente y poco efectiva. La
creación de la SAT buscó centralizar y fortalecer la administración tributaria,
 5

asegurar una mayor recaudación y mejorar la transparencia y eficiencia en el

sistema tributario.
En la actualidad la SAT lleva más de 16 años de funcionamiento, en ese tiempo
se ha podido observa que se han incorporados mejoras prácticas para poder dar
servicios más eficientes, como lo es la optimización de recursos, incorporación de
nuevas tecnologías informáticas, mejoras en procesos y sistemas. (SAT, ¿Qué es
la SAT?, 09)
Justificación
Al ser una institución gubernamental que se encuentra en una exposición
constante bajo el escrutinio público y dada la naturaleza de sus operaciones y
servicios que brinda es importante que sus servicios se vean reflejados con la mejor
tecnología y seguridad en sus procesos para poder brindar un servicio eficiente y
de confianza.
En la seguridad debe brindar no solo confiabilidad en los sistemas y servicios
también proteger la integridad de la información, tanto física como lógica, contar con
disponibilidad de los sistemas y poder asegurar que todos los empleados y
funcionarios puedan cumplir con sus labores diarias.
Para cumplir con esto se debe hacer la evaluación de riesgos en cuanto a las
amenazas que puedan poner en riesgo la continuidad de las operaciones y con ello
ocasionar retrasos en los procesos que al ser de carácter importante deben tener la
certeza de poder realizarlos sin complicaciones para asegurar transparencia el cual
es uno de los pilares de la institución.
Objetivos de Seguridad
• Reducir el riesgo de fraude y evasión fiscal a través de la implementación
de medidas de seguridad informática para proteger los sistemas y datos
financieros.
• Establecer medidas de seguridad para garantizar la privacidad y
confidencialidad de los datos tributarios de los contribuyentes, para evitar
su divulgación o uso inadecuado.
 6

• Implementar controles de acceso y autenticación para garantizar que solo

las personas autorizadas puedan acceder a los datos tributarios de los
contribuyentes.
• Implementar medidas de seguridad para proteger los sistemas y datos de
aduanas, para garantizar la eficiencia y la integridad de los procesos
aduaneros.
• Establecer políticas y procedimientos de seguridad para proteger la
información confidencial y garantizar la integridad de los datos
institucionales.
• Implementar medidas de seguridad para prevenir el acceso no autorizado
a los sistemas y datos institucionales, garantizando la privacidad y
confidencialidad de la información. (Escuela Europea De Excelencia ,
2022)
Políticas de seguridad
1. Política de contraseñas
Regula el uso de contraseñas seguras, estableciendo estructura, tamaño
mínimo y frecuencia para el cambio. También estable que el intercambio de
contraseñas entre usuarios internos queda prohibido.
2. Política de acceso de usuarios
Controla los roles y accesos que dispone cada usuario, en el cual se debe
solicitar mediante solicitud formal por parte del jefe para asignación de nuevos roles
o accesos a cada usuario. Así también las revisiones periódicas a los roles que
dispone cada usuario.
3. Política de parches y actualizaciones
Establece medidas de seguridad y estándares para la aplicación e instalación de
nuevos parches o actualizaciones, tanto a las computadoras de todo el personal en
general, como de los servidores locales.
 7

4. Política de segmentación de red

Define la estructura de la segmentación de red de forma estratégica, para
proveer distintos ambientes que aumenten la funcionalidad y el crecimiento de la
institución con respecto a la implementación de las tecnologías de la información.
5. Política de control de dispositivos
Tiene como objetivo disponer de controles para la administración y monitoreo de
los dispositivos electrónicos que se conectan a la red, debiendo estar formalmente
identificados.
6. Política de copias de seguridad
Establece la realización de copias de seguridad de forma periódica para el
resguardo de la información, se definen los diversos niveles de importancia y
confidencialidad de los datos que se deban realizar copias de seguridad.
7. Política de protección contra malware
Habilita el uso de antivirus y antimalware para la protección de los sistemas y
dispositivos de la institución, se deben contemplar las instalaciones y
actualizaciones correspondientes según los estándares de seguridad.
8. Política de auditoría y registro de eventos
Establece los procedimientos y controles para la auditoria y administración de
los eventos o acciones realizadas, según la aplicación o sistema y el usuario que la
realiza, contando de esta forma con bitácora de acciones realizadas.
9. Política de acceso a servidores
Define que usuarios tienen acceso a los servidores, como se deben de conectar,
que acciones pueden realizar o consultar.
10. Política de gestión de riesgos
Define los procedimientos, controles y acciones para identificar riesgos
potenciales que puedan afectar a los sistemas y dispositivos, estableciendo rutas
para disminuir los riesgos.
11. Política de gestión de incidentes
Establece acciones para eliminar o reducir el impacto de los incidentes que se
presenten en los sistemas.
 8

12. Política de autenticación multifactor

Establece el uso de las autenticaciones con diversos factores de autenticación,
para el acceso a los sistemas de la institución para aumentar la seguridad y
disminuir riesgos o incidentes.
13. Política de redundancia de infraestructura
Define los lineamientos para la redundancia de infraestructura con respecto a
los sistemas críticos de la institución, ofreciendo así la disponibilidad de los servicios
más importantes para la institución.
14. Política de gestión de accesos privilegiados
Establece los requisitos y estándares para otorgar y administrar accesos
privilegiados a cierto personal, siempre que se cumplan con los estándares de
auditoría y registro de eventos de cada usuario.
15. Política de acceso a internet
Establece los controles y permisos para acceso a internet de los dispositivos que
se encuentren en la red interna, limitando el acceso para evitar incidentes.
Procedimientos de seguridad
Procedimiento política contraseña seguras:
1. Complejidad en las contraseñas:
a. Las contraseñas deben tener un mínimo de longitud de 8 caracteres.
b. Las contraseñas deben incluir letras mayúsculas, minúsculas,
números y símbolos, teniendo la siguiente estructura:
i. Contener al menos 1 número
ii. Contener al menos 1 símbolo
iii. Contener al menos 1 mayúscula
iv. Contener al menos 1 minúscula.
2. Cambios de contraseña periódicamente:
a. Las contraseñas deben ser cambiadas cada 180 días notificando al
usuario 30 días antes.
b. No deben ser iguales a las 5 últimas contraseñas anteriores
promoviendo el uso de nuevas contraseñas únicas.
 9

3. Concientizar a los usuarios:

a. Las contraseñas no deben contener información personal como
nombres y fechas de nacimiento.
b. Las contraseñas no deben ser escritas en papel y que puedan estar al
alcance de terceras personas.
c. Las contraseñas son privadas y no se deben compartir.
4. Utilizar herramientas de autenticación multifactorial:
a. La autenticación multifactorial proporciona una capa adicional de
seguridad al requerir que los usuarios proporcionen múltiples formas
de autenticación para acceder a sus cuentas. Esto puede incluir el uso
de códigos enviados a través de mensajes de texto o aplicaciones de
autenticación.
Política de acceso a usuarios
1. Identificación de recursos
a. Se definen las aplicaciones, sistemas, datos y comunicaciones que
deben ser protegidas y controladas.
2. Definición de los niveles de acceso
a. Se definen los roles y responsabilidades que tiene cada uno.
b. Se definen los accesos que tiene cada rol.
c. Se definen los usuarios y requisitos para asignación de rol.
3. Implementación de controles de acceso a cada recurso con el objetivo de
llevar una bitácora de acceso.
4. Capacitación a los usuarios sobre los roles y responsabilidades asignadas y
sobre la ética del uso de sus accesos.
5. Monitoreo y cumplimiento de los accesos y roles asignados. (Documentation,
03)
Política de parches y actualizaciones
1. Identificación de los sistemas y software críticos que se utilizan en la
organización y que deben ser actualizados regularmente para garantizar su
seguridad y estabilidad. Esto incluye sistemas operativos, aplicaciones,
 10

dispositivos de red y cualquier otro software utilizado para realizar

operaciones críticas.
2. Frecuencia de las actualizaciones: Se debe establecer una frecuencia para
realizar las actualizaciones de los sistemas y software críticos.
3. Prioridad de las actualizaciones: Es importante definir una prioridad para
las actualizaciones, en función de la criticidad del sistema o software que se
va a actualizar.
4. Comunicación: Es importante establecer un mecanismo de comunicación
para notificar a los usuarios y administradores de sistemas sobre las
actualizaciones y los cambios que se realizarán en los sistemas.
5. Evaluación de las actualizaciones: Es importante evaluar las
actualizaciones antes de implementarlas para asegurarse de que no afecten
negativamente al funcionamiento del sistema o software.
6. Implementación de las actualizaciones: Una vez que se han evaluado las
actualizaciones, se pueden implementar siguiendo los procedimientos
establecidos en la política de actualización.
7. Monitoreo de las actualizaciones: Es importante monitorear el sistema
después de la implementación de las actualizaciones para detectar cualquier
problema y asegurarse de que el sistema esté funcionando correctamente.
8. Evaluación y mejora continua: Es importante realizar una evaluación
periódica de la política de actualización para identificar áreas de mejora y
actualizarla en consecuencia.
Política de segmentación de red
1. Identificación de los activos críticos: El primer paso es identificar los
activos críticos de la organización, incluyendo los sistemas, datos,
aplicaciones y servicios que deben protegerse. Esto permitirá determinar la
cantidad y el tipo de segmentos de red que se necesitan para poder
protegerlos.
2. Diseño de la arquitectura de la red: Se deben crear un diseño de
arquitectura de red esto para asegurar que los diferentes segmentos puedan
 11

estar de manera adecuada y que haya suficientes controles de seguridad

entre ellos. Se debe identificar los flujos de tráfico de red y así asegurar que
esté optimizado y seguro. Esto puede incluir la creación de VLANs, subredes
y zonas de seguridad.
3. Creación de políticas de acceso: Se deben crear políticas de acceso para
cada segmento de red, definiendo quiénes tienen acceso y qué tipo de
acceso se les permite. Las políticas de acceso deben ser lo más restrictivas
posible y basarse en el principio de "necesidad de conocer" para minimizar
el riesgo de exposición.
4. Implementación de mecanismos de seguridad: Se deben implementar
mecanismos de seguridad, como firewalls, sistemas de detección de
intrusiones (IDS) y sistemas de prevención de intrusiones (IPS), para
proteger cada segmento de red y evitar la propagación de posibles
amenazas.
5. Monitoreo y auditoría: Una vez implementada la política de segmentación
de red, se debe realizar un monitoreo y auditoría continuos para detectar
cualquier violación de seguridad y evaluar la efectividad de las políticas de
acceso y los mecanismos de seguridad.
6. Actualización y mantenimiento: Es importante mantener actualizada la
política de segmentación de red y los mecanismos de seguridad y revisar
regularmente para poder asegurar de que sigue siendo eficaz y adecuada
para la institución en función de las nuevas amenazas y vulnerabilidades que
se identifiquen.
7. Capacitación y concienciación: Por último, es esencial capacitar a los
empleados sobre la importancia de la segmentación de red y las políticas de
acceso y concientizarlos sobre los riesgos de no cumplir con estas políticas.
Política de control de dispositivos
1. Identificar los dispositivos: Los dispositivos externos que requieran hacer uso
de las redes internas deben estar identificados y registrados.
a. Se registra marca de dispositivo.
 12

b. Se registra modelo de dispositivo.

c. Se registra dueño de dispositivo.
d. Se registra motivo de conexión.
2. Establecer los controles a seguir: La política debe establecer las reglas y
directrices para el uso de los dispositivos, como quién tiene acceso, cuándo
se pueden usar, cómo se deben proteger y cómo se deben manejar los datos
almacenados en ellos.
a. Se realiza la conexión por medio del uso de VPN.
b. La conexión debe realizarse por medio del usuario y contraseñas
establecidas por la institución.
c. La conexión debe restablecerse cada 8 horas.
3. Implementar controles técnicos: La política debe incluir la implementación
de controles técnicos, como software de seguridad, firewalls, antivirus.
4. Definir los roles y responsabilidades: La política debe definir los roles y
responsabilidades de los empleados, gerentes y el departamento de TI en la
implementación y cumplimiento de la política.
5. Capacitar a los empleados: La política debe incluir la capacitación de los
empleados sobre las reglas y directrices establecidas, los riesgos asociados
con el uso de dispositivos y cómo proteger la información confidencial.
6. Monitorear y hacer cumplir la política: La política debe ser monitoreada y
aplicada de manera consistente para asegurar que los empleados cumplan
con las reglas y directrices establecidas.
7. Actualizar la política: La política debe ser revisada y actualizada
regularmente para reflejar los cambios en la tecnología, los riesgos de
seguridad y las necesidades de la organización.
La implementación de una política de control de dispositivos es importante para
proteger la información confidencial de la empresa y prevenir la pérdida o robo de
datos importantes. Además, puede ayudar a garantizar la productividad de los
empleados y así poder minimizar los riesgos de seguridad en la red de la empresa.
 13

Política de copias de seguridad

1. Identificar los datos críticos: Es necesario identificar los datos que son
críticos para el funcionamiento de la organización. Esto puede incluir datos
financieros, registros de clientes, bases de datos, correos electrónicos,
documentos importantes, etc.
2. Definir la frecuencia de las copias de seguridad: Esto puede depender
del tipo de datos, la cantidad de datos que se generan diariamente y el tiempo
de recuperación permitido.
3. Seleccionar un medio de almacenamiento adecuado para las copias de
seguridad. Puede ser una unidad de disco duro-externa, un servidor de
respaldo en línea, una nube privada o pública, o una combinación de estos.
4. Definir una política de rotación de medio para asegurarse de que las copias
de seguridad estén actualizadas y sean accesibles en todo momento. Esto
implica la definición de cuántas copias se deben hacer, cuánto tiempo deben
ser almacenadas y cómo se deben rotar.
5. Establecer procedimientos de verificación para asegurarse de que las copias
de seguridad sean correctas y que se puedan recuperar los datos en caso de
una emergencia. Esto puede incluir la realización de pruebas de
recuperación de datos y la validación de las copias de seguridad.
6. Capacitar al personal: Es importante capacitar al personal encargado de
realizar las copias de seguridad y restauración de datos, en el uso de las
herramientas de respaldo y recuperación de datos y en los procedimientos
establecidos.
7. Monitorear y mantener la política de copias de seguridad: Es
fundamental monitorear y mantener la política de copias de seguridad de
forma periódica. Esto incluye la revisión de los procedimientos establecidos,
la actualización de la política en caso de cambios y la verificación de que se
estén realizando las copias de seguridad de forma regular.
 14

La implementación de una política de seguridad es crucial para poder proteger

la información sensible y los activos de la organización contra amenazas internas y
externas.
Política de protección contra malware.
1. Selección de herramientas: Seleccionar y adquirir las herramientas
necesarias para proteger la organización contra el malware. Estas
herramientas pueden incluir software antivirus, firewalls, soluciones
antimalware y soluciones de prevención de intrusiones.
2. Capacitación y concientización: Capacitar y concientizar a los empleados
sobre los riesgos asociados con el malware, y cómo pueden ayudar a
prevenir su propagación. Los empleados deben saber cómo reconocer
correos electrónicos maliciosos, páginas web inseguras y cómo deben
manejar los dispositivos extraíbles.
3. Actualización de software: Mantener todo el software actualizado,
incluyendo el sistema operativo, el navegador web y cualquier software de
terceros utilizado en la organización. Los parches de seguridad y
actualizaciones deben instalarse tan pronto como estén disponibles para
evitar que se exploten las vulnerabilidades.
4. Realizar pruebas de seguridad regularmente para asegurarse de que todas
las medidas de seguridad están funcionando correctamente y para identificar
cualquier punto débil que pueda existir.
5. Monitorear y evaluar continuamente el ambiente de seguridad para identificar
cualquier actividad sospechosa. Evaluar regularmente la eficacia de las
medidas de seguridad y actualizarlas si es necesario.
6. Limitar los permisos de usuario: Limitar los permisos de usuario para evitar
la instalación de software y otras actividades peligrosas en la red de la
organización.
7. Establecer políticas de respaldo de datos: Establecer políticas de
respaldo de datos para así asegurarse de que se puedan recuperar los datos
críticos en caso de una infección de malware o una brecha de seguridad.
 15

Política de auditoría y registro de eventos

1. Identificación de eventos críticos: es importante identificar los eventos
críticos que se deben auditar y registrar. Estos eventos pueden incluir
intentos fallidos de inicio de sesión, cambios en los permisos de los usuarios,
acceso no autorizado a datos sensibles, entre otros.
2. Selección de herramientas de registro y auditoría: se deben seleccionar
las herramientas de registro y auditoría adecuadas para el entorno de la
organización. Estas herramientas deben ser capaces de recopilar y registrar
los eventos críticos identificados.
3. Configuración de los sistemas de registro y auditoría: los sistemas de
registro y auditoría deben ser configurados adecuadamente para garantizar
que se están recopilando todos los eventos críticos y que se estén
registrando de manera adecuada.
4. Establecimiento de políticas de retención de registros: se deben
establecer políticas de retención de registros que definen cuánto tiempo se
deben mantener los registros y cómo se deben archivar y proteger.
a. Se debe almacenar fecha y hora del evento.
b. Se debe almacenar la dirección IP del dispositivo.
c. Se debe almacenar usuario quien realizó el evento.
d. Se debe almacenar el tipo de evento.
5. Monitoreo y revisión continua: se debe monitorear y revisar continuamente
la política de auditoría y registro de eventos para asegurarse de que esté
actualizada y que esté cumpliendo con los objetivos de seguridad de la
organización.
6. Capacitación del personal: es importante capacitar al personal para que
comprendan la política de auditoría y registro de eventos y cómo se deben
reportar los eventos críticos.
7. Implementación de medidas de seguridad adicionales: se deben
implementar medidas de seguridad adicionales para garantizar la integridad
de los registros y protegerlos contra el acceso no autorizado.
 16

La implementación de una política de auditoría y registro de eventos es

fundamental para poder garantizar la seguridad de la información de una
organización.
Política de acceso a servidores
1. Identificar los servidores críticos: Identificar los servidores que son críticos
para el funcionamiento de la organización y que contienen información
sensible o confidencial.
2. Definir los usuarios y roles: Definir los usuarios que tienen acceso a los
servidores y los roles que desempeñan en la organización. Esto puede incluir
administradores de sistemas, personal de soporte técnico y usuarios finales.
3. Establecer niveles de acceso: Establecer niveles de acceso para los
diferentes usuarios y roles. Los niveles de acceso pueden variar desde
acceso total a un servidor hasta acceso limitado a ciertas funciones o datos.
4. Implementar autenticación: Implementar medidas de autenticación para
verificar la identidad de los usuarios que intentan acceder a los servidores.
Esto puede incluir contraseñas fuertes, autenticación de dos factores o
biometría.
5. Configurar permisos: Configurar los permisos de los usuarios y roles para
limitar el acceso a los datos y funciones críticas. Esto puede incluir
restricciones de lectura/escritura, permisos de ejecución y restricciones de
acceso a redes.
6. Controlar el acceso remoto: Controlar el acceso remoto a los servidores a
través de medidas de seguridad adicionales, como VPNs (redes privadas
virtuales) y firewalls.
7. Entrenamiento de usuarios: Proporcionar entrenamiento y educación a los
usuarios para asegurar que entiendan las políticas de acceso a los servidores
y las medidas de seguridad que deben seguir.
8. Revisión y actualización de políticas: Revisar y actualizar regularmente
las políticas de acceso a los servidores para asegurar que sigan siendo
efectivas y adecuadas para las necesidades cambiantes de la organización.
 17

Política de gestión de riesgos

1. Identificación de los riesgos: El primer paso es identificar los riesgos que
pueden afectar a la organización. Esto se puede hacer a través de la revisión
de los registros de incidentes pasados, la evaluación de los procesos críticos
y la consulta a los expertos en la materia.
2. Análisis de riesgos: Una vez que se han identificado los riesgos, se debe
llevar a cabo un análisis detallado de cada uno de ellos. Este análisis debe
determinar la probabilidad y el impacto de cada riesgo, así como las medidas
que se pueden tomar para mitigarlos.
3. Evaluación de riesgos: Después de analizar cada riesgo, se debe evaluar
su nivel de riesgo. Esto ayudará a la organización a priorizar los riesgos y a
enfocar sus esfuerzos en aquellos que son más críticos.
4. Desarrollo de un plan de acción: Con base en la evaluación de los riesgos,
se debe desarrollar un plan de acción para mitigarlos. Este plan debe incluir
medidas específicas que se tomarán para reducir el riesgo, así como los
recursos necesarios para implementarlas.
5. Implementación del plan de acción: Una vez que se ha desarrollado el plan
de acción, se debe implementar. Esto implica asignar responsabilidades,
definir plazos y asegurarse de que se tengan los recursos necesarios.
6. Monitoreo y revisión: La gestión de riesgos es un proceso continuo que
requiere monitoreo y revisión constante. Se debe establecer un sistema de
seguimiento para monitorear el impacto de las medidas tomadas y hacer
ajustes en caso necesario.
7. Comunicación y capacitación: Es importante comunicar la política de
gestión de riesgos a todo el personal de la organización y capacitarlos en la
identificación y gestión de los riesgos. Esto ayudará a garantizar que la
política se implemente de manera efectiva.
 18

Política de gestión de incidentes

1. Definir los objetivos y alcance de la política: El primer paso es definir los
objetivos y el alcance de la política de gestión de incidentes. Esto incluye
identificar los tipos de incidentes que se deben manejar, el nivel de riesgo
que se puede tolerar y los procedimientos de respuesta apropiados.
2. Designar un equipo de respuesta a incidentes: Se debe designar un
equipo de respuesta a incidentes (IRT, por sus siglas en inglés) que tenga la
experiencia y habilidades necesarias para manejar los incidentes de manera
eficiente. El equipo debe incluir representantes de las áreas de TI, seguridad,
comunicaciones y relaciones públicas, entre otros.
3. Desarrollar un plan de respuesta a incidentes: El plan de respuesta a
incidentes debe incluir los procedimientos de respuesta específicos para
cada tipo de incidente identificado. Esto puede incluir la identificación y
contención del incidente, la recuperación de los sistemas afectados y la
documentación del incidente.
4. Capacitar al personal: Es importante que todos los empleados de la
organización estén capacitados en la política de gestión de incidentes y en el
plan de respuesta a incidentes. Esto les permitirá actuar rápidamente y de
manera efectiva en caso de un incidente.
5. Establecer un sistema de reporte de incidentes: Se debe establecer un
sistema de reporte de incidentes que permita a los empleados reportar
incidentes de manera rápida y eficiente. Esto puede incluir la creación de un
correo electrónico o un número telefónico de emergencia.
6. Realizar simulaciones de incidentes: Se deben realizar simulaciones de
incidentes para probar la efectividad del plan de respuesta a incidentes y para
identificar áreas de mejora. Esto puede incluir la realización de ejercicios de
escenarios hipotéticos o pruebas de penetración.
7. Monitorear y evaluar el desempeño del equipo de respuesta a
incidentes: Es importante monitorear y evaluar el desempeño del equipo de
 19

respuesta a incidentes para identificar áreas de mejora y asegurar que la

política de gestión de incidentes se esté implementando de manera efectiva.
8. Actualizar la política y el plan de respuesta a incidentes: La política de
gestión de incidentes y el plan de respuesta a incidentes deben ser
actualizados regularmente para asegurar que estén alineados con los
cambios en el entorno de la organización y para reflejar las mejores prácticas
de la industria.
Política Autenticación y Gestión de Identidad
1. Uso de contraseñas seguras: Se deben establecer requisitos para las
contraseñas, como longitud mínima, uso de caracteres especiales y
números, y prohibición de palabras comunes. Además, se debe obligar a los
usuarios a cambiar sus contraseñas periódicamente.
2. Autenticación de dos factores: Se debe requerir que los usuarios
proporcionen dos formas de autenticación, como una contraseña y un código
generado por una aplicación móvil, para acceder a los recursos protegidos.
3. Monitoreo de actividad de usuario: Se debe monitorear la actividad de los
usuarios para detectar cualquier actividad sospechosa, como intentos de
inicio de sesión fallidos repetidos o intentos de acceso a recursos no
autorizados.
4. Gestión de acceso basada en roles: Se deben establecer roles y permisos
basados en las funciones y responsabilidades de los usuarios para garantizar
que solo tengan acceso a los recursos necesarios para realizar su trabajo.
5. Procedimientos de eliminación de cuentas de usuario: Se deben
establecer procedimientos para eliminar las cuentas de usuario de manera
segura cuando ya no sean necesarias.
6. Protección de datos personales: Se deben implementar medidas de
seguridad para proteger la información personal de los usuarios, como
nombres, direcciones y números de seguridad social.
 20

Política de redundancia de infraestructura

1. Identificación de los sistemas críticos: Lo primero que se debe hacer es
identificar los sistemas críticos de la organización, aquellos que son
indispensables para el funcionamiento de la empresa y que no pueden
permitirse fallas prolongadas.
2. Diseño de un plan de contingencia: Una vez identificados los sistemas
críticos, se debe diseñar un plan de contingencia que permita a la
organización mantener la continuidad del negocio en caso de una falla en
alguno de ellos.
3. Creación de una arquitectura de alta disponibilidad: La arquitectura de
alta disponibilidad es una solución que se utiliza para minimizar el tiempo de
inactividad y garantizar que los servicios estén siempre disponibles. Esto se
logra mediante la implementación de sistemas redundantes y la creación de
una infraestructura resistente a fallos.
4. Implementación de sistemas de alimentación ininterrumpida (UPS): La
implementación de sistemas de alimentación ininterrumpida (UPS) permite
que los sistemas críticos se mantengan funcionando en caso de una falla en
la red eléctrica.
5. Configuración de clústeres de servidores: La configuración de clústeres
de servidores permite que varios servidores trabajen en conjunto para
garantizar la disponibilidad de los servicios en caso de una falla en alguno de
ellos.
6. Uso de almacenamiento en espejo: La utilización de almacenamiento en
espejo permite que los datos se copien en varios dispositivos de
almacenamiento para garantizar su disponibilidad en caso de una falla en
alguno de ellos.
7. Realización de pruebas de continuidad del negocio: Por último, es
importante realizar pruebas de continuidad del negocio para asegurarse de
que la política de redundancia de infraestructura funciona correctamente y
 21

que la organización puede mantener la continuidad del negocio en caso de

una falla en alguno de sus sistemas críticos.
Política de acceso a internet
1. Definir los objetivos de la política: Antes de comenzar a redactar una
política de acceso a internet, es importante definir los objetivos que se
quieren alcanzar con ella. Esto puede incluir objetivos relacionados con la
seguridad, la productividad, la privacidad y la reputación de la empresa.
2. Identificar los riesgos: Es importante identificar los riesgos asociados con
el uso de internet en el lugar de trabajo. Estos pueden incluir virus
informáticos, malware, phishing, ciberacoso, y pérdida de información
confidencial, entre otros.
3. Definir los términos y condiciones: Una vez que se han identificado los
objetivos y los riesgos, es necesario definir los términos y condiciones de la
política de acceso a internet. Esto puede incluir las horas de uso permitidas,
los sitios web y aplicaciones permitidos o prohibidos, y las sanciones por
violar la política.
4. Comunicar la política: La política de acceso a internet debe ser comunicada
a todos los empleados de la organización de manera clara y concisa. Se
puede realizar a través de reuniones, correos electrónicos, publicaciones en
intranet, entre otros.
5. Implementar herramientas de monitoreo: Para garantizar el cumplimiento
de la política, es necesario implementar herramientas de monitoreo que
permitan a los administradores de red detectar y bloquear el acceso a sitios
web y aplicaciones prohibidas.
6. Revisar y actualizar la política: Es importante revisar periódicamente la
política de acceso a internet para asegurarse de que sigue siendo relevante
y efectiva en la protección de la empresa contra los riesgos asociados con el
uso de internet.
 22

Diagrama de arquitectura de seguridad de Telecomunicaciones.

Un diagrama de seguridad de telecomunicaciones debe de incluir algunas
características:
• Firewall: Dispositivo de seguridad que se coloca entre la red de la
empresa y el internet para filtrar el tráfico y evitar ataques no autorizados.
• Autenticación y autorización: Se debe de verificar la identidad de los
usuarios y les da acceso solo a los recursos y datos necesarios.
• VPN: Es una conexión cifrada que permite a los usuarios acceder de
forma segura a la red de la empresa desde ubicaciones remotas.
• Protección de correo electrónico: Filtro que puede bloquear correos
electrónicos no deseados o peligroso que pueden contener malware o
phishing.
• DNS: Protocolo de internet utilizado para convertir nombres de dominio
en direcciones IP que se utilizan para identificar dispositivos y servidores
de la red.
• Web Server: Software que es diseñado para recibir y responder a las
solicitudes de clientes que acceden a sitios web.
 23

Figura 2 Diagrama de Red

Nota. Diagrama de la red empresarial generalizado, las divisiones

correspondientes. Fuente: Elaboración propia
 24

Instrucciones, Checklist y formularios

Checklist
Según ISO 27001 se elabora el siguiente checklist para la verificación del SGSI
dentro de la organización. (DEKRA, s.f.)
Tabla 1 Lista de verificación SGSI
Lista de verificación SGSI
o antes posible
Identificación de los requisitos legales y regulatorios
 aplicables.
 Identificación de los requisitos específicos de la organización.
 Establecimiento de los objetivos de seguridad de la
información de la organización.
 Identificación de los indicadores clave de rendimiento (KPI)
para medir el éxito del SGSI.
 Evaluación de riesgos de seguridad de la información.
 Implementación de controles de seguridad de la información.
 Gestión de incidentes de seguridad de la información.
 Realización de auditorías internas y externas de seguridad de
la información.
 Identificación de los activos de información.
 Identificación de las amenazas y vulnerabilidades.
 Evaluación de los riesgos.
 Documentación de los resultados.
 Selección de los controles de seguridad adecuados para
mitigar los riesgos identificados.
 Implementación de los controles de seguridad seleccionados.
 Documentación de los controles implementados.
 Desarrollo de un plan de gestión de incidentes.
 25

 Implementación del plan de gestión de incidentes.

 Documentación de los incidentes y las acciones tomadas para
gestionarlos.
 Asignación de un propietario para cada actividad clave del
SGSI.
 Asignación de un responsable para cada tarea en la lista de
verificación.
 Revisión periódica del checklist
Nota. Fuente: Elaboración propia
 26

Formularios
Solicitud de instalación de software en equipos de computo

Guatemala,____de__del____

Señor(a)

Asunto: Solicitud de instalación de software

Saludos Cordiales.

En cumplimiento de las políticas de seguridad, así como los procedimientos para

asegurar el correcto funcionamiento del equipo dentro de la organización, solicito el
apoyo del área correspondiente para la instalación NOMBRE SOFTWARE por el
motivo siguiente JUSTIFICACIÓN

INFORMACION DEL EQUIPO

INFORMACION DEL SOLICITANTE

______________________ ____________________
FIRMA SOLICITANTE FIRMA JEFE INMEDIATO
 27

Solicitud de acceso a cuarto de servidores y equipo de telecomunicaciones

Guatemala, _______de______del______

Señor(a)

Asunto: Acceso a cuarto de servidor y telecomunicaciones

Saludos cordiales.

En cumplimiento de las políticas de seguridad y procedimientos vigentes, solicito

permiso para acceder al cuarto de servidores en la siguiente fecha _________ por
los siguientes motivos: JUSTIFICACION.

INFORMACION DEL SOLICITANTE:

PUESTO
NIT
JEFE INMEDIATO

________________ ____________________
FIRMA SOLICITANTE FIRMA JEFE INMEDIATO
 28

Solicitud de acceso a la red

Se debe generar un ticket en la herramienta de gestión de tickets de la organización
conteniendo la siguiente información:

Puesto del solicitante: _____________________________

MAC Address: ____________________________________

Motivo de la solicitud: _____________________________

Tipo de dispositivo: ______________________________

Dicho ticket debe ser creado por el usuario y ser trasladado por medio de su
administrador o jefe inmediato al área de seguridad.
Solicitud de instalación de software en servidores de plataforma central
Todo requerimiento de instalación de software en servidores de plataforma central
es requerido por medio de una solicitud informática registrada en la herramienta de
gestiones de solicitudes informáticas, llevando en su contenido como mínimo lo
siguiente
Nombre del Administrador de alguno de los Departamentos de Gerencia de
informática que solicita:
_________________________________________________________________
Nombre y versión del software:
_____________________________________________
Nombre del servidor a instalar el software:
____________________________________

Justificación sobre el uso destinado al software solicitado:

________________________
 29

Control de acceso a la sala de servidores

Nombre Cargo NIT Fecha Hora Firma Hora Firma
Ingreso Ingreso Salida Salida
 30

Plantilla de las políticas (Anexo)

Política de Contraseñas
Información general de la política
No. De Nombre de
01 Política de contraseñas
Política la política
Fecha de Jefe de departamento de
28/02/2023 Autor
aprobación infraestructura.
Departamento de aplicación de la política
Departamento de informática
Control de versiones
Fecha de
Versión 1.0.0 28/02/2023
revisión
Descripción
Regula el uso de contraseñas seguras, estableciendo estructura, tamaño
mínimo y frecuencia para el cambio.
También estable que el intercambio de contraseñas entre usuarios internos
queda prohibido.
Objetivo
Aumentar la seguridad con el uso de contraseñas seguras.
Aspectos generales
• Longitud mínima de 8 caracteres
• Incluir caracteres especiales
• Letras minúsculas y mayúsculas
• Incluir números
• Cambiar la contraseña cada 3 meses
• No utilizar nombres o fechas de cumpleaños.
• No utilizar contraseñas iguales a las ultimas 5.
Nota. Fuente: Elaboración propia
 31

Política de Acceso de usuarios

Información general de la política
No. De Nombre de Política de accesos de
02
Política la política usuarios
Fecha de Jefe de departamento de
28/02/2023 Autor
aprobación infraestructura.
Departamento de aplicación de la política
Departamento de informática
Control de versiones
Fecha de
Versión 1.0.0 28/02/2023
revisión
Descripción
Delimita los lineamientos para otorgar acceso a los usuarios
Objetivo
Disponer de control y limitación de los accesos que puedan tener los
usuarios.
Aspectos generales
• Se debe realizar por medio de una solicitud formal, la cual se realice
por el jefe del departamento al que pertenece el usuario.
• En la solicitud de accesos se deben consignar información de
contacto de la persona a la que se le está otorgando accesos.
• Cada persona es responsable de las acciones que se realicen con su
usuario.
• Otorgar únicamente los accesos que sean necesarios según el
usuario.
• Limitación de acceso a datos sensibles.
• Definir rutinas periódicas para validar los roles y accesos según el
puesto del usuario.
Nota. Fuente: Elaboración propia
 32

Política de parches y actualizaciones

Información general de la política
No. De Nombre de Política de parches y
03
Política la política actualizaciones
Fecha de Jefe de departamento de
28/02/2023 Autor
aprobación infraestructura.
Departamento de aplicación de la política
Departamento de informática
Control de versiones
Versión 1.0.0 Fecha de revisión 28/02/2023
Descripción
Establece los lineamientos para implementación de parches y
actualizaciones en los recursos de tecnología de la información
Objetivo
Definir los procesos para instalación de actualizaciones y parches.
Aspectos generales
• Definir lineamientos para la identificación de parches y
actualizaciones, que deban ser implementados para resolver
vulnerabilidades.
• Establecer tiempos para la instalación de parches o actualizaciones.
• Realización de pruebas a los parches o actualizaciones, antes de ser
implementadas.
• Los parches o actualizaciones se deben implementar en todos los
dispositivos que requieran las actualizaciones, sin excepción alguna.
• Monitorear el comportamiento de las actualizaciones realizadas en
los sistemas.
• Capacitar al personal para la implementación escalable de
actualizaciones de los sistemas.
Nota. Fuente: Elaboración propia
 33

Política de segmentación de red

Información general de la política
No. De Nombre de Política de segmentación de
04
Política la política red
Fecha de Jefe de departamento de
28/02/2023 Autor
aprobación infraestructura.
Departamento de aplicación de la política
Departamento de informática
Control de versiones
Versión 1.0.0 Fecha de revisión 28/02/2023
Descripción
Creación y definición de la estructura de la segmentación de las redes.
Objetivo
Disponer de distintos ambientes para aumentar la productividad y
crecimiento tecnológico de la institución.
Aspectos generales
• Desarrollo: es el ambiente que se utiliza para el desarrollo de
aplicaciones y servicios tecnológicos para la institución, a este
ambiente únicamente tiene acceso el personal con funciones de
desarrollo, restringiendo según el departamento al que pertenezcan.
• Pruebas: es el ambiente similar a producción, en este ambiente se
realizan las pruebas de calidad y de negocio para el visto bueno y por
ende solicitud para publicación a producción. A este ambiente
únicamente tendrán acceso el personal de aseguramiento de calidad
y personal de negocio.
• Producción: cuenta con los lineamientos de seguridad y monitoreo
indispensables para el ambiente de producción, contiene políticas de
acceso tanto a nivel interno como externo.
Nota. Fuente: Elaboración propia
 34

Política de control de dispositivos

Información general de la política
No. De Nombre de Política de control de
05
Política la política dispositivos.
Fecha de Jefe de departamento de
28/02/2023 Autor
aprobación infraestructura.
Departamento de aplicación de la política
Todo el personal de la institución.
Control de versiones
Versión 1.0.0 Fecha de revisión 28/02/2023
Descripción
Define los lineamientos para el uso de dispositivos tecnológicos que se
conectan a la red interna.
Objetivo
Controlar y administrar los dispositivos que se conectan a la red institucional
Aspectos generales
• Se debe detallar la marca, modelo, propietario y motivo de conexión
de dispositivos personales a la red.
• Los usuarios que requieran conectarse por medio de conexión
remota, deben hacer uso de conexiones VPN.
• El ingreso por VPN está restringido para ciertos usuarios los cuales
se deben autenticar para hacer uso de estas conexiones.
• Se debe respetar los lineamientos de navegación segura, al hacer
uso de dispositivos personales.
• La conexión mediante dispositivos personales, debe autenticarse
periódicamente en periodos no mayores a 8 horas.
• Se restringe el uso de dispositivos que permitan compartir recursos
de red.
Nota. Fuente: Elaboración propia
 35

Política de copias de seguridad

Información general de la política
No. De Nombre de Política de copias de
06
Política la política seguridad.
Fecha de Jefe de departamento de
28/02/2023 Autor
aprobación infraestructura.
Departamento de aplicación de la política
Departamento de plataforma tecnológica
Control de versiones
Fecha de
Versión 1.0.0 28/02/2023
revisión
Descripción
Define los lineamientos que regularan los procedimientos para realizar
copias de seguridad.
Objetivo
Contar con las normas para realizar copias de seguridad.
Aspectos generales
• Se deben definir los niveles de importancia para la información.
• La información de importancia crítica se debe realizar copia de
seguridad diaria.
• La información de importancia media se debe realizar copia de
seguridad semanal.
• La información de importancia baja se debe realizar copia de
seguridad mensual.
• Las copias de seguridad deben estar accesibles únicamente por
personal autorizado.
• Se debe tener control de quienes acceden a las copias de seguridad,
así como de las acciones que estos realizan.
Nota. Fuente: Elaboración propia
 36

Política de protección contra malware

Información general de la política
No. De Nombre de Política de protección contra
07
Política la política malware.
Fecha de Jefe de departamento de
28/02/2023 Autor
aprobación infraestructura.
Departamento de aplicación de la política
Departamento de infraestructura
Control de versiones
Fecha de
Versión 1.0.0 28/02/2023
revisión
Descripción
Define los lineamientos y regulaciones para la protección contra malware.
Objetivo
Disponer de procedimientos y acciones para combatir el malware.
Aspectos generales
• Instalar y actualizar software antivirus y antimalware en todos los
dispositivos.
• Implementar firewall para bloquear el tráfico malicioso y evitar los
DDOS.
• Educación y capacitación al personal para la navegación segura y
evitar el malware.
• Realizar evaluaciones periódicas para la identificación de
vulnerabilidades y tomar acciones correctivas.
• Se debe realizar el monitoreo para identificación del malware,
identificando nuevas amenazas e implementando nuevos
mecanismos de control y seguridad.
Nota. Fuente: Elaboración propia
 37

Política de auditoría y registro de eventos.

Información general de la política
No. De Nombre de Política de auditoría y registro
08
Política la política de eventos
Fecha de Jefe de departamento de
28/02/2023 Autor
aprobación infraestructura.
Departamento de aplicación de la política
Departamento de infraestructura
Control de versiones
Versión 1.0.0 Fecha de revisión 28/02/2023
Descripción
Regula la implementación y uso de registros de eventos para bitácora de
acciones realizadas por cada usuario.
Objetivo
Administrar y controlar las acciones que realizan los usuarios dentro de la
infraestructura de la institución.
Aspectos generales
• Implementar sistemas de registro de eventos que sirvan para
investigación forense.
• Almacenar información de la fecha y hora, dirección IP, usuario y tipo
de acción realizada.
• Establecer áreas críticas para limitar el acceso, manteniendo siempre
el registro de actividades.
• Restringir el acceso a los registros para que la información se
conserve integra y se pueda analizar.
• Definir responsabilidades para la gestión, administración y
supervisión de los registros.
• Realizar revisiones periódicas para el análisis e identificación de
acciones maliciosas.
 38

• Definir procesos y banderas para la identificación de acciones

sospechosas.
Nota. Fuente: Elaboración propia
Política de acceso a servidores
Información general de la política
No. De Nombre de
09 Política de acceso a servidores
Política la política
Fecha de Jefe de departamento de
28/02/2023 Autor
aprobación infraestructura.
Departamento de aplicación de la política
Departamento de infraestructura.
Departamento de informática.
Control de versiones
Versión 1.0.0 Fecha de revisión 28/02/2023
Descripción
Define los aspectos y controles para gestionar el acceso a servidores.
Objetivo
Limitar y controlar el acceso a servidores.
Aspectos generales
• La solicitud para acceso a servidores se debe realizar de manera
formal, por medio del jefe de departamento al que pertenezca el
usuario.
• La solicitud para acceso a servidores debe incluir información general
del usuario, datos de contacto, carta de responsabilidad por acciones
realizadas con las respectivas credenciales, motivo por el cual se
solicita el acceso, dirección IP desde la cual se conectará a los
servidores.
• Se debe disponer de bitácora de registro de conexiones y acciones
realizadas por el usuario en los servidores.
 39

• Establecer medidas de seguridad en la conexión, como autenticación

por multifactor, encriptación de datos.
• Definir medidas de seguridad que limiten el acceso y acciones que
pueda realizar el usuario.
• Verificar periódicamente los usuarios que tengan acceso, así como el
tipo de accesos que tienen.
Nota. Fuente: Elaboración propia
Política de gestión de riesgos
Información general de la política
No. De Nombre de
10 Política de gestión de riesgos
Política la política
Fecha de Jefe de departamento de
28/02/2023 Autor
aprobación infraestructura.
Departamento de aplicación de la política
Departamento de infraestructura
Control de versiones
Versión 1.0.0 Fecha de revisión 28/02/2023
Descripción
Define los procedimientos para identificar y mitigar riesgos con respecto a
los recursos de tecnologías de la información.
Objetivo
Proteger y garantizar la continuidad en la infraestructura.
Aspectos generales
• Actualizar periódicamente el inventario de activos críticos.
• Realizar evaluaciones y pruebas periódicas a los activos críticos.
• Disponer del detalle de licenciamiento de servicios críticos.
• Definir medidas que limiten y controlen el acceso físico.
• Establecer políticas de recuperación de desastres.
 40

• Definir responsabilidades en el monitoreo y toma de decisiones con

respecto a inconvenientes.
• Capacitar al personal para la aplicación de nuevas medidas de
seguridad en la infraestructura que ayude en la disminución de los
riesgos.
Nota. Fuente: Elaboración propia
Plan Estratégico
El plan estratégico es una herramienta fundamental para cualquier
organización que busque alcanzar sus objetivos a largo plazo y asegurar su
sostenibilidad. En el caso de la Superintendencia de Administración Tributaria, el
plan estratégico se convierte en una guía para la modernización integral del servicio
aduanero y de comercio exterior, fortalecimiento institucional y mejora continua de
la eficiencia en la administración de los recursos físicos, económicos y humanos
internos. Este plan se enfoca en mejorar los procesos y controles relacionados con
el sistema aduanero, mediante la implementación de herramientas tecnológicas y
procedimientos que permitan una gestión eficiente y efectiva de los recursos, con el
fin de mejorar la seguridad en las telecomunicaciones y ofrecer disponibilidad,
integridad y privacidad de todos los datos involucrados. Con este plan, la SAT busca
garantizar una administración tributaria de calidad, promoviendo el cumplimiento
voluntario de las obligaciones fiscales y fortaleciendo la confianza de los
contribuyentes en el sistema tributario.
Objetivo general
Fortalecer la infraestructura y seguridad de las telecomunicaciones de la
SAT, para garantizar la disponibilidad, integridad y privacidad de la información,
mejorando así la eficiencia y eficacia de los procesos de la institución.
Objetivos específicos
1. Mejorar la infraestructura tecnológica de la SAT:
o Identificar y priorizar los componentes de la infraestructura tecnológica
que requieren mejoras.
 41

o Establecer un plan de actualización y mantenimiento de los

componentes prioritarios de la infraestructura.
o Realizar pruebas de resistencia y eficacia de los componentes
mejorados.
2. Mejorar la seguridad en la gestión de las telecomunicaciones:
o Identificar los riesgos y amenazas potenciales a la seguridad de las
telecomunicaciones de la SAT.
o Desarrollar políticas y procedimientos para la gestión de riesgos y
amenazas potenciales.
o Implementar medidas de seguridad y control que protejan la
información y las telecomunicaciones de la SAT.
3. Mejorar la capacitación y formación del personal
o Identificar los riesgos y amenazas potenciales a la seguridad de las
telecomunicaciones de la SAT.
o Desarrollar políticas y procedimientos para la gestión de riesgos y
amenazas potenciales.
o Implementar medidas de seguridad y control que protejan la
información y las telecomunicaciones de la SAT.
4. Mejorar la gestión de los proveedores de servicios:
o Identificar los riesgos y amenazas potenciales a la seguridad de las
telecomunicaciones de la SAT.
o Desarrollar políticas y procedimientos para la gestión de riesgos y
amenazas potenciales.
o Implementar medidas de seguridad y control que protejan la
información y las telecomunicaciones de la SAT.
Estrategias y acciones
Para alcanzar los objetivos propuestos en el plan estratégico, se deben
definir estrategias y acciones específicas que permitan materializar los cambios
necesarios en el corto, mediano y largo plazo. Estas estrategias y acciones deben
ser diseñadas de manera clara y precisa, teniendo en cuenta los recursos
 42

disponibles, los riesgos involucrados y las oportunidades que se presenten en el

entorno. De esta forma, se podrán establecer planes de acción que permitan la
implementación de las estrategias definidas, la mejora continua de los procesos y
la gestión eficiente de los recursos. Es esencial que estas estrategias y acciones se
enfoquen en el fortalecimiento institucional, la modernización del servicio aduanero
y de comercio exterior, la mejora en los controles y en la eficiencia en la
administración de los recursos, así como la garantía de la seguridad en las
telecomunicaciones y la protección de la privacidad de los datos de los
contribuyentes. Con la definición y ejecución de estas estrategias y acciones, la SAT
estará en condiciones de ofrecer un servicio de calidad y contribuir al desarrollo
económico y social del país.
• Establecer un equipo de trabajo para liderar y coordinar la implementación
del plan estratégico.
• Realizar un análisis detallado de la infraestructura tecnológica actual de la
SAT.
• Desarrollar políticas y procedimientos para la gestión de riesgos y amenazas
potenciales.
• Implementar medidas de seguridad y control que protejan la información y
las telecomunicaciones de la SAT.
• Identificar las habilidades y conocimientos necesarios para garantizar la
seguridad de las telecomunicaciones y desarrollar programas de
capacitación y formación para el personal de la SAT.
• Establecer criterios y estándares de seguridad para la selección y
contratación de proveedores de servicios críticos para las
telecomunicaciones de la SAT.
• Realizar evaluaciones periódicas de los proveedores de servicios para
garantizar el cumplimiento de los criterios y estándares de seguridad
establecidos.
• Realizar pruebas de resistencia y eficacia de los componentes mejorados de
la infraestructura tecnológica.
 43

Indicadores de éxito
Para medir el éxito en cualquier proyecto, es esencial contar con indicadores
que permitan evaluar el desempeño y el impacto de las acciones implementadas.
En el caso de la Superintendencia de Administración Tributaria (SAT), los
indicadores seleccionados están enfocados en mejorar la seguridad y eficiencia de
los procesos de telecomunicaciones, así como la satisfacción tanto del personal
como de los usuarios de los servicios de la SAT.
La disminución del número de incidentes de seguridad relacionados con las
telecomunicaciones, la mejora en la eficiencia y eficacia de los procesos, y el
aumento en la satisfacción son elementos clave para garantizar el éxito del
proyecto.
Estos indicadores nos permitirán monitorear y medir los resultados de las
estrategias y acciones implementadas, con el fin de ajustarlas en caso de ser
necesario y asegurar que estamos avanzando en la dirección correcta. En este plan
estratégico, se establecerán los objetivos, metas y acciones necesarias para
alcanzar estos indicadores de éxito y lograr una mejora significativa en la seguridad
y eficiencia de los procesos de telecomunicaciones de la SAT.
• Disminución del número de incidentes de seguridad relacionados con las
telecomunicaciones de la SAT.
• Mejora en la eficiencia y eficacia de los procesos de la SAT relacionados con
las telecomunicaciones.
• Aumento en la satisfacción del personal y de los usuarios de los servicios de
telecomunicaciones de la SAT.
Mejora en la capacidad de respuesta de la SAT ante situaciones de crisis o
emergencia relacionadas con las telecomunicaciones.
Plan de Implementación
1. Definición de responsabilidades: Se debe definir claramente qué
departamentos o áreas de la SAT serán responsables de implementar cada
una de las estrategias y acciones definidas en el plan estratégico. Asimismo,
 44

se deben establecer las fechas límites para la implementación de cada una

de ellas.
2. Establecimiento de un cronograma: Es importante establecer un
cronograma detallado de las actividades que se realizarán para la
implementación de cada estrategia y acción. Este cronograma debe incluir
los plazos establecidos, los responsables de cada actividad y los recursos
necesarios para su realización.
3. Asignación de recursos: Se deben asignar los recursos necesarios para la
implementación de cada estrategia y acción, tanto humanos como materiales
y financieros. Esto debe hacerse de manera realista y considerando el
presupuesto disponible.
4. Comunicación y capacitación: Es importante que se establezca un plan de
comunicación y capacitación para asegurar que todo el personal de la SAT
esté alineado con las estrategias y acciones del plan estratégico. Se deben
establecer mecanismos de comunicación interna y externa que permitan
difundir los avances y logros de la implementación del plan.
5. Monitoreo y evaluación: Se deben establecer mecanismos de monitoreo y
evaluación que permitan hacer seguimiento al avance de la implementación
del plan estratégico. Esto permitirá detectar posibles desviaciones y tomar
medidas correctivas a tiempo.
Plan de Monitoreo y Evaluación
1. Definición de indicadores: Se deben definir los indicadores que permitirán
medir el éxito de la implementación del plan estratégico. Estos indicadores
deben estar alineados con los objetivos y metas definidos en el plan
estratégico y deben ser cuantificables y medibles.
2. Recolección de datos: Es importante establecer los mecanismos
necesarios para recolectar los datos que permitirán medir los indicadores
definidos. Estos mecanismos pueden incluir encuestas, entrevistas, revisión
de registros y otros métodos.
 45

3. Análisis de resultados: Se debe realizar un análisis periódico de los

resultados obtenidos con el fin de evaluar el avance en la implementación del
plan estratégico. Este análisis debe incluir la identificación de desviaciones y
la definición de medidas correctivas.
4. Toma de decisiones: Los resultados obtenidos a través del monitoreo y
evaluación deben ser utilizados para la toma de decisiones que permitan
mejorar la implementación del plan estratégico. Es importante que se definan
responsables para la implementación de las medidas correctivas necesarias.
5. Reporte de resultados: Es importante que se realice un reporte periódico
de los resultados obtenidos a través del monitoreo y evaluación del plan
estratégico. Este reporte debe incluir los avances en la implementación de
las estrategias y acciones definidas en el plan, los indicadores definidos y los
resultados obtenidos, así como las medidas correctivas definidas y su estado
de implementación.
 46

Tabla 2 Objetivos estratégicos

Tabla 2
Objetivos estratégicos
Objetivos
Estratégic Acciones Recursos Responsa Fecha Fecha de
os Priorizadas Indicadores de Éxito Necesarios bles de Inicio Término Avances
- Disminución del número de
incidentes de seguridad
relacionados con las
Implementar el telecomunicaciones de la SAT. Presupuesto asignado
Programa de - Mejora en la eficiencia y al MIAD, personal
Mejorar el Intendencia 50%
Modernización eficacia de los procesos de la capacitado para su 1/06/202 31/12/202
control de completad
Integral SAT relacionados con las implementación, 3 5
aduanero Aduanas o
Aduanera telecomunicaciones. infraestructura
(MIAD) - Aumento en la satisfacción del tecnológica adecuada.
personal y de los usuarios de
los servicios de
telecomunicaciones de la SAT.
 47

- Disminución del número de

incidentes de seguridad Presupuesto asignado
relacionados con las para la mejora de
Fortalecimi Mejorar la telecomunicaciones de la SAT. infraestructura y
ento de infraestructura - Mejora en la eficiencia y seguridad en las
Gerencia 70%
capacidade y seguridad en eficacia de los procesos de la telecomunicaciones, 1/01/202 31/12/202
de completad
s de las SAT relacionados con las personal capacitado 3 4
Informática o
gestión telecomunicaci telecomunicaciones. para su
institucional ones de la SAT - Aumento en la satisfacción implementación,
del personal y de los usuarios tecnología de última
de los servicios de generación.
telecomunicaciones de la SAT.
Implementa - Reducción de tiempo en la Presupuesto asignado
Gerencia
r acciones realización de tareas y para la
Automatizar de
para procesos administrativos. implementación de
tareas y Informática, 20%
mejorar la - Reducción de errores en los tecnología y software 1/09/202 31/08/202
procesos en la Gerencia completad
eficiencia procesos automatizados. de automatización, 3 4
gestión de o
en la - Aumento en la satisfacción del personal capacitado
institucional Recursos
administrac personal y de los usuarios de para su
Humanos
ión los servicios de la SAT. implementación.
Nota. Fuente: Elaboración propia
 48

Plan de concientización a los usuarios

La tecnología de las telecomunicaciones ha experimentado un rápido crecimiento en
los últimos años y ha revolucionado la forma en que nos comunicamos y compartimos
información. Aunque ha facilitado la comunicación y el acceso a la información, también
ha creado nuevos riesgos de seguridad y privacidad para los usuarios. Es fundamental
concientizar a los usuarios sobre los riesgos y las mejores prácticas para mantenerse
seguros en línea.
El objetivo principal del plan de concientización es aumentar el conocimiento de los
usuarios sobre los riesgos de seguridad y privacidad en las telecomunicaciones y
promover el uso seguro y responsable de la tecnología.
Los objetivos específicos son los siguientes:
1. Informar a los usuarios sobre los riesgos de seguridad y privacidad en las
telecomunicaciones, incluyendo el phishing, el malware, el robo de identidad y
otros tipos de ataques en línea.
2. Proporcionar información sobre las mejores prácticas para mantenerse seguros
en línea, como la creación de contraseñas seguras, la instalación de software de
seguridad y la configuración de la privacidad en las redes sociales.
3. Promover la importancia de la educación continua en seguridad en línea y la
necesidad de actualizar el software de seguridad y las aplicaciones regularmente.
4. Fomentar una cultura de seguridad en línea y la importancia de reportar cualquier
actividad sospechosa a las autoridades relevantes.
Se pueden tomar a consideración algunos de los siguientes aspectos para crear un
plan de concientización:
1. Crear contenido educativo en línea sobre seguridad en las telecomunicaciones,
incluyendo videos, artículos y otros recursos informativos que se puedan compartir
a través de las redes sociales.
2. Organizar talleres y sesiones de capacitación en línea para grupos de usuarios,
como estudiantes, empleados de empresas y organizaciones sin fines de lucro, y
otros grupos de interés.
3. Crear un portal en línea con recursos educativos y enlaces útiles para los usuarios,
incluyendo enlaces a sitios web de seguridad y privacidad en línea, y foros de
 49

discusión en línea para que los usuarios puedan compartir sus experiencias y
consejos.
4. Colaborar con las empresas de telecomunicaciones y los proveedores de servicios
de seguridad para promover la educación en línea y la seguridad de los usuarios.
También se pueden ofrecer incentivos, como descuentos en servicios de
seguridad en línea o premios a los usuarios que reporten actividades sospechosas
o vulnerabilidades de seguridad.
5. Lanzar una campaña de marketing en línea para promover la educación en línea
y la seguridad de los usuarios, utilizando anuncios en línea y redes sociales para
llegar a una audiencia más amplia.
6. Crear un sistema de retroalimentación para recopilar información de los usuarios
sobre sus experiencias en línea y la efectividad del plan de concientización.
La concientización de los usuarios en telecomunicaciones es importante para
garantizar la seguridad de los datos y la información que se transmite por estos medios.
A continuación, se presenta un plan de concientización para los usuarios en
telecomunicaciones:
1. Identificación de los riesgos: Se debe educar a los usuarios sobre los riesgos
asociados con el uso de las telecomunicaciones, como la interceptación de
llamadas, mensajes de texto y correo electrónico, así como la posibilidad de que
sus dispositivos sean hackeados.
2. Protección de los datos: Los usuarios deben ser instruidos sobre la importancia
de proteger sus datos personales y financieros, como números de tarjetas de
crédito, información de cuentas bancarias, contraseñas y otra información
sensible.
3. Configuración del dispositivo: Los usuarios deben ser instruidos sobre cómo
configurar correctamente sus dispositivos para garantizar la seguridad y
privacidad de sus datos, incluyendo la instalación de software antivirus y la
configuración de contraseñas seguras.
4. Uso de contraseñas seguras: Los usuarios deben ser instruidos sobre la
importancia de utilizar contraseñas seguras y únicas para cada cuenta, así como
la necesidad de cambiar regularmente estas contraseñas.
 50

5. Evitar el phishing: Los usuarios deben ser instruidos sobre cómo identificar
correos electrónicos y mensajes de texto fraudulentos, conocidos como phishing,
y cómo evitar ser víctimas de estos ataques.
6. Mantenimiento del software actualizado: Los usuarios deben ser instruidos
sobre la importancia de mantener sus dispositivos y software actualizados con las
últimas actualizaciones de seguridad.
7. Uso de redes públicas: Los usuarios deben ser instruidos sobre los riesgos
asociados con el uso de redes públicas de WIFI, como el riesgo de que sus datos
sean interceptados o hackeados.
8. Respetar las leyes y regulaciones: Los usuarios deben ser instruidos sobre las
leyes y regulaciones relacionadas con las telecomunicaciones, y cómo respetarlas
y cumplirlas.
9. Uso responsable: Los usuarios deben ser instruidos sobre el uso responsable de
las telecomunicaciones, incluyendo el respeto por la privacidad de otros usuarios
y el uso ético de la tecnología.
 51

Bibliografía

Acaid Business School. (25 de Febrero de 2022). Obtenido de Objetivos de la seguridad informática y su
valor empresarial: https://www.aicad.es/objetivos-de-la-seguridad-informatica/

Araujo, A. (. (07 de 04 de 2022). Hackmetrix Blog. Obtenido de https://blog.hackmetrix.com/politica-de-

seguridad-de-la-informacion/

Carisio, E. (. (20 de 12 de 2019). Políticas de seguridad informática y su aplicación en la empresa.

Obtenido de Políticas de seguridad informática y su aplicación en la empresa:
https://blog.mdcloud.es/politicas-de-seguridad-informatica-y-su-aplicacion-en-la-empresa/

DEKRA. (s.f.). Checklist - ISO/IEC 27001 Certification. Obtenido de Checklist - ISO/IEC 27001 Certification:
https://www.dekra.es/media/dekra-cert-checklist-iso-27001-a4-es.pdf

Documentation, I. (2021 de 04 de 03). Ibm.com. Obtenido de Ibm.com:

https://www.ibm.com/docs/es/psww2700/2.2.5?topic=security-understanding-user-account-
policies

Escuela Europea De Excelencia . (25 de 10 de 2022). Escuela Europea De Excelencia . Obtenido de

Objetivos de seguridad de la información: guía de implementación para sistemas ISO 27001:
https://www.escuelaeuropeaexcelencia.com/2022/10/objetivos-de-seguridad-de-la-
informacion-guia-de-implementacion-para-sistemas-iso-27001/

Impulsa . (s.f.). Obtenido de Importantica de crear políticas y procedimientos en la empresa:

https://impulsapopular.com/gerencia/gestion/importancia-de-crear-politicas-y-procedimientos-
en-la-empresa/

Jiménez, M. M. (14 de Septiembre de 2022). Pirani. Obtenido de Riesgos informáticos más comunes a
los que se exponen las empresas: https://www.piranirisk.com/es/blog/riesgos-informaticos-a-
los-que-estan-expuestas-las-empresas

México, U. (19 de 12 de 2022). Políticas de seguridad informática, ¿qué son? | UNIR México. Obtenido
de Políticas de seguridad informática, ¿qué son? | UNIR México:
https://mexico.unir.net/ingenieria/noticias/politicas-seguridad-
informatica/#:~:text=Las%20pol%C3%ADticas%20de%20seguridad%20inform%C3%A1tica%20co
nsisten%20en%20una%20serie%20de,los%20riesgos%20que%20le%20afectan.

SAT. (2017 de 11 de 09). ¿Qué es la SAT? Obtenido de Portal SAT: https://portal.sat.gob.gt/portal/que-

es-la-sat/

SAT. (18 de 10 de 2021). Portal Sat. Obtenido de SAT presenta Plan Estratégico Institucional 2021-2025:
https://portal.sat.gob.gt/portal/noticias/sat-presenta-plan-estrategico-institucional-2021-
2025/#:~:text=Los%20objetivos%20estrat%C3%A9gicos%20trazados%20en,sus%20obligaciones
%20tributarias%20y%20aduaneras.
 52

SAT. (17 de 01 de 2023). Portal SAT. Obtenido de https://portal.sat.gob.gt/portal/libre-acceso-la-

informacion-publica/menu-ley-info-publica/numeral-5-mision-objetivos-institucion-plan-
operativo-resultados-obtenidos/