ESAN 20/05/2024

Sesión 5

Planificación de la Seguridad de la Información

• Desarrollo de políticas y procedimientos de seguridad.

• Planificación de la respuesta a incidentes.
• Implementación de un sistema de gestión de
seguridad de la información (SGSI).

Freddy Alvarado Vargas

1 falvarado@esan.edu.pe

Objetivos:
• Comprender la importancia de la
planificación en la seguridad de la
información.
• Desarrollar políticas y procedimientos de
seguridad efectivos.
• Planificar la respuesta a incidentes de
seguridad.
• Implementar un sistema de gestión de
seguridad de la información (SGSI).

Freddy Alvarado Vargas

2 falvarado@esan.edu.pe

Prof. Freddy Alvarado V. 1

ESAN 20/05/2024

1. Introducción
• Importancia de la planificación:
o Permite establecer una dirección clara para la
seguridad de la información.
o Ayuda a optimizar el uso de recursos y
esfuerzos.
o Facilita la respuesta efectiva a incidentes de
seguridad.
• Definición de planificación de la seguridad de la
información:
o Proceso para definir los objetivos, estrategias y
acciones para proteger la información.
o Debe estar alineada con los objetivos
estratégicos de la organización.
Freddy Alvarado Vargas
3 falvarado@esan.edu.pe

2. Desarrollo de políticas y procedimientos de seguridad

• ¿Qué son las políticas de seguridad?
o Declaraciones que establecen los principios y directrices generales de
la seguridad.
o Deben ser claras, concisas y fáciles de entender.
• ¿Qué son los procedimientos de seguridad?
o Instrucciones detalladas sobre cómo implementar las políticas de
seguridad.
o Deben ser específicos y estar actualizados.

• Ejemplos de políticas de seguridad:

o Política de contraseñas.
o Política de acceso a la información.
o Política de uso de dispositivos móviles.
• Ejemplos de procedimientos de seguridad:
o Procedimiento de respuesta a incidentes de seguridad.
o Procedimiento de copia de seguridad y recuperación de datos.
o Procedimiento de gestión de vulnerabilidades
Freddy Alvarado Vargas
4 falvarado@esan.edu.pe

Prof. Freddy Alvarado V. 2

ESAN 20/05/2024

Pilares de Políticas de SI exitosas

✓ Enfoque en los resultados

✓ Análisis de riesgos
✓ Uso de estándares
internacionales - recursos y
procesos
✓ Fomento de la cooperación
público-privada

Freddy Alvarado Vargas

5 falvarado@esan.edu.pe

Estrategia y Políticas
Fortalecer las capacidades del Estado para enfrentar las amenazas que atentan contra su
seguridad y defensa en el ámbito cibernético (ciberseguridad)
01
Brindar capacitación especializada en
Gestionar la ciberseguridad
ciberseguridad y ampliar líneas de
en las infraestructuras criticas 08 02 investigación dentro de la Administración
nacionales
Pública, sociedad civil y universidades
Política de
Desarrollar un plan de
Crear el Comité Nacional de Ciberseguridad sensibilización y capacitación a
Ciberseguridad 07 del Estado 03 todos los ciudadanos respecto a la
Peruano Ciberseguridad.

Fortalecer la legislación en materia de

Elaborar un Plan de Acción ciberseguridad, la cooperación
06 04 internacional y propiciar la adhesión
Nacional en Ciberseguridad
del Perú a los diferentes organismos
internacionales en esta temática.
05
Afianzar la integración y coordinación eficaz, entre los diversas
Csirt de la Administración Pública y sector privado

Prof. Freddy Alvarado V. 3

ESAN 20/05/2024

3. Planificación de la respuesta a incidentes

• ¿Qué es un incidente de seguridad?
o Cualquier evento que pueda afectar la confidencialidad,
integridad o disponibilidad de la información.
• ¿Qué es un plan de respuesta a incidentes?
o Guía que define las acciones a tomar en caso de un incidente
de seguridad.
o Debe ser claro, conciso y fácil de seguir.
• Componentes de un plan de respuesta a incidentes:
o Identificación y clasificación de incidentes.
o Notificación y escalamiento.
o Contención y erradicación del incidente.
o Recuperación de la información y los sistemas.
o Análisis y lecciones aprendidas.
• Ejemplo de un plan de respuesta a incidentes:
o Guía para la respuesta a ataques de ransomware.
Freddy Alvarado Vargas
7 falvarado@esan.edu.pe

Esquema
Referencial:
Seguridad
Informática

Freddy Alvarado Vargas

8 falvarado@esan.edu.pe

Prof. Freddy Alvarado V. 4

ESAN 20/05/2024

4. Implementación de un sistema de gestión de seguridad

de la información (SGSI)
• ¿Qué es un SGSI?
o Marco para la gestión de la seguridad de la información
basado en la norma ISO/IEC 27001.
o Permite mejorar la seguridad de la información de forma
sistemática y proactiva.
• Beneficios de un SGSI:
o Reducción de riesgos de seguridad.
o Mejora de la confianza de los clientes y stakeholders.
o Cumplimiento de las leyes y regulaciones.
• Pasos para implementar un SGSI:
o Definir el contexto de la organización.
o Realizar una evaluación de riesgos.
o Definir los objetivos de control.
o Implementar los controles de seguridad.
o Monitorizar y revisar el SGSI.
Freddy Alvarado Vargas
9 falvarado@esan.edu.pe

10

Prof. Freddy Alvarado V. 5

ESAN 20/05/2024

EJEMPLO DE PLAN DE SEGURIDAD DE LA INFORMACIÓN

1. Introducción
1.1. Descripción de la organización
• Nombre de la organización: Empresa X
• Tipo de organización: Empresa privada
• Tamaño: 100 empleados
• Industria: Tecnología de la información
• Ubicación: Lima, Perú

1.2. Marco legal y regulatorio

• Ley de Protección de Datos Personales (Ley N° 29733)
• Decreto Supremo N° 003-2013-JUS (Reglamento
LPDP)
• Normas ISO/IEC 27001:2022
Freddy Alvarado Vargas
11 falvarado@esan.edu.pe

11

EJEMPLO DE PLAN DE SEGURIDAD DE LA INFORMACIÓN

2. Análisis de riesgos
2.1. Identificación de activos
• Información confidencial: Datos de clientes, empleados,
proveedores, etc.
• Sistemas de información: Sitio web, aplicaciones, sistemas de
gestión interna, etc.
• Infraestructura tecnológica: Servidores, redes, dispositivos de
almacenamiento, etc.
2.2. Amenazas y vulnerabilidades
• Amenazas internas: Errores humanos, robo de información,
sabotaje.
• Amenazas externas: Ataques cibernéticos, malware, phishing,
denegación de servicio.
• Vulnerabilidades de software: Errores en el código,
configuraciones incorrectas.
• Vulnerabilidades de hardware: Fallo de dispositivos, robo de
Freddy Alvarado Vargas
12 equipos falvarado@esan.edu.pe

12

Prof. Freddy Alvarado V. 6

ESAN 20/05/2024

EJEMPLO DE PLAN DE SEGURIDAD DE LA INFORMACIÓN

2.3. Evaluación de riesgos

Se realiza una evaluación de riesgos utilizando la siguiente
matriz:

Freddy Alvarado Vargas

13 falvarado@esan.edu.pe

13

EJEMPLO DE PLAN DE SEGURIDAD DE LA INFORMACIÓN

3. Controles de seguridad
3.1. Controles preventivos
• Políticas de seguridad: Política de contraseñas, política de
acceso a la información, etc.
• Controles de acceso: Autenticación, autorización, auditoría de
acceso.
• Seguridad de la infraestructura: Firewalls, antivirus, sistemas de
detección de intrusiones.
• Seguridad del software: Desarrollo seguro, pruebas de
seguridad, gestión de parches.
3.2. Controles detectores
• Monitoreo de la red y los sistemas: Detección de intrusiones,
análisis de logs.
• Detección de malware: Antivirus, análisis de comportamiento.
• Detección de fraudes: Análisis de patrones, comparación con
bases de datos de fraude.
Freddy Alvarado Vargas
14 falvarado@esan.edu.pe

14

Prof. Freddy Alvarado V. 7

ESAN 20/05/2024

EJEMPLO DE PLAN DE SEGURIDAD DE LA INFORMACIÓN

3.3. Controles correctivos

• Planes de respuesta a incidentes: Definición de
roles, responsabilidades y acciones a tomar en
caso de un incidente.
• Planes de recuperación ante desastres:
Definición de estrategias para restaurar la
información y los sistemas en caso de un
desastre.
• Backups: Copias de seguridad de la información
crítica.

Freddy Alvarado Vargas

15 falvarado@esan.edu.pe

15

EJEMPLO DE PLAN DE SEGURIDAD DE LA INFORMACIÓN

4. Implementación y operación
4.1. Asignación de responsabilidades
Se definen roles y responsabilidades para la
implementación y operación del plan de seguridad de la
información.
4.2. Capacitación
Se capacita al personal en materia de seguridad de la
información.
4.3. Concientización
Se realizan campañas de concientización sobre la
importancia de la seguridad de la información.

Freddy Alvarado Vargas

16 falvarado@esan.edu.pe

16

Prof. Freddy Alvarado V. 8

ESAN 20/05/2024

EJEMPLO DE PLAN DE SEGURIDAD DE LA INFORMACIÓN

5. Monitoreo y revisión
5.1. Monitoreo del plan
Se monitorea el plan de seguridad de la información para
verificar su eficacia.
5.2. Revisión del plan
Se revisa el plan de seguridad de la información al
menos una vez al año para actualizarlo y mejorarlo.
6. Anexos
• Política de seguridad de la información
• Procedimientos de seguridad
• Lista de activos de información
• Matriz de evaluación de riesgos

Freddy Alvarado Vargas

17 falvarado@esan.edu.pe

17

Dinámica grupal
Caso de discusión en Clase sobre Plan de
Seguridad de Información del “Hospital San
Carlos”.
Seguir las indicaciones del profesor.

(Ver Caso en Esan virtual)

Tiempo: 25min

18

Prof. Freddy Alvarado V. 9

ESAN 20/05/2024

"La seguridad de la información no

se trata de evitar que sucedan
cosas malas, se trata de saber qué
hacer cuando sucedan." -
Bruce Schneier

Freddy Alvarado Vargas

19 falvarado@esan.edu.pe

19

Gracias !

Freddy Alvarado Vargas

falvarado@esan.edu.pe

20

Prof. Freddy Alvarado V. 10