Plan Estratégico de Seguridad de la

Información
INTEC
Febrero, 2024

Plan Estratégico de Seguridad de la

Información
PESI

INTEC

FECHA: 03 de febrero del 2024

Índice de Contenido

2023 Página: 1
 Plan Estratégico de Seguridad de la
Información
INTEC
Febrero, 2024

2023 Página: 2
 Plan Estratégico de Seguridad de la
Información
INTEC
Febrero, 2024

1. INTRODUCCION
Descripción de la empresa:

INTEC empresa de Desarrollo de Software, con 3 años de experiencia en el desarrollo de software personalizado,
cuenta con 7 empleados y tiene presencia en 4 ciudades del Ecuador. Se especializa en soluciones para 3 sectores
productivos, manejando información crítica como código fuente y datos de clientes.

Importancia de la seguridad de la información:

Se identifican las áreas críticas de la empresa que requieren protección, destacando la importancia de la
confidencialidad, integridad y disponibilidad de la información para mantener la reputación y la competitividad en el
mercado.

2. OBJETIVOS DEL PESI

 Desarrollar software seguro y resistente a amenazas.
Asegurar que la información crítica esté protegida contra accesos no autorizados, alteraciones o pérdida.

 Cumplir con las regulaciones y normativas.

Asegurar que la empresa cumple con las regulaciones de seguridad de la información y las normativas del
sector.

 Minimizar riesgos de brechas de seguridad.

Identificar, evaluar y mitigar los riesgos de seguridad de manera proactiva.

 Establecer una cultura de seguridad.

Fomentar una conciencia de seguridad entre todos los empleados y partes interesadas.

3. ALCANCE
El PESI se aplicará al departamento de desarrollo de software de la organización, incluidos empleados a tiempo
completo, contratistas y terceros que tengan acceso a los sistemas y datos de la empresa.

4. DEFINICIONES

Activo de información: En relación con la seguridad de la información, se refiere a cualquier información o

elemento relacionado con el tratamiento de la misma (sistemas, soportes, edificios, personas…) que tenga valor para
la organización. (ISO/IEC 27000).

Análisis de riesgos: Proceso para comprender la naturaleza del riesgo y determinar el nivel de riesgo. (ISO/IEC
27000:2013).

Confidencialidad: Propiedad que determina que la información no esté disponible ni sea revelada a individuos
entidades o procesos no autorizados. [NTC5411- 1:2006].

Control: Las políticas, los procedimientos, las prácticas y las estructuras organizativas concebidas para mantener
los riesgos de seguridad de la información por debajo del nivel de riesgo asumido. Control es también utilizado
como sinónimo de salvaguarda o contramedida. En una definición
más simple, es una medida que modifica el riesgo. ISO 27000.

2023 Página: 3
 Plan Estratégico de Seguridad de la
Información
INTEC
Febrero, 2024

Evaluación de riesgos: Proceso global de identificación, análisis y estimación de riesgos [Fuente: ISO Guide
73:2009].

Disponibilidad: Propiedad de que la información sea accesible y utilizable por solicitud de una entidad autorizada.
[NTC 5411-1:2006].

Dato personal: Cualquier información vinculada o que pueda asociarse a una o varias personas naturales
determinadas o determinables. LEY 1581.

Gestión del riesgo: Actividades coordinadas para dirigir y controlar una organización con respecto al riesgo. Se
compone de la evaluación y tratamiento de riesgos. ISO 27000.

Integridad: Propiedad de salvaguardar la exactitud y estado completo de los activos de información. [NTC 5411-
1:2006].

Política: Conjunto de orientaciones o directrices que rigen la actuación de una persona o entidad en un asunto o
campo determinado.

Política de Seguridad de la Información: Conjunto de Directrices que permiten resguardar los activos de
información.

Procedimiento: Define los pasos para realizar una actividad específica. Evita que se aplique el criterio personal.

Riesgo: El riesgo se refiere a la posibilidad de que ocurra un evento no deseado que pueda afectar negativamente los
objetivos de un proyecto, organización o proceso. Los riesgos pueden surgir de diversas fuentes y tienen el potencial
de causar daño o pérdida.

Probabilidad: La probabilidad es una medida de la posibilidad de que ocurra un evento específico. Se expresa
comúnmente como una proporción o porcentaje, indicando la posibilidad relativa de que ocurra el riesgo. Por
ejemplo, se puede evaluar la probabilidad de un evento en términos de "baja", "media" o "alta".

Al igual que con la escala de impacto, al evaluar la probabilidad de un riesgo en una escala del 1 al 5, es útil
asignar significados específicos a cada nivel para garantizar una evaluación coherente y comprensible. Aquí
tienes un ejemplo de cómo podrías definir una escala de probabilidad del 1 al 5:

 1 - Muy Baja:
La probabilidad de que ocurra el riesgo es extremadamente baja. Es poco probable que ocurra en
circunstancias normales.

 2 - Baja:
La probabilidad de que ocurra el riesgo es baja, pero no se puede descartar completamente. Es poco común
que ocurra.

 3 - Moderada:
La probabilidad de que ocurra el riesgo es moderada. Puede ocurrir en ciertas circunstancias, pero no es
algo frecuente.

 4 - Alta:
La probabilidad de que ocurra el riesgo es alta. Es probable que ocurra en condiciones normales, y la
posibilidad no debe subestimarse.

 5 - Muy Alta:
La probabilidad de que ocurra el riesgo es extremadamente alta. Es muy probable que ocurra, y se deben

2023 Página: 4
 Plan Estratégico de Seguridad de la
Información
INTEC
Febrero, 2024

tomar medidas inmediatas para gestionar y mitigar el riesgo.

Impacto: El impacto se refiere a la magnitud del efecto que tendría un riesgo específico si ocurriera. Puede medirse
en términos de consecuencias financieras, operativas, reputacionales, legales u otros aspectos relevantes para los
objetivos de la organización. Similar a la probabilidad, el impacto a menudo se evalúa en términos de "bajo",
"medio" o "alto".

Cuando se evalúa el impacto de un riesgo en una escala del 1 al 5, es común asignar significados específicos a
cada nivel para garantizar una evaluación coherente y comprensible. Aquí tienes un ejemplo de cómo podrías
definir una escala de impacto del 1 al 5:

 1 - Muy Bajo:
El impacto es mínimo y tiene un efecto insignificante en los objetivos. Se requieren esfuerzos mínimos para
gestionar y mitigar el impacto.

 2 - Bajo:
El impacto es bajo y no afecta significativamente los objetivos. Puede manejarse con facilidad y no genera
preocupaciones significativas.

 3 - Moderado:
El impacto es moderado y tiene un efecto notable en los objetivos. Puede requerir esfuerzos y recursos para
gestionar y mitigar el impacto de manera efectiva.

 4 - Alto:
El impacto es alto y tiene un efecto considerable en los objetivos. Se necesita una atención inmediata y
recursos significativos para gestionar y mitigar el impacto.

 5 - Muy Alto:
El impacto es muy alto y tiene un efecto crítico en los objetivos. Requiere una atención inmediata y la
asignación de recursos sustanciales para gestionar y mitigar el impacto de manera efectiva.

Riesgo inherente: El riesgo inherente no es necesariamente igual a algo específico, sino que es una medida o
evaluación de la exposición de una organización a posibles eventos negativos antes de aplicar medidas de
mitigación. Es una estimación de la magnitud del riesgo en su estado natural, sin considerar controles o acciones
para reducir su impacto o probabilidad.

RiesgoInherente=Probabilidad×Impacto

Riesgo Residual: El riesgo residual es la medida del riesgo que permanece después de que una organización ha
implementado controles o medidas de mitigación para reducir la probabilidad o el impacto de un evento negativo. Es
lo que queda "residualmente" después de aplicar medidas de gestión de riesgos.

RiesgoResidual=RiesgoInherente−MedidasdeMitigación

Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección,
almacenamiento, uso, circulación o supresión. LEY 1581.

2023 Página: 5
 Plan Estratégico de Seguridad de la
Información
INTEC
Febrero, 2024

5. NORMAS DE REFERENCIA
ISO/IEC 27001

Esta norma establece los requisitos para establecer, implementar, mantener y mejorar continuamente un Sistema de
Gestión de Seguridad de la Información (ISMS) en el contexto del riesgo general de la organización.

ISO/IEC 27002

Proporciona directrices y prácticas para la implementación de controles de seguridad, abordando aspectos

específicos como la gestión de activos, acceso, cifrado, seguridad en el desarrollo y gestión de incidentes.

ISO/IEC 27034-1

Gestión de Seguridad en el Desarrollo de Aplicaciones:

Esta norma proporciona un enfoque integral para la gestión de la seguridad en el desarrollo de aplicaciones,
abarcando el ciclo de vida completo de desarrollo.

ISO/IEC 29147:2018 –

Evaluación de Vulnerabilidades en el Desarrollo de Software:

Define requisitos y proporciona pautas para la realización de evaluaciones de vulnerabilidades en el desarrollo de
software.

OWASP Software Assurance Maturity Model (SAMM):

Aunque no es una norma ISO, SAMM es un marco de referencia ampliamente aceptado para evaluar y mejorar la
postura de seguridad del software en una organización.

PCI DSS (Payment Card Industry Data Security Standard):

Aplicable si tu software maneja información de tarjetas de pago. Establece requisitos para garantizar la seguridad de
los datos de las tarjetas de crédito.

NIST SP 800-53 - Security and Privacy Controls for Federal Information Systems and Organizations:

Emitido por el Instituto Nacional de Estándares y Tecnología (NIST) de los Estados Unidos, proporciona controles
de seguridad detallados que pueden ser adaptados para el desarrollo de software.

BSIMM (Building Security In Maturity Model):

Proporciona una estructura para medir y mejorar las iniciativas de seguridad del software.

LEY DE PROTECCION DE DATOS.

6. METODOLOGIA

2023 Página: 6
 Plan Estratégico de Seguridad de la
Información
INTEC
Febrero, 2024

6.1 ESTRUCTURA ORGANIZACIONAL

2023 Página: 7
 Plan Estratégico de Seguridad de la
Información
INTEC
Febrero, 2024

6.2 PLANEACION DEL SGSI

2023 Página: 8
 Plan Estratégico de Seguridad de la
Información
INTEC
Febrero, 2024

2023 Página: 9
 Plan Estratégico de Seguridad de la
Información
INTEC
Febrero, 2024

6.2 PROGRAMA DE SEGURIDAD DE LA INFORMACION AREA DE DESARROLLO

INTEC

Categoría Actividades Responsable

Gestión de Proyectos Integración de seguridad en todo el AREA DE DESARROLLO,
proceso. SEGURIDAD
Definición de roles y responsabilidades. AREA DE DESARROLLO,
SEGURIDAD
Capacitación al equipo de desarrollo. AREA DE DESARROLLO,
SEGURIDAD
Análisis y Gestión del riesgo presente en el AREA DE DESARROLLO,
proyecto SEGURIDAD
Designación de un líder de seguridad en el AREA DE DESARROLLO,
desarrollo. SEGURIDAD
Definición de procedimiento en la AREA DE DESARROLLO,
comunicación de todos los miembros del SEGURIDAD
equipo (roles y responsabilidades)
Verificación de los miembros del equipo AREA DE DESARROLLO,
en seguridad de la información. SEGURIDAD
Verificación del conocimiento de los AREA DE DESARROLLO,
miembros del equipo de las mejores SEGURIDAD
prácticas de desarrollo seguro.
Diseño y Análisis del riesgo AREA DE DESARROLLO,
Arquitectura SEGURIDAD
Implementación de patrones seguros AREA DE DESARROLLO,
SEGURIDAD
Validación de la arquitectura AREA DE DESARROLLO,
SEGURIDAD
Código Fuente Revisión de código estático y dinámico AREA DE DESARROLLO,
SEGURIDAD
Cumplimiento de estándares de AREA DE DESARROLLO,
codificación SEGURIDAD
Gestión de dependencias y bibliotecas AREA DE DESARROLLO,
SEGURIDAD
Realizar pruebas de seguridad de manera AREA DE DESARROLLO,
regular SEGURIDAD
Utilizar técnicas de encriptación para AREA DE DESARROLLO,
proteger datos confidenciales SEGURIDAD
Manejo seguro de bibliotecas o AREA DE DESARROLLO,
dependencias, APIS. SEGURIDAD
Pruebas de Pruebas de penetración. AREA DE DESARROLLO,
Seguridad SEGURIDAD
Pruebas de seguridad automatizadas. AREA DE DESARROLLO,
SEGURIDAD
Revisión de datos enmascarados. AREA DE DESARROLLO,
SEGURIDAD
Uso de herramientas de análisis estático y AREA DE DESARROLLO,
dinámico de código SEGURIDAD
Implementación de sistemas de gestión de AREA DE DESARROLLO,
vulnerabilidades SEGURIDAD

2023 Página: 10
 Plan Estratégico de Seguridad de la
Información
INTEC
Febrero, 2024

Verificación del cumplimiento de las AREA DE DESARROLLO,

políticas en todas las fases del desarrollo. SEGURIDAD
Evaluación de herramientas de análisis AREA DE DESARROLLO,
dinámico y estático de código, así como SEGURIDAD
herramientas de vulnerabilidades.
Gestión de Proceso de respuesta a incidentes AREA DE DESARROLLO,
incidentes SEGURIDAD
Evaluación de vulnerabilidades conocidas AREA DE DESARROLLO,
SEGURIDAD
Políticas, Cumplimiento con regulaciones AREA DE DESARROLLO,
Documentación y normativas SEGURIDAD, AUDITORIA
Cumplimiento Documentación existente. AREA DE DESARROLLO,
SEGURIDAD, AUDITORIA
Implementar políticas de manejo seguro de AREA DE DESARROLLO,
datos. SEGURIDAD, AUDITORIA
Implementar políticas para gestión de AREA DE DESARROLLO,
cambios. SEGURIDAD, AUDITORIA
Capacitación y Desarrolladores asisten a la programación AREA DE DESARROLLO,
Concientización de concientización de la empresa. SEGURIDAD,
COMUNICACION
Programas de Formación Constante. AREA DE DESARROLLO,
SEGURIDAD,
COMUNICACION
Participación en programas de formación AREA DE DESARROLLO,
en seguridad. SEGURIDAD,
COMUNICACION
Sesiones de formación en seguridad para AREA DE DESARROLLO,
desarrolladores. SEGURIDAD,
COMUNICACION
Publicación de recursos y guías en un AREA DE DESARROLLO,
repositorio. SEGURIDAD,
COMUNICACION
Simulacros de ataques informáticos. AREA DE DESARROLLO,
SEGURIDAD
Campaña de concientización mediante AREA DE DESARROLLO,
publicidad física y digital SEGURIDAD,
COMUNICACION
Auditorias y Auditorías internas AREA DE DESARROLLO,
Revisiones SEGURIDAD, AUDITORIA
Revisión de código por pares. AREA DE DESARROLLO,
SEGURIDAD, AUDITORIA
Auditoria y Evaluaciones Periódicas AREA DE DESARROLLO,
SEGURIDAD, AUDITORIA
Mejorar el cumplimento de las políticas de AREA DE DESARROLLO,
seguridad SEGURIDAD, AUDITORIA
Mejorar la capacidad de respuesta a AREA DE DESARROLLO,
incidentes SEGURIDAD, AUDITORIA
Identificar estrategias conforme los AREA DE DESARROLLO,
avances tecnológicos SEGURIDAD, AUDITORIA

2023 Página: 11
 Plan Estratégico de Seguridad de la
Información
INTEC
Febrero, 2024

7. EVALUACION DE RIESGOS
Identificación de activos críticos:
Enumerar y clasificar los activos críticos, como el código fuente, bases de datos y servidores.
Evaluación de amenazas y vulnerabilidades:
Analizar posibles amenazas y vulnerabilidades que podrían afectar a los activos identificados.
Establecimiento de niveles de riesgo:
Asignar niveles de riesgo a los escenarios identificados y establecer estrategias para mitigarlos.

8. POLITICAS DE SEGURIDAD:

Política de manejo seguro de datos

Definir políticas para el manejo seguro de datos

Política de gestión de cambios.

Definir políticas para la gestión de cambios

Control de acceso:
Definir políticas para el acceso a sistemas y datos, implementando el principio de mínimos privilegios.

Encriptación de datos:
Establecer el uso obligatorio de encriptación para la transmisión y almacenamiento de información sensible.

Gestión de contraseñas:
Definir requisitos para contraseñas seguras, incluyendo longitud, complejidad y rotación regular.

9. PLAN DE CONTINGENCIA

Desarrollo del plan:

Crear un plan detallado que incluya procedimientos de respaldo, recuperación y continuidad del negocio.

Pruebas regulares:
Realizar pruebas periódicas para garantizar la efectividad del plan en situaciones de crisis.

10. CONCIENTIZACION Y FORMACION

Programas de concientización:
Implementar programas periódicos para sensibilizar a los empleados sobre la importancia de la seguridad de la
información.

2023 Página: 12
 Plan Estratégico de Seguridad de la
Información
INTEC
Febrero, 2024

Formación continua:
Proporcionar formación regular sobre las últimas amenazas y mejores prácticas de seguridad.

11. MONITOREO Y DETECCIÓN

Implementación de sistemas de monitoreo:

Establecer sistemas de monitoreo de seguridad para detectar actividades sospechosas.

Respuesta a incidentes:
Desarrollar procedimientos claros y eficaces para la gestión de incidentes, incluyendo la notificación y resolución.

12. AUDITORIAS Y REVISIONES

Auditorías internas y externas:

Realizar auditorías regulares para evaluar el cumplimiento del PESI.

Revisiones periódicas:
Revisar y actualizar políticas y procedimientos de seguridad según sea necesario.

13. ACTUALIZACION Y MEJORAS CONTINUAS

Evaluación regular:
Evaluar la eficacia del PESI periódicamente y realizar ajustes según sea necesario.

Incorporación de nuevas tecnologías:

Mantenerse al día con las últimas tecnologías y amenazas para adaptar el PESI de manera proactiva.

Fecha de presentación: 03 de febrero del 2024

FIRMAS DE RESPONSABILIDAD

ACCIONES NOMBRE CARGO FIRMA

2023 Página: 13
 Plan Estratégico de Seguridad de la
Información
INTEC
Febrero, 2024

Especialista en Seguridad
Ing. Mg. Daniel Jerez
Elaborado por: Informática

Oficial de Seguridad de la
Revisado por: Ing. Mateo Zeas Mg.
Información

Aprobado Ing. Diana Altamirano Mg. Jefa Oficina de Desarrollo.

CONTROL DE HISTORIAL DE CAMBIOS

VERSIÓN DESCRIPCIÓN DEL CAMBIO FECHA DE ACTUALIZACIÓN

V.1.

V.2.

2023 Página: 14