Plan Institucional de Seguridad

de la Información (PISI)

Área Centro de
Gestión de Incidentes
Informáticos (ACGII)
 Plan Institucional de Seguridad
de la Información


Julio Javier Chavez Rodriguez

Profesional de Gestión en Políticas en Gobierno Electrónico

[email protected]


Área Centro de Gestión de Incidentes
Informáticos (ACGII)

Área Centro de
Gestión de Incidentes
Informáticos (ACGII)
 Algunas Definiciones

Seguridad de la Información. La seguridad de la
información es la preservación de la confidencialidad,
integridad y disponibilidad de la información; además,
también pueden estar involucradas otras propiedades
como la autenticidad, responsabilidad, no repudio y
confiabilidad.

Seguridad Informática. Es el conjunto de normas,
procedimientos y herramientas, las que se enfocan en la
protección de la infraestructura computacional y todo lo
relacionado con esta y, especialmente, la información
contenida o circulante.

Área Centro de
Gestión de Incidentes
Informáticos (ACGII)
 Algunas Definiciones

Política de Seguridad de la Información (PSI). Acciones o
directrices que establecen la postura institucional en relación
a la seguridad de la información, incluidas dentro del Plan
Institucional de Seguridad de la Información.

Comité de Seguridad de la Información (CSI). Equipo de
trabajo conformado para gestionar, promover e impulsar
iniciativas en seguridad de la información.

Responsable de Seguridad de la Información (RSI).
Servidor publico responsable de gestionar, planificar,
desarrollar e implementar el Plan Institucional de Seguridad
de la Información.

Área Centro de
Gestión de Incidentes
Informáticos (ACGII)
 Plan Institucional de Seguridad
de la Información
Lineamientos para la
Elaboración e
Implementación de los
Planes Institucionales de
Seguridad de la
Información de las
entidades del sector
público (LEIPISI-SP)

Aprobado con Resolución Administrativa AGETIC/RA/0051/2017 Área Centro de

Gestión de Incidentes
19 de septiembre de 2017 Informáticos (ACGII)
 Plan Institucional de Seguridad
de la Información
OBJETIVO
Establecer los lineamientos para que las entidades del sector
público del Estado Plurinacional de Bolivia puedan elaborar e
implementar sus Planes Institucionales de Seguridad de la
Información, en concordancia con la normativa vigente.

PISI
Área Centro de
Gestión de Incidentes
Informáticos (ACGII)
 Plan Institucional de Seguridad
de la Información
OBJETIVO DEL TALLER
Las entidades del sector público del Estado Plurinacional de
Bolivia puedan elaborar e implementar sus Planes Institucionales
de Seguridad de la Información, en concordancia con la
normativa vigente.

ESPÍRITU
Implementar controles relacionados con la seguridad de la
información.

PISI
Área Centro de
Gestión de Incidentes
Informáticos (ACGII)
 Plan Institucional de Seguridad
de la Información
LIMITACIONES DE LA AGETIC
- No podemos “calificar” la valoración que realizan de
los activos(Disponibilidad – Integridad -
Confidencialidad).
- No podemos “revisar” si registran todos los activos
de la información.
- No aprobamos el PISI.

Área Centro de
Gestión de Incidentes
Informáticos (ACGII)
 Plan Institucional de Seguridad
de la Información

LIMITACIONES DE LA AGETIC
- No podemos “recomendar” que controles
implementar y cuales no.
- No podemos “calificar” la valoración que realizan
sobre riesgos(probabilidad - impacto).

Área Centro de
Gestión de Incidentes
Informáticos (ACGII)
Plan Institucional de Seguridad
de la Información

Área Centro de
Gestión de Incidentes
Informáticos (ACGII)
 Plan Institucional de Seguridad
de la Información
PROCEDIMIENTO
1. Se elabora el PISI en la institución el RSI coordina
con los “dueños de la información” para el registro de
los activos, valoración, etc.
2. Terminado el borrador, el RSI envía por correo para
su revisión.
3. La AGETIC elabora un informe preliminar haciendo
notar deficiencias (observaciones y recomendaciones),
si no tiene observaciones pasa al paso 6.

Área Centro de
Gestión de Incidentes
Informáticos (ACGII)
 Plan Institucional de Seguridad
de la Información
PROCEDIMIENTO
4. La AGETIC devuelve mediante correo el
informe preliminar para su corrección.
5. El RSI corrige el PISI y pasa al paso 2.
6. El RSI revisa si se puede mejorar el PISI en
base a las recomendaciones y ajusta el
documento.
7. Pone en consideración del CSI.

Área Centro de
Gestión de Incidentes
Informáticos (ACGII)
 Plan Institucional de Seguridad
de la Información
PROCEDIMIENTO
8. El CSI elabora acta de revisión y si observa
pasa al paso 5, si no continua con el paso 9.
9. Se imprime versión final.
10. El CSI junto con el acta, solicita a la MAE la
elaboración de la resolución con la que aprueban
el PISI.

Área Centro de
Gestión de Incidentes
Informáticos (ACGII)
 Plan Institucional de Seguridad
de la Información
PROCEDIMIENTO
11. La MAE envia una copia simple de: el PISI, la
Resolución de aprobación, la designación del
RSI y la conformación del CSI.
12. La AGETIC elabora un informe oficial
haciendo notar deficiencias (observaciones y
recomendaciones) y remite a la MAE, si tiene
observaciones pasa al paso 5.

Área Centro de
Gestión de Incidentes
Informáticos (ACGII)
 Plan Institucional de Seguridad
de la Información

PROCEDIMIENTO
13. SE INICIA EL PROCESO DE
IMPLEMENTACIÓN DE CONTROLES DE
SEGURIDAD.

Área Centro de
Gestión de Incidentes
Informáticos (ACGII)
Plan Institucional de Seguridad
de la Información

(Anexo C)

Área Centro de
Gestión de Incidentes
Informáticos (ACGII)
 Plan Institucional de Seguridad
de la Información

Definición de Alcances del PISI

La entidad o institución pública definirá, dentro
de su PISI, los alcances relacionados a
proyectos, procesos y operaciones
considerados prioritarios para cumplir con la
misión, visión y objetivos estratégicos de la
entidad.

Área Centro de
Gestión de Incidentes
Informáticos (ACGII)
 Plan Institucional de Seguridad
de la Información
Gestión de Riesgos
Esta guía toma como referencia la Metodología de Análisis y
Gestión de Riesgos MAGERIT. Sin embargo, la entidad o
institución pública es libre de elegir el método o metodología
que considere adecuada para realizar la gestión de riesgos
siempre y cuando esta se encuentre bajo algún estándar
nacional o internacional.
a) Identificación, clasificación y valoración de activos de
información (Anexo B del lineamiento)
b) Evaluación del riesgo
c) Tratamiento del riesgo
d) Controles implementados y por implementar
Área Centro de
Gestión de Incidentes
Informáticos (ACGII)
 Plan Institucional de Seguridad
de la Información
Identificación, Clasificación y Valoración de Activos de
Información

Identificación
El Responsable de Seguridad de la Información debe orientar la
correcta identificación de los mismos conjuntamente con los
responsables o dueños de los procesos institucionales.
Se debe identificar a los responsables y custodios de la
información asociada al activo; esto es importante porque a través
de la identificación se realizará una mejor valoración para
resguardar la información.
Los custodios podrían ser los mismos servidores públicos o en
otros casos una persona ajena a la entidad o institución pública.
Área Centro de
Gestión de Incidentes
Informáticos (ACGII)
 Plan Institucional de Seguridad
de la Información
Identificación, Clasificación y Valoración de Activos de
Información

Valoración
Las características o atributos se utilizan para valorar las
consecuencias de la materialización de una amenaza.
La valoración la debe dar el responsable del activo de
información. Estas pueden ser en base a percepción,
eventos anteriores relacionados a las propiedades de la
información y otros.

Área Centro de
Gestión de Incidentes
Informáticos (ACGII)
 Plan Institucional de Seguridad
de la Información
Identificación, Clasificación y Valoración de Activos de
Información

Valoración
Disponibilidad
Un activo tiene gran valor, desde el punto de vista de disponibilidad, si es que una
amenaza afectase su disponibilidad con consecuencias graves para el normal
desarrollo de las actividades. Por el contrario, un activo carece de un valor apreciable
cuando puede no estar disponible por largos periodos de tiempo sin afectar o causar
daño a las actividades de la entidad o institución pública.
Integridad
Una valoración alta de esta propiedad se da por el grado de afectación (daño grave)
causado por la alteración voluntaria o no intencionada de los datos. Por el contrario,
una valoración menor se da cuando su modificación no supone preocupación alguna.
Confidencialidad
La valoración de esta característica está en función del grado de afectación que
ocasionaría la revelación o divulgación de información a personas no autorizadas.

Área Centro de
Gestión de Incidentes
Informáticos (ACGII)
 Plan Institucional de Seguridad
de la Información
Identificación, Clasificación y Valoración de Activos de
Información

Matriz de Inventario y Valoración

Área Centro de
Gestión de Incidentes
Informáticos (ACGII)
Área Centro de
Gestión de Incidentes
Informáticos (ACGII)
 Plan Institucional de Seguridad
de la Información
Identificación, Clasificación y Valoración de Activos de
Información

Revisión y Actualización
El inventario puede ser revisado o validado en cualquier momento a
solicitud del responsable de seguridad de la información.

Reserva
El inventario de activos de información debe ser un documento de
carácter no público con medidas de restricción para evitar su
modificación.
El Responsable de Seguridad de la Información debería tener acceso
para modificar el inventario, además de ser el responsable de
resguardarlo.
Área Centro de
Gestión de Incidentes
Informáticos (ACGII)
 Plan Institucional de Seguridad
de la Información
Identificación, Clasificación y Valoración de Activos de
Información

Área Centro de
Gestión de Incidentes
Informáticos (ACGII)
 Plan Institucional de Seguridad
de la Información
Evaluación del Riesgo

Identificación
La identificación de amenazas y vulnerabilidades sobre activos de
información es importante para determinar cuáles tienden a degradar
las propiedades de Disponibilidad, Integridad y Confidencialidad de la
información.
Una vulnerabilidad es toda aquella debilidad que presenta el activo de
información, dada comúnmente por la inexistencia o ineficacia de un
control.
Una amenaza es todo elemento que haciendo uso o aprovechando
una vulnerabilidad, atenta o puede atentar contra la seguridad de un
activo de información. Las amenazas surgen a partir de la existencia
de vulnerabilidades, independientemente de que se comprometa o no
la seguridad de un sistema.
Área Centro de
Gestión de Incidentes
Informáticos (ACGII)
 Plan Institucional de Seguridad
de la Información
Evaluación del Riesgo

Análisis y Valoración
La probabilidad de que ocurra el incidente, es decir, que la
amenaza explote la vulnerabilidad.
La magnitud del impacto que el evento produce sobre el activo.
El cómputo de la probabilidad de ocurrencia del evento adverso
suele basarse en los valores históricos de frecuencia con la que
ocurre (o podría ocurrir) un evento (en un periodo determinado
de tiempo, por ejemplo: anual, semestral. En caso de no contar
con referencias históricas, se debe tomar la percepción que da
el responsable del activo.

Área Centro de
Gestión de Incidentes
Informáticos (ACGII)
 Plan Institucional de Seguridad
de la Información
Riesgo = Probabilidad vs. Impacto (+ Percepción)
Y 1 2 3 4 5
Cierta/Inminente
P
R
O Muy
5 Bajo Medio Alto Crítico Crítico
B Probable
A
B Bajo Medio Alto Alto Crítico
Probable 4
I
L Irrelevante Bajo Medio Alto Alto
I Moderadamente 3
Poco Probable
D Probable
Irrelevante Bajo Bajo Medio Medio
A 2 Nivel de Riesgo Aceptable
D Poco
Improbable
Probable Irrelevante Irrelevante Irrelevante Bajo Bajo
1

Irrelevante Menor Moderado Severo Critico

X

IMPACTO Área Centro de

Gestión de Incidentes
Informáticos (ACGII)
 Plan Institucional de Seguridad
de la Información
Evaluación del Riesgo
Matriz de Valoración del Riesgo.

Área Centro de
Gestión de Incidentes
Informáticos (ACGII)
 Plan Institucional de Seguridad
de la Información
Tratamiento del Riesgo


Controles del Anexo A
ACEPTAR
REDUCIR
RETENER
EVITAR
TRANSFERIR

Área Centro de
Gestión de Incidentes
Informáticos (ACGII)
 Plan Institucional de Seguridad
de la Información
Controles Implementados y por implementar
Recursos Humanos
6.2.3.2 Controles mínimos de


seguridad de la información 
Activos de Información

Control de Accesos
La entidad o institución pública 
Criptografía
deberá PODRÁ implementar
mínimamente los siguientes 
Seguridad Física
controles de seguridad de la 
Seguridad de las Operaciones
información, conforme a los 
Comunicaciones
principios establecidos en 
Desarrollo de sistemas
la Política de Seguridad de la 
Gestión de Incidentes
Información:

Contingencias Tecnológicas
Área Centro de

Cumplimiento Gestión de Incidentes
Informáticos (ACGII)
 Plan Institucional de Seguridad
de la Información
Controles Implementados y por implementar

Consecuencia de la decisión de las opciones de
tratamiento de riesgos y los controles de seguridad
que se decidan implementar.

Área Centro de
Gestión de Incidentes
Informáticos (ACGII)
 Plan Institucional de Seguridad
de la Información
Controles Implementados y por implementar

Área Centro de
Gestión de Incidentes
Informáticos (ACGII)
 Plan Institucional de Seguridad
de la Información
Política de Seguridad (Contenido)
Posturas respecto a :

Protección de la información institucional ante amenazas que se originan
del recurso humano.

Uso y protección de activos de información.

Control de accesos a recursos de red, información, sistemas y aplicaciones.

Protección de información transmitida a través de redes de
comunicaciones.

Protección de áreas e instalaciones donde se genere, procese, transmita o
almacene información considerada sensible y crítica.

Seguridad en el ciclo de vida de los sistemas y/o software que se desarrolle
y/o adquiera.

Continuidad de las operaciones y procesos mediante la gestión de
incidentes en seguridad de la información.

Protección de información física documental.

Otros.

Área Centro de
Gestión de Incidentes
Informáticos (ACGII)
 Plan Institucional de Seguridad
de la Información
Política de Seguridad (Estructura)
Introducción
Términos y Definiciones
Objetivo General
El objetivo general se debe enfocar en el resguardo
de los activos de información de la institución respecto
a la confidencialidad, integridad y disponibilidad de la
información asociada.

Área Centro de
Gestión de Incidentes
Informáticos (ACGII)
 Plan Institucional de Seguridad
de la Información
Política de Seguridad (Estructura)

Objetivos Específicos
Dentro de los objetivos se pueden identificar temas
relacionados a la gestión de activos de información,
gestión de riesgos, gestión de incidentes, capacitación
y sensibilización de los documentos que regulan la
seguridad.

Alcance
Define la trascendencia y el ámbito de aplicación de la
PSI al interior de la entidad o institución
Área Centro de
Gestión de Incidentes
Informáticos (ACGII)
 Plan Institucional de Seguridad
de la Información
Política de Seguridad (Estructura)

Roles y Responsabilidades

Desarrollo (políticas de seguridad)
Explicar la postura institucional respecto al PISI, los
controles mínimos de seguridad contemplados, y otros
requerimientos de seguridad de la información de
acuerdo a los resultados del análisis de riesgo
realizado
 Ámbito de seguridad:
 Descripción: Área Centro de
Gestión de Incidentes
Informáticos (ACGII)
 Plan Institucional de Seguridad
de la Información
Política de Seguridad (Estructura)

Difusión

Cumplimiento

Sanciones

Histórico de Cambios

Área Centro de
Gestión de Incidentes
Informáticos (ACGII)
 Plan Institucional de Seguridad
de la Información
Política de Seguridad (Controles Mínimos)

Recursos Humanos

Activos

Accesos

Criptografía

Física y ambiental

Operaciones

Comunicaciones

Ciclo de vida de S.I.

Gestión de Incidentes

Plan de Contingencias

Cumplimiento

Área Centro de
Gestión de Incidentes
Informáticos (ACGII)
 Plan Institucional de Seguridad
de la Información
Política de Seguridad (Indicadores y métricas)

Específico.

Medible cualitativa o cuantitativamente y/o con indicadores y
atributos.

Alcanzable.

Relevante.

Repetible en periodos de tiempo.

Ejemplo: Red de Datos Control Seguridad de las comunicaciones

INDICADOR: Caídas por Mes

TIPO DE INDICADOR:
Control Disponibilidad.
de Indicador y métrica (cualitativa, Alcanzable Relevanci Periodo de
Seguridad cuantitativa, indicador, atributo) a tiempo

Área Centro de
Gestión de Incidentes
Informáticos (ACGII)
 Plan Institucional de Seguridad
de la Información
Indicadores y Métricas
 Específico.
 Medible cualitativa o cuantitativamente y/o con
indicadores y atributos.
 Alcanzable.
 Relevante.
 Repetible en periodos de tiempo.

Área Centro de
Gestión de Incidentes
Informáticos (ACGII)
 Plan Institucional de Seguridad
de la Información
Indicadores y Métricas
MÉTRICA INDICADOR
5 PROCEDIMIENTOS # DE PROCEDIMIENTOS
ELABORADOS / TOTAL
PROCEDIMIENTOS
PROPUESTOS
50 BACKUPS # DE BACKUPS
REALIZADOS / TOTAL DE
BACKUPS PROPUESTOS

Área Centro de
Gestión de Incidentes
Informáticos (ACGII)
 Plan Institucional de Seguridad
de la Información
Indicadores y Métricas
MÉTRICA INDICADOR
5 PROCEDIMIENTOS # DE PROCEDIMIENTOS
ELABORADOS / TOTAL
PROCEDIMIENTOS
PROPUESTOS
50 BACKUPS # DE BACKUPS
REALIZADOS / TOTAL DE
BACKUPS PROPUESTOS

Área Centro de
Gestión de Incidentes
Informáticos (ACGII)
 Plan Institucional de Seguridad
de la Información
Cronograma
 Fechas.
 Controles a implementarse.
 Roles y responsabilidades.
 Actividades relacionadas a capacitación, seguimiento,
revisión y aplicación de controles.

Área Centro de
Gestión de Incidentes
Informáticos (ACGII)
 Plan Institucional de Seguridad
de la Información
Aprobación

Revisado por el CSI.

Aprobado por la MAE

Plan flexible a actualizaciones
La disposición transitoria segunda del Decreto Supremo
2514 de 9 de septiembre de 2015, establece que: “las
entidades del nivel central del Estado deberán presentar a
la AGETIC, en un plazo no mayor a un (1) año desde la
aprobación de las políticas de seguridad de la información
por la AGETIC, su Plan Institucional de Seguridad de la
Información”.
Área Centro de
Gestión de Incidentes
Informáticos (ACGII)
 Plan Institucional de Seguridad
de la Información

Implementación del PISI

- Aplicación de controles
- Capacitación
- Gestión de Incidentes
- Revisión y mejora continua

Área Centro de
Gestión de Incidentes
Informáticos (ACGII)
Plan Institucional de Seguridad
de la Información

AUDITORÍA DEL PISI

PRESENTACIÓN DEL PISI

Área Centro de
Gestión de Incidentes
Informáticos (ACGII)
 GRACIAS
Área Centro de Gestión
de Incidentes
Informáticos (ACGII)
Julio Javier Chavez Rodriguez
[email protected]

Área Centro de
Gestión de Incidentes
Informáticos (ACGII)
Área Centro de
Gestión de Incidentes
Informáticos (ACGII)