Plan Institucional de

Seguridad de la Información
(PISI)
Versión 1.0

UNIVERSIDAD PÚBLICA DE
EL ALTO (UPEA)

El Alto – La Paz - Bolivia

2022
PLAN INSTITUCIONAL DE SEGURIDAD DE LA INFORMACIÓN DE LA UPEA

ÍNDICE

1. INTRODUCCIÓN ...................................................................................................................................... 1

2. MARCO NORMATIVO .............................................................................................................................. 1

3. TÉRMINOS, DEFINICIONES Y SIGLAS .................................................................................................. 2

3.1. TÉRMINOS Y DEFINICIONES ...........................................................................................................2

3.2. SIGLAS ...............................................................................................................................................6

4. CONTEXTUALIZACIÓN Y DIAGNÓSTICO INSTITUCIONAL ................................................................. 6

4.1. CONTEXTO GENERAL DE LA UPEA ................................................................................................6

4.1.1. VISIÓN ...................................................................................................................................6

4.1.2. MISIÓN ...................................................................................................................................7

4.1.3. UNIDADES ACADÉMICAS DE LA UPEA ..............................................................................7

4.2. DIAGNÓSTICO INSTITUCIONAL ENTORNO A LA SEGURIDAD DE LA INFORMACIÓN ..............8

5. OBJETIVO DEL PLAN INSTITUCIONAL DE SEGURIDAD DE LA INFORMACIÓN ............................... 9

6. ALCANCE DEL PLAN INSTITUCIONAL DE SEGURIDAD DE LA INFORMACIÓN ................................ 9

6.1. ÁREAS ORGANIZACIONALES DE LA UPEA ....................................................................................9

6.2. UBICACIONES FÍSICAS ..................................................................................................................10

7. DIAGNÓSTICO, PRIORIZACIÓN Y GESTIÓN DE RIESGOS ............................................................... 11

7.1. GESTIÓN DE RIESGOS ...................................................................................................................11

7.1.1. SELECCIÓN DEL MÉTODO DE EVALUACIÓN DE RIESGO ............................................11

7.2. INVENTARIO DE ACTIVOS DE INFORMACIÓN .............................................................................11

7.3. EVALUACIÓN DE RIESGOS ............................................................................................................12

7.3.1. CRITERIOS DE EVALUACIÓN DEL RIESGO ....................................................................14

7.4. TRATAMIENTO DEL RIESGO .........................................................................................................17

7.5. CONTROLES IMPLEMENTADOS Y POR IMPLEMENTAR ............................................................17

i
PLAN INSTITUCIONAL DE SEGURIDAD DE LA INFORMACIÓN DE LA UPEA

8. POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN ............................................................................. 19

9. CRONOGRAMA DE IMPLEMENTACIÓN .............................................................................................. 19

ANEXOS ...................................................................................................................................................... 20

ii
PLAN INSTITUCIONAL DE SEGURIDAD DE LA INFORMACIÓN DE LA UPEA

1. INTRODUCCIÓN

La información se considerada un activo imprescindible y muy valioso en todo ámbito

de organización sea de carácter público o privado. Debido, al avance acelerado de las
tecnologías de información, la seguridad de la información tiende a ser vulnerable y
susceptible a recibir ciberataques que pueden ocasionar perjuicios al desenvolvimiento
normal de la institución. Por lo que se hace muy necesario una adecuada gestión de
seguridad de la información.

La protección de la seguridad de la información representa un reto para garantizar la

confidencialidad, integridad, disponibilidad y privacidad de la información.

La Universidad Pública de El Alto (UPEA), tomando en cuenta la importancia

fundamental que representa la seguridad de la información, mediante el presente Plan
Institucional de Seguridad de la Información (PISI), define las políticas, lineamientos y
controles de gestión de riesgos de la seguridad de la información, en base a las
normativas bolivianas vigentes.

2. MARCO NORMATIVO

La normativa vigente concerniente a la seguridad de la información, que otorga el

respaldo a la elaboración del presente Plan Institucional de Seguridad de la Información
de la UPEA, se compone de:

 El Parágrafo I del Artículo N° 72 de la Ley N° 164 de 28 de julio de 2011, Ley

General de Telecomunicaciones, que establece que: "El Estado en todos sus
niveles, fomentará el acceso, uso y apropiación social de las tecnologías de
información y comunicación, el despliegue y uso de infraestructura, el desarrollo
de contenidos y aplicaciones, la protección de las usuarias y usuarios, la seguridad
informática y de redes, como mecanismos de democratización de oportunidades
para todos los sectores de la sociedad y especialmente para aquellos con menores
ingresos y con necesidades especiales”.

 El inciso d) del parágrafo II del Artículo 4 (Principios), del Reglamento para el

Desarrollo de Tecnologías de Información y Comunicación aprobado mediante el
parágrafo I) del Artículo Único del Decreto Supremo N° 1793 de 13 de noviembre
de 2013, que señala que: "Seguridad: Se debe implementar los controles técnicos
y administrativos que se requieran para preservar la confidencialidad, integridad,
disponibilidad, autenticidad, no repudio y confiabilidad de la información, brindando
seguridad a los registros, evitando su falsificación, extravío, utilización y acceso
no autorizado o fraudulento;". Asimismo, el Articulo 8 (Plan de contingencia) del
Reglamento para el Desarrollo de Tecnologías de Información y Comunicación
aprobado mediante el parágrafo I) del Artículo Único del Decreto Supremo N°
1793, de 13 de noviembre de 2013, que menciona: "Las entidades públicas
promoverán la seguridad informática para la protección de datos en sus sistemas

Página 1
PLAN INSTITUCIONAL DE SEGURIDAD DE LA INFORMACIÓN DE LA UPEA

informáticos, a través de planes de contingencia desarrollados e implementados

en cada entidad”.

 El Decreto Supremo N° 2514 de 9 de septiembre de 2015, el cual dispone en su

Inciso f) del Artículo 7 que la Agencia de Gobierno Electrónico y Tecnologías de
Información y Comunicación (AGETIC) establecerá: "los lineamientos técnicos en
seguridad de información para las entidades del sector público". Asimismo, el
Inciso i) del Artículo 7, establece entre las funciones de la AGETIC "Elaborar,
proponer, promover, gestionar, articular y actualizar el Plan de Implementación de
Gobierno Electrónico y el Plan de Implementación de Software Libre y Estándares
Abiertos para las entidades del sector público; y otros planes relacionados con el
ámbito de gobierno electrónico y seguridad informática". Por otra parte, el
Parágrafo I del Artículo 8, determina la creación del "Centro de Gestión de
Incidentes informáticos — CGII como parte de la estructura técnico operativa de
la AGETIC”; que según, el Inciso c) del Parágrafo II del Artículo 8 una de sus
funciones es "Establecer los lineamientos para la elaboración de Planes de
Seguridad de Información de las entidades del sector público".

 El Decreto Supremo N° 3251 del 12 de Julio de 2017 que en su Artículo 1 inciso

a) aprueba el Plan de implementación de Gobierno Electrónico, que establece
coma una de las líneas estratégicas del mismo, la seguridad informática y de la
información, cuya programación debe estar incluida en dicho Plan.

 Resolución Administrativa AGETIC/RA/0051/2017 de fecha 19 de septiembre de

2017, a través de la cual el Consejo para las Tecnologías de la Información y
Comunicación del Estado Plurinacional de Bolivia (CTlC-EPB) aprueba el
documento "Lineamientos para la elaboración e implementación de los Planes
Institucionales de Seguridad de la información de las entidades del sector público".

En base al marco normativo y en cumplimiento a lo establecido en la Política de

Seguridad de la información emanado por la AGETIC se presenta este Plan Institucional
de Seguridad de la Información de la UPEA, afín de proteger los activos de información
con que cuenta la universidad, para lo cual se hace la identificación de los activos de
información y sus riesgos, y los controles de seguridad a ser aplicados para la mitigación
de riesgos.

3. TÉRMINOS, DEFINICIONES Y SIGLAS

3.1. TÉRMINOS Y DEFINICIONES

A continuación, se presentan las definiciones de los términos utilizados en el contenido

de este documento.

Activo de Información. Conocimientos o datos que tienen valor para la organización;

corresponde a aquellos datos físicos, digitales, sistemas y elementos tanto de

Página 2
PLAN INSTITUCIONAL DE SEGURIDAD DE LA INFORMACIÓN DE LA UPEA

hardware coma de software que se encuentran relacionados con el flujo de

almacenamiento de información, conocimientos a datos.

Los activos de la información, se clasifican en:

Datos/Información: En esta clasificación ingresan procesos relevantes para la

institución e información en cualquier medio de soporte físico o digital. Los tipos
de información que ingresarían son: información estratégica, información
relacionada con el archivo personal, información relacionada a la documentación
administrativa, legal, procesos de adjudicación y otros que tengan un coste
económico y de cumplimiento con la normativa legal. También, en esta categoría
está la información de archivos tales como respaldos, documentos, credenciales
de acceso, entre otros.

Claves criptográficas: Las claves criptográficas, combinando secretos e

información pública, son esenciales para garantizar el funcionamiento de los
mecanismos criptográficos. Algunos de los ejemplos de activos en esta categoría
son: claves para cifrar, firmar, certificados x509, entre otros.

Servicios: En esta categoría ingresan: servicios de acceso remoto, transferencia

de archivos, correo electrónico, servicios web, servicio de directorio, entre otros.

Software — aplicaciones informáticas: En esta categoría se encuentran:

sistemas desarrollados y/o adquiridos, software de aplicación, sistemas
operativos, software de virtualización, entre otros.

Equipamiento informático (hardware): En esta categoría están los medios

físicos que soportan los procesos como ser: servidores, equipamiento de
escritorio, periféricos, dispositivos de red perimetral, dispositivos de red, corta
fuegos, entre otros.

Redes de comunicaciones: Están los servicios de comunicaciones como ser:

la red telefónica, redes de datos, internet, entre otros.

Soportes de información: En esta categoría están: discos virtuales y físicos,

memorias usb, discos y cintas, material impreso, entre otros.

Equipamiento auxiliar: En esta categoría están: fuentes de alimentación,

generadores eléctricos, equipos de climatización, cableado eléctrico, mobiliario,
entre otros.

Instalaciones: Edificio, vehículos, instalaciones de refuerzo, entre otros.

Personal: Incluye personal fijo, eventual, terceros, entre otros. También, incluye
a los responsables y custodios de los activos de información que son los mismos
que pueden ser parte del personal administrativo, autoridades o representantes

Página 3
PLAN INSTITUCIONAL DE SEGURIDAD DE LA INFORMACIÓN DE LA UPEA

docente o estudiantiles de la institución; quienes tienen a su cargo uno o varios

activos de información de la institución.

Amenaza: Causa potencial de un incidente que puede causar daños a un sistema de

información o a una organización.

Análisis de riesgos: proceso sistemático para estimar la magnitud de los riesgos a

que está expuesta una Organización. Determina impactos y riesgos.

Ataque: Intento de destruir, exponer, alterar o inhabilitar un sistema de información o

la información que el sistema maneja, o violar alguna política de seguridad de alguna
otra manera. [

Clave: Contraseña o password, que permite la autentificación y control del acceso

hacia algún recurso.

Código malicioso: Software diseñado para ejecutar acciones maliciosas, como

provocar daños al software de la computadora, robar información almacenada en un
sistema informático, aprovechar recursos informáticos para efectuar otras acciones
perjudiciales para el usuario, entre otros. Este tipo de software incluye programas
coma virus, gusanos, troyanos y spyware; utiliza como vía de diseminación el correo
electrónico, sitios de internet, redes, dispositivos móviles y/o, dispositivos removibles.

Copias de Seguridad: Denominada copia de seguridad, respaldo, copia de respaldo,

copia de reserva a backup, es una copia de los datos originales que se realiza con el
fin de disponer de un medio para recuperarlos en caso de su pérdida.

Dimensiones de valoración: Son las características o atributos que hacen valioso un

activo. Una dimensión es una faceta o aspecto de un activo, independiente de otras
facetas.

Las dimensiones de valoración de activos de la información son:

Disponibilidad: Propiedad o característica de la información, que la hace

accesible y utilizable a quienes deben acceder a ella, ya sean personas, procesos
y/o aplicaciones cuando lo requieran.

Integridad: Propiedad o característica que salvaguarda la exactitud y completitud

de la información.

Confidencialidad: Propiedad o característica que determina que la información

no esté disponible ni sea revelada a individuos, entidades o procesos no
autorizados.

Firewall: Denominado también cortafuegos, es un sistema diseñado para prevenir el

acceso no autorizado hacia o desde una red privada. Puede ser implementado como

Página 4
PLAN INSTITUCIONAL DE SEGURIDAD DE LA INFORMACIÓN DE LA UPEA

hardware o software, o en una combinación de ambos. Los cortafuegos impiden que

usuarios no autorizados accedan a redes privadas conectadas a Internet,
especialmente a intranets.

Gestión de riesgos: Actividades coordinadas para dirigir y controlar una organización

con respecto al riesgo.

Impacto: Consecuencia que sobre un activo tiene la materialización de una amenaza.

Política: Intenciones y dirección de una organización, según lo expresado

formalmente por su alta dirección.

Política de Seguridad de la Información: Acciones o directrices que establecen la

postura institucional en relación a la seguridad de la información, incluidas dentro del
Plan Institucional de Seguridad de la Información.

Riesgo. Estimación del grado de exposición a que una amenaza se materialice sobre
uno o más activos causando daños o perjuicios a la Organización. Indica lo que le
podría pasar a los activos si no se protegieran adecuadamente.

Salvaguarda: Procedimiento o mecanismo tecnológico que reduce el riesgo.

Seguridad de la información. Es la preservación de la confidencialidad, integridad y

disponibilidad de la información; además, también pueden estar involucradas otras
propiedades como la autenticidad, responsabilidad, no repudio y confiabilidad;
mediante medidas principalmente preventivas.

Sistema de información: Es un conjunto de componentes físicos, lógicos, elementos

de comunicación, datos y personal que interaccionan entre sí para lograr un objetivo
común que permiten el almacenamiento, transmisión y proceso de la información.

Tecnología de la información: Hace referencia a las aplicaciones, información e

infraestructura requerida por una entidad para apoyar el funcionamiento de los
procesos y servicios.

Tratamiento de riesgos: Proceso destinado a modificar el riesgo.

Usuario: Es la persona que utiliza un dispositivo o un ordenador y realiza múltiples

operaciones con distintos propósitos, ya sea generar contenido y documentos, utilizar
software de diverso tipo, entre otras.

Vulnerabilidad: Defecto o debilidad que puede ser aprovechada por una amenaza, o
más detalladamente a las debilidades de los activos o de sus medidas de protección
que facilitan el éxito de una amenaza potencial. Se caracteriza por ausencia en
controles de seguridad que permite ser explotada.

Página 5
PLAN INSTITUCIONAL DE SEGURIDAD DE LA INFORMACIÓN DE LA UPEA

3.2. SIGLAS
CUADRO N° 1
ABREVIACIONES UTILIZADAS
SIGLA DESCRIPCIÓN
AGETIC Agencia de Gobierno Electrónico y Tecnologías de Información y Comunicación
CC Claves Criptográficas
CGII Centro de Gestión de Incidentes Informáticos
CPD Centro de Procesamiento de Datos o Centro de Datos (en inglés Data Center)
CSI Comité de Seguridad de la Información
CTIC-EPB Consejo para las Tecnologías de la Información y Comunicación del Estado Plurinacional de Bolivia
DBA DataBase Administrator (en español: Administrador de Base de Datos)
DICyT Dirección de Investigación, Ciencia y Tecnología
DISBED Dirección de Interacción Social Bienestar Estudiantil y Deportes
EA Equipamiento Auxiliar
H Hardware
HCU Honorable Consejo Universitario
I Información (datos)
ISO Internacional Organization for Standardization (en español: Organización Internacional de Normalización)
L InstaLaciones
MAE Máxima Autoridad Ejecutiva [rector(a)]
MAGERIT Metodología de Análisis y Gestión de Riesgos
P Personal
PISI Plan Institucional de Seguridad de la Información
RC Redes de Comunicaciones
RCPD Responsable del Centro de Procesamiento de Datos (Data Center)
RRAA Registros y Admisiones
RRHH Recursos Humanos
RSI Responsable de Seguridad de la Información
S Servicios
SA Software – Aplicaciones informáticas
SI Soportes de Información
SIE Sistemas de Información y Estadística
UPEA Universidad Pública de El Alto.
UPS Uninterruptable Power Supply (en español: Suministro o Sistema de alimentación ininterrumpida)
VAI Valoración de Activo de Información
VR Valoración de Riesgo
Fuente: Elaboración Propia.

4. CONTEXTUALIZACIÓN Y DIAGNÓSTICO INSTITUCIONAL

4.1. CONTEXTO GENERAL DE LA UPEA
4.1.1. VISIÓN
La UPEA es una institución que se proyecta al desarrollo de sus actividades
académicos-productivas, científicas, tecnológicas de interacción social contemporáneo,
para priorizar la investigación científica en todos los campos del conocimiento relacionado
la teoría con la práctica para transformar la estructura económica, social, cultural y política
vigente en favor de las naciones originarias y clases populares.
Página 6
PLAN INSTITUCIONAL DE SEGURIDAD DE LA INFORMACIÓN DE LA UPEA

4.1.2. MISIÓN

Formar profesionales integrales altamente calificados en todas las disciplinas del

conocimiento científico-tecnológico, con conciencia crítica y reflexiva; capaz de crear,
adaptar y transformar la realidad en que vive; desarrollar la investigación productiva para
fomentar el desarrollo local, regional y nacional para que responda al encargo social y las
necesidades de las nacionalidades de manera eficiente y oportuna hacia la
transformación revolucionaria de la sociedad.

4.1.3. UNIDADES ACADÉMICAS DE LA UPEA

La UPEA cuenta en la actualidad con las siguientes áreas y carreras:

CUADRO N° 2
UNIDADES ACADÉMICAS DE LA UPEA
ÁREA CARRERA
INGENIERÍA DE SISTEMAS
DERECHO
SIN AREA
CIENCIAS POLÍTICAS
CIENCIAS FÍSICAS Y ENERGÍAS ALTERNATIVAS
CONTADURÍA PÚBLICA
CIENCIAS ECONÓMICAS, ECONOMÍA
FINANCIERAS Y ADMINISTRACIÓN DE EMPRESAS
ADMINISTRATIVAS COMERCIO INTERNACIONAL
GESTIÓN TURÍSTICA Y HOTELERA
INGENIERÍA EN PRODUCCIÓN EMPRESARIAL
INGENIERÍA ELECTRÓNICA
INGENIERÍA DESARROLLO INGENIERÍA TEXTIL
TECNOLÓGICO PRODUCTIVO INGENIERÍA ELÉCTRICA
INGENIERÍA AUTOTRÓNICA
INGENIERÍA AMBIENTAL
ENFERMERÍA
CIENCIAS DE LA SALUD MEDICINA
NUTRICIÓN Y DIETÉTICA
ODONTOLOGÍA
ESTOMATOLOGÍA
TECNOLOGÍA EN LABORATORIO DENTAL
CIENCIAS DEL DESARROLLO
CIENCIAS DE LA COMUNICACIÓN SOCIAL
HISTORIA
CIENCIAS SOCIALES LINGÜÍSTICA E IDIOMAS
SOCIOLOGÍA
TRABAJO SOCIAL
PSICOLOGÍA
CIENCIAS Y ARTES DEL ARQUITECTURA
HÁBITAT ARTES PLÁSTICAS
CIENCIAS DE LA EDUCACIÓN
CIENCIAS DE LA EDUCACIÓN EDUCACIÓN PARVULARIA
PSICOMOTRICIDAD Y DEPORTES
Página 7
PLAN INSTITUCIONAL DE SEGURIDAD DE LA INFORMACIÓN DE LA UPEA

INGENIERÍA AGRONÓMICA
CIENCIAS AGRÍCOLAS,
MEDICINA VETERINARIA Y ZOOTECNIA
PECUARIAS Y RECURSOS
INGENIERÍA EN ZOOTECNIA E INDUSTRIA
NATURALES
PECUARIA
INGENIERÍA CIVIL
CIENCIA Y TECNOLOGÍA
INGENIERÍA DE GAS Y PETROQUÍMICA
Fuente: Elaboración propia.

Cada carrera de la UPEA está bajo el régimen: anual, semestral o mixto.

4.2. DIAGNÓSTICO INSTITUCIONAL ENTORNO A LA SEGURIDAD DE LA

INFORMACIÓN

La UPEA fue creada mediante Ley 2115 del 5 de septiembre del año 2000 y consigue
su autonomía mediante la Ley 2556 del 13 de noviembre del año 2003. Inicialmente inicio
sus actividades con 19 carreras, posteriormente se fueron creando más carreras y áreas
académicas, así como sub sedes en diferentes lugares. Las finalidades principales de la
UPEA son: formar profesionales con una concepción crítica, y desarrollar y difundir
ciencia, tecnología y cultura.

En los primeros años de su funcionamiento, la UPEA no tenía sistemas de información

propias desarrolladas por lo que el manejo de la información se hacía de forma manual;
sin embargo, después de forma paulatina se fue digitalizando la información institucional
y actualmente se han desarrollado aplicaciones informáticas y sistemas de información
según las necesidades de la institución.

En el desarrollo de las aplicaciones y sistemas de información de información,

considerando la seguridad, se han tomado en cuenta los métodos de encriptación para
el acceso a la información así como la funcionalidad solicitada por el usuario; pero, esto
no asegura la protección total de la información, ante ataques potenciales de hackers,
espías corporativos u otros similares, por lo que se debe dar más atención y prioridad a
la seguridad de la información que no se tiene, a fin de prevenir y evitar futuros daños
que puedan afectar la información de las distintas unidades académicas y/o
administrativas, y el normal desenvolvimiento de nuestra casa superior de estudios. Cabe
mencionar, que la Unidad de Sistemas de Información y Estadística (SIE), es la unidad
especializada que se encarga del desarrollo, implementación y mantenimiento de los
sistemas y aplicaciones informáticas de la UPEA, así como también del mantenimiento
de redes e intranet, y los equipos computacionales. La unidad SIE ha hecho esfuerzos
para dar protección de ataques informáticos provenientes del internet a los servidores,
donde se encuentran alojados los sistemas de información y plataformas virtuales, ya que
la perdida de la información no solamente puede ocasionar pérdidas económicas; sino
que también, la paralización de procesos relevantes y además causaría graves daños al
prestigio logrado por la universidad; Sin embargo, la Unidad SIE requiere más personal
administrativo especializado en las áreas que tiene para cumplir oportunamente con las
solicitudes y atenciones que brinda. Cabe mencionar, que no se cuenta a la fecha con el
responsable de seguridad de la información.

Página 8
PLAN INSTITUCIONAL DE SEGURIDAD DE LA INFORMACIÓN DE LA UPEA

5. OBJETIVO DEL PLAN INSTITUCIONAL DE SEGURIDAD DE LA INFORMACIÓN

Definir las políticas, lineamientos, procedimientos y controles de seguridad de la

información, en la Universidad Pública de El Alto, en base a la normativa legal vigente del
país para mitigar los niveles de riesgos, y preservar de manera aceptable la
confidencialidad, integridad y disponibilidad de la información institucional.

6. ALCANCE DEL PLAN INSTITUCIONAL DE SEGURIDAD DE LA INFORMACIÓN

El Plan Institucional de Seguridad de la Información de la Universidad Pública de El

Alto, es aplicable al interior de sus direcciones, unidades, Áreas y sus Carreras, para
poner en ejecución un marco de seguridad de la información adecuado a sus
necesidades.

6.1. ÁREAS ORGANIZACIONALES DE LA UPEA

Las Áreas Organizacionales involucradas en el proceso de implementación del plan y

que integran el conjunto de los procesos esenciales institucionales son:

NIVELES DE DECISIÓN:

 Congreso Interno Universitario

 Asamblea General Docente Estudiantil
 Honorable Consejo Universitario
 Honorable Consejo de Área
 Honorable Consejo de Carrera

DIRECCIONES Y UNIDADES:

 RECTORADO
Nivel de Asesoramiento:
 Dirección de Asesoría Jurídica
 Dirección de Auditoría Interna
Nivel Operativo:
 Unidad de Transparencia y Lucha Contra la Corrupción
 Secretaría General
 Unidad de Títulos y Diplomas
 Archivo Central
 Dirección Administrativa Financiera
 Unidad de Presupuestos
 Unidad de Contabilidad
 Unidad de Bienes y Servicios
· Unidad de Activos Fijos
· Unidad de Almacenes
 Unidad de Tesoro Universitario
 Dirección de Recursos Humanos

Página 9
PLAN INSTITUCIONAL DE SEGURIDAD DE LA INFORMACIÓN DE LA UPEA

 Unidad de Limpieza y Control Sanitario

 Unidad de Seguridad y Monitoreo
 Unidad de Transporte
 Dirección de Infraestructura
 Unidad de Telecomunicaciones y Electricidad
 Unidad de Televisión Universitaria
 Unidad de Relaciones Públicas
 Unidad de Radio
 Unidad de Desarrollo Estratégico y Planificación
 Unidad de Sistemas de Información y Estadística
 Unidad de Relaciones Internacionales
 Unidad del Seguro Social Universitario

 VICERRECTORADO
Nivel de Asesoramiento:
 Secretaría Académica
Nivel Operativo:
 Dirección de Investigación, Ciencia y Tecnología
 Dirección de Interacción Social, Bienestar Estudiantil
 Dirección de Posgrado
 Unidad de Evaluación y Acreditación.
 Unidad de Registros y Admisiones
 Biblioteca Central
 Decanatos de Áreas, Carreras de la UPEA

6.2. UBICACIONES FÍSICAS

La UPEA cuenta con sedes, mismas que para la implementación del PISI se
mencionan a continuación:

CUADRO N° 3
SEDES DE LA UPEA
N° SEDE OBSERVACIÓN
1 VILLA ESPERANZA SEDE PRINCIPAL
2 VILLA TEJADA ------------
3 ACHACACHI ------------
4 ANCORAIMES ------------
5 BATALLAS ------------
6 CARANAVI ------------
7 CHAGUAYA ------------
8 COROICO-CRUZ LOMA ------------
9 GUAQUI ------------
10 MAPIRI-CHAROPAMPA ------------
11 PALOS BLANCOS ------------
12 VIACHA ------------
Fuente: Elaboración propia.

Página 10
PLAN INSTITUCIONAL DE SEGURIDAD DE LA INFORMACIÓN DE LA UPEA

7. DIAGNÓSTICO, PRIORIZACIÓN Y GESTIÓN DE RIESGOS

Para el diagnóstico del PISI, la Unidad de Sistemas de Información y Estadística (SIE)

de la Universidad Pública de El Alto - UPEA, tomó en cuenta las vulnerabilidades,
amenazas que inciden en la confidencialidad, integridad y disponibilidad de la información
para llegar a una evaluación de riesgos; tomando en cuenta las experiencias sobre
vulnerabilidades o ataques ocurridos tanto en la unidad SIE como en las otras
dependencias administrativas y/o académicas de la UPEA referente a la información.
Asimismo, para cada uno de los procesos críticos se identificaron actividades para la
valoración de la criticidad acorde a los pilares de seguridad de la información y el
tratamiento priorizando los activos críticos y altos, para su debida revisión y elaboración
de un plan de contingencia.

7.1. GESTIÓN DE RIESGOS

7.1.1. SELECCIÓN DEL MÉTODO DE EVALUACIÓN DE RIESGO

Para realizar la evaluación de riesgo de los activos de información de la UPEA, se

empleó la Metodología de Análisis y Gestión de Riesgos (MAGERIT), versión 3.0; así
como también el estándar la familia ISO 27000 de “Tecnología de la información - Técnicas
de Seguridad - Gestión de la seguridad de la información”.

7.2. INVENTARIO DE ACTIVOS DE INFORMACIÓN

Para la identificación y valoración de los activos de información, relacionados a la

Universidad Pública de El Alto - UPEA, se utilizaron como base la propuesta del “Anexo
B” del documento “Lineamientos para la elaboración e implementación de los Planes
Institucionales de Seguridad de la Información de las entidades del Sector Público” y la
Metodología de Análisis y Gestión de Riesgos MAGERIT, versión 3.0.

La identificación de los activos de información se realiza según la siguiente

clasificación:

 Datos/información
 Claves criptográficas
 Servicios
 Software – aplicaciones informáticas
 Equipamiento informático (hardware)
 Redes de comunicaciones
 Soportes de información
 Equipamiento auxiliar
 Instalaciones
 Personal

En la elaboración del inventario de los activos de información de la UPEA, se han

considerado los siguientes aspectos:

Página 11
PLAN INSTITUCIONAL DE SEGURIDAD DE LA INFORMACIÓN DE LA UPEA

 Activo de información identificado.

 Descripción del activo de información.
 Tipo de activo según clasificación anterior.
 Ubicación física del activo de información.
 Unidad Responsable de gestionar el activo de información.
 Custodio, que es el encargado del custodio y reguardo del activo de
información.
 Valoración de los activos de información y nivel de afectación con respecto a
las dimensiones de disponibilidad, integridad y confidencialidad.

El ANEXO II (Anexo dos), se muestra el inventario de activos de información de la

UPEA, que se efectuó.

7.3. EVALUACIÓN DE RIESGOS

A tiempo de realizar el inventario se hicieron la valoración, afín de asegurar los niveles

de seguridad de la información (producto de la planificación). Para definir el valor de los
activos de información, la escala de valoración es la siguiente:

CUADRO N° 4
ESCALA DE VALORACIÓN DE LA CRITICIDAD
Escala de Valoración
1 Muy Bajo
2 Bajo
3 Medio
4 Alto
5 Muy Alto
Fuente: Anexo B 6.2 del documento “Lineamientos para la elaboración e implementación de los
Planes Institucionales de Seguridad de la Información de las entidades del Sector Público” (p. 93).

Partiendo del análisis en base a las posibles consecuencias que puede ocurrir si el
activo de información pierda su confidencialidad, integridad y/o disponibilidad, se han
valorado estas dimensiones de seguridad, considerando los siguientes criterios
empleados y descritos en el Anexo B punto 6.2 del documento “Lineamientos para la
elaboración e implementación de los Planes Institucionales de Seguridad de la
Información de las entidades del Sector Público”, elaborado por la CTIC-EPB y CGII:

 Disponibilidad: ¿Qué importancia tendría que el activo no estuviera

disponible?
 Integridad: ¿Qué importancia tendría que la información aso
ciada al activo fuera modificada sin control?
 Confidencialidad: ¿Qué importancia tendría que la información
asociada al activo fuera conocida por personas
no autorizadas?

Página 12
PLAN INSTITUCIONAL DE SEGURIDAD DE LA INFORMACIÓN DE LA UPEA

CUADRO N° 5
CRITERIO DE VALORACIÓN DE LA DIMENSIÓN “DISPONIBILIDAD”
DISPONIBILIDAD
VALOR DE NIVEL DE
CLASIFICACIÓN DESCRIPCIÓN
CRITICIDAD CRITICIDAD
La falla del activo de información, no incide en la
Disponibilidad
1 Muy Bajo consecución de objetivos y/o pérdida de niveles de
Muy Baja
servicios de procesos críticos del negocio.
La falla del activo de información, no incide en la
Disponibilidad consecución de objetivos y/o pérdida de niveles de
2 Bajo
Baja servicio de procesos críticos de la institución, es
considerada marginal.
La falla del activo de información, afecta a la
Disponibilidad
3 Medio consecución de objetivos y/o tiene incidencia en la
Media
pérdida de niveles de servicios de un proceso crítico.
Disponibilidad La falla del activo de información, tiene el potencial
4 Alto
Alta de interrumpir el negocio.
La falla del activo de información, tiene el potencial
Disponibilidad de interrumpir el negocio o afectar gravemente a los
5 Muy Alto
Muy Alta niveles de servicios prestados por procesos críticos
del negocio.
Fuente: Elaboración Propia considerando los criterios Magerit versión 3.0

CUADRO N° 6
CRITERIO DE VALORACIÓN DE LA DIMENSIÓN “INTEGRIDAD”
INTEGRIDAD
VALOR DE NIVEL DE
CLASIFICACIÓN DESCRIPCIÓN
CRITICIDAD CRITICIDAD
El daño o modificación no autorizada del activo de
Integridad Muy
1 Muy Bajo información no es crítico y su impacto es
Baja
insignificante.
El daño o modificación no autorizada del activo de
2 Bajo Integridad Baja información no es crítico para para las aplicaciones
del negocio y su impacto es menor.
El daño o modificación no autorizada del activo de
3 Medio Integridad Media información es crítico para las aplicaciones del
negocio, y su impacto es moderado.
El daño o modificación no autorizada del activo de
4 Alto Integridad Alta información, es crítico afectando a las principales
operaciones del negocio, y su impacto es grave.

El daño o modificación no autorizada del activo de

información, es crítico afectando a las principales
Integridad Muy
5 Muy Alto operaciones del negocio, y su impacto es muy grave,
Alta
afectando seriamente los procesos de la institución,
lo que puede afectar la imagen de la entidad.
Fuente: Elaboración Propia considerando los criterios Magerit versión 3.0

Página 13
PLAN INSTITUCIONAL DE SEGURIDAD DE LA INFORMACIÓN DE LA UPEA

CUADRO N° 7
CRITERIO DE VALORACIÓN DE LA DIMENSIÓN “CONFIDENCIALIDAD”
CONFIDENCIALIDAD
VALOR DE NIVEL DE
CLASIFICACIÓN DESCRIPCIÓN
CRITICIDAD CRITICIDAD
Información pública, aplicaciones o instalaciones a
Confidencialidad
1 Muy Bajo disposición del público, que no supone algún riesgo
Muy Baja
para la entidad.
Información pública, aplicaciones o instalaciones a
Confidencialidad
2 Bajo disposición del público, cuyo riesgo es insignificante
Baja
para la entidad.
Información, sistemas, aplicaciones o instalaciones
Confidencialidad
3 Medio se restringe exclusivamente para el uso interno. En
Media
caso contrario, el riesgo o daño seria crítico.
Confidencialidad Información restringida por razones de interés
4 Alto
Alta público. En caso contrario el riesgo es grave.
La información es sensible y debe estar clasificada,
Confidencialidad misma que debe ser resguardada contra cualquier
5 Muy Alto
Muy Alta posible filtración. En caso contrario, el riesgo es
muy grave.
Fuente: Elaboración Propia considerando los criterios Magerit versión 3.0

En los cuadros anteriores de criterios de valoración de las dimensiones de seguridad

de la información se menciona la palabra “negocio” bajo el significado informático como
“proceso o flujo interno de trabajo de una entidad que permite la circulación de
información”.

Cabe mencionar, una vez realizado el inventario de activos de información se hizo la

valoración de dichos activos; que se muestra en el ANEXO III (Anexo tres) de este
documento.

7.3.1. CRITERIOS DE EVALUACIÓN DEL RIESGO

Las vulnerabilidades son debilidades que presenta el activo de información por sí

mismas no pueden ocasionar daños en los mismos ya que necesitan de amenazas que
las exploten; asimismo, las amenazas pueden ser internas (que por lo general son de
más alto riesgo) o externas; además, es necesario que sean debidamente identificadas
en caso de que suceda algún cambio que implique la aparición de una nueva amenaza.
Identificadas las vulnerabilidades y amenazas, se han identificado los riesgos en base a:
nivel de riesgo que cada amenaza conlleva, probabilidad de que ocurra el incidente
(amenaza que explota la vulnerabilidad), magnitud del impacto producido por el evento
al activo.

Para la identificación, análisis y evaluación de riesgos se tomó en cuenta el catálogo

de amenazas según MAGERIT 3.0, que está en el ANEXO I (Anexo uno) del presente
plan.

Página 14
PLAN INSTITUCIONAL DE SEGURIDAD DE LA INFORMACIÓN DE LA UPEA

La escala de valoración del riesgo que se ha utilizado es la siguiente:

CUADRO N° 8
VALORACIÓN CUALITATIVA
ESCALAS
Probabilidad Impacto
Cierta/Inminente Crítico
Muy Probable Severo
Probable Moderado
Poco Probable Menor
Improbable Irrelevante
Fuente: Anexo B del documento “Lineamientos para la elaboración e implementación de los Planes
Institucionales de Seguridad de la Información de las entidades del Sector Público” (p. 103).

Las amenazas y vulnerabilidades identificadas son:

CUADRO N° 8
VALORACIÓN CUALITATIVA
Degradación
del activo

Confidencialidad
Disponibilidad
ORIGEN DE

Integridad
TIPOS DE ACTIVOS
N° LA AMENAZA
AFECTADOS
AMENAZA

 Servidores
De origen Avería de origen físico o  Equipamiento auxiliar del
1 x
industrial lógico. Data Center
 Equipo de Computación
De origen  [RC1] Internet
2 Corte de suministro eléctrico. x
industrial  Equipo de Computación
De origen Condiciones inadecuadas de
3 Equipo de Computación x
industrial temperatura o humedad.
Degradación de los soportes
De origen
4 de almacenamiento de la Equipo de Computación x
industrial
información.
De origen Fallo de servicios de
5 Red de Telecomunicaciones x
industrial comunicaciones.
 [SA15] Sistema de
información académica de
Errores y departamento de idiomas
6 fallos no Errores de los usuarios. (SI@DI) x x x
intencionados  [SA17] Sistema de
preuniversitario
 Sistemas de Información

Página 15
PLAN INSTITUCIONAL DE SEGURIDAD DE LA INFORMACIÓN DE LA UPEA

Deficiencias en la
organización, en algunos
casos la atención de
Errores y
solicitudes de certificaciones,
7 fallos no Sistemas de Información x
historiales, legalizaciones,
intencionados
entre otros similares no son
atendidas por el orden
secuencial de presentación.
Errores y
8 fallos no Difusión de software dañino. Equipo de Computación x x x
intencionados
Modificación deliberada de la
Ataques
9 información; sin autorización Sistemas de Información x
intencionados
escrita.
Destrucción de la información,
de respaldo, que puede darse
Ataques
10 por criterio inapropiado o falta Sistemas de Información x
intencionados
de conciencia de la seguridad
de la información.
Fuente: Elaboración Propia tomando en cuenta el Catálogo de Amenazas de Magerit versión 3.0

De acuerdo a los niveles de riesgos identificados, en función de la probabilidad y el

impacto, la matriz para valorar el riesgo se muestra a continuación.

Figura 1: Matriz Para Valorar el Riesgo

Fuente: Anexo B del documento “Lineamientos para la elaboración e implementación de los Planes
Institucionales de Seguridad de la Información de las entidades del Sector Público” (p. 104).

De la matriz para valorar el Riesgo, los niveles de riesgo establecidos son: Irrelevante,
Bajo, Medio, Alto y Crítico. En la identificación, análisis y valoración de riesgos, los que
presentan niveles de riesgo “Crítico” (color rojo) o “Alto” (color naranja), deberán ser
tratados para minimizar su impacto; mientras que, los niveles de riesgo: “Medio”, “Bajo”
e “Irrelevante” no serán tratados.

En el ANEXO IV (Anexo cuatro), se muestra la matriz de identificación, análisis y

valoración de riesgos; en la cual se han identificado las vulnerabilidades y amenazas
críticas que en caso de materializarse causarían daños; asimismo, como resultado de la

Página 16
PLAN INSTITUCIONAL DE SEGURIDAD DE LA INFORMACIÓN DE LA UPEA

valoración de riesgos se han identificado dos procesos con niveles de riesgos críticos y
un proceso con nivel de riesgo Alto; que pueden llegar a tener interrupción y afectar los
servicios que brinda la institución por lo que deberán ser tratados prioritariamente.

7.4. TRATAMIENTO DEL RIESGO

Una vez identificados y evaluados los riesgos, se debe realizar el tratamiento del riesgo
que implica tomar decisiones respectivas, de acuerdo a las siguientes categorías de
acción, que se mencionan a continuación.

Aceptar el riesgo: Significa estar conscientes de la afectación que se produzca en

caso de materializarse la amenaza o vulnerabilidad; para esto se deberían disponer
de recursos ante una eventualidad. En el marco de la aceptación del riesgo, los que
no sean considerados relevantes podrán ser excluidos de la selección de controles,
pero se deberá incluir una justificación para no tratarlos.

Reducir el riesgo: Implica realizar una selección de Controles de Seguridad de la

Información o bien se pueden diseñar nuevos controles para cumplir con necesidades
específicas que coadyuven a la reducción del riesgo.

Retener el riesgo: Implica establecer criterios para su aceptación, no es necesario

implementar o seleccionar controles adicionales si el riesgo puede ser retenido.

Evitar el riesgo: El riesgo puede evitarse cuando este se considera muy alto, o Si los
costos para implementar otras opciones de tratamiento del riesgo exceden los
beneficios. Se puede tomar una decisión que logre evitar par completo el riesgo,
mediante el retiro de una actividad, condiciones o conjunto de actividades ya sean
planificadas o existentes. Esto deberá estar debidamente justificado y documentado.

Transferir el riesgo: Deben evaluarse las opciones y tomar las acciones pertinentes
para ejecutar la escogida, en función del valor del activo y del coste de realizar esta
transferencia (no sólo coste económico sino también los riesgos que conlleva esta
transferencia en cuanto a la inclusión de un tercero).

7.5. CONTROLES IMPLEMENTADOS Y POR IMPLEMENTAR

Los controles implementados y por implementar producto del PISI, se mencionan en

el Anexo A del documento “Lineamientos para la elaboración e implementación de los
Planes Institucionales de Seguridad de la Información de las entidades del Sector
Público”. La matriz que se muestra en el “ANEXO IV: IDENTIFICACIÓN, ANÁLISIS Y
VALORACIÓN DE RIESGOS”, permite que posteriormente se determinen los controles
(salvaguardas) que se requieran implementar, para reducir el impacto o la probabilidad
de los riesgos críticos y riesgo alto encontrados.

Las valoraciones finales de activos de información y riesgos, se obtienen de las fórmulas:

Página 17
PLAN INSTITUCIONAL DE SEGURIDAD DE LA INFORMACIÓN DE LA UPEA

VAI = Valoración de Activo de Información = (Disponibilidad + Integridad + Confidencialidad)

VR = Valoración de Riesgo= (Disponibilidad + Integridad + Confidencialidad) / 3

Por tanto:
CUADRO N° 9
VALORACIÓN DE CRITICIDAD
VALORACIÓN
VAI VR NIVEL DE CRITICIDAD
[1-3] 1 Muy Bajo
[4-6] 2 Bajo
[7-9] 3 Medio
[10-12] 4 Alto
[13-15] 5 Muy Alto
Fuente: Elaboración Propia.

La valoración de la probabilidad y el impacto vienen dadas por la siguiente tabla:

CUADRO N° 10
CRITERIOS DE VALORACIÓN DE RIESGO
PROBABILIDAD IMPACTO VALOR
Cierta/Inminente Crítico 5
Muy Probable Severo 4
Probable Moderado 3
Poco Probable Menor 2
Improbable Irrelevante 1
Fuente: Elaboración Propia.

Para calcular el riesgo, una vez identificados los valores de probabilidad e impacto, se
utiliza la siguiente ecuación matemática: Riesgo = (Probabilidad) x (Impacto)

Cuyo valor se identifica de acuerdo a las siguientes matrices:

Figura 2: Matrices para Valorar el Riesgo

Matriz de Riesgo con niveles de criticidad Matriz de Riesgo con Valores de Criticidad

Fuente: Elaboración Propia considerando los criterios del documento “Lineamientos para la elaboración e
implementación de los Planes Institucionales de Seguridad de la Información de las entidades del Sector Público”.

Página 18
PLAN INSTITUCIONAL DE SEGURIDAD DE LA INFORMACIÓN DE LA UPEA

En el siguiente cuadro se resume los resultados de la valoración de riesgos.

CUADRO N° 11
RESULTADOS DE VALORACIÓN DE RIESGO
NIVEL DE CRITICIDAD VALOR DE CRITICIDAD SIGNIFICADO
IRRELEVANTE [1-3] Riesgo Irrelevante
MENOR [4-6] Riesgo Menor
MODERADO [8-10] Riesgo Moderado
SEVERO [12-16] Riesgo Severo
CRÍTICO [20-25] Riesgo Crítico
Fuente: Elaboración Propia.

Los valores de criticidad permitirán posteriormente hacer cálculos para el análisis de

riesgo que se requiera.

8. POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

En la actualidad la UPEA tiene el “Manual de Políticas y Procedimientos de Seguridad

de la Información” aprobado mediante Resolución Nro. 148-A/2021 del HCU, en dónde si
bien se mencionan las políticas de seguridad de la información y en qué consisten las
mismas, no están determinadas las guías de procedimientos de cada política. Asimismo,
a partir de la identificación, análisis y valoración de riesgos realizados; se deberán
determinar las políticas de seguridad que se requieren implementar afín de proteger la
información de la institución.

9. CRONOGRAMA DE IMPLEMENTACIÓN

CUADRO N° 12
RESULTADOS DE VALORACIÓN DE RIESGO
RESPONSABLE(S) FECHA ESTIMADA DE
N° ACTIVIDAD
DE LA ACTIVIDAD IMPLEMENTACIÓN
Designación del Responsable de Seguridad
1 MAE 2023-2024
de la Información
Conformación del Comité de Seguridad de la
2 MAE 2023-2024
Información
Revisiones, correcciones y/o modificaciones
3 RSI, CSI 2025
de la propuesta de PISI de la UPEA
4 Aprobación del PISI de la UPEA CSI 2025
Fuente: Elaboración Propia.

Página 19
PLAN INSTITUCIONAL DE SEGURIDAD DE LA INFORMACIÓN DE LA UPEA

ANEXOS

Página 20
PLAN INSTITUCIONAL DE SEGURIDAD DE LA INFORMACIÓN DE LA UPEA

ANEXO I: CATÁLOGO DE AMENAZAS SEGÚN MAGERIT VERSIÓN 3.0

Tabla Nº 3. Catálogo de Amenazas (MAGERIT)

Degradación
del activo

Confidencialidad
Disponibilidad

Integridad
Amenaza DESCRIPCIÓN DE MAGERIT VERSIÓN 3.0

Desastres Naturales
Fuego (Incedios) x

Daños por agua x

(Inundaciones)

Desastres Naturales x

Página 21
PLAN INSTITUCIONAL DE SEGURIDAD DE LA INFORMACIÓN DE LA UPEA

De origen industrial
Fuego (Incendios) x

Daños por agua x

(Inundaciones)

Desastres industriales x

Contaminación mecánica x

Página 22
PLAN INSTITUCIONAL DE SEGURIDAD DE LA INFORMACIÓN DE LA UPEA

Contaminación x
electromagnética

Avería de origen físico o x

lógico

Corte del suministro x

eléctrico

Condiciones inadecuadas x
de temperatura o
humedad

Fallo de servicios de x
comunicaciones

Página 23
PLAN INSTITUCIONAL DE SEGURIDAD DE LA INFORMACIÓN DE LA UPEA

Interrupción de otros x
servicios y suministros
esenciales

Degradación de los x
soportes de
almacenamiento de la
información

Emanaciones x
electromagnéticas

Errores y fallos no intencionados

Errores de los usuarios x x x

Errores del administrador x x x

Página 24
PLAN INSTITUCIONAL DE SEGURIDAD DE LA INFORMACIÓN DE LA UPEA

Errores de monitorización x
(log)

Errores de configuración x

Deficiencias en la x
organización

Difusión de software x x x
dañino

Errores de [re- x
]encaminamiento

Errores de secuencia x

Escapes de información x

Página 25
PLAN INSTITUCIONAL DE SEGURIDAD DE LA INFORMACIÓN DE LA UPEA

Alteración accidental de la x
información

Destrucción de x
información

Fugas de información x

Vulnerabilidades de los x x x
programas (software)

Errores de mantenimiento x x
/ actualización de
programas (software)

Página 26
PLAN INSTITUCIONAL DE SEGURIDAD DE LA INFORMACIÓN DE LA UPEA

Errores de mantenimiento x
/ actualización de equipos
(hardware)

Caída del sistema por x

agotamiento de recursos

Pérdida de equipos x x

Indisponibilidad del x
personal

Ataques intencionados
Manipulación de los x
registros de actividad (log)

Manipulación de la x x x
configuración

Página 27
PLAN INSTITUCIONAL DE SEGURIDAD DE LA INFORMACIÓN DE LA UPEA

Suplantación de la x x x
identidad del usuario

Abuso de privilegios de x x x
acceso

Uso no previsto x x x

Difusión de software x x x
dañino

[Re-]encaminamiento de x
mensajes

Alteración de secuencia x

Página 28
PLAN INSTITUCIONAL DE SEGURIDAD DE LA INFORMACIÓN DE LA UPEA

Acceso no autorizado x x

Análisis de tráfico x

Repudio x

Interceptación de x
información (escucha)

Modificación deliberada x
de la información

Destrucción de x
información

Página 29
PLAN INSTITUCIONAL DE SEGURIDAD DE LA INFORMACIÓN DE LA UPEA

Divulgación de x
información

Manipulación de x x x
programas

Manipulación de los x x
equipos

Denegación de servicio x

Robo x x

Ataque destructivo x

Página 30
PLAN INSTITUCIONAL DE SEGURIDAD DE LA INFORMACIÓN DE LA UPEA

Ocupación enemiga x x

Indisponibilidad del x
personal

Extorsión x x x

Ingeniería social x x x
(picaresca)

Fuente: Extraído del cuadro 3 del Anexo B del documento “Lineamientos para la elaboración e
implementación de los Planes Institucionales de Seguridad de la Información de las entidades del Sector
Público” y MAGERIT versión 3.0.

Página 31
PLAN INSTITUCIONAL DE SEGURIDAD DE LA INFORMACIÓN DE LA UPEA

ANEXO II: INVENTARIO DE ACTIVOS DE INFORMACIÓN

CÓDIGO NOMBRE DEL UNIDAD
N° DESCRIPCIÓN TIPO DE ACTIVO UBICACIÓN CUSTODIO
DEL ACTIVO ACTIVO RESPONSABLE
Sistema para publicación de trabajos de
Sistema de Repositorio grado accesibles para el público en Administrador(es) del
1 S1 Servicios [Servidor 3] / CPD (Data Center). Unidad SIE
Institucional general, que fueron defendidos y sistema
aprobados, de la UPEA.
Sistema destinado a la población en
Sistema orientación general, el cual, mediante test, muestra Administrador(es) del
2 S2 Servicios [Servidor 15] / CPD (Data Center). Unidad SIE
vocacional las afinidades de las personas para sistema
postular a una carrera universitaria.
3 S3 Zoom Servicio de video conferencia adquirido. Servicios Nube. Unidad SIE Personal de Unidad SIE
Plataformas Virtuales Plataforma en línea para el proceso de
4 S4 Servicios [Servidor 13] / CPD (Data Center). Unidad SIE Personal de Unidad SIE
Moodle enseñanza-aprendizaje.
Servicio de correo electrónico
5 S5 Zimbra y Zamba Servicios [Servidor 6] / CPD (Data Center). Unidad SIE Usuarios
institucional.
Servicio de almacenamiento remoto de
6 S6 Cloud Servicios [Servidor 6] / CPD (Data Center). Unidad SIE Personal de Unidad SIE
archivos y procesamiento de datos.
Servidor para videoconferencias sin límite
7 S7 Jitsi Meet Servicios [Servidor 8] / CPD (Data Center). Unidad SIE Usuarios
de personas participantes.
1) [Servidor 6] (páginas web de carreras) /
CPD (Data Center).
2) [Servidor 1] (páginas web de las sedes
académicas y otros) / CPD (Data Center).
3) [Servidor 2] (páginas web de la DICyT y
de la Carrera Ciencias de la
Comunicación Social y otros) / CPD (Data
Administradores de las
Páginas Web Servidor para distribución y contenido de Center).
8 S8 Servicios Unidad SIE páginas web
Institucionales páginas web. 4) [Servidor 15] (páginas web de las áreas
institucionales
académicas, algunas carreras y unidades
administrativas) / CPD (Data Center).
5) [Servidor 16] (páginas web de carreras
Agronomía y Educación Parvularia y
radioupea) / CPD (Data Center).
6) [Servidor 10] (página web de carrera
Arquitectura) / CPD (Data Center).
Servidor de Base de Servidor que tiene almacenado la base de
9 S9 Servicios [Servidor 7] / CPD (Data Center). Unidad SIE DBA
Datos datos principal y permite administrarlo.
10 S10 Servidor de Backups Servidor de Copia de Seguridad de Datos. Servicios [Servidor 8] / CPD (Data Center). Unidad SIE RCPD
Servidor DNS
11 S11 Servidor de Nombres de Dominio. Servicios [Servidor 6] / CPD (Data Center) Unidad SIE RCPD
"upea.bo"
Servidor DNS
12 S12 Servidor de Nombres de Dominio. Servicios [Servidor 11] / CPD (Data Center). Unidad SIE RCPD
"upea.edu.bo"
Servidor de Streaming Servidor para la transmisión de audio en Administrador del
13 S13 Servicios [Servidor 10] / CPD (Data Center). Unidad SIE
de Radio UPEA tiempo real de la radio UPEA. Streaming de Radio

Página 32
PLAN INSTITUCIONAL DE SEGURIDAD DE LA INFORMACIÓN DE LA UPEA

Sistema de seguimiento y control para

Sistema de Control asignación y emisión de nombramientos Software – Aplicaciones Vicerrectorado
14 SA1 [Servidor 14] / CPD (Data Center). Responsable del Sistema
Docente (SICOD)" de los docentes de las carreras, tanto para informáticas UPEA
vicerrectorado y decanaturas.
Tribunal de
Proceso, Técnico
de Tesorería,
Sistema de Control de Sistema para emisión de certificaciones Software – Aplicaciones Responsable de Administradores del
15 SA2 [Servidor 14] / CPD (Data Center).
Certificaciones (SICC) para docentes de la universidad. informáticas Archivo Central y sistema
Responsable del
Departamento de
Idiomas.
Sistema de Logeo Sistema de control y acceso de logeo Software – Aplicaciones Administrador(es) del
16 SA3 [Servidor 14] / CPD (Data Center). Unidad SIE
(SILOG) genérico. informáticas sistema
Sistema de
Autoevaluación, Sistema de autoevaluación y posterior Software – Aplicaciones Técnico de Acreditación
17 SA4 [Servidor 14] / CPD (Data Center). Vicerrectorado
evaluación y acreditación en la CEUB. informáticas de Vicerrectorado
acreditación "EVA"
Sistema de convenios
Unidad de
para la Dirección de Sistema para publicar información relativo Software – Aplicaciones Administrador(es) del
18 SA5 [Servidor 15] / CPD (Data Center). Relaciones
Relaciones Nacionales a los convenios interinstitucionales. informáticas sistema
Internacionales
e Internacionales
Sistema de seguimiento de control de
Sistema de planillas y planillas y control de consejeros de
Software – Aplicaciones Administrador del
19 SA6 control de asistencias docentes y estudiantes e impresión de [Servidor 14] / CPD (Data Center). HCU
informáticas sistema
HCU "SAYP" planillas de pago, reuniones, y sesiones
de HCU.
CMS basado en
Sistema de control de publicaciones y
codeigniter para Software – Aplicaciones Administrador(es) del
20 SA7 seguimiento de actividades para las [Servidor 15] / CPD (Data Center). Vicerrectorado
publicaciones de informáticas sistema
unidades y carreras de la universidad.
páginas
Sistema de Sistema para control de pasantes en
seguimiento y cuanto a actividades, trabajos realizados, Software – Aplicaciones Personal de SIE que
21 SA8 [Servidor 14] / CPD (Data Center). Unidad SIE
evaluación de pasantes control de asistencia y finalmente la informáticas administran el Sistema
“SIE-CEP” evaluación respectiva de la Unidad SIE.
Sistema de inscripciones para las carreras 1) [Servidor 1] / CPD (Data Center).
Kardex Académico
Sistema universitario en cuanto se refiere a la administración de 2) [Servidor 2] / CPD (Data Center).
Software – Aplicaciones Estudiantil de las Técnicos de Kardex
22 SA9 de inscripciones Kardex, impresión de récord, historiales, 3) [Servidor 4] / CPD (Data Center).
informáticas Carreras de la Académico Estudiantil
académicas “SUYAY” llenado de notas, inscripciones web por el 4) [Servidor 5] / CPD (Data Center).
UPEA
estudiante entre otros. 5) [Servidor 14] / CPD (Data Center).
Rediseño de sistema Sistema reformulado para la Unidad de
Software – Aplicaciones Administrador(es) del
23 SA10 para la Unidad de DISBEDC, para revisión, evaluación y [Servidor 14] / CPD (Data Center). DISBED
informáticas Sistema
DISBED calificación de las becas universitarias.
Sistema de
Matriculación Sistema de matriculación anual de Software – Aplicaciones
24 SA11 [Servidor 14] / CPD (Data Center). Unidad de RRAA Responsable del Sistema
Académica Estudiantil estudiantes universitarios. informáticas
"MAE"

Página 33
PLAN INSTITUCIONAL DE SEGURIDAD DE LA INFORMACIÓN DE LA UPEA

Sistema de inscripciones para las carreras

Kardex Académico
en cuanto se refiere a la administración de
Sistema de Software – Aplicaciones 1) [Servidor 2] / CPD (Data Center). Estudiantil de las Técnicos de Kardex
25 SA12 Kardex, impresión de récord, historiales,
inscripciones "MAYA" informáticas 2) [Servidor 14] / CPD (Data Center). Carreras de la Académico Estudiantil
llenado de notas, inscripciones web por el
UPEA
estudiante entre otros.
Sistema que centraliza el uso de
Sistema de Vacaciones Software – Aplicaciones
26 SA13 vacaciones del plantel administrativo de la [Servidor 14] / CPD (Data Center). Dirección de RRHH Responsable del Sistema
(SIVA) informáticas
institución.
Sistema de
Sistema de planillas de administrativos, Software – Aplicaciones
27 SA14 administración y control [Servidor 14] / CPD (Data Center). Dirección de RRHH Responsable del Sistema
docentes y estudiantes de la institución. informáticas
de planillas (SI@COP)
Sistema académico desarrollado para el
Departamento de
Sistema de información Departamento de Idiomas dependiente de
Idiomas de la Responsable de kardex
académica de la Carrera de Lingüística e Idiomas el cual Software – Aplicaciones
28 SA15 [Servidor 9] / CPD (Data Center). Carrera de del Departamento de
departamento de centraliza las inscripciones, Kardex y la informáticas
Lingüística e Idiomas
idiomas (SI@DI) emisión de certificados de los diferentes
Idiomas
idiomas que se dicta en la universidad.
Sistema Administración Sistema desarrollado, para el control y
Software – Aplicaciones Unidad de Activos Administrador(es) del
29 SA16 y Control de Activos seguimiento de los activos con que cuenta [Servidor 4] / CPD (Data Center).
informáticas Fijos Sistema
Fijos “SAF-ENOC” nuestra casa superior de estudios.
Sistema de admisión estudiantil de
Sistema de postulantes a las diferentes carreras Software – Aplicaciones Carreras de la Coordinador del Curso
30 SA17 [Servidor 5] / CPD (Data Center).
preuniversitario mediante las modalidades de admisión informáticas UPEA Preuniversitario
correspondientes.
Sistema de Evaluación Sistema para realizar la evaluación del Software – Aplicaciones
31 SA18 [Servidor 1] / CPD (Data Center). Vicerrectorado Responsable del Sistema
Docente (EVADOC) personal docente de nuestra universidad. informáticas
Sistema de la Biblioteca Central de la
institución, para el inventario y préstamo Biblioteca Central,
Software – Aplicaciones Responsables de la
32 SA19 Sistema de Biblioteca de libros, textos y otros a los estudiantes [Servidor 5] / CPD (Data Center). Bibliotecas de
informáticas Bibliotecas
universitarios de nuestra casa superior de Carrera
estudios.
Sistema de
Sistema elaborado para la unidad de
Administración de la
ciencias y tecnología dependiente de la
Dirección de Software – Aplicaciones Administrador(es) del
33 SA20 UPEA, el cual centraliza los proyectos de [Servidor 2] / CPD (Data Center). DICyT
Investigación Ciencia y informáticas Sistema
los diferentes institutos de investigación
Tecnología (SIAD-
con los que cuenta la UPEA.
DICyT)
Sistema para el registro de resoluciones
emanadas por el honorable consejo
Sistema de Secretaria Software – Aplicaciones Administrador del
34 SA21 universitario (HCU), así como [Servidor 14] / CPD (Data Center). Secretaría General
General informáticas sistema
resoluciones administrativas (Rectorado y
Dirección administrativa financiera).
Sistema Operativo Software – Aplicaciones
35 SA22 Gnu/Linux. Servidores del CPD (Data Center). Unidad SIE RCPD
servidor informáticas
Sistema Operativo
Sistema operativo en computadoras de Software – Aplicaciones Equipos computaciones de Oficinas de la
36 SA23 usuario administrativo o Unidad SIE Usuario
escritorio Windows 7 para adelante. informáticas UPEA.
autoridad

Página 34
PLAN INSTITUCIONAL DE SEGURIDAD DE LA INFORMACIÓN DE LA UPEA

Aplicaciones Word, Excel, Power Point, Software – Aplicaciones Equipos computaciones de Oficinas de la
37 SA24 Ofimática Unidad SIE Usuario
etc. informáticas UPEA.
Switch para IPs públicas, TRENDNET Equipamiento informático
38 H1 Switch CPD (Data Center). Unidad SIE RCPD
TL2-G244. (hardware)
1) Switch de 24 puertos.
2) Switch de 24 puertos. Equipamiento informático
39 H2 Switches CPD (Data Center). Unidad SIE RCPD
3) Switch de 24 puertos. (hardware)
4) Switch de 24 puertos.
Equipamiento informático
40 H3 Firewall Firewall pfSense.. CPD (Data Center). Unidad SIE RCPD
(hardware)
Mikrotik Cloud Core Router CCR1036-86- Equipamiento informático
41 H4 Router CPD (Data Center). Unidad SIE RCPD
2ST. (hardware)
Equipamiento informático
42 H5 Servidor 1 Servidor de marca DELL R940. CPD (Data Center). Unidad SIE RCPD
(hardware)
Equipamiento informático
43 H6 Servidor 2 Servidor de marca DELL R740xd. CPD (Data Center). Unidad SIE RCPD
(hardware)
Equipamiento informático Carrera de
44 H7 Servidor 3 Servidor de marca DELL R740. CPD (Data Center). RCPD
(hardware) Derecho
Equipamiento informático Carrera Ingeniería
45 H8 Servidor 4 Servidor de marca DELL R730. CPD (Data Center). RCPD
(hardware) de Sistemas
Equipamiento informático Carrera Ingeniería
46 H9 Servidor 5 Servidor de marca DELL R630. CPD (Data Center). RCPD
(hardware) de Sistemas
Equipamiento informático
47 H10 Servidor 6 Servidor de marca DELL R740xd. CPD (Data Center). Unidad SIE RCPD
(hardware)
Equipamiento informático
48 H11 Servidor 7 Servidor de marca DELL R940. CPD (Data Center). Unidad SIE RCPD
(hardware)
Equipamiento informático
49 H12 Servidor 8 Servidor de marca DELL R940. CPD (Data Center). Unidad SIE RCPD
(hardware)
Equipamiento informático Departamento de
50 H13 Servidor 9 Servidor de marca HP ML110 Gen9. CPD (Data Center). RCPD
(hardware) Idiomas
Equipamiento informático Carrera
51 H14 Servidor 10 Servidor de marca DELL R440. CPD (Data Center). RCPD
(hardware) Arquitectura
Equipamiento informático
52 H15 Servidor 11 Servidor de marca DELL R710. CPD (Data Center). Unidad SIE RCPD
(hardware)
Equipamiento informático
53 H16 Servidor 12 Servidor de marca DELL R740xd. CPD (Data Center). Unidad SIE RCPD
(hardware)
Equipamiento informático
54 H17 Servidor 13 Servidor de marca DELL R740xd. CPD (Data Center). Unidad SIE RCPD
(hardware)
Equipamiento informático
55 H18 Servidor 14 Servidor de marca DELL R740xd. CPD (Data Center). Unidad SIE RCPD
(hardware)
Equipamiento informático
56 H19 Servidor 15 Servidor de marca HP ML150 Gen9. CPD (Data Center). Carrera Agronomía RCPD
(hardware)

Equipamiento informático
57 H20 Servidor 16 Servidor de marca HP ML150 Gen9. CPD (Data Center). Carrera Agronomía RCPD
(hardware)

Página 35
PLAN INSTITUCIONAL DE SEGURIDAD DE LA INFORMACIÓN DE LA UPEA

Administrativo(a) o
Direcciones y
Computadoras Personales de todas las autoridad universitaria al
Equipos Equipamiento informático Unidades
58 H21 dependencias administrativas de la Sedes de la UPEA. que le ha sido asignado
Computacionales (hardware) Administrativas y/o
UPEA. el(los) equipo(s)
Académicas
computacional(es)
Direcciones y Administrativo(a) o
Impresoras de todas las dependencias Equipamiento informático Unidades autoridad universitaria al
59 H22 Impresoras Sedes de la UPEA.
administrativas de la UPEA. (hardware) Administrativas y/o que le ha sido asignado
Académicas la(s) impresora(s)
Direcciones y Administrativo(a) o
Fotocopiadoras de todas las
Equipamiento informático Unidades autoridad universitaria al
60 H23 Fotocopiadoras dependencias administrativas de la Sedes de la UPEA.
(hardware) Administrativas y/o que le ha sido asignado
UPEA.
Académicas la(s) fotocopiadora(s)
Redes de
61 RC1 Internet Fibra AXS. CPD (Data Center). Unidad SIE RCPD, Técnico de redes
comunicaciones
Sistema Operativo Sistema Operativo Gnu/Linux, que
Dirección de Administrador del
62 SI1 Virtual para Posgrado administra la Dirección de Posgrado de la Soportes de información [Servidor 4] / CPD (Data Center).
Posgrado-UPEA Sistema
de la UPEA UPEA.
Sistema Operativo
Sistema Operativo Virtual Gnu/Linux para
Virtual para los
63 SI2 el soporte de Servicios Cloud y el Sistema Soportes de información [Servidor 6] / CPD (Data Center). Unidad SIE RCPD
servicios: Cloud y
de Correo Institucional.
Correo Institucional
Sistema Operativo
Virtual para Instituto de Sistema Operativo Virtual Gnu/Linux, para
64 SI3 Investigación de la el sitio web del Instituto de Investigación Soportes de información [Servidor 12] / CPD (Data Center). Unidad SIE RCPD
Carrera de Ingeniería de la Carrera de Ingeniería de Sistemas.
de Sistemas
65 EA1 UPS Para la gestión de energía regulada. Equipamiento auxiliar TRIPP-LITE SU20KX / CPD (Data Center). Unidad SIE RCPD
66 EA2 Climatizador Sistema de aire acondicionado. Equipamiento auxiliar CLIMAVENE+A / CPD (Data Center). Unidad SIE RCPD
Fuente de Alimentación
67 EA3 Para el acceso al Data Center. Equipamiento auxiliar CPD (Data Center). Unidad SIE RCPD
de Cerradura Magnética
1) PDUMH20HVATNET, PDU Controlable
de 200/240V.
2) PDUMH20HVATNET, PDU Controlable
de 200/240V.
68 EA4 Controlable Monofásico Equipamiento auxiliar CPD (Data Center). Unidad SIE RCPD
3) PDUMH20HVATNET, PDU Controlable
de 200/240V.
4) PDUMH20HVATNET, PDU Controlable
de 200/240V.
Rector, Vicerrector, Decanos de Áreas,
69 P1 Autoridades Personal Oficinas de la UPEA Dirección de RRHH ---------------
Directores de Carrera.
Docentes y estudiantes elegidos en sus
70 P2 Representantes Personal Oficinas de la UPEA Dirección de RRHH ---------------
estamentos.
71 P3 Administrativos Plantel Administrativo de la UPEA. Personal Oficinas de la UPEA Dirección de RRHH ---------------
Direcciones de
72 P4 Docentes Plantel Docente de la UPEA. Personal Aulas físicas o virtuales ---------------
Carreras
Estudiantes universitarios matriculados en Direcciones de
73 P5 Estudiantes Personal Aulas físicas o virtuales ---------------
la UPEA. Carrera

Página 36
PLAN INSTITUCIONAL DE SEGURIDAD DE LA INFORMACIÓN DE LA UPEA

ANEXO III: VALORACIÓN DE ACTIVOS DE INFORMACIÓN

Valoración del Fecha

CÓDIGO NOMBRE DEL Disponibilid de
N°
DEL ACTIVO ACTIVO
DESCRIPCIÓN TIPO DE ACTIVO
ad
Integridad Confidencialidad Activo de
Inicio
Información
Sistema para publicación de trabajos de grado
Sistema de Repositorio
1 S1 accesibles para el público en general, que fueron Servicios 2 2 2 6 Bajo
Institucional
defendidos y aprobados, de la UPEA.
Sistema destinado a la población en general, el cual,
Sistema orientación
2 S2 mediante test, muestra las afinidades de las personas Servicios 1 1 1 3 Muy Bajo
vocacional
para postular a una carrera universitaria.
3 S3 Zoom Servicio de video conferencia adquirido. Servicios 4 2 2 8 Medio
Plataformas Virtuales Plataforma en línea para el proceso de enseñanza-
4 S4 Servicios 3 3 3 9 Medio
Moodle aprendizaje.
5 S5 Zimbra y Zamba Servicio de correo electrónico institucional. Servicios 2 2 2 6 Bajo
Servicio de almacenamiento remoto de archivos y
6 S6 Cloud Servicios 1 2 2 5 Bajo
procesamiento de datos.
Servidor para videoconferencias sin límite de
7 S7 Jitsi Meet Servicios 1 1 1 3 Muy Bajo
personas participantes.
Páginas Web
8 S8 Servidor para distribución y contenido de páginas web. Servicios 2 2 1 5 Bajo
Institucionales
Servidor de Base de Servidor que tiene almacenado la base de datos
9 S9 Servicios 5 5 5 15 Muy Alto
Datos principal y permite administrarlo.
10 S10 Servidor de Backups Servidor de Copia de Seguridad de Datos. Servicios 4 4 4 12 Alto
Servidor DNS
11 S11 Servidor de Nombres de Dominio. Servicios 5 4 5 14 Muy Alto
"upea.bo"
Servidor DNS
12 S12 Servidor de Nombres de Dominio. Servicios 5 4 5 14 Muy Alto
"upea.edu.bo"
Servidor de Streaming Servidor para la transmisión de audio en tiempo real
13 S13 Servicios 3 2 1 6 Bajo
de Radio UPEA de la radio UPEA.
Sistema de seguimiento y control para asignación y
Sistema de Control Software – Aplicaciones
14 SA1 emisión de nombramientos de los docentes de las 5 4 3 12 Alto
Docente (SICOD)" informáticas
carreras, tanto para vicerrectorado y decanaturas.
Sistema de Control de Sistema para emisión de certificaciones para docentes Software – Aplicaciones
15 SA2 5 4 3 12 Alto
Certificaciones (SICC) de la universidad. informáticas
Sistema de Logeo Software – Aplicaciones
16 SA3 Sistema de control y acceso de logeo genérico. 3 3 3 9 Medio
(SILOG) informáticas
Sistema de
Autoevaluación, Sistema de autoevaluación y posterior acreditación en Software – Aplicaciones
17 SA4 2 2 2 6 Bajo
evaluación y la CEUB. informáticas
acreditación "EVA"

Página 37
PLAN INSTITUCIONAL DE SEGURIDAD DE LA INFORMACIÓN DE LA UPEA

Sistema de convenios
para la Dirección de Sistema para publicar información relativo a los Software – Aplicaciones
18 SA5 2 2 2 6 Bajo
Relaciones Nacionales convenios interinstitucionales. informáticas
e Internacionales
Sistema de seguimiento de control de planillas y
Sistema de planillas y
control de consejeros de docentes y estudiantes e Software – Aplicaciones
19 SA6 control de asistencias 5 4 3 12 Alto
impresión de planillas de pago, reuniones, y sesiones informáticas
HCU "SAYP"
de HCU.
CMS basado en
Sistema de control de publicaciones y seguimiento de
codeigniter para Software – Aplicaciones
20 SA7 actividades para las unidades y carreras de la 2 2 2 6 Bajo
publicaciones de informáticas
universidad.
páginas
Sistema de
Sistema para control de pasantes en cuanto a
seguimiento y Software – Aplicaciones
21 SA8 actividades, trabajos realizados, control de asistencia 2 2 1 5 Bajo
evaluación de pasantes informáticas
y finalmente la evaluación respectiva de la Unidad SIE.
“SIE-CEP”
Sistema de inscripciones para las carreras en cuanto
Sistema universitario
se refiere a la administración de Kardex, impresión de Software – Aplicaciones
22 SA9 de inscripciones 5 4 3 12 Alto
récord, historiales, llenado de notas, inscripciones web informáticas
académicas “SUYAY”
por el estudiante entre otros.

Rediseño de sistema Sistema reformulado para la Unidad de DISBEDC,

Software – Aplicaciones
23 SA10 para la Unidad de para revisión, evaluación y calificación de las becas 5 4 3 12 Alto
informáticas
DISBED universitarias.
Sistema de
Matriculación Sistema de matriculación anual de estudiantes Software – Aplicaciones
24 SA11 5 4 3 12 Alto
Académica Estudiantil universitarios. informáticas
"MAE"
Sistema de inscripciones para las carreras en cuanto
Sistema de se refiere a la administración de Kardex, impresión de Software – Aplicaciones
25 SA12 5 4 3 12 Alto
inscripciones "MAYA" récord, historiales, llenado de notas, inscripciones web informáticas
por el estudiante entre otros.

Sistema de Vacaciones Sistema que centraliza el uso de vacaciones del Software – Aplicaciones
26 SA13 2 2 2 6 Bajo
(SIVA) plantel administrativo de la institución. informáticas

Sistema de
Sistema de planillas de administrativos, docentes y Software – Aplicaciones
27 SA14 administración y control 5 4 3 12 Alto
estudiantes de la institución. informáticas
de planillas (SI@COP)
Sistema académico desarrollado para el
Sistema de información
Departamento de Idiomas dependiente de la Carrera
académica de Software – Aplicaciones
28 SA15 de Lingüística e Idiomas el cual centraliza las 5 4 3 12 Alto
departamento de informáticas
inscripciones, Kardex y la emisión de certificados de
idiomas (SI@DI)
los diferentes idiomas que se dicta en la universidad.

Página 38
PLAN INSTITUCIONAL DE SEGURIDAD DE LA INFORMACIÓN DE LA UPEA

Sistema Administración Sistema desarrollado, para el control y seguimiento

Software – Aplicaciones
29 SA16 y Control de Activos de los activos con que cuenta nuestra casa superior 2 3 3 8 Medio
informáticas
Fijos “SAF-ENOC” de estudios.

Sistema de admisión estudiantil de postulantes a las

Sistema de Software – Aplicaciones
30 SA17 diferentes carreras mediante las modalidades de 5 4 3 12 Alto
preuniversitario informáticas
admisión correspondientes.

Sistema de Evaluación Sistema para realizar la evaluación del personal Software – Aplicaciones
31 SA18 5 4 3 12 Alto
Docente (EVADOC) docente de nuestra universidad. informáticas

Sistema de la Biblioteca Central de la institución, para

el inventario y préstamo de libros, textos y otros a los Software – Aplicaciones
32 SA19 Sistema de Biblioteca 2 2 2 6 Bajo
estudiantes universitarios de nuestra casa superior de informáticas
estudios.

Sistema de
Administración de la Sistema elaborado para la unidad de ciencias y
Dirección de tecnología dependiente de la UPEA, el cual centraliza Software – Aplicaciones
33 SA20 2 2 2 6 Bajo
Investigación Ciencia y los proyectos de los diferentes institutos de informáticas
Tecnología (SIAD- investigación con los que cuenta la UPEA.
DICyT)
Sistema para el registro de resoluciones emanadas
Sistema de Secretaria por el honorable consejo universitario (HCU), así Software – Aplicaciones
34 SA21 2 2 1 5 Bajo
General como resoluciones administrativas (Rectorado y informáticas
Dirección administrativa financiera).
Sistema Operativo Software – Aplicaciones
35 SA22 Gnu/Linux. 5 5 5 15 Muy Alto
servidor informáticas
Sistema Operativo
Sistema operativo en computadoras de escritorio Software – Aplicaciones
36 SA23 usuario administrativo o 3 3 3 9 Medio
Windows 7 para adelante. informáticas
autoridad
Software – Aplicaciones
37 SA24 Ofimática Aplicaciones Word, Excel, Power Point, etc. 4 3 2 9 Medio
informáticas
Equipamiento informático
38 H1 Switch Switch para IPs públicas, TRENDNET TL2-G244. 4 4 4 12 Alto
(hardware)
1) Switch de 24 puertos.
2) Switch de 24 puertos. Equipamiento informático
39 H2 Switches 3 3 2 8 Medio
3) Switch de 24 puertos. (hardware)
4) Switch de 24 puertos.
Equipamiento informático
40 H3 Firewall Firewall pfSense.. 4 4 4 12 Alto
(hardware)
Equipamiento informático
41 H4 Router Mikrotik Cloud Core Router CCR1036-86-2ST. 4 4 4 12 Alto
(hardware)
Equipamiento informático
42 H5 Servidor 1 Servidor de marca DELL R940. 5 4 5 14 Muy Alto
(hardware)
Equipamiento informático
43 H6 Servidor 2 Servidor de marca DELL R740xd. 4 4 4 12 Alto
(hardware)

Página 39
PLAN INSTITUCIONAL DE SEGURIDAD DE LA INFORMACIÓN DE LA UPEA

Equipamiento informático
44 H7 Servidor 3 Servidor de marca DELL R740. 4 4 4 12 Alto
(hardware)
Equipamiento informático
45 H8 Servidor 4 Servidor de marca DELL R730. 4 4 4 12 Alto
(hardware)
Equipamiento informático
46 H9 Servidor 5 Servidor de marca DELL R630. 4 4 4 12 Alto
(hardware)
Equipamiento informático
47 H10 Servidor 6 Servidor de marca DELL R740xd. 5 5 5 15 Muy Alto
(hardware)
Equipamiento informático
48 H11 Servidor 7 Servidor de marca DELL R940. 5 5 5 15 Muy Alto
(hardware)
Equipamiento informático
49 H12 Servidor 8 Servidor de marca DELL R940. 5 4 5 14 Muy Alto
(hardware)
Equipamiento informático
50 H13 Servidor 9 Servidor de marca HP ML110 Gen9. 4 4 4 12 Alto
(hardware)
Equipamiento informático
51 H14 Servidor 10 Servidor de marca DELL R440. 4 4 4 12 Alto
(hardware)
Equipamiento informático
52 H15 Servidor 11 Servidor de marca DELL R710. 5 5 5 15 Muy Alto
(hardware)
Equipamiento informático
53 H16 Servidor 12 Servidor de marca DELL R740xd. 4 4 4 12 Alto
(hardware)
Equipamiento informático
54 H17 Servidor 13 Servidor de marca DELL R740xd. 4 4 4 12 Alto
(hardware)
Equipamiento informático
55 H18 Servidor 14 Servidor de marca DELL R740xd. 4 4 4 12 Alto
(hardware)
Equipamiento informático
56 H19 Servidor 15 Servidor de marca HP ML150 Gen9. 4 4 4 12 Alto
(hardware)
Equipamiento informático
57 H20 Servidor 16 Servidor de marca HP ML150 Gen9. 4 4 4 12 Alto
(hardware)
Equipos Computadoras Personales de todas las dependencias Equipamiento informático
58 H21 4 4 4 12 Alto
Computacionales administrativas de la UPEA. (hardware)
Impresoras de todas las dependencias administrativas Equipamiento informático
59 H22 Impresoras 3 2 1 6 Bajo
de la UPEA. (hardware)
Fotocopiadoras de todas las dependencias Equipamiento informático
60 H23 Fotocopiadoras 3 1 1 5 Bajo
administrativas de la UPEA. (hardware)
Redes de
61 RC1 Internet Fibra AXS. 5 3 3 11 Alto
comunicaciones
Sistema Operativo
Sistema Operativo Gnu/Linux, que administra la
62 SI1 Virtual para Posgrado Soportes de información 5 4 3 12 Alto
Dirección de Posgrado de la UPEA.
de la UPEA
Sistema Operativo
Sistema Operativo Virtual Gnu/Linux para el soporte
Virtual para los
63 SI2 de Servicios Cloud y el Sistema de Correo Soportes de información 3 2 2 7 Medio
servicios: Cloud y
Institucional.
Correo Institucional

Página 40
PLAN INSTITUCIONAL DE SEGURIDAD DE LA INFORMACIÓN DE LA UPEA

Sistema Operativo
Virtual para Instituto de Sistema Operativo Virtual Gnu/Linux, para el sitio web
64 SI3 Investigación de la del Instituto de Investigación de la Carrera de Soportes de información 5 4 3 12 Alto
Carrera de Ingeniería Ingeniería de Sistemas.
de Sistemas

65 EA1 UPS Para la gestión de energía regulada. Equipamiento auxiliar 5 3 3 11 Alto

66 EA2 Climatizador Sistema de aire acondicionado. Equipamiento auxiliar 5 3 3 11 Alto
Fuente de Alimentación
67 EA3 de Cerradura Para el acceso al Data Center. Equipamiento auxiliar 5 3 3 11 Alto
Magnética

1) PDUMH20HVATNET, PDU Controlable de

200/240V.
2) PDUMH20HVATNET, PDU Controlable de
200/240V.
68 EA4 Controlable Monofásico Equipamiento auxiliar 5 4 2 11 Alto
3) PDUMH20HVATNET, PDU Controlable de
200/240V.
4) PDUMH20HVATNET, PDU Controlable de
200/240V.

Rector, Vicerrector, Decanos de Áreas, Directores de

69 P1 Autoridades Personal 5 4 3 12 Alto
Carrera.

70 P2 Representantes Docentes y estudiantes elegidos en sus estamentos. Personal 3 3 3 9 Medio

71 P3 Administrativos Plantel Administrativo de la UPEA. Personal 5 4 3 12 Alto

72 P4 Docentes Plantel Docente de la UPEA. Personal 2 2 2 6 Bajo

73 P5 Estudiantes Estudiantes universitarios matriculados en la UPEA. Personal 2 2 1 5 Bajo

Página 41
PLAN INSTITUCIONAL DE SEGURIDAD DE LA INFORMACIÓN DE LA UPEA

ANEXO IV: IDENTIFICACIÓN, ANÁLISIS Y VALORACIÓN DE RIESGOS

VALORACIÓN
RIESGO
DE ACTIVOS

Confidencialidad
Disponibilidad
N VALORACIÓN

Integridad
ACTIVO/PROCESO Amenaza(s) Situación Vulnerabilidad
° DE RIESGO
Probabilidad Impacto Nivel de riesgo

Errores de los usuarios. En algunos casos, el estudiante llena Algún(os) dato(s) incorrecto(s) del
[SA15] Sistema de mal sus datos de inscripción. estudiante por equivocación en el
información taypeo. Poco
1 académica de 3 4 3 3 Medio 2 1 Irrelevante 2 Irrelevante
Probable
departamento de
idiomas (SI@DI)

Errores de los usuarios. En varios casos el estudiante hace Algún(os) dato(s) incorrecto(s) del
llenar sus datos, en un café internet, estudiante por equivocación en el
[SA17] Sistema de para obtener el Formulario de taypeo. Cierta /
2 inscripción al Curso Pre-Universitario 3 4 3 3 Medio 5 1 Irrelevante 5 Bajo
preuniversitario Inminente
y no revisa que todos los datos estén
correctos.
Corte de energía eléctrica prolongada Interrupción de los procesos u
Corte de suministro puede producir la interrupción de la operaciones en línea de la institución
3 [RC1] Internet conexión en línea. por corte prolongado de energía 4 2 2 3 Medio 3 Probable 3 Moderado 9 Medio
eléctrico.
eléctrica.

Servidores sin reemplazo cuando

Avería de origen físico o Fallas de hardware.
4 Servidores cumplan su ciclo de vida. 4 5 4 4 Alto 4 Probable 5 Crítico 20 Crítico
lógico. Código malicioso, virus o similar.
Ataque mediante internet.

Equipamiento auxiliar sin reemplazo y

Equipamiento auxiliar Avería de origen físico o cuya interrupción de funcionamiento Muy
5 Falla(s) de hardware. 5 4 2 4 Alto 4 5 Crítico 20 Crítico
del Data Center lógico puede ocasionar daños físicos y/o Probable
lógicos en los servidores.

Página 42
PLAN INSTITUCIONAL DE SEGURIDAD DE LA INFORMACIÓN DE LA UPEA

 Equipos computacionales en mal

 Avería de origen físico o estado, que ocasionan la  Falta de funcionamiento de
lógico. interrupción temporal de hardware.
 Corte de suministro operatividad, mientras son  Falta de funcionamiento de
eléctrico. reemplazados. software.
 Condiciones inadecuadas  Interrupción de operaciones que  Susceptibilidad a la humedad, el
de temperatura o afecta en la atención a los usuarios polvo y la suciedad.
Equipo de
6 humedad. o clientes.  Desgaste o falla en los soportes de 3 3 2 3 Medio 3 Probable 3 Moderado 9 Medio
Computación
 Degradación de los  Equipos de computación sin almacenamiento, que pueden
soportes de mantenimiento. ocasionar daños o pérdida de la
almacenamiento de la  Pérdida de la información por fallas información.
información. del disco duro y falta de copias de  Alteración del normal
 Difusión de software seguridad. funcionamiento por código
dañino.  Algunos equipos de computación no malicioso.
cuentan con Antivirus.
 Fallos por deterioro de dispositivos
 Fallo en hardware o software.
Red de Fallo de servicios de de red o por agotamiento de Poco
7  Fallo en la conexión de cables de 4 3 2 3 Medio 2 3 Moderado 6 Bajo
Telecomunicaciones comunicaciones recursos. Probable
red.
 Cables de red con mala conexión.

 Solicitudes de certificaciones,
 Deficiencias en la historiales, legalizaciones, entre
organización, en algunos otros similares presentadas  Atención a solicitudes de
casos la atención de después son atendidas en primer certificaciones, historiales,
solicitudes de lugar sin seguirse el orden legalizaciones, entre otros similares
certificaciones, secuencial de presentación, en sin seguir el orden secuencial de
historiales, algunos casos. presentación, en algunos casos.
legalizaciones, entre otros  Datos personales de los usuarios  Obtención de datos personales de
similares no son obtenidos por orden verbal y no los usuarios por orden verbal y no
atendidas por el orden escrita, en algunos casos. escrita, en algunos casos.
secuencial de  Modificaciones de datos sensibles  Ausencia de autorización escrita y
Sistemas de presentación. por autorización verbal y no escrita justificada en modificaciones de
8 4 4 3 4 Alto 3 Probable 5 Crítico 15 Alto
Información  Modificación deliberada y justificada, en algunos casos. datos sensibles, en algunos casos.
de la información; sin  En algunos casos datos  Ausencia de documentos físicos de
autorización escrita. introducidos o modificados sin respaldo en la introducción o
 Errores de los usuarios. documento(s) o documentación modificación de datos, en algunos
 Destrucción de la física de respaldo. casos.
información de respaldo,  La información física de respaldo  Información física de respaldo que
que puede darse por puede ser destruida por ser puede ser eliminada por criterio
criterio inapropiado o falta considerada de fecha pasada y no personal o falta de conciencia
de conciencia de la importante ante un criterio personal acerca de la seguridad de la
seguridad de la inapropiado o desconocimiento información.
información. acerca de la seguridad de la
información.

Página 43