SGSI Tesis

UNIVERSIDAD POLITCNICA SALESIANA
SEDE GUAYAQUIL

FACULTAD DE INGENIERAS

CARRERA: INGENIERA EN SISTEMAS

Tesis previa a la obtencin del ttulo de: Ingeniero en Sistemas

TTULO
Planeacin y Diseo de un Sistema de Gestin de Seguridad de la
Informacin basado en la norma ISO/IEC 27001 - 27002

AUTORES:
Jos Luis Buenao Quintana
Marcelo Alfonso Granda Luces

DIRECTOR:
Ing. Ricardo Naranjo
Guayaquil Ecuador

Diciembre de 2009
II

Seores:
UNIVERSIDAD POLITCNICA SALESIANA
Consejo de Carrera Ingeniera en Sistemas
Ciudad.-

Tenemos el agrado de dirigirnos a ustedes con la finalidad de dejar constancia de la
presente declaracin de responsabilidad en el desarrollo del trabajo de tesis
Planeacin y Diseo de un SGSI basado en la norma ISO/IEC 27001 27002.

Es as que los conceptos desarrollados, anlisis realizados y las conclusiones del
presente trabajo, son de exclusiva responsabilidad de los autores.

Atentamente,

Guayaquil, 8 diciembre del 2009

_________________________
Jos Luis Buenao Quintana

_________________________
Marcelo Alfonso Granda Luces

III
Dedicatorias y agradecimientos

Deseamos expresar nuestra profunda gratitud a quienes directa o indirectamente
colaboraron con el desarrollo del presente trabajo, entre ellos:

A nuestras respectivas familias, por su constante comprensin y estimulo
junto con su continuo y afectuoso aliento.

Al Ing. Ricardo Naranjo, director de tesis, por la colaboracin y asistencia
constante durante el desarrollo de este trabajo de tesis

Al Ing. Javier Ortiz , cuya colaboracin fue crucial para el desarrollo de este
proyecto, por su permanente disposicin y desinteresada ayuda

A cada uno de los docentes que aport a travs de nuestros aos de estudio
valiosos conocimientos que fomentaron nuestra capacidad y experiencia.

IV
ndice General
CAPTULO 1 : DISEO DE LA INVESTIGACIN Pgina
1.1 Antecedentes de la investigacin 6
1.2 Problema de investigacin. 6
1.2.1 Formulacin del problema de investigacin. 7
1.2.2 Sistematizacin del problema de investigacin 7
1.3 Objetivos de la investigacin. 8
1.3.1 Objetivo general 8
1.3.2 Objetivos especficos 8
1.4 Justificacin de la investigacin 9
1.5 Marco de referencia de la investigacin 10
1.5.1 Marco terico 10
1.5.2 Marco conceptual (Glosario de trminos) 15
1.6 Formulacin de la Hiptesis y variables 17
1.6.1 Hiptesis general 17
1.6.2 Hiptesis particulares 17
1.7 Aspectos metodolgicos de la investigacin 18
1.7.1 Tipo de estudio 18
1.7.2 Mtodo de investigacin 19
1.7.3 Fuentes y tcnicas para la recoleccin de informacin 20
1.7.4 Tratamiento de la informacin 21
1.8 Resultados e impactos esperados 22

CAPTULO 2: ANLISIS, Y DIAGNSTICO
2.1 Anlisis de la situacin actual 24
2.2 Anlisis comparativo, evolucin, tendencias y perspectivas 25
2.2.1 Pregunta 1 25
2.2.2 Pregunta 2 26
2.2.3 Pregunta 3 27
2.2.4 Pregunta 4 28
2.2.5 Pregunta 5 28
2.2.6 Pregunta 6 29
V
2.3 Verificacin de hiptesis 30

CAPTULO 3: PROPUESTA DE CREACIN
3.1 Definicin 37
3.2 Alcance 37
3.3 Plan de implementacin 40
3.4 Alcances del SGSI 41
3.5 Poltica de seguridad de la informacin 43
3.5.1 Poltica de Seguridad -A.5 43
3.5.2 Organizacin de la seguridad de la informacin - A.6 47
3.5.3 Gestin de Activos - A.7 55
3.5.4 Seguridad de los recursos humanos - A.8 73
3.5.5 Seguridad fsica y ambiental - A.9... 79
3.5.6 Gestin de las comunicaciones y operaciones - A.10. 94
3.5.7Control de Accesos - A.11.. 122
3.5.8 Adquisicin, desarrollo y mantenimiento de los S.I- A.12 150
3.5.9 Gestin de incidente en la seguridad de informacin. 170
3.5.10 Gestin de la continuidad del negocio - A.14. 177
3.5.11 Cumplimiento - A15.... 180
3.6 Gestin de riesgos 183
3.7 Conclusiones. 186
3.8 Recomendaciones 187
3.9 Bibliografa 187
3.10 Anexo1: Plan de continuidad del negocio 189
3.11 Anexo2: Activos de Informacin
3.12 Anexo 3: Gestin de riesgo y Enunciado de aplicabilidad

5

CAPTULO I

DISEO DE LA INVESTIGACIN

6
1.1.1 Antecedentes de la investigacin
Durante el constante proceso de evolucin del uso de la tecnologa como soporte a
las operaciones en las organizaciones, siempre ha existido la preocupacin por evitar
incidentes que comprometan la seguridad de la informacin.

Diversas han sido las herramientas de orden tcnico que se han desarrollado, creado
o mejorado a fin de contrarrestar los riesgos asociados al uso de la tecnologa, sin
embargo, ha sido evidente que ningn mecanismo tcnico de seguridad, logra ser
completamente efectivo, e incluso deja de cumplir su propsito si no se controla al el
elemento ms sensible, el recurso humano.

Es por eso que la seguridad de la informacin consiste en combinar de manera
coherente las herramientas tcnicas de seguridad y a la vez gestionar el
comportamiento del factor humano tratando de reducir en la mayor medida posible
las vulnerabilidades o posibles atentados contra la seguridad de la informacin y
sistemas.
1.2 Problema de investigacin
Luego de analizar la infraestructura tecnolgica de la Sede Guayaquil de la
Universidad Politcnica Salesiana, es notable el crecimiento experimentado con el
paso de los aos, este hecho ha provocado que los controles a nivel de seguridad de
la informacin que se encuentran vigentes, no sean los adecuados para garantizar la
disponibilidad, integridad, y confidencialidad de la informacin, razn por la cual es
necesario sean revisados y mejorados.

En caso de no remediarse la situacin anteriormente expuesta, se eleva
exponencialmente el riesgo de ocurrencia de incidentes de seguridad, prdida de
informacin o disponibilidad de los servicios y sistemas que sustentan la operacin
de la sede, esto redundara en prdidas econmicas y podra generar desconfianza
tanto sobre la imagen que la institucin mantiene en el medio acadmico, as como
sobre los futuros profesionales que egresen de la Universidad.

7
Al encontrar un mecanismo que logre regular, gestionar y mitigar al mximo los
riesgos actuales por el uso de la informacin le ser posible a la institucin controlar
las amenazas actuales en los sistemas informticos
1.2.1 Formulacin del problema de investigacin
Cmo se podran mitigar los riegos asociados al uso de la informacin de los
sistemas y servicios informticos brindados dentro de la sede Guayaquil de la
Universidad Politcnica Salesiana?
1.2.2 Sistematizacin del problema de investigacin
De qu manera tendra que organizarse al personal encargado de la administracin
del los recursos informticos a fin de asegurar que la informacin se mantenga y
manipule de forma segura?

Cmo puede asegurarse el uso aceptable de los recursos y sistemas de informacin
por parte de los funcionarios de la sede a fin de mitigar los riesgos?

De qu manera debera controlarse al recurso humano a fin de que ste no se
convierta en un elemento que pueda vulnerar la seguridad de la informacin o de los
recursos entregados al personal?

Cmo pueden salvaguardarse los recursos informticos de catstrofes naturales,
robos, prdidas, daos intencionales o no intencionales que puedan afectar la
disponibilidad de los recursos?

Cmo gestionar de manera segura las comunicaciones y operaciones informticas?

Cmo evitar el acceso no autorizado a la informacin de los sistemas y servicios
utilizados por la Universidad?

Cmo mantener seguro el proceso de desarrollo de software y soluciones
tecnolgicas?

8
Cmo debera procederse en caso de ocurrir un incidente de seguridad en un
sistema o servicio informtico?

Cmo asegurar que se d fiel cumplimiento a la poltica de seguridad de la
informacin?
1.3 Objetivos de la investigacin
1.3.1 Objetivos generales
Establecer cules seran los mecanismos adecuados para mitigar los riesgos
asociados al uso de la informacin, de los sistemas y servicios informticos
utilizados por el personal de la sede Guayaquil de la Universidad Politcnica
Salesiana.
1.3.2 Objetivos especficos
Establecer la manera adecuada de organizar al personal encargado de la
administracin del los recursos informticos, a fin de asegurar que la informacin se
mantenga y manipule de forma segura.

Descubrir y plantear los controles necesarios para asegurar el uso aceptable de los
recursos y sistemas de informacin por parte de los funcionarios de la sede.

Tabular de forma detallada, qu tipo de controles deberan aplicarse sobre el recurso
humano a fin de que ste no se convierta en un elemento vulnerable, que ponga en
riesgo la seguridad de la informacin o de los recursos tecnolgicos.

Determinar la manera ms eficiente de salvaguardar los recursos informticos de
catstrofes naturales, robos, prdidas, y daos intencionales o no intencionales que
puedan afectar la disponibilidad del recurso.

Especificar mecanismos que permitan mantener seguras las comunicaciones y
operaciones informticas.

9
Establecer controles que permitan evitar el acceso no autorizado a la informacin de
los sistemas y servicios utilizados por la Universidad.

Proveer lineamientos de seguridad que mantengan a buen recaudo el proceso de
desarrollo de software y soluciones tecnolgicas.

Determinar la manera adecuada de proceder en caso de ocurrir un incidente de
seguridad en un sistema o servicio informtico.

Hallar los mecanismos adecuados a fin de garantizar la continuidad de las
operaciones de la sede Guayaquil de la Universidad Politcnica Salesiana.

Asegurar que se d fiel cumplimiento a la poltica de seguridad de la informacin a
travs de procedimientos y polticas.
1.4 Justificacin de la investigacin
Mediante la implementacin de un SGSI Sistema de Gestin de Seguridad de la
Informacin- la Universidad conseguira minimizar considerablemente el riesgo de
que su productividad se vea afectada debido a la ocurrencia de un evento que
comprometa la confidencialidad, disponibilidad e integridad de la informacin o de
alguno de los sistemas informticos.

Informacin financiera, nmina, cuentas por cobrar, y acadmica debera estar
siempre disponible, a fin de no afectar el normal flujo de operaciones de la
institucin.

Los sistemas informticos deben cumplir su objetivo, a saber, estar siempre
disponibles para servir de apoyo a las labores principalmente acadmicas que la
institucin lleva a cabo.

La no disponibilidad de alguno de estos sistemas, tal como el sistema general de
facturacin, acadmico y dems, dilatara los tiempos de atencin a los estudiantes o
funcionarios, lo cual incidira negativamente en la imagen de la institucin y en el
10
nivel de satisfaccin de los docentes como clientes internos, as como en los
estudiantes en su calidad de clientes externos.

El funcionario o rea encargada de la seguridad informtica, mediante la
implantacin de un SGSI lograr controlar y evitar eventos como los citados
anteriormente, que evidentemente comprometeran el rendimiento financiero y
organizacional de la Universidad.
1.5 Marco de referencia
1.5.1 Marco terico
Al encontrarnos actualmente en una era en que las operaciones son altamente
dependientes de la tecnologa, la informacin es el bien ms preciado que las
organizaciones poseen, tanto as que una prdida considerable o total de la misma, le
producira consecuencias catastrficas a una organizacin.

La evolucin de las comunicaciones, y la dependencia casi absoluta a Internet, pone
en un riesgo mayor a este preciado bien. A diario alrededor del mundo, millones de
computadores personales o equipos servidores son asechados y atacados por piratas
informticos quedando expuesta informacin confidencial, tales como datos
personales, nmeros de tarjetas de crdito, informacin sobre precios, productos,
planes estratgicos, y dems datos crticos que a travs de Internet son transmitidos a
menudo de forma insegura.

Los piratas informticos dirigen a diario millones de intentos de ataques en busca de
vulnerabilidades tcnicas o descuidos humanos los cuales forman la brecha de
seguridad ms comnmente presentada en los sistemas expuestos a Internet.

Estos ataques en ocasiones son realizados con fines fraudulentos, otros con el
objetivo especfico de sabotear las operaciones de una empresa o institucin,
buscando generar desconfianza sobre la organizacin, o simplemente el deseo de
probar o evaluar qu tan robusta pudiera ser la seguridad de algn sistema expuesto,
deseo alimentado generalmente por mera curiosidad.
11
Indistintamente del motivo, los riesgos y el impacto que se produce debido a estos
ataques son considerables y se traducen a la larga en costos y prdidas para la
institucin, empresa u organizacin.

CSI Computer Crime & Security Survey, organizacin que recopila informacin de
la comunidad informtica en los Estados Unidos de Amrica, sobre como han sido
afectados sus respectivos entornos tecnolgicos y de red por crmenes informticos,
present varios datos estadsticos en su informe anual los cuales se mencionan a
continuacin:

El la figura 1.1, se detalla el mbito de actividad en el que se desempeaban las
organizaciones consultadas.

Actividad desempeada por las organizaciones encuestadas

Figura 1.1
Fuente: CSI Computer Crime & Security Survey - 2008 CSI Computer Crime and
Security Survey - : Robert Richardson, CSI Director}

12
Entre los datos ms relevantes incluidos en ste reporte anual tenemos los datos:

En los casos en que existieron fraudes de ndole financiero las perdidas
llegaron a ascender a los USD. $500.000.

Casi el 50% de las organizaciones consultadas reconocieron haber tenido
incidentes relacionados con cdigo malicioso o virus.

Cerca del 10% de las organizaciones sufrieron incidentes relacionados con el
servicio de resolucin de nombres o DNS (Domain Name Service).

El 27% de las organizaciones mencionadas en el punto anterior reconocieron
que estos ataques haban sido especficamente apuntados a su organizacin y
no un ataque al azar.
1

Ocurrencia de incidentes de seguridad en el ao 2008

Figura 1.2
Security Survey - : Robert Richardson, CSI Director

____________________
1RICHARDSON, Robert, CSI Computer Crime & Security Survey - 2008 CSI Computer Crime and
Security Survey, USA, p. 2
13
Organizaciones que reportaron prdidas debido a intrusiones en el ao 2008

Figura 1.3

Principales tipos de incidencias ocurridas por ao

Figura 1.4
Security Survey - : Robert Richardson, CSI Directo

Estos eventos ocurrieron inclusive organizaciones que contaban con herramientas de
seguridad, lo cual comprueba que no basta con estar a la vanguardia de las
soluciones de seguridad informtica disponibles en el mercado.
14
Herramientas de seguridad utilizadas

Figura 1.5

Como puede concluirse por los datos estadsticas anteriormente expuestos el afn de
preservar la integridad, confidencialidad y disponibilidad de la informacin, no
puede basarse nicamente en mecanismos tcnicos, que en algn momento pueden
tambin ser vulnerables, nombrando entre ellos firewalls, sistemas de prevencin de
intrusos, aplicaciones antivirus, y dems.

La gestin efectiva de la seguridad de la informacin va un paso ms adelante, en
ella se involucra a toda la organizacin y sus miembros, la direccin, inclusive los
proveedores y clientes, todos guindose por una poltica definida en la que se
establezca las directrices a seguir, existiendo procedimientos precisos para las
diferentes acciones tcnicas o no tcnicas en las que la informacin se vea
involucrada.

Mediante un SGSI - Sistema de Gestin de Seguridad de la Informacin- la
institucin como tal conoce los riesgos a los que su informacin se ve expuesta,
consiguiendo mantenerlos en un nivel mnimo y sobre todo controlarlos mediante
una lgica definida y documentada.
15
1.5.2 Marco conceptual
La Norma ISO/IEC 27001, la cual brinda directrices para la implementacin de un
Sistema de Gestin de Seguridad de la Informacin incluye una seccin denominada
Trminos y definiciones las cuales se detallan a continuacin:

Activo
Cualquier cosa que tenga valor para la organizacin.

Disponibilidad
La propiedad de estar disponible y utilizable cuando lo requiera una entidad
autorizada.

Confidencialidad
La propiedad que esa informacin est disponible y no sea divulgada a
personas, entidades o procesos no-autorizados
2

Seguridad de informacin
Preservacin de la confidencialidad, integridad y disponibilidad de la
informacin; adems, tambin pueden estar involucradas otras propiedades
como la autenticidad, responsabilidad, no-repudio y confiabilidad.

Evento de seguridad de la informacin
Una ocurrencia identificada del estado de un sistema, servicio o red indicando
una posible violacin de la poltica de seguridad de la informacin o falla en
las salvaguardas, o una situacin previamente desconocida que puede ser
relevante para la seguridad.

____________________
2
El sistema gerencial incluye la estructura organizacional, polticas, actividades de
planeacin, responsabilidades, prcticas, procedimientos, procesos y recursos integridad la
propiedad de salvaguardar la exactitud e integridad de los activos. (ISO/IEC 13335-1:2004)
16
Sistema de gestin de seguridad de la informacin SGSI
Esa parte del sistema gerencial general, basado en un enfoque de riesgo
comercial; para establecer, implementar, operar, monitorear, revisar,
mantener y mejorar la seguridad de la informacin.

Riesgo residual
El riesgo remanente despus del tratamiento del riesgo.

Aceptacin de riesgo
Decisin de aceptar el riesgo.

Anlisis de riesgo
Uso sistemtico de la informacin para identificar fuentes y para estimar el
riesgo.

Valuacin del riesgo
Proceso general de anlisis del riesgo y evaluacin del riesgo.

Evaluacin del riesgo
Proceso de comparar el riesgo estimado con el criterio de riesgo dado para
determinar la importancia del riesgo.

Gestin del riesgo
Actividades coordinadas para dirigir y controlar una organizacin con
relacin al riesgo.

Tratamiento del riesgo
Proceso de tratamiento de la seleccin e implementacin de medidas para
modificar el riesgo.

17
Enunciado de aplicabilidad
Enunciado documentado que describe los objetivos de control y los controles
que son relevantes y aplicables al SGSI de la organizacin.
3
1.6 Formulacin de hiptesis y variables
1.6.1 Hiptesis General
A travs de un SGSI es posible establecer los mecanismos adecuados que mediante
su aplicacin permiten mitigar al mximo los riesgos asociados al uso de la
tecnologa, informacin y sistemas informticos, salvaguardando los recursos de la
sede.
1.6.2 Hiptesis Particulares
Se puede mantener un control adecuado sobre las actividades relacionadas con la
seguridad que el personal encargado realiza a travs de aplicar los controles
mencionados en el apartado Organizacin de la seguridad de la informacin de la
norma.

Al aplicar los controles que forman parte del apartado Gestin de Activos se puede
asegurar que se de un uso aceptable de los recursos y sistemas de informacin por
parte de los funcionarios de la sede a fin de mitigar los riesgos.

A travs de la aplicacin del apartado Seguridad de los recursos humanos, es posible
controlar al recurso humano a fin de que este no se convierta en un factor que pueda
vulnerar la seguridad de la informacin o de los recursos entregados a los mismos.

La poltica de Seguridad fsica y ambiental incluida en la norma permite mediante su
aplicacin salvaguardar eficientemente los recursos informticos de catstrofes
naturales robos, perdidas, y daos intencionales o no intencionales que puedan
afectar la disponibilidad del recurso

____________________
3 En este Estndar Internacional el trmino control se utiliza como sinnimo de medida.
18
El apartado Gestin de las comunicaciones y permitirn mantener seguras las
comunicaciones y operaciones informticas.

Como parte de la norma se incluye una seccin de Control de Accesos que mediante
su aplicacin en las operaciones informticas de la sede, evitar el acceso no
autorizado a la informacin de los sistemas y servicios utilizados por los
funcionarios, docentes, y estudiantes de la sede.

La seccin Adquisicin, desarrollo y mantenimiento de los sistemas de informacin
establece lineamientos de seguridad que permitan mantener seguro el proceso de
adquisicin y desarrollo de soluciones tecnolgicas.

Mediante la poltica de Gestin de un incidente en la seguridad de la informacin se
proveen directrices sobre cmo proceder en caso de ocurrir un incidente de seguridad
en un sistema o servicio informtico.

Como parte del SGSI se incluye la Gestin de la continuidad del negocio que
mediante su aplicacin ayudarn a mantener activos y disponibles los sistemas, datos
y servicios que sustentan las operaciones fundamentales de la institucin.

El apartado de Cumplimiento provee una gua que permite asegurar que se d fiel
cumplimiento a la poltica de seguridad de la informacin a travs de procedimientos
y polticas.

1.7 Aspectos metodolgicos de la investigacin
1.7.1 Tipos de estudio

En el desarrollo de un proyecto pueden utilizarse diferentes tipos de estudios o
investigacin, entre estos tenemos:

19
Tipo de investigacin descriptiva

Este proyecto utiliz investigacin descriptiva pues detalla en forma breve y
especifica los componentes de la investigacin permitiendo comprobar en forma
sistemtica y progresiva las necesidades de la entidad objeto de estudio.

Tipo de investigacin no experimental

La presente investigacin es no experimental pues las circunstancias implicadas o
caractersticas del objeto de estudio no son modificables, el investigador no posee
control sobre estas, ni tiene la capacidad de influir sobre ellas pues ya han ocurrido.
El investigador tampoco posee control sobre los efectos causados por las
circunstancias vigentes en la institucin.

Tipo de investigacin explicativa

Es explicativa pues a travs del proceso de investigacin, intenta establecer las
causas de los eventos objeto de este estudio, mediante el anlisis de la situacin
actual queda claramente explicita la necesidad de normalizar los controles en lo
referente a la seguridad de la informacin.

Tipo de investigacin de campo

Esta investigacin es de campo pues se apoya en informacin obtenida mediante
entrevistas, reuniones, observacin y asesoramiento tcnico.
1.7.2 Mtodos de investigacin

Durante el desarrollo de este proyecto se utilizaran los mtodos de investigacin
inductiva y deductiva.

Adems se aplicarn las siguientes tcnicas de investigacin:

20
Observacin directa
Cuestionarios

Podemos decir que se utilizar el mtodo inductivo deductivo, pues ayuda a la
identificacin o determinacin de que controles o aspectos de la poltica son
aplicables a la institucin, as como descartar aquellos que no sean necesarios.

Adicionalmente se utilizaran los siguientes procedimientos:

Analtico
Distincin y separacin de las partes. Obtencin de un cuerpo compuesto a partir de
la combinacin de cuerpos simples o de cuerpos compuestos ms sencillos que el
que se trata de obtener. Este procedimiento se utilizar para descomponer y disponer
de forma estructurada los diferentes aspectos a aplicar como parte de la poltica de
seguridad de la informacin de la sede.

Para obtener informacin relevante que permita la realizacin de este proyecto se
recurrir a la tcnica de investigacin descriptiva, la misma que mediante la
observacin y entrevistas se ocupa en descubrir y comprobar la relacin entre las
variables de la investigacin, permitiendo as descubrir y establecer las necesidades
reales y la relevancia de cada aspecto del proyecto.

Anlisis (analtico)
Deduccin (mtodo deductivo)
Anlisis datos histricos
Enfoque del sistema (experimental)
Estudio de estndar (descriptivo)
1.7.3 Fuentes y tcnicas de recoleccin de la informacin
Para el desarrollo de esta tesis los autores han utilizado los siguientes mecanismos de
recoleccin de informacin:

21
Observacin
Entrevistas
Datos estadsticos
Discusin con personal capacitado
Evaluacin en base a experiencia
1.7.4 Tratamiento de la informacin
Durante el desarrollo de este proyecto se recopil informacin relacionada con el uso
de tecnologas de informacin dentro de la sede Guayaquil de la UPS, se realiz un
estudio de la informacin recibida, topologa de red, herramientas y aplicativos
utilizados, para luego establecer las polticas y procedimientos aplicables a la
institucin.

Para este fin se utilizaron las siguientes tcnicas de tratamiento de informacin:

Experimentacin
La experimentacin, mtodo comn de las ciencias y las tecnologas,
consiste en el estudio de un fenmeno, reproducido generalmente en
condiciones particulares de estudio que interesan, eliminando o introduciendo
aquellas variables que puedan influir en l. Se entiende por variable todo
aquello que pueda causar cambios en los resultados de un experimento y se
distingue entre variable independiente, dependiente y controlada.
4

Registro
Es comn que durante el proceso de recoleccin de informacin, parte de ella
no sea recordada o se pierda debido a no contar con un registro adecuado de
cada dato importante, al realizarse mayormente va Internet las entrevistas
realizadas al coordinador de sistemas, se registro en un archivo electrnico las
respuestas o toda informacin que pudiera ser relevante en el proceso de
anlisis.

____________________
4
Wikipedia, Internet http://es.wikipedia.org/wiki/Experimentacin
22
Anlisis y categorizacin
La informacin recolectada permiti realizar una anlisis detallado a fin de
establecer que controles de la norma serian aplicables a la infraestructura de
la sede Guayaquil de la UPS, en este sentido fue necesario categorizar la
informacin en funcin del apartado de la norma analizado.

1.8 Resultados e impactos esperados

Con la implantacin de un SGSI se lograr minimizar considerablemente los riesgos
asociados al uso de la informacin y se mantendrn normalizados los procesos ya
existentes ajustndose a las necesidades de de la sede Guayaquil de la UPS. Es
importante tomar en cuenta que se requerir realizar cambios en los procedimientos
administrativos de la Universidad, y existir un impacto principalmente en el
recurso humano durante el proceso de concienciacin y adopcin de cultura de
seguridad informtica.

23

CAPTULO II

ANLISIS , PRESENTACIN DE
RESULTADOS Y DIAGNSTICOS

24
2.1 Anlisis de la situacin actual
Luego de realizar el anlisis en base a la informacin recopilada de la coordinacin
de sistemas, es posible establecer que la infraestructura tecnolgica tiende a volverse
ms compleja debido al crecimiento organizacional de la Universidad, en funcin de
eso los controles ya establecidos llegan a ser poco eficientes y deben ser mejorados,
y alineados a una normativa que haya sido previamente comprobada como exitosa tal
como lo es la norma ISO serie 27000.

De forma general puede concluirse que se mantienen actualmente ciertos controles
que permiten mantener la informacin relativamente segura, sin embargo estos
controles dejan de ser efectivos a medida que la infraestructura, y el volumen de la
informacin van en aumento, razn por la cual es prudente robustecer los controles y
alinearlos a la normativa ISO 2700 que permitir potenciar las polticas o controles
existentes.

A travs de la aplicacin de esta norma se podrn corregir o mejorar los controles
existentes que dan origen a los siguientes problemas encontrados durante el
desarrollo de este proyecto:
Falta robustecer los lineamientos de seguridad fsica que permitan mitigar
riesgos de causen daos intencionados o no intencionados por parte de usuarios
o terceros.
No existen polticas documentadas y difundidas con respecto al manejo o uso
aceptable de los activos de informacin, sean de hardware, software o
informacin.
No se estn aplicando por completo los controles necesarios a fin de minimizar
la propagacin de cdigo malicioso en los equipos de computo, que pudieran
incluso llegar a afectar servidores o repositorios de informacin.
Existe una elevada tasa de prdida de equipos o partes dentro de los
laboratorios de cmputo, al ser sensibles a hurto.

25
No existe un plan de contingencia documentado y difundido que permita
garantizar la continuidad de las operaciones fundamentales de la institucin.
Los recursos humanos, siendo generalmente el punto ms vulnerable en la
seguridad de la informacin, no se encuentra regulado mediante polticas
formales de comportamiento y uso de activos de informacin.
Existe informacin que no se encuentra viajando a travs de los medios de
forma segura, no existen al momento mecanismos de encriptacin, si a travs
de estos medios se transmitiera informacin crtica se corre un alto riesgo de
comprometer datos acadmicos calificaciones, registros, y dems informacin
sensible manejada por los funcionarios de la sede.
Los controles relacionados a los servicios internos brindados por la
Universidad tales como mensajera electrnica, no son lo suficientemente
robustos, lo cual puede originar perdida de informacin , consumos excesivos
de recursos debido a ser objeto de spamming ,perdida de servicio debido a ser
calificados como spammers en listas negras disponibles en Internet y dems.

2.2 Anlisis comparativo, evolutivo, tendencias y perspectivas

La gestin de riesgo asociada a cada uno de los servicios y sistemas brindados por la
Institucin se ha establecido de acuerdo al tipo de negocio, servicios brindados, el
equipamiento suministrado, servicios subcontratados para mantener la comunicacin
y las instalaciones fsicas que posee la institucin

De acuerdo a la situacin actual y a los factores de riesgos encontrados se pueden
realizar los siguientes cuestionamientos y cuadros comparativos mediante los cuales
se podr evaluar cada uno de los puntos citados en una escala del 1 al 5

2.2.1 Pregunta 1
Cul es el ndice de riesgo que actualmente maneja la universidad de acuerdo al tipo
de negocio que esta maneja y la informacin que es transmitida por los medios?
26
Activo de Informacin Importancia Ocurrencia Estimada Riesgo Actual
Informacin Acadmica 5 4 4,5
Informacin Financiera 5 4 4,5
Informacin de Inventario 5 4 4,5
Informacin de RRHH 5 4 4,5
Tabla 2.1
Fuente: Los Autores

Figura 2.1
Fuente: Los Autores

2.2.2 Pregunta 2
Cul es la situacin actual y riesgo estimado con relacin a los servicios brindados
por la institucin?

Activo de informacin Importancia Ocurrencia Estimada Riesgo Actual
Correo Electrnico 4 5 4,5
Informacin Almacenada 5 5 5
Acceso a Internet 5 4 4,5
Servicios de Directorio Active 5 4 4,5
Tabla 2.2
Fuente: Los Autores
0
1
2
3
4
5
Informacin
Acadmica
Informacin
Financiera
Informacin
de Inventario
Informacin
de recursos
humanos
ndice de Riego de Acuerdo al tipo de Informacin
Importancia
Ocurrencia Estimada
Riesgo Actual
27

Figura 2.2
Fuente: Los Autores

2.2.3 Pregunta 3
Cul sera la valoracin y riesgo asociado a los activos de informacin y equipos
segn su uso?

Estaciones de Trabajo Criticas 5 4 4,5
Estaciones de Trabajo 3 4 3,5
Equipos en los Laboratorios 5 5 5
Servidores 5 4 4,5
Tabla 2.3
Fuente: Los Autores

Figura 2.3
Fuente: Los Autores

0
1
2
3
4
5
Estaciones
de Trabajo
Criticas
Estaciones
de Trabajo
Equipos en
los
Laboratorios
Servidores
Aplicaciones De Acuerdo al tipo de informacin procesada en las
Estaciones de Trabajo
Importancia
Ocurrencia Estimada
Riesgo Actual
0
1
2
3
4
5
Correo
Electrnico
Informacin
Almacenada
Acceso a
Internet
Servicio de
Directorio
Active
De acuerdo a los Servicios Brindados por la Institucin
Importancia
Ocurrencia Estimada
Riesgo Actual
28
2.2.4 Pregunta 4
Cul sera la valoracin del riesgo asociado al uso de aplicaciones o servicios a
travs de la infraestructura de networking de la sede?

Importancia Ocurrencia Estimada Riesgo Actual
Red Local 5 4 4,5
Firewall 5 3,5 4,25
Servicios de la Red 4 3,5 3,75
Telefona VoIp 5 3,5 4,25
Tabla 2.4
Fuente: Los Autores

Figura 2.4
Fuente: Los Autores

2.2.5 Pregunta 5
Qu tan expuestos estn los canales de comunicacin manejados por la sede y que
tan crticos son estos?
Enlace de Datos
Guayaquil - Cuenca
5 3,3 4,15
Enlace Video Conf.
Guayaquil Cuenca
5 3 4
Tabla 2.5
Fuente: Los Autores
0
1
2
3
4
5
Red Local Firewall Servicion de
la Red
Telefonia
VoIp
Riesgo de acuerdo Servicio brindado
Importancia
Ocurrencia Estimada
Riesgo Actual
29

Figura 2.5
Fuente: Los Autores

2.2.6 Pregunta 6
Al carecer con una poltica de seguridad y planes de contingencia. Cules podran
ser considerados con los puntos ms vulnerables dentro de la institucin?

Oficinas 5 3 4
Laboratorios 5 3,22 4,11
Sala de servidores 5 3 4
Tabla 2.6
Fuente: Los Autores

Figura 2.6
Fuente: Los Autores
0
1
2
3
4
5
oficinas laboratorios sala de servidores
Vulnerabilidad de acuerdo al nivel de riesgo dentro de cada uno de
los servidores
Importancia
Ocurrencia Estimada
Riesgo Actual
0
1
2
3
4
5
Enlace de Datos Gye - Cue
Enlace Video Conf Gye -
Cue
Riegos asociados a los servicios subcontratados

Importancia
Ocurrencia Estimada
Riesgo Actual
30
2.3 Verificacin de hiptesis
Segn lo analizado, la institucin estara en un nivel alto de exposicin en tema de
seguridad, tomando en cuenta la importancia de la calidad de los servicios brindados,
como el riego actual identificado al poder implementar mtodos y polticas de
control, estos mantendrn una tendencia a decrecer al menos en usa tasa del 50%.

Figura 2.7
Fuente: Los Autores

En la aplicacin de nuevos mtodos de control que mantengan segura la informacin
que es transmitida por los diferentes medios as como mantener una poltica de
encriptacin permitir mejorar el nivel de seguridad de la informacin que a travs
de los medios es transmitida.

Figura 2.8
Fuente: Los Autores
0
1
2
3
4
5
Correo
Electrnico
Informacin
Almacenada
Acceso a
Internet
Servicio de
Directorio
Active
De acuerdo a los Servicios Brindados por la Institucin despus de la
Aplicacin del Control
Importancia
Ocurrencia Estimada
Riesgo Actual
Riesgo luego del Control
0
1
2
3
4
5
Informacin
Acadmica
Informacin
Financier
Informacin de
Inventario
Informacin de
recursos
humanos
ndice de Riego despus de Aplicar el Control de Seguridad
Importancia
Ocurrencia Estimada
Riesgo Actual
31
Entre los servicios brindados por la universidad se encuentra el de mensajera
electrnica, el cual es blanco de spammers, o correo basura, por otro lado el acceso
a Internet puede representar una vulnerabilidad que permita accesos no autorizados o
propagacin de cdigo malicioso si no existen los controles adecuados.

Figura 2.9
Fuente: Los Autores

Existen varias estaciones de trabajo que son consideradas crticas debido a la
informacin almacenada en las mismas y las funciones que estas desempean. Es
necesario aplicar controles sobre estos activos que permitan mitigar el riesgo de dao
por cdigo malicioso, uso indebido o por variaciones de corriente. Con la aplicacin
de una poltica de contingencia se podr evitar la prdida de la disponibilidad del
servicio que estos equipos prestan, y se evitar considerablemente incidencias como
las antes mencionadas.

Figura 2.10
Fuente: Los Autores
0
1
2
3
4
5
Red Local Firewall Servicio de la
Red
Telefona VoIp
Riesgo de acuerdo Servicio brindado despus del Control
importancia
ocurrencia estimada
Riesgo Actual
Riesgo luego de Control
0
1
2
3
4
5
Estaciones de
Trabajo Crticas
Estaciones de
Trabajo
Equipos en los
Laboratorios
Servidores
Aplicaciones De Acuerdo al tipo de informacin procesada en las Estaciones
de Trabajo despus de la Aplicaciones del Control
Importancia
Ocurrencia Estimada
Riesgo Actual
32
Podran potenciarse los controles existentes que permitan transmitir de manera mas
segura la informacin a travs de los diferentes canales de comunicacin disponibles.

Figura 2.11
Fuente: Los Autores

Unos de los principales objetivos es mantener los servicios, servidores y redes
interconectados entre las sedes, mediante la aplicacin de los controles sugeridos en
la norma, se podra monitorear y garantizar la calidad del servicio brindado por el
(los) proveedor (es).

Figura 2.12
Fuente: Los Autores

0
1
2
3
4
5
Oficinas Laboratorios Sala de servidores
Vulnerabilidad de acuerdo al nivel de riesgo dentro de cada uno de
los servidores despus de la poltica
Importancia
Ocurrencia estimada
Riesgo Actual
0
1
2
3
4
5
Enlace de Datos Gye -
Cue
Enlace Video Conf Gye -
Cue
Riegos al Mantener Servicios SubContratados con otros
Proveedores despus de la aplicacin del control
Importancia
Ocurrencia Estimada
Riesgo Actual
33
A fin de cuantificar el cumplimiento actual y esperado con las mejores prcticas en
seguridad informtica, se ha realizado el anlisis GAP incluido a continuacin.
Un anlisis GAP examina las diferencias entre la gestin actual y la informacin
presupuestada. Los resultados obtenidos representan el grado en el que una
organizacin ha cumplido sus objetivos.

Aspecto Porcentaje
Proteccin
Actual
Gestin de Activos 5%
Seguridad fsica y ambiental 11,80%
Gestin de las comunicaciones y operaciones 12,80%
Control de Accesos 10%
Adquisicin, desarrollo y mantenimiento de los sistemas
de informacin
15%
Gestin de la continuidad del negocio 10%
Tabla 2.7
Fuente: Los Autores

Figura 2.13
Fuente: Los Autores
0%
20%
40%
60%
80%
100%
Gestin de Activos
Seguridad fsica y
ambiental
Gestin de las
comunicaciones y
operaciones
Control de Accesos
Adquisicin,
desarrollo y
mantenimiento de los
sistemas de
informacin
Gestin de la
continuidad del
negocio
Cumplimiento con mejores prcticas en seguridad
informtica
Universidad Politcnica Salesiana Sede Guayaquil
Cumplimiento
Cumplimiento ideal
34
Aspecto Porcentaje
Proteccin Inicial
esperado
Gestin de Activos 50%
Seguridad fsica y ambiental 64,20%
Gestin de las comunicaciones y operaciones 62,80%
Control de Accesos 60%
Adquisicin, desarrollo y mantenimiento de los
sistemas de informacin
60%
Gestin de la continuidad del negocio 60%
Tabla 2.8
Fuente: Los Autores

Figura 2.14
Fuente: Los Autores

Como puede apreciarse en la figura 2.14 el cumplimiento con las mejores prcticas
es limitado, debido a mantener controles de forma emprica, mas no existe un
0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
100%
Gestin de Activos
Seguridad fsica y
ambiental
Gestin de las
comunicaciones y
operaciones
Control de Accesos
Adquisicin,
desarrollo y
mantenimiento de los
sistemas de
Gestin de la
continuidad del
negocio
Cumplimiento mejores prcticas seguridad informtica
Cumplimiento actual
Cumplimiento ideal
35
cumplimiento formal de los controles aceptados como mejores prcticas en seguridad
informtica. Este hecho incrementa notablemente los riesgos de que la informacin o
sistemas se vean comprometidos en caso de una incidencia.

El establecimiento de un SGSI, lograra elevar los niveles de cumplimiento y a la vez
minimizar el riesgo asociado al uso de la informacin.

36

CAPTULO III

PROPUESTA DE CREACIN

DISEO - PLANEACIN DE UN SGSI
SEDE GUAYAQUIL UNIVERSIDAD
POLITCNICA SALESIANA

37
3.1 Definicin
Un Sistema de Gestin de Seguridad de la Informacin constituye una herramienta
de gestin para todo tipo de organizaciones en lo relacionado a la preservacin de la
informacin que esta maneja.

Los sistemas informticos almacenan gran cantidad de informacin fundamental para
las organizaciones, estos sistemas, como cualquier otro, son propensos a riesgos de
seguridad y pueden ser blanco de un sin nmero de amenazas internas y externas.

Los riesgos pueden categorizarse principalmente como:

Riesgos Fsicos Accesos no autorizados o controlados, catstrofes naturales,
vandalismo.
Riesgos Lgicos Ataques informticos, cdigos maliciosos, virus, troyanos, ataque
de denegacin de servicio.

El SGSI permite evaluar, reconocer, y aceptar controladamente los diferentes riesgos
a los que la informacin est sujeta, esto se lo consigue a travs de la definicin de
polticas, procedimientos y controles en relacin a los objetivos de negocio
consiguiendo con esto mantener el riesgo por debajo de los parmetros establecidos
por la organizacin gestionando estos de manera sistemtica, definida, documentada
y ampliamente difundida.
5

3.2 Alcance
El proceso de implementacin de un Sistema de Gestin de Seguridad de la
Informacin se basa en lo estipulado en la norma ISO/IEC 27001.

La norma ISO 27001 es un estndar para la seguridad de la informacin el cual fue
aprobado y publicado como estndar internacional en Octubre de 2005 por la ISO
____________________
5
Fuente: INTERNET - https://sgsi.inteco.es/index.php/es/conceptos-de-un-sgsi
International Organization for Standardization y por la IEC International
Electrotechnical Commission.
6

38
La norma ISO 27001 especifica los requisitos necesarios para establecer, implantar,
mantener y mejorar un Sistema de Gestin de la Seguridad de la Informacin
(SGSI) segn el conocido Ciclo PDCA - acrnimo de Plan, Do, Check, Act
(Planificar, Hacer, Verificar, Actuar).
Planificar (Plan)
Qu hacer y cmo para satisfacer poltica y objetivos para la seguridad de
la informacin?

Implementar (DO)
Poner en prctica lo planificado.

Verificar (Check)
Verificar si se ha hecho lo planificado y si lo que se ha hecho resulta
eficaz.

Mejora Continua (Act)
Cmo y qu mejorar?

Figura 3.1
Fuente: INTERNET - www.nexusasesores.com

____________________
6
Fuente: INTERNET Wikipedia http://es.wikipedia.org/wiki/ISO/IEC_27001
39
Este proyecto se encuentra definido como un DISEO orientado a cubrir los
requerimientos de la primera fase de implementacin de un SGSI, y el objeto de
estudio ser el Departamento de Sistemas de la Sede Guayaquil de la Universidad
Politcnica Salesiana.

Segn el estndar establecido, a saber, ISO/IEC 27001, en la fase de Planificacin se
incluir lo detallado a continuacin:

Anlisis detallado que permita establecer los lmites del sistema en funcin
de la estructura organizacional y recursos tecnolgicos disponibles,
incluyendo la debida justificacin.

Elaboracin y documentacin de una poltica de seguridad en trminos de las
caractersticas del negocio, organizacin, activos y tecnologa.

Definir el enfoque, y metodologas a utilizarse en la valoracin riesgos de la
organizacin.

Identificacin de riesgos , amenazas y vulnerabilidades a las que estn
expuestos los activos definidos dentro del alcance del Sistema de Gestin de
Seguridad de la Informacin (SGSI).

Anlisis y evaluacin de riesgos, que implica el clculo realista de la
posibilidad de que los riesgos identificados tengan una ocurrencia, valorar el
impacto comercial que estos acarrearan, y determinar si el riesgo es
aceptable en trminos del negocio.

Identificacin y evaluacin de las opciones o acciones para los riesgos
previamente evaluados.

Seleccionar los objetivos de control o controles a utilizarse en el tratamiento
de riesgos, existen diferentes controles recomendados en la norma ISO/IEC
40
27001, deber realizarse un anlisis de la organizacin a fin de definir cules
de ellos son aplicables al negocio.

Definicin de los riesgos residuales, es decir, los riegos que permanecen
incluso luego de realizar las acciones preventivas pertinentes, estos debern
clasificarse como aceptables o inaceptables para la organizacin y ser puestos
a consideracin de la direccin a fin de ser aprobados previo a continuar con
la fase de implantacin.

Preparar un Enunciado de Aplicabilidad

Obtener la autorizacin de la gerencia para implementar y operar el SGSI.
7

3.3 Plan de implementacin
Uno de los fundamentos del diseo del SGSI es la elaboracin de la poltica de
seguridad informtica a aplicarse en la sede Guayaquil de la Universidad
Politcnica Salesiana, los aspectos a tratarse, se detallan a continuacin:

Definir los alcances del Sistema de Gestin de Seguridad de la
Informacin.

Definir una poltica de seguridad de la informacin en trminos de la
lgica y poltica organizacional, la cual incluir:
o Poltica de Seguridad - A.5
8

o Organizacin de la seguridad de la informacin - A.6
o Gestin de Activos - A.7
o Seguridad de los recursos humanos - A.8
o Seguridad fsica y ambiental - A.9
____________________
7
Aplicable en caso que la organizacin decida continuar con las tres fases de implementacin restantes
del Sistema de Gestin de Seguridad de la Informacin (SGSI), fases que no son parte del anlisis y
estudio de esta tesis.
8
Corresponde al nmero identificador del control segn la norma ISO/IEC 27001.
41
o Gestin de las comunicaciones y operaciones - A.10
o Control de Accesos - A.11
o Adquisicin, desarrollo y mantenimiento de los sistemas de
informacin - A.12
o Gestin de un incidente en la seguridad de la informacin - A.13
o Gestin de la continuidad del negocio - A.14
o Cumplimiento - A15

Definir el enfoque de evaluacin del riesgo de la organizacin

Analizar y evaluar el riesgo

Seleccionar los objetos de control y controles a fin de mitigar la posibilidad
de incidencia de los diferentes riesgos identificados

Enunciado de Aplicabilidad

3.4 Alcances del SGSI
Para la gestin financiera, administrativa y acadmica de la Universidad
Politcnica Salesiana sede Guayaquil, es necesario el uso de sistemas de
informacin, servicios informticos e informacin almacenada en servidores y
repositorios.

El SGSI pretende regularizar y controlar todo aspecto concerniente al uso de los
mismos a fin de mantener las operaciones lo ms seguras posibles sin impactar el
nivel de servicio y la continuidad de las operaciones.

El alcance del SGSI de la Universidad Politcnica Salesiana sede Guayaquil es
delimitado de la siguiente manera:

Servicios implicados
Procesos acadmicos tales como matriculacin estudiantes, registro y
42
gestin de informacin de estudiantes, docentes, registros acadmicos,
pensum acadmico, calificaciones, horarios de clases y dems procesos de
esta ndole.

Procesos financieros tales como registro de pagos, informacin financiera,
contable, informacin de cobros y dems procesos relacionados.

Procesos administrativos tales como nomina, talento humano, inventarios,
activos fijos y dems procesos relacionados.

Localizaciones fsicas
El SGSI objeto de esta planificacin est delimitado y es aplicable a la
sede Guayaquil de la Universidad Politcnica Salesiana Campus
Centenario ubicado en Chambers # 227 y Laura Vicua Guayaquil-
Ecuador.

Sistemas de Informacin
Los sistemas de informacin gestionados por este sistema son los
siguientes:

o Sistema Acadmico
o Sistema Financiero
o Sistema Administrativo
o Correo Electrnico
o Servicio Internet (Proxy, Firewall NAT)
o Sistemas de monitoreo y respaldos
o Sistemas y aplicativos residentes en equipos de computo de los
diferentes departamentos

43
3.5 Poltica de seguridad de la informacin

A.5 Poltica de seguridad

1.- ASPECTOS GENERALES
En la actual era de negocios electrnicos la informacin ha adquirido un nivel aun
ms crtico como activo dentro de las organizaciones, razn por la cual es de vital
importancia que esta sea debidamente resguardada.

Es conocido la gran diversidad de amenazas tanto internas como externas a las que la
informacin se puede ver sometida, es por eso que la poltica de seguridad intenta
minimizar al mximo los riesgos que asociados con la informacin, siendo posible
conseguir esto nicamente si la poltica de seguridad de la informacin se eleva al
mismo nivel de la poltica organizacional.

El xito de esta poltica radica en el compromiso por parte de las autoridades de la
institucin, una amplia difusin de la misma, y el serio compromiso de cumplimiento
por parte de los usuarios.

2.- Objetivos del control
Resguardar al mayor grado posible la informacin como bien preciado de la
organizacin, adems de los elementos tecnolgicos o sistemas que procesan la
misma a fin de minimizar al mximo el riesgo de incidentes que afecten la
confidencialidad, integridad o disponibilidad de la informacin.

Establecer un estndar que guiar las diversas operaciones a realizarse con la
informacin, estndar que deber mantenerse actualizado y difundido a fin de
asegurar que esta poltica cumpla con los objetivos antes mencionados.

3.- Alcance
La poltica es aplicable a todo mbito dentro de la Universidad Politcnica Salesiana
Sede Guayaquil en el que intervenga la informacin, principalmente al Departamento
de Sistemas, en el que se concentra la gestin de la seguridad , as como los
44
laboratorios de computo, siendo tambin extensible a entidades externas en caso de
trabajar colaborativamente o en outsourcing.

4.- Responsabilidad
Todos los docentes, directores de rea, jefes departamentales, personal tcnico,
personal administrativo y estudiantes son responsables de observar y cumplir la
Poltica de Seguridad de la Informacin dentro del rea a su responsabilidad y por
extensin hacer cumplir la misma al personal bajo su cargo si el caso lo amerita,
interviniendo como actores principales los mencionados a continuacin:

Oficial de Seguridad Informtica
Estar encargado de las diversas tareas relacionadas a la administracin de la
seguridad de los sistemas de informacin de la sede, y responsable de
supervisar todos los aspectos relacionados con la presente poltica de
seguridad.

Adicionalmente se encargara de cubrir o delegar tareas relacionadas a
satisfacer los requerimientos de seguridad de la informacin a nivel operativo
detallados en esta poltica.

Usuarios Propietarios de la Informacin
Los propietarios de la informacin, son responsables de clasificar y
catalogar la misma segn el nivel de criticidad y confidencialidad,
mantener documentada y actualizada esta informacin y definir
especficamente que usuarios necesitan acceder en funcin de sus
competencias y que nivel de acceso es requerido.

Coordinador / Jefe de Talento Humano Sede Guayaquil
Ser responsable de notificar a todo personal que ingresa su
responsabilidad de cumplir con la Poltica de Seguridad de la Informacin
y de todas las normas administrativas o tcnicas que se apliquen.
45
Tendr la responsabilidad de publicar o notificar al personal bajo su
direccin sobre la presente poltica de seguridad de la Informacin y
cualquier cambio que en esa se produzca.

Usuarios de la informacin y de los sistemas
Son responsables de conocer, difundir, cumplir y fomentar el
cumplimiento de la presente poltica, Es responsable adems de dar fiel
cumplimiento a la poltica de seguridad en toda accin, funcin, o tarea
relacionada directa o directamente con la informacin que accede o
maneja.

Auditor (es) Interno(s)
Es necesario que luego de la implementacin de un SGSI, se realicen
auditorias que permitan asegurar el cumplimiento de los lineamientos de
seguridad establecidos, el auditor tendr la obligacin de realizar
revisiones peridicas sobre el SGSI, constatando el fiel cumplimiento en
todo mbito relacionado al manejo de la informacin o recursos
tecnolgicos.

Una vez realizada esta auditora, ser responsable de presentar un informe
detallado con las novedades presentadas.

5.- Poltica de Seguridad de la Informacin

Generalidades

La poltica de Seguridad de la Informacin se encuentra conformada por normativas
y patrones a seguir para las diferentes instancias en las que la informacin y
patrones que se ve relacionada.

En conformidad con el estndar ISO/IEC 27001 la poltica de Seguridad de la
informacin incluir lo a continuacin detallado:

46
Organizacin de la Seguridad
Clasificacin y Control de Activos
Seguridad del Personal
Seguridad Fsica y Ambiental
Gestin de las Comunicaciones y las Operaciones
Control de Acceso
Desarrollo y Mantenimiento de los Sistemas
Administracin de la Continuidad de las Actividades del Organismo
Cumplimiento

El Oficial de Seguridad de la Informtica revisar peridicamente los lineamientos
de la presente poltica a fin de mantenerla actualizada, y adems realizar toda
modificacin necesaria debido a cambios en la infraestructura tecnolgica, variacin
en los procedimientos internos, o inclusin de nuevas tecnologas o sistemas,
asegurndose en lo posterior que esta sea difundida al personal de la sede en todos
los niveles que correspondan.

Sanciones
Se aplicarn sanciones administrativas a quien incumpla la Poltica de Seguridad de
la Informacin, estas sanciones sern definidas por la direccin, y sern establecidas
en funcin de la gravedad de la omisin o incumplimiento. Las sanciones debern ser
difundidas a todo el personal junto con la Poltica de Seguridad de la Informacin.

Objetivos de la Poltica de Seguridad

Asegurar que la informacin sea accedida nicamente por personas
autorizadas ya sean funcionarios de la institucin o personal externo.
Mantener la confidencialidad de la informacin

Garantizar que la integridad de la informacin sea mantenida durante todo el
ciclo de vida de la informacin.

47
Establecer un plan de continuidad de las operaciones y probarlo
regularmente.

Asegurar que todo el personal cuente con capacitacin en materia de
seguridad de la informacin, adems de conocer la obligatoriedad del
cumplimiento de la poltica de seguridad en todos los niveles
organizacionales.

Garantizar que todas las vulnerabilidades y debilidades en materia de
seguridad sean reportadas sistemticamente.

Garantizar que los requerimientos de disponibilidad de la informacin sean
cumplidos.

Establecer la necesidad de crear procedimientos tcnicos y administrativos
que sirvan de soporte a la poltica de seguridad de la informacin, debe
incluirse procedimientos para control de cdigo malicioso, gestin de
contraseas, y planes de contingencia.

El oficial de seguridad informtica es encargado de mantener y mejorar
progresivamente el sistema.

Las jefaturas departamentales son responsables de asegurar el cumplimiento
de la poltica de seguridad por parte del personal bajo su mando.

A.6 Organizacin de la seguridad de la informacin

1.- Aspectos Generales
La Poltica de Seguridad de la Informacin debe estar directamente relacionada a los
objetivos y polticas organizacionales que gobiernan el funcionamiento de la
institucin. Para esto es necesario establecer y definir un sujeto que gestione la
48
seguridad de la informacin y realice o establezca responsabilidad sobre tareas tales
como la aprobacin de nuevas polticas, cambios en la misma, y definicin de roles
dentro de este proceso.

Debe tomarse en consideracin que para dar cumplimiento a ciertas operaciones,
actividades, o funciones ser necesaria la interaccin con entidades externas, ya sean
de otra sede ,institucin, proveedores, o empresas que brindan servicio de outsorcing
, para estos casos debe tomarse en cuenta que la informacin puede verse en riesgo si
el acceso a la misma no se produce de manera adecuada y controlada , razn por la
cual es necesario establecer normativas y parmetros a seguir a fin de protegerla.

2.- Objetivos del Control
Implementar en la Universidad Politcnica Salesiana sede Guayaquil, la gestin
unificada de la seguridad de la informacin, especificando las instancias que
permitan implantar controles apropiados para garantizar su cumplimiento.

Establecer con claridad las funciones y responsabilidades dentro de la gestin de la
seguridad de la informacin.

Definir medidas de seguridad que permitan regular los accesos a activos de
informacin por parte de personal de organismos externos a la sede logrando
minimizar al mximo los riesgos en la misma.

Promover el uso de asesoramientos externos en materia de seguridad de la
informacin a fin de complementar la poltica detallada en este documento.

3.- Alcance del Control
El control ser aplicable a todos los recursos o personal que directa o indirectamente
interactan con los activos de informacin, y se hace extensible a los recursos
externos que requieran acceso a informacin interna servicios o sistemas
informticos.

49
4.- Responsabilidad sobre el Control
El funcionario encargado de la seguridad informtica dentro de la sede Guayaquil de
ser responsable de promover la implantacin de la poltica de seguridad, adems
ser el responsable de las actualizaciones en la poltica que en conformidad a
cambios sean necesarias, realizar o delegar a personal bajo su mando la realizacin
de monitoreos, pruebas de intrusiones , anlisis de riesgos , implementacin de
controles y realizacin de procedimientos de orden tcnico en lo relacionado a la
seguridad de la informacin.

Deber adems evaluar la necesidad de solicitar asesoramiento externo en caso de
existir la necesidad.

El personal a cargo de realizar la contratacin de servicios o adquisicin de bienes
relacionados a tecnologas de la informacin deber incluir en los contratos la
exigencia de cumplimiento de las normativas expuestas en la poltica de seguridad
implementada, adems de incluir una clusula de compromiso estricto de
confidencialidad.

5.- Poltica de Organizacin de la Seguridad de la Informacin

A.6.1.2 Coordinacin de la seguridad de informacin
En concordancia con la estructura organizacional y del departamento de sistemas, las
tareas de administrar la seguridad de Informacin estar a cargo del Oficial de
Seguridad Informtica , quien impulsar el cumplimiento de la presente poltica, se
encargar adems de solicitar apoyo de los jefes departamentales a fin de obtener
informacin relevante sobre sus respectivas reas en caso de requerirla.
La Coordinacin de la seguridad de la Informacin tendr la responsabilidad de:

Revisar y exponer ante la (las) autoridades de la Sede la poltica de seguridad
de la informacin y fomentar su aprobacin.

Descubrir y documentar nuevos riesgos a los que la informacin se pueda ver
sometida e incluir mecanismos para mitigarlos dentro de esta poltica.
50
Realizar los cambios necesarios a la Poltica de Seguridad, fomentar su
aprobacin, y delegar a quien corresponda la difusin en todos los niveles
organizacionales.

Mantenerse atento ante los incidentes de seguridad que se presenten, y
asegurarse que sean documentados.

Evaluar nuevas tecnologas a establecerse en la infraestructura tecnolgica de
la sede a fin de que la utilizacin de esta, no se contraponga a la poltica de
seguridad establecida, y en caso de ser aprobadas establecer los controles
necesarios para minimizar al mximo el riesgo de exposicin.

Fomentar la cultura de seguridad de la Informacin en todos los niveles.

Establecer planes de continuidad del negocio o planes de contingencia que
permitan mantener los sistemas y servicios disponibles.

Debe existir una constancia, o compromiso de aceptacin por escrito por
parte de la persona que la direccin de la Sede asigne para que realice las
funciones de coordinacin de la seguridad de la informacin, quien deber
cumplir las obligaciones anteriormente detalladas.

51

MODELO DECLARACIN DE ACEPTACIN CARGO
OFICAL DE SEGURIDA INFORMATICA

Fecha:__/__/__

El que suscribe (Nombre
del funcionario asignado a este cargo) con C.I#
...declara aceptar el nombramiento de OFICIAL
DE SEGURIDAD INFORMATICA de la Universidad Politcnica Salesiana
Sede Guayaquil , acepta conocer y aceptar todos los trminos ,condiciones
atribuciones y obligaciones que se encuentran detallados en la Poltica de
Seguridad de la Informacin seccin A.6.1 del SISTEMA DE GESTION DE
SEGURIDAD DE LA INFORMACION.

_________________________________________
NOMBRE DE FUNCIONARIO ASIGNADO
CARGO

Aclaraciones: _____________________________________________

Figura 3.2
Fuente: Los Autores

A.6.1.3 Asignacin de responsabilidades de la seguridad de la informacin.
El Oficial de Seguridad Informtica asignado por la direccin ser responsable de
establecer controles cooperativos con los dems departamentos si las circunstancias
lo ameritan y cumplir con las tareas especificadas a continuacin:

52
MATRIZ RESPONSABILIDADES
SGSI Universidad Politcnica Salesiana Sede Guayaquil

Tabla 3.1
Fuente: Los Autores

A.6.1 .4 Proceso de autorizacin para los medios de procesamiento de
informacin
Dentro del esquema organizacional puede presentarse la necesidad de aadir nuevos
medios o elementos destinados a procesamiento de la informacin.

La autorizacin de estos nuevos recursos ser responsabilidad conjunta de las
diferentes unidades o departamentos involucrados junto con el oficial de seguridad
de la informacin, tomando en cuenta el propsito de los mismos y considerando las
condiciones de uso recomendadas por el responsable de la seguridad de la
informacin.

Es necesario realizar una inspeccin y anlisis de los componentes de hardware,
software y conectividad a fin de verificar que se encuentren en congruencia con la
poltica de seguridad establecida, y determinar las posibles vulnerabilidades o
amenazas que este nuevo recurso podra implicar.
DETALLE RESPONSABLE
Seguridad en recursos humanos

Ing. Javier Ortiz -Direccin
Talento Humano

Seguridad Fsica y Ambiental

Ing. Javier Ortiz
Gestin de las comunicaciones y operaciones Ing. Javier Ortiz

Control de Accesos

Ing. Javier Ortiz
Adquisicin desarrollo y mantenimiento de los
sistemas de informacin
Ing. Javier Ortiz Martha
Yanqui

Gestin de incidentes seguridad

Ing. Javier Ortiz

Gestin Continuidad Negocio

Ing. Javier Ortiz

53

A.6.1.8 Revisin independiente de la seguridad de la informacin.
Es recomendable que las autoridades de la Universidad Politcnica Salesiana
designen a personal calificado para efectuar auditorias y revisiones independientes
una vez establecido el Sistema de Gestin de Seguridad de la Informacin, esto
garantizar que las polticas que forman parte de este documento estn siendo
aplicadas en las diferentes labores cotidianas en las que la informacin se ve
involucrada.

A.6.2 Entidades Externas

A.6.2.1 Identificacin de riesgos relacionados con entidades externas
Al momento de requerir servicios o asesoras de terceros, sean personas naturales o
jurdicas, el responsable de la seguridad de la informacin deber en conjunto con el
titular del departamento al que se solicita acceso, desarrollar un anlisis que incluir
los diversos riesgos que implica la actuacin del recurso externo en cuestin.

En este anlisis debe incluirse , el nombre del recurso externo que acceder a
cualquier activo de informacin , el tipo de acceso que se autorizar , los motivos
para los cuales el acceso es solicitado , y un anlisis de cmo este acceso podra
poner en riesgo la disponibilidad , integridad o confidencialidad de la informacin.

Este anlisis debe presentarse por escrito y ser registrado en los archivos de tareas
administrativas relacionadas con la seguridad de la informacin.

Posterior a esto se definirn los controles necesarios a fin de mitigar los riesgos
analizados, no se autorizar el acceso antes que la fase de anlisis de riesgo, y
establecimiento de controles hayan sido concluidas.

A.6.2.3 Tratamiento de la seguridad en contratos con terceras personas
Todo contrato o convenio con entidades terceras, de ninguna manera deber vulnerar
el contenido de las polticas de seguridad informtica establecidas.

54
Cada solicitud de informacin por parte de la entidad externa deber ser analizada y
aprobada por el oficial de seguridad de la informacin fundamentndose en los
diferentes aspectos de la poltica de seguridad informtica institucional.

Al momento de compartir la informacin deber constar de los debidos controles que
permitan garantizar la confidencialidad, e integridad de la informacin.

Todo contrato de prestacin de servicios, asesora, o consultara deber contemplar
los siguientes controles:

Conocimiento de la poltica de seguridad organizacional y un compromiso
firmado de fiel cumplimiento.

Procedimientos que incluyan la forma en que el contratado proteger los
activos de informacin involucrados en su labor temporal en la institucin,
sean bienes de hardware, software, informacin, datos no procesados,
procedimientos de notificacin de la ocurrencia de un evento relacionado con
la seguridad, procedimientos que aseguren la no divulgacin de informacin
privada, entre otros aplicables.

Niveles de servicio esperado y obtenidos.

Establecer representante legal, y obligaciones del mismo.

Definir por escrito si existen derechos de autor o de propiedad intelectual en
alguno de los bienes de informacin, en caso de existirlos el personal externo
deber tomar las precauciones que se amerite.

Control de Acceso, acceso fsico, acceso a sistemas o servicios informticos a
travs de usuarios contraseas, tokens, y dems. Estos controles debern
caducar una vez terminada la participacin del personal externo en la
institucin.
55
Consentimiento por escrito que otorgar la facultad al oficial de seguridad
informtica o persona delegada por la mxima autoridad de la sede, para
auditar las tareas realizadas por el personal externo a fin de asegurarse que
los acuerdos y controles establecidos estn cumplindose.

Establecer un plan de contingencia en caso de verse afectados uno de los
bienes de informacin utilizados por el personal externo.

Documentar procesos que permitan conocer los cambios realizados y llevar
un control de los mismos.

Controles o procedimientos que eviten que los bienes de informacin sean
afectados por cdigo malicioso o malware.

Definir por escrito si el personal externo ha subcontratado a otra entidad para
realizar parte de las funciones adjudicadas, y establecer la relacin entre los
mismos.

Convenio firmado de confidencialidad.

A.7 Gestin de Activos

Como parte de la gestin de la seguridad de la informacin, la institucin, debe
mantener conocimiento sobre todo los activos que posee sean estos de hardware,
software, informacin, o datos no procesados y clasificarlos a fin de realizar un
riguroso control de riesgos asociados a cada uno de ellos.

Entre estos recursos tenemos: equipos informticos, hardware, equipos de
comunicaciones, software, bases de datos, medios de almacenamiento masivo y
backups ,archivos fsicos e informacin digital de las diferentes unidades
organizativas, equipos de acondicionamiento de aire, red suministro elctrico , UPS ,
entre otros.
56
Cada uno de los activos anteriormente citados deben estar clasificados por criterios
como, nivel de criticidad, sensibilidad, nivel de confidencialidad, unidad
organizativa que lo utiliza, etc.

Dado que la informacin puede residir en diversas formas, ya sea impresa,
almacenada en dispositivos removibles, pticos, magnticos, o informacin
transmitida por medios fsicos cableados o no cableados es necesario establecer
controles que permitan asegurar la confidencialidad de los mismos.

Todos los controles mencionados y dems controles aplicables nicamente podran
ser establecidos exitosamente con un conocimiento de los activos de la informacin
que se intenta proteger, teniendo en mente que la informacin es uno de los bienes
ms crticos de cualquier organizacin.

2.- Objetivos Del Control

Mantener la proteccin apropiada de los activos de la informacin

Lograr clasificar los activos en base a criterios previamente definidos.

Establecer niveles de proteccin y controles sobre los activos ya clasificados.

3.- Alcance Del Control

El control ser aplicable a toda la informacin manejada dentro de las actividades o
labores llevadas a cabo en la sede Guayaquil de la Universidad Politcnica Salesiana.

4.- Responsabilidad Sobre El Control
Cada uno de los propietarios de la informacin o activos es responsable de clasificar
y catalogarla segn su nivel de criticidad, mantener de forma documentada todo
cambio que en ella se realice y que esta informacin este actualizada.

57
El responsable departamental supervisar el proceso de documentacin y
clasificacin de la informacin que dentro de su departamento se esta administrando.

El Oficial de Seguridad Informtica ser el encargado de que los lineamientos de
seguridad orientados al control de activos se estn llevando a cabo en cada unidad
organizacional.

5.- Poltica De Organizacin de la Seguridad de la Informacin

A.7.1.1 Inventario de Activos
Como parte de la Poltica de Seguridad de la informacin, deben mantenerse
identificados los activos sobre todo los ms importantes y su relacin con los
sistemas de informacin, as como sus respectivos propietarios y la ubicacin fsica
de los mismos.

El inventario de activos de informacin debe mantenerse actualizado en caso de
existir alguna modificacin en alguno de los activos, la responsabilidad
administrativa de que estas tareas se estn realizando recaen sobre el responsable de
cada departamento.

Debe establecerse una revisin peridica, no superior a 6 meses, la misma que ser
supervisada por la jefatura departamental.

A.7.1.2 Propiedad de los activos.
Los activos de informacin pertenecen a la Universidad Politcnica Salesiana, a
menos que a travs de un mecanismo contractual, se establezca lo contrario, de tal
manera que la facultad de otorgar acceso a la informacin institucional ser el oficial
responsable de la seguridad de la informacin
.
Toda informacin residente en cualquier recurso informtico de la sede puede ser
sujeto de revisiones peridicas por parte del oficial de seguridad informtica o a
quien designe para esta funcin.

58
Al pertenecer la informacin a la Universidad, queda terminantemente prohibida la
comparticin con entidades externas a menos que sea previamente autorizado por las
autoridades pertinentes.

Cada uno de los activos utilizados por los diferentes departamentos de la sede
Guayaquil de la Universidad Politcnica Salesiana, hardware, software, equipos de
comunicaciones, as como la informacin y datos asociados deben estar bajo custodia
de una parte designada dentro de la organizacin, a saber una jefatura departamental,
o el funcionario a cargo de las actividades relacionadas con ese activo de
informacin.

Al existir una correspondencia del activo de informacin con el funcionario a su
cargo se crea la responsabilidad no repudiable sobre el uso que al activo en cuestin
se d, adems de la responsabilidad de cumplir con los lineamientos de seguridad.

PROPIETARIOS DE LA INFORMACIN
INFORMACIN PROPIETARIO PROCESOS INVOLUCRADOS

Financiera
Contable

Contabilidad

Controles Contables
Estrategias Financieras
Auditorias Contables y
Financieras
Controles y Auditorias
Tributarias
Control pago colegiaturas
estudiantes

Acadmica

Secretaria
del Campus

Matriculas a estudiantes
Controles Acadmicos
Estudiantes

Acadmica

Directores de Carrera

Asignacin de estudiantes a
cursos
Diseo de horarios para
Docentes

Nmina

Direccin
Talento Humano

Control sobre los docentes
Evaluaciones de desempeo
59

Acadmica

Secretaria del Campus

Asignacin de
Paraacadmicos

Inventarios

Administrativo

Control de Inventarios
Activos Fijos
Tabla 3.2
Fuente: Los Autores

A.7.1.3 Uso aceptable de los activos
Los activos de informacin de la Universidad Politcnica Salesiana Sede Guayaquil,
incluyendo software, aplicaciones y archivos son propiedad de la misma y solo
pueden utilizarse para fines laborales y legales, por esto debern seguirse los
siguientes lineamientos:

Computadoras personales
Toda modificacin realizada sobre los equipos de cmputo de la sede deber
ser autorizada por el Oficial de Seguridad Informtica.

Toda modificacin, instalacin, desinstalacin, o cualquier mantenimiento
sobre los equipos ser realizado exclusivamente por el personal del
departamento de sistemas de la sede.

Deber mantenerse un inventario completo de software y hardware de cada
uno de los computadoras personales, debera inventariarse y mantenerse la
siguiente informacin:

1. Nombre del equipo
2. Direccin IP
3. Mascara Subred
4. Nombre de dominio
5. Ubicacin fsica
6. Modelo Procesador
7. Marca y Modelo del Equipo
60
8. Numero de procesadores
9. Velocidad Procesador
10. Versin Sistema Operativo
11. Service Pack instalado
12. Funcin del equipo
13. Memoria RAM
14. Almacenamiento en Disco
15. Nmeros seriales de componentes.

Se debern observar los siguientes lineamientos con relacin al uso de los
equipos informticos.

1. No ingerir alimentos o bebidas cerca de los equipos
2. No fumar cerca de los equipos
3. Mantener proteccin contra variaciones de voltaje
4. No insertar objetos en las ranuras de los equipos
5. No realizar cambios o actividades de mantenimiento sobre el
hardware
6. Conservar los equipos bajo las adecuadas condiciones ambientales
7. Nunca dejar los equipos encendidos, debern apagarse los equipos
cuando no estn en uso.

Computadoras porttiles

Los equipos porttiles de la sede se han adquirido especficamente con el fin
de facilitar el desarrollo actividades relacionadas con la institucin.

Su uso deber ser orientado al cumplimiento de las actividades relacionadas
con el rea o departamento asignado. El uso para propsito personal deber
ser ocasional, racional y bajo ninguna circunstancia deber obstaculizar las
actividades laborales de la institucin.

61
Deber mantenerse un inventario de los equipos porttiles que incluya las
caractersticas de los mismos as como su ubicacin.

Los equipos porttiles debern permanecer dentro de las instalaciones de la
sede durante horario laboral.

Los equipos porttiles pueden salir de las instalaciones de la sede bajo total
responsabilidad del usuario al que se le ha asignado el equipo, el cual tomara
todas las precauciones del caso en su uso y transporte.

En caso de ausencia por enfermedad, licencia, o vacaciones, el equipo porttil
deber permanecer en las instalaciones o a disposicin del departamento al
que el equipo ha sido asignado

Computadoras propiedad de terceros
Deben mantenerse deshabilitados los dispositivos de comunicacin o
MODEMS.

Utilizar nicamente las aplicaciones necesarias para el desarrollo de las
funciones asignadas.

Instalar nicamente software licenciado y autorizado por la sede.

Mantener actualizadas las aplicaciones con los ltimos hotfixes o parches
recomendados por el fabricante.

Mantener activo y actualizado el software antivirus.

Se deber controlar el acceso al equipo a fin de evitar el acceso a personas no
autorizadas a fin de preservar la informacin residente en el equipo.

Tomar las medidas necesarias para no vulnerar la seguridad informtica
institucional mediante el uso no responsable del equipo.
62
Conocer cumplir y difundir las polticas de seguridad de la informacin
adoptadas por la sede.

Sistemas de Informacin

Las herramientas tecnolgicas as como los sistemas de informacin y
servicios informticos, como el correo electrnico y la Internet, slo podrn
ser utilizados posterior a la autorizacin del Oficial de Seguridad Informtica
en respuesta a pedido de la jefatura del respectivo departamento.
Cada jefe departamental tiene la responsabilidad de definir las tareas que
conllevan acceso a tal herramienta. El uso de tales recursos constituye un
privilegio otorgado con el propsito de agilizar los trabajos de la institucin
gubernamental y NO es un derecho.

Toda informacin almacenada, creada o transmitida desde o hacia los
sistemas de informacin de la Universidad Politcnica Salesiana, es
propiedad de la institucin, por lo que le sern aplicadas todas las
disposiciones establecidas en la poltica de seguridad de la informacin. La
divulgacin de tal informacin sin autorizacin est estrictamente prohibida.
La alteracin fraudulenta de cualquier documento en formato electrnico
redundar en las sanciones que el consejo disciplinario considere aplicables.

Es responsabilidad de la Universidad, tomar todas las medidas aplicables a
fin de garantizar la confidencialidad de la informacin privada de los
estudiantes.

Los usuarios de los sistemas de informacin de la Universidad estn
obligados a respetar los derechos de propiedad intelectual de los autores de
las obras, programas, aplicaciones u otros, manejadas o accedidas a travs de
dicho sistema.

El software y utilitarios as como los sistemas de informacin de la
Universidad deben tener su respectiva licencia vigente o autorizacin de uso
63
para poder ser utilizadas los mismos que slo podrn ser instalados por
personal autorizado de la Universidad, a saber , personal tcnico del
departamento de sistemas. Adems, no podrn instalarse programas sin la
previa autorizacin de la Jefatura de Sistemas, inclusive si estos son
programas gratuitos o de cdigo abierto.

Queda terminantemente prohibido reproducir los medios de instalacin de las
aplicaciones, utilitarios, y sistemas de informacin utilizados en la sede
Guayaquil de la Universidad Politcnica Salesiana, adems queda prohibido
el uso de los mismos a no ser con fines institucionales.
La Universidad es responsable de establecer las pautas mediante las cuales se
crean y asignan las cuentas de usuario, incluyendo los mecanismos de
seguridad aplicables tales como contraseas, controles de acceso a los
servidores y sistemas para auditar y monitorear su uso, adems de
mecanismos que aseguren la integridad y seguridad de los datos y
comunicaciones que se envan a travs de medios cableados o no cableados.

Los usuarios de los sistemas debern cumplir con todas las normas de uso y
dando fiel cumplimiento a la poltica de seguridad de la informacin emitidas
por la sede Guayaquil de la Universidad Politcnica Salesiana.

Cada usuario es responsable por el uso adecuado de los cdigos de acceso o
contraseas asignadas.

El uso de los sistemas de informacin ser auditado por el personal
autorizado por el Oficial de seguridad de la Informacin, a fin de de
garantizar el uso apropiado de los recursos. Los usuarios no deben tener
expectativa de intimidad alguna con relacin a la informacin almacenada en
su computadora o buzn de correo electrnico.

Acceder a informacin o a un buzn de correo que no es el asignado,
mediante la modificacin de privilegios de acceso o la interceptacin de
64
informacin en cualquier otra manera est prohibido, por lo que tal accin se
sancionar conforme a lo dispuesto por las autoridades de la Universidad.

La Universidad es responsable de verificar que el servicio de Internet y el
correo electrnico estn funcionando adecuadamente adems de asegurar que
la informacin almacenada se encuentre protegida de acceso no autorizado.
El departamento de sistemas deber implementar controles tales como
Firewalls, antivirus, IPS/IDS, entre otros aplicables.

La Universidad se reserva el derecho de emprender los procesos
administrativos, pertinentes con relacin a los actos cometidos, aunque los
mismos no estn expresamente prohibidos en este documento, si dichos actos,
directa o indirectamente, ponen en riesgo la integridad, confiabilidad o
disponibilidad de la informacin, los equipos y los sistemas de informacin
de la Universidad. Cualquier violacin a las normas puede conllevar la
revocacin de privilegios de uso de los Sistemas de informacin y deber ser
notificada al Oficial de Seguridad Informtica y , al director de talento
humano y al jefe inmediato del empleado.

Internet
El acceso a Internet es propiedad de la Universidad y deber ser utilizado
exclusivamente como una herramienta de trabajo siguiendo las normas
que rigen el comportamiento del personal docente, administrativo, y
estudiantes, nunca con fines no oficiales o para actividades personales o
con fines de lucro.
Los usuarios que tengan acceso al Internet a travs de la Universidad no
deberan tener expectativa de privacidad alguna con relacin al uso y los
accesos realizados a travs de la Internet. La Universidad se reserva el
derecho a intervenir y auditar los accesos realizados por los usuarios a
travs de su sistema de informacin, el acceso a la Internet y el contenido
de lo accedido.
La Universidad no se responsabiliza por la validez, calidad, o contenido
de la Informacin contenida en la Internet.
65
La Universidad ser responsable por velar que la conexin a Internet se
lleve a cabo cumpliendo fielmente la Poltica de Seguridad de la
informacin y deber monitorear el funcionamiento correcto de las
mismas.

Cualquier informacin o servicio publicado en Internet deber ser
autorizado por las autoridades de la Universidad y bajo el conocimiento
del Oficial de Seguridad Informtica.

Queda prohibido el acceso a sitios de dudosa procedencia, sitios de
hacking, warez, pornogrficos, o de contenido no apropiado segn lo
defina la institucin.

Se encuentran prohibidas las descargas de software o aplicaciones desde
Internet.

Se realizar inspecciones peridicas y revisiones sobre el uso que se est
dando al acceso a Internet por parte de los funcionarios de la sede y de
personal externo laborando dentro de las instalaciones.

Se establecern restricciones de acceso a travs del uso de perfiles en el
equipo que permite el acceso a Internet (Proxy Server). Los perfiles sern
categorizados de la siguiente forma:

o Acceso Total :
Sin restriccin alguna

o Acceso I ntermedio
Utilizado para labores del Departamento de sistemas
o Acceso Restringido
Acceso restringido a Internet asignado a la mayora de los
usuarios.

66
Correo electrnco:
El sistema de correo electrnico es propiedad de la Universidad por lo
cual se reserva el derecho absoluto de auditar, monitorear e investigar
sobre los buzones de correo a fin de corroborar el correcto uso que se le
est dando al mismo.
El uso del correo electrnico ser nicamente destinado a propsitos
oficiales relativos a las funciones del usuario. Queda prohibido el uso del
mismo para asuntos personales o con fines de lucro, los usuarios estn
obligados a velar por el cumplimiento de las normas relacionadas al uso
de este servicio.

Queda prohibido transmitir informacin confidencial de la Universidad
Politcnica Salesiana sin contar con la debida autorizacin. En caso de
enviar informacin confidencial debe ser transmitida de forma encriptada
a fin de evitar divulgacin de la misma. En caso de existir sospecha de
que informacin ha sido interceptada o divulgada deber informarse de
inmediato al Oficial de Seguridad Informtica a fin de tomar las medidas
necesarias.

Debern existir normas mediante las cuales se asignan cuentas de correo
electrnico incluyendo medidas de seguridad, nombres de usuario,
contraseas y dems mecanismos de autenticacin.

Los usuarios no debern utilizar o acceder a cuentas de correo electrnico
de otros dominios que no sean el institucional, a menos que hayan sido
previamente autorizados a usar los mismos, as como pginas o sitios de
mensajera instantnea.

Deber utilizarse el correo para comunicaciones cortas y concisas.

Las comunicaciones electrnicas, deben tener las caractersticas bsicas
de cordialidad y respeto.

67
Los mensajes deben ser enviados desde el correo electrnico de quien los
firma.

Las cuentas de correo electrnico deben ser creadas usando el estndar
establecido por la coordinacin de sistemas de la sede.
Se asignar un tamao de buzn de correo para cada usuario, es decir un
espacio de almacenamiento en el servidor de correo, destinado al guardar
los mensajes electrnicos de cada usuario.

Se evitar en el nombre del destinatario y el asunto el uso de caracteres
especiales como slash (/), tildes (), guiones (-), y dems.

Siempre se escribir en el campo Asunto una frase que haga referencia
directa al contenido del texto.

La funcionalidad confirmacin de lectura deber utilizarse de manera
mesurada a fin de evitar la congestin en el envo de los correos
electrnicos.

En caso de ausencias superiores a ocho das deber utilizarse la opcin de
respuestas automticas informando la ausencia del funcionario as como
la duracin de su ausencia.
Luego de un periodo superior a 30 das de inactividad, el personal de
sistemas deshabilitar la cuenta de correo asignada al usuario.

Los usuarios debern asegurarse antes del envo de archivos adjuntos que
stos no contengan virus o cdigo malicioso.

Queda prohibida bajo cualquier circunstancia a reproduccin y envo de
mensajes en cadenas o similares, el incumplimiento de esta disposicin
redundara en suspensin del servicio temporal o definitiva.

68
El contenido de los mensajes de correo se considera confidencial y solo
perder este carcter en casos de investigaciones administrativas,
judiciales o incidentes relacionados con Seguridad Informtica.

Poltica de SPAM
Mantener depurada la base de datos de direcciones e-mails para evitar
envos innecesarios, eliminar direcciones de correo incorrectas.

En lo posible no se compraran listas de direcciones de correo electrnico
a usarse con fines publicitarios o de mercadeo, en caso de hacerlo , existir
clara evidencia sobre el origen lcito de las mismas.

Evaluar al proveedor de servicio de Internet (ISP) antes de contratar el
servicio.

En caso de realizar envos de boletines o similares, debe proveerse a los
destinatarios, de mecanismos que permitan cancelar dicha suscripcin.

A fin de evitar ser catalogados como SPAMMERS por filtros bayesianos
se deben tomar en cuenta los siguientes lineamientos:

Evitar en lo posible el uso de terminologa comercial en la
redaccin de los correos

Evitar expresiones como Free gratis Compre ahora y
similares.

No escribir con letras maysculas en el campo asunto del correo
electrnico.

Evitar en lo posible el uso excesivo de smbolos ($,%,!!) , suelen
ser utilizados en correos catalogados como SPAM.

69
Evitar la frase haga clic aqu a lo largo de la redaccin del
correo

Tener precaucin al incluir cdigo HTML en los correos
electrnicos

Evitar incluir controles Active-X o animaciones flash
Mantener activada la resolucin inversa en los servidores de
nombres (DNS)

Monitorear regularmente las listas negras de SPAMERS.

A.7.2 Clasificacin de la informacin

A.7.2.1 Lineamientos de clasificacin
Para clasificar un Activo de Informacin, se evaluarn las tres caractersticas de la
informacin en las cuales se basa la seguridad: confidencialidad, integridad y
disponibilidad.

A continuacin se establece el criterio de clasificacin de la informacin en funcin
a cada una de las mencionadas caractersticas:

Por Confidencialidad
TIPO A

Informacin Pblica, No confidencial

TIPO B

Informacin Reservada Uso I nterno destinada a personal
de la organizacin y cuya divulgacin podra crear riesgos
LEVES a la organizacin.
TIPO C

Informacin Reservada - Confidencial utilizada
nicamente por un grupo de personas autorizadas dentro de
la organizacin, y cuya divulgacin ocasionara perdidas
significativas para la Institucin.
70
TIPO D

Informacin Reservada Secreta destinada a un grupo
pequeo de personas dentro de la institucin, generalmente
mandos altos o directivos, la divulgacin de esta
informacin supondra prdidas graves para la institucin.
Tabla 3.3
Fuente: Los Autores

Por Integridad
TIPO A

Informacin cuya modificacin puede ser fcilmente
corregida
TIPO B

Informacin cuya modificacin puede corregirse pero que
ocasionara perdidas leves a la institucin o a terceros.
TIPO C

Informacin cuya modificacin no autorizada es difcil de
corregir, y que ocasionara daos o prdidas significativas
para la institucin o a terceros.

TIPO D

Informacin que al ser modificada sin autorizacin no
puede ser corregida, ocasionando prdidas graves o
cuantiosas para la institucin o a terceros.

Tabla 3.4
Fuente: Los Autores
Por Disponibilidad
TIPO A

Informacin que al no encontrarse disponible NO afecta las
operaciones de la institucin

TIPO B

Informacin que al no hallarse disponible durante una
semana afecta levemente las operaciones de la institucin o
de terceros.
TIPO C

Informacin que al no hallarse disponible durante 24 horas
afecta significativamente las operaciones de la institucin o
de terceros.
71

TIPO D

Informacin que al no hallarse disponible durante 1 hora
afecta significativamente las operaciones de la institucin o
de terceros.

Tabla 3.5
Fuente: Los Autores
A todo activo de informacin deber asignrsele un valor por cada criterio, a saber,
confidencialidad, disponibilidad, e integridad, tal como se muestra en la tabla a
continuacin:

ACTIVO CONFIDENCIALIDAD DISPONIBILIDAD INTEGRIDAD
Informacin financiera de
alumnos.

C

C

D

Tabla 3.6
Fuente: Los Autores

Luego de asignar valores por los diferentes criterios se deber asignar una
clasificacin segn el criterio citado a continuacin:

CRITIDIDAD BAJA Todos los valores dentro del rango de A hasta B

CRITICIDAD MEDIA Alguno de los valores asignados es C

CRITICIDAD ALTA Alguno de los valores asignados es D

Debern identificarse los medios o archivos fsicos utilizando las etiquetas
mencionadas respetando el cdigo de color para establecer el nivel de criticidad de la
informacin, a saber alta, media, y baja.

72
A.7.2.2 Etiquetado y manejo de informacin
El almacenamiento de la informacin cumplir con procedimientos para el rotulado
y manejo de la misma, de acuerdo al esquema de clasificacin definido.

Se etiquetarn los recursos de informacin tanto en formatos fsicos como
electrnicos guardados en dispositivos de almacenamiento, e incorporarn las
siguientes actividades de procesamiento de la informacin:

Copia de informacin
Almacenamiento
Transmisin por correo normal, electrnico, o fax
Otros aplicables

A.8 Seguridad de los recursos humanos
As como lo es la informacin, el recurso humano es de vital importancia dentro de
cualquier organizacin, es fundamental educar y mantener informado al personal
desde su ingreso a la organizacin sobre los lineamientos de seguridad incluidos en
la poltica as como las sanciones en caso de incumplimiento.

Reducir los riesgos derivados al error humano, omisiones, comisin de ilcitos o uso
no apropiado de los activos de informacin y equipos.

Mantener informado al personal sobre las responsabilidades en materia de seguridad
incluso desde el proceso de seleccin, durante el tiempo en que la persona presta
servicios a la institucin y al momento de cesar en sus funciones.
Garantizar que los usuarios estn al tanto de las amenazas en materia de seguridad de
la informacin y estn capacitados para respaldar la poltica establecida por la
Universidad en materia de seguridad.
Establecer compromisos de confidencialidad con todo el personal y personal externo
que tenga acceso a la informacin fin de minimizar los riesgos y sus efectos en caso
de ocurrencia.
73
3.- Alcance Del Control
Esta Poltica es aplicable a todo el personal interno de la Universidad Politcnica
Salesiana sede Guayaquil, sin importar cual sea su situacin, y al personal externo
que se involucre en tareas dentro del mbito del Organismo y relacionadas con la
seguridad.

4.- Responsabilidad Del Control
El departamento de gestin de talento humano deber difundir entre los empleados e
informar sobre las obligaciones con relacin al cumplimiento de la poltica de
seguridad de la informacin, adems de dar a conocer la poltica de seguridad desde
el proceso de seleccin.

Los usuarios en general son responsables de cumplir la poltica de seguridad de la
informacin y reportar las debilidades, amenazas, vulnerabilidades o cualquier
incidente relacionado con la seguridad de la informacin al oficial de seguridad
informtica.

5.- Poltica - Seguridad De Los Recursos Humanos
A.8.1 Antes del empleo
A.8.1.1 Roles y responsabilidades

Es necesario establecer responsabilidad sobre el cumplimiento de las normas de
seguridad de la informacin tanto de los empleados ya sea como docentes, personal
administrativo o de servicio, as como contratistas.

En el caso de los empleados existir una labor conjunta entre la coordinacin de
talento humano y el oficial de seguridad informtica a fin de asegurar que los
funcionarios de la universidad, sin importar el nivel que estos ocupen cumplan
fielmente las disposiciones expuestas en esta poltica.

En el caso de los proveedores, la labor sea compartida entre el oficial de seguridad
informtica y la jefatura del departamento que solicita el servicio prestado razn por
la cual el personal externo ya sea contratista o accesoria ha sido contratada.
74
A.8.1.2 Seleccin
En el caso de los aspirantes cargos ya sea como docentes o personal administrativo,
debern realizarse investigaciones previas tanto de antecedentes como de cualquier
hecho que podra sugerir que la persona podra representar algn tipo de amenaza a
la seguridad de la institucin.
A fin de cumplir esto debern realizarse pruebas de admisin, referencias laborales,
personales, record que acredite no poseer problemas de ndole legal, entre otros.

Deber en el caso de proveedores existir una pre-calificacin a fin de verificar todos
los aspectos legales, ticos, e historial del comportamiento del proveedor o asesor
con la finalidad de garantizar que la participacin de los mismos no redunde en una
amenaza a la seguridad. Para este fin debern solicitarse recomendaciones
personales, record legal, garantas, listado de clientes, y certificaciones de
acreditacin.

Entre las verificaciones a considerar en el proceso de seleccin de personal
administrativo, docente o proveedores debern realizarse las siguientes:

a) Disponibilidad de referencias de carcter satisfactorias; por ejemplo, una
referencia comercial y una personal.

b) Chequeo del currculo vitae del postulante buscando integridad y exactitud.

c) Confirmacin de las calificaciones acadmicas y profesionales mencionadas

d) Chequeo de identidad independiente ya sea, cdula, pasaporte o documento
similar.

A.8.1.3 Trminos y condiciones de empleo
Una vez realizada la seleccin de un funcionario, asesora, o proveedor, cualquiera
sea el caso debe existir un contrato firmado y legalizado, el mismo debe incluir
clusulas de confidencialidad, y las obligaciones que en materia de seguridad de la
informacin el contratado sea funcionario, persona natural o jurdica deber cumplir.
75
Como parte del contrato debe incluirse una clusula en la cual el contratado acepta
los trminos y condiciones que lo obligan y declaran como responsable de dar
cumplimiento a las polticas de seguridad de la informacin que sean aplicables.

Se consideran las siguientes como condiciones de empleo:

a) Todos los usuarios empleados, contratistas y terceros que tienen acceso a
informacin sensible debieran firmar un acuerdo de confidencialidad o no
divulgacin antes de otorgarles acceso a los medios de procesamiento de la
informacin.

b) Aceptacin de las responsabilidades y derechos por parte de los empleados,
contratistas y cualquier otro usuario; por ejemplo, con relacin a las leyes de
derecho de auditora y legislacin de proteccin de data
c) Aceptacin de las responsabilidades para la clasificacin de la informacin y
la gestin de los activos organizacionales asociadas con los sistemas y
servicios de informacin manejados por el empleado, contratista o tercera
persona

d) Aceptacin de las responsabilidades del usuario empleado, contratista o
tercera persona con relacin al manejo de la informacin recibida de otras
compaas o partes externas.

e) Aceptacin de las responsabilidades de la organizacin por el manejo de la
informacin personal, incluyendo la informacin creada en el transcurso del
empleo con la organizacin.

f) Las responsabilidades que se extienden fuera del local de la organizacin y
fuera del horario normal de trabajo.

g) Las acciones a tomarse si el usuario empleado, contratista o tercera persona
no cumple los requerimientos de seguridad de la organizacin.
A.8.2 Durante el empleo
76
A.8.2.1 Gestin de responsabilidad
Los trminos y condiciones de empleo, los cuales debern estar incluidos en los
contratos, establecern la responsabilidad de los empleados en materia de seguridad
de la informacin.

Adicionalmente los procesos contractuales debern establecer que las
responsabilidades se extienden ms all de los lmites de la Sede Guayaquil de la
Universidad Politcnica Salesiana e incluso fuera del horario laboral.

A.8.2.2 Capacitacin y educacin en seguridad de la informacin
Cada integrante de la institucin, los usuarios externos y contratistas que
desempean funciones en la misma, debern recibir una adecuada capacitacin y
actualizacin peridica en lo relacionado a la poltica y normas relacionadas a la
seguridad.
Esto incluir los requerimientos de seguridad y las responsabilidades que cada
usuario adquiere al iniciar sus labores. El responsable de la gestin de talento
humano ser la persona encargada de coordinar las labores de capacitacin
necesarias para la difusin y conocimiento de la poltica de seguridad.

El material destinado a la capacitacin en seguridad de los usuarios ser
responsabilidad del oficial de seguridad informtica, en conjunto con personal de las
diversas reas implicadas y cada seis meses se revisar y actualizar a fin de que la
misma sea precisa y cumpla el objetivo para la cual fue concebida.

A.8.2.3 Proceso Disciplinario
Todos los incumplimientos u omisiones implicaran segn la gravedad el inicio de un
proceso disciplinario formal segn normas establecidas y polticas administrativas
internas vigentes de la Universidad Politcnica Salesiana Sede Guayaquil.

Todo proceso disciplinario debe garantizar el tratamiento correcto y ecunime para
los empleados sobre los que se levanta sospecha de cometer incumplimientos de
la poltica de seguridad.

77
Este proceso debe proporcionar una respuesta equilibrada tomando en consideracin
las circunstancias, naturaleza, gravedad, atenuantes y agravantes.

En casos de gravedad elevada, el proceso debera permitir la remocin inmediata de
los derechos, accesos y privilegios, y en caso que amerite la separacin inmediata del
funcionario.

A.8.3 Terminacin o cambio de empleo

A.8.3.1 Responsabilidades de terminacin
Es responsabilidad del funcionario que cesa en sus funciones presentar la renuncia a
su cargo con suficiente tiempo de antelacin, al menos con 15 das.

La jefatura del departamento donde el funcionario realiz sus labores tendr la
responsabilidad de supervisar la entrega formal del cargo al funcionario encargado
de cubrir la vacante, esto incluir la documentacin relacionada al cargo,
informacin, llaves, credenciales, y dems.

El oficial de seguridad informtica o el funcionario que designe de entre el personal
de sistemas sern responsables de cancelar todas las credenciales de acceso a los
diferentes sistemas de informacin, acceso a Internet y buzones de correo
electrnico.

A.8.3.2 Devolucin de activos
Dentro del proceso de cesacin de funciones, es necesario que se cumpla con una
entrega formal de los activos entre los cuales deber incluir:

Devolucin de software, manuales y documentos institucionales as como
de equipos y herramientas de trabajo.

.Activos organizacionales, equipos de computo equipos de telefona mvil
tarjetas de acceso, e informacin almacenada en medios de
almacenamiento, ya sean fijos o removibles.
78
En caso que el empleado o contratista empleaba equipos propios para el
cumplimiento de sus funciones, debe asegurarse que la informacin
relevante sea transferida a la organizacin y eliminada definitivamente del
equipo.

En caso que el empleado o contratista posea conocimientos necesarios
para tareas operativas, administrativas o dems que vayan relacionados
con la institucin , se debe asegurar que este conocimiento sea
documentado y trasferido a la organizacin

A.8.3.3 Eliminacin de derechos de acceso
Todos los derechos de acceso, equipos, y dems activos de informacin, que hayan
sido concedidos a los usuarios, empleados o contratistas deberan ser retirados al
terminar sus funciones ya sea contrato o acuerdo.

En caso de cambiar de funciones, dentro de la misma institucin, deben retirarse
todos los derechos de acceso no aprobados debido a no ser necesarios para las nuevas
funciones. Entre los derechos de acceso a retirar se encuentran los siguientes:

Acceso fsico

Acceso lgico

Llaves

Tarjetas de identificacin

Medios de procesamiento de informacin
Suscripciones

Documentacin que identifique a la persona como miembro de la institucin

79
Claves secretas

Otras aplicables

El retiro de derechos de acceso deber realizarse con suficiente anticipacin con
relacin a la fecha de cese de funciones del empleado o contratista tomando en
cuenta los siguientes factores:

Quien origina la terminacin del contrato o acuerdo ,si es iniciado por el
empleado o contratista o por parte de las autoridades de la Universidad
Politcnica Salesiana Sede Guayaquil

La razn por la que se termina el contrato o acuerdo.
La criticidad de las responsabilidades que el empleado o contratista
actualmente mantiene.

El valor de los activos que el empleado o contratista mantiene bajo su
custodia.

A.9 Seguridad fsica y ambiental
La gestin de la seguridad fsica permite reducir en gran manera los riesgos de existir
daos debido a accesos fsicos no autorizados mediante la definicin de zonas
restringidas y establecimiento de permetros de seguridad.

Controlar los factores ambientales o de entorno permite garantizar el funcionamiento
adecuado de los equipos de procesamiento y preservar el servicio mediante evitar
interrupciones debido a causas fsicas.
Evitar accesos no autorizados que causen daos o interferencia en los servicios
informticos, instalaciones y redes de la Universidad sede Guayaquil.

80
Mantener protegido el equipamiento destinado a procesar la informacin de la
Universidad, tanto servidores como computadores de escritorio, porttiles,
dispositivos de red, y dems, ubicndolos en reas protegidas y con acceso
restringido y controlado apropiadamente.

Proteger los activos sobre todo los de hardware que procesan informacin en caso de
tener que ser trasladados fuera del permetro protegido de la debido a motivos de
mantenimiento o reparaciones.

Gestionar y minimizar el riesgo de que factores ambientales de alguna manera
puedan afectar el funcionamiento de la infraestructura informtica de la institucin.

Evitar perdida de equipos tanto en las oficinas, sala de servidores, o laboratorios de
cmputo de la Universidad.

El alcance del control est delimitado a todos los elementos o recursos fsicos que
forman parte de la infraestructura, equipos de cmputo, servidores, medios de
almacenamiento, dispositivos removibles, equipos de comunicacin, cableado, redes
no cableadas, y dems.

4.- Responsabilidad del Control
El oficial de seguridad informtica en conjunto con las jefaturas de las diversas
reas deber definir las reas crticas que deben establecerse como zonas restringidas
o dentro de un permetro de seguridad as como la definicin de las posibles
amenazas ambientales para cada departamento y tomar las precauciones para mitigar
el riesgo.

El rea de sistemas se encargara de seguir las indicaciones del Oficial de seguridad
informtica en cuanto a la implementacin de las reas protegidas y coordinara la
contratacin de empresas terceras en caso que se requiera.
Las jefaturas departamentales definirn los niveles de acceso a establecerse para sus
respectivas reas.
81
El personal en general, administrativo, o docente es responsable minimizar el riesgo
de divulgacin de documentos mediante mantenerlos almacenados con la seguridad
del caso y no expuestos sobre los escritorios.

5.- Poltica - Seguridad Fsica Y Ambiental

A.9.1 reas Seguras

A.9.1.1 Permetro de seguridad fsica
Cada recurso tecnolgico ya sea propiedad de la Universidad o de terceros , que
procese informacin de la institucin deber cumplir contados los lineamientos de
seguridad fsica que se emitan a fin de restringir y evitar el acceso no autorizado a los
mismos.

Los funcionarios encargados del proceso o almacenamiento de informacin debern
cumplir con las normas bsicas de cuidado de los componentes tecnolgicos as
como velar por mantener las condiciones adecuadas de higiene.

Todo cambio a la infraestructura fsica de la sede, deber ser previamente analizado a
fin de asegurar que con el mencionado cambio no se vulnere la seguridad de los
activos.

Se deben establecer barreras o medidas de control fsico dentro de las instalaciones
de la institucin dentro de las cuales deben ubicarse los elementos ms crticos
dentro del procesamiento de informacin.

La Universidad Politcnica salesiana sede Guayaquil, definir permetros o reas de
seguridad a fin de proteger las reas que contienen elementos o equipos relacionados
con el procesamiento de informacin as como las redes de datos , red elctrica,
sistemas de aire acondicionado y cualquier rea relacionada a garantizar el correcto
funcionamiento de los sistemas de informacin.
82
A fin de establecer el permetro de seguridad se delimitar fsicamente en oficinas
protegidas por accesos controlados por personal de la Universidad o por dispositivos
de autenticacin como lo son los dispositivos biomtricos.
Definir el plan de instalacin y la definicin de las reas, sern establecidas por el
oficial de seguridad informtica, una vez haya evaluado la criticidad de las reas a
proteger y los riesgos a los que estas pueden verse sometidas.

En caso de ser aplicables se implementaran los siguientes controles o lineamientos:

Enumerar los permetros de seguridad y documentarlos.

Encontrar las instalaciones crticas dentro del permetro de los edificios o
construcciones.

Deben tomarse precauciones como el no existir brechas en el permetro que
permitan fcilmente acceso no autorizado.

Las paredes externas de los edificios deberan ser una construccin slida y
las puertas externas deben estar protegidas contra accesos no autorizados,
protegidas por sistemas de vigilancia constante por video, vallas, alarmas
sonoras y cerraduras.

Las puertas o ventanas deben mantenerse cerradas cuando el personal
abandone el rea segura.

El rea de sistemas debe ser restringida y siempre mantenerse controlado el
acceso a la misma.
Debe existir un rea de recepcin en la cual se controlara el acceso de
personal externo hacia las oficinas de la Universidad.

En la recepcin debe solicitarse identificacin a las personas que ingresan y
confirmar con el personal interno si se permite o no el acceso.

83
Las puertas de emergencia deben contar con alarmas y ser monitoreadas y
probadas peridicamente y asegurarse que cumplan con las regulaciones
locales solicitadas por el Cuerpo de Bomberos, as como regulaciones
internacionales.

Deben instalarse principalmente en las reas de acceso a las oficinas y en
reas restringidas, dispositivos de deteccin de intrusos, sensores de
movimiento, etc. los mismos que debern cumplir las regulaciones
internacionales y ser probados peridicamente.
Se recomienda separar los dispositivos o equipamiento de procesamiento de
informacin utilizados por el personal interno de la Universidad de los que
son utilizados por personal externo, contratistas o asesores.

Se define como rea segura por ejemplo a una oficina con llave, habitaciones
rodeadas por una barrera de seguridad interna y continua. Evidentemente
varan los requerimientos de seguridad de acceso entre las diferentes reas de
la Universidad as que puede ser necesario establecer barreras de acceso entre
reas si el caso as lo requiere.

En conformidad a lo anteriormente mencionado, se consideran las siguientes
como reas seguras o restringidas dentro de la sede Guayaquil de la
Universidad Politcnica Salesiana:

1. Oficinas del Departamento de Sistemas
En estas oficinas se concentran lo equipos de comunicacin, seguridad
perimetral y servidores de aplicaciones y servicios informticos,
archivos fsicos, digitales, inventarios de equipos y contraseas, lo
cual convierte a esta seccin del edificio en un rea segura que debe
ser resguardada segn la poltica anteriormente expuesta.

2. Bodega
Lugar de almacenaje que pudiera ser objeto de incidentes tales como
robo / hurto
84
3. Direcciones de Carrera
Los directores de carrera manejan informacin confidencial
relacionada con el plan acadmico, informacin sobre estudiantes,
docentes, etc. El acceso a esta rea debe ser restringido y regulado por
la presente poltica

El oficial de seguridad informtica es responsable de mantener identificados y
documentados los sitios protegidos detallando:
Identificacin del edificio y rea
Elementos a proteger
Medidas de proteccin fsica

A.9.1.2 Controles de acceso fsico
Para poder acceder a las reas protegidas deben establecerse controles de acceso
fsico los cuales deben ser definidos por el Oficial de seguridad informtica.

El oficial de seguridad informtica deber asegurarse que los controles incluyan las
siguientes caractersticas:

Inspeccionar a los visitantes que requieran acceso a las reas protegidas, as
como llevar un registro en la bitcora de visitas el nombre del visitante, hora
de entrada, hora de salida, persona a la que visita, y el rea a la que accede. El
visitante debe ser informado sobre las medidas de seguridad que debe
observar mientras permanezca en las instalaciones de la sede.
Controlar y limitar el acceso a informacin que haya sido clasificada como
confidencial o con grado de criticidad medio o alto, as como el acceso a las
reas protegidas. Se sugiere utilizar controles de autenticacin para autorizar
y validar los accesos a las reas protegidas de la sede, tales como personal de
seguridad con listado de personas autorizadas , uso de tarjetas magnticas,
credenciales, entre otros.

Se recomienda implementar el uso de identificaciones para todo el personal
interno la cual debera mantenerse siempre visible, as como credenciales
85
para los visitantes las cuales especificaran a que rea tiene acceso el
visitante.

Realizar una actualizacin cada tres meses de los derechos de acceso a todas
las reas protegidas, deber mantenerse documentada cada modificacin de
los derechos, y deben ser firmados por el responsable departamental.

A.9.1.3 Seguridad de oficinas, habitaciones y medios
Entre las reas protegidas se encuentran las oficinas en la que se encuentran los
diferentes equipos y dispositivos relacionados con el procesamiento de informacin y
principalmente el departamento de sistemas, lugar donde se concentra el cableado de
red, y servidores de aplicacin y servicios informticos.

Las siguientes medidas de proteccin debern observarse dentro de las reas
protegidas:

Las instalaciones crticas que se encuentran deben ubicarse en lugares que no
permitan el acceso no autorizado

Asegurarse que los edificios u oficinas en los cuales se realicen actividades
crticas relacionadas con el procesamiento de la informacin sean discretos
sin existir sealizacin exagerada o signos obvios que permitan identificarlas
fcilmente.
Desplegar los dispositivos como impresoras, maquinas de fax, plotters,
copiadoras, multifunciones, entre otras, dentro de reas protegidas a fin de
evitar uso no autorizado.

Se instruir al personal de seguridad establecer vigilancia sobre ventanas y
puertas las cuales debern permanecer cerradas a menos que sea necesario lo
contrario, dando especial atencin a las ubicadas en la planta baja o que
represente riesgos especiales.

86
Mantener fsicamente separadas las reas de procesamiento de informacin
administradas por la Universidad con la reas de procesamiento de
informacin manejadas por terceros.

Debe impedirse el acceso a directorios telefnicos e informacin de contacto
del personal interno.

Almacenar equipos redundantes y respaldos de informacin en un sitio
seguro, distante, dentro de un rea protegida a fin de evitar daos ocasionados
ante contingencias.

A.9.1.4 Proteccin contra amenazas externas o ambientales
Deben establecerse controles que permitan proteger a la infraestructura contra dao
por fuego, inundacin, terremoto, explosin, revuelta civil y otras formas de
desastres naturales o causados por el hombre.

Debe considerarse cualquier amenaza contra la seguridad presentada por locales
vecinos; tales como, amenaza de fuego en un edificio vecino, escape de agua en el
techo o pisos en stano o una explosin en la calle.

A fin de evitar o reducir los daos por fuego, inundacin, terremoto, explosin,
revuelta civil y otras formas de desastres naturales o causados por el hombre se
debern seguir los siguientes lineamientos:
Los materiales peligrosos o combustibles debieran ser almacenados a una
distancia segura del rea asegurada.

Los suministros a granel como papelera no debiera almacenarse en el rea
asegurada

El equipo de reemplazo y los medios de respaldo debieran ubicarse a una
distancia segura para evitar el dao de un desastre que afecte el local
principal

87
Se debiera proporcionar equipo contra-incendios ubicado adecuadamente.

Mantener activo y documentado un plan de contingencia que permita
restablecer el servicio en el menor tiempo posible.

A.9.1.5 Trabajo en reas seguras
A fin de robustecer la seguridad en las reas protegidas se establecen lo siguientes
controles y lineamientos, estos son aplicables sobre tareas en estas reas por parte de
personal interno o externo:

El personal debe conocer la existencia del rea protegida y de las actividades
que en ella se llevan a cabo SOLO si es necesario e indispensable para que el
personal cumpla con sus labores.

Evitar la ejecucin de trabajos en estas reas por parte de personal externo, y
siempre debern ser supervisados por el personal responsable dentro de la
Universidad.

Mantener bloqueadas las reas protegidas y establecer inspecciones
peridicas

El acceso al personal externo debe ser limitado a las reas crticas de
procesamiento de informacin. Estos accesos debern ser autorizados
registrados, y controlados.

Evitar el ingreso a las reas protegidas de equipos mviles, fotogrficos de
video, audio o cualquier dispositivo que registre informacin a menos que
haya sido autorizo previamente por el Oficial de seguridad informtica.

Queda prohibido, comer, beber o fumar dentro de las reas crticas de
procesamiento de informacin.

88
A.9.1.6 reas de acceso pblico, entrega y carga
Se mantendrn bajo control las reas donde se realicen recepcin de materiales o
equipos teniendo en cuenta que estas reas estarn aisladas de las instalaciones de
procesamiento de informacin, a fin de impedir accesos no autorizados.

Con este fin se establecern controles fsicos que considerarn los siguientes
lineamientos:

Limitar el acceso a las reas de recepcin, desde el exterior de la sede, slo
se permitir el acceso al personal previamente identificado y autorizado.

Disear el rea de recepcin de manera tal que los suministros puedan ser
descargados sin que el personal que realiza la entrega acceda a otros sectores
del edificio.

Proteger todas las puertas exteriores del rea de recepcin cuando se abre la
puerta interna.

Inspeccionar el material entrante para descartar peligros potenciales antes de
ser trasladado desde el rea de depsito hasta el lugar de uso.

Registrar el material entrante al ingresar al sitio pertinente.

A.9.2 Seguridad del equipo

A.9.2.1 Ubicacin y proteccin del equipo

Deben considerarse las diferentes amenazas fsicas y ambientales a los que los
equipos que procesan informacin pueden verse expuestos al momento de definir el
lugar donde se ubicaran los mismos.

Los siguientes principios o pautas deben tomarse en cuenta:

89
Debe evitarse instalar equipos de procesamiento de datos en lugares de libre
acceso, o en aquellos en que no sea posible establecer controles previos a
ingresar al rea.

Los sitios u oficinas destinadas a procesamiento de datos crticos,
clasificados,
as como la sala de servidores deben estar estratgicamente ubicados a fin de
mantener permanente supervisin y vigilancia sobre el uso de los mismos.

Reducir el nivel de proteccin requerida mediante aislar en un entorno
independiente los sistemas o repositorios de informacin mas crticos o que
manejen informacin confidencial.

Se debern realizar minuciosas supervisiones semestrales evaluando las
condiciones ambientales constatando que estas no afecten de forma negativa
los equipos repositorios y procesadores de informacin, en caso de
encontrarse sugerencias debern aplicarse de inmediato.

A.9.2.2 Redes de suministro elctrico
Los equipos debern estar protegidos y tolerante a fallas en el sistema de suministro
elctrico. La alimentacin de energa elctrica deber apegarse a los requerimientos
del fabricante de los equipos. Adems es necesario que se observen las siguientes
recomendaciones a fin de asegurar la disponibilidad de los equipos, y sistemas:

Contar con mltiples tomas de energa elctrica y acometidas a fin de no
tener un nico punto de falla en el suministro de energa elctrica para los
equipos.

Contar con un sistema de suministro elctrico de emergencia (UPS) que
permita tener suficiente tiempo para realizar un apagado sistemtico de los
equipos en caso de prdida del suministro elctrico.

90
La capacidad del equipo a adquirirse ser determinada luego de un anlisis de
la cantidad de equipos a protegerse, es necesario que este anlisis determine
los equipos ms crticos que sern protegidos en funcin del servicio que
estos desempean o la informacin que estos manipulan o almacenan.

Al momento se cuenta con esta proteccin en los departamentos o secciones
ms crticos, que permiten mantener el flujo elctrico hasta por 30 minutos
posterior a la prdida de suministro .Los departamentos son detallados a
continuacin:

Departamento de Sistemas 30 minutos
Secretaria- 10 minutos
Tesorera 10 minutos
Direcciones de carrera 10 minutos

Se prohbe terminantemente la conexin de cualquier equipo que no se
encuentre entre los que se definieron previamente para ser protegidos por el
sistema de suministro elctrico UPS

Debe existir un sistema de iluminacin de emergencia

El Oficial de seguridad informtica realizara una inspeccin semestral en
conjunto con el personal tcnico respectivo a fin de asegurarse la
disponibilidad y correcto funcionamiento de la red de suministro elctrico.

A.9.2.3 Seguridad del cableado
Al ser la red de cableado elctrico y de datos un elemento crtico dentro de la
infraestructura tecnolgica de la Universidad, debe ser protegido de intercepciones o
daos intencionales o no intencionales mediante aplicar las siguientes normas:

Las lneas de cableado elctrico o de datos en lo posible debern ser
subterrneas o contar con la proteccin necesarias tales como canaletas,
tuberas, y dems.
91
El cableado de datos deber estar protegido a fin de evitar intercepciones no
autorizadas mediante el uso de tuberas.

No se desplegar el cableado de datos a travs de reas de acceso pblico o
no controladas.

El cableado elctrico y el cableado de datos deben desplegarse de manera
separada a fin de evitar interferencias o prdidas de paquetes de datos.

Los cables de red debern ser identificados a travs de marcadores
numricos, lo cual minimizar el riesgo de manipulacin errnea de los
mismos.

Los puntos de red deben estar claramente identificados en el bastidor o patch
panel.

Debe mantenerse documentados los diferentes empalmes y conexiones a fin
de evitar errores de manipulacin.

Para los sistemas ms sensibles ,como servidores de bases de datos, y dems
repositorios o procesadores de informacin critica debern tomarse estas
medidas adicionales a las mencionadas anteriormente:

o Utilizacin de tubos blindados y de cajas con llave para los puntos de
inspeccin del cableado.

o Utilizar una ruta de cableado estratgicamente dispuesta que brinde la
seguridad y proteccin adecuada.

o Utilizacin de fibra ptica.

o Utilizar un escudo electromagntico para la proteccin del cableado.

92
o Acceso controlado y registrado para el acceso a las terminales de
cableado y realizacin de empalmes.

El oficial de Seguridad informtica realizar una inspeccin trimestral en
busca de cualquier dispositivo instalado en la red que pudiera representar una
amenaza a la seguridad del mismo.

El plan de inspeccin mencionado en el punto anterior debe incluir una
revisin detallada de las reas de concentracin de cableado las cuales se
detallan a continuacin:

o Departamento de Sistemas, concentracin principal de cableado

o Direcciones de carrera , Interconexin en cascada con el sitio
principal de cableado (Departamento de sistemas)

o Biblioteca , Conexin inalmbrica con el sitio principal de la sede
(Departamento de sistemas)
o Datacenter, Se encuentra planificada la implementacin de un
datacenter que concentrar el cableado y equipos de
comunicacin, este debe ser el principal punto en el que el Oficial
de seguridad informtica deber enfocarse durante las
inspecciones planificadas.

A.9.2.4 Mantenimiento de los equipos
Se realizarn mantenimientos peridicos de los equipos a fin de asegurar la
disponibilidad de los mismos, tomando en cuenta los siguientes lineamientos:

Deben seguirse las recomendaciones del fabricante de los equipos con
respecto a la periodicidad de los mantenimientos para los mismos.

Solo el personal de sistemas de la Universidad est autorizado a realizar el
mantenimiento de los equipos.
93
Luego de realizar el mantenimiento el personal de sistemas colocar sellos
que garantizarn la no manipulacin de los equipos.

El personal de sistemas mantendr una bitcora, manual o digital de cada
equipo sealando los daos encontrados y posibles fallas, as como las
acciones de remediacin y mantenimientos realizados.

Se prohbe terminantemente al personal de sistemas el acceso, copia o
divulgacin de la informacin clasificada que se encuentre almacenada en el
equipo al momento de realizar el mantenimiento.

Se deben observar los requerimientos impuestos por la empresa aseguradora
en caso de que los equipos estn asegurados, y los requerimientos aplicables
en caso de estar vigente el periodo de garanta del equipo por parte del
fabricante.

A.9.2.5 Seguridad del equipo fuera de las instalaciones
En la sede Guayaquil de la Universidad, se utilizan equipos informticos porttiles
con informacin corporativa, y son utilizados por las siguientes reas:

Vicerrectorado
Coordinacin administrativa
Coordinacin acadmica
Coordinacin de talento humano
Coordinacin de pasantitas
Coordinacin de sistemas
Pastoral
Analista de sistemas
Directores de carrera (5)

94
Al momento de utilizar equipos de procesamiento de datos o repositorios de
informacin debern seguirse los siguientes lineamientos a fin de asegurar la
proteccin de los mismos y de la informacin que estos almacenan:
Los equipos y medios de almacenamiento nunca debern ser desatendidos
durante el periodo en que se mantienen fuera de las oficinas, en caso de ser
computadoras porttiles siempre se mantendrn cerca como equipaje de mano
y en lo posible de forma discreta.

Seguir rigurosamente las recomendaciones tcnicas y ambientales dispuestas
por el fabricante.

Los equipos deben contar con un seguro adecuado para protegerlos durante
este tiempo.

La informacin almacenada en los equipos porttiles debe ser encriptada.

Establecer medidas tcnicas que obliguen a autenticarse luego de un periodo
corto de inactividad.
En caso de realizar tele trabajo, la conexin hacia los servidores o servicios
de la sede debe realizarse a travs de un tnel VPN, cifrando la informacin
enviada.

A.10 Gestin de las comunicaciones y operaciones


Las comunicaciones permiten el intercambio de informacin y acceso a la misma
desde las diferentes ubicaciones geogrficas de la Universidad, pero a la par con los
beneficios que estas encierran existe un riesgo latente al utilizarlas.

Herramientas de comunicacin como la Internet, correo electrnico y mensajera
instantnea se han convertido en un foco de proliferacin de software malicioso,
virus, troyanos, puertas traseras, y un punto vulnerable que puede ser explotado por
95
piratas informticos, es por eso que es necesario establecer lineamientos que
permitan minimizar los riesgos producidos por la manipulacin de informacin a
travs de canales de comunicacin.

Garantizar que la manipulacin de la informacin a travs de canales de
comunicacin se encuentre siempre disponible y que el uso de los mismos se realice
de modo seguro, mediante establecer controles, responsabilidades y procedimientos
que permitan mitigar los riesgos presentes y evitar incidentes de seguridad que
pondran en riesgo la informacin como activo principal de la institucin.

Esta poltica es aplicable a todos los sistemas de informacin y los sistemas de
comunicacin que son utilizados por los mismos.

La aplicacin de los lineamientos expuestos en esta poltica ser supervisada por el
oficial de seguridad de la informacin en cada una de las reas de la Universidad
Politcnica Salesiana sede Guayaquil, contando con la colaboracin de los
responsables de las diferentes reas.

El Oficial de seguridad de la informacin adems es responsable de de realizar los
procedimientos relacionados con esta poltica.

El departamento de sistemas realizar las labores operativas necesarias para dar
cumplimiento a la presente poltica, realizando esto siempre bajo la supervisin del
oficial de seguridad de la informacin.

96
5.- Poltica Gestin del las Comunicaciones y Operaciones

A.10.1 Procedimientos y responsabilidades operacionales

A.10.1.1 Procedimientos de operacin documentados
Como parte de la gestin de la seguridad de la informacin es necesaria la creacin y
actualizacin de los procedimientos operativos relacionados con los diferentes
sistemas de informacin que la Universidad Politcnica Salesiana Sede Guayaquil.

Cuando se realice una modificacin a los procedimientos, esta debe ser autorizada
por el Oficial de Seguridad de la informacin.

Entre la documentacin que debe elaborarse debe constar:

Documentacin sobre procesamiento de informacin utilizando los diferentes
sistemas de la Universidad.

Instructivo para manejo de errores comunes y generales que pudieran
presentarse el proceso de manipulacin de la informacin.
Restricciones en el uso de utilitarios del sistema.

Gestin de servicios.

Aplicacin de procedimientos de reinicio de sistemas o servicios que
permitir garantizar la calidad y confiabilidad del servicios brindado por la
universidad en los caso de que estos hayan sido reiniciado ya sea por
procedimiento de rutinarios o de fuerza mayor.

Procedimiento de instalacin, cambio, o reemplazo de componentes dentro de
los sistemas de informacin o comunicaciones.

Procedimientos de instalacin y mantenimiento de los equipos de
procesamiento de informacin y comunicaciones.
97
Procedimientos de monitoreo de los sistemas de informacin y
comunicaciones.

Informacin sobre personal tcnico a contactar en caso de errores o
problemas operativos ya sea de los sistemas propietarios de la universidad
como de los ISP que proveen los servicios de comunicacin entre las sedes.

Procedimientos de resguardo de informacin.

Procedimientos de Respaldos.

Procedimiento de uso de correo electrnico.

A.10.1.2 Control de cambios en las operaciones
Todos los cambios realzados en el ambiente operativo debern ser evaluados
previamente y documentado. El control de los cambios a realizarse es
responsabilidad del oficial de seguridad de la informacin, quien en conjunto con el
personal de sistemas evaluar las posibles implicaciones al realizar dichos cambios.

Cualquier cambio que afecte la plataforma tecnolgica debe ser requerido por los
usuarios de la informacin y aprobado formalmente por el responsable de la
administracin del componente tecnolgico, Jefe de Oficina, o Director o a quienes
estos formalmente deleguen.

De ninguna manera un cambio ser aprobado, realizado e implantado por la misma
persona o rea.
Una bitcora debe ser mantenida registrando todos los cambios en el ambiente de
produccin.
Entre los procedimientos y/o documentacin requeridos se encuentran los siguientes:

Registro de cambios significativos en la infraestructura.

Evaluacin de implicaciones posibles.
98

Documento de aprobacin para realizar el cambio.

Planificacin del proceso de cambio.

Procedimiento que permita reversar el cambio realizado.

Matriz de pruebas sobre el nuevo escenario.

Notificacin por escrito a los departamentos implicados la cual debe incluir
los cambios realizados.

A.10.1.4 Separacin de los ambientes de desarrollo y produccin.
Los entornos de desarrollo y de produccin deben mantenerse separados, de
preferencia fsicamente separados, al momento de que un sistema o servicio deba ser
trasladado del entorno de desarrollo a produccin deben documentarse reglas y
procedimientos de forma previa.
Los siguientes lineamientos debern observarse:

Ejecutar la aplicacin, programa, o servicios de desarrollo y produccin en
diferentes ambientes, y diferentes servidores mantenindose aislados uno del
otro.
Separar las actividades de desarrollo en ambientes aislados

En caso del software de produccin, en lo posible evitar el acceso a cdigo
fuente o herramientas de debugging.

Los sistemas de autenticacin y control de acceso a los ambientes de
desarrollo y produccin deben ser independientes.

Mantener documentados los nombres y cargos de los propietarios de la
informacin de ambos ambientes.
99

En lo posible el personal de desarrollo no tendr acceso al entorno de
produccin a menos que sea requerido y previamente autorizado por el
Oficial de seguridad de la informacin.

Durante el proceso de pruebas en el ambiente de desarrollo debern realizarse
todas las pruebas pertinentes, las mismas que debern documentarse de forma
similar al formato mostrado a continuacin:

100

PLAN DE PRUEBAS AMBIENTE DE DESARROLLO
1. Datos Generales
Nombre de la prueba
Objetivo
Tipo de prueba Funcional / Tcnica
Mdulos o
programas

Tiempo estimado
2. Roles
Roles que intervienen en la prueba Responsabilidades

3. Descripcin general de las pruebas

4. Plan de Pruebas
No Descripcin S/N
1
2
3
5. Observaciones del plan de pruebas

6. Criterios de aceptacin de la prueba

7. Firmantes
Elaborado por: Autorizado por:
Firma: Firma:
Cargo: Cargo:
Fecha: / / Fecha: / /
Figura 3.3
Fuente: Los Autores
101
10.2.1 Entrega del servicio
Se incluirn controles de seguridad, definiciones del servicio y niveles de entrega
incluidos en el acuerdo de entrega del servicio de terceros se implementen, operen y
mantengan.

En el caso de la sede Guayaquil de la UPS, se cuentan con contratos de provisin de
enlaces de datos y video conferencia entre las sedes de Guayaquil y Cuenca, as
como la provisin de acceso a Internet.

Debern seguirse los siguientes lineamientos a fin de regularizar la aceptacin del
servicio contratado:

La entrega del servicio de enlaces de datos o de cualquier servicio en el que
se contratase a un tercero, deber incluir los acuerdos de seguridad pactados,
definiciones del nivel de servicio esperado y aspectos de la gestin del
servicio.

En caso de los acuerdos de abastecimiento externo, la organizacin debera
planear las transacciones de informacin, medios de procesamiento de la
informacin y cualquier otra cosa que necesite transferirse, y debiera asegurar
que se mantenga la seguridad a travs del perodo de transicin.

El personal de sistemas de la sede Guayaquil de la UPS, es responsable
asegurar que el proveedor mantenga una capacidad de servicio suficiente
junto con los planes de trabajo diseados para asegurar que se mantengan los
nivel de continuidad del servicio en caso de existir fallas importantes en el
servicio o un desastre que cause una prdida de disponibilidad del servicio.

10.2.2 Monitoreo y revisin de los servicios de terceros
Todos los servicios, reportes y registros provistos por terceros debieran ser
monitoreados y revisados peridicamente y sern sometidos a auditorias a fin de
asegurar que se est dando fiel cumplimiento a lo acordado entre ambas partes.
102
La auditoria y el monitoreo permanente de los servicios asegurarn que se cumplan
los trminos y condiciones de seguridad de los acuerdos, y que se manejen
apropiadamente los incidentes y problemas de seguridad de la informacin.

Entre las tareas asociadas a este aspecto se encuentran las siguientes:

Monitorear los niveles de desempeo del servicio que permitan dar fe de que
el proveedor est cumpliendo a conformidad con los acuerdos.

Revisar de los reportes de servicio emitidos por el proveedor del servicio

Recopilar informacin sobre incidentes de seguridad de la informacin
relacionados con la entrega del servicio contratado.

Revisar los rastros de auditora del proveedor del servicio y los registros de
eventos de seguridad, problemas operacionales, fallas, e interrupciones
detectadas y reportadas.

Resolver y manejar cualquier problema identificado en la entrega del
servicio.

La responsabilidad de manejar la relacin con terceros se debiera asignar a
una persona o equipo de gestin de servicios, en caso de la sede Guayaquil de
la UPS, el funcionario pertenecer al departamento de sistemas.

Se llevar un control permanente relacionado con la entrega del servicio que
permita la identificacin de vulnerabilidades y reporte y(o) respuesta a un
incidente de seguridad a travs de un proceso, formato y estructura de reporte
definidos

103
10.2.3 Manejo de cambios en los servicios de terceros
Se gestionarn los cambios en la provisin de servicios, incluyendo el mantenimiento
y mejoramiento de las polticas, procedimientos y controles de seguridad de la
informacin existentes teniendo en cuenta el grado crtico de los sistemas y procesos
del negocio involucrados y la re-evaluacin de los riesgos.

Esta gestin deber incluir lo siguiente:

Los cambios realizados por la organizacin para implementar mejoras en los
servicios ofrecidos actualmente; desarrollo de cualquier aplicacin y sistema
nuevo; modificaciones y(o) actualizaciones de las polticas y procedimientos
de la organizacin.

Controles nuevos para solucionar incidentes de la seguridad de la
informacin y para robustecer la seguridad en el servicio recibido.

Control de modificaciones en los servicios de terceros para implementar:
cambios y mejoras en las redes, uso de tecnologas nuevas, adopcin de
productos nuevos o versiones ms modernas, desarrollo de herramientas y
ambientes nuevos, cambios en la ubicacin fsica de los medios del servicio,
entre otros.

A.10.3.Planeacin y aceptacin del sistema.

A.10.31 Gestin de capacidad
El oficial de seguridad de la informacin se encargar o delegar funciones de
monitoreo de las necesidades futuras que los diferentes sistemas de informacin o
servicios informticos debern cubrir.

Es necesario que peridicamente se realice un anlisis de las nuevas necesidades de
la institucin as como la posibilidad de hacer uso de nuevas tendencias relacionadas
con la tecnologa y seguridad de la informacin.
104
Los posibles limitantes en los procesos de manipulacin de la informacin y
necesidades de mejoramiento debern ser informados y se buscar una futura
solucin u optimizacin a travs de la aplicacin de una nueva tecnologa y(o) la
implementacin o actualizacin de sistemas o servicios informticos.

A.10.3.2 Aceptacin del sistema.
El Oficial de seguridad de la informacin en conjunto con el personal tcnico
relacionado con la implementacin de un nuevo sistema de informacin o servicio
informtico sugerirn los criterios a observar al momento de aceptar la
implementacin de nuevos sistemas, y(o) actualizaciones de versiones ya existentes.

Antes de realizar la aprobacin formal se debern considerar los siguientes puntos:

Evaluacin de impacto en el desempeo y calidad del servicio.

Capacidad de recuperacin ante errores o desastres, planes de contingencia.

Elaboracin de los procedimientos de operacin para la nueva solucin.

Prueba de la efectividad de los procedimientos de operacin de la nueva
solucin.

Controles de seguridad aplicables.

Evidencia comprobable de que el nuevo servicio o sistema no afectara a los
dems sistemas en produccin, sobre todo en horas de alta demanda de
trabajo.

Aceptacin por parte del Oficial de Seguridad de la informacin , indicando
de que el nuevo sistema o servicio no se convertir en un eslabn dbil dentro
de la gestin de la seguridad de la informacin
Plan de capacitacin en la nueva herramienta, sistema, o servicio informtico.
105
Comprobar que el nuevo elemento es fcil de utilizar y no entorpecer los
procesos relacionados al uso del mismo.

A.10.4 Proteccin contra software malicioso y cdigo mvil
A.10.4.1 Controles contra software malicioso
El oficial de seguridad informtica deber establecer los controles tcnicos o no
tcnicos que permitan detectar, prevenir y proteger la infraestructura tecnolgica de
la Universidad de software malicioso como virus, troyanos, puertas traseras, entre
otros, as mismo elaborar una estrategia para concienciar a los usuarios de la
informacin, sistemas, y servicios informticos

El personal de sistemas ser encargado de la implementacin operativa de estos
controles.

Los controles debern incluir las siguientes observaciones:

Definir formalmente una poltica que prohba el uso de software no
autorizado dentro de la Universidad.

Todo software que sea utilizado por la Universidad deber ser adquirido de
acuerdo a las leyes vigentes y siguiendo los procedimientos establecidos por
la Universidad.

Deber fomentarse la cultura informtica al interior de la institucin que
asegure el conocimiento por parte de los funcionarios de la sede acerca de las
implicaciones que podran acarrear la instalacin de software ilegal en los
computadores.

No se brindar soporte tcnico sobre cualquier aplicacin instalada en los
equipos de la Universidad que no se encuentre autorizada por la coordinacin
de sistemas para su uso

106
Se mantendr un inventario detallado del software instalado en los equipos
as como el software instalado con fines de evaluacin.

A fin de detectar software ilegal o potencialmente peligroso el departamento
de sistemas realizar revisiones e inspecciones peridicas de forma aleatoria.

Deber disponerse de una herramienta que permita administrar y controlar de
forma automtica el software instalado en los equipos.

Todo software ilegal encontrado deber ser desinstalado inmediatamente.

Las aplicaciones actualmente autorizadas para uso en las computadoras de la
sede son:

a. APLICATIVOS
o Microsoft Office con sus respectivos aplicativos dentro del
paquete de instalacin
o Adobe PhotoShop (Relaciones Publicas)

b. SEGURIDAD CLIENTES
o Antivirus F-Secure

c. SISTEMAS OPERATIVOS CLIENTES
o Microsoft Windows XP SP2

Elaborar procedimientos que permitan evitar riesgos relacionados con la
obtencin de archivos y programas desde o a travs de redes pblicas como
Internet.
Instalar en todos los equipos software de deteccin y eliminacin de virus y
software malicioso y mantener actualizadas las definiciones.

107
Los sistemas operativos debern estar actualizados con los ltimos parches de
seguridad o hotfixes, si la instalacin de los mismos pudieran representar
cambios significativos en la infraestructura actual, estos debern ser
evaluados previamente en un entorno de desarrollo independiente.

Establecer una poltica de revisin y escaneo de los archivos recibidos previo
a su utilizacin.

Alertar a los usuarios sobres las estrategias utilizadas para la difusin de los
virus y dems cdigo malicioso a fin de evitar posibles infecciones.

Establecer una poltica de uso de dispositivos removibles que evitar la
propagacin de cdigo malicioso, generalmente residente en dispositivos
mviles.

Todos los equipos personales y porttiles debern siempre mantener instalado
configurado y funcionando el software antivirus aprobado por la
coordinacin de sistemas

Es responsabilidad del usuario reportar al departamento de sistemas
cualquier problema relacionado a infeccin de virus o software malicioso en
el equipo a l asignado.

La coordinacin de sistemas se asegurara de que se realicen las
actualizaciones de las definiciones de virus en todos los equipos clientes.

A.10.5 Respaldo de informacin o Backups

A.10.51 Respaldo de la informacin
Se debern analizar los requerimientos de respaldo y preservacin de la informacin,
para esto el Oficial de seguridad informtica junto con el personal designado por el
departamento de sistemas y propietarios de la informacin se reunirn
peridicamente realizaran las respectivas definiciones.
108
La persona designada dentro del departamento de sistemas como responsable de los
respaldos de informacin controlar la realizacin de las copias peridicas de los
datos y de llevar a cabo pruebas peridicas de restauracin.

Se definir una ubicacin fsica, segura, con los controles de acceso necesarios y con
condiciones ambientales adecuadas para el almacenamiento de las copias de
seguridad.

Los procedimientos operativos relacionados con el respaldo de la informacin
debern seguir los siguientes lineamientos:

Definir y establecer por escrito que tipo de informacin es necesario
respaldar y hasta que nivel.

Llevar una bitcora exacta sobre la realizacin de los respaldos de la
informacin, y documentacin sobre el procedimiento a seguir para la
restauracin.

Definir el tipo de respaldo , sea este total, incremental, o diferencial y la
frecuencia con la que se los realizar.

Los registros de las copias de seguridad debern incluir el nivel de
criticidad de la informacin almacenada en los medios.

Los medios debern almacenarse en un lugar aislado, lejos de reas de
libre acceso, buscando reas en las que sera menos probable la incidencia
de algn desastre o dao causado por factores ambientales.

Debe existir un plan de pruebas sobre los medios de almacenamiento, los
cuales sern probados peridicamente, los tiempos sern definidos por el
Oficial de seguridad informtica.

109
Los procedimientos de restauracin realizados por el departamento de
sistemas debern ser revisados y probados a fin de asegurar la efectividad
de los mismos.

En caso de informacin altamente critica o confidencial, la informacin
deber utilizarse encriptacin al momento de almacenarla en los medios.

En caso del respaldo de informacin de sistemas crticos el respaldo ser
total, aplicaciones, y datos de todos los sistemas, en general toda la
informacin que sera necesaria a fin de recuperar el servicio en caso de
un desastre.

Deber adems establecerse por escrito el periodo de tiempo en que se
retendr la informacin almacenada en los medios.

En caso de utilizar dispositivos que permiten automatizar los respaldos,
estas debern ser probadas en cada una de las fases, respaldo y
recuperacin, antes de ser puestas en produccin, es importante adems
realizar pruebas peridicas que aseguren la confiabilidad del dispositivo.

Deben almacenarse copias de seguridad en otra ubicacin fsica evitando
destruccin de las mismas en caso de una catstrofe como en caso de
incendios u otros.

A.10.6 Gestin de seguridad de redes

A.10.6.1 Controles de red
Las redes de comunicacin de datos de la Universidad deben ser administradas y
monitoreadas de con regularidad y manteniendo la seguridad en las operaciones,
garantizando que la informacin trasmitida a travs de la red se mantenga segura y
libre de acceso no autorizado.

110
La red de datos de la Universidad Politcnica Salesiana sede Guayaquil es
administrada por el departamento de sistemas, siendo responsable el Coordinador de
sistemas de elaborar controles y procedimientos operativos que observen los
siguientes principios:

En lo posible deber delegarse las tareas de administracin de red a
personal no relacionado con tareas operativas con los sistemas de
cmputo.

El Coordinador de Sistemas deber establecer responsabilidades sobre las
diferentes tareas de administracin y monitoreo de la red, incluyendo
equipos de comunicacin, enrutadores, switches y canales de
comunicacin.

Deben existir controles especiales a fin de asegurar la confidencialidad de
la informacin transmitida a travs de redes pblicas como Internet o a
travs de redes inalmbricas. Pueden utilizarse recursos de orden tcnico
como redes privadas virtuales (VPN) y utilizar encriptacin sobre las
redes inalmbricas.

Debe existir registros de accesos a la red que permita llevar un control de
la actividad de red e identificar algn comportamiento anormal en la
misma.

Dentro del departamento de sistemas existen los siguientes cargos y
funciones de entre los cuales el Coordinador de sistemas puede delegar
funciones inherentes a controlar la red de datos:

Analista Programador
Tcnico en soporte y mantenimiento
Asistente de soporte y mantenimiento

111
En lo relacionado con la administracin de los equipos de conectividad de
red tales como concentradores, enrutadores y dems se tomaran en cuenta
las siguientes recomendaciones:

o Configurar usuario y contrasea diferentes a los establecidos por
defecto en fbrica.
o Permitir acceso administrativo nicamente a direcciones IP
establecidas para este fin.
o Tiempo de 30 segundos de time out para sesiones inactivas
o Guardar registro de auditora de las conexiones de administracin
realizadas.
o Realizar respaldos de la configuracin del switch al menos una vez
al mes.
o Las contraseas de las comunidades SNMP deber ser diferente a
la establecida por defecto en fbrica.
o Almacenamiento de las contraseas de administracin y
contraseas de comunidades

Con respecto a la seguridad en dispositivos de interconexin inalmbrica
se deben tomar en cuenta los siguientes lineamientos:

Puntos de Acceso Inalmbrico (Access Point)
Broadcast: Deshabilitado
Modo de Seguridad: WPA/WPA2 con PSK
Mtodo Cifrado de Datos: TKIP
Periodicidad de cambio de clave: 3 meses
Nombre de red (SSID): No debe ser fcilmente asociado por un
posible intruso.
A.10.6.2 Seguridad de los servicios de red
Para todo servicio de red que se planee implementar , refirindose a que este sea
interno , como un nuevo segmento de red, o externo como un nuevo enlace Wan de
datos, deber asegurarse que este incluya caractersticas de seguridad que permita
mantener el nivel de servicio lo ms alto posible.
112
Para este fin el Coordinador de Sistemas se asegurar de monitorear la capacidad
operativa del proveedor de servicios, en caso de ser externo, a fin de constatar que se
encuentra en la capacidad de proveer los servicios contratados en concordancia a los
requerimientos impuestos por la Universidad.

El Coordinador de Sistemas de la sede deber asegurarse que el proveedor
implemente las caractersticas necesarias a nivel de seguridad y nivel de servicio que
se han establecido en el contrato de prestacin de servicios.

Se define en esta poltica como servicios de red, implementados interna o
externamente por ejemplo a servicios de redes privadas, soluciones de seguridad
como firewalls, IPS/IDS, redes privadas virtuales, as como de enlaces Wan de banda
ancha.

Los servicios de red deben incluir control sobre las conexiones, VPNs, soluciones de
seguridad tales como firewalls, sistemas de prevencin de intrusiones, etc. Estos
servicios pueden ser ofrecidos por el proveedor o implementados por el
departamento de sistemas de la sede.

Las caractersticas de seguridad que estos servicios deben cumplir son los siguientes:

El servicio de red debe contar con mecanismos de seguridad como
controles autenticacin, control de acceso, y de conexin y cifrado.

Cumplir con los requerimientos tcnicos establecidos previamente por la
Universidad, los cuales permitan una conexin segura a los servicios de
red.
Incluir procedimientos sobre la utilizacin del servicio de red,
procedimientos que permitan restriccin de acceso al servicio o
aplicaciones.

113
A.10.7 Gestin de medios

A.10.7.1 Gestin de medios removibles
El Coordinador del departamento de sistemas disear procedimientos para la
administracin de los medios removibles, como memorias flash, cintas discos, tapes,
etc.

Para la gestin de estos dispositivos se seguirn los siguientes libamientos:

En caso de que la informacin almacenada en dispositivos removibles
como cintas, discos pticos, etc. deber ser eliminada utilizando
herramientas que permitan asegurar que la misma no pueda luego ser
restaurada utilizando software destinado a este fin.

Deben estar claramente identificados los dispositivos que requieran que se
ejecute el proceso de eliminacin segura mencionado en el anterior punto

Es necesario mantener un registro de la eliminacin de los medios que
contengan informacin confidencial a fin de tener registros para futuras
auditorias o intervenciones.

Se recomienda seguir las siguientes normas de seguridad con relacin a
los dispositivos removibles:

o nicamente se permite el uso de dispositivos removibles a los
usuarios que lo requieran para el cumplimiento de sus funciones.

o Debe mantenerse identificado el tipo de informacin que se
almacenar en los dispositivos

o El responsable del medio velar por el buen uso de la informacin
en el medio almacenada.

114
o El responsable del medio velar por la seguridad de la informacin
durante el traslado del medio.

o En caso de prdida del medio el responsable est obligado a
reportar el incidente al oficial de seguridad informtica.

o En caso de ser necesaria la eliminacin de la informacin
contenida en el medio se lo realizara a travs de mecanismos
seguros.

o Los medios removibles deben ser utilizados como medio de
transporte de informacin y bajo ninguna circunstancia como
almacenamiento primario.

A.10.7.3 Procedimientos de manejo de la informacin
Deben definirse procedimientos para el manejo de la informacin de acuerdo a lo
definido en la seccin de Clasificacin y control de activos.

Estos procedimientos debern incluir:

Proteccin a documentos fsicos o digitales, sistemas de informacin redes de
comunicacin de datos, comunicaciones mviles, correo electrnico y dems
servicios o sistemas en los que informacin se encuentre envuelta.

El acceso a estos activos ser permitido nicamente a personal autorizado y
designado por el coordinador de sistemas
Mantener una bitcora que incluyan los accesos realizados a esta informacin

Conservar los sistemas y medios de almacenamientos en un ambiente
apropiado de acuerdo a las especificaciones del fabricante.

Se almacenara en los servidores nicamente informacin propietaria de la
sede Guayaquil de la Universidad Politcnica Salesiana.
115
Toda informacin de carcter sensible deber almacenarse en servidores
repositorios de informacin manteniendo la seguridad de acceso pertinente.

En los computadores personales se mantendr almacenada nicamente
informacin de apoyo, no clasificada como critica para la institucin.

A.10.7.4 Seguridad en la documentacin de los sistemas de informacin
Todos los sistemas de informacin deben contar con documentacin operativa y
guas de administracin, al ser esta informacin sensible se deben seguir las
siguientes pautas sobre su custodia:

La documentacin del sistema debe almacenarse de manera segura con sus
respectivos ndices y seguridades de acceso a la documentacin almacenada
en cada una de ellas.

La cantidad de usuarios autorizados a acceder a la misma se mantendr al
mnimo.

Los documentos del sistema de acceso pblico deben ser almacenados con la
debida seguridad de acceso, a travs de credenciales, usuario y contrasea,
certificados digitales, tokens, etc.

Existe documentacin sobre los sistemas de informacin residentes en la sede de
Cuenca, informacin como diccionario de datos y estructuras de almacenamiento, de
forma impresa y almacenada digitalmente con los debidos controles de acceso. A
esta informacin tienen acceso:

Jefe de desarrollo de software
Director de Sistemas
Personal designado por los anteriormente mencionados

116
A.10.9 Servicios de Comercio Electrnico

A.10.9.2 Transacciones en lnea
La Universidad Politcnica Salesiana sede Guayaquil, a travs de su portal Web
permite a los estudiantes realizar consultas financieras y acadmicas a sus clientes,
en este caso los estudiantes, as como tambin realizar pagos va Internet con las
diferentes tarjetas de crdito con las que ha realizado convenios.

La institucin debe garantizar que durante las transacciones en lnea no exista
transmisin incompleta, divulgacin de informacin privada, plagio de identidad, o
acceso no autorizado a los datos transmitidos a travs de Internet.

Es por eso se recomienda tomar las siguientes medidas preventivas:

Utilizar firmas electrnicas en ambas partes que participan en la transaccin

Durante la realizacin de la transaccin deben existir certeza de que :
o Las credenciales de usuario son validas y han sido verificadas
o La transaccin se ha realizado de forma confidencial
o Existe privacidad en ambas partes involucradas

Al utilizarse un canal de comunicaciones pblico, la informacin debe ir
encriptada.

Se utilizaran protocolos de comunicacin seguros (SSL)

Los medios de almacenamiento donde se guarden las transacciones realizadas
en lnea deben contar con protecciones robustas a fin de evitar accesos no
autorizados.

Cumplir con las leyes y regulaciones vigentes y establecidas por el estado
ecuatoriano.

117
A.10.9.3 Informacin disponible pblicamente.
La informacin que puede ser vista desde Internet a travs del portal Web de la
Universidad debe contar con la suficiente seguridad de acceso que permita asegurar
la no modificacin de la misma.

Se realizar pruebas de penetracin aplicadas sobre los servidores que publican
informacin a travs de Internet a fin de descubrir vulnerabilidades que permitan
afectar la confiabilidad e integridad de la informacin en ellos almacenados.

Adicionalmente deber observarse las regulaciones legales establecidas por el estado
referente a comercio electrnico y manejo de informacin.

A.10.10 Monitoreo
Se deber detectar cada una de las actividades que involucren el procesamiento de la
informacin que no ha sido autorizada por el Coordinador de Sistemas, tambin se
debern utilizar bitcoras de operador y registrar cada una de las fallas para poder
asegurar que se identifiquen cada uno de los problemas en las distintas dependencias

Las tareas de monitoreo realizadas debern cumplir con cada uno de los lineamientos
establecidos en este documento:

Gestin de Monitorio Sede Cuenca

En vista que los gestores de base de datos como las aplicaciones de gestin
acadmicas residen en la sede de Cuenca, el personal de sistemas de la sede matriz se
encargara de monitorear cada uno de los eventos , alertas, y estado de los mismos
asegurndose de documentar de los eventos ocurridos.

Gestin de Monitorio Sede Guayaquil
Como parte de las tareas del personal de sistemas de la sede Guayaquil se encuentra
el monitoreo de la disponibilidad y estado de los servicios informticos, servidores y
equipos utilizados tanto por el personal docente como por los estudiantes.

118
Se deber mantener un constante monitoreo de los servicios ms crticos de la sede,
mencionados a continuacin:

Enlace a Internet
Enlaces hacia Cuenca
Proxy Server
Carga de los servidores
Estado y utilizacin de los enlaces inalmbricos

A10.10.1 Registro de Auditoria
Se debern generar el registro de la auditoria que deber contener cada una de las
excepciones y los eventos que hayan sido relativos con la seguridad informtica

Todas las acciones generadas en el proceso de auditora se debern mantener en un
periodo acordado, el cual permitir facilitar los procesos de investigacin y el
monitoreo de los controles de acceso concedido en cada uno de los procesos.
Los registros de auditora debern seguir los siguientes lineamientos de seguridad

Utilizar las ID o nombre de usuario.

Fecha, hora que identifique las fecha de ingreso y salida.

Presentar la identidad y direccin IP de donde inici sesin el usuario.

Mantener un registro de intentos fallidos que sern registrado en el
sistema

Mantener un registro de los accesos no permitidos por un mencionado
usuario.

Registrar los cambios en la configuracin de los perfiles del usuario en el
sistema.
119
Mantener un registro del uso de las utilidades y aplicaciones que son
empleadas por el usuario del sistema.

Mantener una bitcora del acceso al que tuvo el usuario.

Mantener controles que monitoreen los de accesos ya sea por emisin de
sonidos o alarmas.

Mantener un control de activacin y desactivacin de los sistemas de
proteccin, como de aquellos sistemas de anti-virus y de deteccin de
intrusos.

Se debern implementar las medidas de control de la proteccin a la privacidad
apropiadas sobre la informacin privada o confidencial sobre el usuario que
mediante el monitoreo se podra obtener.

El Encargado del departamento de Sistemas no deber tener permisos para borrar o
desactivar los controles de auditora, y de igual forma se realizaran auditorias sobre
las actividades realizadas por l.
A.10.10.2 Uso del Sistema de Monitoreo
Se debern contemplar los procedimientos para el monitoreo de cada uno de los
medios de procesamiento de la infamacin y estos medios sern revisados de manera
peridica en cada una de las actividades realizadas y almacenadas

La determinacin del nivel de monitoreo de las actividades de los medios de
procesamiento de la informacin estarn de acuerdo a su evaluacin realizada en
cuanto a su criticidad y al riesgo al que estn expuestos.

Cada uno de los sectores deber considerar las siguientes implicaciones:
Incluir ID del usuario.

Fecha y hora de ingreso y salida.

120
Tipo de accin realzada.

Identificacin de los documentos y los sitios donde tuvo acceso.

Identificacin de los programas y/o utilidades que fueron ejecutados.

Anexo de la operaciones catalogadas como privilegiadas.

Uso y fecha de ingreso con las cuentas privilegiadas.

Dispositivos de entrada y salida que fueron utilizados para adjuntar o
eliminar la informacin.

Intentos de acceso no autorizados
- Registros de accesos fallidos por el usuario.
- Registro de acciones fallidas que involucren datos o informacin
dentro de los sistemas.
- Violaciones a polticas de seguridad establecidas en los
dispositivos de seguridad como firewalls.

Alertas o fallas del sistema:
- Implementar alertas en caso de fallas o degradacin del servicio.
- Control sobre acciones realizadas por red , y alertas de saturacin
de los canales de comunicacin
- Alertas en tiempo real en cuanto se realcen cambios en alguna
configuracin

Monitorear cambios o intentos de cambios

121
A.10.10.3 Proteccin del registro de Informacin
Este control est orientado a proteger de cambios no autorizados y operaciones no
autorizadas en los medios de registro. Para la implementacin de este control se
deber considerar:

Considerar las alteraciones que se hayan registrado en cada segn los
mensajes.

Salvaguardar aquellos archivos de registro que va ha ser editados o
eliminados.

Debe asegurarse que los registros sean almacenados con seguridad
evitando almacenar los mismos en medios de almacenamiento
defectuosos.

A.10.10.4 Registro del Administrador y Operador
Se debern registrar cada una de las actividades realizadas por el encargado del
departamento de Sistemas y los operadores a los que se les ha delegado tareas
relacionadas con la administracin de sistemas. Se registrara lo siguiente

Hora en el que ocurre el evento
Tipo de evento o accin realizada
Identificacin del usuario involucrado
Tareas o procesos secundarios envueltos incluso los ejecutados a bajo
nivel

A.10.10.5 Registro de Fallas
Debe mantenerse un registro detallado de cada una de las fallas significativas que los
sistemas, servicios informticos o bases de datos presenten durante su normal
operacin, se deberan observar los siguientes lineamientos:

122
Realizar una revisin de cada uno de los registros, de manera que se
permitan saber si ya han sido resueltas de manera parcial o total.

Revisin de las medidas correctivas ejecutadas que permita establecer
las acciones a tomar en caso de que el problema se presente en lo
posterior.

A.10.10.6 Sincronizacin de relojes
Los relojes de cada uno de los sistemas de procesamiento de la informacin, debern
mantenerse sincronizados con una fuente que proporcione una hora exacta.

En caso de establecer un servidor contra el cual se sincronizaran los dems, este
deber apegarse el estndar previamente establecido por la organizacin, en este caso
se ha definido la zona horaria para la regin continental de Ecuador (GMT-5)

La sincronizacin de relojes, fechas y zona horaria ser de vital importancia para
asegurar la exactitud al momento de definir el momento en que algn evento se
suscita a travs de las labores de monitoreo definidas en esta poltica.

A.11 Control de Accesos

Las acciones que permiten una gestin y control sobre los accesos al los activos de
informacin o sistemas son la base de todo sistema de gestin de seguridad
informtica.

Es por esto que es de vital importancia la implementacin de controles y
procedimientos que permitan garantizar que el control y asignacin de privilegios
sobre el acceso a sistemas, repositorios de informacin, y bases de datos.

Estos controles deben mantenerse documentados y actualizados, pero sobre todo
debe existir un riguroso control por parte del encargado de la seguridad en cuanto al
123
cumplimiento de estos controles durante la operacin diaria de los sistemas y activos
de informacin.

En este aspecto es importante el compromiso adquirido por los usuarios a fin
de
llevar a cabo los lineamientos sugeridos, razn por la cual la divulgacin de esta
poltica debe ser masiva.

Evitar todo acceso no autorizado tanto a los activos de informacin, bases de
datos, y sistemas de informacin.

Establecer mecanismos de seguridad de accesos a travs de robustas tcnicas de
autenticacin.

Controlar el acceso desde o hacia redes pblicas o de entidades externas.

Mantener un registro de eventos de actividades de los usuarios y realizar
auditoras sobre los mismos.
Concienciar a los usuarios sobre la importancia de la seguridad de acceso e
impulsarlos a cumplir rigurosamente los controles y polticas aqu descritas.

Garantizar la seguridad y acceso a la informacin al utilizar equipos porttiles,
conexiones remotas, o computacin mvil.

Esta poltica es aplicable a todas las acciones relacionadas con acceso a recursos de
informacin, a todos los usuarios sobre los cuales recaen privilegios de acceso a
sistemas o bases de datos, as como a personal tcnico del rea de sistemas y de
seguridad informtica

124
La elaboracin de las polticas de control de acceso y controles sern responsabilidad
del Oficial de seguridad informtica, de igual manera ser la persona encargada de
autorizar los permisos que los usuarios a travs de la jefatura de su respectivo
departamento soliciten.
Es tambin responsable de auditar los accesos de los usuarios a los diferentes
recursos de informacin a travs de la revisin de logs de actividades, y de acceso.

Los jefes departamentales son los responsables de avalar las solicitudes de acceso de
sus respectivos subalternos, y aprobarlas por escrito.

Es por su parte responsabilidad de los usuarios de la informacin, sistemas y
servicios informticos observar rigurosamente esta poltica y darle cumplimiento.

5.- Poltica Control De Accesos

A.11.1 Requerimiento comercial para el control del acceso

A.11.1.1 Poltica de control de acceso
La poltica de control de acceso y derechos que los usuarios individualmente o
grupalmente deben ser claramente establecidos. Estos controles deben ser tanto de
acceso fsico como lgico.

Dentro de los lineamientos de implementacin debe tomarse en consideracin lo
siguiente:

Establecer los requerimientos de seguridad para las aplicaciones o
sistemas crticos de la institucin.

Identificar que informacin est ligada a los sistemas de informacin y
debe ser protegida.

125
Debe existir consistencia entre los niveles de accesos establecidos y el
nivel de criticidad con el que fue catalogada la informacin.

Asegurar el cumplimiento de las regulaciones y legislacin vigente.

Definir niveles de acceso de usuario estndar para personal que se ajuste a
labores bsicas dentro de la institucin.

Gestionar la seguridad de acceso tanto para ambientes simples como
distribuidos tomando en cuentas las comunicaciones que para esto se
requiera.

Establecimiento de un procedimiento que permita autorizar los accesos
necesarios por los usuarios de la informacin o sistemas.
Si se delegan las tareas operativas de concesin de derechos de acceso
estas deben ser documentadas y controladas por el Oficial de seguridad de
la Informacin.

Cronograma de revisin y auditoria de privilegios concedidos.

Controles que permitan revocacin de privilegios de acceso.

Los permisos de acceso a los sistemas de informacin son concedidos por
el administrador de base de datos luego de existir solicitud y aprobacin
por escrito del permiso solicitado.

A continuacin se muestra un formato referencial que podra servir como
constancia de la solicitud y concesin de privilegios de acceso.

126
FORMULARIO DE SOLICITUD DE ACCESO A SISTEMAS DE
INFORMACIN

SOLICITUD DE ACCESO A SISTEMAS DE INFORMACIN
1. Datos Generales
Sede:
Departamento
2. Datos del usuario
Nombre y Apellido del Solicitante:
Cargo: TEL 1:
Correo electrnico:

3.Perfil del Usuario que se est creado ( Marque la opcin)
Sistema de informacin:
Creacin Modificacin
Perfil 1 Eliminacin:
Prefil2 Cambio Perfil: Elaboracin

Revisin
Aprobacin
5. Firmantes
Solicitado por: Autorizado por:
Firma: Firma:
Cargo: Cargo:
6. Aprobacin ( Para uso interno Coordinacin )
Aprobado por: Observaciones
Firma:
Cargo:
Fecha: / /
7. Condiciones
127

Condiciones:
a) El usuario y contrasea otorgado es de uso personal
b) El usuario y contrasea por ningn motivo debe ser transferido a otro funcionario.
c) La suspensin temporaria o definitiva del funcionario deber ser comunicada de
inmediato al administrador de usuarios del sistema siguiendo los mecanismos
definidos
d) Los cambios de perfiles del funcionarios, debern ser comunicados al administrador de
usuarios del sistema siguiendo los mecanismos definidos
e) Todas las operaciones realizadas en los sistemas, son responsabilidad del funcionario
propietario del usuario.
f) Debe de salir del sistema cada vez que no est en uso.
g) Los inconvenientes asociados a las habilitaciones y modificaciones debern ser
comunicados al administrador de usuarios del sistema
Figura 3.4
Fuente: Los Autores
A.11.2 Gestin del acceso del usuario

A.11.2.1 Inscripcin del usuario
Debe desarrollarse un procedimiento que permita registrar de manera nica a los
usuarios que requerirn acceso a la informacin.

Se deben tomar en cuenta los siguientes lineamientos en el registro de usuarios:

Utilizar nombres de usuarios nicos que permitan el no repudio de las
acciones realizadas con el mismo.

Realizar chequeos que permitan establecer que el usuario tenga la
autorizacin asignada por el administrador del sistema, servidor, o base de
datos.

128
Chequear que el nivel de acceso otorgado sea el estrictamente necesario para
que el usuario pueda realizar nicamente las tareas relacionadas con su
trabajo.

Al momento de registrar un usuario el funcionario deber firmar el
formulario que indique su usuario, mecanismo de autenticacin, sistema al
que se le ha concedido acceso y privilegios asignados.

Bajo ninguna circunstancia el personal de sistemas otorgar privilegios de
acceso sin haber completado el proceso normal de aprobacin.

Asegurarse que no se asignen nombres de usuarios repetidos para los
sistemas o servicios.

Se establecer en el contrato de servicios del funcionario una clusula que
indique la sancin por incumplimiento a la poltica de seguridad y control de
accesos.
A.11.2.2 Gestin de privilegios
Los privilegios de acceso se mantendrn al mnimo necesario para el cumplimiento
de las funciones individuales de cada funcionario, estos privilegios sern regulados a
travs de los siguientes lineamientos de seguridad:

Deben establecerse por escrito y de forma detallada los privilegios de acceso
que el usuario tendr para cada uno de los sistemas de informacin, base de
datos, y servicios informticos a utilizarse en la institucin, de ninguna
manera se asignaran privilegios generales para todos los servicios.

Los privilegios se asignaran en funcin de la premisa solo lo que el usuario
necesita saber, no se asignaran funciones ni accesos a ningn mdulo o
servicio que no sean los que estrictamente se necesitan para el cumplimiento
de su funcin.
En lo posible se utilizaran herramientas de software automatizadas para la
asignacin de privilegios, permisos y accesos a mens.
129
Los privilegios se asignaran a usuarios especficos y nunca a usuarios
generales designados a utilizarse para tareas bsicas de operacin del sistema
con datos o informacin pblica.

Deber prestarse especial atencin al uso que el personal de tecnologa da al
usuario administrador del(los) sistema(s), pues el uso indebido supondra una
vulnerabilidad significativa a la seguridad.

A.11.2.3 Gestin de claves secretas de los usuarios
La asignacin de contraseas de acceso a los sistemas e informacin deber ser
gestionada por un proceso de autorizacin previo a la asignacin de los mismos, este
procedimiento deber incluir lo siguiente:

Debe firmarse el formulario que incluye el enunciado de confidencialidad de
las credenciales de autenticacin de usuario
Se deber asignar inicialmente una clave temporal a los usuarios y establecer
los mecanismos que permitan que el usuario cambie su contrasea a fin de
que ni el usuario del departamento de sistemas la conozca.

Establecer un procedimiento que permita corroborar la identidad del
funcionario previo a entregarle su nombre de usuario y contraseas para los
sistemas o servicios.

Las claves temporales de igual forma deben entregarse a los usuarios de
manera segura en sobre sellado y existiendo una constancia escrita y firmada
de la recepcin de la misma

Las contraseas de los sistemas o servidores nunca debern ser almacenadas
en los equipos de computo a menos que estas sean almacenadas utilizando en
algoritmos robustos de encriptacin

130
Bajo ninguna circunstancia se mantendrn las contraseas establecidas desde
fabrica para los equipos nuevos que la institucin adquiera, antes de ser
puestos en produccin se les asignaran contraseas con la longitud adecuada.

131
FORMULARIO DE ENTREGA Y RESPONSABILIDAD DE
CONTRASEAS

SOLICITUD DE ACCESO
1. Datos Generales
Sede:
Departamento
2. Datos del usuario
Cargo: TEL 1:
Correo electrnico:

3. Perfil del Usuario que se est creado ( Marque la opcin)
Sistema de informacin:
Usuario / Contrasea
Usuario
Contrasea
4. Aceptacin de obligaciones del usuario
h) El usuario y contrasea otorgado es de uso personal
i) El usuario y contrasea por ningn motivo debe ser transferido a otro funcionario.
j) La suspensin temporaria o definitiva del funcionario deber ser comunicada de inmediato al
administrador de usuarios del sistema siguiendo los mecanismos definidos
k) Los cambios de perfiles del funcionarios, debern ser comunicados al administrador de
usuarios del sistema siguiendo los mecanismos definidos
l) Todas las operaciones realizadas en los sistemas, son responsabilidad del funcionario
propietario del usuario.
m) Debe de salir del sistema cada vez que no est en uso.
Los inconvenientes asociados a las habilitaciones y modificaciones debern ser comunicados al
administrador de usuarios del sistema

5. Firmantes
Recibido por: Entregado por:
Firma: Firma:
Cargo: Cargo:
Figura 3.5
Fuente: Los Autores
132
Con relacin a las contraseas utilizadas por el personal encargado de
administrar los servidores, deber entregarse un listado de los usuarios y
contraseas para cada servidor o sistema luego de contar con la respectiva
autorizacin. Puede utilizarse un formato similar al presentado a
continuacin:

CONTRASEAS DE ACCESO SERVIDORES

SOLICITUD DE ACCESO A SISTEMAS DE INFORMACIN
1. Datos Generales
Sede:
Departamento o Coordinacin
2. Datos del administrador
Cargo: TEL 1:
Correo electrnico:

Figura 3.6
Fuente: Los Autores

3. Perfil del Usuario que se esta creado ( Marque la opcin)
DIRECCION IP HOSTNAME USUARIO CONTRASEA
10.0.0.1 SERVER1 Root **********
10.0.0.2 SERVER2 Root **********
10.0.0.3 SERVER3 Root **********
10.0.0.4 SERVER4 Root **********
10.0.0.5 SERVER5 Root **********
4. Aceptacin de obligaciones del usuario

5. Firmantes
Recibido por: Entregado por:
Firma: Firma:
Cargo: Cargo:
133
A.11.2.4 Revisin de los derechos de acceso de los usuarios
El oficial de seguridad informtica realizar una revisin peridica de los derechos
de acceso establecidos para los usuarios. Este proceso de revisin debe observar los
siguientes lineamientos:

Los derechos de acceso a los usuarios debern ser revisados al menos cada 6
meses de forma ordinaria , y de forma extraordinaria en caso de existir una
promocin o ascenso de un funcionario , o en caso de el funcionario cese en
sus funciones dentro de la institucin.

Los derechos de acceso debern ser revisados y ajustados cuando se traslada
o transfiere a un funcionario a otra rea o departamento dentro de la
organizacin.

Los accesos privilegiados, usuarios administradores, o usuarios con acceso a
informacin altamente crtica debern ser revisados cada 3 meses.

Los accesos privilegiados deben ser registrados a fin de dar especial atencin
a estos.

Los usuarios asignados al personal de tecnologa o sistemas debern ser
especialmente auditados al contar con derechos totales de acceso.

11.3 Responsabilidades del usuario

11.3.1 Uso de las claves secretas
Este control est orientado a buen uso de las prcticas de seguridad informtica y el
uso de las contraseas para el acceso a la informacin.

Siendo las contraseas un medio de validacin e identificacin del usuario, como un
medio para la clasificacin de los medios de acceso a los servicios otorgados; el
mencionado usuario deber apegarse al siguiente alineamiento de la poltica de
control.
134
Mantener la no divulgacin de las contraseas

Llevar un cambio peridico de las contraseas o en el caso que exista algn
indicio que acceso de acceso no permitido este deber modificar su clave de
acceso

La seleccin de una contrasea adecuada, deber ir de acuerdo a las
prescripciones informadas por el responsable de la seguridad informtica.
Para esto el usuario deber llevar a cabo los siguiente lineamientos:

o Que sean fcil de recordar por el usuario.
o Que no mantenga una relacin directa con el usuario y que esta no se
pueda obtener de manera sencilla, como tampoco utilizar informacin
como nombres, telfonos, fechas de nacimiento, etc.
o Estas no debern contener una secuencia consecutiva de caracteres o
un alineamiento totalmente numrico.

Realizar un cambio de las contraseas cada vez que el sistema lo amerite y
tratando en lo menos posible de reutilizar antiguas claves empleadas.

Realizar en cambio de las contraseas provisionales desde el primer inicio de
sesin en el sistema.

Evitar la inclusin de las contraseas en los procesos de automatizacin.

Cualquier anomala relacionada con el hurto, robo o prdida de la contrasea;
como aquellos indicios en la prdida de la confiabilidad de los sistemas
debern ser notificado de acuerdo a lo establecido en la poltica de
Comunicacin de incidentes relativos.

No compartir las claves individuales con los dems usuarios.

135
Evitar el uso de las claves personales con fines comerciales y no comerciales.

11.3.2 Equipo del usuario desatendido
Este control est orientado para aquellos equipos que se encuentran desatendidos y
no mantengan la proteccin apropiada.

Cada uno de los usuarios deber mantenerse al tanto de los requerimientos de
seguridad y los procedimientos adecuados para el equipo desatendido

Cerrar cada una de las sesiones al terminar de procesar la informacin, en el
caso de contener un procedimiento de cierre automtico de la sesin o
protectores de pantallas activados con clave secreta de acceso al equipo.

Finalizar las sesiones del sistema en los equipos servidores, y computadores
de escritorio al terminar la sesin.

Asegurar el encendido de las computadoras de escritorio o terminales de
acceso contra el uso no autorizado mediante un seguro de clave o control
equivalente.

11.3.3 Poltica de escritorios y pantalla limpios
La informacin critica o confidencial de la universidad, ya sea escrita o
almacenada en dispositivos electrnicos, deben ser guardados bajo llave, en
caso de la informacin ms crtica se debera almacenar en cajas fuertes o
archivadores, teniendo especial cuidado cuando la oficina se encuentra
desatendida.

Los computadores deben apagarse o bloquearse al momento de abandonar las
oficinas.

El uso de fotocopiadoras, faxes, escner, cmaras digitales, memorias usb, y
dems debern ser controlados y permitidos nicamente en caso de ser
necesario.
136
Los documentos confidenciales debern ser retirados inmediatamente de la
impresora.

11.4 Control de acceso a la red

A.11.4.1Politica sobre el uso de los servicios de red
El acceso a la red a travs de servicios no asegurados podran afectar el optimo
redimiendo de la infraestructura tecnolgica de todo el Organismo de la Universidad
Politcnica Salesiana.

Para esto es necesario garantizar que cada uno de los usuarios que mantengan acceso
a la red y sus servicios brindados; no lleguen a comprometer la seguridad de los
mismos.

El jefe de operaciones como responsable del rea Informtica mantendr a su cargo
el otorgamiento del acceso a los servicios y los recursos brindados por la
infraestructura tecnolgica de la institucin, estos solo debern ser brindados
nicamente con el pedido formal del titular departamental quien ser el que solicite
los permisos para el personal a su cargo.

La importancia de este control es por las conexiones de acceso a la red y las
aplicaciones que estarn procesando la informacin ya sern catalogadas como
clasificadas o criticas, como para aquellos usuarios que utilicen el acceso desde
aquellos sitios definidos como de alto riesgo para la institucin como tambin
aquellas reas pblicas que estn fuera del control de seguridad de la institucin.

Los procedimientos aplicados en este control estn orientados a la activacin y
desactivacin de los derechos de acceso a las redes de la universidad el cual
contemplaran los siguientes tems:

137
a) Identificacin de cada una de las redes de la universidad; sus servicios
brindados y cuales sern de fcil acceso. La universidad utiliza una red clase
B en su entorno de networking la direccin de red es 172.18.0.0/16.

b) Aplicacin de normas de procedimientos de autorizacin para determinar los
usuarios, redes y servicios al cual se le podrn otorgar.

Establecer polticas de control y procedimientos de gestin para precautelar el acceso
a las conexiones y servicios brindados por la red.

A.11.4.2 Autentificacin del usuario para las conexiones externas
Las conexiones externas son clasificadas como una de las principales
vulnerabilidades por los accesos no autorizados a la informacin de la Institucin.
Por estos motivos el acceso de aquellos usuarios remotos estar sujeto al
cumplimiento de cada uno de los procedimientos de autenticacin.

El responsable de la Seguridad Informtica ser el que tome la decisin sobre cual
tipo de autenticacin disponible implementar.

La autenticacin de cada uno de los usuarios remotos que ingresan al sistema deber
mantenerse bajos los siguientes principios:

Facilitarle un mtodo de autenticacin fsico.

Asignacin de herramientas de autenticacin.

Contemplar registro de los posee de autentificadores.

Mantener un registro de rescate en el momento que exista la desvinculacin
del personal en la institucin.

Implementacin de mtodos de revocacin de acceso del autentificador, en el
caso que se vea comprometido la seguridad informtica.
138
Utilizacin de lneas dedicadas privadas o herramientas de verificacin de la
direccin del usuario de red. con la finalidad de poder constatar el origen de
la conexin.

A.11.4.3 Identificacin del equipo en las redes
Las herramientas de conexin automtica o de escritorio remoto para un determinado
equipo puede ser un medio fcil para obtener un acceso no autorizado a cualquiera de
las aplicaciones que posee la Institucin.

Para esta particular es muy importante que la institucin mantenga mtodos de
autentificacin robustos el cual evitara una infiltracin de las personas no autorizadas
a las aplicaciones de la institucin.

A.11.4.4 Proteccin del puerto de diagnostico y configuracin remoto
Muchos de los servidores u equipos de comunicacin mantienen instalados puerto de
administracin (ILO) y diagnostico remoto.

En este caso se deben contemplar mecanismos de seguridad apropiados, que irn
relacionados con el acceso y seguridad fsica.

A.11.4.5 Segregacin en redes
En caso de que la red de datos sea extensa, se los deber dividir los dominios lgicos
y mantener los segmentos separados.

Para estos casos deber existir la documentacin necesaria de los permetros de
seguridad que sean ms convenientes para dicha implementacin.

Debe contemplarse adems la instalacin de gateways con funcionalidades de
firewall o redes privadas virtuales que permitan segmentar las redes segregadas y el
trafico que recorre en cada un de ellas, como tambin la aplicacin de las polticas de
control de acceso.

139
Las redes pueden ser segregadas mediante IP switching y enrutamiento controlando
el trafico entre los diferentes segmentos de red, adicional a las configuraciones que
permitan enrutamiento entre segmentos de red deberan existir mecanismos de
control de acceso entre redes.

Para la subdivisin de los dominios de la red se tomara en cuenta los siguientes
criterios:

Establecer los requerimientos de la seguridad del dominio y para cada
segmento de red independientemente.

Definir que grupos integraran los segmentos de red.

Segmentar aquellos grupos que estn expuestos a peligros externos (DMZ).

La universidad actualmente mantiene segregadas las redes a travs del uso de
VLANs, la distribucin se menciona a continuacin:

o VLAN Laboratorios: Estas VLANs estn destinadas a separar las
redes de los diferentes laboratorios de las redes de uso de la
institucin.
o VLAN para departamento administrativo
o VLAN para departamento financiero
o VLAN de uso general.

A.11.4.6 Control de conexin a la red
Al existir diferentes segmentos de red segregados por subredes y controlados
mediante dispositivos de seguridad de red, ser necesario establecer controles que
permitan el acceso especficamente a los servicios que sean necesarios protegiendo:

140
a) Servicios tales como correo electrnico
b) Transferencia de archivos
c) Acceso interactivo
d) Acceso a la red fuera de los horarios laborales
e) Sistemas de informacin o servicios de red
f) Otros controles aplicables

A.11.4.7 Control de enrutamiento de la red
En el caso de las redes compartidas, principalmente aquellas que se han extendido
fuera de los lmites de la organizacin, se deber incorporar controles de ruteo para
asegurar que las conexiones y flujos de informacin no violen la poltica de control
de acceso.

Este control deber contemplar la verificacin de los direcciones IP de origen como
de destino, control sobre los protocolos de enrutamiento dinmico, esttico,
traduccin de direcciones (NAT) y controles de listas de acceso (ACL).

En vista que la Universidad utiliza un Proxy de conexin y un gateway que realiza
NAT, estos deben proveer controles de accesos asociados a la direccin fuente y
destino.

A.11.5 Control de acceso al sistema operativo

A.11.5.1 Procedimientos para un registro seguro
El acceso a los servicios e informacin, solo ser posible a travs de una conexin
segura. El procedimiento de conexin seguro para los sistemas informticos deber
ser diseado con la finalidad de minimizar cualquier oportunidad de acceso no
autorizado.

La constitucin de este procedimiento procurar evitar la divulgacin de la
informacin del sistema, a fin de no proveer de informacin a un usuario no
autorizado, debern evitarse banners que informen sistema operativo, versiones,
sistema o servicio instalado, etc.
141
El procedimiento de identificacin deber contemplar los siguientes parmetros:

a) Mantener la confidencialidad de los identificadores o aquellas aplicaciones
del sistema que solo debern ser mostrados cuando el proceso de conexin
segura se haya completado en su totalidad.

b) Alertar mediante mensajes en pantalla (Banners) que nicamente usuarios
autorizados podrn acceder a los servicios.

c) Evitar mostrar mensajes de ayuda que puedan proveer de informacin a un
atacante o usuario no autorizado del sistema

d) La validacin de la conexin solo se realizara al completarse en su
totalidad los datos de entrada. En el caso de generarse un error en el proceso
de conexin, este no deber mostrar el motivo u origen del error; como
tampoco el sistema deber indicar que parte de los datos han sido ingresados
de manera errnea.

e) Limitar el nmero de conexiones permitidas como y de intentos fallidos,
registrarlos, y bloquear cualquier usuario que haya alcanzado el mximo de
intentos no permitidos.

f) Limitar el tiempo mximo de conexin permitido, en el caso que este sea
excedido, el sistema deber finalizar la sesin y cancelar la conexin

g) Al realizar una conexin exitosa, el sistema deber visualizar al usuario su
ltima fecha de conexin exitosa incluyendo la hora, fecha y equipo de la
conexin

A.11.5.2 Identificacin y autenticacin del usuario
Todos aquellos usuarios que hagan uso del sistema incluido al personal de sistemas
(soporte tcnico, operadores, coordinador de sistemas, y dems.) debern contar con
un identificador nico (ID de usuario) que ser de uso personal y exclusivo, de esta
142
manera se podr rastrear los eventos realizados por el usuario. Los indicadores de los
usuarios no debern dar indicios de los niveles de privilegios que contiene.

En casos excepcionales, se podr utilizar los identificadores compartidos para un
grupo de usuarios o para una tarea especfica, en estos casos se debern establecer
los motivos, justificacin y contar con aprobacin de la Coordinacin de sistemas y
el Oficial de Seguridad Informtica.
Al implementarse un mecanismo de autentificacin fsico tales como identificadores
de hardware, deber contarse con un procedimiento que incluya la siguiente
informacin:

a) Asignar una herramienta de autentificacin.
b) Registrar los poseedores de autentificacin.
c) Desactivar el dispositivo de autenticacin o desvincular al personal
asociado.
d) Revocar el acceso del autentificador, en el caso que se encuentren indicios
de acciones que podran comprometer la integridad de la informacin.

A.11.5.3 Sistema de gestin de claves secretas
Siendo las contraseas uno de los principales medios de autenticacin de usuarios al
momento de acceder a un determinado servicio informtico estas debern constituir
una herramienta eficaz e interactiva que garantice un acceso seguro.

Las caractersticas fundamentales que deber tener un sistema de autenticacin por
contraseas son:

a) Obligar el uso de las contraseas individuales que garanticen responsabilidad
por parte de cada uno de los usuarios del sistema.

b) Permitir que el usuario administre y pueda cambiar su contrasea despus de
un determinado plazo de tiempo, como tambin incluir un procedimiento de
confirmacin para contemplar errores en los ingresos.

143
c) Imponer un patrn de seleccin de contraseas de calidad.

d) Implementar cambios de contraseas en casos de que el usuario ingrese su
propia contrasea.

e) Obligar a los usuarios nuevos a modificar las contraseas por defecto
utilizadas para ingresar a los sistemas o servicios informticos.

f) Ocultar las contraseas en el momento que estas son ingresadas

g) Almacenar de manera individual los archivos de contraseas y los sucesos
registrados por las aplicaciones del sistema.

h) Las contraseas debern ser almacenadas utilizando un algoritmo de cifrado
unidireccional.

A.11.5.4 Uso de las utilidades del sistema
Es necesario que existan controles y limitaciones sobre los utilitarios que son
utilizados dentro de la institucin, este control debe incluir:

a) Utilizacin de procedimiento de autenticacin para los utilitarios del sistema

b) Clasificacin entre los utilitarios del sistema y el software de aplicacin.

c) Limitar el uso de los utilitarios.

d) Evitar que terceras personas adquieran conocimiento sobre la existencia el uso
y funcionamiento de los utilitarios de la institucin.

e) Limitar la disponibilidad de los sistemas utilitarios nicamente a lo
estrictamente necesario para el cumplimiento de las funciones del personal.

f) Registrar cada uno de los eventos originados por los utilitarios de sistema.
144
g) Definir y documentar cada uno de los niveles de autorizacin para el uso de
los utilitarios.

h) Remover todo aquel software que pueda ser considerado como innecesario

A.11.5.5 Cierre de una sesin por inactivadada
Luego de pasar un periodo de tiempo definido por el Oficial de Seguridad
Informtica las sesiones establecidas debern finalizar automticamente, se cerrarn
las aplicaciones y se eliminar el contenido mostrado en la pantalla del sistema o
servicio

Debe establecerse este control con restricciones elevadas principalmente sobre
equipos altamente crticos, equipos de acceso pblico, o ubicados en reas fuera de la
gestin de seguridad de la institucin.

A.11.5.6 Limitacin del tiempo de conexin
El oficial de seguridad Informtica deber establecer las restricciones de conexin
con relacin a horarios, especialmente a aplicaciones crticas, esta reduccin
minimizar las posibilidades de accesos no autorizados, protegiendo proactivamente
la red de datos e informacin.

Estos controles debern ser ms estrictos en equipos de acceso pblico o en aquellos
ubicados en reas sin seguridad fsica implementada.

Los controles debern incluir:

a) Establecimiento de periodos cortos en caso de procesos o aplicaciones crticas
u copia de archivos por lotes.

b) A menos que exista un requerimiento por escrito y aprobado que indique lo
contrario, se deber limitar el acceso a los sistemas e informacin a horarios de
oficina nicamente.

145
c) Los equipos o usuarios sobre los cuales no se establece restriccin por
horarios, debern estar inventariados y debidamente documentados, las razones
por las cuales se realizo esta excepcin, incluso si esta es ocasional o temporal.

A.11.6 Control de acceso a la aplicacin y la informacin

A.11.6.1 Restriccin del acceso a la informacin
Existir restriccin sobre el acceso a los sistemas de informacin e informacin
almacenada en repositorios, tanto a los usuarios normales como a los pertenecientes
al departamento de sistemas, en funcin a la poltica de Control de Accesos
establecida en este mismo documento.

Para restringir el acceso a la informacin se establecern los siguientes controles:

a) Proveer una interfaz que permita controlar los accesos a los sistemas de
informacin y servicios.

b) Los usuarios debern poseer conocimiento limitado sobre los sistemas, su
estructura e informacin contenida en cada equipo.
c) Establecer permisos sobre la informacin, tanto de lectura, escritura y
ejecucin.

d) Garantizar que los sistemas brinden acceso nicamente a la informacin
requerida por el usuario y a la que este tenga acceso segn los permisos
establecidos.

e) Realizar una revisin peridica sobre los accesos y permisos sobre la
informacin, esta revisin no superara los seis meses.

f) Evitar el acceso a la informacin de forma directa, no debe permitirse acceso a
la informacin a no ser a travs del sistema de informacin debidamente
autenticado.

146
A.11.6.2 Aislar el sistema confidencial
El nivel de criticidad de los sistemas va relacionado con lo sensible y confidencial
que la informacin residente en los mismos posee, es por eso que es necesario
establecer que sistemas necesitan ejecutarse en un equipo independiente y cuales
podran compartir recursos al ejecutarse en un solo equipo. Para esto deben tomarse
en cuenta las siguientes consideraciones:

a) Identificar y documentar los sistemas de informacin, servicios, o repositorios
de informacin altamente crticos

b) Identificar y dar a conocer a los administradores de sistemas cuales son los
sistemas sensibles que debern ejecutarse sobre un servidor exclusivamente y
cuales podran compartir recursos al coexistir con otro sistema.

c) Coordinar con el Responsable del rea informtica, qu servicios estarn
disponibles en el entorno donde se ejecutar la aplicacin, de acuerdo a los
requerimientos de operacin y seguridad especificados por el administrador de la
aplicacin.
d) Considerar la seguridad en la administracin de las copias de respaldo de la
informacin que procesan las aplicaciones.

A.11.7 Computacin y tele-trabajo mvil

A.11.7.1 Computacin y comunicaciones mviles
Se categorizan como dispositivos mviles de trabajo y/o comunicacin:
Computadores porttiles,
PDA (Asistente Personal Digital)
Telfonos Celulares y sus tarjetas de memoria
Dispositivos de almacenamiento, CDs, DVD, Disquetes, etc.
Cualquier dispositivo de almacenamiento de conexin USB
Tarjetas de identificacin personal (control de acceso)
Dispositivos criptogrficos,
Cmaras digitales, etc.
147
En esta categora se deber incluir todo dispositivo que almacene informacin
confidencial de la Universidad y que sean propensos a eventos que comprometan la
seguridad de la misma.

Con relacin a los dispositivos anteriormente detallados debe asegurarse:

a) Proteccin fsica del dispositivo

b) Acceso seguro al dispositivo

c) La utilizacin de los dispositivos en lugares pblicos.

d) Establecer y mantener al mnimo necesario el acceso a informacin y
servicios del Organismo a travs de dichos dispositivos.

e) Deben utilizarse tcnicas criptogrficas al momento de transmitir o almacenar
informacin clasificada en estos dispositivos.
f) Deben existir mecanismos de resguardo de la informacin contenida en los
dispositivos.

g) Los dispositivos deben poseer proteccin contra software malicioso.

A la par con las ventajas que el uso de dispositivos mviles permite, se incrementa la
posibilidad de ocurrencia de eventos que pongan en riesgo la informacin tales como
perdida, robo, hurto, etc., es por esto que se restringir al mnimo necesario el uso de
estos dispositivos, y debe capacitarse al personal a fin de que sean usado con
precaucin, deben seguirse las siguientes recomendaciones:

a) Permanecer siempre cerca del dispositivo.

b) No dejar desatendidos los equipos.

c) No llamar la atencin al portar un dispositivo o equipo porttil.
148
d) No utilizar identificaciones o logos de la Universidad en el dispositivo, a
menos que sea estrictamente necesario.

e) No poner datos de contacto tcnico en el dispositivo.

f) Mantener cifrada la informacin clasificada.

g) Se reportar rpidamente cualquier incidente sufrido a fin de tomar medidas
de remediacin de inmediato.

h) En caso de prdida se revocaran las credenciales afectadas de inmediato

i) Notificacin a grupos de Trabajo donde potencialmente se pudieran haber
comprometido recursos.

A.11.7.2 Tele-trabajo
El trabajo remoto utiliza tecnologa de comunicaciones para permitir que el personal
trabaje en forma remota desde un lugar externo a la sede Guayaquil.

El trabajo remoto slo ser autorizado por el Responsable de la Unidad Organizativa
o departamento, o de niveles superiores en el nivel jerrquico correspondiente
conjuntamente con el Oficial de Seguridad Informtica, cuando se verifique que son
adoptadas todas las medidas que correspondan en materia de seguridad de la
informacin, a fin de cumplir las normas de prevencin de incidentes

En caso de que un funcionario de la Universidad necesite acceso remoto a
aplicaciones o informacin debe realizarse la peticin avalada por la jefatura
departamental respectiva exponindose los motivos que justifiquen la peticin

Los controles a aplicarse en el trabajo remoto comprenden:

a) Proveer de mobiliario para almacenamiento y equipamiento adecuado para
las actividades de trabajo remoto.
149
b) Definir qu tipo de tareas estn permitidas realizarse de manera remota,
restringir el acceso por horarios, la clasificacin de la informacin que se
puede almacenar en el equipo remoto desde el cual se accede a la red de la
Universidad y sus sistemas y servicios internos a los cuales se ha dado acceso
al funcionario.

c) Proveer de mecanismos de comunicacin seguros, encriptacin, tneles vpn,
y dems.

d) Incluir lineamientos de seguridad fsica.

e) Definir reglas y orientacin respecto del acceso de terceros al equipamiento
de tele-trabajo.
f) Proveer soporte al hardware y mantenimiento al software.

g) Definir los procedimientos de backup y de continuidad de las operaciones.

h) Efectuar auditoria y monitoreo de la seguridad.

i) Realizar la anulacin de las autorizaciones, derechos de acceso y devolucin
del equipo cuando finalicen las actividades remotas.

j) Asegurar el reintegro del equipo o dispositivo en las mismas condiciones en
que fue entregado, en el caso de ya no ser necesario el acceso remoto, se dar
notificacin por escrito de la devolucin al jefe departamental y al Oficial de
seguridad Informtica.

Se implementarn procesos de auditora especficos para los casos de accesos
remotos, que sern revisados regularmente. Se llevar un registro de incidentes a fin
de corregir eventuales fallas en la seguridad de este tipo de accesos.

150
A.12 Adquisicin, desarrollo y mantenimiento de los sistemas de informacin

Las fases de desarrollo y el mantenimiento de los sistemas utilizados por la
Universidad Politcnica Salesiana Guayaquil son parte fundamental dentro de la
gestin de la seguridad de la informacin.

Al momento de realizar el anlisis y diseo de los procesos que soportan estas
aplicaciones se deben identificar, documentar y aprobar los requerimientos o
mecanismos de seguridad a incorporar durante las etapas de desarrollo e
implementacin. Adicionalmente, se debern disear controles de validacin de
datos de entrada, procesamiento interno y salida de datos.

Dado que los analistas y programadores tienen el conocimiento total de la lgica de
los procesos en los sistemas, se deben implementar controles que eviten acciones
dolosas por parte de estas personas u otras que puedan operar sobre los sistemas,
bases de datos y plataformas de software de base y en el caso de que se lleven a
cabo, identificar rpidamente al responsable.

Asimismo, es necesaria una adecuada administracin de la infraestructura de base,
Sistemas Operativos y Software de Base, en las distintas plataformas, para asegurar
una correcta implementacin de la seguridad, ya que en general los aplicativos se
asientan sobre este tipo de software.

Deben incluirse en los sistemas controles de seguridad y validacin de datos al
momento de operar el mismo.

Definir y documentar las normas y procedimientos que se aplicarn durante el ciclo
de vida de los sistemas o aplicativos y en la infraestructura de base en la cual se
apoyan. Definir los mtodos de proteccin de la informacin crtica o sensible.

151
La presente poltica es aplicable a todos los sistemas informticos, tanto
desarrollados por la Universidad Politcnica Salesiana como por terceros, y a todos
los Sistemas Operativos y(o) Software de base que integren cualquiera de los
ambientes administrados por la Universidad.

Ser responsabilidad del Oficial de seguridad informtica junto con el propietario de
la Informacin establecer los controles a ser implementados en los sistemas
desarrollados internamente o por terceros, en funcin de una evaluacin previa de
riesgos.

El Responsable de Seguridad Informtica, junto con el Propietario de la Informacin,
definir en funcin de la criticidad de la informacin, los requerimientos de
proteccin mediante mtodos criptogrficos.

Adicionalmente el Oficial de Seguridad Informtica cumplir las siguientes
funciones:

a) Definir los procedimientos de administracin de claves.

b) Verificar el cumplimiento de los controles establecidos para el desarrollo y
mantenimiento de sistemas.

c) Garantizar el cumplimiento de los requerimientos de seguridad para el
software.

d) Definir procedimientos para: el control de cambios a los sistemas; la
verificacin de la seguridad de las plataformas y bases de datos que soportan
e interactan con los sistemas; el control de cdigo malicioso; y la definicin
de las funciones del personal involucrado en el proceso de entrada de datos.

152
El administrador del departamento de Sistemas propondr quines realizarn la
administracin de las tcnicas criptogrficas y claves.

El responsable del rea de administracin de sistemas incorporar aspectos
relacionados con el licenciamiento, la calidad del software y la seguridad de la
informacin en los contratos con terceros por el desarrollo de software, el
responsable del rea legal participar en dicha tarea.

5.- Poltica Control de Accesos

A.12 Adquisicin, desarrollo y mantenimiento de los sistemas de Informacin.

A.12.1 Anlisis y Especificaciones de los Requerimientos de Seguridad
Debe observarse los siguientes lineamientos:

a) Establecer un procedimiento en la etapa de anlisis y diseo del sistema,
incluyendo como requerimientos del sistema mecanismos de seguridad, esto
debe incluir una etapa de evaluacin de riesgos previa al diseo, para definir
los requerimientos de seguridad e identificar los controles apropiados.

b) Evaluar los requerimientos de seguridad definidos para las aplicaciones y
cuantificar los riesgos envueltos y costos econmicos y en rendimiento
implicados al ser aplicados en el sistema.

c) Es importante tomar en cuenta que los controles introducidos en la etapa de
diseo, son significativamente menos costosos de implementar y mantener
que aquellos incluidos durante o despus de la implementacin.

A.12.2 Seguridad en los sistemas de aplicacin
A fin de mantener la confidencialidad, disponibilidad e integridad de la informacin,
ya sea por modificacin o uso inadecuado de los datos pertenecientes a los sistemas
de informacin, se establecern controles y registros de auditora, verificando:

153
a) Validacin de los datos de entrada del sistema
b) El procesamiento interno.
c) La autenticacin de mensajes (interfaces entre sistemas)
d) Validacin de datos de salida

A.12.2.1 Validacin de datos de entrada
Debe existir un procedimiento que regule la validacin de los datos de entrada en la
etapa de diseo de sistemas, debes especificarse controles que aseguren la validez de
los datos ingresados, controlando tambin datos permanentes y tablas de parmetros.

Este procedimiento considerar los siguientes controles:

a) Control de secuencia.
b) Control de monto lmite por operacin y tipo de usuario.
c) Control del rango de valores posibles y de su validez, de acuerdo a criterios
predeterminados.
d) Control de paridad.
e) Control contra valores cargados en las tablas de datos.
f) Controles por oposicin, de forma tal que quien ingrese un dato no pueda
autorizarlo y viceversa.
g) Debe establecerse un procedimiento que permita realizar revisiones
peridicas de contenidos de campos claves o archivos de datos, definiendo
quin lo realizar, en qu forma, con qu mtodo, quines debern ser
informados del resultado, etc.
h) Debe existir un documento que especifique las alternativas a seguir para
responder a errores de validacin en un aplicativo.
i) Se definir un procedimiento que permita determinar las responsabilidades de
todo el personal involucrado en el proceso de entrada de datos

A.12.2.2 Procesamiento Interno
Debe establecerse un procedimiento que permita establecer lineamientos durante la
fase de diseo, a fin de que se incorporen controles de validacin que eviten posibles
problemas en las tareas de procesamiento de los sistemas o aplicaciones
154

A fin de conseguir esto se realizaran:

a) Procedimientos que establezcan los controles y verificaciones necesarios
para prevenir la ejecucin de programas fuera de secuencia o cuando falle
el procesamiento previo.
b) Procedimientos que establezcan la revisin peridica de los registros de
auditora de forma de detectar cualquier anomala en la ejecucin de las
transacciones.
c) Procedimientos que realicen la validacin de los datos generados por el
sistema.
d) Procedimientos que verifiquen la integridad de los datos y del software
cargado o descargado entre computadoras.
e) Procedimientos que controlen la integridad de registros y archivos.
f) Procedimientos que verifiquen la ejecucin de los aplicativos en el
momento adecuado.
g) Procedimientos que aseguren el orden correcto de ejecucin de los
aplicativos, la finalizacin programada en caso de falla, y la detencin de
las actividades de procesamiento hasta que el problema sea resuelto.

A.12.2.3 Autenticacin de Mensajes
Las aplicaciones o sistemas necesitaran en algn momento realizar transmisiones de
los datos procesados, generalmente esta informacin es altamente critica, en estos
casos debern seguirse los lineamientos y controles criptogrficos a fin de garantizar
la confidencialidad de la informacin, estos controles criptogrficos son detallados a
continuacin.

A.12.3 Controles criptogrficos
Debern utilizarse sistemas, tcnicas, o algoritmos de encriptacin a fin de garantizar
la proteccin de la informacin fundamentada en un anlisis de riesgo efectuado, con
el fin de asegurar una adecuada proteccin de su confidencialidad e integridad.

155
A12.3.1 Poltica sobre el uso de controles criptogrficos
La Universidad Politcnica Salesiana define la aplicacin de la poltica de uso de
tcnicas criptogrficas a fin de garantizar su correcto uso y asegurar la
confidencialidad de la informacin:

a) Se utilizarn controles criptogrficos en los siguientes casos:

1. Para la proteccin de claves de acceso a sistemas, datos y
servicios.
2. Para la transmisin de informacin clasificada, fuera del mbito
del Organismo.
3. Para el resguardo de informacin, cuando as surja de la
evaluacin de riesgos realizada por el Propietario de la
Informacin y el Responsable de Seguridad Informtica.

b) Se desarrollarn procedimientos respecto de la administracin de claves,
de la recuperacin de informacin cifrada en caso de prdida,
compromiso o dao de las claves y en cuanto al reemplazo de las claves
de cifrado.

c) El Oficial de Seguridad Informtica defini las siguientes
responsabilidades:
Funcin Cargo
Implementacin de la poltica de uso de
tcnicas criptogrficas
Oficial Seguridad
Informtica
Administracin de contraseas Departamento Sistemas

Tabla 3.7
Fuente: Los Autores

d) Se podr elegir entre los siguientes algoritmos de encriptacin y tamao
de clave

156
CIFRADO SIMTRICO

Tabla 3.8
Fuente: Los Autores

CIFRADO ASIMTRICO
Casos de Utilizacin Algoritmo Longitud
Clave
Para certificados utilizados en servicios
relacionados a la firma digital (sellado de
tiempo, almacenamiento seguro de
documentos electrnicos, etc.)
RSA 2048 bits
Para certificados de sitio seguro bits para
certificados de Certificador o de informacin
de estado de certificados
DSA
ECDSA
RSA
RSA
2048 bits
210 bits
1024 bits
2048 bits
Para certificados de usuario (personas fsicas o
jurdicas)
DSA
ECDSA
RSA
DSA
2048 bits
210 bits
1024 bits
1024 bits
Para digesto seguro ECDSA
SHA-1
160 bits
256 bits
Tabla 3.9
Fuente: Los Autores
El Oficial de Seguridad Informtica debe estar atento a los mejoramientos en los
algoritmos arriba mencionados a fin de utilizar los algoritmos ms robustos y en
consonancia con el rendimiento de los sistemas.
Algoritmo Encriptacin Longitud Clave
AES 128/192/256
3DES 168 bits
IDEA 128 bits
RC4 128 bits
RC2 128 bits
157
A.12.3.1.1 Cifrado
A travs de un anlisis y evaluacin de riesgos que llevar a cabo el Propietario de la
informacin y el Oficial de Seguridad Informtica, se establecer el nivel requerido
de proteccin, tomando en cuenta el tipo y la calidad del algoritmo de cifrado
utilizado y la longitud de las claves criptogrficas a utilizar.

Al implementar la Poltica del Organismo en materia criptogrfica, se considerarn
los controles aplicables a la exportacin e importacin de tecnologa criptogrfica.

Debe utilizarse algoritmos de cifrado para la proteccin de la informacin
confidencial almacenada en los medios y dispositivos mviles o removibles o a
travs de las lneas de comunicacin:

Los controles criptogrficos o de cifrado permiten cumplir los diferentes objetivos de
seguridad:

a. Confidencialidad: utilizando la codificacin de la informacin para
proteger la informacin confidencial o crtica, ya sea almacenada o
transmitida;
b. Integridad/autenticidad: utilizando firmas digitales o cdigos de
autenticacin del mensaje para proteger la autenticidad e integridad de la
informacin confidencial o crtica almacenada o transmitida;
c. No-repudiacin: utilizando tcnicas criptogrficas para obtener prueba de
a ocurrencia o no-ocurrencia de un evento o accin.

A.12.3.1.2 Firma Digital
Las firmas digitales proporcionan un mecanismo de proteccin de la autenticidad e
integridad de los documentos electrnicos.
Pueden aplicarse a cualquier tipo de documento que se procese electrnicamente. Se
implementan mediante el uso de una tcnica criptogrfica sobre la base de dos claves
relacionadas de manera nica, donde una clave, denominada privada, se utiliza para
crear una firma y la otra, denominada pblica, para verificarla.

158
Es primordial proteger la integridad de la clave pblica. Esta proteccin se provee
mediante el uso de un certificado de clave pblica.

Las claves criptogrficas utilizadas para firmar digitalmente no deberan ser
empleadas en procedimientos descifrados de informacin. Dichas claves deben
ser resguardadas bajo el control exclusivo de su titular.

A.12.3.1.3 No Repudio
Esta condicin permite resolver disputas acerca de la ocurrencia de un evento o
accin. Su objetivo es proporcionar herramientas para evitar que aqul que haya
originado una transaccin electrnica niegue haberla efectuado

12.3.2 Gestin de claves

12.3.2.1. Proteccin de Claves Criptogrficas
Se implementar un sistema de administracin de claves criptogrficas para respaldar
la utilizacin por parte del Organismo de los dos tipos de tcnicas criptogrficas, a
saber:

a) Criptografa de clave secreta (criptografa simtrica), cuando dos o ms
entidades comparten la misma clave y sta se utiliza tanto para cifrar
informacin como para descifrarla.

b) Criptografa de clave pblica (criptografa asimtrica), cuando cada usuario
tiene un par de claves: una clave pblica (que puede ser revelada a cualquier
persona) utilizada para cifrar y una clave privada (que debe mantenerse en
secreto) utilizada para descifrar. Las claves asimtricas utilizadas para cifrado
no deben ser las mismas que se utilizan para firmar digitalmente
De igual manera se proporcionar una proteccin adecuada a los equipos y
dispositivos utilizados para generar, almacenar y archivar claves,
considerando el alto nivel de criticidad de los mismos, las claves debern
tener la debida proteccin, confidencialidad, y mecanismos de respaldo en
caso de prdida.
159
12.3.2.2 Normas, Procedimientos y Mtodos

Los procedimientos y normativas relacionados a la gestin de claves
debern incluir lo siguiente:

Generar claves para diferentes sistemas criptogrficos y diferentes
aplicaciones.

Generar y obtener certificados de clave pblica de manera segura.

Disponer de mecanismos que permitan difundir claves de forma segura a
los usuarios, incluyendo informacin sobre cmo deben activarse cuando
se reciban.

Almacenamiento de claves, debe incluirse la forma de acceso a las
mismas por parte de los usuarios autorizados.

Cambiar o actualizar claves, incluyendo reglas sobre cundo y cmo
deben cambiarse las claves.

Revocacin de claves criptogrficas

Recuperar claves perdidas o alteradas como parte de la administracin de
la continuidad de las actividades del Organismo, por ejemplo para la
recuperacin de la informacin cifrada.

Archivar claves, por ejemplo, para la informacin archivada o
resguardada.

Recuperar claves perdidas o alteradas como parte de la administracin de
la continuidad de las actividades del Organismo, por ejemplo para la
recuperacin de la informacin cifrada.
160
Mecanismos de destruccin de claves de encriptacin

Registrar y auditar el uso de las claves de encriptacin por parte de los
usuarios.

Adicionalmente a la proteccin establecida para preservar las claves
secretas y privadas, deber tenerse en cuenta la proteccin de las claves
pblicas.

A.12.4 Seguridad de los archivos de sistema
A.12.4.1 Control del software operaciones
A fin de mitigar al mximo el riesgo de alteracin de los sistemas durante la
implementacin de software propietario o desarrollado por terceros deben tomarse en
cuenta los siguientes lineamientos:

Cada software, programa, o aplicacin, desarrollada por el departamento de
sistemas de la Universidad o por un tercero tendr un nico responsable
designado formalmente y por escrito por el encargado del Departamento de
Sistemas

Ningn programador o analista con permisos nicamente para el ambiente de
desarrollo y mantenimiento de aplicaciones podr acceder a los ambientes de
produccin.

El encargado del departamento de sistemas, propondr para su aprobacin
por parte del Oficial de seguridad informtica junto con el encargado del rea
de desarrollo, la asignacin de la funcin de implementador al personal de
su rea que considere adecuado, quien tendr como responsabilidades:
Coordinar con el equipo o personal de desarrollo y de infraestructura la
implementacin de modificaciones o nuevos programas en el ambiente de
Produccin.

161
Asegurar que los sistemas y servicios utilizados en el ambiente de produccin
se encuentren aprobados segn las polticas vigentes.

Instalar las modificaciones, controlando previamente la recepcin de la
prueba aprobada por parte del Analista Responsable, del sector encargado del
testeo y del usuario final.

Asegurarse que la puesta en produccin de sistemas o aplicaciones no se
realice a menos que no existan problemas, vulnerabilidades de seguridad y
documentacin precisa sobre la administracin y gestin del software.

Debe tomarse en cuenta adicionalmente:

Almacenar nicamente los ejecutables en el ambiente de produccin, no debe
existir informacin de desarrollo tales como libreras o formularios, etc.

Mantener actualizada la bitcora de actualizaciones de los sistemas.

Mantener almacenadas las versiones previas del sistema, como parte del plan
de contingencia.
Definir un procedimiento que establezca los pasos a seguir para implementar
las autorizaciones y conformes pertinentes, las pruebas previas a realizarse,
etc.

No permitir la modificacin al cdigo fuente por parte del analista o
desarrollador designado como implementador.

El personal que ha sido designado como implementador no podr ser un
funcionado que se encuentre envuelto las tareas de desarrollo del software.

162
A.12.4.2 Proteccin de la data de prueba del sistema
En caso de ser necesario realizar pruebas sobre los sistemas utilizando datos, estos
nunca debern realizarse sobre datos puestos en produccin, adicionalmente deben
seguirse los siguientes lineamientos de seguridad:

a) Prohibir el uso de bases de datos operativas. En caso contrario se deben
despersonalizar los datos antes de su uso. Aplicar idnticos procedimientos
de control de acceso que en la base de produccin.

b) Solicitar autorizacin formal para realizar una copia de la base operativa
como base de prueba, llevando registro de tal autorizacin.

c) Eliminar inmediatamente, una vez completadas las pruebas, la informacin
operativa utilizada.

A.12.4.3 Control de acceso al cdigo fuente del programa
Es importante preservar la integridad del cdigo fuente a fin de evitar modificaciones
no autorizadas, es por esto que deben seguirse las siguientes directrices:

El responsable del departamento de sistemas deber designar a una persona
calificada como custodio y Administrador de cdigo fuente , quien tendr

diferentes responsabilidades como:

a. Proveer al rea de Desarrollo los programas fuentes solicitados para
su modificacin, manteniendo en todo momento la correlacin
programa fuente / ejecutable.

b. Llevar un registro actualizado de todos los programas fuentes en uso,
indicando nombre del programa, programador, Analista Responsable
que autoriz, versin, fecha de ltima modificacin y fecha / hora de
compilacin y estado (en desarrollo, y en produccin).

163
c. Verificar que el Analista Responsable que autoriza la solicitud de un
programa fuente sea el designado para la aplicacin, rechazando el
pedido en caso contrario. Registrar cada solicitud aprobada.

d. Administrar las distintas versiones de una aplicacin.

e. Asegurar que un mismo programa fuente no sea modificado
simultneamente por ms de un desarrollador.

Debe restringirse al administrador de programas fuentes el acceso de
escritura sobre los programas fuentes bajo su custodia.

Como regla, debe existir nicamente un cdigo fuente por cada ejecutable a
fin de que exista correspondencia nica.

Deben establecerse procedimientos tcnicos que garanticen que cada vez que
se ponga en produccin un cdigo fuente cree nicamente un ejecutable
correspondiente al mismo.
Evitar que la funcin de administrador de programas fuentes sea ejercida

por personal que pertenezca al sector de desarrollo y/o mantenimiento.

Debe evitarse el almacenamiento de cdigos fuentes histricos (que no sean
los correspondientes a los programas operativos) en el ambiente de
produccin.

Prohibirse el acceso a los operadores a los cdigos fuentes a fin de evitar
modificacin o eliminacin no autorizada.

Mantener una poltica de respaldo de los cdigos fuentes, el esquema de
respaldo debe ser probado peridicamente mediante restauracin.

164

12.5 Seguridad en los procesos de desarrollo y soporte
12.5.1 Procedimientos del control de cambios
A fin de mitigar el riesgo de modificaciones no controladas debe aplicarse la poltica
de control de cambios sobre el software en desarrollo tomando en consideracin lo
siguiente:

Los cambios solicitados sobre los sistemas deben hacerse por escrito y por
usuarios calificados para ello

Llevar una bitcora que contenga los niveles de acceso para realizar cambios
sobre el software o aplicaciones.

En caso de que el cambio en las aplicaciones implique una manipulacin de
datos, debe contarse con la aprobacin del propietario de la misma.

Identificar todos los elementos que requieren modificaciones (software, bases
de datos, hardware).

Revisar peridicamente los mecanismos establecidos a fin de mantener la
integridad de los datos.

Antes de realizar cualquier cambio en las aplicaciones debe contarse con la
aprobacin por escrito del responsable del rea de sistemas y del oficial de

Solicitar la revisin del Responsable de Seguridad Informtica para
garantizar que no se violen los requerimientos de seguridad que debe cumplir
el software.

Los cambios siempre se realizaran en el ambiente de desarrollo

165
Los cambios se aprobaran luego de realizar varias pruebas de concepto junto
con el usuario del sistema

Luego de realizarse un cambio debe actualizarse la documentacin del
sistema adaptndose al nuevo cambio o funcionalidad modificada en el
software.

Mantener actualizado el control de versionamiento del software.

Debe garantizarse que la realizacin del cambio no implicara la interrupcin
de servicio, dando especial atencin a los sistemas sobre los que se sustentan
las operaciones de la Sede.

Antes de realizar cualquier cambio en los sistemas, debe informarse al
departamento al que pertenecen el o los usuarios del mismo.

Garantizar que sea el implementador quien efecte el paso de los objetos
modificados al ambiente operativo, de acuerdo a lo establecido en Control
del Software Operativo.
12.5.2 Revisin tcnica de la aplicacin luego de cambios sistema
Siempre que se realicen cambios programados sobre los sistemas deben realizarse
pruebas a fin de asegurar su correcto funcionamiento, para este fin se definir un
procedimiento que incluya:

Seguir los procedimientos necesarios para garantizar la integridad y control
de aplicaciones y asegurarse de que no hayan sido comprometidas ninguna de
las funcionalidades del sistema a raz del cambio.

Asegurarse que previo a realizar cualquier cambio todo el personal
involucrado haya sido notificado formalmente.
Asegurar la actualizacin del Plan de Continuidad de las Actividades del
Organismo.
166
12.5.3 Filtrado de informacin
En vista que mucho software puede incluir cdigo malicioso que enve informacin
confidencial y vulnere as la seguridad de la informacin en necesario observar las
siguientes normas:

Calificar nicamente a proveedores acreditados y adquirir productos ya
evaluados tanto en su funcionalidad como en seguridad

Examinar los cdigos fuentes (cuando sea posible) antes de utilizar los
programas.

Controlar el acceso y las modificaciones al cdigo instalado.

Utilizar y mantener actualizados los sistemas de proteccin contra la
infeccin del software con cdigo malicioso.

A.12.6 Gestin de Vulnerabilidades tcnicas

A.12.6.1 Control de las vulnerabilidades tcnicas
Debe mantenerse actualizado el inventario completo de los activos de informacin
que la Universidad maneja, siguiendo los lineamientos establecidos en esta poltica
de seguridad.

De la misma forma el inventario del software con el que se cuenta debe mantenerse
debidamente documentado y actualizado, debe incluir informacin como fabricante
del software, versin, y actualizaciones o service packs instalados.

Las normas que deben observarse en la gestin de vulnerabilidades de orden tcnico
son las siguientes:

a. Deben nombrarse responsables de las tareas de gestin de vulnerabilidades,
tareas como monitoreo, evaluacin, y mitigacin de las vulnerabilidades

167
b. Debe realizarse una planificacin en lnea de tiempo que corresponda a la
respuesta que el departamento de seguridades y sistemas de a las
vulnerabilidades existentes.

c. Tan pronto se identifica una vulnerabilidad debe realizarse un anlisis de
riesgo y acciones correctivas a fin de mitigar el riesgo de ocurrencia, esto ser
a travs de actualizaciones, parches y dems configuraciones de ndole
tcnico recomendados por el fabricante.

d. Dependiendo de lo crtico de la vulnerabilidad o del riesgo implicado, se
realizaran las acciones de remediacin tales como actualizaciones
cumpliendo con la poltica de control de cambios detallada anteriormente.

e. Preferentemente debern probarse y evaluarse las actualizaciones antes de
instalarlas en el ambiente de produccin, esto se decidir en funcin de la
evaluacin del riesgo para la vulnerabilidad en cuestin.
f. En caso de no existir por parte del fabricante una actualizacin o parche que
mitigue la vulnerabilidad encontrada se podrn tomar las siguientes acciones
preventivas:

1) Desconectar los servicios o capacidades relacionadas con la
vulnerabilidad.

2) Adaptar o agregar controles de acceso; por ejemplo, firewalls en los
lmites de la red.

3) Incrementar el monitoreo para detectar o evitar ataques reales.

4) Elevar la conciencia acerca de la vulnerabilidad.

5) Mantener un registro de auditora de todos los procedimientos
realizados.

168
6) El proceso de gestin de vulnerabilidad tcnica debiera ser
monitoreado y evaluado regularmente para asegurar su efectividad y
eficacia.

7) Se debieran tratar primero los sistemas en alto riesgo.

A.13 Gestin de un incidente en la seguridad de la informacin

Es necesario asegurar que los eventos y debilidades de la seguridad de la
informacin asociados con los sistemas de informacin sean comunicados de una
manera que permita que se realice una accin correctiva oportuna, esto permitir que
se consiga un aprendizaje sobre la vulnerabilidad, causas y efectos de la misma.

Establecer procedimientos formales de reporte y de la intensificacin de un evento.
Todos los usuarios empleados contratistas y terceros debieran estar al tanto de los
procedimientos para el reporte de los diferentes tipos de eventos y debilidades que
podran tener un impacto en la seguridad de los activos organizacionales. Se les
debiera requerir que reporten cualquier evento y debilidad de la seguridad de la
informacin lo ms rpidamente posible en el punto de contacto designado.

Esta poltica es aplicable al tratamiento de las vulnerabilidades en cada uno de los
sistemas operativos, aplicaciones, dispositivos o equipos utilizados en la
Universidad Politcnica Salesiana, los cuales son administrados por el departamento
de sistemas de la Universidad.

Es responsabilidad del Oficial de Seguridad Informtica definir las acciones a tomar
en caso de existir vulnerabilidades o incidentes de seguridad, adems de coordinar
con el personal operativo del departamento de sistemas las acciones a tomar.

169
5.- Poltica Gestin de un incidente en la seguridad de la informacin

13.1 Reporte de los eventos y debilidades de la seguridad de la informacin
13.1.1 Reportes de eventos en la seguridad de la informacin
El reporte de eventos relacionados a incidentes de seguridad debe estar regulado y
documentado, de tal forma que exista constancia de la incidencia y se cuente con
informacin necesaria para la toma de decisiones.

Debe definirse un punto de contacto el mismo que debe ser conocido por toda la
organizacin, en este caso el Oficial de Seguridad Informtica es el funcionario
designado a recibir las notificaciones de incidentes de seguridad, el medio de
contacto ser a travs de email, y en caso de tratarse de un nivel alto de criticidad se
notificara telefnicamente, o utilizando el medio de comunicacin mas efectivo
segn las circunstancias.

Cada uno de los funcionarios de la Universidad, docentes, o personal externo debe
conocer su responsabilidad de notifica cualquier evento o incidente de seguridad del
cual tuviera conocimiento, adems de conocer el procedimiento a seguir para la
notificacin del incidente, este proceso debe incluir:

a) Procesos de retroalimentacin que permitan conocer cuando el incidente haya
sido remediado

b) Formatos de reporte de eventos de seguridad que sirvan como sustento y
evidencia de la incidencia a fin de justificar las acciones correctivas a
realizarse

c) Deber adicionalmente:

1. Anotar todos los detalles importantes inmediatamente (por
ejemplo, el tipo de no-cumplimiento o violacin, mal
funcionamiento actual, mensajes en la pantalla, conducta extraa);
170
2. No realizar ninguna accin por cuenta propia, sino reportar
inmediatamente al Oficial de Seguridad Informtica.

d) Referencia a un proceso disciplinario formal establecido para tratar con los
usuarios empleados, contratistas o terceros que cometen violaciones de
seguridad.

En ambientes altamente crticos puede implementarse sistemas de alertas
automticas en caso de existir incidentes, para esto pueden utilizarse dispositivos
mviles de comunicacin como busca personas, celulares, o correo electrnico.
A.13.1.2 Reportes de la debilidades de la seguridad
Se deber asegurar que todo el personal relacionado con la Universidad Politcnica
Salesiana Sede Guayaquil, conozca de la necesidad y responsabilidad de reportar
cualquier evento o sospecha de alguna debilidad en el permetro de seguridad de la
Sede. Para este fin se establecen los siguientes lineamientos:

Todos los usuarios o usuarios externos estn obligados a reportar cualquier debilidad
de cualquier ndole del que llegasen a conocer, ya sea a su Jefatura departamental, o
al Oficial de Seguridad Informtica, la notificacin de la debilidad deber realizarse
inmediatamente se tenga conocimiento de la misma.

El mecanismo de reporte debiera ser fcil, accesible y estar disponible lo ms
posible.

Los usuarios deben conocer que se encuentra estrictamente prohibido mediante esta
poltica, tratar de probar una debilidad sospechada que el usuario haya descubierto o
de la que haya llegado a conocer.

A.13.2 Gestin de los incidentes y mejoras en la seguridad de la informacin
Se entiende por incidente en la plataforma informtica a cualquier evento que ponga
en riesgo la integridad, disponibilidad, confiabilidad, y consistencia de la
informacin.
171
En la gestin de incidentes que permitan mejorar y robustecer el permetro de
seguridad se tomaran en consideracin las siguientes normas:

Deben establecerse procedimiento para tratar diferentes tipos de incidentes
como:
1) Fallas del sistema de informacin y prdida del servicio.
2) Cdigo malicioso.
3) Negacin del servicio.
4) Errores resultantes de data incompleta o inexacta.
5) Violaciones de la confidencialidad e integridad.
6) Uso indebido de los sistemas de informacin.

Adicional a los planes de contingencia de la Universidad debe existir
documentacin sobre:

1) Anlisis e identificacin de la causa del incidente
2) Mecanismos de contencin
3) Planeacin e implementacin de la accin correctiva para evitar la
recurrencia, si fuese necesario.
4) Comunicaciones con aquellos afectados por o involucrados con la
recuperacin de un incidente
5) Reportar la accin a la autoridad apropiada
6) Recolectar y asegurar rastros de auditora y evidencia similar,
conforme sea apropiado para:

Poder realizar el anlisis interno del problema

Utilizar como evidencia forense en relacin a una violacin
potencial del contrato o el requerimiento regulador o en el
caso de una accin legal civil o criminal.

Negociacin para la compensacin de los proveedores del
software y Servicio.
172
Debern controlarse formal las acciones para la recuperacin de las
violaciones de la seguridad y para corregir las fallas en el sistema; los
procedimientos debieran asegurar que:

nicamente el personal claramente identificado y
autorizado tengan acceso a los sistemas vivos y la data

Se deben documentar detalladamente todas las acciones de
emergencia realizadas

La accin de emergencia ser reportada a la gerencia y
revisada de una manera adecuada

La integridad de los sistemas y controles comerciales sea
confirmada con una demora mnima.
A.13.2.1 Aprender de los incidentes en la seguridad de la informacin
La informacin obtenida de incidencias relacionadas con la seguridad debe ser
analizada y debe permitir realizar acciones preventivas a fin de evitar incidentes
futuros, esto implica un aprendizaje en funcin de experiencias ocurridas.

La evaluacin de los incidentes en la seguridad de la informacin puede indicar la
necesidad de incrementar o establecer controles adicionales para limitar la
frecuencia, dao y costo de ocurrencias futuras, o tomarlos en cuenta en el proceso
de revisin de la poltica de seguridad

A.13.2.2 Recoleccin de evidencia
Debe darse especial atencin a la recoleccin de evidencia en casos de existir un
incidente o cuando se vulnere la seguridad en algn

La recoleccin de evidencia deber abarcar:

173
a) Admisibilidad de la evidencia: si la evidencia se puede o no se puede utilizar
en la corte o procesos legales.

b) Peso de la evidencia: La evidencia debe cumplir con los estndares que
cataloguen a la evidencia lo suficientemente contundente como para que sea
aceptada inclusive en instancias legales.

c) Para lograr el peso de la evidencia, se debiera demostrar mediante un rastro
de auditora slido la calidad y la integridad de los controles utilizados para
proteger correcta y consistentemente la evidencia asegurando que los
registros tales como los log de actividad no sean modificados y se encuentren
intactos para el anlisis.

d) Para la informacin en medios de cmputo: se debieran realizar imgenes
dobles o copias

e) Se debiera mantener un registro de todas las acciones realizadas durante el
proceso de copiado y el proceso debiera ser atestiguado.

f) Tanto los originales como los medios copiados deben ser asignados bajo
custodia y almacenados con la seguridad del caso.

A.14 Gestin de la continuidad del negocio

1. Aspectos Generales
La continuidad de las operaciones de la institucin es catalogada como un
aspecto critico que debe involucrar recursos y personal de cada una de las reas.

El proceso en el desarrollo e implementacin de cada uno de los planes de
contingencia ser calificado como una herramienta bsica para garantizar el
desenvolvimiento de las actividades de la Institucin.

174
La elaboracin y constante revisin de los planes de contingencia es parte
integral en el proceso de gestin de seguridad, debiendo cumplir cuidadosamente
los controles destinados a identificar y riesgos, y as poder atenuar posibles
interrupciones el servicio ofrecido, lo cual se traducira en prdidas para la
institucin.

2. Objetivos
El objetivo de esta poltica es minimizar al mximo los efectos de perdidas
temporales o permanentes en la disponibilidad de los sistemas, servicios, o
informacin, ya sea esto accidental o causado por desastres naturales, fallas en el
equipamiento, o acciones deliberadas y que vulneren los procesos critos para la
institucin.

Analizar y evaluar las posibles consecuencias en caso de existir interrupcin en el
servicio, y as poder aplicar medidas correctivas a fin de evitar inconvenientes de
este tipo en lo posterior.
Loas planes de contingencia a aplicarse en la sede deben incluir los siguientes
aspectos:

1) Notificacin / Activacin: El administrador debe mantenerse al tanto de la
ocurrencia de algn evento que pueda afectar el nivel de servicio.

2) Reanudacin: Iniciar las operaciones nuevamente de manera total o al
menos parcial.

3) Recuperacin: Lograr el funcionamiento normal y original de los sistemas
o servicios informticos.

175
3. Alcance
Esta poltica ser aplicable en todas las dependencias relacionadas directa o
indirectamente con el adecuado funcionamiento de los sistemas de informacin,
servicios informticos y sistemas de acceso a la informacin almacenada en las bases
de datos de la institucin.

4. Responsabilidad
El Oficial de Seguridad Informtica tomara participar activamente en la definicin,
documentacin, pruebas y actualizacin de los diferentes planes de contingencia
que se pueda implementar en aquellas reas catalogadas como criticas

El Oficial de seguridad informtica en conjunto con el personal de sistemas y
contando con la colaboracin de los propietarios de la informacin sern
responsables de:
Identificar las amenazas que pueden causar interrupciones en los procesos y
actividades de la institucin

Evaluar cada uno de los riesgos identificados y determinar la gravedad del
impacto ocasionado por estas interrupciones.

Identificar cada uno de los controles preventivos
Desarrollar estratgicamente un plan que permita garantizar la continuidad de
las actividades de la institucin inclusive en caso de presentarse incidentes
que afecten la disponibilidad de los mismos.

El personal de sistemas es responsable de la implementacin de soluciones
tecnolgicas, ya sean de hardware, software, o comunicaciones, a fin de dar
cumplimiento a esta poltica.

El Oficial de seguridad informtica ser responsable de auditar el cumplimiento a
nivel tcnico y administrativo de la presente poltica.

176
A.14.1 Aspectos de la seguridad de la informacin de la gestin de la
continuidad del negocio

A.14.1.1 Incluir la seguridad de la informacin en el proceso de la gestin de la
continuidad del negocio
Se debe desarrollar, mantener, y difundir como poltica organizacional la continuidad
del negocio.

Al ser la seguridad de la informacin parte del plan de gestin de continuidad del
negocio es necesario:

Comprender los riesgos en trminos de probabilidad de ocurrencia, e impacto
en los servicios o sistemas, los mismos que debern ser priorizados desde los
ms crticos hasta los de menor prioridad.

Identificar los activos de informacin ms crticos envueltos en las
operaciones de la Universidad.

Comprender el impacto que tendran las interrupciones ocasionadas por
incidentes relacionados con la seguridad de la informacin.

Evaluar la posibilidad de asegurar econmicamente los activos de la
institucin.

Garantizar la seguridad e integridad del personal y de los activos de
informacin.

Desarrollar y mantener documentados los planes de contingencia necesarios
para evitar interrupciones de servicio.

Plan de pruebas correctamente documentados.

177
Asegurarse que el plan de continuidad se integre a las dems polticas
organizacionales.

A.14.1.2 Continuidad del negocio y evaluacin del riesgo
La continuidad en las operaciones va directamente relacionada con la identificacin
de eventos o serie de eventos que pudieran causar interrupciones en los procesos de
la Universidad, tales como fallas de tipo elctrico, errores humanos, catstrofes
naturales, incendios, terrorismo, y dems.
Cada uno de estos eventos deben ser evaluados y tasados en funcin de posibilidad
de ocurrencia a fin de definir los mecanismos adecuados para superar cada uno de
estos eventos en caso de ocurrencia, y que el servicio no se vea afectado.

La evaluacin de los riesgos implicados en la continuidad de las operaciones no
debera ser efectuado de forma independiente por el personal de tecnologa, debe
realizarse contando con la colaboracin de las reas implicadas y propietarios de la
informacin.

La mencionada evaluacin debera considerar los procedimientos administrativos,
acadmicos, y financieros que normalmente se llevan a cabo a diario. Por otro lado
debera identificarse, cuantificarse y priorizarse los riesgos alinendose en todo
momento con los objetivos organizacionales.

Luego de contar con los resultados de la evaluacin de riesgo debe formularse la
estrategia que permita la continuidad de las operaciones, incluyendo procedimientos
de orden tcnico y administrativo, el mismo que debe contar con la aprobacin y
respaldo de las mximas autoridades de la sede.

A.14.1.3 Desarrollar e implementar los planes de continuidad incluyendo la
seguridad de la informacin
El plan de continuidad de las operaciones debera realizarse luego de la evaluacin
de los riesgos asociados con este aspecto, entre los lineamientos a considerar
deberan tomarse los siguientes:

178
Especificar con claridad los procedimientos a ejecutarse a fin de mantener la
continuidad de las operaciones, debe tambin identificarse a los responsables
de su ejecucin.
Establecer el nivel aceptable de prdida de servicio o informacin.

Implementar los procedimientos de recuperacin y restauracin de las
operaciones, y disponibilidad de los sistemas segn los niveles establecidos.
Documentar los procesos y controles.

Capacitar al personal sobre los procesos y las implicaciones tcnicas y no
tcnicas que estos conllevan.

Plan de pruebas y mejoramiento contino de los procesos.

A.14.1.4 Marco Referencial de la planeacin de la continuidad del negocio
A fin de mantener la consistencia en los diversos planes de continuidad deben
mantenerse un solo marco referencial al cual cada plan o procedimiento se alineara.

Los objetivos de cada plan estarn orientados a identificar claramente las
condiciones necesarias para su puesta en ejecucin, as como la identificacin de
aquellas personas que estarn al cargo de ejecutar cada uno de los procedimientos
que forman parte de este plan.
La definicin del marco para la planificacin de la continuidad de las actividades de
la institucin debera contemplar lo siguiente:

Los escenarios para activar los planes de contingencia

Detalle de los procedimientos emergentes que establecen las acciones
puntuales que deben realizarse despus de cada evento.

Procedimientos de contingencia que establecen las acciones tomadas para
recuperar la disponibilidad de los servicios.
179
Procedimientos temporales de orden tcnico que aseguran una recuperacin y
restauracin exitosa de los servicios.

Procedimientos de reanudacin que permitan volver al normal
funcionamiento de los servicios y sistemas
Matriz de responsabilidad de las personas implicadas.

A.14.1.5 Prueba, mantenimiento y re-evaluacin de los planes de continuidad
del negocio
Los planes de contingencia cumplen su objetivo cuando su efectividad se ha visto
probada, es por esto que debe existir un plan de pruebas evaluacin y mejoramiento
de los planes y procesos relacionados con la continuidad de las operaciones.

Este programa debe incluir el escenario en el que se realizaran las pruebas y debera
cumplir con los siguientes lineamientos:

Pruebas flexibles de simulacin utilizando diferentes escenarios y periodos de
interrupcin.

Simulaciones parciales.

Pruebas tcnicas de operacin, asegurando que a travs de los procesos y
planes la informacin logra ser recuperada de manera ntegra.

Pruebas de levantamiento de un sitio alterno en caso de contarse con el, debe
re-diseccionarse todas las peticiones y comunicacin hacia el sitio secundario
de preferencia de manera automtica.

Pruebas del servicio

Simulaciones completas poniendo a prueba todos los planes de continuidad.

180
A.15 Cumplimiento

La poltica de seguridad de la informacin detallada en este documento debe ser
cuidadosamente cumplida, tanto por los usuarios internos o funcionarios de la
Universidad como en caso del personal externo colaborando con la misma. Para esto
deben establecerse normativas que aseguren su cumplimiento.

Cumplir con todas las disposiciones relacionadas con la seguridad de la informacin
y los procesos en los que la informacin se vea envuelta, a fin de evitar posibles
sanciones administrativas, o posibles litigios en caso de que el incumplimiento
redunde en un delito informtico.

Garantizar que todos los sistemas y servicios informticos de la Sede Guayaquil
cumplan con la poltica de seguridad de la informacin detallados en este
documento.
Revisar peridicamente los sistemas de informacin a fin de garantizar que las
polticas de seguridad estn siendo cumplidas cuidadosamente.

Garantizar que exista proteccin sobre los sistemas y la informacin que la
universidad maneja, as como una auditoria de eventos que permita corroborar el
cumplimiento individual en cada sistema a la poltica de seguridad.

Esta Poltica es aplicable a todo el personal de la Universidad Politcnica Salesiana
Sede Guayaquil, cualquiera sea su situacin o funciones dentro de la institucin.

Es aplicable adems a los sistemas de informacin, normas, procedimientos,
documentacin y plataformas tcnicas de la Universidad y a las auditorias
efectuadas sobre los mismos.

181
El Oficial de Seguridad Informtica ser responsable de:

Definir normas y procedimientos que permitan garantizar el cumplimiento
de las polticas.
Realizar revisiones peridicas que garantice el cumplimiento de la
poltica de seguridad.

Verificar peridicamente los sistemas de informacin garantizando el
cumplimiento de las mejores prcticas.

Garantizar la seguridad y el control de las herramientas utilizadas para las
revisiones de auditora.

Los Responsables de los diferentes departamentos son responsables del control y
cumplimiento de las normas y procedimientos de seguridad establecidos dentro de su
correspondiente rea.

Todos los empleados de los mandos medios y superiores conocern,
comprendern,
darn a conocer, cumplirn y harn cumplir la presente Poltica y la normativa
vigente.

5.- Poltica Cumplimiento

A. 15.2 Cumplimiento de las polticas y estndares de seguridad y
cumplimento tcnico

A.15.2.1 Cumplimiento con las polticas y estndares de seguridad
Deben revisarse regularmente el cumplimiento del procesamiento de la informacin
dentro de su rea de responsabilidad con las polticas y estndares de seguridad
apropiados, y cualquier otro requerimiento de seguridad.

182
En caso de existir algn incumplimiento como resultado de la revisin, la direccin
debera:

a) Determinar cules fueron los motivos incumplimiento
b) Definir la necesidad de acciones para asegurar que no se repita el
incumplimiento

c) Determinar e implementar la accin correctiva apropiada

d) Revisar la accin correctiva tomada.

Toda accin debe ser debidamente registrada a fin de tomarla en cuenta en futuros
incidente y en tomas de decisiones en temas de seguridad.

A.15.2.2 Chequeo del cumplimiento tcnico
El chequeo tcnico del cumplimiento de la poltica de seguridad en los sistemas
deber hacerse utilizando herramientas que permitan realizar anlisis exhaustivos
sobre los mismos, estos anlisis debern ser realizados por un Ingeniero en sistemas
especializado en seguridad informtica y siendo supervisado por el encargado del
departamento de sistemas.
En caso de realizarse pruebas de penetracin o evaluaciones de vulnerabilidad, se
debiera tener especial cuidado ya que estas actividades pueden llevar a comprometer
la seguridad del sistema.

Las pruebas de vulnerabilidad deben realizarse de manera controlada, planificada y
cada prueba que se realice debe ser debidamente documentada, tanto en la definicin
de la prueba como en los resultados de esta. Luego de realizar pruebas de
penetracin deben emitirse un informe con las novedades presentadas y debern
tomarse acciones de remediacin de manera inmediata.

183
3.6 Gestin De Riesgos

3.6.1 Definicin de riesgo
Puede definirse como riesgo a cualquier evento que impide que se cumpla el objetivo
predeterminado de algo, en el ambiente informtico puede ser un sistema, servicio, o
herramienta tecnolgica.

Segn la Organizacin Internacional de la Normalizacin (ISO) se define como
riesgo tecnolgico a La probabilidad de que una amenaza se materialice utilizando
vulnerabilidades existentes en un activo o grupo de activos generndole perdidas a
daos

Segn la definicin formal mencionada anteriormente podran tabularse como
elementos que forman parte del riesgo informtico a los siguientes:

Figura 3.6
Fuente: Los Autores

Probabilidad Amenazas
Vulnerabilidades Activos
Impacto
RIESGO INFORMTICO
184
Probabilidad
Que tan probable que ocurra o se haga efectivo el riesgo, este puede evaluarse de
forma cuantitativa, esta valoracin debe realizarse sin que se vea involucrada
ninguna accin que minimice el riesgo. Al momento de cuantificar la probabilidad se
puede disponer como recurso la experiencia en entornos o circunstancias iguales o
parecidas al objeto de estudio.

Amenazas
Pueden catalogarse como amenazas a aquellas acciones que podran provocar efectos
negativos para la organizacin, generalmente se relaciona el termino amenaza con
fallas accesos no autorizados cdigo malicioso, desastres naturales, entre otras.

Vulnerabilidades
Se relaciona el trmino vulnerabilidad a una caracterstica negativa que tiene el
activo la cual permitira que se materialice alguna de las amenazas a la que el activo
se encuentra expuesto.
Una amenaza sin una vulnerabilidad no lograra materializar ningn dao sobre el
activo.

Activos
Son los bienes que posee la organizacin, en trminos informticos los activos de
informacin son los datos, informacin, sistemas, servicios informticos o
equipamiento utilizado por el recurso humano de la organizacin.

Impacto
Se relaciona con la severidad de las consecuencias en caso de que ocurra o se
materialice un riesgo, estas consecuencias o suelen traducirse en prdidas
monetarias, confianza, mercado, y de oportunidades de negocios.

3.6.2 Gestin de riesgos
El riesgo informtico es algo que no puede evitarse o mitigarse en su totalidad, pero
a travs de una adecuada gestin de riesgos puede mantenerse al mnimo el
porcentaje de incidencia.
185

Para que exista gestin de riesgo deben considerarse los elementos descritos en la
siguiente ecuacin:

ECUACIN GESTIN DE RIESGOS

Gestin Riesgo = Anlisis Riesgos + Tratamiento Riesgos

Figura 3.7
Fuente: Los Autores

3.6.3 Metodologa de anlisis de riesgos
El anlisis, cuantificacin y gestin de riesgo en las operaciones de la Sede
Guayaquil de la UPS, ha sido elaborado en base a la metodologa de gestin
MAGERIT.
MAGERIT (Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de
Informacin) es una metodologa promovida por el CSAE (Consejo Superior de
Administracin Electrnica) que persigue una aproximacin metdica al anlisis de
riesgos para la gestin de la seguridad que no deje lugar a la improvisacin ni que
dependa exclusivamente de la experiencia del analista de riesgos.
MAGERIT no pretende que la seguridad de la informacin sea absoluta, pues tal
aseveracin es inexistente. Siempre hay que aceptar un riesgo que debe ser
conocido y sometido al umbral de calidad que se requiere del servicio.

3.6.4 Anlisis y evaluacin de riesgos
A travs de la metodologa MAGERIT se realiz el anlisis de los riesgos existentes
en la Sede Guayaquil de la UPS incluido en el ANEXO1.

186
3.6.5 Enunciado de aplicabilidad
El Enunciado de aplicabilidad es uno de los principales documentos requeridos por la
norma ISO/IEC 27001.
Es un documento en el cual deben documentarse los objetivos de control o controles
seleccionados, as como las razones para su seleccin. Tambin debe registrarse la
exclusin de cualquier objetivo de control y controles enumerados en la norma.

3.7 CONCLUSIONES
Cabe concluir que este estudio de tesis esta orientada a poder identificar cada uno de
los puntos ms crticos que se ha venido presentado con el avance de la tecnologa
han llegado a ser considerado con una vulnerabilidad en la seguridad informtica.

Citando algunos de estos como la calidad de los servicios brindados por la
institucin; el servicio de mensajera , navegacin que es utilizado tanto por el
recurso humano dentro de la institucin como el personal docente, al no contener un
poltica que regule el uso de estos servicios y que permite que los mencionados
recursos sea utilizados de manera indiscriminada, es considerado como un factor
grave y atentatorio a la calidad de servicio y esta repercutir en los controles de la

La utilizacin de mtodos de encriptacin como de aquellos mecanismos de
autenticacin para salvaguardar los datos que viajan por la infraestructura
tecnolgica de la institucin son factores primordiales en la seguridad de la
informacin, ya que estos permiten mantener la confidencialidad de la informacin y
la confiabilidad que dicha informacin no ha sido alterado por algn tipo o
mecanismo de intrusin.

El adecuado manejo de una poltica documentada, ayudar en futuros procesos de
auditoria a saber los orgenes de cada uno de los cambios, como tambin a identificar
posibles omisiones a la seguridad que se han originados con el transcurso y avance
de la tecnologa.

187
Todos estos controles dentro de un poltica bien estructura permite mejorar los
niveles de seguridad ya sea en su parte fsica, estructural, tecnolgica y en la su parte
metdica documental, donde se podrn ir identificando cada uno de problemas
presentados. El cual podr ser tomado como tema de estudio para poder identificar
posibles mecanismos y falencia al momento de implementas controles y polticas de
seguridad dentro de una institucin.

3.8 Recomendaciones
La aplicacin de cada uno de los puntos de esta tesis contemplan las situaciones
actuales de la institucin, como aquellos puntos crticos omitidos en el actual
procedimiento de seguridad que la institucin maneja ; y el alto ndice de
inseguridad que se puede presentar al mantener el esquema actualmente utilizado.

Como parte del estudio realizado, este permiti identificar la omisin en ciertos
puntos de la seguridad, que con el desarrollo tecnolgico este se ha convertido en
una amenaza al tipo de negocio que maneja la institucin y a los servicios para el
manejo del personal humano.

El uso de los controles citados a los largo de este documento ayudaran a reducir el
ndice de riesgo obtenidos con los controles actuales; con un decrecimiento de un 50
a 60 % de los niveles de riesgos anteriormente citados.

La perfecta propagacin de la documentacin contenida en cada uno de los controles
y que haga referencia a las personas involucradas en los diferentes controles
ayudaran mucho a mantener bajo el nivel de incidencia en los controles de seguridad.

La implementacin de este documento permitir reducir el riesgo actualmente
encontrado en la seguridad presentado tanto a nivel de infraestructura como en la
parte de documentacin la cual presenta una carencia de informacin fsica no
implementada y tampoco difundida en los entornos de la institucin. El cual podr
servir como ayuda para futuras implementaciones y temas de estudio a nivel de la
misma institucin.

188
3.9 BIBLIOGRAFA

INTERNET
Wikipedia: Sin Autor: http://es.wikipedia.org/wiki/Informaci%C3%B3n

INTERNET
Asepal.es : Sin Autor :
http://www.asepal.es/adjuntos/fichero_211_20060920.pdf?PHPSESSID=1b4ed7642
56fc5e28c01a0dbdea3f1e5
INTERNET
Mondragn.edu : Sin Autor :
http://www.mondragon.edu/eps/jor/seguridad/JornadaSeguridadMCC-
MU_archivos/Nextel.pdf

INTERNET
Revista Ays : Sin Autor:
http://www.revista-ays.com/DocsNum14/Normas/Corletti.pdf

ISO / IEC
ISO / IEC: Documentacin Normas ISO/IEC serie 27000
ISO 27001 ISO 27002

INTERNET
ISO 27001 Blogspot : Sin Autor :
http://sgsi-iso27001.blogspot.com/

INTERNET
ISO 27000.es: Sin Autor:
http://www.iso27000.es/doc_sgsi_all.htm
ISMS Forum Spain
https://www.ismsforum.es/index.php

189
3.10 ANEXOS

ANEXO 1: Plan de Continuidad del Negocio
Definicin
El plan de continuidad del negocio es un proceso est diseado para prevenir
interrupciones que afecten el normal desempeo de las actividades relacionadas con
el negocio , evitando as perdidas a la institucin, las cuales pueden ser econmicas ,
causales de litigios legales , o incluso afectar la posicin que la institucin tiene en el
mercado.

En caso de la ocurrencia de un incidente que afecte algn recurso relacionado con el
negocio, y este no haya podido ser evitado, el plan de continuidad debe tender a
minimizar su impacto, tanto en tiempo como en sentido econmico. Estas acciones
pueden tener un alcance operativo o tecnolgico.

Ciclo de vida de una contingencia
El ciclo de vida de una contingencia comprende los diferentes eventos en lnea de
tiempo, lo cual incluye, el momento en el que existe normal operacin, la ocurrencia
de un incidente, las acciones para restablecer parcialmente las operaciones y el
momento en ocurre el restablecimiento a la normalidad de las operaciones.
CICLO DE VIDA DE UNA CONTINGENCIA

Figura 3.9
Fuente: Instituto de Estudios Bancarios Guillermo Subercaseaux

190
Los Desastres
Los desastres son eventos que impactan negativamente las operaciones del negocio,
causan interrupcin en la operacin de procesamiento de informacin crtica

Anlisis del impacto (BIA)
El Anlisis del impacto en el negocio tiene como objetivo determinar y entender que
procesos son fundamentales para mantener las operaciones continuas y calcular su
posible impacto. Este proceso es un elemento fundamental dentro del plan de
continuidad del negocio.
Segn el Business Continuity Institute los tres objetivos principales a tomar en
consideracin en el anlisis de impacto son los siguientes:

Entender los procesos crticos que soportan el servicio, estableciendo la
prioridad de cada uno de estos servicios y los tiempos estimados de
recuperacin (RTO).

Determinar los tiempos mximos tolerables de interrupcin (MTD).

Apoyar el proceso de determinar las estrategias adecuadas de recuperacin.

Clasificacin de los recursos en las operaciones

Crticos

Funciones que pueden realizarse slo si las capacidades se reemplazan por
otras idnticas.
No pueden reemplazarse por mtodos manuales.
Muy baja tolerancia a interrupciones.
Dentro de la Sede Guayaquil, los recursos crticos son los siguientes:

o Repositorios de informacin, archivos compartidos por red
o Servicio de Active Directory
o Sistema de informacin acadmico
191
o Sistema de informacin financiero
o Sistema de informacin de talento humano
o Servidores
o Equipos de conectividad de red (back-bone)
o Firewall
o Enlaces de datos Guayaquil-Cuenca
o Edificios, oficinas , sala de servidores
o Recurso humano

Vitales

Pueden realizarse manualmente por un periodo breve.
Costo de interrupcin un poco ms bajos, slo si son restaurados dentro de un
tiempo determinado 5 o menos das.
Dentro de la Sede Guayaquil, los recursos vitales son los siguientes:

o Correo Electrnico
o Estaciones de trabajo criticas
o Equipos de laboratorio
o Telefona VoIp

Sensitivos
Funciones que pueden realizarse manualmente por un periodo prolongado a
un costo tolerable.
El proceso manual puede ser complicado y requerira de personal adicional.
Dentro de la Sede Guayaquil, los recursos sensitivos son los siguientes:

o Acceso a Internet
o Video conferencia

192
No crticos
Funciones que pueden interrumpirse por tiempos prolongados a un costo
pequeo o nulo.
Dentro de la Sede Guayaquil, los recursos sensitivos son los siguientes:
o Estaciones de trabajo, normales

Figura 3.10

Metodologa utilizada para el desarrollo del BIA
El impacto de anlisis del negocio permite determinar las labores y recursos
esenciales para respaldar la continuidad del negocio , su criticidad, el impacto que
tendr en el negocio , sus del negocio DE SISTESEG, su criticidad, su impacto para
el negocio, sus RTOs (Recovery Time Objective tiempo de recuperacin objetivo),
RPOs (Recovery Point Objective) o punto de recuperacin objetivo y MTD
(Maximum Tolerable Downtime tiempo mximo tolerable fuera de servicio) Para
este fin debe seguirse el siguiente proceso:

1. Identificar instalaciones
2. Identificar procesos en cada instalacin:
3. Analizar la criticidad de los procesos en cada instalacin
4. Calcular el RTO, RPO y MTD de cada proceso en cada instalacin:
5. Determinar procesos crticos en cada instalacin:
193

Figura 3.11

RTO (Recovery Time Objective)
Es la duracin de tiempo dentro del cual un proceso dentro del negocio debe ser
restablecido luego de una interrupcin o desastre a fin de evitar consecuencias
inaceptables para la organizacin.

Esto incluye el tiempo el tiempo destinado a solucionar el problema sin realizar un
recovery, el proceso de recovery como tal y comunicacin con los usuarios.

194
El RTO es establecido durante el Anlisis de impacto del negocio (BIA) por el
propietario del proceso, el cual deber ser aprobado por el Oficial de seguridad
informtica.
RTO (Recovery Time Objective)

Figura 3.12
Fuente: Los Autores

El impacto de anlisis del negocio permite determinar las labores y recursos
esenciales para respaldar la continuidad del negocio, su criticidad, e impacto.
RPO (Recovery Point Objective)
EL RTO expresa la cantidad de datos que una aplicacin puede llegar a perder antes
de que ello suponga repercusiones negativas para la empresa.

Va estrechamente relacionado con la disponibilidad de informacin respaldada a la
cual reversar en caso de una interrupcin o un desastre, la cantidad de informacin o
transacciones realizadas desde el ltimo punto de recovery y el incidente es la
cantidad de data perdida.
6 horas
RTO
Tiempo
Desastre o interrupcin
195
Cuanto ms se aproximen los valores RPO y RTO de una aplicacin a cero, mayor
ser la dependencia de la organizacin del proceso en particular y, por consiguiente,
mayor prioridad tendr a la hora de recuperar los sistemas en caso de desastre

RPO (Recovery Point Objective)

Figura 3.13
Fuente: Los Autores
WRT (Work Recovery Time)
El WRT comprende la cantidad de tiempo necesario para restaurar la data y
transacciones comprendidas desde el punto de recovery o ltimo backup disponible,
adems de la data o transacciones realizadas manualmente desde la incidencia del
desastre o interrupcin hasta el RTO.

6 horas
RTO
Tiempo
RPO
01:00am
Backup
08:00am
196
WRT (Work Recovery Time)

Figura 3.14
Fuente: Los Autores

MTD (Maximum Tolerable Downtime)
Este trmino se refiere al mximo de tiempo tolerable contado desde la incidencia
del desastre o la interrupcin hasta la recuperacin total del servicio y de la data o
transacciones realizadas, en otras palabras el restablecimiento total del servicio luego
del incidente.

RPO
6 horas
RTO
Tiempo
01:00am
Backup
08:00am
WRT
2 horas
Transacciones manuales
197
MTD (Maximum Tolerable Downtime)
MTD = RTO + WRT

Figura 3.15
Fuente: Los Autores

Desarrollo de plan de contingencia
Las condiciones de normal operacin pueden verse interrumpidas por diversos tipos
de incidentes encasillados en las siguientes categoras:
PERDIDA DE DATOS
En esta categora se agrupan eventos relacionados con prdida de informacin.

o Recursos envueltos
En esta categora podra incluirse los repositorios de informacin y archivos
compartidos por
RPO
6 horas
RTO
Tiempo
01:00am
Backup
08:00am
WRT
2 horas
Transacciones manuales
MTD
198
No se incluye la informacin utilizada por los sistemas de informacin debido
a que esta se encuentra almacenada en servidores que forman parte de la
infraestructura de red de la Sede Matriz en Cuenca, sobre la cual el
departamento de sistemas de la sede Guayaquil no ejerce administracin.
o Causas
Perdida de datos causados por terrorismo, sabotaje, robo, software malicioso,
virus, Worms, entre otros

o Medidas de Prevencin (recomendaciones)
Generar respaldos peridicos
Mantener una poltica de respaldos y pruebas de restablecimiento de
informacin, a fin de asegurarse que en caso de perdida, la misma pueda
ser restaurada y estar disponible para las operaciones.

Resguardo Externo
De preferencia, una copia de los respaldos deben ser almacenados en
ubicaciones externas, garantizando la disponibilidad del respaldo en caso
de que la perdida sea causada por una catstrofe natural tal como
incendios, terremotos, inundacin, entre otros.

Copiado Remoto de datos
En vista que existe un enlace de datos hacia Cuenca, podra utilizarse este
canal para realizar copia remota de datos, la cual puede ser configurable
para ser realizada calendarizadamente por las noches, con esto se
garantiza otro recurso de recuperacin en caso de prdida.

Imgenes de Disco
Podra adoptarse como complemento a la poltica de respaldos, la
realizacin de una copia exacta conocida como imagen de disco, en vista
del volumen en almacenamiento que esto requerira podra realizarse
semanal, o quincenalmente.

Antivirus, Antispyware
199
A fin de evitar que los archivos de informacin almacenados en el
repositorio sean comprometidos por la existencia de cdigo malicioso es
necesario mantener actualizada la solucin antivirus con la ltima versin
tanto del motor antivirus como con las ltimas firmas de definicin de
virus.

INTERRUPCIONES OPERACIONALES
En esta categora se agrupan eventos relacionados con prdida de disponibilidad de
algn tipo de equipamiento.

Recursos envueltos
Los recursos envueltos en esta categora son:

Servicio de Active Directory
Sistema de informacin acadmico
Sistema de informacin financiero
Sistema de informacin de talento humano
Servidores
Equipos de conectividad de red (back-bone)
Firewall
Enlaces de datos Guayaquil-Cuenca
Estaciones de trabajo criticas
Equipos de laboratorio
Telefona VoIp
Acceso a Internet
Video conferencia
Estaciones de trabajo, normales

Causas
Perdida de disponibilidad causada por fallas de hardware, fallas elctricas,
fallas en componentes internos de los equipos tales como discos duros o
memorias, y robo de hardware.
Medidas de Prevencin (recomendaciones)
200
Datacenter de contingencia
Centros de datos que agrupan una rplica de los sistemas, servicios, e
informacin que el sitio principal, el trafico es diseccionado manual o
automticamente cuando el sitio principal es detectado como fuera de
servicio.
Los Datacenter de contingencia son recomendados para ambientes con
un flujo transaccional muy alto, en los cuales se justifica los elevados
costos de inversin. Al momento las operaciones en la sede Guayaquil
no requeriran la implementacin de un esquema de Datacenter de
contingencia, en caso de un crecimiento futuro en la infraestructura,
pero sobre todo en un aumento en la criticidad de los sistemas, podra
considerarse un Datacenter de contingencia como una buena opcin
de continuidad de negocio.

Equipamiento redundante
Es vital establecer redundancia principalmente en los puntos ms
crticos de la infraestructura.

Servicio de Active Directory
Microsoft recomienda mantener mltiples controladores de dominio y
servidores de catlogo globales en varias ubicaciones que replican con
frecuencia la informacin del directorio. Para proteger
Active Directory en el nivel del servidor, se necesita hacer copias de
seguridad peridicas de los controladores de dominio y servidores de
catlogo global, incluyendo una copia de seguridad del estado del
sistema de los servidores de directorio en la organizacin.
Servidores, Sistemas de Informacin
Los sistemas de informacin y servicios residentes en los servidores
existen varios componentes que son necesarios para su correcto
funcionamiento. Mltiples son las probabilidades, tales como fallos en
el servidor, fallos en disco, fuentes de alimentacin elctrica, tarjetas
de red, etc. Es por esto que el plan de continuidad requiere se
considere la implementacin de lo siguiente:
201
Redundancia en Procesador
Utilizar discos Hotswap
Redundancia en Discos (RAID 1-5-10)
Redundancia en interfaces de Red
Fuentes de alimentacin redundantes
Redundancia en Suministro elctrico como UPS y generadores
de energa elctrica.

Equipos de conectividad de red (back-bone)
A fin de garantizar la conectividad de red puede modificarse la
topologa de red a fin de que existan al menos dos diferentes
caminos para llegar a los puntos de conexin crticos. Adicional a
esto puede adquirirse equipos de conectividad o concentradores
adicionales y configurarlos en redundancia.

202
INTERNET
REDES WAN

Figura 3.16
Fuente: Los Autores
Redundancia en Firewall
El firewall es un elemento de hardware (Cisco ASA) ubicado
generalmente en el permetro con la finalidad de controlar las
comunicaciones mediante permitir o denegar conexiones segn la
poltica de seguridad definida por el responsable de la red.

A fin de evitar prdidas de servicio debido a fallas presentadas en este
dispositivo puede establecerse un esquema de redundancia, ya sea en
alta disponibilidad o modo activo/pasivo, o en modo balanceo de
carga tambin llamado modo activo/activo.

Con este esquema de redundancia, en caso de un dao en uno de los
firewall, el dispositivo de contingencia puede atender todo el trfico y
as mantener el servicio.

203
ESQUEMA DE FIREWALLS REDUNDANTES

Internet
Sincronizacin
Switch / VLAN
Eth0 : Eth0 :
Switch / VLAN
Eth1 Eth1
Figura 3.17
Fuente: Los Autores

Enlaces de datos Guayaquil-Cuenca
Al momento existen dos enlaces hacia Cuenca, el enlace provisto por
la Corporacin Nacional de Telecomunicaciones, cuyo ancho de
banda es de 512Kb, y un enlace contratado con Telconet con ancho de
banda de 1Mb. Esto provee tolerancia a fallos en alguno de los
enlaces.
Enlaces de Internet
La sede cuenta con una conexin a Internet provista por Telconet, con
un ancho de banda de 6Mb, en caso de existir un fallo en la
infraestructura del proveedor, la sede perdera completamente este
servicio.

Con este fin existen soluciones de redundancia aplicables tanto en el
segmento de red administrado por el proveedor como soluciones
aplicables en el dispositivo que protege el permetro (firewall). En este
caso el firewall contara con una interfaz de red adicional que
establecera conectividad hacia Internet a travs de un proveedor
distinto a Telconet, en caso de existir una falla en alguno de los dos
enlaces, se enrutara todo el trfico a travs del enlace activo, tal como
se muestra en la figura a continuacin.
204
Redundancia de ISPs

Figura 3.18
Fuente: Los Autores

Equipos de contingencia

Existen elementos dentro de la red de datos de la sede que no
requeriran un esquema de redundancia a pesar de ser equipos crticos
para la institucin.

En esta categora podramos definir, los computadores utilizados en
secretaria, direcciones de carrera, telefona VoIp, y dems equipos
relacionadas con tareas que no deberan verse interrumpidas durante
largo tiempo debido a la ocurrencia de un dao severo de hardware o
software, en estos casos sera aplicable contar con equipos de
contingencia o reserva de similares o superiores caractersticas listos
para ser utilizados en caso de requerirse.

205
ANEXO 4

COSTOS DEL PROYECTO

El presente proyecto est delimitado a la fase de PLANEACION de un SGSI, fase
que no implica tareas de implementacin, aplicacin ni mejora continua.

La fase de planeacin requiere un estudio de la situacin actual, y definicin de los
riesgos y poltica de seguridad.

Las tareas asociadas con la fase de planeacin requieren el uso de recursos
econmicos, humanos y tecnolgicos tal como se detallan a continuacin:

Equipamiento

Computadoras

Horas trabajo hombre / asesoras

Acceso a Internet

Movilizaciones

Impresiones

Encuadernacin

Comunicaciones

Los costos en que se ha incurrido por los conceptos anteriormente citados han sido
asumidos por los autores del proyectos y no ha representado una inversin
econmica para la Universidad.

En caso de que la Universidad decida proceder con las fases posteriores a la
PLANEACION del SGSI, deber incurrir en gastos de implementacin y
certificacin por parte de una consultora acreditada. Estos costos no son incluidos al
encontrarse fuera del alcance de este estudio.

SGSI Tesis

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

SGSI Tesis

Uploaded by

Copyright:

Available Formats

UNIVERSIDAD POLITCNICA SALESIANA

You might also like