planeación y diseño SGSI basado 27001 - 27002

UNIVERSIDAD POLITÉCNICA SALESIANA

SEDE GUAYAQUIL

FACULTAD DE INGENIERÍAS

CARRERA: INGENIERÍA EN SISTEMAS

Tesis previa a la obtención del título de: Ingeniero en Sistemas

TÍTULO

Planeación y Diseño de un Sistema de Gestión de Seguridad de la

Información basado en la norma ISO/IEC 27001 - 27002

AUTORES:

José Luis Buenaño Quintana

Marcelo Alfonso Granda Luces

DIRECTOR:

Ing. Ricardo Naranjo

Guayaquil – Ecuador

Diciembre de 2009

II

Señores:

UNIVERSIDAD POLITÉCNICA SALESIANA

Consejo de Carrera Ingeniería en Sistemas

Ciudad.-

Tenemos el agrado de dirigirnos a ustedes con la finalidad de dejar constancia de la

presente declaración de responsabilidad en el desarrollo del trabajo de tesis

Planeación y Diseño de un SGSI basado en la norma ISO/IEC 27001 – 27002.

Es así que los conceptos desarrollados, análisis realizados y las conclusiones del

presente trabajo, son de exclusiva responsabilidad de los autores.

Atentamente,

Guayaquil, 8 diciembre del 2009

_________________________

José Luis Buenaño Quintana

_________________________

Marcelo Alfonso Granda Luces

III

Dedicatorias y agradecimientos

Deseamos expresar nuestra profunda gratitud a quienes directa o indirectamente

colaboraron con el desarrollo del presente trabajo, entre ellos:

A nuestras respectivas familias, por su constante comprensión y estimulo

junto con su continuo y afectuoso aliento.

Al Ing. Ricardo Naranjo, director de tesis, por la colaboración y asistencia

constante durante el desarrollo de este trabajo de tesis

Al Ing. Javier Ortiz , cuya colaboración fue crucial para el desarrollo de este

proyecto, por su permanente disposición y desinteresada ayuda

A cada uno de los docentes que aportó a través de nuestros años de estudio

valiosos conocimientos que fomentaron nuestra capacidad y experiencia.

IV

Índice General

CAPÍTULO 1 : DISEÑO DE LA INVESTIGACIÓN Página

1.1 Antecedentes de la investigación……………………………… 6

1.2 Problema de investigación. …………………………………… 6

1.2.1 Formulación del problema de investigación. …………… 7

1.2.2 Sistematización del problema de investigación………… 7

1.3 Objetivos de la investigación. ………………………………… 8

1.3.1 Objetivo general………………………………………… 8

1.3.2 Objetivos específicos…………………………………… 8

1.4 Justificación de la investigación……………………………… 9

1.5 Marco de referencia de la investigación……………………… 10

1.5.1 Marco teórico…………………………………………… 10

1.5.2 Marco conceptual (Glosario de términos) ……………… 15

1.6 Formulación de la Hipótesis y variables……………………… 17

1.6.1 Hipótesis general………………………………………… 17

1.6.2 Hipótesis particulares…………………………………… 17

1.7 Aspectos metodológicos de la investigación………………… 18

1.7.1 Tipo de estudio…………………………………………… 18

1.7.2 Método de investigación………………………………… 19

1.7.3 Fuentes y técnicas para la recolección de información… 20

1.7.4 Tratamiento de la información…………………………… 21

1.8 Resultados e impactos esperados …………………………… 22

CAPÍTULO 2: ANÁLISIS, Y DIAGNÓSTICO

2.1 Análisis de la situación actual………………………………… 24

2.2 Análisis comparativo, evolución, tendencias y perspectivas… 25

2.2.1 Pregunta 1……………………………………………… 25

2.2.2 Pregunta 2……………………………………………… 26

2.2.3 Pregunta 3……………………………………………… 27

2.2.4 Pregunta 4……………………………………………… 28

2.2.5 Pregunta 5……………………………………………… 28

2.2.6 Pregunta 6……………………………………………… 29

V

2.3 Verificación de hipótesis……………………………………… 30

CAPÍTULO 3: PROPUESTA DE CREACIÓN

3.1 Definición……………………………………………………… 37

3.2 Alcance………………………………………………………… 37

3.3 Plan de implementación………………………………………… 40

3.4 Alcances del SGSI……………………………………………… 41

3.5 Política de seguridad de la información………………………… 43

3.5.1 Política de Seguridad -A.5……………………………… 43

3.5.2 Organización de la seguridad de la información - A.6… 47

3.5.3 Gestión de Activos - A.7………………………………… 55

3.5.4 Seguridad de los recursos humanos - A.8……………… 73

3.5.5 Seguridad física y ambiental - A.9………………………... 79

3.5.6 Gestión de las comunicaciones y operaciones - A.10……. 94

3.5.7Control de Accesos - A.11………………………………..… 122

3.5.8 Adquisición, desarrollo y mantenimiento de los S.I- A.12… 150

3.5.9 Gestión de incidente en la seguridad de información….… 170

3.5.10 Gestión de la continuidad del negocio - A.14……………. 177

3.5.11 Cumplimiento - A15………………….…………………... 180

3.6 Gestión de riesgos……………………………………………… 183

3.7 Conclusiones……………………………………………………. 186

3.8 Recomendaciones……………………………………………… 187

3.9 Bibliografía…………………………………………………… 187

3.10 Anexo1: Plan de continuidad del negocio………………… 189

3.11 Anexo2: Activos de Información

3.12 Anexo 3: Gestión de riesgo y Enunciado de aplicabilidad

5

CAPÍTULO I

DISEÑO DE LA INVESTIGACIÓN

6

1.1.1 Antecedentes de la investigación

Durante el constante proceso de evolución del uso de la tecnología como soporte a

las operaciones en las organizaciones, siempre ha existido la preocupación por evitar

incidentes que comprometan la seguridad de la información.

Diversas han sido las herramientas de orden técnico que se han desarrollado, creado

o mejorado a fin de contrarrestar los riesgos asociados al uso de la tecnología, sin

embargo, ha sido evidente que ningún mecanismo técnico de seguridad, logra ser

completamente efectivo, e incluso deja de cumplir su propósito si no se controla al el

elemento más sensible, el recurso humano.

Es por eso que la seguridad de la información consiste en combinar de manera

coherente las herramientas técnicas de seguridad y a la vez gestionar el

comportamiento del factor humano tratando de reducir en la mayor medida posible

las vulnerabilidades o posibles atentados contra la seguridad de la información y

sistemas.

1.2 Problema de investigación

Luego de analizar la infraestructura tecnológica de la Sede Guayaquil de la

Universidad Politécnica Salesiana, es notable el crecimiento experimentado con el

paso de los años, este hecho ha provocado que los controles a nivel de seguridad de

la información que se encuentran vigentes, no sean los adecuados para garantizar la

disponibilidad, integridad, y confidencialidad de la información, razón por la cual es

necesario sean revisados y mejorados.

En caso de no remediarse la situación anteriormente expuesta, se eleva

exponencialmente el riesgo de ocurrencia de incidentes de seguridad, pérdida de

información o disponibilidad de los servicios y sistemas que sustentan la operación

de la sede, esto redundaría en pérdidas económicas y podría generar desconfianza

tanto sobre la imagen que la institución mantiene en el medio académico, así como

sobre los futuros profesionales que egresen de la Universidad.

7

Al encontrar un mecanismo que logre regular, gestionar y mitigar al máximo los

riesgos actuales por el uso de la información le será posible a la institución controlar

las amenazas actuales en los sistemas informáticos

1.2.1 Formulación del problema de investigación

¿Cómo se podrían mitigar los riegos asociados al uso de la información de los

sistemas y servicios informáticos brindados dentro de la sede Guayaquil de la

Universidad Politécnica Salesiana?

1.2.2 Sistematización del problema de investigación

¿De qué manera tendría que organizarse al personal encargado de la administración

del los recursos informáticos a fin de asegurar que la información se mantenga y

manipule de forma segura?

¿Cómo puede asegurarse el uso aceptable de los recursos y sistemas de información

por parte de los funcionarios de la sede a fin de mitigar los riesgos?

¿De qué manera debería controlarse al recurso humano a fin de que éste no se

convierta en un elemento que pueda vulnerar la seguridad de la información o de los

recursos entregados al personal?

¿Cómo pueden salvaguardarse los recursos informáticos de catástrofes naturales,

robos, pérdidas, daños intencionales o no intencionales que puedan afectar la

disponibilidad de los recursos?

¿Cómo gestionar de manera segura las comunicaciones y operaciones informáticas?

¿Cómo evitar el acceso no autorizado a la información de los sistemas y servicios

utilizados por la Universidad?

¿Cómo mantener seguro el proceso de desarrollo de software y soluciones

tecnológicas?

8

¿Cómo debería procederse en caso de ocurrir un incidente de seguridad en un

sistema o servicio informático?

¿Cómo asegurar que se dé fiel cumplimiento a la política de seguridad de la

información?

1.3 Objetivos de la investigación

1.3.1 Objetivos generales

Establecer cuáles serían los mecanismos adecuados para mitigar los riesgos

asociados al uso de la información, de los sistemas y servicios informáticos

utilizados por el personal de la sede Guayaquil de la Universidad Politécnica

Salesiana.

1.3.2 Objetivos específicos

Establecer la manera adecuada de organizar al personal encargado de la

administración del los recursos informáticos, a fin de asegurar que la información se

mantenga y manipule de forma segura.

Descubrir y plantear los controles necesarios para asegurar el uso aceptable de los

recursos y sistemas de información por parte de los funcionarios de la sede.

Tabular de forma detallada, qué tipo de controles deberían aplicarse sobre el recurso

humano a fin de que éste no se convierta en un elemento vulnerable, que ponga en

riesgo la seguridad de la información o de los recursos tecnológicos.

Determinar la manera más eficiente de salvaguardar los recursos informáticos de

catástrofes naturales, robos, pérdidas, y daños intencionales o no intencionales que

puedan afectar la disponibilidad del recurso.

Especificar mecanismos que permitan mantener seguras las comunicaciones y

operaciones informáticas.

9

Establecer controles que permitan evitar el acceso no autorizado a la información de

los sistemas y servicios utilizados por la Universidad.

Proveer lineamientos de seguridad que mantengan a buen recaudo el proceso de

desarrollo de software y soluciones tecnológicas.

Determinar la manera adecuada de proceder en caso de ocurrir un incidente de

seguridad en un sistema o servicio informático.

Hallar los mecanismos adecuados a fin de garantizar la continuidad de las

operaciones de la sede Guayaquil de la Universidad Politécnica Salesiana.

Asegurar que se dé fiel cumplimiento a la política de seguridad de la información a

través de procedimientos y políticas.

1.4 Justificación de la investigación

Mediante la implementación de un SGSI – Sistema de Gestión de Seguridad de la

Información- la Universidad conseguiría minimizar considerablemente el riesgo de

que su productividad se vea afectada debido a la ocurrencia de un evento que

comprometa la confidencialidad, disponibilidad e integridad de la información o de

alguno de los sistemas informáticos.

Información financiera, nómina, cuentas por cobrar, y académica debería estar

siempre disponible, a fin de no afectar el normal flujo de operaciones de la

institución.

Los sistemas informáticos deben cumplir su objetivo, a saber, estar siempre

disponibles para servir de apoyo a las labores principalmente académicas que la

institución lleva a cabo.

La no disponibilidad de alguno de estos sistemas, tal como el sistema general de

facturación, académico y demás, dilataría los tiempos de atención a los estudiantes o

funcionarios, lo cual incidiría negativamente en la imagen de la institución y en el

10

nivel de satisfacción de los docentes como clientes internos, así como en los

estudiantes en su calidad de clientes externos.

El funcionario o área encargada de la seguridad informática, mediante la

implantación de un SGSI logrará controlar y evitar eventos como los citados

anteriormente, que evidentemente comprometerían el rendimiento financiero y

organizacional de la Universidad.

1.5 Marco de referencia

1.5.1 Marco teórico

Al encontrarnos actualmente en una era en que las operaciones son altamente

dependientes de la tecnología, la información es el bien más preciado que las

organizaciones poseen, tanto así que una pérdida considerable o total de la misma, le

produciría consecuencias catastróficas a una organización.

La evolución de las comunicaciones, y la dependencia casi absoluta a Internet, pone

en un riesgo mayor a este preciado bien. A diario alrededor del mundo, millones de

computadores personales o equipos servidores son asechados y atacados por piratas

informáticos quedando expuesta información confidencial, tales como datos

personales, números de tarjetas de crédito, información sobre precios, productos,

planes estratégicos, y demás datos críticos que a través de Internet son transmitidos a

menudo de forma insegura.

Los piratas informáticos dirigen a diario millones de intentos de ataques en busca de

vulnerabilidades técnicas o “descuidos humanos” los cuales forman la brecha de

seguridad más comúnmente presentada en los sistemas expuestos a Internet.

Estos ataques en ocasiones son realizados con fines fraudulentos, otros con el

objetivo específico de sabotear las operaciones de una empresa o institución,

buscando generar desconfianza sobre la organización, o simplemente el deseo de

probar o evaluar qué tan robusta pudiera ser la seguridad de algún sistema expuesto,

deseo alimentado generalmente por mera curiosidad.

11

Indistintamente del motivo, los riesgos y el impacto que se produce debido a estos

ataques son considerables y se traducen a la larga en costos y pérdidas para la

institución, empresa u organización.

CSI Computer Crime & Security Survey, organización que recopila información de

la comunidad informática en los Estados Unidos de América, sobre como han sido

afectados sus respectivos entornos tecnológicos y de red por crímenes informáticos,

presentó varios datos estadísticos en su informe anual los cuales se mencionan a

continuación:

El la figura 1.1, se detalla el ámbito de actividad en el que se desempeñaban las

organizaciones consultadas.

Actividad desempeñada por las organizaciones encuestadas

Figura 1.1

Fuente: CSI Computer Crime & Security Survey - 2008 CSI Computer Crime and

Security Survey - : Robert Richardson, CSI Director}

12

Entre los datos más relevantes incluidos en éste reporte anual tenemos los datos:

En los casos en que existieron fraudes de índole financiero las perdidas

llegaron a ascender a los USD. $500.000.

Casi el 50% de las organizaciones consultadas reconocieron haber tenido

incidentes relacionados con código malicioso o virus.

Cerca del 10% de las organizaciones sufrieron incidentes relacionados con el

servicio de resolución de nombres o DNS (Domain Name Service).

El 27% de las organizaciones mencionadas en el punto anterior reconocieron

que estos ataques habían sido específicamente apuntados a su organización y

no un ataque al azar.1

Ocurrencia de incidentes de seguridad en el año 2008

Figura 1.2


Security Survey - : Robert Richardson, CSI Director

____________________

1RICHARDSON, Robert, CSI Computer Crime & Security Survey - 2008 CSI Computer Crime and

Security Survey, USA, p. 2

13

Organizaciones que reportaron pérdidas debido a intrusiones en el año 2008

Figura 1.3



Principales tipos de incidencias ocurridas por año

Figura 1.4


Security Survey - : Robert Richardson, CSI Directo

Estos eventos ocurrieron inclusive organizaciones que contaban con herramientas de

seguridad, lo cual comprueba que no basta con estar a la vanguardia de las

soluciones de seguridad informática disponibles en el mercado.

14

Herramientas de seguridad utilizadas

Figura 1.5



Como puede concluirse por los datos estadísticas anteriormente expuestos el afán de

preservar la integridad, confidencialidad y disponibilidad de la información, no

puede basarse únicamente en mecanismos técnicos, que en algún momento pueden

también ser vulnerables, nombrando entre ellos firewalls, sistemas de prevención de

intrusos, aplicaciones antivirus, y demás.

La gestión efectiva de la seguridad de la información va un paso más adelante, en

ella se involucra a toda la organización y sus miembros, la dirección, inclusive los

proveedores y clientes, todos guiándose por una política definida en la que se

establezca las directrices a seguir, existiendo procedimientos precisos para las

diferentes acciones técnicas o no técnicas en las que la información se vea

involucrada.

Mediante un SGSI - Sistema de Gestión de Seguridad de la Información- la

institución como tal conoce los riesgos a los que su información se ve expuesta,

consiguiendo mantenerlos en un nivel mínimo y sobre todo controlarlos mediante

una lógica definida y documentada.

15

1.5.2 Marco conceptual

La Norma ISO/IEC 27001, la cual brinda directrices para la implementación de un

Sistema de Gestión de Seguridad de la Información incluye una sección denominada

“Términos y definiciones” las cuales se detallan a continuación:

Activo

Cualquier cosa que tenga valor para la organización.

Disponibilidad

La propiedad de estar disponible y utilizable cuando lo requiera una entidad

autorizada.

Confidencialidad

La propiedad que esa información esté disponible y no sea divulgada a

personas, entidades o procesos no-autorizados 2

Seguridad de información

Preservación de la confidencialidad, integridad y disponibilidad de la

información; además, también pueden estar involucradas otras propiedades

como la autenticidad, responsabilidad, no-repudio y confiabilidad.

Evento de seguridad de la información

Una ocurrencia identificada del estado de un sistema, servicio o red indicando

una posible violación de la política de seguridad de la información o falla en

las salvaguardas, o una situación previamente desconocida que puede ser

relevante para la seguridad.

____________________

2El sistema gerencial incluye la estructura organizacional, políticas, actividades de

planeación, responsabilidades, prácticas, procedimientos, procesos y recursos integridad la

propiedad de salvaguardar la exactitud e integridad de los activos. (ISO/IEC 13335-1:2004)

16

Sistema de gestión de seguridad de la información SGSI

Esa parte del sistema gerencial general, basado en un enfoque de riesgo

comercial; para establecer, implementar, operar, monitorear, revisar,

mantener y mejorar la seguridad de la información.

Riesgo residual

El riesgo remanente después del tratamiento del riesgo.

Aceptación de riesgo

Decisión de aceptar el riesgo.

Análisis de riesgo

Uso sistemático de la información para identificar fuentes y para estimar el

riesgo.

Valuación del riesgo

Proceso general de análisis del riesgo y evaluación del riesgo.

Evaluación del riesgo

Proceso de comparar el riesgo estimado con el criterio de riesgo dado para

determinar la importancia del riesgo.

Gestión del riesgo

Actividades coordinadas para dirigir y controlar una organización con

relación al riesgo.

Tratamiento del riesgo

Proceso de tratamiento de la selección e implementación de medidas para

modificar el riesgo.

17

Enunciado de aplicabilidad

Enunciado documentado que describe los objetivos de control y los controles

que son relevantes y aplicables al SGSI de la organización. 3

1.6 Formulación de hipótesis y variables

1.6.1 Hipótesis General

A través de un SGSI es posible establecer los mecanismos adecuados que mediante

su aplicación permiten mitigar al máximo los riesgos asociados al uso de la

tecnología, información y sistemas informáticos, salvaguardando los recursos de la

sede.

1.6.2 Hipótesis Particulares

Se puede mantener un control adecuado sobre las actividades relacionadas con la

seguridad que el personal encargado realiza a través de aplicar los controles

mencionados en el apartado Organización de la seguridad de la información de la

norma.

Al aplicar los controles que forman parte del apartado Gestión de Activos se puede

asegurar que se de un uso aceptable de los recursos y sistemas de información por

parte de los funcionarios de la sede a fin de mitigar los riesgos.

A través de la aplicación del apartado Seguridad de los recursos humanos, es posible

controlar al recurso humano a fin de que este no se convierta en un factor que pueda

vulnerar la seguridad de la información o de los recursos entregados a los mismos.

La política de Seguridad física y ambiental incluida en la norma permite mediante su

aplicación salvaguardar eficientemente los recursos informáticos de catástrofes

naturales robos, perdidas, y daños intencionales o no intencionales que puedan

afectar la disponibilidad del recurso

____________________

3 En este Estándar Internacional el término ‘control’ se utiliza como sinónimo de ‘medida’.

18

El apartado Gestión de las comunicaciones y permitirán mantener seguras las

comunicaciones y operaciones informáticas.

Como parte de la norma se incluye una sección de Control de Accesos que mediante

su aplicación en las operaciones informáticas de la sede, evitará el acceso no

autorizado a la información de los sistemas y servicios utilizados por los

funcionarios, docentes, y estudiantes de la sede.

La sección Adquisición, desarrollo y mantenimiento de los sistemas de información

establece lineamientos de seguridad que permitan mantener seguro el proceso de

adquisición y desarrollo de soluciones tecnológicas.

Mediante la política de Gestión de un incidente en la seguridad de la información se

proveen directrices sobre cómo proceder en caso de ocurrir un incidente de seguridad

en un sistema o servicio informático.

Como parte del SGSI se incluye la Gestión de la continuidad del negocio que

mediante su aplicación ayudarán a mantener activos y disponibles los sistemas, datos

y servicios que sustentan las operaciones fundamentales de la institución.

El apartado de Cumplimiento provee una guía que permite asegurar que se dé fiel

cumplimiento a la política de seguridad de la información a través de procedimientos

y políticas.

1.7 Aspectos metodológicos de la investigación

1.7.1 Tipos de estudio

En el desarrollo de un proyecto pueden utilizarse diferentes tipos de estudios o

investigación, entre estos tenemos:

19

Tipo de investigación descriptiva

Este proyecto utilizó investigación descriptiva pues detalla en forma breve y

especifica los componentes de la investigación permitiendo comprobar en forma

sistemática y progresiva las necesidades de la entidad objeto de estudio.

Tipo de investigación no experimental

La presente investigación es no experimental pues las circunstancias implicadas o

características del objeto de estudio no son modificables, el investigador no posee

control sobre estas, ni tiene la capacidad de influir sobre ellas pues ya han ocurrido.

El investigador tampoco posee control sobre los efectos causados por las

circunstancias vigentes en la institución.

Tipo de investigación explicativa

Es explicativa pues a través del proceso de investigación, intenta establecer las

causas de los eventos objeto de este estudio, mediante el análisis de la situación

actual queda claramente explicita la necesidad de normalizar los controles en lo

referente a la seguridad de la información.

Tipo de investigación de campo

Esta investigación es de campo pues se apoya en información obtenida mediante

entrevistas, reuniones, observación y asesoramiento técnico.

1.7.2 Métodos de investigación

Durante el desarrollo de este proyecto se utilizaran los métodos de investigación

inductiva y deductiva.

Además se aplicarán las siguientes técnicas de investigación:

20

Observación directa

Cuestionarios

Podemos decir que se utilizará el método inductivo deductivo, pues ayuda a la

identificación o determinación de que controles o aspectos de la política son

aplicables a la institución, así como descartar aquellos que no sean necesarios.

Adicionalmente se utilizaran los siguientes procedimientos:

Analítico

Distinción y separación de las partes. Obtención de un cuerpo compuesto a partir de

la combinación de cuerpos simples o de cuerpos compuestos más sencillos que el

que se trata de obtener. Este procedimiento se utilizará para descomponer y disponer

de forma estructurada los diferentes aspectos a aplicar como parte de la política de

seguridad de la información de la sede.

Para obtener información relevante que permita la realización de este proyecto se

recurrirá a la técnica de investigación descriptiva, la misma que mediante la

observación y entrevistas se ocupa en descubrir y comprobar la relación entre las

variables de la investigación, permitiendo así descubrir y establecer las necesidades

reales y la relevancia de cada aspecto del proyecto.

Análisis (analítico)

Deducción (método deductivo)

Análisis datos históricos

Enfoque del sistema (experimental)

Estudio de estándar (descriptivo)

1.7.3 Fuentes y técnicas de recolección de la información

Para el desarrollo de esta tesis los autores han utilizado los siguientes mecanismos de

recolección de información:

21

Observación

Entrevistas

Datos estadísticos

Discusión con personal capacitado

Evaluación en base a experiencia

1.7.4 Tratamiento de la información

Durante el desarrollo de este proyecto se recopiló información relacionada con el uso

de tecnologías de información dentro de la sede Guayaquil de la UPS, se realizó un

estudio de la información recibida, topología de red, herramientas y aplicativos

utilizados, para luego establecer las políticas y procedimientos aplicables a la

institución.

Para este fin se utilizaron las siguientes técnicas de tratamiento de información:

Experimentación

“La experimentación, método común de las ciencias y las tecnologías,

consiste en el estudio de un fenómeno, reproducido generalmente en

condiciones particulares de estudio que interesan, eliminando o introduciendo

aquellas variables que puedan influir en él. Se entiende por variable todo

aquello que pueda causar cambios en los resultados de un experimento y se

distingue entre variable independiente, dependiente y controlada.”4

Registro

Es común que durante el proceso de recolección de información, parte de ella

no sea recordada o se pierda debido a no contar con un registro adecuado de

cada dato importante, al realizarse mayormente vía Internet las entrevistas

realizadas al coordinador de sistemas, se registro en un archivo electrónico las

respuestas o toda información que pudiera ser relevante en el proceso de

análisis.

____________________

4Wikipedia, Internet http://es.wikipedia.org/wiki/Experimentación

http://es.wikipedia.org/wiki/Ciencia

http://es.wikipedia.org/wiki/Tecnolog%C3%ADa

http://es.wikipedia.org/wiki/Variable

22

Análisis y categorización

La información recolectada permitió realizar una análisis detallado a fin de

establecer que controles de la norma serian aplicables a la infraestructura de

la sede Guayaquil de la UPS, en este sentido fue necesario categorizar la

información en función del apartado de la norma analizado.

1.8 Resultados e impactos esperados

Con la implantación de un SGSI se logrará minimizar considerablemente los riesgos

asociados al uso de la información y se mantendrán normalizados los procesos ya

existentes ajustándose a las necesidades de de la sede Guayaquil de la UPS. Es

importante tomar en cuenta que se requerirá realizar cambios en los procedimientos

administrativos de la Universidad, y existirá un impacto principalmente en el

recurso humano durante el proceso de concienciación y adopción de cultura de

seguridad informática.

23

CAPÍTULO II

ANÁLISIS , PRESENTACIÓN DE

RESULTADOS Y DIAGNÓSTICOS

24

2.1 Análisis de la situación actual

Luego de realizar el análisis en base a la información recopilada de la coordinación

de sistemas, es posible establecer que la infraestructura tecnológica tiende a volverse

más compleja debido al crecimiento organizacional de la Universidad, en función de

eso los controles ya establecidos llegan a ser poco eficientes y deben ser mejorados,

y alineados a una normativa que haya sido previamente comprobada como exitosa tal

como lo es la norma ISO serie 27000.

De forma general puede concluirse que se mantienen actualmente ciertos controles

que permiten mantener la información relativamente segura, sin embargo estos

controles dejan de ser efectivos a medida que la infraestructura, y el volumen de la

información van en aumento, razón por la cual es prudente robustecer los controles y

alinearlos a la normativa ISO 2700 que permitirá potenciar las políticas o controles

existentes.

A través de la aplicación de esta norma se podrán corregir o mejorar los controles

existentes que dan origen a los siguientes problemas encontrados durante el

desarrollo de este proyecto:

Falta robustecer los lineamientos de seguridad física que permitan mitigar

riesgos de causen daños intencionados o no intencionados por parte de usuarios

o terceros.

No existen políticas documentadas y difundidas con respecto al manejo o uso

aceptable de los activos de información, sean de hardware, software o

información.

No se están aplicando por completo los controles necesarios a fin de minimizar

la propagación de código malicioso en los equipos de computo, que pudieran

incluso llegar a afectar servidores o repositorios de información.

Existe una elevada tasa de pérdida de equipos o partes dentro de los

laboratorios de cómputo, al ser sensibles a hurto.

25

No existe un plan de contingencia documentado y difundido que permita

garantizar la continuidad de las operaciones fundamentales de la institución.

Los recursos humanos, siendo generalmente el punto más vulnerable en la

seguridad de la información, no se encuentra regulado mediante políticas

formales de comportamiento y uso de activos de información.

Existe información que no se encuentra viajando a través de los medios de

forma segura, no existen al momento mecanismos de encriptación, si a través

de estos medios se transmitiera información crítica se corre un alto riesgo de

comprometer datos académicos calificaciones, registros, y demás información

sensible manejada por los funcionarios de la sede.

Los controles relacionados a los servicios internos brindados por la

Universidad tales como mensajería electrónica, no son lo suficientemente

robustos, lo cual puede originar perdida de información , consumos excesivos

de recursos debido a ser objeto de spamming ,perdida de servicio debido a ser

calificados como spammers en listas negras disponibles en Internet y demás.

2.2 Análisis comparativo, evolutivo, tendencias y perspectivas

La gestión de riesgo asociada a cada uno de los servicios y sistemas brindados por la

Institución se ha establecido de acuerdo al tipo de negocio, servicios brindados, el

equipamiento suministrado, servicios subcontratados para mantener la comunicación

y las instalaciones físicas que posee la institución

De acuerdo a la situación actual y a los factores de riesgos encontrados se pueden

realizar los siguientes cuestionamientos y cuadros comparativos mediante los cuales

se podrá evaluar cada uno de los puntos citados en una escala del 1 al 5

2.2.1 Pregunta 1

¿Cuál es el índice de riesgo que actualmente maneja la universidad de acuerdo al tipo

de negocio que esta maneja y la información que es transmitida por los medios?

26

Activo de Información Importancia Ocurrencia Estimada Riesgo Actual

Información Académica 5 4 4,5

Información Financiera 5 4 4,5

Información de Inventario 5 4 4,5

Información de RRHH 5 4 4,5

Tabla 2.1

Fuente: Los Autores

Figura 2.1

Fuente: Los Autores

2.2.2 Pregunta 2

¿Cuál es la situación actual y riesgo estimado con relación a los servicios brindados

por la institución?

Activo de información Importancia Ocurrencia Estimada Riesgo Actual

Correo Electrónico 4 5 4,5

Información Almacenada 5 5 5

Acceso a Internet 5 4 4,5

Servicios de Directorio Active 5 4 4,5

Tabla 2.2

Fuente: Los Autores

0

1

2

3

4

5

Información Académica

Información Financiera

Información de Inventario

Información de recursos humanos

Índice de Riego de Acuerdo al tipo de Información

Importancia Ocurrencia Estimada Riesgo Actual

27

Figura 2.2

Fuente: Los Autores

2.2.3 Pregunta 3

¿Cuál sería la valoración y riesgo asociado a los activos de información y equipos

según su uso?


Estaciones de Trabajo Criticas 5 4 4,5

Estaciones de Trabajo 3 4 3,5

Equipos en los Laboratorios 5 5 5

Servidores 5 4 4,5

Tabla 2.3

Fuente: Los Autores

Figura 2.3

Fuente: Los Autores

0

1

2

3

4

5

Estaciones de Trabajo

Criticas


Equipos en los

Laboratorios

Servidores

Aplicaciones De Acuerdo al tipo de información procesada en las Estaciones de Trabajo


0

1

2

3

4

5

Correo Electrónico

Información Almacenada

Acceso a Internet

Servicio de Directorio

Active

De acuerdo a los Servicios Brindados por la Institución


28

2.2.4 Pregunta 4

¿Cuál sería la valoración del riesgo asociado al uso de aplicaciones o servicios a

través de la infraestructura de networking de la sede?


Red Local 5 4 4,5

Firewall 5 3,5 4,25

Servicios de la Red 4 3,5 3,75

Telefonía VoIp 5 3,5 4,25

Tabla 2.4

Fuente: Los Autores

Figura 2.4

Fuente: Los Autores

2.2.5 Pregunta 5

¿Qué tan expuestos están los canales de comunicación manejados por la sede y que

tan críticos son estos?


Enlace de Datos

Guayaquil - Cuenca

5 3,3 4,15

Enlace Video Conf.

Guayaquil – Cuenca

5 3 4

Tabla 2.5

Fuente: Los Autores

0

1

2

3

4

5

Red Local Firewall Servicion de

la Red

Telefonia

VoIp

Riesgo de acuerdo Servicio brindado

Importancia

Ocurrencia Estimada

Riesgo Actual

29

Figura 2.5

Fuente: Los Autores

2.2.6 Pregunta 6

Al carecer con una política de seguridad y planes de contingencia. ¿Cuáles podrían

ser considerados con los puntos más vulnerables dentro de la institución?


Oficinas 5 3 4

Laboratorios 5 3,22 4,11

Sala de servidores 5 3 4

Tabla 2.6

Fuente: Los Autores

Figura 2.6

Fuente: Los Autores

0

1

2

3

4

5

oficinas laboratorios sala de servidores

Vulnerabilidad de acuerdo al nivel de riesgo dentro de cada uno de los servidores


0

1

2

3

4

5

Enlace de Datos Gye - Cue Enlace Video Conf Gye - Cue

Riegos asociados a los servicios subcontratados

Importancia

Ocurrencia Estimada Riesgo Actual

30

2.3 Verificación de hipótesis

Según lo analizado, la institución estaría en un nivel alto de exposición en tema de

seguridad, tomando en cuenta la importancia de la calidad de los servicios brindados,

como el riego actual identificado al poder implementar métodos y políticas de

control, estos mantendrán una tendencia a decrecer al menos en usa tasa del 50%.

Figura 2.7

Fuente: Los Autores

En la aplicación de nuevos métodos de control que mantengan segura la información

que es transmitida por los diferentes medios así como mantener una política de

encriptación permitirá mejorar el nivel de seguridad de la información que a través

de los medios es transmitida.

Figura 2.8

Fuente: Los Autores

0

1

2

3

4

5

Correo Electrónico

Información Almacenada

Acceso a Internet

Servicio de Directorio

Active

De acuerdo a los Servicios Brindados por la Institución después de la Aplicación del Control

Importancia Ocurrencia Estimada Riesgo Actual Riesgo luego del Control

0

1

2

3

4

5

Información Académica

Información Financier

Información de Inventario

Información de recursos humanos

Índice de Riego después de Aplicar el Control de Seguridad


31

Entre los servicios brindados por la universidad se encuentra el de mensajería

electrónica, el cual es blanco de spammers, o correo basura, por otro lado el acceso

a Internet puede representar una vulnerabilidad que permita accesos no autorizados o

propagación de código malicioso si no existen los controles adecuados.

Figura 2.9

Fuente: Los Autores

Existen varias estaciones de trabajo que son consideradas críticas debido a la

información almacenada en las mismas y las funciones que estas desempeñan. Es

necesario aplicar controles sobre estos activos que permitan mitigar el riesgo de daño

por código malicioso, uso indebido o por variaciones de corriente. Con la aplicación

de una política de contingencia se podrá evitar la pérdida de la disponibilidad del

servicio que estos equipos prestan, y se evitará considerablemente incidencias como

las antes mencionadas.

Figura 2.10

Fuente: Los Autores

0

1

2

3

4

5

Red Local Firewall Servicio de la Red

Telefonía VoIp

Riesgo de acuerdo Servicio brindado después del Control

importancia ocurrencia estimada Riesgo Actual Riesgo luego de Control

0

1

2

3

4

5

Estaciones de Trabajo Críticas


Equipos en los Laboratorios

Servidores

Aplicaciones De Acuerdo al tipo de información procesada en las Estaciones de Trabajo después de la Aplicaciones del Control


32

Podrían potenciarse los controles existentes que permitan transmitir de manera mas

segura la información a través de los diferentes canales de comunicación disponibles.

Figura 2.11

Fuente: Los Autores

Unos de los principales objetivos es mantener los servicios, servidores y redes

interconectados entre las sedes, mediante la aplicación de los controles sugeridos en

la norma, se podría monitorear y garantizar la calidad del servicio brindado por el

(los) proveedor (es).

Figura 2.12

Fuente: Los Autores

0

1

2

3

4

5

Oficinas Laboratorios Sala de servidores

Vulnerabilidad de acuerdo al nivel de riesgo dentro de cada uno de

los servidores después de la política

Importancia

Ocurrencia estimada Riesgo Actual

Riesgo luego de Control

0

1

2

3

4

5

Enlace de Datos Gye - Cue

Enlace Video Conf Gye - Cue

Riegos al Mantener Servicios SubContratados con otros

Proveedores después de la aplicación del control

Importancia

Ocurrencia Estimada

Riesgo Actual

Riesgo luego de Control

33

A fin de cuantificar el cumplimiento actual y esperado con las mejores prácticas en

seguridad informática, se ha realizado el análisis GAP incluido a continuación.

Un análisis GAP examina las diferencias entre la gestión actual y la información

presupuestada. Los resultados obtenidos representan el grado en el que una

organización ha cumplido sus objetivos.

Aspecto Porcentaje

Protección

Actual

Gestión de Activos 5%

Seguridad física y ambiental 11,80%

Gestión de las comunicaciones y operaciones 12,80%

Control de Accesos 10%

Adquisición, desarrollo y mantenimiento de los sistemas

de información

15%

Gestión de la continuidad del negocio 10%

Tabla 2.7

Fuente: Los Autores

Figura 2.13

Fuente: Los Autores

0%

20%

40%

60%

80%

100%Gestión de Activos

Seguridad física yambiental

Gestión de lascomunicaciones y

operaciones

Control de Accesos

Adquisición,desarrollo y

mantenimiento de lossistemas deinformación

Gestión de lacontinuidad del

negocio

Cumplimiento con mejores prácticas en seguridad informática

Universidad Politécnica Salesiana Sede Guayaquil

Cumplimiento…Cumplimiento ideal

34

Aspecto Porcentaje

Protección Inicial

esperado

Gestión de Activos 50%

Seguridad física y ambiental 64,20%

Gestión de las comunicaciones y operaciones 62,80%

Control de Accesos 60%

Adquisición, desarrollo y mantenimiento de los

sistemas de información

60%

Gestión de la continuidad del negocio 60%

Tabla 2.8

Fuente: Los Autores

Figura 2.14

Fuente: Los Autores

Como puede apreciarse en la figura 2.14 el cumplimiento con las mejores prácticas

es limitado, debido a mantener controles de forma empírica, mas no existe un

0%10%20%30%40%50%60%70%80%90%

100%Gestión de Activos

Seguridad física yambiental

Gestión de lascomunicaciones y

operaciones

Control de Accesos

Adquisición,desarrollo y

mantenimiento de lossistemas de…

Gestión de lacontinuidad del

negocio

Cumplimiento mejores prácticas seguridad informática

Cumplimiento actual

Cumplimiento ideal

35

cumplimiento formal de los controles aceptados como mejores prácticas en seguridad

informática. Este hecho incrementa notablemente los riesgos de que la información o

sistemas se vean comprometidos en caso de una incidencia.

El establecimiento de un SGSI, lograría elevar los niveles de cumplimiento y a la vez

minimizar el riesgo asociado al uso de la información.

36

CAPÍTULO III

PROPUESTA DE CREACIÓN

DISEÑO - PLANEACIÓN DE UN SGSI

SEDE GUAYAQUIL UNIVERSIDAD

POLITÉCNICA SALESIANA

37

3.1 Definición

Un Sistema de Gestión de Seguridad de la Información constituye una herramienta

de gestión para todo tipo de organizaciones en lo relacionado a la preservación de la

información que esta maneja.

Los sistemas informáticos almacenan gran cantidad de información fundamental para

las organizaciones, estos sistemas, como cualquier otro, son propensos a riesgos de

seguridad y pueden ser blanco de un sin número de amenazas internas y externas.

Los riesgos pueden categorizarse principalmente como:

Riesgos Físicos – Accesos no autorizados o controlados, catástrofes naturales,

vandalismo.

Riesgos Lógicos – Ataques informáticos, códigos maliciosos, virus, troyanos, ataque

de denegación de servicio.

El SGSI permite evaluar, reconocer, y aceptar controladamente los diferentes riesgos

a los que la información está sujeta, esto se lo consigue a través de la definición de

políticas, procedimientos y controles en relación a los objetivos de negocio

consiguiendo con esto mantener el riesgo por debajo de los parámetros establecidos

por la organización gestionando estos de manera sistemática, definida, documentada

y ampliamente difundida.5

3.2 Alcance

El proceso de implementación de un Sistema de Gestión de Seguridad de la

Información se basa en lo estipulado en la norma ISO/IEC 27001.

La norma ISO 27001 es un estándar para la seguridad de la información el cual fue

aprobado y publicado como estándar internacional en Octubre de 2005 por la ISO –

____________________

5Fuente: INTERNET - https://sgsi.inteco.es/index.php/es/conceptos-de-un-sgsi

International Organization for Standardization y por la IEC – International

Electrotechnical Commission. 6

http://es.wikipedia.org/wiki/International_Organization_for_Standardization

http://es.wikipedia.org/wiki/International_Electrotechnical_Commission

38

La norma ISO 27001 especifica los requisitos necesarios para establecer, implantar,

mantener y mejorar un Sistema de Gestión de la Seguridad de la Información

(SGSI) según el conocido “Ciclo PDCA - acrónimo de Plan, Do, Check, Act

(Planificar, Hacer, Verificar, Actuar).

Planificar (Plan)

¿Qué hacer y cómo para satisfacer política y objetivos para la seguridad de

la información?

Implementar (DO)

Poner en práctica lo planificado.

Verificar (Check)

Verificar si se ha hecho lo planificado y si lo que se ha hecho resulta

eficaz.

Mejora Continua (Act)

¿Cómo y qué mejorar?

Figura 3.1

Fuente: INTERNET - www.nexusasesores.com

____________________

6 Fuente: INTERNET – Wikipedia http://es.wikipedia.org/wiki/ISO/IEC_27001

http://es.wikipedia.org/wiki/PDCA

http://www.nexusasesores.com/

http://es.wikipedia.org/wiki/ISO/IEC_27001

39

Este proyecto se encuentra definido como un DISEÑO orientado a cubrir los

requerimientos de la primera fase de implementación de un SGSI, y el objeto de

estudio será el Departamento de Sistemas de la Sede Guayaquil de la Universidad

Politécnica Salesiana.

Según el estándar establecido, a saber, ISO/IEC 27001, en la fase de Planificación se

incluirá lo detallado a continuación:

Análisis detallado que permita establecer los límites del sistema en función

de la estructura organizacional y recursos tecnológicos disponibles,

incluyendo la debida justificación.

Elaboración y documentación de una política de seguridad en términos de las

características del negocio, organización, activos y tecnología.

Definir el enfoque, y metodologías a utilizarse en la valoración riesgos de la

organización.

Identificación de riesgos , amenazas y vulnerabilidades a las que están

expuestos los activos definidos dentro del alcance del Sistema de Gestión de

Seguridad de la Información (SGSI).

Análisis y evaluación de riesgos, que implica el cálculo realista de la

posibilidad de que los riesgos identificados tengan una ocurrencia, valorar el

impacto comercial que estos acarrearían, y determinar si el riesgo es

aceptable en términos del negocio.

Identificación y evaluación de las opciones o acciones para los riesgos

previamente evaluados.

Seleccionar los objetivos de control o controles a utilizarse en el tratamiento

de riesgos, existen diferentes controles recomendados en la norma ISO/IEC

40

27001, deberá realizarse un análisis de la organización a fin de definir cuáles

de ellos son aplicables al negocio.

Definición de los riesgos residuales, es decir, los riegos que permanecen

incluso luego de realizar las acciones preventivas pertinentes, estos deberán

clasificarse como aceptables o inaceptables para la organización y ser puestos

a consideración de la dirección a fin de ser aprobados previo a continuar con

la fase de implantación.

Preparar un Enunciado de Aplicabilidad

Obtener la autorización de la gerencia para implementar y operar el SGSI. 7

3.3 Plan de implementación

Uno de los fundamentos del diseño del SGSI es la elaboración de la política de

seguridad informática a aplicarse en la sede Guayaquil de la Universidad

Politécnica Salesiana, los aspectos a tratarse, se detallan a continuación:

Definir los alcances del Sistema de Gestión de Seguridad de la

Información.

Definir una política de seguridad de la información en términos de la

lógica y política organizacional, la cual incluirá:

o Política de Seguridad - A.5 8

o Organización de la seguridad de la información - A.6

o Gestión de Activos - A.7

o Seguridad de los recursos humanos - A.8

o Seguridad física y ambiental - A.9

____________________

7Aplicable en caso que la organización decida continuar con las tres fases de implementación restantes

del Sistema de Gestión de Seguridad de la Información (SGSI), fases que no son parte del análisis y

estudio de esta tesis.

8 Corresponde al número identificador del control según la norma ISO/IEC 27001.

41

o Gestión de las comunicaciones y operaciones - A.10

o Control de Accesos - A.11

o Adquisición, desarrollo y mantenimiento de los sistemas de

información - A.12

o Gestión de un incidente en la seguridad de la información - A.13

o Gestión de la continuidad del negocio - A.14

o Cumplimiento - A15

Definir el enfoque de evaluación del riesgo de la organización

Analizar y evaluar el riesgo

Seleccionar los objetos de control y controles a fin de mitigar la posibilidad

de incidencia de los diferentes riesgos identificados

Enunciado de Aplicabilidad

3.4 Alcances del SGSI

Para la gestión financiera, administrativa y académica de la Universidad

Politécnica Salesiana sede Guayaquil, es necesario el uso de sistemas de

información, servicios informáticos e información almacenada en servidores y

repositorios.

El SGSI pretende regularizar y controlar todo aspecto concerniente al uso de los

mismos a fin de mantener las operaciones lo más seguras posibles sin impactar el

nivel de servicio y la continuidad de las operaciones.

El alcance del SGSI de la Universidad Politécnica Salesiana sede Guayaquil es

delimitado de la siguiente manera:

Servicios implicados

Procesos académicos tales como matriculación estudiantes, registro y

42

gestión de información de estudiantes, docentes, registros académicos,

pensum académico, calificaciones, horarios de clases y demás procesos de

esta índole.

Procesos financieros tales como registro de pagos, información financiera,

contable, información de cobros y demás procesos relacionados.

Procesos administrativos tales como nomina, talento humano, inventarios,

activos fijos y demás procesos relacionados.

Localizaciones físicas

El SGSI objeto de esta planificación está delimitado y es aplicable a la

sede Guayaquil de la Universidad Politécnica Salesiana Campus

Centenario ubicado en Chambers # 227 y Laura Vicuña – Guayaquil-

Ecuador.

Sistemas de Información

Los sistemas de información gestionados por este sistema son los

siguientes:

o Sistema Académico

o Sistema Financiero

o Sistema Administrativo

o Correo Electrónico

o Servicio Internet (Proxy, Firewall NAT)

o Sistemas de monitoreo y respaldos

o Sistemas y aplicativos residentes en equipos de computo de los

diferentes departamentos

43

3.5 Política de seguridad de la información

A.5 Política de seguridad

1.- ASPECTOS GENERALES

En la actual era de negocios electrónicos la información ha adquirido un nivel aun

más crítico como activo dentro de las organizaciones, razón por la cual es de vital

importancia que esta sea debidamente resguardada.

Es conocido la gran diversidad de amenazas tanto internas como externas a las que la

información se puede ver sometida, es por eso que la política de seguridad intenta

minimizar al máximo los riesgos que asociados con la información, siendo posible

conseguir esto únicamente si la política de seguridad de la información se eleva al

mismo nivel de la política organizacional.

El éxito de esta política radica en el compromiso por parte de las autoridades de la

institución, una amplia difusión de la misma, y el serio compromiso de cumplimiento

por parte de los usuarios.

2.- Objetivos del control

Resguardar al mayor grado posible la información como bien preciado de la

organización, además de los elementos tecnológicos o sistemas que procesan la

misma a fin de minimizar al máximo el riesgo de incidentes que afecten la

confidencialidad, integridad o disponibilidad de la información.

Establecer un estándar que guiará las diversas operaciones a realizarse con la

información, estándar que deberá mantenerse actualizado y difundido a fin de

asegurar que esta política cumpla con los objetivos antes mencionados.

3.- Alcance

La política es aplicable a todo ámbito dentro de la Universidad Politécnica Salesiana

Sede Guayaquil en el que intervenga la información, principalmente al Departamento

de Sistemas, en el que se concentra la gestión de la seguridad , así como los

44

laboratorios de computo, siendo también extensible a entidades externas en caso de

trabajar colaborativamente o en outsourcing.

4.- Responsabilidad

Todos los docentes, directores de área, jefes departamentales, personal técnico,

personal administrativo y estudiantes son responsables de observar y cumplir la

Política de Seguridad de la Información dentro del área a su responsabilidad y por

extensión hacer cumplir la misma al personal bajo su cargo si el caso lo amerita,

interviniendo como actores principales los mencionados a continuación:

Oficial de Seguridad Informática

Estará encargado de las diversas tareas relacionadas a la administración de la

seguridad de los sistemas de información de la sede, y responsable de

supervisar todos los aspectos relacionados con la presente política de

seguridad.

Adicionalmente se encargara de cubrir o delegar tareas relacionadas a

satisfacer los requerimientos de seguridad de la información a nivel operativo

detallados en esta política.

Usuarios Propietarios de la Información

Los propietarios de la información, son responsables de clasificar y

catalogar la misma según el nivel de criticidad y confidencialidad,

mantener documentada y actualizada esta información y definir

específicamente que usuarios necesitan acceder en función de sus

competencias y que nivel de acceso es requerido.

Coordinador / Jefe de Talento Humano Sede Guayaquil

Será responsable de notificar a todo personal que ingresa su

responsabilidad de cumplir con la Política de Seguridad de la Información

y de todas las normas administrativas o técnicas que se apliquen.

45

Tendrá la responsabilidad de publicar o notificar al personal bajo su

dirección sobre la presente política de seguridad de la Información y

cualquier cambio que en esa se produzca.

Usuarios de la información y de los sistemas

Son responsables de conocer, difundir, cumplir y fomentar el

cumplimiento de la presente política, Es responsable además de dar fiel

cumplimiento a la política de seguridad en toda acción, función, o tarea

relacionada directa o directamente con la información que accede o

maneja.

Auditor (es) Interno(s)

Es necesario que luego de la implementación de un SGSI, se realicen

auditorias que permitan asegurar el cumplimiento de los lineamientos de

seguridad establecidos, el auditor tendrá la obligación de realizar

revisiones periódicas sobre el SGSI, constatando el fiel cumplimiento en

todo ámbito relacionado al manejo de la información o recursos

tecnológicos.

Una vez realizada esta auditoría, será responsable de presentar un informe

detallado con las novedades presentadas.

5.- Política de Seguridad de la Información

Generalidades

La política de Seguridad de la Información se encuentra conformada por normativas

y patrones a seguir para las diferentes instancias en las que la información y

patrones que se ve relacionada.

En conformidad con el estándar ISO/IEC 27001 la política de Seguridad de la

información incluirá lo a continuación detallado:

46

Organización de la Seguridad

Clasificación y Control de Activos

Seguridad del Personal

Seguridad Física y Ambiental

Gestión de las Comunicaciones y las Operaciones

Control de Acceso

Desarrollo y Mantenimiento de los Sistemas

Administración de la Continuidad de las Actividades del Organismo

Cumplimiento

El Oficial de Seguridad de la Informática revisará periódicamente los lineamientos

de la presente política a fin de mantenerla actualizada, y además realizará toda

modificación necesaria debido a cambios en la infraestructura tecnológica, variación

en los procedimientos internos, o inclusión de nuevas tecnologías o sistemas,

asegurándose en lo posterior que esta sea difundida al personal de la sede en todos

los niveles que correspondan.

Sanciones

Se aplicarán sanciones administrativas a quien incumpla la Política de Seguridad de

la Información, estas sanciones serán definidas por la dirección, y serán establecidas

en función de la gravedad de la omisión o incumplimiento. Las sanciones deberán ser

difundidas a todo el personal junto con la Política de Seguridad de la Información.

Objetivos de la Política de Seguridad

Asegurar que la información sea accedida únicamente por personas

autorizadas ya sean funcionarios de la institución o personal externo.

Mantener la confidencialidad de la información

Garantizar que la integridad de la información sea mantenida durante todo el

ciclo de vida de la información.

47

Establecer un plan de continuidad de las operaciones y probarlo

regularmente.

Asegurar que todo el personal cuente con capacitación en materia de

seguridad de la información, además de conocer la obligatoriedad del

cumplimiento de la política de seguridad en todos los niveles

organizacionales.

Garantizar que todas las vulnerabilidades y debilidades en materia de

seguridad sean reportadas sistemáticamente.

Garantizar que los requerimientos de disponibilidad de la información sean

cumplidos.

Establecer la necesidad de crear procedimientos técnicos y administrativos

que sirvan de soporte a la política de seguridad de la información, debe

incluirse procedimientos para control de código malicioso, gestión de

contraseñas, y planes de contingencia.

El oficial de seguridad informática es encargado de mantener y mejorar

progresivamente el sistema.

Las jefaturas departamentales son responsables de asegurar el cumplimiento

de la política de seguridad por parte del personal bajo su mando.

A.6 Organización de la seguridad de la información

1.- Aspectos Generales

La Política de Seguridad de la Información debe estar directamente relacionada a los

objetivos y políticas organizacionales que gobiernan el funcionamiento de la

institución. Para esto es necesario establecer y definir un sujeto que gestione la

48

seguridad de la información y realice o establezca responsabilidad sobre tareas tales

como la aprobación de nuevas políticas, cambios en la misma, y definición de roles

dentro de este proceso.

Debe tomarse en consideración que para dar cumplimiento a ciertas operaciones,

actividades, o funciones será necesaria la interacción con entidades externas, ya sean

de otra sede ,institución, proveedores, o empresas que brindan servicio de outsorcing

, para estos casos debe tomarse en cuenta que la información puede verse en riesgo si

el acceso a la misma no se produce de manera adecuada y controlada , razón por la

cual es necesario establecer normativas y parámetros a seguir a fin de protegerla.

2.- Objetivos del Control

Implementar en la Universidad Politécnica Salesiana sede Guayaquil, la gestión

unificada de la seguridad de la información, especificando las instancias que

permitan implantar controles apropiados para garantizar su cumplimiento.

Establecer con claridad las funciones y responsabilidades dentro de la gestión de la

seguridad de la información.

Definir medidas de seguridad que permitan regular los accesos a activos de

información por parte de personal de organismos externos a la sede logrando

minimizar al máximo los riesgos en la misma.

Promover el uso de asesoramientos externos en materia de seguridad de la

información a fin de complementar la política detallada en este documento.

3.- Alcance del Control

El control será aplicable a todos los recursos o personal que directa o indirectamente

interactúan con los activos de información, y se hace extensible a los recursos

externos que requieran acceso a información interna servicios o sistemas

informáticos.

49

4.- Responsabilidad sobre el Control

El funcionario encargado de la seguridad informática dentro de la sede Guayaquil de

será responsable de promover la implantación de la política de seguridad, además

será el responsable de las actualizaciones en la política que en conformidad a

cambios sean necesarias, realizará o delegará a personal bajo su mando la realización

de monitoreos, pruebas de intrusiones , análisis de riesgos , implementación de

controles y realización de procedimientos de orden técnico en lo relacionado a la

seguridad de la información.

Deberá además evaluar la necesidad de solicitar asesoramiento externo en caso de

existir la necesidad.

El personal a cargo de realizar la contratación de servicios o adquisición de bienes

relacionados a tecnologías de la información deberá incluir en los contratos la

exigencia de cumplimiento de las normativas expuestas en la política de seguridad

implementada, además de incluir una cláusula de compromiso estricto de

confidencialidad.

5.- Política de Organización de la Seguridad de la Información

A.6.1.2 Coordinación de la seguridad de información

En concordancia con la estructura organizacional y del departamento de sistemas, las

tareas de administrar la seguridad de Información estará a cargo del Oficial de

Seguridad Informática , quien impulsará el cumplimiento de la presente política, se

encargará además de solicitar apoyo de los jefes departamentales a fin de obtener

información relevante sobre sus respectivas áreas en caso de requerirla.

La Coordinación de la seguridad de la Información tendrá la responsabilidad de:

Revisar y exponer ante la (las) autoridades de la Sede la política de seguridad

de la información y fomentar su aprobación.

Descubrir y documentar nuevos riesgos a los que la información se pueda ver

sometida e incluir mecanismos para mitigarlos dentro de esta política.

50

Realizar los cambios necesarios a la Política de Seguridad, fomentar su

aprobación, y delegar a quien corresponda la difusión en todos los niveles

organizacionales.

Mantenerse atento ante los incidentes de seguridad que se presenten, y

asegurarse que sean documentados.

Evaluar nuevas tecnologías a establecerse en la infraestructura tecnológica de

la sede a fin de que la utilización de esta, no se contraponga a la política de

seguridad establecida, y en caso de ser aprobadas establecer los controles

necesarios para minimizar al máximo el riesgo de exposición.

Fomentar la cultura de seguridad de la Información en todos los niveles.

Establecer planes de continuidad del negocio o planes de contingencia que

permitan mantener los sistemas y servicios disponibles.

Debe existir una constancia, o compromiso de aceptación por escrito por

parte de la persona que la dirección de la Sede asigne para que realice las

funciones de coordinación de la seguridad de la información, quien deberá

cumplir las obligaciones anteriormente detalladas.

51

MODELO “DECLARACIÓN DE ACEPTACIÓN CARGO

“OFICAL DE SEGURIDA INFORMATICA”

Fecha:__/__/__

El que suscribe ………………………………………………………(Nombre

del funcionario asignado a este cargo) con C.I#

……………………………...declara aceptar el nombramiento de OFICIAL

DE SEGURIDAD INFORMATICA de la Universidad Politécnica Salesiana

Sede Guayaquil , acepta conocer y aceptar todos los términos ,condiciones

atribuciones y obligaciones que se encuentran detallados en la Política de

Seguridad de la Información sección A.6.1 del SISTEMA DE GESTION DE

SEGURIDAD DE LA INFORMACION.

_________________________________________

NOMBRE DE FUNCIONARIO ASIGNADO

CARGO

Aclaraciones: _____________________________________________

Figura 3.2

Fuente: Los Autores

A.6.1.3 Asignación de responsabilidades de la seguridad de la información.

El Oficial de Seguridad Informática asignado por la dirección será responsable de

establecer controles cooperativos con los demás departamentos si las circunstancias

lo ameritan y cumplir con las tareas especificadas a continuación:

52

MATRIZ RESPONSABILIDADES

SGSI Universidad Politécnica Salesiana Sede Guayaquil

Tabla 3.1

Fuente: Los Autores

A.6.1 .4 Proceso de autorización para los medios de procesamiento de

información

Dentro del esquema organizacional puede presentarse la necesidad de añadir nuevos

medios o elementos destinados a procesamiento de la información.

La autorización de estos nuevos recursos será responsabilidad conjunta de las

diferentes unidades o departamentos involucrados junto con el oficial de seguridad

de la información, tomando en cuenta el propósito de los mismos y considerando las

condiciones de uso recomendadas por el responsable de la seguridad de la

información.

Es necesario realizar una inspección y análisis de los componentes de hardware,

software y conectividad a fin de verificar que se encuentren en congruencia con la

política de seguridad establecida, y determinar las posibles vulnerabilidades o

amenazas que este nuevo recurso podría implicar.

DETALLE RESPONSABLE

Seguridad en recursos humanos

Ing. Javier Ortiz -Dirección

Talento Humano

Seguridad Física y Ambiental

Ing. Javier Ortiz

Gestión de las comunicaciones y operaciones Ing. Javier Ortiz

Control de Accesos

Ing. Javier Ortiz

Adquisición desarrollo y mantenimiento de los

sistemas de información

Ing. Javier Ortiz – Martha

Yanqui

Gestión de incidentes seguridad

Ing. Javier Ortiz

Gestión Continuidad Negocio

Ing. Javier Ortiz

53

A.6.1.8 Revisión independiente de la seguridad de la información.

Es recomendable que las autoridades de la Universidad Politécnica Salesiana

designen a personal calificado para efectuar auditorias y revisiones independientes

una vez establecido el Sistema de Gestión de Seguridad de la Información, esto

garantizará que las políticas que forman parte de este documento estén siendo

aplicadas en las diferentes labores cotidianas en las que la información se ve

involucrada.

A.6.2 Entidades Externas

A.6.2.1 Identificación de riesgos relacionados con entidades externas

Al momento de requerir servicios o asesorías de terceros, sean personas naturales o

jurídicas, el responsable de la seguridad de la información deberá en conjunto con el

titular del departamento al que se solicita acceso, desarrollar un análisis que incluirá

los diversos riesgos que implica la actuación del recurso externo en cuestión.

En este análisis debe incluirse , el nombre del recurso externo que accederá a

cualquier activo de información , el tipo de acceso que se autorizará , los motivos

para los cuales el acceso es solicitado , y un análisis de cómo este acceso podría

poner en riesgo la disponibilidad , integridad o confidencialidad de la información.

Este análisis debe presentarse por escrito y ser registrado en los archivos de tareas

administrativas relacionadas con la seguridad de la información.

Posterior a esto se definirán los controles necesarios a fin de mitigar los riesgos

analizados, no se autorizará el acceso antes que la fase de análisis de riesgo, y

establecimiento de controles hayan sido concluidas.

A.6.2.3 Tratamiento de la seguridad en contratos con terceras personas

Todo contrato o convenio con entidades terceras, de ninguna manera deberá vulnerar

el contenido de las políticas de seguridad informática establecidas.

54

Cada solicitud de información por parte de la entidad externa deberá ser analizada y

aprobada por el oficial de seguridad de la información fundamentándose en los

diferentes aspectos de la política de seguridad informática institucional.

Al momento de compartir la información deberá constar de los debidos controles que

permitan garantizar la confidencialidad, e integridad de la información.

Todo contrato de prestación de servicios, asesoría, o consultaría deberá contemplar

los siguientes controles:

Conocimiento de la política de seguridad organizacional y un compromiso

firmado de fiel cumplimiento.

Procedimientos que incluyan la forma en que el contratado protegerá los

activos de información involucrados en su labor temporal en la institución,

sean bienes de hardware, software, información, datos no procesados,

procedimientos de notificación de la ocurrencia de un evento relacionado con

la seguridad, procedimientos que aseguren la no divulgación de información

privada, entre otros aplicables.

Niveles de servicio esperado y obtenidos.

Establecer representante legal, y obligaciones del mismo.

Definir por escrito si existen derechos de autor o de propiedad intelectual en

alguno de los bienes de información, en caso de existirlos el personal externo

deberá tomar las precauciones que se amerite.

Control de Acceso, acceso físico, acceso a sistemas o servicios informáticos a

través de usuarios contraseñas, tokens, y demás. Estos controles deberán

caducar una vez terminada la participación del personal externo en la

institución.

55

Consentimiento por escrito que otorgará la facultad al oficial de seguridad

informática o persona delegada por la máxima autoridad de la sede, para

auditar las tareas realizadas por el personal externo a fin de asegurarse que

los acuerdos y controles establecidos están cumpliéndose.

Establecer un plan de contingencia en caso de verse afectados uno de los

bienes de información utilizados por el personal externo.

Documentar procesos que permitan conocer los cambios realizados y llevar

un control de los mismos.

Controles o procedimientos que eviten que los bienes de información sean

afectados por código malicioso o malware.

Definir por escrito si el personal externo ha subcontratado a otra entidad para

realizar parte de las funciones adjudicadas, y establecer la relación entre los

mismos.

Convenio firmado de confidencialidad.

A.7 Gestión de Activos


Como parte de la gestión de la seguridad de la información, la institución, debe

mantener conocimiento sobre todo los activos que posee sean estos de hardware,

software, información, o datos no procesados y clasificarlos a fin de realizar un

riguroso control de riesgos asociados a cada uno de ellos.

Entre estos recursos tenemos: equipos informáticos, hardware, equipos de

comunicaciones, software, bases de datos, medios de almacenamiento masivo y

backups ,archivos físicos e información digital de las diferentes unidades

organizativas, equipos de acondicionamiento de aire, red suministro eléctrico , UPS ,

entre otros.

56

Cada uno de los activos anteriormente citados deben estar clasificados por criterios

como, nivel de criticidad, sensibilidad, nivel de confidencialidad, unidad

organizativa que lo utiliza, etc.

Dado que la información puede residir en diversas formas, ya sea impresa,

almacenada en dispositivos removibles, ópticos, magnéticos, o información

transmitida por medios físicos cableados o no cableados es necesario establecer

controles que permitan asegurar la confidencialidad de los mismos.

Todos los controles mencionados y demás controles aplicables únicamente podrían

ser establecidos exitosamente con un conocimiento de los activos de la información

que se intenta proteger, teniendo en mente que la información es uno de los bienes

más críticos de cualquier organización.

2.- Objetivos Del Control

Mantener la protección apropiada de los activos de la información

Lograr clasificar los activos en base a criterios previamente definidos.

Establecer niveles de protección y controles sobre los activos ya clasificados.

3.- Alcance Del Control

El control será aplicable a toda la información manejada dentro de las actividades o

labores llevadas a cabo en la sede Guayaquil de la Universidad Politécnica Salesiana.

4.- Responsabilidad Sobre El Control

Cada uno de los propietarios de la información o activos es responsable de clasificar

y catalogarla según su nivel de criticidad, mantener de forma documentada todo

cambio que en ella se realice y que esta información este actualizada.

57

El responsable departamental supervisará el proceso de documentación y

clasificación de la información que dentro de su departamento se esta administrando.

El Oficial de Seguridad Informática será el encargado de que los lineamientos de

seguridad orientados al control de activos se estén llevando a cabo en cada unidad

organizacional.

5.- Política De Organización de la Seguridad de la Información

A.7.1.1 Inventario de Activos

Como parte de la Política de Seguridad de la información, deben mantenerse

identificados los activos sobre todo los más importantes y su relación con los

sistemas de información, así como sus respectivos propietarios y la ubicación física

de los mismos.

El inventario de activos de información debe mantenerse actualizado en caso de

existir alguna modificación en alguno de los activos, la responsabilidad

administrativa de que estas tareas se estén realizando recaen sobre el responsable de

cada departamento.

Debe establecerse una revisión periódica, no superior a 6 meses, la misma que será

supervisada por la jefatura departamental.

A.7.1.2 Propiedad de los activos.

Los activos de información pertenecen a la Universidad Politécnica Salesiana, a

menos que a través de un mecanismo contractual, se establezca lo contrario, de tal

manera que la facultad de otorgar acceso a la información institucional será el oficial

responsable de la seguridad de la información

.

Toda información residente en cualquier recurso informático de la sede puede ser

sujeto de revisiones periódicas por parte del oficial de seguridad informática o a

quien designe para esta función.

58

Al pertenecer la información a la Universidad, queda terminantemente prohibida la

compartición con entidades externas a menos que sea previamente autorizado por las

autoridades pertinentes.

Cada uno de los activos utilizados por los diferentes departamentos de la sede

Guayaquil de la Universidad Politécnica Salesiana, hardware, software, equipos de

comunicaciones, así como la información y datos asociados deben estar bajo custodia

de una parte designada dentro de la organización, a saber una jefatura departamental,

o el funcionario a cargo de las actividades relacionadas con ese activo de

información.

Al existir una correspondencia del activo de información con el funcionario a su

cargo se crea la responsabilidad no repudiable sobre el uso que al activo en cuestión

se dé, además de la responsabilidad de cumplir con los lineamientos de seguridad.

PROPIETARIOS DE LA INFORMACIÓN

INFORMACIÓN PROPIETARIO PROCESOS INVOLUCRADOS

Financiera

Contable

Contabilidad

Controles Contables

Estrategias Financieras

Auditorias Contables y

Financieras

Controles y Auditorias

Tributarias

Control pago colegiaturas

estudiantes

Académica

Secretaria

del Campus

Matriculas a estudiantes

Controles Académicos

Estudiantes

Académica

Directores de Carrera

Asignación de estudiantes a

cursos

Diseño de horarios para

Docentes

Nómina

Dirección

Talento Humano

Control sobre los docentes

Evaluaciones de desempeño

59

Académica

Secretaria del Campus

Asignación de

Paraacadémicos

Inventarios

Administrativo

Control de Inventarios

Activos Fijos

Tabla 3.2

Fuente: Los Autores

A.7.1.3 Uso aceptable de los activos

Los activos de información de la Universidad Politécnica Salesiana Sede Guayaquil,

incluyendo software, aplicaciones y archivos son propiedad de la misma y solo

pueden utilizarse para fines laborales y legales, por esto deberán seguirse los

siguientes lineamientos:

Computadoras personales

Toda modificación realizada sobre los equipos de cómputo de la sede deberá

ser autorizada por el Oficial de Seguridad Informática.

Toda modificación, instalación, desinstalación, o cualquier mantenimiento

sobre los equipos será realizado exclusivamente por el personal del

departamento de sistemas de la sede.

Deberá mantenerse un inventario completo de software y hardware de cada

uno de los computadoras personales, debería inventariarse y mantenerse la

siguiente información:

1. Nombre del equipo

2. Dirección IP

3. Mascara Subred

4. Nombre de dominio

5. Ubicación física

6. Modelo Procesador

7. Marca y Modelo del Equipo

60

8. Numero de procesadores

9. Velocidad Procesador

10. Versión Sistema Operativo

11. Service Pack instalado

12. Función del equipo

13. Memoria RAM

14. Almacenamiento en Disco

15. Números seriales de componentes.

Se deberán observar los siguientes lineamientos con relación al uso de los

equipos informáticos.

1. No ingerir alimentos o bebidas cerca de los equipos

2. No fumar cerca de los equipos

3. Mantener protección contra variaciones de voltaje

4. No insertar objetos en las ranuras de los equipos

5. No realizar cambios o actividades de mantenimiento sobre el

hardware

6. Conservar los equipos bajo las adecuadas condiciones ambientales

7. Nunca dejar los equipos encendidos, deberán apagarse los equipos

cuando no estén en uso.

Computadoras portátiles

Los equipos portátiles de la sede se han adquirido específicamente con el fin

de facilitar el desarrollo actividades relacionadas con la institución.

Su uso deberá ser orientado al cumplimiento de las actividades relacionadas

con el área o departamento asignado. El uso para propósito personal deberá

ser ocasional, racional y bajo ninguna circunstancia deberá obstaculizar las

actividades laborales de la institución.

61

Deberá mantenerse un inventario de los equipos portátiles que incluya las

características de los mismos así como su ubicación.

Los equipos portátiles deberán permanecer dentro de las instalaciones de la

sede durante horario laboral.

Los equipos portátiles pueden salir de las instalaciones de la sede bajo total

responsabilidad del usuario al que se le ha asignado el equipo, el cual tomara

todas las precauciones del caso en su uso y transporte.

En caso de ausencia por enfermedad, licencia, o vacaciones, el equipo portátil

deberá permanecer en las instalaciones o a disposición del departamento al

que el equipo ha sido asignado

Computadoras propiedad de terceros

Deben mantenerse deshabilitados los dispositivos de comunicación o

MODEMS.

Utilizar únicamente las aplicaciones necesarias para el desarrollo de las

funciones asignadas.

Instalar únicamente software licenciado y autorizado por la sede.

Mantener actualizadas las aplicaciones con los últimos hotfixes o parches

recomendados por el fabricante.

Mantener activo y actualizado el software antivirus.

Se deberá controlar el acceso al equipo a fin de evitar el acceso a personas no

autorizadas a fin de preservar la información residente en el equipo.

Tomar las medidas necesarias para no vulnerar la seguridad informática

institucional mediante el uso no responsable del equipo.

62

Conocer cumplir y difundir las políticas de seguridad de la información

adoptadas por la sede.

Sistemas de Información

Las herramientas tecnológicas así como los sistemas de información y

servicios informáticos, como el correo electrónico y la Internet, sólo podrán

ser utilizados posterior a la autorización del Oficial de Seguridad Informática

en respuesta a pedido de la jefatura del respectivo departamento.

Cada jefe departamental tiene la responsabilidad de definir las tareas que

conllevan acceso a tal herramienta. El uso de tales recursos constituye un

privilegio otorgado con el propósito de agilizar los trabajos de la institución

gubernamental y NO es un derecho.

Toda información almacenada, creada o transmitida desde o hacia los

sistemas de información de la Universidad Politécnica Salesiana, es

propiedad de la institución, por lo que le serán aplicadas todas las

disposiciones establecidas en la política de seguridad de la información. La

divulgación de tal información sin autorización está estrictamente prohibida.

La alteración fraudulenta de cualquier documento en formato electrónico

redundará en las sanciones que el consejo disciplinario considere aplicables.

Es responsabilidad de la Universidad, tomar todas las medidas aplicables a

fin de garantizar la confidencialidad de la información privada de los

estudiantes.

Los usuarios de los sistemas de información de la Universidad están

obligados a respetar los derechos de propiedad intelectual de los autores de

las obras, programas, aplicaciones u otros, manejadas o accedidas a través de

dicho sistema.

El software y utilitarios así como los sistemas de información de la

Universidad deben tener su respectiva licencia vigente o autorización de uso

63

para poder ser utilizadas los mismos que sólo podrán ser instalados por

personal autorizado de la Universidad, a saber , personal técnico del

departamento de sistemas. Además, no podrán instalarse programas sin la

previa autorización de la Jefatura de Sistemas, inclusive si estos son

programas gratuitos o de código abierto.

Queda terminantemente prohibido reproducir los medios de instalación de las

aplicaciones, utilitarios, y sistemas de información utilizados en la sede

Guayaquil de la Universidad Politécnica Salesiana, además queda prohibido

el uso de los mismos a no ser con fines institucionales.

La Universidad es responsable de establecer las pautas mediante las cuales se

crean y asignan las cuentas de usuario, incluyendo los mecanismos de

seguridad aplicables tales como contraseñas, controles de acceso a los

servidores y sistemas para auditar y monitorear su uso, además de

mecanismos que aseguren la integridad y seguridad de los datos y

comunicaciones que se envían a través de medios cableados o no cableados.

Los usuarios de los sistemas deberán cumplir con todas las normas de uso y

dando fiel cumplimiento a la política de seguridad de la información emitidas

por la sede Guayaquil de la Universidad Politécnica Salesiana.

Cada usuario es responsable por el uso adecuado de los códigos de acceso o

contraseñas asignadas.

El uso de los sistemas de información será auditado por el personal

autorizado por el Oficial de seguridad de la Información, a fin de de

garantizar el uso apropiado de los recursos. Los usuarios no deben tener

expectativa de intimidad alguna con relación a la información almacenada en

su computadora o buzón de correo electrónico.

Acceder a información o a un buzón de correo que no es el asignado,

mediante la modificación de privilegios de acceso o la interceptación de

64

información en cualquier otra manera está prohibido, por lo que tal acción se

sancionará conforme a lo dispuesto por las autoridades de la Universidad.

La Universidad es responsable de verificar que el servicio de Internet y el

correo electrónico estén funcionando adecuadamente además de asegurar que

la información almacenada se encuentre protegida de acceso no autorizado.

El departamento de sistemas deberá implementar controles tales como

Firewalls, antivirus, IPS/IDS, entre otros aplicables.

La Universidad se reserva el derecho de emprender los procesos

administrativos, pertinentes con relación a los actos cometidos, aunque los

mismos no estén expresamente prohibidos en este documento, si dichos actos,

directa o indirectamente, ponen en riesgo la integridad, confiabilidad o

disponibilidad de la información, los equipos y los sistemas de información

de la Universidad. Cualquier violación a las normas puede conllevar la

revocación de privilegios de uso de los Sistemas de información y deberá ser

notificada al Oficial de Seguridad Informática y , al director de talento

humano y al jefe inmediato del empleado.

Internet

El acceso a Internet es propiedad de la Universidad y deberá ser utilizado

exclusivamente como una herramienta de trabajo siguiendo las normas

que rigen el comportamiento del personal docente, administrativo, y

estudiantes, nunca con fines no oficiales o para actividades personales o

con fines de lucro.

Los usuarios que tengan acceso al Internet a través de la Universidad no

deberían tener expectativa de privacidad alguna con relación al uso y los

accesos realizados a través de la Internet. La Universidad se reserva el

derecho a intervenir y auditar los accesos realizados por los usuarios a

través de su sistema de información, el acceso a la Internet y el contenido

de lo accedido.

La Universidad no se responsabiliza por la validez, calidad, o contenido

de la Información contenida en la Internet.

65

La Universidad será responsable por velar que la conexión a Internet se

lleve a cabo cumpliendo fielmente la Política de Seguridad de la

información y deberá monitorear el funcionamiento correcto de las

mismas.

Cualquier información o servicio publicado en Internet deberá ser

autorizado por las autoridades de la Universidad y bajo el conocimiento

del Oficial de Seguridad Informática.

Queda prohibido el acceso a sitios de dudosa procedencia, sitios de

hacking, warez, pornográficos, o de contenido no apropiado según lo

defina la institución.

Se encuentran prohibidas las descargas de software o aplicaciones desde

Internet.

Se realizará inspecciones periódicas y revisiones sobre el uso que se esté

dando al acceso a Internet por parte de los funcionarios de la sede y de

personal externo laborando dentro de las instalaciones.

Se establecerán restricciones de acceso a través del uso de perfiles en el

equipo que permite el acceso a Internet (Proxy Server). Los perfiles serán

categorizados de la siguiente forma:

o Acceso Total :

Sin restricción alguna

o Acceso Intermedio

Utilizado para labores del Departamento de sistemas

o Acceso Restringido

Acceso restringido a Internet asignado a la mayoría de los

usuarios.

66

Correo electrónco:

El sistema de correo electrónico es propiedad de la Universidad por lo

cual se reserva el derecho absoluto de auditar, monitorear e investigar

sobre los buzones de correo a fin de corroborar el correcto uso que se le

esté dando al mismo.

El uso del correo electrónico será únicamente destinado a propósitos

oficiales relativos a las funciones del usuario. Queda prohibido el uso del

mismo para asuntos personales o con fines de lucro, los usuarios están

obligados a velar por el cumplimiento de las normas relacionadas al uso

de este servicio.

Queda prohibido transmitir información confidencial de la Universidad

Politécnica Salesiana sin contar con la debida autorización. En caso de

enviar información confidencial debe ser transmitida de forma encriptada

a fin de evitar divulgación de la misma. En caso de existir sospecha de

que información ha sido interceptada o divulgada deberá informarse de

inmediato al Oficial de Seguridad Informática a fin de tomar las medidas

necesarias.

Deberán existir normas mediante las cuales se asignan cuentas de correo

electrónico incluyendo medidas de seguridad, nombres de usuario,

contraseñas y demás mecanismos de autenticación.

Los usuarios no deberán utilizar o acceder a cuentas de correo electrónico

de otros dominios que no sean el institucional, a menos que hayan sido

previamente autorizados a usar los mismos, así como páginas o sitios de

mensajería instantánea.

Deberá utilizarse el correo para comunicaciones cortas y concisas.

Las comunicaciones electrónicas, deben tener las características básicas

de cordialidad y respeto.

67

Los mensajes deben ser enviados desde el correo electrónico de quien los

firma.

Las cuentas de correo electrónico deben ser creadas usando el estándar

establecido por la coordinación de sistemas de la sede.

Se asignará un tamaño de buzón de correo para cada usuario, es decir un

espacio de almacenamiento en el servidor de correo, destinado al guardar

los mensajes electrónicos de cada usuario.

Se evitará en el nombre del destinatario y el asunto el uso de caracteres

especiales como slash (/), tildes (´), guiones (-), y demás.

Siempre se escribirá en el campo “Asunto” una frase que haga referencia

directa al contenido del texto.

La funcionalidad “confirmación de lectura” deberá utilizarse de manera

mesurada a fin de evitar la congestión en el envío de los correos

electrónicos.

En caso de ausencias superiores a ocho días deberá utilizarse la opción de

respuestas automáticas informando la ausencia del funcionario así como

la duración de su ausencia.

Luego de un periodo superior a 30 días de inactividad, el personal de

sistemas deshabilitará la cuenta de correo asignada al usuario.

Los usuarios deberán asegurarse antes del envío de archivos adjuntos que

éstos no contengan virus o código malicioso.

Queda prohibida bajo cualquier circunstancia a reproducción y envío de

mensajes en cadenas o similares, el incumplimiento de esta disposición

redundaría en suspensión del servicio temporal o definitiva.

68

El contenido de los mensajes de correo se considera confidencial y solo

perderá este carácter en casos de investigaciones administrativas,

judiciales o incidentes relacionados con Seguridad Informática.

Política de SPAM

Mantener depurada la base de datos de direcciones e-mails para evitar

envíos innecesarios, eliminar direcciones de correo incorrectas.

En lo posible no se compraran listas de direcciones de correo electrónico

a usarse con fines publicitarios o de mercadeo, en caso de hacerlo , existir

clara evidencia sobre el origen lícito de las mismas.

Evaluar al proveedor de servicio de Internet (ISP) antes de contratar el

servicio.

En caso de realizar envíos de boletines o similares, debe proveerse a los

destinatarios, de mecanismos que permitan cancelar dicha suscripción.

A fin de evitar ser catalogados como SPAMMERS por filtros bayesianos

se deben tomar en cuenta los siguientes lineamientos:

Evitar en lo posible el uso de terminología comercial en la

redacción de los correos

Evitar expresiones como “Free” “gratis” “Compre ahora” y

similares.

No escribir con letras mayúsculas en el campo “asunto” del correo

electrónico.

Evitar en lo posible el uso excesivo de símbolos ($,%,!!) , suelen

ser utilizados en correos catalogados como SPAM.

69

Evitar la frase “haga clic aquí” a lo largo de la redacción del

correo

Tener precaución al incluir código HTML en los correos

electrónicos

Evitar incluir controles Active-X o animaciones flash

Mantener activada la resolución inversa en los servidores de

nombres (DNS)

Monitorear regularmente las listas negras de SPAMERS.

A.7.2 Clasificación de la información

A.7.2.1 Lineamientos de clasificación

Para clasificar un Activo de Información, se evaluarán las tres características de la

información en las cuales se basa la seguridad: confidencialidad, integridad y

disponibilidad.

A continuación se establece el criterio de clasificación de la información en función

a cada una de las mencionadas características:

Por Confidencialidad

TIPO A

Información Pública, No confidencial

TIPO B

Información Reservada – Uso Interno destinada a personal

de la organización y cuya divulgación podría crear riesgos

LEVES a la organización.

TIPO C

Información Reservada - Confidencial utilizada

únicamente por un grupo de personas autorizadas dentro de

la organización, y cuya divulgación ocasionaría perdidas

significativas para la Institución.

70

TIPO D

Información Reservada – Secreta destinada a un grupo

pequeño de personas dentro de la institución, generalmente

mandos altos o directivos, la divulgación de esta

información supondría pérdidas graves para la institución.

Tabla 3.3

Fuente: Los Autores

Por Integridad

TIPO A

Información cuya modificación puede ser fácilmente

corregida

TIPO B

Información cuya modificación puede corregirse pero que

ocasionaría perdidas leves a la institución o a terceros.

TIPO C

Información cuya modificación no autorizada es difícil de

corregir, y que ocasionaría daños o pérdidas significativas

para la institución o a terceros.

TIPO D

Información que al ser modificada sin autorización no

puede ser corregida, ocasionando pérdidas graves o

cuantiosas para la institución o a terceros.

Tabla 3.4

Fuente: Los Autores

Por Disponibilidad

TIPO A

Información que al no encontrarse disponible NO afecta las

operaciones de la institución

TIPO B

Información que al no hallarse disponible durante una

semana afecta levemente las operaciones de la institución o

de terceros.

TIPO C

Información que al no hallarse disponible durante 24 horas

afecta significativamente las operaciones de la institución o

de terceros.

71

TIPO D

Información que al no hallarse disponible durante 1 hora

afecta significativamente las operaciones de la institución o

de terceros.

Tabla 3.5

Fuente: Los Autores

A todo activo de información deberá asignársele un valor por cada criterio, a saber,

confidencialidad, disponibilidad, e integridad, tal como se muestra en la tabla a

continuación:

ACTIVO CONFIDENCIALIDAD DISPONIBILIDAD INTEGRIDAD

Información financiera de

alumnos.

C

C

D

Tabla 3.6

Fuente: Los Autores

Luego de asignar valores por los diferentes criterios se deberá asignar una

clasificación según el criterio citado a continuación:

CRITIDIDAD BAJA Todos los valores dentro del rango de A hasta B

CRITICIDAD MEDIA Alguno de los valores asignados es C

CRITICIDAD ALTA Alguno de los valores asignados es D

Deberán identificarse los medios o archivos físicos utilizando las etiquetas

mencionadas respetando el código de color para establecer el nivel de criticidad de la

información, a saber alta, media, y baja.

72

A.7.2.2 Etiquetado y manejo de información

El almacenamiento de la información cumplirá con procedimientos para el rotulado

y manejo de la misma, de acuerdo al esquema de clasificación definido.

Se etiquetarán los recursos de información tanto en formatos físicos como

electrónicos guardados en dispositivos de almacenamiento, e incorporarán las

siguientes actividades de procesamiento de la información:

Copia de información

Almacenamiento

Transmisión por correo normal, electrónico, o fax

Otros aplicables

A.8 Seguridad de los recursos humanos


Así como lo es la información, el recurso humano es de vital importancia dentro de

cualquier organización, es fundamental educar y mantener informado al personal

desde su ingreso a la organización sobre los lineamientos de seguridad incluidos en

la política así como las sanciones en caso de incumplimiento.


Reducir los riesgos derivados al error humano, omisiones, comisión de ilícitos o uso

no apropiado de los activos de información y equipos.

Mantener informado al personal sobre las responsabilidades en materia de seguridad

incluso desde el proceso de selección, durante el tiempo en que la persona presta

servicios a la institución y al momento de cesar en sus funciones.

Garantizar que los usuarios estén al tanto de las amenazas en materia de seguridad de

la información y estén capacitados para respaldar la política establecida por la

Universidad en materia de seguridad.

Establecer compromisos de confidencialidad con todo el personal y personal externo

que tenga acceso a la información fin de minimizar los riesgos y sus efectos en caso

de ocurrencia.

73

3.- Alcance Del Control

Esta Política es aplicable a todo el personal interno de la Universidad Politécnica

Salesiana sede Guayaquil, sin importar cual sea su situación, y al personal externo

que se involucre en tareas dentro del ámbito del Organismo y relacionadas con la

seguridad.

4.- Responsabilidad Del Control

El departamento de gestión de talento humano deberá difundir entre los empleados e

informar sobre las obligaciones con relación al cumplimiento de la política de

seguridad de la información, además de dar a conocer la política de seguridad desde

el proceso de selección.

Los usuarios en general son responsables de cumplir la política de seguridad de la

información y reportar las debilidades, amenazas, vulnerabilidades o cualquier

incidente relacionado con la seguridad de la información al oficial de seguridad

informática.

5.- Política - Seguridad De Los Recursos Humanos

A.8.1 Antes del empleo

A.8.1.1 Roles y responsabilidades

Es necesario establecer responsabilidad sobre el cumplimiento de las normas de

seguridad de la información tanto de los empleados ya sea como docentes, personal

administrativo o de servicio, así como contratistas.

En el caso de los empleados existirá una labor conjunta entre la coordinación de

talento humano y el oficial de seguridad informática a fin de asegurar que los

funcionarios de la universidad, sin importar el nivel que estos ocupen cumplan

fielmente las disposiciones expuestas en esta política.

En el caso de los proveedores, la labor sea compartida entre el oficial de seguridad

informática y la jefatura del departamento que solicita el servicio prestado razón por

la cual el personal externo ya sea contratista o accesoria ha sido contratada.

74

A.8.1.2 Selección

En el caso de los aspirantes cargos ya sea como docentes o personal administrativo,

deberán realizarse investigaciones previas tanto de antecedentes como de cualquier

hecho que podría sugerir que la persona podría representar algún tipo de amenaza a

la seguridad de la institución.

A fin de cumplir esto deberán realizarse pruebas de admisión, referencias laborales,

personales, record que acredite no poseer problemas de índole legal, entre otros.

Deberá en el caso de proveedores existir una pre-calificación a fin de verificar todos

los aspectos legales, éticos, e historial del comportamiento del proveedor o asesor

con la finalidad de garantizar que la participación de los mismos no redunde en una

amenaza a la seguridad. Para este fin deberán solicitarse recomendaciones

personales, record legal, garantías, listado de clientes, y certificaciones de

acreditación.

Entre las verificaciones a considerar en el proceso de selección de personal

administrativo, docente o proveedores deberán realizarse las siguientes:

a) Disponibilidad de referencias de carácter satisfactorias; por ejemplo, una

referencia comercial y una personal.

b) Chequeo del currículo vitae del postulante buscando integridad y exactitud.

c) Confirmación de las calificaciones académicas y profesionales mencionadas

d) Chequeo de identidad independiente ya sea, cédula, pasaporte o documento

similar.

A.8.1.3 Términos y condiciones de empleo

Una vez realizada la selección de un funcionario, asesoría, o proveedor, cualquiera

sea el caso debe existir un contrato firmado y legalizado, el mismo debe incluir

cláusulas de confidencialidad, y las obligaciones que en materia de seguridad de la

información el contratado sea funcionario, persona natural o jurídica deberá cumplir.

75

Como parte del contrato debe incluirse una cláusula en la cual el contratado acepta

los términos y condiciones que lo obligan y declaran como responsable de dar

cumplimiento a las políticas de seguridad de la información que sean aplicables.

Se consideran las siguientes como condiciones de empleo:

a) Todos los usuarios empleados, contratistas y terceros que tienen acceso a

información sensible debieran firmar un acuerdo de confidencialidad o no

divulgación antes de otorgarles acceso a los medios de procesamiento de la

información.

b) Aceptación de las responsabilidades y derechos por parte de los empleados,

contratistas y cualquier otro usuario; por ejemplo, con relación a las leyes de

derecho de auditoría y legislación de protección de data

c) Aceptación de las responsabilidades para la clasificación de la información y

la gestión de los activos organizacionales asociadas con los sistemas y

servicios de información manejados por el empleado, contratista o tercera

persona

d) Aceptación de las responsabilidades del usuario empleado, contratista o

tercera persona con relación al manejo de la información recibida de otras

compañías o partes externas.

e) Aceptación de las responsabilidades de la organización por el manejo de la

información personal, incluyendo la información creada en el transcurso del

empleo con la organización.

f) Las responsabilidades que se extienden fuera del local de la organización y

fuera del horario normal de trabajo.

g) Las acciones a tomarse si el usuario empleado, contratista o tercera persona

no cumple los requerimientos de seguridad de la organización.

A.8.2 Durante el empleo

76

A.8.2.1 Gestión de responsabilidad

Los términos y condiciones de empleo, los cuales deberán estar incluidos en los

contratos, establecerán la responsabilidad de los empleados en materia de seguridad

de la información.

Adicionalmente los procesos contractuales deberán establecer que las

responsabilidades se extienden más allá de los límites de la Sede Guayaquil de la

Universidad Politécnica Salesiana e incluso fuera del horario laboral.

A.8.2.2 Capacitación y educación en seguridad de la información

Cada integrante de la institución, los usuarios externos y contratistas que

desempeñan funciones en la misma, deberán recibir una adecuada capacitación y

actualización periódica en lo relacionado a la política y normas relacionadas a la

seguridad.

Esto incluirá los requerimientos de seguridad y las responsabilidades que cada

usuario adquiere al iniciar sus labores. El responsable de la gestión de talento

humano será la persona encargada de coordinar las labores de capacitación

necesarias para la difusión y conocimiento de la política de seguridad.

El material destinado a la capacitación en seguridad de los usuarios será

responsabilidad del oficial de seguridad informática, en conjunto con personal de las

diversas áreas implicadas y cada seis meses se revisará y actualizará a fin de que la

misma sea precisa y cumpla el objetivo para la cual fue concebida.

A.8.2.3 Proceso Disciplinario

Todos los incumplimientos u omisiones implicaran según la gravedad el inicio de un

proceso disciplinario formal según normas establecidas y políticas administrativas

internas vigentes de la Universidad Politécnica Salesiana Sede Guayaquil.

Todo proceso disciplinario debe garantizar el tratamiento correcto y ecuánime para

los empleados sobre los que se levanta sospecha de cometer incumplimientos de

la política de seguridad.

77

Este proceso debe proporcionar una respuesta equilibrada tomando en consideración

las circunstancias, naturaleza, gravedad, atenuantes y agravantes.

En casos de gravedad elevada, el proceso debería permitir la remoción inmediata de

los derechos, accesos y privilegios, y en caso que amerite la separación inmediata del

funcionario.

A.8.3 Terminación o cambio de empleo

A.8.3.1 Responsabilidades de terminación

Es responsabilidad del funcionario que cesa en sus funciones presentar la renuncia a

su cargo con suficiente tiempo de antelación, al menos con 15 días.

La jefatura del departamento donde el funcionario realizó sus labores tendrá la

responsabilidad de supervisar la entrega formal del cargo al funcionario encargado

de cubrir la vacante, esto incluirá la documentación relacionada al cargo,

información, llaves, credenciales, y demás.

El oficial de seguridad informática o el funcionario que designe de entre el personal

de sistemas serán responsables de cancelar todas las credenciales de acceso a los

diferentes sistemas de información, acceso a Internet y buzones de correo

electrónico.

A.8.3.2 Devolución de activos

Dentro del proceso de cesación de funciones, es necesario que se cumpla con una

entrega formal de los activos entre los cuales deberá incluir:

Devolución de software, manuales y documentos institucionales así como

de equipos y herramientas de trabajo.

.Activos organizacionales, equipos de computo equipos de telefonía móvil

tarjetas de acceso, e información almacenada en medios de

almacenamiento, ya sean fijos o removibles.

78

En caso que el empleado o contratista empleaba equipos propios para el

cumplimiento de sus funciones, debe asegurarse que la información

relevante sea transferida a la organización y eliminada definitivamente del

equipo.

En caso que el empleado o contratista posea conocimientos necesarios

para tareas operativas, administrativas o demás que vayan relacionados

con la institución , se debe asegurar que este conocimiento sea

documentado y trasferido a la organización

A.8.3.3 Eliminación de derechos de acceso

Todos los derechos de acceso, equipos, y demás activos de información, que hayan

sido concedidos a los usuarios, empleados o contratistas deberían ser retirados al

terminar sus funciones ya sea contrato o acuerdo.

En caso de cambiar de funciones, dentro de la misma institución, deben retirarse

todos los derechos de acceso no aprobados debido a no ser necesarios para las nuevas

funciones. Entre los derechos de acceso a retirar se encuentran los siguientes:

Acceso físico

Acceso lógico

Llaves

Tarjetas de identificación

Medios de procesamiento de información

Suscripciones

Documentación que identifique a la persona como miembro de la institución

79

Claves secretas

Otras aplicables

El retiro de derechos de acceso deberá realizarse con suficiente anticipación con

relación a la fecha de cese de funciones del empleado o contratista tomando en

cuenta los siguientes factores:

Quien origina la terminación del contrato o acuerdo ,si es iniciado por el

empleado o contratista o por parte de las autoridades de la Universidad

Politécnica Salesiana Sede Guayaquil

La razón por la que se termina el contrato o acuerdo.

La criticidad de las responsabilidades que el empleado o contratista

actualmente mantiene.

El valor de los activos que el empleado o contratista mantiene bajo su

custodia.

A.9 Seguridad física y ambiental


La gestión de la seguridad física permite reducir en gran manera los riesgos de existir

daños debido a accesos físicos no autorizados mediante la definición de zonas

restringidas y establecimiento de perímetros de seguridad.

Controlar los factores ambientales o de entorno permite garantizar el funcionamiento

adecuado de los equipos de procesamiento y preservar el servicio mediante evitar

interrupciones debido a causas físicas.


Evitar accesos no autorizados que causen daños o interferencia en los servicios

informáticos, instalaciones y redes de la Universidad sede Guayaquil.

80

Mantener protegido el equipamiento destinado a procesar la información de la

Universidad, tanto servidores como computadores de escritorio, portátiles,

dispositivos de red, y demás, ubicándolos en áreas protegidas y con acceso

restringido y controlado apropiadamente.

Proteger los activos sobre todo los de hardware que procesan información en caso de

tener que ser trasladados fuera del perímetro protegido de la debido a motivos de

mantenimiento o reparaciones.

Gestionar y minimizar el riesgo de que factores ambientales de alguna manera

puedan afectar el funcionamiento de la infraestructura informática de la institución.

Evitar perdida de equipos tanto en las oficinas, sala de servidores, o laboratorios de

cómputo de la Universidad.


El alcance del control está delimitado a todos los elementos o recursos físicos que

forman parte de la infraestructura, equipos de cómputo, servidores, medios de

almacenamiento, dispositivos removibles, equipos de comunicación, cableado, redes

no cableadas, y demás.

4.- Responsabilidad del Control

El oficial de seguridad informática en conjunto con las jefaturas de las diversas

áreas deberá definir las áreas críticas que deben establecerse como zonas restringidas

o dentro de un perímetro de seguridad así como la definición de las posibles

amenazas ambientales para cada departamento y tomar las precauciones para mitigar

el riesgo.

El área de sistemas se encargara de seguir las indicaciones del Oficial de seguridad

informática en cuanto a la implementación de las áreas protegidas y coordinara la

contratación de empresas terceras en caso que se requiera.

Las jefaturas departamentales definirán los niveles de acceso a establecerse para sus

respectivas áreas.

81

El personal en general, administrativo, o docente es responsable minimizar el riesgo

de divulgación de documentos mediante mantenerlos almacenados con la seguridad

del caso y no expuestos sobre los escritorios.

5.- Política - Seguridad Física Y Ambiental

A.9.1 Áreas Seguras

A.9.1.1 Perímetro de seguridad física

Cada recurso tecnológico ya sea propiedad de la Universidad o de terceros , que

procese información de la institución deberá cumplir contados los lineamientos de

seguridad física que se emitan a fin de restringir y evitar el acceso no autorizado a los

mismos.

Los funcionarios encargados del proceso o almacenamiento de información deberán

cumplir con las normas básicas de cuidado de los componentes tecnológicos así

como velar por mantener las condiciones adecuadas de higiene.

Todo cambio a la infraestructura física de la sede, deberá ser previamente analizado a

fin de asegurar que con el mencionado cambio no se vulnere la seguridad de los

activos.

Se deben establecer barreras o medidas de control físico dentro de las instalaciones

de la institución dentro de las cuales deben ubicarse los elementos más críticos

dentro del procesamiento de información.

La Universidad Politécnica salesiana sede Guayaquil, definirá perímetros o áreas de

seguridad a fin de proteger las áreas que contienen elementos o equipos relacionados

con el procesamiento de información así como las redes de datos , red eléctrica,

sistemas de aire acondicionado y cualquier área relacionada a garantizar el correcto

funcionamiento de los sistemas de información.

82

A fin de establecer el perímetro de seguridad se delimitará físicamente en oficinas

protegidas por accesos controlados por personal de la Universidad o por dispositivos

de autenticación como lo son los dispositivos biométricos.

Definir el plan de instalación y la definición de las áreas, serán establecidas por el

oficial de seguridad informática, una vez haya evaluado la criticidad de las áreas a

proteger y los riesgos a los que estas pueden verse sometidas.

En caso de ser aplicables se implementaran los siguientes controles o lineamientos:

Enumerar los perímetros de seguridad y documentarlos.

Encontrar las instalaciones críticas dentro del perímetro de los edificios o

construcciones.

Deben tomarse precauciones como el no existir brechas en el perímetro que

permitan fácilmente acceso no autorizado.

Las paredes externas de los edificios deberían ser una construcción sólida y

las puertas externas deben estar protegidas contra accesos no autorizados,

protegidas por sistemas de vigilancia constante por video, vallas, alarmas

sonoras y cerraduras.

Las puertas o ventanas deben mantenerse cerradas cuando el personal

abandone el área segura.

El área de sistemas debe ser restringida y siempre mantenerse controlado el

acceso a la misma.

Debe existir un área de recepción en la cual se controlara el acceso de

personal externo hacia las oficinas de la Universidad.

En la recepción debe solicitarse identificación a las personas que ingresan y

confirmar con el personal interno si se permite o no el acceso.

83

Las puertas de emergencia deben contar con alarmas y ser monitoreadas y

probadas periódicamente y asegurarse que cumplan con las regulaciones

locales solicitadas por el Cuerpo de Bomberos, así como regulaciones

internacionales.

Deben instalarse principalmente en las áreas de acceso a las oficinas y en

áreas restringidas, dispositivos de detección de intrusos, sensores de

movimiento, etc. los mismos que deberán cumplir las regulaciones

internacionales y ser probados periódicamente.

Se recomienda separar los dispositivos o equipamiento de procesamiento de

información utilizados por el personal interno de la Universidad de los que

son utilizados por personal externo, contratistas o asesores.

Se define como área segura por ejemplo a una oficina con llave, habitaciones

rodeadas por una barrera de seguridad interna y continua. Evidentemente

varían los requerimientos de seguridad de acceso entre las diferentes áreas de

la Universidad así que puede ser necesario establecer barreras de acceso entre

áreas si el caso así lo requiere.

En conformidad a lo anteriormente mencionado, se consideran las siguientes

como áreas seguras o restringidas dentro de la sede Guayaquil de la

Universidad Politécnica Salesiana:

1. Oficinas del Departamento de Sistemas

En estas oficinas se concentran lo equipos de comunicación, seguridad

perimetral y servidores de aplicaciones y servicios informáticos,

archivos físicos, digitales, inventarios de equipos y contraseñas, lo

cual convierte a esta sección del edificio en un área segura que debe

ser resguardada según la política anteriormente expuesta.

2. Bodega

Lugar de almacenaje que pudiera ser objeto de incidentes tales como

robo / hurto

84

3. Direcciones de Carrera

Los directores de carrera manejan información confidencial

relacionada con el plan académico, información sobre estudiantes,

docentes, etc. El acceso a esta área debe ser restringido y regulado por

la presente política

El oficial de seguridad informática es responsable de mantener identificados y

documentados los sitios protegidos detallando:

Identificación del edificio y área

Elementos a proteger

Medidas de protección física

A.9.1.2 Controles de acceso físico

Para poder acceder a las áreas protegidas deben establecerse controles de acceso

físico los cuales deben ser definidos por el Oficial de seguridad informática.

El oficial de seguridad informática deberá asegurarse que los controles incluyan las

siguientes características:

Inspeccionar a los visitantes que requieran acceso a las áreas protegidas, así

como llevar un registro en la bitácora de visitas el nombre del visitante, hora

de entrada, hora de salida, persona a la que visita, y el área a la que accede. El

visitante debe ser informado sobre las medidas de seguridad que debe

observar mientras permanezca en las instalaciones de la sede.

Controlar y limitar el acceso a información que haya sido clasificada como

confidencial o con grado de criticidad medio o alto, así como el acceso a las

áreas protegidas. Se sugiere utilizar controles de autenticación para autorizar

y validar los accesos a las áreas protegidas de la sede, tales como personal de

seguridad con listado de personas autorizadas , uso de tarjetas magnéticas,

credenciales, entre otros.

Se recomienda implementar el uso de identificaciones para todo el personal

interno la cual debería mantenerse siempre visible, así como credenciales

85

para los visitantes las cuales especificaran a que área tiene acceso el

visitante.

Realizar una actualización cada tres meses de los derechos de acceso a todas

las áreas protegidas, deberá mantenerse documentada cada modificación de

los derechos, y deben ser firmados por el responsable departamental.

A.9.1.3 Seguridad de oficinas, habitaciones y medios

Entre las áreas protegidas se encuentran las oficinas en la que se encuentran los

diferentes equipos y dispositivos relacionados con el procesamiento de información y

principalmente el departamento de sistemas, lugar donde se concentra el cableado de

red, y servidores de aplicación y servicios informáticos.

Las siguientes medidas de protección deberán observarse dentro de las áreas

protegidas:

Las instalaciones críticas que se encuentran deben ubicarse en lugares que no

permitan el acceso no autorizado

Asegurarse que los edificios u oficinas en los cuales se realicen actividades

críticas relacionadas con el procesamiento de la información sean discretos

sin existir señalización exagerada o signos obvios que permitan identificarlas

fácilmente.

Desplegar los dispositivos como impresoras, maquinas de fax, plotters,

copiadoras, multifunciones, entre otras, dentro de áreas protegidas a fin de

evitar uso no autorizado.

Se instruirá al personal de seguridad establecer vigilancia sobre ventanas y

puertas las cuales deberán permanecer cerradas a menos que sea necesario lo

contrario, dando especial atención a las ubicadas en la planta baja o que

represente riesgos especiales.

86

Mantener físicamente separadas las áreas de procesamiento de información

administradas por la Universidad con la áreas de procesamiento de

información manejadas por terceros.

Debe impedirse el acceso a directorios telefónicos e información de contacto

del personal interno.

Almacenar equipos redundantes y respaldos de información en un sitio

seguro, distante, dentro de un área protegida a fin de evitar daños ocasionados

ante contingencias.

A.9.1.4 Protección contra amenazas externas o ambientales

Deben establecerse controles que permitan proteger a la infraestructura contra daño

por fuego, inundación, terremoto, explosión, revuelta civil y otras formas de

desastres naturales o causados por el hombre.

Debe considerarse cualquier amenaza contra la seguridad presentada por locales

vecinos; tales como, amenaza de fuego en un edificio vecino, escape de agua en el

techo o pisos en sótano o una explosión en la calle.

A fin de evitar o reducir los daños por fuego, inundación, terremoto, explosión,

revuelta civil y otras formas de desastres naturales o causados por el hombre se

deberán seguir los siguientes lineamientos:

Los materiales peligrosos o combustibles debieran ser almacenados a una

distancia segura del área asegurada.

Los suministros a granel como papelería no debiera almacenarse en el área

asegurada

El equipo de reemplazo y los medios de respaldo debieran ubicarse a una

distancia segura para evitar el daño de un desastre que afecte el local

principal

87

Se debiera proporcionar equipo contra-incendios ubicado adecuadamente.

Mantener activo y documentado un plan de contingencia que permita

restablecer el servicio en el menor tiempo posible.

A.9.1.5 Trabajo en áreas seguras

A fin de robustecer la seguridad en las áreas protegidas se establecen lo siguientes

controles y lineamientos, estos son aplicables sobre tareas en estas áreas por parte de

personal interno o externo:

El personal debe conocer la existencia del área protegida y de las actividades

que en ella se llevan a cabo SOLO si es necesario e indispensable para que el

personal cumpla con sus labores.

Evitar la ejecución de trabajos en estas áreas por parte de personal externo, y

siempre deberán ser supervisados por el personal responsable dentro de la

Universidad.

Mantener bloqueadas las áreas protegidas y establecer inspecciones

periódicas

El acceso al personal externo debe ser limitado a las áreas críticas de

procesamiento de información. Estos accesos deberán ser autorizados

registrados, y controlados.

Evitar el ingreso a las áreas protegidas de equipos móviles, fotográficos de

video, audio o cualquier dispositivo que registre información a menos que

haya sido autorizo previamente por el Oficial de seguridad informática.

Queda prohibido, comer, beber o fumar dentro de las áreas críticas de

procesamiento de información.

88

A.9.1.6 Áreas de acceso público, entrega y carga

Se mantendrán bajo control las áreas donde se realicen recepción de materiales o

equipos teniendo en cuenta que estas áreas estarán aisladas de las instalaciones de

procesamiento de información, a fin de impedir accesos no autorizados.

Con este fin se establecerán controles físicos que considerarán los siguientes

lineamientos:

Limitar el acceso a las áreas de recepción, desde el exterior de la sede, sólo

se permitirá el acceso al personal previamente identificado y autorizado.

Diseñar el área de recepción de manera tal que los suministros puedan ser

descargados sin que el personal que realiza la entrega acceda a otros sectores

del edificio.

Proteger todas las puertas exteriores del área de recepción cuando se abre la

puerta interna.

Inspeccionar el material entrante para descartar peligros potenciales antes de

ser trasladado desde el área de depósito hasta el lugar de uso.

Registrar el material entrante al ingresar al sitio pertinente.

A.9.2 Seguridad del equipo

A.9.2.1 Ubicación y protección del equipo

Deben considerarse las diferentes amenazas físicas y ambientales a los que los

equipos que procesan información pueden verse expuestos al momento de definir el

lugar donde se ubicaran los mismos.

Los siguientes principios o pautas deben tomarse en cuenta:

89

Debe evitarse instalar equipos de procesamiento de datos en lugares de libre

acceso, o en aquellos en que no sea posible establecer controles previos a

ingresar al área.

Los sitios u oficinas destinadas a procesamiento de datos críticos,

clasificados,

así como la sala de servidores deben estar estratégicamente ubicados a fin de

mantener permanente supervisión y vigilancia sobre el uso de los mismos.

Reducir el nivel de protección requerida mediante aislar en un entorno

independiente los sistemas o repositorios de información mas críticos o que

manejen información confidencial.

Se deberán realizar minuciosas supervisiones semestrales evaluando las

condiciones ambientales constatando que estas no afecten de forma negativa

los equipos repositorios y procesadores de información, en caso de

encontrarse sugerencias deberán aplicarse de inmediato.

A.9.2.2 Redes de suministro eléctrico

Los equipos deberán estar protegidos y tolerante a fallas en el sistema de suministro

eléctrico. La alimentación de energía eléctrica deberá apegarse a los requerimientos

del fabricante de los equipos. Además es necesario que se observen las siguientes

recomendaciones a fin de asegurar la disponibilidad de los equipos, y sistemas:

Contar con múltiples tomas de energía eléctrica y acometidas a fin de no

tener un único punto de falla en el suministro de energía eléctrica para los

equipos.

Contar con un sistema de suministro eléctrico de emergencia (UPS) que

permita tener suficiente tiempo para realizar un apagado sistemático de los

equipos en caso de pérdida del suministro eléctrico.

90

La capacidad del equipo a adquirirse será determinada luego de un análisis de

la cantidad de equipos a protegerse, es necesario que este análisis determine

los equipos más críticos que serán protegidos en función del servicio que

estos desempeñan o la información que estos manipulan o almacenan.

Al momento se cuenta con esta protección en los departamentos o secciones

más críticos, que permiten mantener el flujo eléctrico hasta por 30 minutos

posterior a la pérdida de suministro .Los departamentos son detallados a

continuación:

Departamento de Sistemas – 30 minutos

Secretaria- 10 minutos

Tesorería – 10 minutos

Direcciones de carrera – 10 minutos

Se prohíbe terminantemente la conexión de cualquier equipo que no se

encuentre entre los que se definieron previamente para ser protegidos por el

sistema de suministro eléctrico UPS

Debe existir un sistema de iluminación de emergencia

El Oficial de seguridad informática realizara una inspección semestral en

conjunto con el personal técnico respectivo a fin de asegurarse la

disponibilidad y correcto funcionamiento de la red de suministro eléctrico.

A.9.2.3 Seguridad del cableado

Al ser la red de cableado eléctrico y de datos un elemento crítico dentro de la

infraestructura tecnológica de la Universidad, debe ser protegido de intercepciones o

daños intencionales o no intencionales mediante aplicar las siguientes normas:

Las líneas de cableado eléctrico o de datos en lo posible deberán ser

subterráneas o contar con la protección necesarias tales como canaletas,

tuberías, y demás.

91

El cableado de datos deberá estar protegido a fin de evitar intercepciones no

autorizadas mediante el uso de tuberías.

No se desplegará el cableado de datos a través de áreas de acceso público o

no controladas.

El cableado eléctrico y el cableado de datos deben desplegarse de manera

separada a fin de evitar interferencias o pérdidas de paquetes de datos.

Los cables de red deberán ser identificados a través de marcadores

numéricos, lo cual minimizará el riesgo de manipulación errónea de los

mismos.

Los puntos de red deben estar claramente identificados en el bastidor o patch

panel.

Debe mantenerse documentados los diferentes empalmes y conexiones a fin

de evitar errores de manipulación.

Para los sistemas más sensibles ,como servidores de bases de datos, y demás

repositorios o procesadores de información critica deberán tomarse estas

medidas adicionales a las mencionadas anteriormente:

o Utilización de tubos blindados y de cajas con llave para los puntos de

inspección del cableado.

o Utilizar una ruta de cableado estratégicamente dispuesta que brinde la

seguridad y protección adecuada.

o Utilización de fibra óptica.

o Utilizar un escudo electromagnético para la protección del cableado.

92

o Acceso controlado y registrado para el acceso a las terminales de

cableado y realización de empalmes.

El oficial de Seguridad informática realizará una inspección trimestral en

busca de cualquier dispositivo instalado en la red que pudiera representar una

amenaza a la seguridad del mismo.

El plan de inspección mencionado en el punto anterior debe incluir una

revisión detallada de las áreas de concentración de cableado las cuales se

detallan a continuación:

o Departamento de Sistemas, concentración principal de cableado

o Direcciones de carrera , Interconexión en cascada con el sitio

principal de cableado (Departamento de sistemas)

o Biblioteca , Conexión inalámbrica con el sitio principal de la sede

(Departamento de sistemas)

o Datacenter, Se encuentra planificada la implementación de un

datacenter que concentrará el cableado y equipos de

comunicación, este debe ser el principal punto en el que el Oficial

de seguridad informática deberá enfocarse durante las

inspecciones planificadas.

A.9.2.4 Mantenimiento de los equipos

Se realizarán mantenimientos periódicos de los equipos a fin de asegurar la

disponibilidad de los mismos, tomando en cuenta los siguientes lineamientos:

Deben seguirse las recomendaciones del fabricante de los equipos con

respecto a la periodicidad de los mantenimientos para los mismos.

Solo el personal de sistemas de la Universidad está autorizado a realizar el

mantenimiento de los equipos.

93

Luego de realizar el mantenimiento el personal de sistemas colocará sellos

que garantizarán la no manipulación de los equipos.

El personal de sistemas mantendrá una bitácora, manual o digital de cada

equipo señalando los daños encontrados y posibles fallas, así como las

acciones de remediación y mantenimientos realizados.

Se prohíbe terminantemente al personal de sistemas el acceso, copia o

divulgación de la información clasificada que se encuentre almacenada en el

equipo al momento de realizar el mantenimiento.

Se deben observar los requerimientos impuestos por la empresa aseguradora

en caso de que los equipos estén asegurados, y los requerimientos aplicables

en caso de estar vigente el periodo de garantía del equipo por parte del

fabricante.

A.9.2.5 Seguridad del equipo fuera de las instalaciones

En la sede Guayaquil de la Universidad, se utilizan equipos informáticos portátiles

con información corporativa, y son utilizados por las siguientes áreas:

Vicerrectorado

Coordinación administrativa

Coordinación académica

Coordinación de talento humano

Coordinación de pasantitas

Coordinación de sistemas

Pastoral

Analista de sistemas

Directores de carrera (5)

94

Al momento de utilizar equipos de procesamiento de datos o repositorios de

información deberán seguirse los siguientes lineamientos a fin de asegurar la

protección de los mismos y de la información que estos almacenan:

Los equipos y medios de almacenamiento nunca deberán ser desatendidos

durante el periodo en que se mantienen fuera de las oficinas, en caso de ser

computadoras portátiles siempre se mantendrán cerca como equipaje de mano

y en lo posible de forma discreta.

Seguir rigurosamente las recomendaciones técnicas y ambientales dispuestas

por el fabricante.

Los equipos deben contar con un seguro adecuado para protegerlos durante

este tiempo.

La información almacenada en los equipos portátiles debe ser encriptada.

Establecer medidas técnicas que obliguen a autenticarse luego de un periodo

corto de inactividad.

En caso de realizar tele trabajo, la conexión hacia los servidores o servicios

de la sede debe realizarse a través de un túnel VPN, cifrando la información

enviada.

A.10 Gestión de las comunicaciones y operaciones


Las comunicaciones permiten el intercambio de información y acceso a la misma

desde las diferentes ubicaciones geográficas de la Universidad, pero a la par con los

beneficios que estas encierran existe un riesgo latente al utilizarlas.

Herramientas de comunicación como la Internet, correo electrónico y mensajera

instantánea se han convertido en un foco de proliferación de software malicioso,

virus, troyanos, puertas traseras, y un punto vulnerable que puede ser explotado por

95

piratas informáticos, es por eso que es necesario establecer lineamientos que

permitan minimizar los riesgos producidos por la manipulación de información a

través de canales de comunicación.


Garantizar que la manipulación de la información a través de canales de

comunicación se encuentre siempre disponible y que el uso de los mismos se realice

de modo seguro, mediante establecer controles, responsabilidades y procedimientos

que permitan mitigar los riesgos presentes y evitar incidentes de seguridad que

pondrían en riesgo la información como activo principal de la institución.


Esta política es aplicable a todos los sistemas de información y los sistemas de

comunicación que son utilizados por los mismos.


La aplicación de los lineamientos expuestos en esta política será supervisada por el

oficial de seguridad de la información en cada una de las áreas de la Universidad

Politécnica Salesiana sede Guayaquil, contando con la colaboración de los

responsables de las diferentes áreas.

El Oficial de seguridad de la información además es responsable de de realizar los

procedimientos relacionados con esta política.

El departamento de sistemas realizará las labores operativas necesarias para dar

cumplimiento a la presente política, realizando esto siempre bajo la supervisión del

oficial de seguridad de la información.

96

5.- Política – Gestión del las Comunicaciones y Operaciones

A.10.1 Procedimientos y responsabilidades operacionales

A.10.1.1 Procedimientos de operación documentados

Como parte de la gestión de la seguridad de la información es necesaria la creación y

actualización de los procedimientos operativos relacionados con los diferentes

sistemas de información que la Universidad Politécnica Salesiana Sede Guayaquil.

Cuando se realice una modificación a los procedimientos, esta debe ser autorizada

por el Oficial de Seguridad de la información.

Entre la documentación que debe elaborarse debe constar:

Documentación sobre procesamiento de información utilizando los diferentes

sistemas de la Universidad.

Instructivo para manejo de errores comunes y generales que pudieran

presentarse el proceso de manipulación de la información.

Restricciones en el uso de utilitarios del sistema.

Gestión de servicios.

Aplicación de procedimientos de reinicio de sistemas o servicios que

permitirá garantizar la calidad y confiabilidad del servicios brindado por la

universidad en los caso de que estos hayan sido reiniciado ya sea por

procedimiento de rutinarios o de fuerza mayor.

Procedimiento de instalación, cambio, o reemplazo de componentes dentro de

los sistemas de información o comunicaciones.

Procedimientos de instalación y mantenimiento de los equipos de

procesamiento de información y comunicaciones.

97

Procedimientos de monitoreo de los sistemas de información y

comunicaciones.

Información sobre personal técnico a contactar en caso de errores o

problemas operativos ya sea de los sistemas propietarios de la universidad

como de los ISP que proveen los servicios de comunicación entre las sedes.

Procedimientos de resguardo de información.

Procedimientos de Respaldos.

Procedimiento de uso de correo electrónico.

A.10.1.2 Control de cambios en las operaciones

Todos los cambios realzados en el ambiente operativo deberán ser evaluados

previamente y documentado. El control de los cambios a realizarse es

responsabilidad del oficial de seguridad de la información, quien en conjunto con el

personal de sistemas evaluará las posibles implicaciones al realizar dichos cambios.

Cualquier cambio que afecte la plataforma tecnológica debe ser requerido por los

usuarios de la información y aprobado formalmente por el responsable de la

administración del componente tecnológico, Jefe de Oficina, o Director o a quienes

estos formalmente deleguen.

De ninguna manera un cambio será aprobado, realizado e implantado por la misma

persona o área.

Una bitácora debe ser mantenida registrando todos los cambios en el ambiente de

producción.

Entre los procedimientos y/o documentación requeridos se encuentran los siguientes:

Registro de cambios significativos en la infraestructura.

Evaluación de implicaciones posibles.

98

Documento de aprobación para realizar el cambio.

Planificación del proceso de cambio.

Procedimiento que permita reversar el cambio realizado.

Matriz de pruebas sobre el nuevo escenario.

Notificación por escrito a los departamentos implicados la cual debe incluir

los cambios realizados.

A.10.1.4 Separación de los ambientes de desarrollo y producción.

Los entornos de desarrollo y de producción deben mantenerse separados, de

preferencia físicamente separados, al momento de que un sistema o servicio deba ser

trasladado del entorno de desarrollo a producción deben documentarse reglas y

procedimientos de forma previa.

Los siguientes lineamientos deberán observarse:

Ejecutar la aplicación, programa, o servicios de desarrollo y producción en

diferentes ambientes, y diferentes servidores manteniéndose aislados uno del

otro.

Separar las actividades de desarrollo en ambientes aislados

En caso del software de producción, en lo posible evitar el acceso a código

fuente o herramientas de debugging.

Los sistemas de autenticación y control de acceso a los ambientes de

desarrollo y producción deben ser independientes.

Mantener documentados los nombres y cargos de los propietarios de la

información de ambos ambientes.

99

En lo posible el personal de desarrollo no tendrá acceso al entorno de

producción a menos que sea requerido y previamente autorizado por el

Oficial de seguridad de la información.

Durante el proceso de pruebas en el ambiente de desarrollo deberán realizarse

todas las pruebas pertinentes, las mismas que deberán documentarse de forma

similar al formato mostrado a continuación:

100

PLAN DE PRUEBAS AMBIENTE DE DESARROLLO

1. Datos Generales

Nombre de la prueba

Objetivo

Tipo de prueba Funcional / Técnica

Módulos o

programas

Tiempo estimado

2. Roles

Roles que intervienen en la prueba Responsabilidades

3. Descripción general de las pruebas

4. Plan de Pruebas

No Descripción S/N

1

2

3

5. Observaciones del plan de pruebas

6. Criterios de aceptación de la prueba

7. Firmantes

Elaborado por: Autorizado por:

Firma: Firma:

Cargo: Cargo:

Fecha: / / Fecha: / /

Figura 3.3

Fuente: Los Autores

101

10.2.1 Entrega del servicio

Se incluirán controles de seguridad, definiciones del servicio y niveles de entrega

incluidos en el acuerdo de entrega del servicio de terceros se implementen, operen y

mantengan.

En el caso de la sede Guayaquil de la UPS, se cuentan con contratos de provisión de

enlaces de datos y video conferencia entre las sedes de Guayaquil y Cuenca, así

como la provisión de acceso a Internet.

Deberán seguirse los siguientes lineamientos a fin de regularizar la aceptación del

servicio contratado:

La entrega del servicio de enlaces de datos o de cualquier servicio en el que

se contratase a un tercero, deberá incluir los acuerdos de seguridad pactados,

definiciones del nivel de servicio esperado y aspectos de la gestión del

servicio.

En caso de los acuerdos de abastecimiento externo, la organización debería

planear las transacciones de información, medios de procesamiento de la

información y cualquier otra cosa que necesite transferirse, y debiera asegurar

que se mantenga la seguridad a través del período de transición.

El personal de sistemas de la sede Guayaquil de la UPS, es responsable

asegurar que el proveedor mantenga una capacidad de servicio suficiente

junto con los planes de trabajo diseñados para asegurar que se mantengan los

nivel de continuidad del servicio en caso de existir fallas importantes en el

servicio o un desastre que cause una pérdida de disponibilidad del servicio.

10.2.2 Monitoreo y revisión de los servicios de terceros

Todos los servicios, reportes y registros provistos por terceros debieran ser

monitoreados y revisados periódicamente y serán sometidos a auditorias a fin de

asegurar que se esté dando fiel cumplimiento a lo acordado entre ambas partes.

102

La auditoria y el monitoreo permanente de los servicios asegurarán que se cumplan

los términos y condiciones de seguridad de los acuerdos, y que se manejen

apropiadamente los incidentes y problemas de seguridad de la información.

Entre las tareas asociadas a este aspecto se encuentran las siguientes:

Monitorear los niveles de desempeño del servicio que permitan dar fe de que

el proveedor está cumpliendo a conformidad con los acuerdos.

Revisar de los reportes de servicio emitidos por el proveedor del servicio

Recopilar información sobre incidentes de seguridad de la información

relacionados con la entrega del servicio contratado.

Revisar los rastros de auditoría del proveedor del servicio y los registros de

eventos de seguridad, problemas operacionales, fallas, e interrupciones

detectadas y reportadas.

Resolver y manejar cualquier problema identificado en la entrega del

servicio.

La responsabilidad de manejar la relación con terceros se debiera asignar a

una persona o equipo de gestión de servicios, en caso de la sede Guayaquil de

la UPS, el funcionario pertenecerá al departamento de sistemas.

Se llevará un control permanente relacionado con la entrega del servicio que

permita la identificación de vulnerabilidades y reporte y(o) respuesta a un

incidente de seguridad a través de un proceso, formato y estructura de reporte

definidos

103

10.2.3 Manejo de cambios en los servicios de terceros

Se gestionarán los cambios en la provisión de servicios, incluyendo el mantenimiento

y mejoramiento de las políticas, procedimientos y controles de seguridad de la

información existentes teniendo en cuenta el grado crítico de los sistemas y procesos

del negocio involucrados y la re-evaluación de los riesgos.

Esta gestión deberá incluir lo siguiente:

Los cambios realizados por la organización para implementar mejoras en los

servicios ofrecidos actualmente; desarrollo de cualquier aplicación y sistema

nuevo; modificaciones y(o) actualizaciones de las políticas y procedimientos

de la organización.

Controles nuevos para solucionar incidentes de la seguridad de la

información y para robustecer la seguridad en el servicio recibido.

Control de modificaciones en los servicios de terceros para implementar:

cambios y mejoras en las redes, uso de tecnologías nuevas, adopción de

productos nuevos o versiones más modernas, desarrollo de herramientas y

ambientes nuevos, cambios en la ubicación física de los medios del servicio,

entre otros.

A.10.3.Planeación y aceptación del sistema.

A.10.31 Gestión de capacidad

El oficial de seguridad de la información se encargará o delegará funciones de

monitoreo de las necesidades futuras que los diferentes sistemas de información o

servicios informáticos deberán cubrir.

Es necesario que periódicamente se realice un análisis de las nuevas necesidades de

la institución así como la posibilidad de hacer uso de nuevas tendencias relacionadas

con la tecnología y seguridad de la información.

104

Los posibles limitantes en los procesos de manipulación de la información y

necesidades de mejoramiento deberán ser informados y se buscará una futura

solución u optimización a través de la aplicación de una nueva tecnología y(o) la

implementación o actualización de sistemas o servicios informáticos.

A.10.3.2 Aceptación del sistema.

El Oficial de seguridad de la información en conjunto con el personal técnico

relacionado con la implementación de un nuevo sistema de información o servicio

informático sugerirán los criterios a observar al momento de aceptar la

implementación de nuevos sistemas, y(o) actualizaciones de versiones ya existentes.

Antes de realizar la aprobación formal se deberán considerar los siguientes puntos:

Evaluación de impacto en el desempeño y calidad del servicio.

Capacidad de recuperación ante errores o desastres, planes de contingencia.

Elaboración de los procedimientos de operación para la nueva solución.

Prueba de la efectividad de los procedimientos de operación de la nueva

solución.

Controles de seguridad aplicables.

Evidencia comprobable de que el nuevo servicio o sistema no afectara a los

demás sistemas en producción, sobre todo en horas de alta demanda de

trabajo.

Aceptación por parte del Oficial de Seguridad de la información , indicando

de que el nuevo sistema o servicio no se convertirá en un eslabón débil dentro

de la gestión de la seguridad de la información

Plan de capacitación en la nueva herramienta, sistema, o servicio informático.

105

Comprobar que el nuevo elemento es fácil de utilizar y no entorpecerá los

procesos relacionados al uso del mismo.

A.10.4 Protección contra software malicioso y código móvil

A.10.4.1 Controles contra software malicioso

El oficial de seguridad informática deberá establecer los controles técnicos o no

técnicos que permitan detectar, prevenir y proteger la infraestructura tecnológica de

la Universidad de software malicioso como virus, troyanos, “puertas traseras”, entre

otros, así mismo elaborar una estrategia para concienciar a los usuarios de la

información, sistemas, y servicios informáticos

El personal de sistemas será encargado de la implementación operativa de estos

controles.

Los controles deberán incluir las siguientes observaciones:

Definir formalmente una política que prohíba el uso de software no

autorizado dentro de la Universidad.

Todo software que sea utilizado por la Universidad deberá ser adquirido de

acuerdo a las leyes vigentes y siguiendo los procedimientos establecidos por

la Universidad.

Deberá fomentarse la cultura informática al interior de la institución que

asegure el conocimiento por parte de los funcionarios de la sede acerca de las

implicaciones que podrían acarrear la instalación de software ilegal en los

computadores.

No se brindará soporte técnico sobre cualquier aplicación instalada en los

equipos de la Universidad que no se encuentre autorizada por la coordinación

de sistemas para su uso

106

Se mantendrá un inventario detallado del software instalado en los equipos

así como el software instalado con fines de evaluación.

A fin de detectar software ilegal o potencialmente peligroso el departamento

de sistemas realizará revisiones e inspecciones periódicas de forma aleatoria.

Deberá disponerse de una herramienta que permita administrar y controlar de

forma automática el software instalado en los equipos.

Todo software ilegal encontrado deberá ser desinstalado inmediatamente.

Las aplicaciones actualmente autorizadas para uso en las computadoras de la

sede son:

a. APLICATIVOS

o Microsoft Office con sus respectivos aplicativos dentro del

paquete de instalación

o Adobe PhotoShop (Relaciones Publicas)

b. SEGURIDAD CLIENTES

o Antivirus F-Secure

c. SISTEMAS OPERATIVOS CLIENTES

o Microsoft Windows XP SP2

Elaborar procedimientos que permitan evitar riesgos relacionados con la

obtención de archivos y programas desde o a través de redes públicas como

Internet.

Instalar en todos los equipos software de detección y eliminación de virus y

software malicioso y mantener actualizadas las definiciones.

107

Los sistemas operativos deberán estar actualizados con los últimos parches de

seguridad o hotfixes, si la instalación de los mismos pudieran representar

cambios significativos en la infraestructura actual, estos deberán ser

evaluados previamente en un entorno de desarrollo independiente.

Establecer una política de revisión y escaneo de los archivos recibidos previo

a su utilización.

Alertar a los usuarios sobres las estrategias utilizadas para la difusión de los

virus y demás código malicioso a fin de evitar posibles infecciones.

Establecer una política de uso de dispositivos removibles que evitará la

propagación de código malicioso, generalmente residente en dispositivos

móviles.

Todos los equipos personales y portátiles deberán siempre mantener instalado

configurado y funcionando el software antivirus aprobado por la

coordinación de sistemas

Es responsabilidad del usuario reportar al departamento de sistemas

cualquier problema relacionado a infección de virus o software malicioso en

el equipo a él asignado.

La coordinación de sistemas se asegurara de que se realicen las

actualizaciones de las definiciones de virus en todos los equipos clientes.

A.10.5 Respaldo de información o Backups

A.10.51 Respaldo de la información

Se deberán analizar los requerimientos de respaldo y preservación de la información,

para esto el Oficial de seguridad informática junto con el personal designado por el

departamento de sistemas y propietarios de la información se reunirán

periódicamente realizaran las respectivas definiciones.

108

La persona designada dentro del departamento de sistemas como responsable de los

respaldos de información controlará la realización de las copias periódicas de los

datos y de llevar a cabo pruebas periódicas de restauración.

Se definirá una ubicación física, segura, con los controles de acceso necesarios y con

condiciones ambientales adecuadas para el almacenamiento de las copias de

seguridad.

Los procedimientos operativos relacionados con el respaldo de la información

deberán seguir los siguientes lineamientos:

Definir y establecer por escrito que tipo de información es necesario

respaldar y hasta que nivel.

Llevar una bitácora exacta sobre la realización de los respaldos de la

información, y documentación sobre el procedimiento a seguir para la

restauración.

Definir el tipo de respaldo , sea este total, incremental, o diferencial y la

frecuencia con la que se los realizará.

Los registros de las copias de seguridad deberán incluir el nivel de

criticidad de la información almacenada en los medios.

Los medios deberán almacenarse en un lugar aislado, lejos de áreas de

libre acceso, buscando áreas en las que sería menos probable la incidencia

de algún desastre o daño causado por factores ambientales.

Debe existir un plan de pruebas sobre los medios de almacenamiento, los

cuales serán probados periódicamente, los tiempos serán definidos por el

Oficial de seguridad informática.

109

Los procedimientos de restauración realizados por el departamento de

sistemas deberán ser revisados y probados a fin de asegurar la efectividad

de los mismos.

En caso de información altamente critica o confidencial, la información

deberá utilizarse encriptación al momento de almacenarla en los medios.

En caso del respaldo de información de sistemas críticos el respaldo será

total, aplicaciones, y datos de todos los sistemas, en general toda la

información que sería necesaria a fin de recuperar el servicio en caso de

un desastre.

Deberá además establecerse por escrito el periodo de tiempo en que se

retendrá la información almacenada en los medios.

En caso de utilizar dispositivos que permiten automatizar los respaldos,

estas deberán ser probadas en cada una de las fases, respaldo y

recuperación, antes de ser puestas en producción, es importante además

realizar pruebas periódicas que aseguren la confiabilidad del dispositivo.

Deben almacenarse copias de seguridad en otra ubicación física evitando

destrucción de las mismas en caso de una catástrofe como en caso de

incendios u otros.

A.10.6 Gestión de seguridad de redes

A.10.6.1 Controles de red

Las redes de comunicación de datos de la Universidad deben ser administradas y

monitoreadas de con regularidad y manteniendo la seguridad en las operaciones,

garantizando que la información trasmitida a través de la red se mantenga segura y

libre de acceso no autorizado.

110

La red de datos de la Universidad Politécnica Salesiana sede Guayaquil es

administrada por el departamento de sistemas, siendo responsable el Coordinador de

sistemas de elaborar controles y procedimientos operativos que observen los

siguientes principios:

En lo posible deberá delegarse las tareas de administración de red a

personal no relacionado con tareas operativas con los sistemas de

cómputo.

El Coordinador de Sistemas deberá establecer responsabilidades sobre las

diferentes tareas de administración y monitoreo de la red, incluyendo

equipos de comunicación, enrutadores, switches y canales de

comunicación.

Deben existir controles especiales a fin de asegurar la confidencialidad de

la información transmitida a través de redes públicas como Internet o a

través de redes inalámbricas. Pueden utilizarse recursos de orden técnico

como redes privadas virtuales (VPN) y utilizar encriptación sobre las

redes inalámbricas.

Debe existir registros de accesos a la red que permita llevar un control de

la actividad de red e identificar algún comportamiento anormal en la

misma.

Dentro del departamento de sistemas existen los siguientes cargos y

funciones de entre los cuales el Coordinador de sistemas puede delegar

funciones inherentes a controlar la red de datos:

Analista – Programador

Técnico en soporte y mantenimiento

Asistente de soporte y mantenimiento

111

En lo relacionado con la administración de los equipos de conectividad de

red tales como concentradores, enrutadores y demás se tomaran en cuenta

las siguientes recomendaciones:

o Configurar usuario y contraseña diferentes a los establecidos por

defecto en fábrica.

o Permitir acceso administrativo únicamente a direcciones IP

establecidas para este fin.

o Tiempo de 30 segundos de time out para sesiones inactivas

o Guardar registro de auditoría de las conexiones de administración

realizadas.

o Realizar respaldos de la configuración del switch al menos una vez

al mes.

o Las contraseñas de las comunidades SNMP deberá ser diferente a

la establecida por defecto en fábrica.

o Almacenamiento de las contraseñas de administración y

contraseñas de comunidades

Con respecto a la seguridad en dispositivos de interconexión inalámbrica

se deben tomar en cuenta los siguientes lineamientos:

Puntos de Acceso Inalámbrico (Access Point)

Broadcast: Deshabilitado

Modo de Seguridad: WPA/WPA2 con PSK

Método Cifrado de Datos: TKIP

Periodicidad de cambio de clave: 3 meses

Nombre de red (SSID): No debe ser fácilmente asociado por un

posible intruso.

A.10.6.2 Seguridad de los servicios de red

Para todo servicio de red que se planee implementar , refiriéndose a que este sea

interno , como un nuevo segmento de red, o externo como un nuevo enlace Wan de

datos, deberá asegurarse que este incluya características de seguridad que permita

mantener el nivel de servicio lo más alto posible.

112

Para este fin el Coordinador de Sistemas se asegurará de monitorear la capacidad

operativa del proveedor de servicios, en caso de ser externo, a fin de constatar que se

encuentra en la capacidad de proveer los servicios contratados en concordancia a los

requerimientos impuestos por la Universidad.

El Coordinador de Sistemas de la sede deberá asegurarse que el proveedor

implemente las características necesarias a nivel de seguridad y nivel de servicio que

se han establecido en el contrato de prestación de servicios.

Se define en esta política como servicios de red, implementados interna o

externamente por ejemplo a servicios de redes privadas, soluciones de seguridad

como firewalls, IPS/IDS, redes privadas virtuales, así como de enlaces Wan de banda

ancha.

Los servicios de red deben incluir control sobre las conexiones, VPNs, soluciones de

seguridad tales como firewalls, sistemas de prevención de intrusiones, etc. Estos

servicios pueden ser ofrecidos por el proveedor o implementados por el

departamento de sistemas de la sede.

Las características de seguridad que estos servicios deben cumplir son los siguientes:

El servicio de red debe contar con mecanismos de seguridad como

controles autenticación, control de acceso, y de conexión y cifrado.

Cumplir con los requerimientos técnicos establecidos previamente por la

Universidad, los cuales permitan una conexión segura a los servicios de

red.

Incluir procedimientos sobre la utilización del servicio de red,

procedimientos que permitan restricción de acceso al servicio o

aplicaciones.

113

A.10.7 Gestión de medios

A.10.7.1 Gestión de medios removibles

El Coordinador del departamento de sistemas diseñará procedimientos para la

administración de los medios removibles, como memorias flash, cintas discos, tapes,

etc.

Para la gestión de estos dispositivos se seguirán los siguientes libamientos:

En caso de que la información almacenada en dispositivos removibles

como cintas, discos ópticos, etc. deberá ser eliminada utilizando

herramientas que permitan asegurar que la misma no pueda luego ser

restaurada utilizando software destinado a este fin.

Deben estar claramente identificados los dispositivos que requieran que se

ejecute el proceso de eliminación segura mencionado en el anterior punto

Es necesario mantener un registro de la eliminación de los medios que

contengan información confidencial a fin de tener registros para futuras

auditorias o intervenciones.

Se recomienda seguir las siguientes normas de seguridad con relación a

los dispositivos removibles:

o Únicamente se permite el uso de dispositivos removibles a los

usuarios que lo requieran para el cumplimiento de sus funciones.

o Debe mantenerse identificado el tipo de información que se

almacenará en los dispositivos

o El responsable del medio velará por el buen uso de la información

en el medio almacenada.

114

o El responsable del medio velará por la seguridad de la información

durante el traslado del medio.

o En caso de pérdida del medio el responsable está obligado a

reportar el incidente al oficial de seguridad informática.

o En caso de ser necesaria la eliminación de la información

contenida en el medio se lo realizara a través de mecanismos

seguros.

o Los medios removibles deben ser utilizados como medio de

transporte de información y bajo ninguna circunstancia como

almacenamiento primario.

A.10.7.3 Procedimientos de manejo de la información

Deben definirse procedimientos para el manejo de la información de acuerdo a lo

definido en la sección de Clasificación y control de activos.

Estos procedimientos deberán incluir:

Protección a documentos físicos o digitales, sistemas de información redes de

comunicación de datos, comunicaciones móviles, correo electrónico y demás

servicios o sistemas en los que información se encuentre envuelta.

El acceso a estos activos será permitido únicamente a personal autorizado y

designado por el coordinador de sistemas

Mantener una bitácora que incluyan los accesos realizados a esta información

Conservar los sistemas y medios de almacenamientos en un ambiente

apropiado de acuerdo a las especificaciones del fabricante.

Se almacenara en los servidores únicamente información propietaria de la

sede Guayaquil de la Universidad Politécnica Salesiana.

115

Toda información de carácter sensible deberá almacenarse en servidores

repositorios de información manteniendo la seguridad de acceso pertinente.

En los computadores personales se mantendrá almacenada únicamente

información de apoyo, no clasificada como critica para la institución.

A.10.7.4 Seguridad en la documentación de los sistemas de información

Todos los sistemas de información deben contar con documentación operativa y

guías de administración, al ser esta información sensible se deben seguir las

siguientes pautas sobre su custodia:

La documentación del sistema debe almacenarse de manera segura con sus

respectivos índices y seguridades de acceso a la documentación almacenada

en cada una de ellas.

La cantidad de usuarios autorizados a acceder a la misma se mantendrá al

mínimo.

Los documentos del sistema de acceso público deben ser almacenados con la

debida seguridad de acceso, a través de credenciales, usuario y contraseña,

certificados digitales, tokens, etc.

Existe documentación sobre los sistemas de información residentes en la sede de

Cuenca, información como diccionario de datos y estructuras de almacenamiento, de

forma impresa y almacenada digitalmente con los debidos controles de acceso. A

esta información tienen acceso:

Jefe de desarrollo de software

Director de Sistemas

Personal designado por los anteriormente mencionados

116

A.10.9 Servicios de Comercio Electrónico

A.10.9.2 Transacciones en línea

La Universidad Politécnica Salesiana sede Guayaquil, a través de su portal Web

permite a los estudiantes realizar consultas financieras y académicas a sus clientes,

en este caso los estudiantes, así como también realizar pagos vía Internet con las

diferentes tarjetas de crédito con las que ha realizado convenios.

La institución debe garantizar que durante las transacciones en línea no exista

transmisión incompleta, divulgación de información privada, plagio de identidad, o

acceso no autorizado a los datos transmitidos a través de Internet.

Es por eso se recomienda tomar las siguientes medidas preventivas:

Utilizar firmas electrónicas en ambas partes que participan en la transacción

Durante la realización de la transacción deben existir certeza de que :

o Las credenciales de usuario son validas y han sido verificadas

o La transacción se ha realizado de forma confidencial

o Existe privacidad en ambas partes involucradas

Al utilizarse un canal de comunicaciones público, la información debe ir

encriptada.

Se utilizaran protocolos de comunicación seguros (SSL)

Los medios de almacenamiento donde se guarden las transacciones realizadas

en línea deben contar con protecciones robustas a fin de evitar accesos no

autorizados.

Cumplir con las leyes y regulaciones vigentes y establecidas por el estado

ecuatoriano.

117

A.10.9.3 Información disponible públicamente.

La información que puede ser vista desde Internet a través del portal Web de la

Universidad debe contar con la suficiente seguridad de acceso que permita asegurar

la no modificación de la misma.

Se realizará pruebas de penetración aplicadas sobre los servidores que publican

información a través de Internet a fin de descubrir vulnerabilidades que permitan

afectar la confiabilidad e integridad de la información en ellos almacenados.

Adicionalmente deberá observarse las regulaciones legales establecidas por el estado

referente a comercio electrónico y manejo de información.

A.10.10 Monitoreo

Se deberá detectar cada una de las actividades que involucren el procesamiento de la

información que no ha sido autorizada por el Coordinador de Sistemas, también se

deberán utilizar bitácoras de operador y registrar cada una de las fallas para poder

asegurar que se identifiquen cada uno de los problemas en las distintas dependencias

Las tareas de monitoreo realizadas deberán cumplir con cada uno de los lineamientos

establecidos en este documento:

Gestión de Monitorio Sede Cuenca

En vista que los gestores de base de datos como las aplicaciones de gestión

académicas residen en la sede de Cuenca, el personal de sistemas de la sede matriz se

encargara de monitorear cada uno de los eventos , alertas, y estado de los mismos

asegurándose de documentar de los eventos ocurridos.

Gestión de Monitorio Sede Guayaquil

Como parte de las tareas del personal de sistemas de la sede Guayaquil se encuentra

el monitoreo de la disponibilidad y estado de los servicios informáticos, servidores y

equipos utilizados tanto por el personal docente como por los estudiantes.

118

Se deberá mantener un constante monitoreo de los servicios más críticos de la sede,

mencionados a continuación:

Enlace a Internet

Enlaces hacia Cuenca

Proxy Server

Carga de los servidores

Estado y utilización de los enlaces inalámbricos

A10.10.1 Registro de Auditoria

Se deberán generar el registro de la auditoria que deberá contener cada una de las

excepciones y los eventos que hayan sido relativos con la seguridad informática

Todas las acciones generadas en el proceso de auditoría se deberán mantener en un

periodo acordado, el cual permitirá facilitar los procesos de investigación y el

monitoreo de los controles de acceso concedido en cada uno de los procesos.

Los registros de auditoría deberán seguir los siguientes lineamientos de seguridad

Utilizar las ID o nombre de usuario.

Fecha, hora que identifique las fecha de ingreso y salida.

Presentar la identidad y dirección IP de donde inició sesión el usuario.

Mantener un registro de intentos fallidos que serán registrado en el

sistema

Mantener un registro de los accesos no permitidos por un mencionado

usuario.

Registrar los cambios en la configuración de los perfiles del usuario en el

sistema.

119

Mantener un registro del uso de las utilidades y aplicaciones que son

empleadas por el usuario del sistema.

Mantener una bitácora del acceso al que tuvo el usuario.

Mantener controles que monitoreen los de accesos ya sea por emisión de

sonidos o alarmas.

Mantener un control de activación y desactivación de los sistemas de

protección, como de aquellos sistemas de anti-virus y de detección de

intrusos.

Se deberán implementar las medidas de control de la protección a la privacidad

apropiadas sobre la información privada o confidencial sobre el usuario que

mediante el monitoreo se podría obtener.

El Encargado del departamento de Sistemas no deberá tener permisos para borrar o

desactivar los controles de auditoría, y de igual forma se realizaran auditorias sobre

las actividades realizadas por él.

A.10.10.2 Uso del Sistema de Monitoreo

Se deberán contemplar los procedimientos para el monitoreo de cada uno de los

medios de procesamiento de la infamación y estos medios serán revisados de manera

periódica en cada una de las actividades realizadas y almacenadas

La determinación del nivel de monitoreo de las actividades de los medios de

procesamiento de la información estarán de acuerdo a su evaluación realizada en

cuanto a su criticidad y al riesgo al que están expuestos.

Cada uno de los sectores deberá considerar las siguientes implicaciones:

Incluir ID del usuario.

Fecha y hora de ingreso y salida.

120

Tipo de acción realzada.

Identificación de los documentos y los sitios donde tuvo acceso.

Identificación de los programas y/o utilidades que fueron ejecutados.

Anexo de la operaciones catalogadas como privilegiadas.

Uso y fecha de ingreso con las cuentas privilegiadas.

Dispositivos de entrada y salida que fueron utilizados para adjuntar o

eliminar la información.

Intentos de acceso no autorizados

- Registros de accesos fallidos por el usuario.

- Registro de acciones fallidas que involucren datos o información

dentro de los sistemas.

- Violaciones a políticas de seguridad establecidas en los

dispositivos de seguridad como firewalls.

Alertas o fallas del sistema:

- Implementar alertas en caso de fallas o degradación del servicio.

- Control sobre acciones realizadas por red , y alertas de saturación

de los canales de comunicación

- Alertas en tiempo real en cuanto se realcen cambios en alguna

configuración

Monitorear cambios o intentos de cambios

121

A.10.10.3 Protección del registro de Información

Este control está orientado a proteger de cambios no autorizados y operaciones no

autorizadas en los medios de registro. Para la implementación de este control se

deberá considerar:

Considerar las alteraciones que se hayan registrado en cada según los

mensajes.

Salvaguardar aquellos archivos de registro que va ha ser editados o

eliminados.

Debe asegurarse que los registros sean almacenados con seguridad

evitando almacenar los mismos en medios de almacenamiento

defectuosos.

A.10.10.4 Registro del Administrador y Operador

Se deberán registrar cada una de las actividades realizadas por el encargado del

departamento de Sistemas y los operadores a los que se les ha delegado tareas

relacionadas con la administración de sistemas. Se registrara lo siguiente

Hora en el que ocurre el evento

Tipo de evento o acción realizada

Identificación del usuario involucrado

Tareas o procesos secundarios envueltos incluso los ejecutados a bajo

nivel

A.10.10.5 Registro de Fallas

Debe mantenerse un registro detallado de cada una de las fallas significativas que los

sistemas, servicios informáticos o bases de datos presenten durante su normal

operación, se deberían observar los siguientes lineamientos:

122

Realizar una revisión de cada uno de los registros, de manera que se

permitan saber si ya han sido resueltas de manera parcial o total.

Revisión de las medidas correctivas ejecutadas que permita establecer

las acciones a tomar en caso de que el problema se presente en lo

posterior.

A.10.10.6 Sincronización de relojes

Los relojes de cada uno de los sistemas de procesamiento de la información, deberán

mantenerse sincronizados con una fuente que proporcione una hora exacta.

En caso de establecer un servidor contra el cual se sincronizaran los demás, este

deberá apegarse el estándar previamente establecido por la organización, en este caso

se ha definido la zona horaria para la región continental de Ecuador (GMT-5)

La sincronización de relojes, fechas y zona horaria será de vital importancia para

asegurar la exactitud al momento de definir el momento en que algún evento se

suscita a través de las labores de monitoreo definidas en esta política.

A.11 Control de Accesos


Las acciones que permiten una gestión y control sobre los accesos al los activos de

información o sistemas son la base de todo sistema de gestión de seguridad

informática.

Es por esto que es de vital importancia la implementación de controles y

procedimientos que permitan garantizar que el control y asignación de privilegios

sobre el acceso a sistemas, repositorios de información, y bases de datos.

Estos controles deben mantenerse documentados y actualizados, pero sobre todo

debe existir un riguroso control por parte del encargado de la seguridad en cuanto al

123

cumplimiento de estos controles durante la operación diaria de los sistemas y activos

de información.

En este aspecto es importante el compromiso adquirido por los usuarios a fin

de

llevar a cabo los lineamientos sugeridos, razón por la cual la divulgación de esta

política debe ser masiva.


Evitar todo acceso no autorizado tanto a los activos de información, bases de

datos, y sistemas de información.

Establecer mecanismos de seguridad de accesos a través de robustas técnicas de

autenticación.

Controlar el acceso desde o hacia redes públicas o de entidades externas.

Mantener un registro de eventos de actividades de los usuarios y realizar

auditorías sobre los mismos.

Concienciar a los usuarios sobre la importancia de la seguridad de acceso e

impulsarlos a cumplir rigurosamente los controles y políticas aquí descritas.

Garantizar la seguridad y acceso a la información al utilizar equipos portátiles,

conexiones remotas, o computación móvil.


Esta política es aplicable a todas las acciones relacionadas con acceso a recursos de

información, a todos los usuarios sobre los cuales recaen privilegios de acceso a

sistemas o bases de datos, así como a personal técnico del área de sistemas y de

seguridad informática

124


La elaboración de las políticas de control de acceso y controles serán responsabilidad

del Oficial de seguridad informática, de igual manera será la persona encargada de

autorizar los permisos que los usuarios a través de la jefatura de su respectivo

departamento soliciten.

Es también responsable de auditar los accesos de los usuarios a los diferentes

recursos de información a través de la revisión de logs de actividades, y de acceso.

Los jefes departamentales son los responsables de avalar las solicitudes de acceso de

sus respectivos subalternos, y aprobarlas por escrito.

Es por su parte responsabilidad de los usuarios de la información, sistemas y

servicios informáticos observar rigurosamente esta política y darle cumplimiento.

5.- Política – Control De Accesos

A.11.1 Requerimiento comercial para el control del acceso

A.11.1.1 Política de control de acceso

La política de control de acceso y derechos que los usuarios individualmente o

grupalmente deben ser claramente establecidos. Estos controles deben ser tanto de

acceso físico como lógico.

Dentro de los lineamientos de implementación debe tomarse en consideración lo

siguiente:

Establecer los requerimientos de seguridad para las aplicaciones o

sistemas críticos de la institución.

Identificar que información está ligada a los sistemas de información y

debe ser protegida.

125

Debe existir consistencia entre los niveles de accesos establecidos y el

nivel de criticidad con el que fue catalogada la información.

Asegurar el cumplimiento de las regulaciones y legislación vigente.

Definir niveles de acceso de usuario estándar para personal que se ajuste a

labores básicas dentro de la institución.

Gestionar la seguridad de acceso tanto para ambientes simples como

distribuidos tomando en cuentas las comunicaciones que para esto se

requiera.

Establecimiento de un procedimiento que permita autorizar los accesos

necesarios por los usuarios de la información o sistemas.

Si se delegan las tareas operativas de concesión de derechos de acceso

estas deben ser documentadas y controladas por el Oficial de seguridad de

la Información.

Cronograma de revisión y auditoria de privilegios concedidos.

Controles que permitan revocación de privilegios de acceso.

Los permisos de acceso a los sistemas de información son concedidos por

el administrador de base de datos luego de existir solicitud y aprobación

por escrito del permiso solicitado.

A continuación se muestra un formato referencial que podría servir como

constancia de la solicitud y concesión de privilegios de acceso.

126

FORMULARIO DE SOLICITUD DE ACCESO A SISTEMAS DE

INFORMACIÓN

SOLICITUD DE ACCESO A SISTEMAS DE INFORMACIÓN

1. Datos Generales

Sede:

Departamento

2. Datos del usuario

Nombre y Apellido del Solicitante:

Cargo: TEL 1:

Correo electrónico:

3.Perfil del Usuario que se está creado ( Marque la opción)

Sistema de información:

Creación Modificación

Perfil 1 Eliminación:

Prefil2 Cambio Perfil: Elaboración

Revisión

Aprobación

5. Firmantes

Solicitado por: Autorizado por:

Firma: Firma:

Cargo: Cargo:


6. Aprobación ( Para uso interno Coordinación )

Aprobado por: Observaciones

Firma:

Cargo:

Fecha: / /

7. Condiciones

127

Condiciones:

a) El usuario y contraseña otorgado es de uso personal

b) El usuario y contraseña por ningún motivo debe ser transferido a otro funcionario.

c) La suspensión temporaria o definitiva del funcionario deberá ser comunicada de

inmediato al administrador de usuarios del sistema siguiendo los mecanismos

definidos

d) Los cambios de perfiles del funcionarios, deberán ser comunicados al administrador de

usuarios del sistema siguiendo los mecanismos definidos

e) Todas las operaciones realizadas en los sistemas, son responsabilidad del funcionario

propietario del usuario.

f) Debe de salir del sistema cada vez que no esté en uso.

g) Los inconvenientes asociados a las habilitaciones y modificaciones deberán ser

comunicados al administrador de usuarios del sistema

Figura 3.4

Fuente: Los Autores

A.11.2 Gestión del acceso del usuario

A.11.2.1 Inscripción del usuario

Debe desarrollarse un procedimiento que permita registrar de manera única a los

usuarios que requerirán acceso a la información.

Se deben tomar en cuenta los siguientes lineamientos en el registro de usuarios:

Utilizar nombres de usuarios únicos que permitan el no repudio de las

acciones realizadas con el mismo.

Realizar chequeos que permitan establecer que el usuario tenga la

autorización asignada por el administrador del sistema, servidor, o base de

datos.

128

Chequear que el nivel de acceso otorgado sea el estrictamente necesario para

que el usuario pueda realizar únicamente las tareas relacionadas con su

trabajo.

Al momento de registrar un usuario el funcionario deberá firmar el

formulario que indique su usuario, mecanismo de autenticación, sistema al

que se le ha concedido acceso y privilegios asignados.

Bajo ninguna circunstancia el personal de sistemas otorgará privilegios de

acceso sin haber completado el proceso normal de aprobación.

Asegurarse que no se asignen nombres de usuarios repetidos para los

sistemas o servicios.

Se establecerá en el contrato de servicios del funcionario una cláusula que

indique la sanción por incumplimiento a la política de seguridad y control de

accesos.

A.11.2.2 Gestión de privilegios

Los privilegios de acceso se mantendrán al mínimo necesario para el cumplimiento

de las funciones individuales de cada funcionario, estos privilegios serán regulados a

través de los siguientes lineamientos de seguridad:

Deben establecerse por escrito y de forma detallada los privilegios de acceso

que el usuario tendrá para cada uno de los sistemas de información, base de

datos, y servicios informáticos a utilizarse en la institución, de ninguna

manera se asignaran privilegios generales para todos los servicios.

Los privilegios se asignaran en función de la premisa “solo lo que el usuario

necesita saber”, no se asignaran funciones ni accesos a ningún módulo o

servicio que no sean los que estrictamente se necesitan para el cumplimiento

de su función.

En lo posible se utilizaran herramientas de software automatizadas para la

asignación de privilegios, permisos y accesos a menús.

129

Los privilegios se asignaran a usuarios específicos y nunca a usuarios

generales designados a utilizarse para tareas básicas de operación del sistema

con datos o información pública.

Deberá prestarse especial atención al uso que el personal de tecnología da al

usuario administrador del(los) sistema(s), pues el uso indebido supondría una

vulnerabilidad significativa a la seguridad.

A.11.2.3 Gestión de claves secretas de los usuarios

La asignación de contraseñas de acceso a los sistemas e información deberá ser

gestionada por un proceso de autorización previo a la asignación de los mismos, este

procedimiento deberá incluir lo siguiente:

Debe firmarse el formulario que incluye el enunciado de confidencialidad de

las credenciales de autenticación de usuario

Se deberá asignar inicialmente una clave temporal a los usuarios y establecer

los mecanismos que permitan que el usuario cambie su contraseña a fin de

que ni el usuario del departamento de sistemas la conozca.

Establecer un procedimiento que permita corroborar la identidad del

funcionario previo a entregarle su nombre de usuario y contraseñas para los

sistemas o servicios.

Las claves temporales de igual forma deben entregarse a los usuarios de

manera segura en sobre sellado y existiendo una constancia escrita y firmada

de la recepción de la misma

Las contraseñas de los sistemas o servidores nunca deberán ser almacenadas

en los equipos de computo a menos que estas sean almacenadas utilizando en

algoritmos robustos de encriptación

130

Bajo ninguna circunstancia se mantendrán las contraseñas establecidas desde

fabrica para los equipos nuevos que la institución adquiera, antes de ser

puestos en producción se les asignaran contraseñas con la longitud adecuada.

131

FORMULARIO DE ENTREGA Y RESPONSABILIDAD DE

CONTRASEÑAS

SOLICITUD DE ACCESO

1. Datos Generales

Sede:

Departamento

2. Datos del usuario


Cargo: TEL 1:


3. Perfil del Usuario que se está creado ( Marque la opción)

Sistema de información:

Usuario / Contraseña

Usuario

Contraseña

4. Aceptación de obligaciones del usuario

h) El usuario y contraseña otorgado es de uso personal

i) El usuario y contraseña por ningún motivo debe ser transferido a otro funcionario.

j) La suspensión temporaria o definitiva del funcionario deberá ser comunicada de inmediato al

administrador de usuarios del sistema siguiendo los mecanismos definidos

k) Los cambios de perfiles del funcionarios, deberán ser comunicados al administrador de

usuarios del sistema siguiendo los mecanismos definidos

l) Todas las operaciones realizadas en los sistemas, son responsabilidad del funcionario

propietario del usuario.

m) Debe de salir del sistema cada vez que no esté en uso.

Los inconvenientes asociados a las habilitaciones y modificaciones deberán ser comunicados al

administrador de usuarios del sistema

5. Firmantes

Recibido por: Entregado por:

Firma: Firma:

Cargo: Cargo:


Figura 3.5

Fuente: Los Autores

132

Con relación a las contraseñas utilizadas por el personal encargado de

administrar los servidores, deberá entregarse un listado de los usuarios y

contraseñas para cada servidor o sistema luego de contar con la respectiva

autorización. Puede utilizarse un formato similar al presentado a

continuación:

CONTRASEÑAS DE ACCESO SERVIDORES

SOLICITUD DE ACCESO A SISTEMAS DE INFORMACIÓN

1. Datos Generales

Sede:

Departamento o Coordinación

2. Datos del administrador


Cargo: TEL 1:


Figura 3.6

Fuente: Los Autores

3. Perfil del Usuario que se esta creado ( Marque la opción)

DIRECCION IP HOSTNAME USUARIO CONTRASEÑA

10.0.0.1 SERVER1 Root **********

10.0.0.2 SERVER2 Root **********

10.0.0.3 SERVER3 Root **********

10.0.0.4 SERVER4 Root **********

10.0.0.5 SERVER5 Root **********

4. Aceptación de obligaciones del usuario

5. Firmantes

Recibido por: Entregado por:

Firma: Firma:

Cargo: Cargo:


133

A.11.2.4 Revisión de los derechos de acceso de los usuarios

El oficial de seguridad informática realizará una revisión periódica de los derechos

de acceso establecidos para los usuarios. Este proceso de revisión debe observar los

siguientes lineamientos:

Los derechos de acceso a los usuarios deberán ser revisados al menos cada 6

meses de forma ordinaria , y de forma extraordinaria en caso de existir una

promoción o ascenso de un funcionario , o en caso de el funcionario cese en

sus funciones dentro de la institución.

Los derechos de acceso deberán ser revisados y ajustados cuando se traslada

o transfiere a un funcionario a otra área o departamento dentro de la

organización.

Los accesos privilegiados, usuarios administradores, o usuarios con acceso a

información altamente crítica deberán ser revisados cada 3 meses.

Los accesos privilegiados deben ser registrados a fin de dar especial atención

a estos.

Los usuarios asignados al personal de tecnología o sistemas deberán ser

especialmente auditados al contar con derechos totales de acceso.

11.3 Responsabilidades del usuario

11.3.1 Uso de las claves secretas

Este control está orientado a buen uso de las prácticas de seguridad informática y el

uso de las contraseñas para el acceso a la información.

Siendo las contraseñas un medio de validación e identificación del usuario, como un

medio para la clasificación de los medios de acceso a los servicios otorgados; el

mencionado usuario deberá apegarse al siguiente alineamiento de la política de

control.

134

Mantener la no divulgación de las contraseñas

Llevar un cambio periódico de las contraseñas o en el caso que exista algún

indicio que acceso de acceso no permitido este deberá modificar su clave de

acceso

La selección de una contraseña adecuada, deberá ir de acuerdo a las

prescripciones informadas por el responsable de la seguridad informática.

Para esto el usuario deberá llevar a cabo los siguiente lineamientos:

o Que sean fácil de recordar por el usuario.

o Que no mantenga una relación directa con el usuario y que esta no se

pueda obtener de manera sencilla, como tampoco utilizar información

como nombres, teléfonos, fechas de nacimiento, etc.

o Estas no deberán contener una secuencia consecutiva de caracteres o

un alineamiento totalmente numérico.

Realizar un cambio de las contraseñas cada vez que el sistema lo amerite y

tratando en lo menos posible de reutilizar antiguas claves empleadas.

Realizar en cambio de las contraseñas provisionales desde el primer inicio de

sesión en el sistema.

Evitar la inclusión de las contraseñas en los procesos de automatización.

Cualquier anomalía relacionada con el hurto, robo o pérdida de la contraseña;

como aquellos indicios en la pérdida de la confiabilidad de los sistemas

deberán ser notificado de acuerdo a lo establecido en la política de

Comunicación de incidentes relativos.

No compartir las claves individuales con los demás usuarios.

135

Evitar el uso de las claves personales con fines comerciales y no comerciales.

11.3.2 Equipo del usuario desatendido

Este control está orientado para aquellos equipos que se encuentran desatendidos y

no mantengan la protección apropiada.

Cada uno de los usuarios deberá mantenerse al tanto de los requerimientos de

seguridad y los procedimientos adecuados para el equipo desatendido

Cerrar cada una de las sesiones al terminar de procesar la información, en el

caso de contener un procedimiento de cierre automático de la sesión o

protectores de pantallas activados con clave secreta de acceso al equipo.

Finalizar las sesiones del sistema en los equipos servidores, y computadores

de escritorio al terminar la sesión.

Asegurar el encendido de las computadoras de escritorio o terminales de

acceso contra el uso no autorizado mediante un seguro de clave o control

equivalente.

11.3.3 Política de escritorios y pantalla limpios

La información critica o confidencial de la universidad, ya sea escrita o

almacenada en dispositivos electrónicos, deben ser guardados bajo llave, en

caso de la información más crítica se debería almacenar en cajas fuertes o

archivadores, teniendo especial cuidado cuando la oficina se encuentra

desatendida.

Los computadores deben apagarse o bloquearse al momento de abandonar las

oficinas.

El uso de fotocopiadoras, faxes, escáner, cámaras digitales, memorias usb, y

demás deberán ser controlados y permitidos únicamente en caso de ser

necesario.

136

Los documentos confidenciales deberán ser retirados inmediatamente de la

impresora.

11.4 Control de acceso a la red

A.11.4.1Politica sobre el uso de los servicios de red

El acceso a la red a través de servicios no asegurados podrían afectar el optimo

redimiendo de la infraestructura tecnológica de todo el Organismo de la Universidad

Politécnica Salesiana.

Para esto es necesario garantizar que cada uno de los usuarios que mantengan acceso

a la red y sus servicios brindados; no lleguen a comprometer la seguridad de los

mismos.

El jefe de operaciones como responsable del Área Informática mantendrá a su cargo

el otorgamiento del acceso a los servicios y los recursos brindados por la

infraestructura tecnológica de la institución, estos solo deberán ser brindados

únicamente con el pedido formal del titular departamental quien será el que solicite

los permisos para el personal a su cargo.

La importancia de este control es por las conexiones de acceso a la red y las

aplicaciones que estarán procesando la información ya serán catalogadas como

clasificadas o criticas, como para aquellos usuarios que utilicen el acceso desde

aquellos sitios definidos como de alto riesgo para la institución como también

aquellas áreas públicas que están fuera del control de seguridad de la institución.

Los procedimientos aplicados en este control están orientados a la activación y

desactivación de los derechos de acceso a las redes de la universidad el cual

contemplaran los siguientes ítems:

137

a) Identificación de cada una de las redes de la universidad; sus servicios

brindados y cuales serán de fácil acceso. La universidad utiliza una red clase

B en su entorno de networking la dirección de red es 172.18.0.0/16.

b) Aplicación de normas de procedimientos de autorización para determinar los

usuarios, redes y servicios al cual se le podrán otorgar.

Establecer políticas de control y procedimientos de gestión para precautelar el acceso

a las conexiones y servicios brindados por la red.

A.11.4.2 Autentificación del usuario para las conexiones externas

Las conexiones externas son clasificadas como una de las principales

vulnerabilidades por los accesos no autorizados a la información de la Institución.

Por estos motivos el acceso de aquellos usuarios remotos estará sujeto al

cumplimiento de cada uno de los procedimientos de autenticación.

El responsable de la Seguridad Informática será el que tome la decisión sobre cual

tipo de autenticación disponible implementar.

La autenticación de cada uno de los usuarios remotos que ingresan al sistema deberá

mantenerse bajos los siguientes principios:

Facilitarle un método de autenticación físico.

Asignación de herramientas de autenticación.

Contemplar registro de los posee de autentificadores.

Mantener un registro de rescate en el momento que exista la desvinculación

del personal en la institución.

Implementación de métodos de revocación de acceso del autentificador, en el

caso que se vea comprometido la seguridad informática.

138

Utilización de líneas dedicadas privadas o herramientas de verificación de la

dirección del usuario de red. con la finalidad de poder constatar el origen de

la conexión.

A.11.4.3 Identificación del equipo en las redes

Las herramientas de conexión automática o de escritorio remoto para un determinado

equipo puede ser un medio fácil para obtener un acceso no autorizado a cualquiera de

las aplicaciones que posee la Institución.

Para esta particular es muy importante que la institución mantenga métodos de

autentificación robustos el cual evitara una infiltración de las personas no autorizadas

a las aplicaciones de la institución.

A.11.4.4 Protección del puerto de diagnostico y configuración remoto

Muchos de los servidores u equipos de comunicación mantienen instalados puerto de

administración (ILO) y diagnostico remoto.

En este caso se deben contemplar mecanismos de seguridad apropiados, que irán

relacionados con el acceso y seguridad física.

A.11.4.5 Segregación en redes

En caso de que la red de datos sea extensa, se los deberá dividir los dominios lógicos

y mantener los segmentos separados.

Para estos casos deberá existir la documentación necesaria de los perímetros de

seguridad que sean más convenientes para dicha implementación.

Debe contemplarse además la instalación de gateways con funcionalidades de

firewall o redes privadas virtuales que permitan segmentar las redes segregadas y el

trafico que recorre en cada un de ellas, como también la aplicación de las políticas de

control de acceso.

139

Las redes pueden ser segregadas mediante IP switching y enrutamiento controlando

el trafico entre los diferentes segmentos de red, adicional a las configuraciones que

permitan enrutamiento entre segmentos de red deberían existir mecanismos de

control de acceso entre redes.

Para la subdivisión de los dominios de la red se tomara en cuenta los siguientes

criterios:

Establecer los requerimientos de la seguridad del dominio y para cada

segmento de red independientemente.

Definir que grupos integraran los segmentos de red.

Segmentar aquellos grupos que están expuestos a peligros externos (DMZ).

La universidad actualmente mantiene segregadas las redes a través del uso de

VLANs, la distribución se menciona a continuación:

o VLAN Laboratorios: Estas VLANs están destinadas a separar las

redes de los diferentes laboratorios de las redes de uso de la

institución.

o VLAN para departamento administrativo

o VLAN para departamento financiero

o VLAN de uso general.

A.11.4.6 Control de conexión a la red

Al existir diferentes segmentos de red segregados por subredes y controlados

mediante dispositivos de seguridad de red, será necesario establecer controles que

permitan el acceso específicamente a los servicios que sean necesarios protegiendo:

140

a) Servicios tales como correo electrónico

b) Transferencia de archivos

c) Acceso interactivo

d) Acceso a la red fuera de los horarios laborales

e) Sistemas de información o servicios de red

f) Otros controles aplicables

A.11.4.7 Control de enrutamiento de la red

En el caso de las redes compartidas, principalmente aquellas que se han extendido

fuera de los límites de la organización, se deberá incorporar controles de ruteo para

asegurar que las conexiones y flujos de información no violen la política de control

de acceso.

Este control deberá contemplar la verificación de los direcciones IP de origen como

de destino, control sobre los protocolos de enrutamiento dinámico, estático,

traducción de direcciones (NAT) y controles de listas de acceso (ACL).

En vista que la Universidad utiliza un Proxy de conexión y un gateway que realiza

NAT, estos deben proveer controles de accesos asociados a la dirección fuente y

destino.

A.11.5 Control de acceso al sistema operativo

A.11.5.1 Procedimientos para un registro seguro

El acceso a los servicios e información, solo será posible a través de una conexión

segura. El procedimiento de conexión seguro para los sistemas informáticos deberá

ser diseñado con la finalidad de minimizar cualquier oportunidad de acceso no

autorizado.

La constitución de este procedimiento procurará evitar la divulgación de la

información del sistema, a fin de no proveer de información a un usuario no

autorizado, deberán evitarse banners que informen sistema operativo, versiones,

sistema o servicio instalado, etc.

141

El procedimiento de identificación deberá contemplar los siguientes parámetros:

a) Mantener la confidencialidad de los identificadores o aquellas aplicaciones

del sistema que solo deberán ser mostrados cuando el proceso de conexión

segura se haya completado en su totalidad.

b) Alertar mediante mensajes en pantalla (Banners) que únicamente usuarios

autorizados podrán acceder a los servicios.

c) Evitar mostrar mensajes de ayuda que puedan proveer de información a un

atacante o usuario no autorizado del sistema

d) La validación de la conexión solo se realizara al completarse en su

totalidad los datos de entrada. En el caso de generarse un error en el proceso

de conexión, este no deberá mostrar el motivo u origen del error; como

tampoco el sistema deberá indicar que parte de los datos han sido ingresados

de manera errónea.

e) Limitar el número de conexiones permitidas como y de intentos fallidos,

registrarlos, y bloquear cualquier usuario que haya alcanzado el máximo de

intentos no permitidos.

f) Limitar el tiempo máximo de conexión permitido, en el caso que este sea

excedido, el sistema deberá finalizar la sesión y cancelar la conexión

g) Al realizar una conexión exitosa, el sistema deberá visualizar al usuario su

última fecha de conexión exitosa incluyendo la hora, fecha y equipo de la

conexión

A.11.5.2 Identificación y autenticación del usuario

Todos aquellos usuarios que hagan uso del sistema incluido al personal de sistemas

(soporte técnico, operadores, coordinador de sistemas, y demás.) deberán contar con

un identificador único (ID de usuario) que será de uso personal y exclusivo, de esta

142

manera se podrá rastrear los eventos realizados por el usuario. Los indicadores de los

usuarios no deberán dar indicios de los niveles de privilegios que contiene.

En casos excepcionales, se podrá utilizar los identificadores compartidos para un

grupo de usuarios o para una tarea específica, en estos casos se deberán establecer

los motivos, justificación y contar con aprobación de la Coordinación de sistemas y

el Oficial de Seguridad Informática.

Al implementarse un mecanismo de autentificación físico tales como identificadores

de hardware, deberá contarse con un procedimiento que incluya la siguiente

información:

a) Asignar una herramienta de autentificación.

b) Registrar los poseedores de autentificación.

c) Desactivar el dispositivo de autenticación o desvincular al personal

asociado.

d) Revocar el acceso del autentificador, en el caso que se encuentren indicios

de acciones que podrían comprometer la integridad de la información.

A.11.5.3 Sistema de gestión de claves secretas

Siendo las contraseñas uno de los principales medios de autenticación de usuarios al

momento de acceder a un determinado servicio informático estas deberán constituir

una herramienta eficaz e interactiva que garantice un acceso seguro.

Las características fundamentales que deberá tener un sistema de autenticación por

contraseñas son:

a) Obligar el uso de las contraseñas individuales que garanticen responsabilidad

por parte de cada uno de los usuarios del sistema.

b) Permitir que el usuario administre y pueda cambiar su contraseña después de

un determinado plazo de tiempo, como también incluir un procedimiento de

confirmación para contemplar errores en los ingresos.

143

c) Imponer un patrón de selección de contraseñas de calidad.

d) Implementar cambios de contraseñas en casos de que el usuario ingrese su

propia contraseña.

e) Obligar a los usuarios nuevos a modificar las contraseñas por defecto

utilizadas para ingresar a los sistemas o servicios informáticos.

f) Ocultar las contraseñas en el momento que estas son ingresadas

g) Almacenar de manera individual los archivos de contraseñas y los sucesos

registrados por las aplicaciones del sistema.

h) Las contraseñas deberán ser almacenadas utilizando un algoritmo de cifrado

unidireccional.

A.11.5.4 Uso de las utilidades del sistema

Es necesario que existan controles y limitaciones sobre los utilitarios que son

utilizados dentro de la institución, este control debe incluir:

a) Utilización de procedimiento de autenticación para los utilitarios del sistema

b) Clasificación entre los utilitarios del sistema y el software de aplicación.

c) Limitar el uso de los utilitarios.

d) Evitar que terceras personas adquieran conocimiento sobre la existencia el uso

y funcionamiento de los utilitarios de la institución.

e) Limitar la disponibilidad de los sistemas utilitarios únicamente a lo

estrictamente necesario para el cumplimiento de las funciones del personal.

f) Registrar cada uno de los eventos originados por los utilitarios de sistema.

144

g) Definir y documentar cada uno de los niveles de autorización para el uso de

los utilitarios.

h) Remover todo aquel software que pueda ser considerado como innecesario

A.11.5.5 Cierre de una sesión por inactivadada

Luego de pasar un periodo de tiempo definido por el Oficial de Seguridad

Informática las sesiones establecidas deberán finalizar automáticamente, se cerrarán

las aplicaciones y se eliminará el contenido mostrado en la pantalla del sistema o

servicio

Debe establecerse este control con restricciones elevadas principalmente sobre

equipos altamente críticos, equipos de acceso público, o ubicados en áreas fuera de la

gestión de seguridad de la institución.

A.11.5.6 Limitación del tiempo de conexión

El oficial de seguridad Informática deberá establecer las restricciones de conexión

con relación a horarios, especialmente a aplicaciones críticas, esta reducción

minimizará las posibilidades de accesos no autorizados, protegiendo proactivamente

la red de datos e información.

Estos controles deberán ser más estrictos en equipos de acceso público o en aquellos

ubicados en áreas sin seguridad física implementada.

Los controles deberán incluir:

a) Establecimiento de periodos cortos en caso de procesos o aplicaciones críticas

u copia de archivos por lotes.

b) A menos que exista un requerimiento por escrito y aprobado que indique lo

contrario, se deberá limitar el acceso a los sistemas e información a horarios de

oficina únicamente.

145

c) Los equipos o usuarios sobre los cuales no se establece restricción por

horarios, deberán estar inventariados y debidamente documentados, las razones

por las cuales se realizo esta excepción, incluso si esta es ocasional o temporal.

A.11.6 Control de acceso a la aplicación y la información

A.11.6.1 Restricción del acceso a la información

Existirá restricción sobre el acceso a los sistemas de información e información

almacenada en repositorios, tanto a los usuarios normales como a los pertenecientes

al departamento de sistemas, en función a la política de “Control de Accesos”

establecida en este mismo documento.

Para restringir el acceso a la información se establecerán los siguientes controles:

a) Proveer una interfaz que permita controlar los accesos a los sistemas de

información y servicios.

b) Los usuarios deberán poseer conocimiento limitado sobre los sistemas, su

estructura e información contenida en cada equipo.

c) Establecer permisos sobre la información, tanto de lectura, escritura y

ejecución.

d) Garantizar que los sistemas brinden acceso únicamente a la información

requerida por el usuario y a la que este tenga acceso según los permisos

establecidos.

e) Realizar una revisión periódica sobre los accesos y permisos sobre la

información, esta revisión no superara los seis meses.

f) Evitar el acceso a la información de forma directa, no debe permitirse acceso a

la información a no ser a través del sistema de información debidamente

autenticado.

146

A.11.6.2 Aislar el sistema confidencial

El nivel de criticidad de los sistemas va relacionado con lo sensible y confidencial

que la información residente en los mismos posee, es por eso que es necesario

establecer que sistemas necesitan ejecutarse en un equipo independiente y cuales

podrían compartir recursos al ejecutarse en un solo equipo. Para esto deben tomarse

en cuenta las siguientes consideraciones:

a) Identificar y documentar los sistemas de información, servicios, o repositorios

de información altamente críticos

b) Identificar y dar a conocer a los administradores de sistemas cuales son los

sistemas sensibles que deberán ejecutarse sobre un servidor exclusivamente y

cuales podrían compartir recursos al coexistir con otro sistema.

c) Coordinar con el Responsable del Área informática, qué servicios estarán

disponibles en el entorno donde se ejecutará la aplicación, de acuerdo a los

requerimientos de operación y seguridad especificados por el administrador de la

aplicación.

d) Considerar la seguridad en la administración de las copias de respaldo de la

información que procesan las aplicaciones.

A.11.7 Computación y tele-trabajo móvil

A.11.7.1 Computación y comunicaciones móviles

Se categorizan como dispositivos móviles de trabajo y/o comunicación:

Computadores portátiles,

PDA (Asistente Personal Digital)

Teléfonos Celulares y sus tarjetas de memoria

Dispositivos de almacenamiento, CDs, DVD, Disquetes, etc.

Cualquier dispositivo de almacenamiento de conexión USB

Tarjetas de identificación personal (control de acceso)

Dispositivos criptográficos,

Cámaras digitales, etc.

147

En esta categoría se deberá incluir todo dispositivo que almacene información

confidencial de la Universidad y que sean propensos a eventos que comprometan la

seguridad de la misma.

Con relación a los dispositivos anteriormente detallados debe asegurarse:

a) Protección física del dispositivo

b) Acceso seguro al dispositivo

c) La utilización de los dispositivos en lugares públicos.

d) Establecer y mantener al mínimo necesario el acceso a información y

servicios del Organismo a través de dichos dispositivos.

e) Deben utilizarse técnicas criptográficas al momento de transmitir o almacenar

información clasificada en estos dispositivos.

f) Deben existir mecanismos de resguardo de la información contenida en los

dispositivos.

g) Los dispositivos deben poseer protección contra software malicioso.

A la par con las ventajas que el uso de dispositivos móviles permite, se incrementa la

posibilidad de ocurrencia de eventos que pongan en riesgo la información tales como

perdida, robo, hurto, etc., es por esto que se restringirá al mínimo necesario el uso de

estos dispositivos, y debe capacitarse al personal a fin de que sean usado con

precaución, deben seguirse las siguientes recomendaciones:

a) Permanecer siempre cerca del dispositivo.

b) No dejar desatendidos los equipos.

c) No llamar la atención al portar un dispositivo o equipo portátil.

148

d) No utilizar identificaciones o logos de la Universidad en el dispositivo, a

menos que sea estrictamente necesario.

e) No poner datos de contacto técnico en el dispositivo.

f) Mantener cifrada la información clasificada.

g) Se reportará rápidamente cualquier incidente sufrido a fin de tomar medidas

de remediación de inmediato.

h) En caso de pérdida se revocaran las credenciales afectadas de inmediato

i) Notificación a grupos de Trabajo donde potencialmente se pudieran haber

comprometido recursos.

A.11.7.2 Tele-trabajo

El trabajo remoto utiliza tecnología de comunicaciones para permitir que el personal

trabaje en forma remota desde un lugar externo a la sede Guayaquil.

El trabajo remoto sólo será autorizado por el Responsable de la Unidad Organizativa

o departamento, o de niveles superiores en el nivel jerárquico correspondiente

conjuntamente con el Oficial de Seguridad Informática, cuando se verifique que son

adoptadas todas las medidas que correspondan en materia de seguridad de la

información, a fin de cumplir las normas de prevención de incidentes

En caso de que un funcionario de la Universidad necesite acceso remoto a

aplicaciones o información debe realizarse la petición avalada por la jefatura

departamental respectiva exponiéndose los motivos que justifiquen la petición

Los controles a aplicarse en el trabajo remoto comprenden:

a) Proveer de mobiliario para almacenamiento y equipamiento adecuado para

las actividades de trabajo remoto.

149

b) Definir qué tipo de tareas están permitidas realizarse de manera remota,

restringir el acceso por horarios, la clasificación de la información que se

puede almacenar en el equipo remoto desde el cual se accede a la red de la

Universidad y sus sistemas y servicios internos a los cuales se ha dado acceso

al funcionario.

c) Proveer de mecanismos de comunicación seguros, encriptación, túneles vpn,

y demás.

d) Incluir lineamientos de seguridad física.

e) Definir reglas y orientación respecto del acceso de terceros al equipamiento

de tele-trabajo.

f) Proveer soporte al hardware y mantenimiento al software.

g) Definir los procedimientos de backup y de continuidad de las operaciones.

h) Efectuar auditoria y monitoreo de la seguridad.

i) Realizar la anulación de las autorizaciones, derechos de acceso y devolución

del equipo cuando finalicen las actividades remotas.

j) Asegurar el reintegro del equipo o dispositivo en las mismas condiciones en

que fue entregado, en el caso de ya no ser necesario el acceso remoto, se dará

notificación por escrito de la devolución al jefe departamental y al Oficial de

seguridad Informática.

Se implementarán procesos de auditoría específicos para los casos de accesos

remotos, que serán revisados regularmente. Se llevará un registro de incidentes a fin

de corregir eventuales fallas en la seguridad de este tipo de accesos.

150

A.12 Adquisición, desarrollo y mantenimiento de los sistemas de información


Las fases de desarrollo y el mantenimiento de los sistemas utilizados por la

Universidad Politécnica Salesiana Guayaquil son parte fundamental dentro de la

gestión de la seguridad de la información.

Al momento de realizar el análisis y diseño de los procesos que soportan estas

aplicaciones se deben identificar, documentar y aprobar los requerimientos o

mecanismos de seguridad a incorporar durante las etapas de desarrollo e

implementación. Adicionalmente, se deberán diseñar controles de validación de

datos de entrada, procesamiento interno y salida de datos.

Dado que los analistas y programadores tienen el conocimiento total de la lógica de

los procesos en los sistemas, se deben implementar controles que eviten acciones

dolosas por parte de estas personas u otras que puedan operar sobre los sistemas,

bases de datos y plataformas de software de base y en el caso de que se lleven a

cabo, identificar rápidamente al responsable.

Asimismo, es necesaria una adecuada administración de la infraestructura de base,

Sistemas Operativos y Software de Base, en las distintas plataformas, para asegurar

una correcta implementación de la seguridad, ya que en general los aplicativos se

asientan sobre este tipo de software.


Deben incluirse en los sistemas controles de seguridad y validación de datos al

momento de operar el mismo.

Definir y documentar las normas y procedimientos que se aplicarán durante el ciclo

de vida de los sistemas o aplicativos y en la infraestructura de base en la cual se

apoyan. Definir los métodos de protección de la información crítica o sensible.

151


La presente política es aplicable a todos los sistemas informáticos, tanto

desarrollados por la Universidad Politécnica Salesiana como por terceros, y a todos

los Sistemas Operativos y(o) Software de base que integren cualquiera de los

ambientes administrados por la Universidad.


Será responsabilidad del Oficial de seguridad informática junto con el propietario de

la Información establecer los controles a ser implementados en los sistemas

desarrollados internamente o por terceros, en función de una evaluación previa de

riesgos.

El Responsable de Seguridad Informática, junto con el Propietario de la Información,

definirá en función de la criticidad de la información, los requerimientos de

protección mediante métodos criptográficos.

Adicionalmente el Oficial de Seguridad Informática cumplirá las siguientes

funciones:

a) Definir los procedimientos de administración de claves.

b) Verificar el cumplimiento de los controles establecidos para el desarrollo y

mantenimiento de sistemas.

c) Garantizar el cumplimiento de los requerimientos de seguridad para el

software.

d) Definir procedimientos para: el control de cambios a los sistemas; la

verificación de la seguridad de las plataformas y bases de datos que soportan

e interactúan con los sistemas; el control de código malicioso; y la definición

de las funciones del personal involucrado en el proceso de entrada de datos.

152

El administrador del departamento de Sistemas propondrá quiénes realizarán la

administración de las técnicas criptográficas y claves.

El responsable del área de administración de sistemas incorporará aspectos

relacionados con el licenciamiento, la calidad del software y la seguridad de la

información en los contratos con terceros por el desarrollo de software, el

responsable del área legal participará en dicha tarea.

5.- Política – Control de Accesos

A.12 Adquisición, desarrollo y mantenimiento de los sistemas de Información.

A.12.1 Análisis y Especificaciones de los Requerimientos de Seguridad

Debe observarse los siguientes lineamientos:

a) Establecer un procedimiento en la etapa de análisis y diseño del sistema,

incluyendo como requerimientos del sistema mecanismos de seguridad, esto

debe incluir una etapa de evaluación de riesgos previa al diseño, para definir

los requerimientos de seguridad e identificar los controles apropiados.

b) Evaluar los requerimientos de seguridad definidos para las aplicaciones y

cuantificar los riesgos envueltos y costos económicos y en rendimiento

implicados al ser aplicados en el sistema.

c) Es importante tomar en cuenta que los controles introducidos en la etapa de

diseño, son significativamente menos costosos de implementar y mantener

que aquellos incluidos durante o después de la implementación.

A.12.2 Seguridad en los sistemas de aplicación

A fin de mantener la confidencialidad, disponibilidad e integridad de la información,

ya sea por modificación o uso inadecuado de los datos pertenecientes a los sistemas

de información, se establecerán controles y registros de auditoría, verificando:

153

a) Validación de los datos de entrada del sistema

b) El procesamiento interno.

c) La autenticación de mensajes (interfaces entre sistemas)

d) Validación de datos de salida

A.12.2.1 Validación de datos de entrada

Debe existir un procedimiento que regule la validación de los datos de entrada en la

etapa de diseño de sistemas, debes especificarse controles que aseguren la validez de

los datos ingresados, controlando también datos permanentes y tablas de parámetros.

Este procedimiento considerará los siguientes controles:

a) Control de secuencia.

b) Control de monto límite por operación y tipo de usuario.

c) Control del rango de valores posibles y de su validez, de acuerdo a criterios

predeterminados.

d) Control de paridad.

e) Control contra valores cargados en las tablas de datos.

f) Controles por oposición, de forma tal que quien ingrese un dato no pueda

autorizarlo y viceversa.

g) Debe establecerse un procedimiento que permita realizar revisiones

periódicas de contenidos de campos claves o archivos de datos, definiendo

quién lo realizará, en qué forma, con qué método, quiénes deberán ser

informados del resultado, etc.

h) Debe existir un documento que especifique las alternativas a seguir para

responder a errores de validación en un aplicativo.

i) Se definirá un procedimiento que permita determinar las responsabilidades de

todo el personal involucrado en el proceso de entrada de datos

A.12.2.2 Procesamiento Interno

Debe establecerse un procedimiento que permita establecer lineamientos durante la

fase de diseño, a fin de que se incorporen controles de validación que eviten posibles

problemas en las tareas de procesamiento de los sistemas o aplicaciones

154

A fin de conseguir esto se realizaran:

a) Procedimientos que establezcan los controles y verificaciones necesarios

para prevenir la ejecución de programas fuera de secuencia o cuando falle

el procesamiento previo.

b) Procedimientos que establezcan la revisión periódica de los registros de

auditoría de forma de detectar cualquier anomalía en la ejecución de las

transacciones.

c) Procedimientos que realicen la validación de los datos generados por el

sistema.

d) Procedimientos que verifiquen la integridad de los datos y del software

cargado o descargado entre computadoras.

e) Procedimientos que controlen la integridad de registros y archivos.

f) Procedimientos que verifiquen la ejecución de los aplicativos en el

momento adecuado.

g) Procedimientos que aseguren el orden correcto de ejecución de los

aplicativos, la finalización programada en caso de falla, y la detención de

las actividades de procesamiento hasta que el problema sea resuelto.

A.12.2.3 Autenticación de Mensajes

Las aplicaciones o sistemas necesitaran en algún momento realizar transmisiones de

los datos procesados, generalmente esta información es altamente critica, en estos

casos deberán seguirse los lineamientos y controles criptográficos a fin de garantizar

la confidencialidad de la información, estos controles criptográficos son detallados a

continuación.

A.12.3 Controles criptográficos

Deberán utilizarse sistemas, técnicas, o algoritmos de encriptación a fin de garantizar

la protección de la información fundamentada en un análisis de riesgo efectuado, con

el fin de asegurar una adecuada protección de su confidencialidad e integridad.

155

A12.3.1 Política sobre el uso de controles criptográficos

La Universidad Politécnica Salesiana define la aplicación de la política de uso de

técnicas criptográficas a fin de garantizar su correcto uso y asegurar la

confidencialidad de la información:

a) Se utilizarán controles criptográficos en los siguientes casos:

1. Para la protección de claves de acceso a sistemas, datos y

servicios.

2. Para la transmisión de información clasificada, fuera del ámbito

del Organismo.

3. Para el resguardo de información, cuando así surja de la

evaluación de riesgos realizada por el Propietario de la

Información y el Responsable de Seguridad Informática.

b) Se desarrollarán procedimientos respecto de la administración de claves,

de la recuperación de información cifrada en caso de pérdida,

compromiso o daño de las claves y en cuanto al reemplazo de las claves

de cifrado.

c) El Oficial de Seguridad Informática definió las siguientes

responsabilidades:

Función Cargo

Implementación de la política de uso de

técnicas criptográficas

Oficial Seguridad

Informática

Administración de contraseñas Departamento Sistemas

Tabla 3.7

Fuente: Los Autores

d) Se podrá elegir entre los siguientes algoritmos de encriptación y tamaño

de clave

156

CIFRADO SIMÉTRICO

Tabla 3.8

Fuente: Los Autores

CIFRADO ASIMÉTRICO

Casos de Utilización Algoritmo Longitud

Clave

Para certificados utilizados en servicios

relacionados a la firma digital (sellado de

tiempo, almacenamiento seguro de

documentos electrónicos, etc.)

RSA 2048 bits

Para certificados de sitio seguro bits para

certificados de Certificador o de información

de estado de certificados

DSA

ECDSA

RSA

RSA

2048 bits

210 bits

1024 bits

2048 bits

Para certificados de usuario (personas físicas o

jurídicas)

DSA

ECDSA

RSA

DSA

2048 bits

210 bits

1024 bits

1024 bits

Para digesto seguro ECDSA

SHA-1

160 bits

256 bits

Tabla 3.9

Fuente: Los Autores

El Oficial de Seguridad Informática debe estar atento a los mejoramientos en los

algoritmos arriba mencionados a fin de utilizar los algoritmos más robustos y en

consonancia con el rendimiento de los sistemas.

Algoritmo Encriptación Longitud Clave

AES 128/192/256

3DES 168 bits

IDEA 128 bits

RC4 128 bits

RC2 128 bits

157

A.12.3.1.1 Cifrado

A través de un análisis y evaluación de riesgos que llevará a cabo el Propietario de la

información y el Oficial de Seguridad Informática, se establecerá el nivel requerido

de protección, tomando en cuenta el tipo y la calidad del algoritmo de cifrado

utilizado y la longitud de las claves criptográficas a utilizar.

Al implementar la Política del Organismo en materia criptográfica, se considerarán

los controles aplicables a la exportación e importación de tecnología criptográfica.

Debe utilizarse algoritmos de cifrado para la protección de la información

confidencial almacenada en los medios y dispositivos móviles o removibles o a

través de las líneas de comunicación:

Los controles criptográficos o de cifrado permiten cumplir los diferentes objetivos de

seguridad:

a. Confidencialidad: utilizando la codificación de la información para

proteger la información confidencial o crítica, ya sea almacenada o

transmitida;

b. Integridad/autenticidad: utilizando firmas digitales o códigos de

autenticación del mensaje para proteger la autenticidad e integridad de la

información confidencial o crítica almacenada o transmitida;

c. No-repudiación: utilizando técnicas criptográficas para obtener prueba de

a ocurrencia o no-ocurrencia de un evento o acción.

A.12.3.1.2 Firma Digital

Las firmas digitales proporcionan un mecanismo de protección de la autenticidad e

integridad de los documentos electrónicos.

Pueden aplicarse a cualquier tipo de documento que se procese electrónicamente. Se

implementan mediante el uso de una técnica criptográfica sobre la base de dos claves

relacionadas de manera única, donde una clave, denominada privada, se utiliza para

crear una firma y la otra, denominada pública, para verificarla.

158

Es primordial proteger la integridad de la clave pública. Esta protección se provee

mediante el uso de un certificado de clave pública.

Las claves criptográficas utilizadas para firmar digitalmente no deberían ser

empleadas en procedimientos descifrados de información. Dichas claves deben

ser resguardadas bajo el control exclusivo de su titular.

A.12.3.1.3 No Repudio

Esta condición permite resolver disputas acerca de la ocurrencia de un evento o

acción. Su objetivo es proporcionar herramientas para evitar que aquél que haya

originado una transacción electrónica niegue haberla efectuado

12.3.2 Gestión de claves

12.3.2.1. Protección de Claves Criptográficas

Se implementará un sistema de administración de claves criptográficas para respaldar

la utilización por parte del Organismo de los dos tipos de técnicas criptográficas, a

saber:

a) Criptografía de clave secreta (criptografía simétrica), cuando dos o más

entidades comparten la misma clave y ésta se utiliza tanto para cifrar

información como para descifrarla.

b) Criptografía de clave pública (criptografía asimétrica), cuando cada usuario

tiene un par de claves: una clave pública (que puede ser revelada a cualquier

persona) utilizada para cifrar y una clave privada (que debe mantenerse en

secreto) utilizada para descifrar. Las claves asimétricas utilizadas para cifrado

no deben ser las mismas que se utilizan para firmar digitalmente

De igual manera se proporcionará una protección adecuada a los equipos y

dispositivos utilizados para generar, almacenar y archivar claves,

considerando el alto nivel de criticidad de los mismos, las claves deberán

tener la debida protección, confidencialidad, y mecanismos de respaldo en

caso de pérdida.

159

12.3.2.2 Normas, Procedimientos y Métodos

Los procedimientos y normativas relacionados a la gestión de claves

deberán incluir lo siguiente:

Generar claves para diferentes sistemas criptográficos y diferentes

aplicaciones.

Generar y obtener certificados de clave pública de manera segura.

Disponer de mecanismos que permitan difundir claves de forma segura a

los usuarios, incluyendo información sobre cómo deben activarse cuando

se reciban.

Almacenamiento de claves, debe incluirse la forma de acceso a las

mismas por parte de los usuarios autorizados.

Cambiar o actualizar claves, incluyendo reglas sobre cuándo y cómo

deben cambiarse las claves.

Revocación de claves criptográficas

Recuperar claves perdidas o alteradas como parte de la administración de

la continuidad de las actividades del Organismo, por ejemplo para la

recuperación de la información cifrada.

Archivar claves, por ejemplo, para la información archivada o

resguardada.

Recuperar claves perdidas o alteradas como parte de la administración de

la continuidad de las actividades del Organismo, por ejemplo para la

recuperación de la información cifrada.

160

Mecanismos de destrucción de claves de encriptación

Registrar y auditar el uso de las claves de encriptación por parte de los

usuarios.

Adicionalmente a la protección establecida para preservar las claves

secretas y privadas, deberá tenerse en cuenta la protección de las claves

públicas.

A.12.4 Seguridad de los archivos de sistema

A.12.4.1 Control del software operaciones

A fin de mitigar al máximo el riesgo de alteración de los sistemas durante la

implementación de software propietario o desarrollado por terceros deben tomarse en

cuenta los siguientes lineamientos:

Cada software, programa, o aplicación, desarrollada por el departamento de

sistemas de la Universidad o por un tercero tendrá un único responsable

designado formalmente y por escrito por el encargado del Departamento de

Sistemas

Ningún programador o analista con permisos únicamente para el ambiente de

desarrollo y mantenimiento de aplicaciones podrá acceder a los ambientes de

producción.

El encargado del departamento de sistemas, propondrá para su aprobación

por parte del Oficial de seguridad informática junto con el encargado del área

de desarrollo, la asignación de la función de “implementador” al personal de

su área que considere adecuado, quien tendrá como responsabilidades:

Coordinar con el equipo o personal de desarrollo y de infraestructura la

implementación de modificaciones o nuevos programas en el ambiente de

Producción.

161

Asegurar que los sistemas y servicios utilizados en el ambiente de producción

se encuentren aprobados según las políticas vigentes.

Instalar las modificaciones, controlando previamente la recepción de la

prueba aprobada por parte del Analista Responsable, del sector encargado del

testeo y del usuario final.

Asegurarse que la puesta en producción de sistemas o aplicaciones no se

realice a menos que no existan problemas, vulnerabilidades de seguridad y

documentación precisa sobre la administración y gestión del software.

Debe tomarse en cuenta adicionalmente:

Almacenar únicamente los ejecutables en el ambiente de producción, no debe

existir información de desarrollo tales como librerías o formularios, etc.

Mantener actualizada la bitácora de actualizaciones de los sistemas.

Mantener almacenadas las versiones previas del sistema, como parte del plan

de contingencia.

Definir un procedimiento que establezca los pasos a seguir para implementar

las autorizaciones y conformes pertinentes, las pruebas previas a realizarse,

etc.

No permitir la modificación al código fuente por parte del analista o

desarrollador designado como implementador.

El personal que ha sido designado como implementador no podrá ser un

funcionado que se encuentre envuelto las tareas de desarrollo del software.

162

A.12.4.2 Protección de la data de prueba del sistema

En caso de ser necesario realizar pruebas sobre los sistemas utilizando datos, estos

nunca deberán realizarse sobre datos puestos en producción, adicionalmente deben

seguirse los siguientes lineamientos de seguridad:

a) Prohibir el uso de bases de datos operativas. En caso contrario se deben

despersonalizar los datos antes de su uso. Aplicar idénticos procedimientos

de control de acceso que en la base de producción.

b) Solicitar autorización formal para realizar una copia de la base operativa

como base de prueba, llevando registro de tal autorización.

c) Eliminar inmediatamente, una vez completadas las pruebas, la información

operativa utilizada.

A.12.4.3 Control de acceso al código fuente del programa

Es importante preservar la integridad del código fuente a fin de evitar modificaciones

no autorizadas, es por esto que deben seguirse las siguientes directrices:

El responsable del departamento de sistemas deberá designar a una persona

calificada como custodio y Administrador de código fuente , quien tendrá

diferentes responsabilidades como:

a. Proveer al Área de Desarrollo los programas fuentes solicitados para

su modificación, manteniendo en todo momento la correlación

programa fuente / ejecutable.

b. Llevar un registro actualizado de todos los programas fuentes en uso,

indicando nombre del programa, programador, Analista Responsable

que autorizó, versión, fecha de última modificación y fecha / hora de

compilación y estado (en desarrollo, y en producción).

163

c. Verificar que el Analista Responsable que autoriza la solicitud de un

programa fuente sea el designado para la aplicación, rechazando el

pedido en caso contrario. Registrar cada solicitud aprobada.

d. Administrar las distintas versiones de una aplicación.

e. Asegurar que un mismo programa fuente no sea modificado

simultáneamente por más de un desarrollador.

Debe restringirse al “administrador de programas fuentes” el acceso de

escritura sobre los programas fuentes bajo su custodia.

Como regla, debe existir únicamente un código fuente por cada ejecutable a

fin de que exista correspondencia única.

Deben establecerse procedimientos técnicos que garanticen que cada vez que

se ponga en producción un código fuente cree únicamente un ejecutable

correspondiente al mismo.

Evitar que la función de “administrador de programas fuentes” sea ejercida

por personal que pertenezca al sector de desarrollo y/o mantenimiento.

Debe evitarse el almacenamiento de códigos fuentes históricos (que no sean

los correspondientes a los programas operativos) en el ambiente de

producción.

Prohibirse el acceso a los operadores a los códigos fuentes a fin de evitar

modificación o eliminación no autorizada.

Mantener una política de respaldo de los códigos fuentes, el esquema de

respaldo debe ser probado periódicamente mediante restauración.

164

12.5 Seguridad en los procesos de desarrollo y soporte

12.5.1 Procedimientos del control de cambios

A fin de mitigar el riesgo de modificaciones no controladas debe aplicarse la política

de control de cambios sobre el software en desarrollo tomando en consideración lo

siguiente:

Los cambios solicitados sobre los sistemas deben hacerse por escrito y por

usuarios calificados para ello

Llevar una bitácora que contenga los niveles de acceso para realizar cambios

sobre el software o aplicaciones.

En caso de que el cambio en las aplicaciones implique una manipulación de

datos, debe contarse con la aprobación del propietario de la misma.

Identificar todos los elementos que requieren modificaciones (software, bases

de datos, hardware).

Revisar periódicamente los mecanismos establecidos a fin de mantener la

integridad de los datos.

Antes de realizar cualquier cambio en las aplicaciones debe contarse con la

aprobación por escrito del responsable del área de sistemas y del oficial de


Solicitar la revisión del Responsable de Seguridad Informática para

garantizar que no se violen los requerimientos de seguridad que debe cumplir

el software.

Los cambios siempre se realizaran en el ambiente de desarrollo

165

Los cambios se aprobaran luego de realizar varias pruebas de concepto junto

con el usuario del sistema

Luego de realizarse un cambio debe actualizarse la documentación del

sistema adaptándose al nuevo cambio o funcionalidad modificada en el

software.

Mantener actualizado el control de versionamiento del software.

Debe garantizarse que la realización del cambio no implicara la interrupción

de servicio, dando especial atención a los sistemas sobre los que se sustentan

las operaciones de la Sede.

Antes de realizar cualquier cambio en los sistemas, debe informarse al

departamento al que pertenecen el o los usuarios del mismo.

Garantizar que sea el implementador quien efectúe el paso de los objetos

modificados al ambiente operativo, de acuerdo a lo establecido en “Control

del Software Operativo”.

12.5.2 Revisión técnica de la aplicación luego de cambios sistema

Siempre que se realicen cambios programados sobre los sistemas deben realizarse

pruebas a fin de asegurar su correcto funcionamiento, para este fin se definirá un

procedimiento que incluya:

Seguir los procedimientos necesarios para garantizar la integridad y control

de aplicaciones y asegurarse de que no hayan sido comprometidas ninguna de

las funcionalidades del sistema a raíz del cambio.

Asegurarse que previo a realizar cualquier cambio todo el personal

involucrado haya sido notificado formalmente.

Asegurar la actualización del Plan de Continuidad de las Actividades del

Organismo.

166

12.5.3 Filtrado de información

En vista que mucho software puede incluir código malicioso que envíe información

confidencial y vulnere así la seguridad de la información en necesario observar las

siguientes normas:

Calificar únicamente a proveedores acreditados y adquirir productos ya

evaluados tanto en su funcionalidad como en seguridad

Examinar los códigos fuentes (cuando sea posible) antes de utilizar los

programas.

Controlar el acceso y las modificaciones al código instalado.

Utilizar y mantener actualizados los sistemas de protección contra la

infección del software con código malicioso.

A.12.6 Gestión de Vulnerabilidades técnicas

A.12.6.1 Control de las vulnerabilidades técnicas

Debe mantenerse actualizado el inventario completo de los activos de información

que la Universidad maneja, siguiendo los lineamientos establecidos en esta política

de seguridad.

De la misma forma el inventario del software con el que se cuenta debe mantenerse

debidamente documentado y actualizado, debe incluir información como fabricante

del software, versión, y actualizaciones o service packs instalados.

Las normas que deben observarse en la gestión de vulnerabilidades de orden técnico

son las siguientes:

a. Deben nombrarse responsables de las tareas de gestión de vulnerabilidades,

tareas como monitoreo, evaluación, y mitigación de las vulnerabilidades

167

b. Debe realizarse una planificación en línea de tiempo que corresponda a la

respuesta que el departamento de seguridades y sistemas de a las

vulnerabilidades existentes.

c. Tan pronto se identifica una vulnerabilidad debe realizarse un análisis de

riesgo y acciones correctivas a fin de mitigar el riesgo de ocurrencia, esto será

a través de actualizaciones, parches y demás configuraciones de índole

técnico recomendados por el fabricante.

d. Dependiendo de lo crítico de la vulnerabilidad o del riesgo implicado, se

realizaran las acciones de remediación tales como actualizaciones

cumpliendo con la política de control de cambios detallada anteriormente.

e. Preferentemente deberán probarse y evaluarse las actualizaciones antes de

instalarlas en el ambiente de producción, esto se decidirá en función de la

evaluación del riesgo para la vulnerabilidad en cuestión.

f. En caso de no existir por parte del fabricante una actualización o parche que

mitigue la vulnerabilidad encontrada se podrán tomar las siguientes acciones

preventivas:

1) Desconectar los servicios o capacidades relacionadas con la

vulnerabilidad.

2) Adaptar o agregar controles de acceso; por ejemplo, firewalls en los

límites de la red.

3) Incrementar el monitoreo para detectar o evitar ataques reales.

4) Elevar la conciencia acerca de la vulnerabilidad.

5) Mantener un registro de auditoría de todos los procedimientos

realizados.

168

6) El proceso de gestión de vulnerabilidad técnica debiera ser

monitoreado y evaluado regularmente para asegurar su efectividad y

eficacia.

7) Se debieran tratar primero los sistemas en alto riesgo.

A.13 Gestión de un incidente en la seguridad de la información


Es necesario asegurar que los eventos y debilidades de la seguridad de la

información asociados con los sistemas de información sean comunicados de una

manera que permita que se realice una acción correctiva oportuna, esto permitirá que

se consiga un aprendizaje sobre la vulnerabilidad, causas y efectos de la misma.


Establecer procedimientos formales de reporte y de la intensificación de un evento.

Todos los usuarios empleados contratistas y terceros debieran estar al tanto de los

procedimientos para el reporte de los diferentes tipos de eventos y debilidades que

podrían tener un impacto en la seguridad de los activos organizacionales. Se les

debiera requerir que reporten cualquier evento y debilidad de la seguridad de la

información lo más rápidamente posible en el punto de contacto designado.


Esta política es aplicable al tratamiento de las vulnerabilidades en cada uno de los

sistemas operativos, aplicaciones, dispositivos o equipos utilizados en la

Universidad Politécnica Salesiana, los cuales son administrados por el departamento

de sistemas de la Universidad.


Es responsabilidad del Oficial de Seguridad Informática definir las acciones a tomar

en caso de existir vulnerabilidades o incidentes de seguridad, además de coordinar

con el personal operativo del departamento de sistemas las acciones a tomar.

169

5.- Política – Gestión de un incidente en la seguridad de la información

13.1 Reporte de los eventos y debilidades de la seguridad de la información

13.1.1 Reportes de eventos en la seguridad de la información

El reporte de eventos relacionados a incidentes de seguridad debe estar regulado y

documentado, de tal forma que exista constancia de la incidencia y se cuente con

información necesaria para la toma de decisiones.

Debe definirse un punto de contacto el mismo que debe ser conocido por toda la

organización, en este caso el Oficial de Seguridad Informática es el funcionario

designado a recibir las notificaciones de incidentes de seguridad, el medio de

contacto será a través de email, y en caso de tratarse de un nivel alto de criticidad se

notificara telefónicamente, o utilizando el medio de comunicación mas efectivo

según las circunstancias.

Cada uno de los funcionarios de la Universidad, docentes, o personal externo debe

conocer su responsabilidad de notifica cualquier evento o incidente de seguridad del

cual tuviera conocimiento, además de conocer el procedimiento a seguir para la

notificación del incidente, este proceso debe incluir:

a) Procesos de retroalimentación que permitan conocer cuando el incidente haya

sido remediado

b) Formatos de reporte de eventos de seguridad que sirvan como sustento y

evidencia de la incidencia a fin de justificar las acciones correctivas a

realizarse

c) Deberá adicionalmente:

1. Anotar todos los detalles importantes inmediatamente (por

ejemplo, el tipo de no-cumplimiento o violación, mal

funcionamiento actual, mensajes en la pantalla, conducta extraña);

170

2. No realizar ninguna acción por cuenta propia, sino reportar

inmediatamente al Oficial de Seguridad Informática.

d) Referencia a un proceso disciplinario formal establecido para tratar con los

usuarios empleados, contratistas o terceros que cometen violaciones de

seguridad.

En ambientes altamente críticos puede implementarse sistemas de alertas

automáticas en caso de existir incidentes, para esto pueden utilizarse dispositivos

móviles de comunicación como busca personas, celulares, o correo electrónico.

A.13.1.2 Reportes de la debilidades de la seguridad

Se deberá asegurar que todo el personal relacionado con la Universidad Politécnica

Salesiana Sede Guayaquil, conozca de la necesidad y responsabilidad de reportar

cualquier evento o sospecha de alguna debilidad en el perímetro de seguridad de la

Sede. Para este fin se establecen los siguientes lineamientos:

Todos los usuarios o usuarios externos están obligados a reportar cualquier debilidad

de cualquier índole del que llegasen a conocer, ya sea a su Jefatura departamental, o

al Oficial de Seguridad Informática, la notificación de la debilidad deberá realizarse

inmediatamente se tenga conocimiento de la misma.

El mecanismo de reporte debiera ser fácil, accesible y estar disponible lo más

posible.

Los usuarios deben conocer que se encuentra estrictamente prohibido mediante esta

política, tratar de probar una debilidad sospechada que el usuario haya descubierto o

de la que haya llegado a conocer.

A.13.2 Gestión de los incidentes y mejoras en la seguridad de la información

Se entiende por incidente en la plataforma informática a cualquier evento que ponga

en riesgo la integridad, disponibilidad, confiabilidad, y consistencia de la

información.

171

En la gestión de incidentes que permitan mejorar y robustecer el perímetro de

seguridad se tomaran en consideración las siguientes normas:

Deben establecerse procedimiento para tratar diferentes tipos de incidentes

como:

1) Fallas del sistema de información y pérdida del servicio.

2) Código malicioso.

3) Negación del servicio.

4) Errores resultantes de data incompleta o inexacta.

5) Violaciones de la confidencialidad e integridad.

6) Uso indebido de los sistemas de información.

Adicional a los planes de contingencia de la Universidad debe existir

documentación sobre:

1) Análisis e identificación de la causa del incidente

2) Mecanismos de contención

3) Planeación e implementación de la acción correctiva para evitar la

recurrencia, si fuese necesario.

4) Comunicaciones con aquellos afectados por o involucrados con la

recuperación de un incidente

5) Reportar la acción a la autoridad apropiada

6) Recolectar y asegurar rastros de auditoría y evidencia similar,

conforme sea apropiado para:

Poder realizar el análisis interno del problema

Utilizar como evidencia forense en relación a una violación

potencial del contrato o el requerimiento regulador o en el

caso de una acción legal civil o criminal.

Negociación para la compensación de los proveedores del

software y Servicio.

172

Deberán controlarse formal las acciones para la recuperación de las

violaciones de la seguridad y para corregir las fallas en el sistema; los

procedimientos debieran asegurar que:

Únicamente el personal claramente identificado y

autorizado tengan acceso a los sistemas vivos y la data

Se deben documentar detalladamente todas las acciones de

emergencia realizadas

La acción de emergencia será reportada a la gerencia y

revisada de una manera adecuada

La integridad de los sistemas y controles comerciales sea

confirmada con una demora mínima.

A.13.2.1 Aprender de los incidentes en la seguridad de la información

La información obtenida de incidencias relacionadas con la seguridad debe ser

analizada y debe permitir realizar acciones preventivas a fin de evitar incidentes

futuros, esto implica un aprendizaje en función de experiencias ocurridas.

La evaluación de los incidentes en la seguridad de la información puede indicar la

necesidad de incrementar o establecer controles adicionales para limitar la

frecuencia, daño y costo de ocurrencias futuras, o tomarlos en cuenta en el proceso

de revisión de la política de seguridad

A.13.2.2 Recolección de evidencia

Debe darse especial atención a la recolección de evidencia en casos de existir un

incidente o cuando se vulnere la seguridad en algún

La recolección de evidencia deberá abarcar:

173

a) Admisibilidad de la evidencia: si la evidencia se puede o no se puede utilizar

en la corte o procesos legales.

b) Peso de la evidencia: La evidencia debe cumplir con los estándares que

cataloguen a la evidencia lo suficientemente contundente como para que sea

aceptada inclusive en instancias legales.

c) Para lograr el peso de la evidencia, se debiera demostrar mediante un rastro

de auditoría sólido la calidad y la integridad de los controles utilizados para

proteger correcta y consistentemente la evidencia asegurando que los

registros tales como los log de actividad no sean modificados y se encuentren

intactos para el análisis.

d) Para la información en medios de cómputo: se debieran realizar imágenes

dobles o copias

e) Se debiera mantener un registro de todas las acciones realizadas durante el

proceso de copiado y el proceso debiera ser atestiguado.

f) Tanto los originales como los medios copiados deben ser asignados bajo

custodia y almacenados con la seguridad del caso.

A.14 Gestión de la continuidad del negocio

1. Aspectos Generales

La continuidad de las operaciones de la institución es catalogada como un

aspecto critico que debe involucrar recursos y personal de cada una de las áreas.

El proceso en el desarrollo e implementación de cada uno de los planes de

contingencia será calificado como una herramienta básica para garantizar el

desenvolvimiento de las actividades de la Institución.

174

La elaboración y constante revisión de los planes de contingencia es parte

integral en el proceso de gestión de seguridad, debiendo cumplir cuidadosamente

los controles destinados a identificar y riesgos, y así poder atenuar posibles

interrupciones el servicio ofrecido, lo cual se traduciría en pérdidas para la

institución.

2. Objetivos

El objetivo de esta política es minimizar al máximo los efectos de perdidas

temporales o permanentes en la disponibilidad de los sistemas, servicios, o

información, ya sea esto accidental o causado por desastres naturales, fallas en el

equipamiento, o acciones deliberadas y que vulneren los procesos criítos para la

institución.

Analizar y evaluar las posibles consecuencias en caso de existir interrupción en el

servicio, y así poder aplicar medidas correctivas a fin de evitar inconvenientes de

este tipo en lo posterior.

Loas planes de contingencia a aplicarse en la sede deben incluir los siguientes

aspectos:

1) Notificación / Activación: El administrador debe mantenerse al tanto de la

ocurrencia de algún evento que pueda afectar el nivel de servicio.

2) Reanudación: Iniciar las operaciones nuevamente de manera total o al

menos parcial.

3) Recuperación: Lograr el funcionamiento normal y original de los sistemas

o servicios informáticos.

175

3. Alcance

Esta política será aplicable en todas las dependencias relacionadas directa o

indirectamente con el adecuado funcionamiento de los sistemas de información,

servicios informáticos y sistemas de acceso a la información almacenada en las bases

de datos de la institución.

4. Responsabilidad

El Oficial de Seguridad Informática tomara participará activamente en la definición,

documentación, pruebas y actualización de los diferentes planes de contingencia

que se pueda implementar en aquellas áreas catalogadas como criticas

El Oficial de seguridad informática en conjunto con el personal de sistemas y

contando con la colaboración de los propietarios de la información serán

responsables de:

Identificar las amenazas que pueden causar interrupciones en los procesos y

actividades de la institución

Evaluar cada uno de los riesgos identificados y determinar la gravedad del

impacto ocasionado por estas interrupciones.

Identificar cada uno de los controles preventivos

Desarrollar estratégicamente un plan que permita garantizar la continuidad de

las actividades de la institución inclusive en caso de presentarse incidentes

que afecten la disponibilidad de los mismos.

El personal de sistemas es responsable de la implementación de soluciones

tecnológicas, ya sean de hardware, software, o comunicaciones, a fin de dar

cumplimiento a esta política.

El Oficial de seguridad informática será responsable de auditar el cumplimiento a

nivel técnico y administrativo de la presente política.

176

A.14.1 Aspectos de la seguridad de la información de la gestión de la

continuidad del negocio

A.14.1.1 Incluir la seguridad de la información en el proceso de la gestión de la

continuidad del negocio

Se debe desarrollar, mantener, y difundir como política organizacional la continuidad

del negocio.

Al ser la seguridad de la información parte del plan de gestión de continuidad del

negocio es necesario:

Comprender los riesgos en términos de probabilidad de ocurrencia, e impacto

en los servicios o sistemas, los mismos que deberán ser priorizados desde los

más críticos hasta los de menor prioridad.

Identificar los activos de información más críticos envueltos en las

operaciones de la Universidad.

Comprender el impacto que tendrían las interrupciones ocasionadas por

incidentes relacionados con la seguridad de la información.

Evaluar la posibilidad de asegurar económicamente los activos de la

institución.

Garantizar la seguridad e integridad del personal y de los activos de

información.

Desarrollar y mantener documentados los planes de contingencia necesarios

para evitar interrupciones de servicio.

Plan de pruebas correctamente documentados.

177

Asegurarse que el plan de continuidad se integre a las demás políticas

organizacionales.

A.14.1.2 Continuidad del negocio y evaluación del riesgo

La continuidad en las operaciones va directamente relacionada con la identificación

de eventos o serie de eventos que pudieran causar interrupciones en los procesos de

la Universidad, tales como fallas de tipo eléctrico, errores humanos, catástrofes

naturales, incendios, terrorismo, y demás.

Cada uno de estos eventos deben ser evaluados y tasados en función de posibilidad

de ocurrencia a fin de definir los mecanismos adecuados para superar cada uno de

estos eventos en caso de ocurrencia, y que el servicio no se vea afectado.

La evaluación de los riesgos implicados en la continuidad de las operaciones no

debería ser efectuado de forma independiente por el personal de tecnología, debe

realizarse contando con la colaboración de las áreas implicadas y propietarios de la

información.

La mencionada evaluación debería considerar los procedimientos administrativos,

académicos, y financieros que normalmente se llevan a cabo a diario. Por otro lado

debería identificarse, cuantificarse y priorizarse los riesgos alineándose en todo

momento con los objetivos organizacionales.

Luego de contar con los resultados de la evaluación de riesgo debe formularse la

estrategia que permita la continuidad de las operaciones, incluyendo procedimientos

de orden técnico y administrativo, el mismo que debe contar con la aprobación y

respaldo de las máximas autoridades de la sede.

A.14.1.3 Desarrollar e implementar los planes de continuidad incluyendo la

seguridad de la información

El plan de continuidad de las operaciones debería realizarse luego de la evaluación

de los riesgos asociados con este aspecto, entre los lineamientos a considerar

deberían tomarse los siguientes:

178

Especificar con claridad los procedimientos a ejecutarse a fin de mantener la

continuidad de las operaciones, debe también identificarse a los responsables

de su ejecución.

Establecer el nivel aceptable de pérdida de servicio o información.

Implementar los procedimientos de recuperación y restauración de las

operaciones, y disponibilidad de los sistemas según los niveles establecidos.

Documentar los procesos y controles.

Capacitar al personal sobre los procesos y las implicaciones técnicas y no

técnicas que estos conllevan.

Plan de pruebas y mejoramiento continúo de los procesos.

A.14.1.4 Marco Referencial de la planeación de la continuidad del negocio

A fin de mantener la consistencia en los diversos planes de continuidad deben

mantenerse un solo marco referencial al cual cada plan o procedimiento se alinearía.

Los objetivos de cada plan estarán orientados a identificar claramente las

condiciones necesarias para su puesta en ejecución, así como la identificación de

aquellas personas que estarán al cargo de ejecutar cada uno de los procedimientos

que forman parte de este plan.

La definición del marco para la planificación de la continuidad de las actividades de

la institución debería contemplar lo siguiente:

Los escenarios para activar los planes de contingencia

Detalle de los procedimientos emergentes que establecen las acciones

puntuales que deben realizarse después de cada evento.

Procedimientos de contingencia que establecen las acciones tomadas para

recuperar la disponibilidad de los servicios.

179

Procedimientos temporales de orden técnico que aseguran una recuperación y

restauración exitosa de los servicios.

Procedimientos de reanudación que permitan volver al normal

funcionamiento de los servicios y sistemas

Matriz de responsabilidad de las personas implicadas.

A.14.1.5 Prueba, mantenimiento y re-evaluación de los planes de continuidad

del negocio

Los planes de contingencia cumplen su objetivo cuando su efectividad se ha visto

probada, es por esto que debe existir un plan de pruebas evaluación y mejoramiento

de los planes y procesos relacionados con la continuidad de las operaciones.

Este programa debe incluir el escenario en el que se realizarían las pruebas y debería

cumplir con los siguientes lineamientos:

Pruebas flexibles de simulación utilizando diferentes escenarios y periodos de

interrupción.

Simulaciones parciales.

Pruebas técnicas de operación, asegurando que a través de los procesos y

planes la información logra ser recuperada de manera íntegra.

Pruebas de levantamiento de un sitio alterno en caso de contarse con el, debe

re-diseccionarse todas las peticiones y comunicación hacia el sitio secundario

de preferencia de manera automática.

Pruebas del servicio

Simulaciones completas poniendo a prueba todos los planes de continuidad.

180

A.15 Cumplimiento


La política de seguridad de la información detallada en este documento debe ser

cuidadosamente cumplida, tanto por los usuarios internos o funcionarios de la

Universidad como en caso del personal externo colaborando con la misma. Para esto

deben establecerse normativas que aseguren su cumplimiento.


Cumplir con todas las disposiciones relacionadas con la seguridad de la información

y los procesos en los que la información se vea envuelta, a fin de evitar posibles

sanciones administrativas, o posibles litigios en caso de que el incumplimiento

redunde en un delito informático.

Garantizar que todos los sistemas y servicios informáticos de la Sede Guayaquil

cumplan con la política de seguridad de la información detallados en este

documento.

Revisar periódicamente los sistemas de información a fin de garantizar que las

políticas de seguridad están siendo cumplidas cuidadosamente.

Garantizar que exista protección sobre los sistemas y la información que la

universidad maneja, así como una auditoria de eventos que permita corroborar el

cumplimiento individual en cada sistema a la política de seguridad.


Esta Política es aplicable a todo el personal de la Universidad Politécnica Salesiana

Sede Guayaquil, cualquiera sea su situación o funciones dentro de la institución.

Es aplicable además a los sistemas de información, normas, procedimientos,

documentación y plataformas técnicas de la Universidad y a las auditorias

efectuadas sobre los mismos.

181


El Oficial de Seguridad Informática será responsable de:

Definir normas y procedimientos que permitan garantizar el cumplimiento

de las políticas.

Realizar revisiones periódicas que garantice el cumplimiento de la

política de seguridad.

Verificar periódicamente los sistemas de información garantizando el

cumplimiento de las mejores prácticas.

Garantizar la seguridad y el control de las herramientas utilizadas para las

revisiones de auditoría.

Los Responsables de los diferentes departamentos son responsables del control y

cumplimiento de las normas y procedimientos de seguridad establecidos dentro de su

correspondiente área.

Todos los empleados de los mandos medios y superiores conocerán,

comprenderán,

darán a conocer, cumplirán y harán cumplir la presente Política y la normativa

vigente.

5.- Política – Cumplimiento

A. 15.2 Cumplimiento de las políticas y estándares de seguridad y

cumplimento técnico

A.15.2.1 Cumplimiento con las políticas y estándares de seguridad

Deben revisarse regularmente el cumplimiento del procesamiento de la información

dentro de su área de responsabilidad con las políticas y estándares de seguridad

apropiados, y cualquier otro requerimiento de seguridad.

182

En caso de existir algún incumplimiento como resultado de la revisión, la dirección

debería:

a) Determinar cuáles fueron los motivos incumplimiento

b) Definir la necesidad de acciones para asegurar que no se repita el

incumplimiento

c) Determinar e implementar la acción correctiva apropiada

d) Revisar la acción correctiva tomada.

Toda acción debe ser debidamente registrada a fin de tomarla en cuenta en futuros

incidente y en tomas de decisiones en temas de seguridad.

A.15.2.2 Chequeo del cumplimiento técnico

El chequeo técnico del cumplimiento de la política de seguridad en los sistemas

deberá hacerse utilizando herramientas que permitan realizar análisis exhaustivos

sobre los mismos, estos análisis deberán ser realizados por un Ingeniero en sistemas

especializado en seguridad informática y siendo supervisado por el encargado del

departamento de sistemas.

En caso de realizarse pruebas de penetración o evaluaciones de vulnerabilidad, se

debiera tener especial cuidado ya que estas actividades pueden llevar a comprometer

la seguridad del sistema.

Las pruebas de vulnerabilidad deben realizarse de manera controlada, planificada y

cada prueba que se realice debe ser debidamente documentada, tanto en la definición

de la prueba como en los resultados de esta. Luego de realizar pruebas de

penetración deben emitirse un informe con las novedades presentadas y deberán

tomarse acciones de remediación de manera inmediata.

183

3.6 Gestión De Riesgos

3.6.1 Definición de riesgo

Puede definirse como riesgo a cualquier evento que impide que se cumpla el objetivo

predeterminado de algo, en el ambiente informático puede ser un sistema, servicio, o

herramienta tecnológica.

Según la Organización Internacional de la Normalización (ISO) se define como

riesgo tecnológico a “La probabilidad de que una amenaza se materialice utilizando

vulnerabilidades existentes en un activo o grupo de activos generándole perdidas a

daños”

Según la definición formal mencionada anteriormente podrían tabularse como

elementos que forman parte del riesgo informático a los siguientes:

Figura 3.6

Fuente: Los Autores

Probabilidad Amenazas

Vulnerabilidades Activos

Impacto

RIESGO INFORMÁTICO

184

Probabilidad

Que tan probable que ocurra o se haga efectivo el riesgo, este puede evaluarse de

forma cuantitativa, esta valoración debe realizarse sin que se vea involucrada

ninguna acción que minimice el riesgo. Al momento de cuantificar la probabilidad se

puede disponer como recurso la experiencia en entornos o circunstancias iguales o

parecidas al objeto de estudio.

Amenazas

Pueden catalogarse como amenazas a aquellas acciones que podrían provocar efectos

negativos para la organización, generalmente se relaciona el termino amenaza con

fallas accesos no autorizados código malicioso, desastres naturales, entre otras.

Vulnerabilidades

Se relaciona el término vulnerabilidad a una característica negativa que tiene el

activo la cual permitiría que se materialice alguna de las amenazas a la que el activo

se encuentra expuesto.

Una amenaza sin una vulnerabilidad no lograría materializar ningún daño sobre el

activo.

Activos

Son los bienes que posee la organización, en términos informáticos los activos de

información son los datos, información, sistemas, servicios informáticos o

equipamiento utilizado por el recurso humano de la organización.

Impacto

Se relaciona con la severidad de las consecuencias en caso de que ocurra o se

materialice un riesgo, estas consecuencias o suelen traducirse en pérdidas

monetarias, confianza, mercado, y de oportunidades de negocios.

3.6.2 Gestión de riesgos

El riesgo informático es algo que no puede evitarse o mitigarse en su totalidad, pero

a través de una adecuada gestión de riesgos puede mantenerse al mínimo el

porcentaje de incidencia.

185

Para que exista gestión de riesgo deben considerarse los elementos descritos en la

siguiente ecuación:

ECUACIÓN GESTIÓN DE RIESGOS

Gestión Riesgo = Análisis Riesgos + Tratamiento Riesgos

Figura 3.7

Fuente: Los Autores

3.6.3 Metodología de análisis de riesgos

El análisis, cuantificación y gestión de riesgo en las operaciones de la Sede

Guayaquil de la UPS, ha sido elaborado en base a la metodología de gestión

MAGERIT.

MAGERIT (Metodología de Análisis y Gestión de Riesgos de los Sistemas de

Información) es una metodología promovida por el CSAE (Consejo Superior de

Administración Electrónica) que persigue una aproximación metódica al análisis de

riesgos para la gestión de la seguridad que no deje lugar a la improvisación ni que

dependa exclusivamente de la experiencia del analista de riesgos.

MAGERIT no pretende que la seguridad de la información sea absoluta, pues tal

aseveración es inexistente. Siempre hay que aceptar un riesgo que debe ser

conocido y sometido al umbral de calidad que se requiere del servicio.

3.6.4 Análisis y evaluación de riesgos

A través de la metodología MAGERIT se realizó el análisis de los riesgos existentes

en la Sede Guayaquil de la UPS incluido en el ANEXO1.

186

3.6.5 Enunciado de aplicabilidad

El Enunciado de aplicabilidad es uno de los principales documentos requeridos por la

norma ISO/IEC 27001.

Es un documento en el cual deben documentarse los objetivos de control o controles

seleccionados, así como las razones para su selección. También debe registrarse la

exclusión de cualquier objetivo de control y controles enumerados en la norma.

3.7 CONCLUSIONES

Cabe concluir que este estudio de tesis esta orientada a poder identificar cada uno de

los puntos más críticos que se ha venido presentado con el avance de la tecnología

han llegado a ser considerado con una vulnerabilidad en la seguridad informática.

Citando algunos de estos como la calidad de los servicios brindados por la

institución; el servicio de mensajería , navegación que es utilizado tanto por el

recurso humano dentro de la institución como el personal docente, al no contener un

política que regule el uso de estos servicios y que permite que los mencionados

recursos sea utilizados de manera indiscriminada, es considerado como un factor

grave y atentatorio a la calidad de servicio y esta repercutirá en los controles de la


La utilización de métodos de encriptación como de aquellos mecanismos de

autenticación para salvaguardar los datos que viajan por la infraestructura

tecnológica de la institución son factores primordiales en la seguridad de la

información, ya que estos permiten mantener la confidencialidad de la información y

la confiabilidad que dicha información no ha sido alterado por algún tipo o

mecanismo de intrusión.

El adecuado manejo de una política documentada, ayudará en futuros procesos de

auditoria a saber los orígenes de cada uno de los cambios, como también a identificar

posibles omisiones a la seguridad que se han originados con el transcurso y avance

de la tecnología.

187

Todos estos controles dentro de un política bien estructura permite mejorar los

niveles de seguridad ya sea en su parte física, estructural, tecnológica y en la su parte

metódica documental, donde se podrán ir identificando cada uno de problemas

presentados. El cual podrá ser tomado como tema de estudio para poder identificar

posibles mecanismos y falencia al momento de implementas controles y políticas de

seguridad dentro de una institución.

3.8 Recomendaciones

La aplicación de cada uno de los puntos de esta tesis contemplan las situaciones

actuales de la institución, como aquellos puntos críticos omitidos en el actual

procedimiento de seguridad que la institución maneja ; y el alto índice de

inseguridad que se puede presentar al mantener el esquema actualmente utilizado.

Como parte del estudio realizado, este permitió identificar la omisión en ciertos

puntos de la seguridad, que con el desarrollo tecnológico este se ha convertido en

una amenaza al tipo de negocio que maneja la institución y a los servicios para el

manejo del personal humano.

El uso de los controles citados a los largo de este documento ayudaran a reducir el

índice de riesgo obtenidos con los controles actuales; con un decrecimiento de un 50

a 60 % de los niveles de riesgos anteriormente citados.

La perfecta propagación de la documentación contenida en cada uno de los controles

y que haga referencia a las personas involucradas en los diferentes controles

ayudaran mucho a mantener bajo el nivel de incidencia en los controles de seguridad.

La implementación de este documento permitirá reducir el riesgo actualmente

encontrado en la seguridad presentado tanto a nivel de infraestructura como en la

parte de documentación la cual presenta una carencia de información física no

implementada y tampoco difundida en los entornos de la institución. El cual podrá

servir como ayuda para futuras implementaciones y temas de estudio a nivel de la

misma institución.

188

3.9 BIBLIOGRAFÍA

INTERNET

Wikipedia: Sin Autor: http://es.wikipedia.org/wiki/Informaci%C3%B3n

INTERNET

Asepal.es : Sin Autor :

http://www.asepal.es/adjuntos/fichero_211_20060920.pdf?PHPSESSID=1b4ed7642

56fc5e28c01a0dbdea3f1e5

INTERNET

Mondragón.edu : Sin Autor :

http://www.mondragon.edu/eps/jor/seguridad/JornadaSeguridadMCC-

MU_archivos/Nextel.pdf

INTERNET

Revista Ays : Sin Autor:

http://www.revista-ays.com/DocsNum14/Normas/Corletti.pdf

ISO / IEC

ISO / IEC: Documentación Normas ISO/IEC serie 27000

ISO 27001 – ISO 27002

INTERNET

ISO 27001 Blogspot : Sin Autor :

http://sgsi-iso27001.blogspot.com/

INTERNET

ISO 27000.es: Sin Autor:

http://www.iso27000.es/doc_sgsi_all.htm

ISMS Forum Spain

https://www.ismsforum.es/index.php

http://es.wikipedia.org/wiki/Informaci%C3%B3n

Sin%20Autor%20:%20%20http:/www.asepal.es/adjuntos/fichero_211_20060920.pdf?PHPSESSID=1b4ed764256fc5e28c01a0dbdea3f1e5



http://www.mondragon.edu/eps/jor/seguridad/JornadaSeguridadMCC-MU_archivos/Nextel.pdf

http://www.mondragon.edu/eps/jor/seguridad/JornadaSeguridadMCC-MU_archivos/Nextel.pdf

http://www.revista-ays.com/DocsNum14/Normas/Corletti.pdf

http://sgsi-iso27001.blogspot.com/

http://www.iso27000.es/doc_sgsi_all.htm

https://www.ismsforum.es/index.php

189

3.10 ANEXOS

ANEXO 1: Plan de Continuidad del Negocio

Definición

El plan de continuidad del negocio es un proceso está diseñado para prevenir

interrupciones que afecten el normal desempeño de las actividades relacionadas con

el negocio , evitando así perdidas a la institución, las cuales pueden ser económicas ,

causales de litigios legales , o incluso afectar la posición que la institución tiene en el

mercado.

En caso de la ocurrencia de un incidente que afecte algún recurso relacionado con el

negocio, y este no haya podido ser evitado, el plan de continuidad debe tender a

minimizar su impacto, tanto en tiempo como en sentido económico. Estas acciones

pueden tener un alcance operativo o tecnológico.

Ciclo de vida de una contingencia

El ciclo de vida de una contingencia comprende los diferentes eventos en línea de

tiempo, lo cual incluye, el momento en el que existe normal operación, la ocurrencia

de un incidente, las acciones para restablecer parcialmente las operaciones y el

momento en ocurre el restablecimiento a la normalidad de las operaciones.

CICLO DE VIDA DE UNA CONTINGENCIA

Figura 3.9

Fuente: Instituto de Estudios Bancarios Guillermo Subercaseaux

190

Los Desastres

Los desastres son eventos que impactan negativamente las operaciones del negocio,

causan interrupción en la operación de procesamiento de información crítica

Análisis del impacto (BIA)

El Análisis del impacto en el negocio tiene como objetivo determinar y entender que

procesos son fundamentales para mantener las operaciones continuas y calcular su

posible impacto. Este proceso es un elemento fundamental dentro del plan de

continuidad del negocio.

Según el Business Continuity Institute los tres objetivos principales a tomar en

consideración en el análisis de impacto son los siguientes:

Entender los procesos críticos que soportan el servicio, estableciendo la

prioridad de cada uno de estos servicios y los tiempos estimados de

recuperación (RTO).

Determinar los tiempos máximos tolerables de interrupción (MTD).

Apoyar el proceso de determinar las estrategias adecuadas de recuperación.

Clasificación de los recursos en las operaciones

Críticos

Funciones que pueden realizarse sólo si las capacidades se reemplazan por

otras idénticas.

No pueden reemplazarse por métodos manuales.

Muy baja tolerancia a interrupciones.

Dentro de la Sede Guayaquil, los recursos críticos son los siguientes:

o Repositorios de información, archivos compartidos por red

o Servicio de Active Directory

o Sistema de información académico

191

o Sistema de información financiero

o Sistema de información de talento humano

o Servidores

o Equipos de conectividad de red (back-bone)

o Firewall

o Enlaces de datos Guayaquil-Cuenca

o Edificios, oficinas , sala de servidores

o Recurso humano

Vitales

Pueden realizarse manualmente por un periodo breve.

Costo de interrupción un poco más bajos, sólo si son restaurados dentro de un

tiempo determinado 5 o menos días.

Dentro de la Sede Guayaquil, los recursos vitales son los siguientes:

o Correo Electrónico

o Estaciones de trabajo criticas

o Equipos de laboratorio

o Telefonía VoIp

Sensitivos

Funciones que pueden realizarse manualmente por un periodo prolongado a

un costo tolerable.

El proceso manual puede ser complicado y requeriría de personal adicional.

Dentro de la Sede Guayaquil, los recursos sensitivos son los siguientes:

o Acceso a Internet

o Video conferencia

192

No críticos

Funciones que pueden interrumpirse por tiempos prolongados a un costo

pequeño o nulo.

Dentro de la Sede Guayaquil, los recursos sensitivos son los siguientes:

o Estaciones de trabajo, normales

Figura 3.10


Metodología utilizada para el desarrollo del BIA

El impacto de análisis del negocio permite determinar las labores y recursos

esenciales para respaldar la continuidad del negocio , su criticidad, el impacto que

tendrá en el negocio , sus del negocio DE SISTESEG, su criticidad, su impacto para

el negocio, sus RTOs (Recovery Time Objective – tiempo de recuperación objetivo),

RPOs (Recovery Point Objective) o punto de recuperación objetivo y MTD

(Maximum Tolerable Downtime – tiempo máximo tolerable fuera de servicio) Para

este fin debe seguirse el siguiente proceso:

1. Identificar instalaciones

2. Identificar procesos en cada instalación:

3. Analizar la criticidad de los procesos en cada instalación

4. Calcular el RTO, RPO y MTD de cada proceso en cada instalación:

5. Determinar procesos críticos en cada instalación:

193

Figura 3.11


RTO (Recovery Time Objective)

Es la duración de tiempo dentro del cual un proceso dentro del negocio debe ser

restablecido luego de una interrupción o desastre a fin de evitar consecuencias

inaceptables para la organización.

Esto incluye el tiempo el tiempo destinado a solucionar el problema sin realizar un

recovery, el proceso de recovery como tal y comunicación con los usuarios.

194

El RTO es establecido durante el Análisis de impacto del negocio (BIA) por el

propietario del proceso, el cual deberá ser aprobado por el Oficial de seguridad

informática.

RTO (Recovery Time Objective)

Figura 3.12

Fuente: Los Autores

El impacto de análisis del negocio permite determinar las labores y recursos

esenciales para respaldar la continuidad del negocio, su criticidad, e impacto.

RPO (Recovery Point Objective)

EL RTO expresa la cantidad de datos que una aplicación puede llegar a perder antes

de que ello suponga repercusiones negativas para la empresa.

Va estrechamente relacionado con la disponibilidad de información respaldada a la

cual reversar en caso de una interrupción o un desastre, la cantidad de información o

transacciones realizadas desde el último punto de recovery y el incidente es la

cantidad de data perdida.

6 horas

RTO

Tiempo

Desastre o interrupción

195

Cuanto más se aproximen los valores RPO y RTO de una aplicación a cero, mayor

será la dependencia de la organización del proceso en particular y, por consiguiente,

mayor prioridad tendrá a la hora de recuperar los sistemas en caso de desastre

RPO (Recovery Point Objective)

Figura 3.13

Fuente: Los Autores

WRT (Work Recovery Time)

El WRT comprende la cantidad de tiempo necesario para restaurar la data y

transacciones comprendidas desde el punto de recovery o último backup disponible,

además de la data o transacciones realizadas manualmente desde la incidencia del

desastre o interrupción hasta el RTO.

6 horas

RTO

Tiempo


RPO

01:00am Backup

08:00am

196

WRT (Work Recovery Time)

Figura 3.14

Fuente: Los Autores

MTD (Maximum Tolerable Downtime)

Este término se refiere al máximo de tiempo tolerable contado desde la incidencia

del desastre o la interrupción hasta la recuperación total del servicio y de la data o

transacciones realizadas, en otras palabras el restablecimiento total del servicio luego

del incidente.

RPO

6 horas

RTO

Tiempo


01:00am Backup

08:00am

WRT

2 horas

Transacciones manuales

197

MTD (Maximum Tolerable Downtime)

MTD = RTO + WRT

Figura 3.15

Fuente: Los Autores

Desarrollo de plan de contingencia

Las condiciones de normal operación pueden verse interrumpidas por diversos tipos

de incidentes encasillados en las siguientes categorías:

PERDIDA DE DATOS

En esta categoría se agrupan eventos relacionados con pérdida de información.

o Recursos envueltos

En esta categoría podría incluirse los repositorios de información y archivos

compartidos por

RPO

6 horas

RTO

Tiempo


01:00am

Backup 08:00am

WRT

2 horas

Transacciones manuales

MTD

198

No se incluye la información utilizada por los sistemas de información debido

a que esta se encuentra almacenada en servidores que forman parte de la

infraestructura de red de la Sede Matriz en Cuenca, sobre la cual el

departamento de sistemas de la sede Guayaquil no ejerce administración.

o Causas

Perdida de datos causados por terrorismo, sabotaje, robo, software malicioso,

virus, Worms, entre otros

o Medidas de Prevención (recomendaciones)

Generar respaldos periódicos

Mantener una política de respaldos y pruebas de restablecimiento de

información, a fin de asegurarse que en caso de perdida, la misma pueda

ser restaurada y estar disponible para las operaciones.

Resguardo Externo

De preferencia, una copia de los respaldos deben ser almacenados en

ubicaciones externas, garantizando la disponibilidad del respaldo en caso

de que la perdida sea causada por una catástrofe natural tal como

incendios, terremotos, inundación, entre otros.

Copiado Remoto de datos

En vista que existe un enlace de datos hacia Cuenca, podría utilizarse este

canal para realizar copia remota de datos, la cual puede ser configurable

para ser realizada calendarizadamente por las noches, con esto se

garantiza otro recurso de recuperación en caso de pérdida.

Imágenes de Disco

Podría adoptarse como complemento a la política de respaldos, la

realización de una copia exacta conocida como imagen de disco, en vista

del volumen en almacenamiento que esto requeriría podría realizarse

semanal, o quincenalmente.

Antivirus, Antispyware

199

A fin de evitar que los archivos de información almacenados en el

repositorio sean comprometidos por la existencia de código malicioso es

necesario mantener actualizada la solución antivirus con la última versión

tanto del “motor” antivirus como con las últimas firmas de definición de

virus.

INTERRUPCIONES OPERACIONALES

En esta categoría se agrupan eventos relacionados con pérdida de disponibilidad de

algún tipo de equipamiento.

Recursos envueltos

Los recursos envueltos en esta categoría son:

Servicio de Active Directory

Sistema de información académico

Sistema de información financiero

Sistema de información de talento humano

Servidores

Equipos de conectividad de red (back-bone)

Firewall

Enlaces de datos Guayaquil-Cuenca

Estaciones de trabajo criticas

Equipos de laboratorio

Telefonía VoIp

Acceso a Internet

Video conferencia

Estaciones de trabajo, normales

Causas

Perdida de disponibilidad causada por fallas de hardware, fallas eléctricas,

fallas en componentes internos de los equipos tales como discos duros o

memorias, y robo de hardware.

Medidas de Prevención (recomendaciones)

200

Datacenter de contingencia

Centros de datos que agrupan una réplica de los sistemas, servicios, e

información que el sitio principal, el trafico es diseccionado manual o

automáticamente cuando el sitio principal es detectado como fuera de

servicio.

Los Datacenter de contingencia son recomendados para ambientes con

un flujo transaccional muy alto, en los cuales se justifica los elevados

costos de inversión. Al momento las operaciones en la sede Guayaquil

no requerirían la implementación de un esquema de Datacenter de

contingencia, en caso de un crecimiento futuro en la infraestructura,

pero sobre todo en un aumento en la criticidad de los sistemas, podría

considerarse un Datacenter de contingencia como una buena opción

de continuidad de negocio.

Equipamiento redundante

Es vital establecer redundancia principalmente en los puntos más

críticos de la infraestructura.

Servicio de Active Directory

Microsoft recomienda mantener múltiples controladores de dominio y

servidores de catálogo globales en varias ubicaciones que replican con

frecuencia la información del directorio. Para proteger

Active Directory en el nivel del servidor, se necesita hacer copias de

seguridad periódicas de los controladores de dominio y servidores de

catálogo global, incluyendo una copia de seguridad del estado del

sistema de los servidores de directorio en la organización.

Servidores, Sistemas de Información

Los sistemas de información y servicios residentes en los servidores

existen varios componentes que son necesarios para su correcto

funcionamiento. Múltiples son las probabilidades, tales como fallos en

el servidor, fallos en disco, fuentes de alimentación eléctrica, tarjetas

de red, etc. Es por esto que el plan de continuidad requiere se

considere la implementación de lo siguiente:

201

Redundancia en Procesador

Utilizar discos Hotswap

Redundancia en Discos (RAID 1-5-10)

Redundancia en interfaces de Red

Fuentes de alimentación redundantes

Redundancia en Suministro eléctrico como UPS y generadores

de energía eléctrica.

Equipos de conectividad de red (back-bone)

A fin de garantizar la conectividad de red puede modificarse la

topología de red a fin de que existan al menos dos diferentes

“caminos” para llegar a los puntos de conexión críticos. Adicional a

esto puede adquirirse equipos de conectividad o concentradores

adicionales y configurarlos en redundancia.

202

INTERNET

REDES WAN

Figura 3.16

Fuente: Los Autores

Redundancia en Firewall

El firewall es un elemento de hardware (Cisco ASA) ubicado

generalmente en el perímetro con la finalidad de controlar las

comunicaciones mediante permitir o denegar conexiones según la

política de seguridad definida por el responsable de la red.

A fin de evitar pérdidas de servicio debido a fallas presentadas en este

dispositivo puede establecerse un esquema de redundancia, ya sea en

alta disponibilidad o modo activo/pasivo, o en modo balanceo de

carga también llamado modo activo/activo.

Con este esquema de redundancia, en caso de un daño en uno de los

firewall, el dispositivo de contingencia puede atender todo el tráfico y

así mantener el servicio.

203

ESQUEMA DE FIREWALLS REDUNDANTES

InternetSincronización

Switch / VLANEth0 : Eth0 :

Switch / VLAN

Eth1 Eth1

Figura 3.17

Fuente: Los Autores

Enlaces de datos Guayaquil-Cuenca

Al momento existen dos enlaces hacia Cuenca, el enlace provisto por

la Corporación Nacional de Telecomunicaciones, cuyo ancho de

banda es de 512Kb, y un enlace contratado con Telconet con ancho de

banda de 1Mb. Esto provee tolerancia a fallos en alguno de los

enlaces.

Enlaces de Internet

La sede cuenta con una conexión a Internet provista por Telconet, con

un ancho de banda de 6Mb, en caso de existir un fallo en la

infraestructura del proveedor, la sede perdería completamente este

servicio.

Con este fin existen soluciones de redundancia aplicables tanto en el

segmento de red administrado por el proveedor como soluciones

aplicables en el dispositivo que protege el perímetro (firewall). En este

caso el firewall contaría con una interfaz de red adicional que

establecería conectividad hacia Internet a través de un proveedor

distinto a Telconet, en caso de existir una falla en alguno de los dos

enlaces, se enrutaría todo el tráfico a través del enlace activo, tal como

se muestra en la figura a continuación.

204

Redundancia de ISPs

Figura 3.18

Fuente: Los Autores

Equipos de contingencia

Existen elementos dentro de la red de datos de la sede que no

requerirían un esquema de redundancia a pesar de ser equipos críticos

para la institución.

En esta categoría podríamos definir, los computadores utilizados en

secretaria, direcciones de carrera, telefonía VoIp, y demás equipos

relacionadas con tareas que no deberían verse interrumpidas durante

largo tiempo debido a la ocurrencia de un daño severo de hardware o

software, en estos casos sería aplicable contar con equipos de

contingencia o reserva de similares o superiores características listos

para ser utilizados en caso de requerirse.

205

ANEXO 4

COSTOS DEL PROYECTO

El presente proyecto está delimitado a la fase de PLANEACION de un SGSI, fase

que no implica tareas de implementación, aplicación ni mejora continua.

La fase de planeación requiere un estudio de la situación actual, y definición de los

riesgos y política de seguridad.

Las tareas asociadas con la fase de planeación requieren el uso de recursos

económicos, humanos y tecnológicos tal como se detallan a continuación:

Equipamiento

Computadoras

Horas trabajo hombre / asesorías

Acceso a Internet

Movilizaciones

Impresiones

Encuadernación

Comunicaciones

Los costos en que se ha incurrido por los conceptos anteriormente citados han sido

asumidos por los autores del proyectos y no ha representado una inversión

económica para la Universidad.

En caso de que la Universidad decida proceder con las fases posteriores a la

PLANEACION del SGSI, deberá incurrir en gastos de implementación y

certificación por parte de una consultora acreditada. Estos costos no son incluidos al

encontrarse fuera del alcance de este estudio.

Documents

planeación y diseño SGSI basado 27001 - 27002