esquema gubernamental de seguridades de la información

ESQUEMA GUBERNAMENTAL DE SEGURIDAD DE LAINFORMACION EGSI

Acuerdo Ministerial 166Registro Oficial Suplemento 88 de 25-sep-2013Estado: Vigente

Cristian Castillo PeaherreraSECRETARIO NACIONAL DE LA ADMINISTRACION PUBLICA

Considerando:

Que, la Constitucin de la Repblica determina en el artculo 227 que la Administracin Pblicaconstituye un servicio a la colectividad que se rige por principios de eficacia, calidad, jerarqua,desconcentracin, descentralizacin, coordinacin, participacin, planificacin, transparencia yevaluacin.

Que, el artculo 13 del Estatuto del Rgimen Jurdico Administrativo de la Funcin Ejecutivaestablece que la Secretara Nacional de la Administracin Pblica es una entidad de derechopblico, con personalidad jurdica y patrimonio propio, dotada de autonoma presupuestaria,financiera, econmica y administrativa, encargada de establecer las polticas, metodologas degestin e innovacin institucional y herramientas necesarias para el mejoramiento de la eficiencia,calidad y transparencia de la gestin en las entidades y organismos de la Funcin Ejecutiva, conquienes coordinar las acciones que sean necesarias para la correcta ejecucin de dichos fines; ascomo tambin de realizar el control, seguimiento y evaluacin de la gestin de los planes,programas, proyectos y procesos de las entidades y organismos de la Funcin Ejecutiva que seencuentran en ejecucin; y, el control, seguimiento y evaluacin de la calidad en la gestin de losmismos.

Que, mediante Acuerdos Ministeriales Nos. 804 y 837 de 29 de julio y 19 de agosto de 2011,respectivamente, la Secretara Nacional de la Administracin Pblica cre la Comisin para laSeguridad Informtica y de las Tecnologas de la Informacin y Comunicacin conformada pordelegados del Ministerio de Telecomunicaciones y de la Sociedad de la Informacin, la SecretaraNacional de Inteligencia y la Secretara Nacional de la Administracin Pblica y dentro de susatribuciones tiene la de establecer lineamientos de seguridad informtica, proteccin deinfraestructura computacional y todo lo relacionado con sta, incluyendo la informacin contenidapara las entidades de la Administracin Pblica Central e Institucional.

Que, es importante adoptar polticas, estrategias, normas, procesos, procedimientos, tecnologas ymedios necesarios para mantener la seguridad en la informacin que se genera y custodia endiferentes medios y formatos de las entidades de la Administracin Pblica Central, Institucional yque dependen de la Funcin Ejecutiva.Que, la Administracin Pblica de forma integral y coordinada debe propender a minimizar o anularriesgos en la informacin as como proteger la infraestructura gubernamental, ms an si esestratgica, de los denominados ataques informticos o cibernticos.

Que, las Tecnologas de la Informacin y Comunicacin son herramientas imprescindibles para elcumplimiento de la gestin institucional e interinstitucional de la Administracin Pblica en tal virtud,deben cumplir con estndares de seguridad que garanticen la confidencialidad, integridad ydisponibilidad de la informacin;

Que, la Comisin para la Seguridad Informtica y de las Tecnologas de la Informacin yComunicacin en referencia ha desarrollado el Esquema Gubernamental de Seguridad de la

ESQUEMA GUBERNAMENTAL DE SEGURIDAD DE LA INFORMACION EGSI - Pgina 1eSilec Profesional - www.lexis.com.ec

Informacin (EGSI), elaborado en base a la norma NTE INEN-ISO/IEC 27002 "Cdigo de Prcticapara la Gestin de la Seguridad de la Informacin".

Que, el artculo 15, letra i) del Estatuto del Rgimen Jurdico y Administrativo de la Funcin Ejecutivaestablece como atribucin del Secretario Nacional de la Administracin Pblica, impulsar proyectosde estandarizacin en procesos, calidad y tecnologas de la informacin y comunicacin;

En uso de las facultades y atribuciones que le confiere el artculo 15, letra n) del Estatuto delRgimen Jurdico y Administrativo de la Funcin Ejecutiva.Acuerda:

Art. 1.- Disponer a las entidades de la Administracin Pblica Central, Institucional y que dependende la Funcin Ejecutiva el uso obligatorio de las Normas Tcnicas Ecuatorianas NTE INEN-ISO/IEC27000 para la Gestin de Seguridad de la Informacin.

Art. 2.- Las entidades de la Administracin Pblica implementarn en un plazo de dieciocho (18)meses el Esquema Gubernamental de Seguridad de la Informacin (EGSI), que se adjunta a esteacuerdo como Anexo 1, a excepcin de las disposiciones o normas marcadas como prioritarias endicho esquema, las cuales se implementarn en (6) meses desde la emisin del presente Acuerdo.La implementacin del EGSI se realizar en cada institucin de acuerdo al mbito de accin,estructura orgnica, recursos y nivel de madurez en gestin de Seguridad de la Informacin.

Art. 3.- Las entidades designarn, al interior de su institucin, un Comit de Seguridad de laInformacin liderado con un Oficial de Seguridad de la Informacin, conforme lo establece el EGSI ycuya designacin deber ser comunicada a la Secretara Nacional de la Administracin Pblica, en eltranscurso de treinta (30) das posteriores a la emisin del presente Acuerdo.Art. 4.- La Secretara Nacional de la Administracin Pblica coordinar y dar seguimiento a laimplementacin del EGSI en las entidades de la Administracin Pblica Central, Institucional y quedependen de la Funcin Ejecutiva. El seguimiento y control a la implementacin de la EGSI serealizar mediante el Sistema de Gestin por Resultados (GPR) u otras herramientas que para elefecto implemente la Secretara Nacional de la Administracin Pblica.

Art. 5.- La Secretara Nacional de la Administracin Pblica realizar de forma ordinaria una revisinanual del EGSI en conformidad a las modificaciones de la norma INEN ISO/IEC 27002 que segeneren y de forma extraordinaria o peridica cuando las circunstancias as lo ameriten, ademsdefinir los procedimientos o metodologas para su actualizacin, implementacin, seguimiento ycontrol.

Art. 6.- Es responsabilidad de la mxima autoridad de cada entidad mantener la documentacin dela implementacin del EGSI debidamente organizada y registrada de acuerdo al procedimientoespecfico que para estos efectos establezca la Secretara Nacional de la Administracin Pblica.

Art. 7.- Las entidades realizarn una evaluacin de riesgos y disearn e implementarn el plan demanejo de riesgos de su institucin, en base a la norma INEN ISO/IEC 27005 "Gestin del Riesgo enla Seguridad de la Informacin.

DISPOSICIONES GENERALES

Primera.- El EGSI podr ser revisado peridicamente de acuerdo a las sugerencias u observacionesrealizadas por las entidades de la Administracin Pblica Central, Institucional o que dependen de laFuncin Ejecutiva, las cuales debern ser presentadas por escrito a la Secretara Nacional de laAdministracin Pblica.


Segunda.- Cualquier propuesta de inclusin de controles o directrices adicionales a los yaestablecidos en el EGSI que se generen en la implementacin del mismo, debern ser comunicadosa la Secretara Nacional de la Administracin Pblica, previo a su aplicacin; de igual manera, encaso de existir alguna excepcin institucional respecto a la implementacin del EGSI, sta deberser justificada tcnicamente y comunicada a la Secretara Nacional de la Administracin Pblica,para su anlisis y autorizacin.

Tercera.- Los Oficiales de Seguridad de la Informacin de los Comits de Gestin de Seguridad de laInformacin designados por las instituciones, actuarn como contrapartes de la Secretara Nacionalde la Administracin Pblica en la implementacin del EGSI y en la gestin de incidentes deseguridad de la informacin.

Cuarta.- Cualquier comunicacin respecto a las disposiciones realizadas en el presente Acuerdodeber ser informada directamente a la Subsecretara de Gobierno Electrnico de la SecretaraNacional de la Administracin Pblica.

DISPOSICIONES TRANSITORIAS

Primera.- Para efectivizar el control y seguimiento del EGSI institucional, la Secretara Nacional de laAdministracin Pblica en un plazo de quince (15) das crear un proyecto en el sistema GPR en elque se homogenice los hitos que deben de cumplir las instituciones para implementar el EGSI.

Segunda.- La Secretara Nacional de la Administracin Pblica emitir en el plazo de sesenta (60)das desde la emisin del presente Acuerdo los lineamientos especficos de registro ydocumentacin de la implementacin institucional del ESGI.

Tercera.- La Secretara Nacional de la Administracin Pblica, adems, en un plazo de noventa (90)das desde la emisin del presente Acuerdo, definir las metodologas o procedimientos paraactualizacin, implementacin, seguimiento y control del EGSI.

DISPOSICION DEROGATORIA

Derguese los Acuerdo Ministeriales No. 804 de 29 de julio de 2011 y No. 837 de 19 de agosto de2011.

DISPOSICION FINAL.- Este Acuerdo entrar en vigencia a partir de su publicacin en el RegistroOficial.

Dado en el Palacio Nacional, a los 19 das del mes de septiembre de 2013.

f.) Cristian Castillo Peaherrera, Secretario Nacional de la Administracin Pblica.Es fiel copia del original.- LO CERTIFICO.

Quito, 20 de septiembre de 2013.

f.) Dra. Rafaela Hurtado Espinoza, Coordinadora General de Asesora Jurdica, Secretara Nacionalde la Administracin Pblica.

Anexo 1 del Acuerdo No. 166 del 19 de septiembre de 2013

SECRETARIA NACIONAL DE LA ADMINISTRACION PUBLICA

ESQUEMA GUBERNAMENTAL DE SEGURIDAD DE LA INFORMACION (EGSI)Versin 1.0


Septiembre de 2013

Contenido

INTRODUCCION

1. POLITICA DE SEGURIDAD DE LA INFORMACION2. ORGANIZACION DE LA SEGURIDAD DE LA INFORMACION3. GESTION DE LOS ACTIVOS4. SEGURIDAD DE LOS RECURSOS HUMANOS5. SEGURIDAD FISICA Y DEL ENTORNO6. GESTION DE COMUNICACIONES Y OPERACIONES7. CONTROL DE ACCESO8. ADQUISICION, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACION9. GESTION DE LOS INCIDENTES DE LA SEGURIDAD DE LA INFORMACION10. GESTION DE LA CONTINUIDAD DEL NEGOCIO11. CUMPLIMIENTOGLOSARIO DE TERMINOS

INTRODUCCION

Los avances de las Tecnologas de la Informacin y Comunicacin (TIC) han ocasionado que losgobiernos otorguen mayor atencin a la proteccin de sus activos de informacin con el fin degenerar confianza en la ciudadana, en sus propias instituciones y minimizar riesgos derivados devulnerabilidades informticas.

La Secretara Nacional de Administracin Pblica, considerando que las TIC son herramientasimprescindibles para el desempeo de institucional e interinstitucional, y como respuesta a lanecesidad gestionar de forma eficiente y eficaz la seguridad de la informacin en las entidadespblicas, emiti los Acuerdos Ministeriales No. 804 y No. 837, de 29 de julio y 19 de agosto de 2011respectivamente, mediante los cuales cre la Comisin para la Seguridad Informtica y de lasTecnologas de la Informacin y Comunicacin.

La comisin realiz un anlisis de la situacin respecto de la gestin de la Seguridad de laInformacin en las Instituciones de la Administracin Pblica Central, Dependiente e Institucional,llegando a determinar la necesidad de aplicar normas y procedimientos para seguridad de lainformacin, e incorporar a la cultura y procesos institucionales la gestin permanente de la misma.

El presente documento, denominado Esquema Gubernamental de Seguridad de la Informacin(EGSI), esta basado en la norma tcnica ecuatoriana INEN ISO/IEC 27002 para Gestin de laSeguridad de la Informacin y est dirigido a las Instituciones de la Administracin Pblica Central,Dependiente e Institucional.

El EGSI establece un conjunto de directrices prioritarias para Gestin de la Seguridad de laInformacin e inicia un proceso de mejora continua en las instituciones de la Administracin Pblica.El EGSI no reemplaza a la norma INEN ISO/IEC 27002 sino que marca como prioridad laimplementacin de algunas directrices.

La implementacin del EGSI incrementar la seguridad de la informacin en las entidades pblicasas como en la confianza de los ciudadanos en la Administracin Pblica.

1. POLITICA DE SEGURIDAD DE LA INFORMACION

1.1. Documento de la Poltica de la Seguridad de la Informacin

a) La mxima autoridad de la institucin dispondr la implementacin de este Esquema


Gubernamental de Seguridad de la Informacin (EGSI) en su entidad (*)(1).b) Se difundir la siguiente poltica de seguridad de la informacin como referencia (*):"Las entidades de la Administracin Pblica Central, Dependiente e Institucional que generan,utilizan, procesan, comparten y almacenan informacin en medio electrnico o escrito, clasificadacomo pblica, confidencial, reservada y no reservada, debern aplicar el Esquema Gubernamentalde Seguridad de la Informacin para definir los procesos, procedimientos y tecnologas a fin degarantizar la confidencialidad, integridad y disponibilidad de esa informacin, en los medios y eltiempo que su legitimidad lo requiera".

(1) (*) En todo este documento esta marca significa que se trata de un control/directriz prioritarioLas entidades pblicas podrn especificar una poltica de seguridad ms amplia o especfica enarmona con la Constitucin, leyes y dems normativa legal propia o relacionada as como su misiny competencias.

1.2. Revisin de la Poltica

a) Para garantizar la vigencia de la poltica de seguridad de la informacin en la institucin, estadeber ser revisada anualmente o cuando se produzcan cambios significativos a nivel operativo,legal, tecnolgica, econmico, entre otros.

2. ORGANIZACION DE LA SEGURIDAD DE LA INFORMACION

2.1. Compromiso de la mxima autoridad de la institucin con la seguridad de la informacin

a) Realizar el seguimiento de la puesta en marcha de las normas de este documento (*).b) Disponer la difusin, capacitacin y sensibilizacin del contenido de este documento (*).c) Conformar oficialmente el Comit de Gestin de la Seguridad de la Informacin de la institucin(CSI) y designar a los integrantes (*).El comit de coordinacin de la seguridad de la informacin involucrar la participacin ycooperacin de los cargos directivos de la institucin. El comit deber convocarse de formaperidica o cuando las circunstancias lo ameriten. Se deber llevar registros y actas de lasreuniones.

2.2. Coordinacin de la Gestin de la Seguridad de la Informacin

a) La coordinacin estar a cargo del Comit de Gestin de Seguridad de la Informacin el cualtendr las siguientes funciones:

- Definir y mantener la poltica y normas institucionales particulares en materia de seguridad de lainformacin y gestionar la aprobacin y puesta en vigencia por parte de la mxima autoridad de lainstitucin as como el cumplimiento por parte de los funcionarios de la institucin.- Monitorear cambios significativos de los riesgos que afectan a los recursos de informacin frente alas amenazas ms importantes.- Tomar conocimiento y supervisar la investigacin y monitoreo de los incidentes relativos a laseguridad.- Aprobar las principales iniciativas para incrementar la seguridad de la informacin, de acuerdo a lascompetencias y responsabilidades asignadas a cada rea.- Acordar y aprobar metodologas y procesos especficos, en base al EGSI relativos a la seguridadde la informacin.- Evaluar y coordinar la implementacin de controles especficos de seguridad de la informacin paranuevos sistemas o servicios, en base al EGSI.- Promover la difusin y apoyo a la seguridad de la informacin dentro de la institucin.- Coordinar el proceso de gestin de la continuidad de la operacin de los servicios y sistemas de


informacin de la institucin frente a incidentes de seguridad imprevistos.- Designar a los custodios o responsables de la informacin de las diferentes reas de la entidad,que deber ser formalizada en un documento fsico o electrnico.- Gestionar la provisin permanente de recursos econmicos, tecnolgicos y humanos para lagestin de la seguridad de la informacin.- Velar por la aplicacin de la familia de normas tcnicas ecuatorianas INEN ISO/IEC 27000 en lainstitucin segn el mbito de cada norma.- Designar formalmente a un funcionario como Oficial de Seguridad de la Informacin quien actuarcomo coordinador del CSI. El Oficial de Seguridad no pertenecer al rea de Tecnologas de laInformacin y reportar a la mxima autoridad de la institucin (*).- Designar formalmente al responsable de seguridad del rea de Tecnologas de la Informacin encoordinacin con el director o responsable del rea de Tecnologas de la Informacin de la Institucin(*).2.3 Asignacin de responsabilidades para la seguridad de la informacin

El Oficial de Seguridad de la Informacin tendr las siguientes responsabilidades:

a) Definir procedimientos para el control de cambios a los procesos operativos, los sistemas einstalaciones, y verificar su cumplimiento, de manera que no afecten la seguridad de la informacin.b) Establecer criterios de seguridad para nuevos sistemas de informacin, actualizaciones y nuevasversiones, contemplando la realizacin de las pruebas antes de su aprobacin definitiva.c) Definir procedimientos para el manejo de incidentes de seguridad y para la administracin de losmedios de almacenamiento.d) Controlar los mecanismos de distribucin y difusin de informacin dentro y fuera de la institucin.e) Definir y documentar controles para la deteccin y prevencin del acceso no autorizado, laproteccin contra software malicioso, garantizar la seguridad de los datos y los servicios conectadosa las redes de la institucin.f) Desarrollar procedimientos adecuados de concienciacin de usuarios en materia de seguridad,controles de acceso a los sistemas y administracin de cambios.g) Verificar el cumplimiento de las normas, procedimientos y controles de seguridad institucionalesestablecidos.h) Coordinar la gestin de eventos de seguridad con otras entidades gubernamentales.i) Convocar regularmente o cuando la situacin lo amerite al Comit de Seguridad de la Informacinas como llevar registros de asistencia y actas de las reuniones.

El responsable de Seguridad del Area de Tecnologas de la Informacin tendr las siguientesresponsabilidades:

a) Controlar la existencia de documentacin fsica o electrnica actualizada relacionada con losprocedimientos de comunicaciones, operaciones y sistemas.b) Evaluar el posible impacto operativo a nivel de seguridad de los cambios previstos a sistemas yequipamiento y verificar su correcta implementacin, asignando responsabilidades.c) Administrar los medios tcnicos necesarios para permitir la segregacin de los ambientes deprocesamiento.d) Monitorear las necesidades de capacidad de los sistemas en operacin y proyectar las futurasdemandas de capacidad para soportar potenciales amenazas a la seguridad de la informacin queprocesan.e) Controlar la obtencin de copias de resguardo de informacin, as como la prueba peridica de surestauracin.f) Asegurar el registro de las actividades realizadas por el personal operativo de seguridad de lainformacin, para su posterior revisin.g) Desarrollar y verificar el cumplimiento de procedimientos para comunicar las fallas en elprocesamiento de la informacin o los sistemas de comunicaciones, que permita tomar medidascorrectivas.h) Implementar los controles de seguridad definidos (ej., evitar software malicioso, accesos no


autorizados, etc.).i) Definir e implementar procedimientos para la administracin de medios informticos dealmacenamiento (ej., cintas, discos, etc.) e informes impresos, y verificar la eliminacin o destruccinsegura de los mismos, cuando proceda.j) Gestionar los incidentes de seguridad de la informacin de acuerdo a los procedimientosestablecidos.k) Otras que por naturaleza de las actividades de gestin de la seguridad de la informacin debanser realizadas.

2.4 Proceso de autorizacin para nuevos servicios de procesamiento de la informacin

a) Asignar un custodio o responsable para cualquier nuevo servicio a implementar, generalmente delrea peticionaria, incluyendo la definicin de las caractersticas de la informacin y la definicin delos diferentes niveles de acceso por usuario.b) Autorizar explcitamente por parte del custodio el uso de un nuevo servicio segn las definicionesanteriores.c) Solicitar la autorizacin del oficial de seguridad de la informacin el uso del nuevo serviciogarantizando el cumplimiento de las polticas de seguridad de la informacin y normas definidas eneste documento.d) Evaluar la compatibilidad a nivel de hardware y software con sistemas internos.e) Implementar los controles necesarios para el uso de nuevos servicios para procesar informacinde la institucin sean personales o de terceros para evitar nuevas vulnerabilidades.

2.5. Acuerdos sobre Confidencialidad (*)a) Elaborar y aprobar los acuerdos de confidencialidad y de no-divulgacin de informacin conformela Constitucin, las leyes, las necesidades de proteccin de informacin de la institucin y el EGSI.b) Controlar que los acuerdos de confidencialidad de la informacin, documento fsico o electrnico,sean firmados de forma manuscrita o electrnica por todo el personal de la institucin sin excepcin.c) Gestionar la custodia de los acuerdos firmados, en los expedientes, fsicos o electrnicos, de cadafuncionario, por parte del rea de gestin de recursos humanos.d) Controlar que la firma de los acuerdos de confidencialidad sean parte de los procedimientos deincorporacin de nuevos funcionarios a la institucin, sin excepcin.e) Gestionar la aceptacin, entendimiento y firma de acuerdos de confidencialidad y de nodivulgacin de informacin por parte de terceros (ej., contratistas, proveedores, pasantes, entreotros) que deban realizar labores dentro de la institucin sea por medios lgicos o fsicos y queinvolucren el manejo de informacin.2.6 Contacto con las autoridades

a) Establecer un procedimiento que especifique cundo y a cuales autoridades se reportarnincidentes derivados del infringimiento de la poltica de seguridad o por acciones de seguridad decualquier origen (ej., SNAP, fiscala, polica, bomberos, 911, otros). Todo incidente de seguridad dela informacin que sea considerado crtico deber ser reportado al oficial de seguridad y este a suvez al comit de seguridad y la mxima autoridad segn los casos.b) Reportar oportunamente los incidentes identificados de la seguridad de la informacin a la SNAPsi se sospecha de incumplimiento de la ley o que provoquen indisponibilidad o continuidad.c) Identificar y mantener actualizados los datos de contacto de proveedores de bienes o servicios detelecomunicaciones o de acceso a la Internet para gestionar potenciales incidentes.d) Establecer acuerdos para compartir informacin con el objeto de mejorar la cooperacin y lacoordinacin de los temas de la seguridad. Tales acuerdos deberan identificar los requisitos para laproteccin de la informacin sensible.

2.7 Contactos con grupos de inters especiales

a) Mantener contacto apropiados con organizaciones pblicas y privadas, asociaciones profesionales


y grupos de inters especializados en seguridad de la informacin para mejorar el conocimientosobre mejores prcticas y estar actualizado con informacin pertinente a gestin de la seguridad.b) Recibir reportes advertencias oportunas de alertas, avisos y parches relacionados con ataques yvulnerabilidades de organizaciones pblicas, privadas y acadmicas reconocidas por su aporte a lagestin de la seguridad de la informacin.c) Establecer contactos entre oficiales y responsables de la seguridad de la informacin paracompartir e intercambiar informacin acerca de nuevas tecnologas, productos, amenazas ovulnerabilidades;.

2.8 Revisin independiente de la seguridad de la informacin

a) Ejecutar revisiones independientes de la gestin de la seguridad a intervalos planificados ocuando ocurran cambios significativos en la implementacinb) Identificar oportunidades de mejora y la necesidad de cambios en el enfoque de la seguridad,incluyendo la poltica y los objetivos de control a partir de las revisiones independientes. La revisindeber contemplar las actuaciones de la alta direccin, del comit de seguridad y del oficial deseguridad en materia de gestin de la seguridad.c) Registrar y documentar todas las revisiones independientes de la gestin de la seguridad de lainformacin que la institucin realice.

2.9 Identificacin de los riesgos relacionados con las partes externas

a) Identificar y evaluar los riesgos para la informacin y los servicios de procesamiento deinformacin de la entidad en los procesos que involucran terceras partes e implementar los controlesapropiados antes de autorizar el acceso.b) Bloquear el acceso de la tercera parte a la informacin de la organizacin hasta haberimplementado los controles apropiados y, cuando es viable, haber firmado un contrato que defina lostrminos y las condiciones del caso as como acuerdos de confidencialidad respecto de lainformacin a la tendrn acceso.c) Garantizar que la tercera parte es consciente de sus obligaciones y acepta las responsabilidades ydeberes involucrados en el acceso, procesamiento, comunicacin o gestin de la informacin y losservicios de procesamiento de informacin de la organizacin.d) Registrar y mantener las terceras partes vinculadas a la entidad considerando los siguientes tipos:- proveedores de servicios (ej., Internet, proveedores de red, servicios telefnicos, servicios demantenimiento, energa elctrica, agua, entre otros);- servicios de seguridad;- contratacin externa de proveedores de servicios y/u operaciones;- asesores y auditores externos;- limpieza, alimentacin y otros servicios de soporte contratados externamente;- personal temporal (estudiantes, pasantes, funcionarios pblicos externos);- ciudadanos/clientes;- Otros

2.10 Consideraciones de la seguridad cuando se trata con ciudadanos o clientes

a) Identificar requisitos de seguridad antes de facilitar servicios a ciudadanos o clientes de entidadesgubernamentales que utilicen o procesen informacin de los mismos o de la entidad. Se podrutilizar los siguientes criterios:

- proteccin de activos de informacin;- descripcin del producto o servicio;- las diversas razones, requisitos y beneficios del acceso del cliente;- poltica de control del acceso;- convenios para gestin de inexactitudes de la informacin, incidentes de la seguridad de lainformacin y violaciones de la seguridad;


- descripcin de cada servicio que va a estar disponible;- nivel de servicio comprometido y los niveles inaceptables de servicio;- el derecho a monitorear y revocar cualquier actividad relacionada con los activos de laorganizacin;- las respectivas responsabilidades civiles de la organizacin y del cliente;- las responsabilidades relacionadas con asuntos legales y la forma en que se garantiza elcumplimiento de los requisitos legales- derechos de propiedad intelectual y asignacin de derechos de copia y la proteccin de cualquiertrabajo colaborativos- proteccin de datos en base la Constitucin y leyes nacionales, particularmente datos personales ofinancieros de los ciudadanos

2.11 Consideraciones de la seguridad en los acuerdos con terceras partes

a) Garantizar que exista un entendimiento adecuado en los acuerdos que se firmen entre laorganizacin y la tercera parte con el objeto de cumplir los requisitos de la seguridad de la entidad.Refirase a la norma INEN ISO/IEC para los aspectos claves a considerar en este control.

3. GESTION DE LOS ACTIVOS

3.1. Inventario de activos

Inventariar los activos primarios, en formatos fsicos y/o electrnicos:

a) Los procesos estratgicos, claves y de apoyo de la institucin.b) Las normas y reglamentos que son la razn de ser de la institucin.c) Planes estratgicos y operativos de la institucin y reas especficas.d) Los archivos generados por los servidores pblicos, tanto de manera fsica como electrnica,razn de ser de la funcin que desempean en la institucin.e) Los manuales e instructivos de sistemas informticos: instalacin, gua de usuario, operacin,administracin, mantenimiento, entre otros.f) De la operacin de los aplicativos informticos de los servicios informticos: datos y meta-datosasociados, archivos de configuracin, cdigo fuente, respaldos, versiones, etc.g) Del desarrollo de aplicativos de los servicios informticos: actas de levantamiento derequerimientos, documento de anlisis de requerimientos, modelos entidad - relacin, diseo decomponentes, casos de uso, diagramas de flujo y estado, casos de prueba, etc.h) Del soporte de aplicativos de los servicios informticos: tickets de soporte, reportes fsicos yelectrnicos, evaluaciones y encuestas, libros de trabajo para capacitacin, etc.i) De la imagen corporativa de la institucin: manual corporativo (que incluye manual de marca yfuentes en formato electrnico de logos), archivos multimedia, tarjetas de presentacin, volantes,banners, trpticos, etc.

Inventariar los activos de soporte de Hardware (*):j) Equipos mviles: telfono inteligente (smartphone), telfono celular, tableta, computador porttil,asistente digital personal (PDA), etc.k) Equipos fijos: servidor de torre, servidor de cuchilla, servidor de rack, computador de escritorio,computadoras porttiles, etc.l) Perifricos de entrada: teclado, ratn, micrfono, escner plano, escner de mano, cmara digital,cmara web, lpiz ptico, pantalla de toque, etc.m) Perifricos de salida: monitor, proyector, audfonos, parlantes, impresora lser, impresora deinyeccin de tinta, impresora matricial, impresora trmica, plter, mquina de fax, etc.n) Perifricos y dispositivos de almacenamiento: sistema de almacenamiento (NAS, SAN), librera decintas, cintas magnticas, disco duro porttil, disco flexible, grabador de discos (CD, DVD, Blu-ray),CD, DVD, Blu-ray, memoria USB, etc.o) Perifricos de comunicaciones: tarjeta USB para redes inalmbricas (Wi-Fi, Bluetooth, GPRS,


HSDPA), tarjeta PCMCIA para redes inalmbricas (Wi-Fi, Bluetooth, GPRS, HSDPA), tarjeta USBpara redes almbricas/inalmbricas de datos y de telefona, etc.p) Tableros: de transferencia (bypass) de la unidad ininterrumpible de energa (UPS), de salidas deenerga elctrica, de transferencia automtica de energa, etc.q) Sistemas: de control de accesos, de aire acondicionado, automtico de extincin de incendios, decircuito cerrado de televisin, etc.

Inventariar los activos de soporte de Software (*):r) Sistemas operativos.s) Software de servicio, mantenimiento o administracin de: gabinetes de servidores de cuchilla,servidores (estantera/rack, torre, virtuales), sistema de redes de datos, sistemas de almacenamiento(NAS, SAN), telefona, sistemas (de UPS, grupo electrgeno, de aire acondicionado, automtico deextincin de incendios, de circuito cerrado de televisin), etc.t) Paquetes de software o software base de: suite de ofimtica, navegador de Internet, cliente decorreo electrnico, mensajera instantnea, edicin de imgenes, vdeo conferencia, servidor (proxy,de archivos, de correo electrnico, de impresiones, de mensajera instantnea, de aplicaciones, debase de datos), etc.u) Aplicativos informticos del negocio.Inventariar los activos de soporte de redes (*):v) Cables de comunicaciones (interfaces: RJ-45 o RJ-11, SC, ST o MT-RJ, interfaz V35, RS232,USB, SCSI, LPT), panel de conexin (patch panel), tomas o puntos de red, racks (cerrado o abierto,de piso o pared), etc.w) Switchs (de centros de datos, de acceso, de borde, de gabinete de servidores, access-ppoint,transceiver, equipo terminal de datos, etc.).x) Ruteador (router), cortafuego (firewall), controlador de red inalmbrica, etc.y) Sistema de deteccin/prevencin de intrusos (IDS/IPS), firewall de aplicaciones web, balanceadorde carga, switch de contenido, etc.

Inventariar los activos referentes a la estructura organizacional:

z) Estructura organizacional de la institucin, que incluya todas las unidades administrativas con loscargos y nombres de las autoridades: rea de la mxima autoridad, rea administrativa, rea derecursos humanos, rea financiera, etc.

aa) Estructura organizacional del rea de las TIC, con los cargos y nombres del personal:administrador (de servidores, de redes de datos, de respaldos de la informacin, de sistemas dealmacenamiento, de bases de datos, de seguridades, de aplicaciones del negocio, de recursosinformticos, etc.), lder de proyecto, personal de capacitacin, personal de mesa de ayuda, personalde aseguramiento de calidad, programadores (PHP, Java, etc.).bb) Inventario referente a los sitios y edificaciones de la institucin: planos arquitectnicos,estructurales, elctricos, sanitarios, de datos, etc.cc) Direccin fsica, direccin de correo electrnico, telfonos y contactos de todo el personal de lainstitucin.dd) De los servicios esenciales: nmero de lneas telefnicas fijas y celulares, proveedor de serviciosde Internet y transmisin de datos, proveedor del suministro de energa elctrica, proveedor delsuministro de agua potable, etc.

Los activos debern ser actualizados ante cualquier modificacin de la informacin registrada yrevisados con una periodicidad no mayor a seis meses.

3.2. Responsable de los activos

a) Asignar los activos asociados (o grupos de activos) a un individuo que actuar como Responsable


del Activo. Por ejemplo, debe haber un responsable de los computadores de escritorio, otro de loscelulares, otro de los servidores del centro de datos, etc. El trmino "responsable" no implica que lapersona tenga realmente los derechos de propiedad de los activos. El Responsable del Activo tendrlas siguientes funciones:

- Elaborar el inventario de los activos a su cargo y mantenerlo actualizado.- Delegar tareas rutinarias, tomando en cuenta que la responsabilidad sigue siendo del responsable.- Administrar la informacin dentro de los procesos de la institucin a los cuales ha sido asignado.- Elaborar las reglas para el uso aceptable del mismo e implantarlas previa autorizacin de laautoridad correspondiente.- Clasificar, documentar y mantener actualizada la informacin y los activos, y definir los permisos deacceso a la informacin.

b) Consolidar los inventarios de los activos a cargo del Responsable del Activo, por rea o unidadorganizativa.

3.3. Uso aceptable de los activos

a) Identificar, documentar e implementar las reglas sobre el uso aceptable de los activos asociadoscon los servicios de procesamiento de la informacin. Para la elaboracin de las reglas, elResponsable del Activo deber tomar en cuenta las actividades definidas en los controlescorrespondientes a los mbitos de "Intercambio de Informacin" y "Control de Acceso", donde seaaplicable.b) El Oficial de Seguridad de la Informacin es el encargado de asegurar que los lineamientos parala utilizacin de los recursos de las Tecnologas de la Informacin contemplen los requerimientos deseguridad establecidos, segn la criticidad de la informacin que procesan.c) La informacin y documentos generados en la institucin y enviados por cualquier medio oherramienta electrnica son propiedad de la misma institucin.d) Reglamentar el uso de correo electrnico institucional (*):- Este servicio debe utilizarse exclusivamente para las tareas propias de las funciones que sedesarrollan en la institucin y no debe utilizarse para ningn otro fin.- Cada persona es responsable tanto del contenido del mensaje enviado como de cualquier otrainformacin que adjunte.- Todos los mensajes deben poder ser monitoreados y conservados permanentemente por parte delas institucin.- Toda cuenta de correo electrnico debe estar asociada a una nica cuenta de usuario.- La conservacin de los mensajes se efectuar en carpetas personales, para archivar la informacinde acceso exclusivo del usuario y que no debe compartirse con otros usuarios. Debe definirse unlmite de espacio mximo.- Toda la informacin debe ser gestionado de forma centralizados y no en las estaciones de trabajode los usuarios.- Todo sistema debe contar con las facilidades automticas que notifiquen al usuario cuando unmensaje enviado por l no es recibido correctamente por el destinatario, describiendodetalladamente el motivo del error.- Deben utilizarse programas que monitoreen el accionar de virus informticos tanto en mensajescomo en archivos adjuntos, antes de su ejecucin.- Todo usuario es responsable por la destruccin de los mensajes con origen desconocido, y asumela responsabilidad por las consecuencias que pueda ocasionar la ejecucin de los archivos adjuntos.En estos casos, no deben contestar dichos mensajes y deben enviar una copia al Oficial deSeguridad de la Informacin para que efecte el seguimiento y la investigacin necesaria.- Para el envo y la conservacin de la informacin, debe implementarse el cifrado (criptografa) dedatos.- Todo usuario es responsable de la cantidad y tamao de mensajes que enve. Debe controlarse elenvo no autorizado de correos masivos.


e) Reglamentar el acceso y uso de la Internet y sus aplicaciones/servicios (*):- Este servicio debe utilizarse exclusivamente para las tareas propias de la funcin desarrollada en lainstitucin, y no debe utilizarse para ningn otro fin.- Cada usuario es responsable de la informacin y contenidos a los que accede y de aquella quecopia para conservacin en los equipos de la institucin.- Debe limitarse a los usuarios el acceso a portales, aplicaciones o servicios de la Internet y la Webque pudieren perjudicar los intereses y la reputacin de la institucin. Especficamente, se debebloquear el acceso por medio de dispositivos fijos y/o mviles a aquellos portales, aplicaciones oservicios de la Internet y la Web sobre pornografa, racismo, violencia, delincuencia o de contenidosofensivos y contrarios a los intereses, entre otros, y valores de la institucin o que impactennegativamente en la productividad y trabajo de la institucin (ej., mensajera instantnea-chats, redessociales, video, otros) y particularmente a los que atenten a la tica y moral.- El Oficial de Seguridad de la Informacin debe elaborar, poner en marcha y controlar la aplicacinde un procedimiento institucional para acceso y uso de la Internet y la Web por parte de todofuncionario sin excepcin, y en el cual se acepten las condiciones aqu especificadas y otras que lainstitucin considere apropiadas.- Todos los accesos deben poder ser sujetos de monitoreo y conservacin permanente por parte dela institucin.- El Oficial de Seguridad de la Informacin, puede acceder a los contenidos monitoreados, con el finde asegurar el cumplimiento de las medidas de seguridad.- La institucin podr en cualquier momento bloquear o limitar el acceso y uso de la Internet a losfuncionarios o a terceros que accedan tanto por medio almbrico como inalmbrico.- Se debe bloquear y prohibir el acceso y uso de servicios de correo electrnico de libre uso talescomo: Gmail, Hotmail, Yahoo, Facebook, entre otros.- Se prohbe expresamente a las entidades de la Administracin Pblica la contratacin, acceso yuso de servicios de correo electrnico en la Internet (Nube), para uso institucional o de servidorespblicos, con empresas privadas o pblicas cuyos centros de datos, redes (salvo la Internet),equipos, software base y de gestin de correo electrnico y cualquier elemento tecnolgiconecesario, se encuentren fuera del territorio nacional; y adicionalmente, si las condiciones de losservicios que tales empresas prestaren no se someten a la Constitucin y Leyes Ecuatorianas.

f) Reglamentar el uso de los sistemas de video-conferencia (*):- Definir un responsable para administrar la video-conferencia.- Definir y documentar el procedimiento de acceso a los ambiente de pruebas y produccin.- Elaborar un documento tipo "lista de chequeo" (check-list) que contenga los parmetros deseguridad para el acceso a la red interministerial que soporta el servicios de video-conferencia.- Crear contraseas para el ingreso a la configuracin de los equipos y para las salas virtuales devideo-conferencia.- Deshabilitar la respuesta automtica de los equipos de video-conferencia.

3.4. Directrices de clasificacin de la informacin

a) Clasificar la informacin como pblica o confidencial. (*)b) Elaborar y aprobar un catlogo de clasificacin de la informacin. Se la deber clasificar entrminos de su valor, de los requisitos legales, de la sensibilidad y la importancia para la institucin.El nivel de proteccin se puede evaluar analizando la confidencialidad, la integridad y ladisponibilidad

3.5. Etiquetado y manejo de la informacina) Incluir datos mediante abreviaturas, acerca del tipo de activo y su funcionalidad para la generacinde etiquetas.b) En caso de repetirse la etiqueta del activo, deber aadirse un nmero secuencial nico al final.c) En caso de documentos en formato electrnico, la etiqueta deber asociarse a un metadato nico,


pudiendo ser ste un cdigo MD5.d) Las etiquetas generadas debern estar incluidas en el inventario, asociadas a su respectivoactivo.e) Los responsables de los activos supervisarn el cumplimiento del proceso de generacin deetiquetas y rotulacin de los activos.f) Para el caso de etiquetas fsicas, los responsables de los activos verificarn con una periodicidadno mayor a 6 meses, que los activos se encuentren rotulados y con etiquetas legibles.g) En caso de destruccin de un activo, la etiqueta asociada a ste debe mantenerse en el inventariorespectivo con los registros de las acciones realizadas.

4. SEGURIDAD DE LOS RECURSOS HUMANOS

4.1. Funciones y responsabilidades

a) Verificar a los candidatos, previa su contratacin, el certificado de antecedentes penales y revisarla informacin entregada en su hoja de vida (*).b) Entregar formalmente a los funcionarios sus funciones y responsabilidades (*).c) Notificar al Oficial de Seguridad de la Informacin los permisos necesarios para activacin yacceso a los activos de informacin.d) Informar al Oficial de Seguridad de la Informacin sobre los eventos potenciales, intentos deintrusin u otros riesgos que pueden afectar la seguridad de la informacin de la institucin.

4.2 Seleccin

a) Verificar antecedentes de candidatos a ser empleados, contratistas o usuarios de terceras partes,o designaciones y promociones de funcionarios de acuerdo con los reglamentos, la tica y las leyespertinentes, y deben ser proporcionales a la naturaleza y actividades de la entidad pblica, a laclasificacin de la informacin a la cual se va a tener acceso y los riesgos percibidos. No debeentenderse este control como discriminatorio en ningn aspecto.b) Definir los criterios y las limitaciones para las revisiones de verificacin de personal actual (pormotivos de designacin o promocin), potenciales empleados y de terceras partes.c) Informar del procedimiento de revisin y solicitar el consentimiento al personal actual (por motivosde designacin o promocin), potenciales empleados y de terceras partes.4.3. Trminos y condiciones laborales

a) Realizar la firma de un acuerdo de confidencialidad o no-divulgacin, antes de que los empleados,contratistas y usuarios de terceras partes, tengan acceso a la informacin. Dicho acuerdo debeestablecer los parmetros tanto de vigencia del acuerdo, informacin confidencial referida, formas deacceso, responsabilidades y funciones.b) Socializar los derechos y responsabilidades legales de los empleados, los contratistas y cualquierotro usuario sobre la proteccin de datos; dejando constancia de lo actuado a travs de hojas deregistro, informes o similares, que evidencie la realizacin de la misma,c) Responsabilizar al personal sobre el manejo y creacin de la informacin resultante durante elcontrato laboral con la institucin.

4.4. Responsabilidades de la direccin a cargo del funcionario

a) Explicar y definir las funciones y las responsabilidades respecto a la seguridad de la informacin,antes de otorgar el acceso a la informacin, contraseas o sistemas de informacin sensibles (*).b) Lograr la concienciacin sobre la seguridad de la informacin correspondiente a sus funciones yresponsabilidades dentro de la institucin.c) Acordar los trminos y las condiciones laborales, las cuales incluyen la poltica de la seguridad dela informacin de la institucin y los mtodos apropiados de trabajo.d) Verificar el cumplimiento de las funciones y responsabilidades respecto a la seguridad de lainformacin mediante la utilizacin de reportes e informes.


4.5. Educacin, formacin y sensibilizacin en seguridad de la informacin

a) Socializar y capacitar de forma peridica y oportuna sobre las normas y los procedimientos para laseguridad, las responsabilidades legales y los controles de la institucin, as como en la capacitacindel uso correcto de los servicios de informacin.

4.6. Proceso disciplinario

a) Garantizar el tratamiento imparcial y correcto para los empleados que han cometido violacionescomprobadas a la seguridad de la informacin.b) Considerar sanciones graduales, dependiendo de factores tales como la naturaleza, cantidad y lagravedad de la violacin, as como su impacto en el negocio, el nivel de capacitacin del personal, lalegislacin correspondiente (ej., Ley de Comercio Electrnico, Firmas Electrnicas y Mensajes deDatos, EGSI, etc.,) y otros factores existentes en los procedimientos propios de la entidad.4.7. Responsabilidades de terminacin del contrato

a) Comunicar oficialmente al personal las responsabilidades para la terminacin de su relacinlaboral, lo cual debe incluir los requisitos permanentes para la seguridad de la informacin y lasresponsabilidades legales o contenidas en cualquier acuerdo de confidencialidadb) Los cambios en la responsabilidad o en el contrato laboral debern ser gestionados como laterminacin de la responsabilidad o el contrato laboral respectivo, y la nueva responsabilidad ocontrato laboral se deber instaurar en el contrato de confidencialidad respectivo.c) Previa la terminacin de un contrato se deber realizar la transferencia de la documentacin einformacin de la que fue responsable al nuevo funcionario a cargo, en caso de ausencia, al Oficialde Seguridad de la Informacin.d) Los contratos del empleado, el contratista o el usuario de terceras partes, deben incluir lasresponsabilidades vlidas an despus de la terminacin del contrato laboral.

4.8. Devolucin de activos

a) Formalizar el proceso de terminacin del contrato laboral, para incluir la devolucin de software,documentos corporativos y los equipos. Tambin es necesaria la devolucin de otros activos de lainstitucin tales como los dispositivos de cmputo mviles, tarjetas de crdito, las tarjetas de acceso,tokens USB con certificados de electrnicos, certificados electrnicos en archivo, memorias flash,telfonos celulares, cmaras, manuales, informacin almacenada en medios electrnicos y otrosestipulados en las polticas internas de cada entidad.b) Aplicar los debidos procesos para garantizar que toda la informacin generada por el empleado,contratista o usuario de terceras partes dentro de la institucin, sea transferida, archivada oeliminada con seguridad.c) Realizar el proceso de traspaso de conocimientos por parte del empleado, contratistas o terceraspartes, luego de la terminacin de su contrato laboral, para la continuacin de las operacionesimportantes dentro de la institucin.

4.9. Retiro de los privilegios de acceso

a) Retirar los privilegios de acceso a los activos de informacin y a los servicios de procesamiento deinformacin (ej., sistema de directorio, correo electrnico, accesos fsicos, aplicaciones de software,etc.,) inmediatamente luego de que se comunique formalmente al Oficial de Seguridad de laInformacin formalmente la terminacin de la relacin laboral por parte del rea correspondiente.

5. SEGURIDAD FISICA Y DEL ENTORNO

5.1. Permetro de la seguridad fsica


a) Definir y documentar claramente los permetros de seguridad (barreras, paredes, puertas deacceso controladas con tarjeta, etc.), con una ubicacin y fortaleza adecuadas.b) Definir una rea de recepcin, con personal y otros medios para controlar el acceso fsico al lugaro edificio (*).c) Extender las barreras fsicas necesarias desde el piso hasta el techo a fin de impedir el ingresoinapropiado y la contaminacin del medio ambiente.d) Disponer de alarmas de incendio y puertas de evacuacin debidamente monitoreadas quecumplan normas nacionales e internacionales.e) Disponer de un sistema de vigilancia mediante el uso de circuitos cerrados de televisin.f) Aislar los ambientes de procesamiento de informacin de los ambientes proporcionados porterceros.

5.2. Controles de acceso fsico

a) Supervisar la permanencia de los visitantes en las reas restringidas y registrar la hora y fecha desu ingreso y salida (*).b) Controlar y limitar el acceso, exclusivamente a personal autorizado, a la informacin clasificada ya las instalaciones de procesamiento de informacin. Se debe utilizar controles de autenticacincomo tarjetas de control de acceso ms el nmero de identificacin personal.c) Implementar el uso de una identificacin visible para todo el personal y visitantes, quienes debernser escoltados por una persona autorizada para el trnsito en las reas restringidas (*).d) Revisar y actualizar peridicamente los derechos de accesos a las reas restringidas, mismos quesern documentados y firmados por el responsable.

5.3. Seguridad de oficinas, recintos e instalaciones

a) Aplicar los reglamentos y las normas en materia de sanidad y seguridad.b) Proteger las instalaciones claves de tal manera que se evite el acceso al pblico (*).c) Establecer que los edificios o sitios de procesamiento sean discretos y tengan un sealamientomnimo apropiado.d) Ubicar las impresoras, copiadoras, etc., en un rea protegida(*).e) Disponer que las puertas y ventanas permanezcan cerradas, especialmente cuando no hayavigilancia.

5.4. Proteccin contra amenazas externas y ambientales.

a) Almacenar los materiales combustibles o peligrosos a una distancia prudente de las reasprotegidas.b) Ubicar los equipos de repuesto y soporte a una distancia prudente para evitar daos en caso dedesastre que afecte las instalaciones principales.c) Suministrar el equipo apropiado contra incendios y ubicarlo adecuadamente.d) Realizar mantenimientos de las instalaciones elctricas y UPS.(*)e) Realizar mantenimientos en los sistemas de climatizacin y ductos de ventilacin (*).f) Adoptar controles para minimizar el riesgo de amenazas fsicas potenciales como robo, incendio,explosin, humo, agua, polvo, vibracin, efectos qumicos, interferencia del suministro elctrico einterferencia a las comunicaciones.

5.5. Trabajo en reas segurasa) Dar a conocer al personal, la existencia de un rea segura.b) Evitar el trabajo no supervisado para evitar actividades maliciosas.c) Revisar peridicamente y disponer de un bloqueo fsico de las reas seguras vacas.d) No permitir equipos de grabacin, cmaras, equipos de vdeo y audio, dispositivos mviles, etc., amenos de que estn autorizados (*).5.6. Areas de carga, despacho y acceso pblico


a) Permitir el acceso al rea de despacho y carga, nicamente a personal identificado y autorizado(*).b) Descargar y despachar los suministros, nicamente en el rea de descarga y despacho.c) Asegurar las puertas externas e internas de despacho y carga.d) Inspeccionar el material que llega para determinar posibles amenazas.e) Registrar el material que llega, de acuerdo a los procedimientos de gestin de activos.5.7. Ubicacin y proteccin de los equipos

a) Ubicar los equipos de modo que se elimine el acceso innecesario a las reas de trabajorestringidas.b) Aislar los servicios de procesamiento de informacin con datos sensibles y elementos querequieran proteccin especial, para reducir el riesgo de visualizacin de la informacin de personasno autorizadas.c) Establecer directrices para no comer, beber y fumar en las cercanas de las reas deprocesamiento de informacin (*).d) Monitorear las condiciones ambientales de temperatura y humedad.e) Tener proteccin contra descargas elctricas en todas las edificaciones de la institucin y disponerde filtros protectores en el suministro de energa y en las lneas de comunicacin.f) Disponer de mtodos especiales de proteccin para equipos en ambientes industriales.5.8. Servicios de suministro

a) Implementar y documentar los servicios de electricidad, agua, calefaccin, ventilacin y aireacondicionado, suministrados a la institucin.b) Inspeccionar regularmente todos los sistemas de suministro.c) Tener un sistema de suministro de energa sin interrupcin (UPS) o al menos permitir elcierre/apagado ordenado de los servicios y equipos que soportan las operaciones crticas de losservicios informticos de la institucin (*).d) Tener al alcance el suministro de combustible para que el grupo electrgeno pueda funcionarmientras dure la suspensin del suministro elctrico pblico.e) Disponer de los interruptores de emergencia cerca de las salidas, para suspender el paso deenerga elctrica, en caso de un incidente o problema.

5.9. Seguridad del cableado

a) Disponer de lneas de fuerza (energa) y de telecomunicaciones subterrneas protegidas, encuanto sea posible.b) Proteger el cableado de la red contra la interceptacin o dao.c) Separar los cables de energa de los cables de comunicaciones.d) Identificar y rotular los cables de acuerdo a normas locales o internacionales para evitar errores enel manejo.e) Disponer de documentacin, diseos/planos y la distribucin de conexiones de: datosalmbricas/inalmbricas (locales y remotas), voz, elctricas polarizadas, etc. (*).f) Controlar el acceso a los mdulos de cableado de conexin (patch panel) y cuartos de cableado.5.10. Mantenimiento de los equipos

a) Brindar mantenimientos peridicos a los equipos y dispositivos, de acuerdo a las especificacionesy recomendaciones del proveedor.b) Realizar el mantenimiento de los equipos nicamente con personal calificado y autorizado.c) Conservar los registros de los mantenimientos preventivos, correctivos y fallas relevantes osospechosas.d) Establecer controles apropiados para realizar mantenimientos programados y emergentes.e) Gestionar mantenimientos planificados con hora de inicio, fin, impacto y responsables y poner


previamente en conocimiento de administradores y usuarios finales.

5.11. Seguridad de los equipos fuera de las instalaciones

a) Custodiar los equipos y medios que se encuentren fuera de las instalaciones de la institucin.Tomar en cuenta las instrucciones del fabricante para la proteccin de los equipos que seencuentran fuera de estas instalaciones.b) Disponer de controles para el trabajo que se realiza en equipos fuera de las instalaciones,mediante una evaluacin de riesgos.c) Establecer una cobertura adecuada del seguro, para proteger los equipos que se encuentran fuerade las instalaciones.

5.12. Seguridad en la reutilizacin o eliminacin de los equipos

a) Destruir, borrar o sobrescribir los dispositivos que contienen informacin sensible utilizandotcnicas que permitan la no recuperacin de la informacin original.b) Evaluar los dispositivos deteriorados que contengan informacin sensible antes de enviar areparacin, borrar la informacin o determinar si se debera eliminar fsicamente el dispositivo.

5.13. Retiro de activos de la propiedad

a) Tener autorizacin previa para el retiro de cualquier equipo, informacin o software.b) Identificar a los empleados, contratistas y usuarios de terceras partes, que tienen la autorizacinpara el retiro de activos de la institucin.c) Establecer lmites de tiempo para el retiro de equipos y verificar el cumplimiento en el momento dela devolucin.d) Registrar cuando el equipo o activo sea retirado y cuando sea devuelto.6. GESTION DE COMUNICACIONES Y OPERACIONES

6.1. Documentacin de los procedimientos de Operacin

a) Documentar el procesamiento y manejo de la informacin.b) Documentar el proceso de respaldo y restauracin de la informacin.c) Documentar todos los procesos de los servicios de procesamiento de datos, incluyendo lainterrelacin con otros sistemas.d) Documentar las instrucciones para el manejo de errores y otras condiciones excepcionales quepueden surgir durante la ejecucin de las tareas.e) Documentar los contactos de soporte, necesarios en caso de incidentes (*).f) Documentar las instrucciones para el manejo de medios e informes especiales, incluyendoprocedimientos para la eliminacin segura de informes de tareas fallidas.g) Documentar los procedimientos para reinicio y recuperacin del sistema en caso de fallas.h) Documentar los registros de auditora y de la informacin de registro del sistema.6.2. Gestin del Cambio

a) Identificar y registrar los cambios significativos.b) Evaluar el impacto de dichos cambios.c) Aprobar de manera formal los cambios propuestos.d) Planificar el proceso de cambio.e) Realizar pruebas del cambio.f) Comunicar el detalle de cambios a todas las personas involucradas.g) Identificar responsabilidades por la cancelacin de los cambios fallidos y la recuperacin respectode los mismos.h) Establecer responsables y procedimientos formales del control de cambios en los equipos ysoftware. Los cambios deben efectuarse nicamente cuando haya razn vlida para el negocio,


como: cambio de versin, correccin de vulnerabilidades, costos, licenciamiento, nuevo hardware,etc.

6.3. Distribucin de funciones

a) Distribuir las funciones y las reas de responsabilidad, para reducir oportunidades demodificaciones no autorizadas, no intencionales, o el uso inadecuado de los activos de la institucin.b) Limitar el acceso a modificar o utilizar los activos sin su respectiva autorizacin.c) Establecer controles de monitoreo de actividades, registros de auditora y supervisin por parte dela direccin.

6.4. Separacin de las instancias de Desarrollo, Pruebas, Capacitacin y Produccin.

a) Definir y documentar diferentes entornos para desarrollo, pruebas, capacitacin y produccin.Para el caso que no se pueda definir diferentes entornos con recursos fsicos independientes, sedebe mantener diferentes directorios con su respectiva versin y delegacin de acceso.b) Aislar los ambientes de desarrollo, pruebas, capacitacin y produccin.c) Controlar la instalacin y uso de herramientas de desarrollo de software y/o acceso a bases dedatos y redes en los equipos informticos, salvo que sean parte de las herramientas de uso estndaro su instalacin sea autorizada de acuerdo a un procedimiento expresamente definido.d) Implantar ambientes de prueba, iguales en capacidad, a los ambientes de produccin.e) Utilizar sistemas de autenticacin y autorizacin independientes para las diversas instancias oambientes.f) Definir perfiles de usuario para las diferentes instancias o ambientes.g) Aislar los datos sensibles de los ambientes de desarrollo, pruebas y capacitacinh) Permitir al personal de desarrollo de software el acceso al entorno de produccin, nicamente encaso de extrema necesidad, con la autorizacin explcita correspondiente.

6.5. Presentacin del Servicio.

a) Establecer controles sobre definiciones del servicio y niveles de prestacin del servicio, para quesean implementados, mantenidos y operados por terceros.b) Establecer controles de cumplimiento de terceros, que garanticen la capacidad de servicio, planesejecutables y diseos para la continuidad del negocio, en caso de desastres.6.6. Monitoreo y revisin de los servicios, por terceros.

a) Identificar los sistemas sensibles o crticos que convenga tener dentro o fuera de la institucin.b) Monitorear los niveles de desempeo de los servicios para verificar el cumplimiento de losacuerdos (*).c) Analizar los reportes de servicios, reportes de incidentes elaborados por terceros y acordarreuniones peridicas segn los acuerdos (*).d) Revisar y verificar los registros y pruebas de auditora de terceros, con respecto a eventos deseguridad, problemas de operacin, fallas relacionados con el servicio prestado (*).6.7. Gestin de los cambios en los servicios ofrecidos por terceros.

a) Establecer un proceso de gestin de cambios en los servicios ofrecidos por terceros, en eldesarrollo de aplicaciones, provisin de servicios de hardware, software, redes, otros.b) Coordinar el proceso de cambio cuando se necesita realizar cambios o mejoras a las redes y usode nuevas tecnologas en los servicios ofrecidos por terceros.c) Coordinar el proceso de cambio cuando se realice cambio de proveedores, cambio de ubicacinfsica en los servicios ofrecidos por terceros.

6.8. Gestin de la capacidad


a) Realizar proyecciones de los requerimientos de capacidad futura de recursos para asegurar eldesempeo de los servicios y sistemas informticos (*).b) Monitorear los recursos asignados para garantizar la capacidad y rendimiento de los servicios ysistemas informticos.c) Utilizar la informacin del monitoreo para la adquisicin, asignacin de recursos y evitar cuellos debotella.

6.9. Aceptacin del Sistema.

a) Verificar el desempeo y los requerimientos de cmputo necesarios para los nuevos sistemas.b) Considerar procedimientos de recuperacin y planes de contingencia.c) Poner a prueba procedimientos operativos de rutina segn normas definidas para el sistema.d) Garantizar la implementacin de un conjunto de controles de seguridad acordados.e) Asegurar que la instalacin del nuevo sistema no afecte negativamente los sistemas existentes,especialmente en perodos pico de procesamiento.f) Considerar el efecto que tiene el nuevo sistema en la seguridad global de la institucin.g) Capacitar sobre el funcionamiento y utilizacin del nuevo sistema.h) Para nuevos desarrollos, se debe involucrar a los usuarios y a todas las reas relacionadas, entodas las fases del proceso, para garantizar la eficacia operativa del sistema propuesto.

6.10. Controles contra cdigo malicioso.

a) Prohibir el uso de software no autorizado por la institucin. Elaborar un listado del softwareautorizado. (*).b) Establecer procedimientos para evitar riesgos en la obtencin/descarga de archivos y softwaredesde o a travs de redes externas o por cualquier otro medio.c) Instalar y actualizar peridicamente software de antivirus y contra cdigo malicioso (*).d) Mantener los sistemas operativos y sistemas de procesamiento de informacin actualizados conlas ltimas versiones de seguridad disponibles (*).e) Revisar peridicamente el contenido de software y datos de los equipos de procesamiento quesustentan procesos crticos de la institucin.f) Verificar antes de su uso, la presencia de virus en archivos de medios electrnicos o en archivosrecibidos a travs de redes no confiables.g) Redactar procedimientos para verificar toda la informacin relativa a software malicioso.h) Emitir boletines informativos de alerta con informacin precisa.i) Concienciar al personal acerca del problema de los virus y cmo proceder frente a los mismos.j) Contratar con el proveedor de Internet o del canal de datos los servicios de filtrado de: virus, spam,programas maliciosos (malware), en el permetro externo.6.11. Controles contra cdigos mviles

a) Aislar de forma lgica los dispositivos mviles en forma similar a lo que ocurre con las VLANs.b) Bloquear cdigos mviles no autorizados.c) Gestionar el cdigo mvil mediante procedimientos de auditora y medidas tcnicas disponibles.d) Establecer controles criptogrficos para autenticar de forma nica el cdigo mvil.6.12. Respaldo de la informacin.

a) Los responsables del rea de Tecnologas de la Informacin, Oficial de Seguridad de laInformacin junto con el propietario de la informacin, determinarn los procedimientos para elresguardo y contencin de la informacin (*).b) Definir el procedimiento de etiquetado de las copias de respaldo, identificando su contenido,periodicidad y retencin (*).c) Definir la extensin (completo/diferencial) y la frecuencia de los respaldos, de acuerdo a losrequisitos del negocio de la institucin (*).d) Establecer procedimientos de los medios de respaldo, una vez concluida su vida til recomendada


por el proveedor y la destruccin de estos medios.e) Guardar los respaldos en un sitio lejano, a una distancia suficiente para evitar cualquier daodebido a desastres en la sede principal de la institucin.f) Proporcionar un grado apropiado de proteccin fsica y ambiental.g) Establecer procedimientos regulares de verificacin y restauracin de los medios de respaldo paragarantizar sean confiables para uso de emergencia.h) Proteger la informacin confidencial por medio de encriptacin.i) Considerar los respaldos a discos y en el mismo sitio si se tiene suficientes recursos, ya que encaso de mantenimientos de los sistemas de informacin, es ms rpida su recuperacin.

6.13. Controles de las redes.

a) Separar el rea de redes del rea de operaciones, cuando la capacidad y recursos lo permitan.b) Designar procedimientos y responsabilidades para la gestin de equipos remotos como el caso dere-direccionamiento de puertos y accesos por VPNs, incluyendo el rea de operaciones y el rea deusuarios finales.c) Establecer controles especiales para salvaguardar la confidencialidad y la integridad de los datosque pasan por las redes pblicas, redes locales e inalmbricas; as como la disponibilidad de lasredes.d) Garantizar la aplicacin de los controles mediante actividades de supervisin.e) Disponer de un esquema de red de los enlaces de datos, Internet y redes locales, as como ladocumentacin respectiva.

6.14. Seguridad de los servicios de la red.

a) Incorporar tecnologa para la seguridad de los servicios de red como la autenticacin, encriptaciny controles de conexin de red (*).b) Implementar soluciones que proporcionen valor agregado a las conexiones y servicios de red,como la implementacin de firewalls, antivirus, etc. (*)c) Definir procedimientos para la utilizacin de los servicios de red para restringir el acceso a losservicios de red cuando sea necesario.

6.15. Gestin de los medios removibles.

a) Establecer un procedimiento para la gestin de todos los medios removibles.b) Tener autorizacin para la conexin de los medios removibles y registrar la conexin y retiro, parapruebas de auditora.c) Almacenar los medios removibles en un ambiente seguro, segn las especificaciones de losfabricantes.d) Evitar la prdida de informacin por deterioro de los medios.6.16. Eliminacin de los medios

a) Identificar los medios que requieran eliminacin segura.b) Almacenar y eliminar de forma segura los medios que contienen informacin sensible, como laincineracin, trituracin o borrado de los datos.c) Establecer procedimientos para seleccin del contratista que ofrece servicios de recoleccin yeliminacin del papel, equipos y medios.d) Registrar la eliminacin de los medios para mantener pruebas de auditora.6.17. Procedimientos para el manejo de la informacina) Establecer procedimientos para el manejo y etiquetado de todos los medios de acuerdo a su nivelde clasificacin.b) Establecer controles de acceso para evitar el acceso de personal no autorizado.c) Tener un registro actualizado de los receptores de los medios.


d) Establecer controles de proteccin segn el nivel de sensibilidad de los datos que reside en lamemoria temporal.e) Almacenar los medios segn especificaciones del fabricante.6.18. Seguridad de la documentacin del sistema.

a) Guardar con seguridad toda la documentacin de los sistemas informticos.b) Mantener una lista de acceso mnima a la documentacin del sistema y con su debidaautorizacin.c) Mantener una proteccin adecuada de la documentacin del sistema expuesta en la red pblica.6.19. Polticas y procedimientos para el intercambio de informacin.

a) Establecer procedimientos para proteger la informacin intercambiada contra la interpretacin,copiado, modificacin, enrutamiento y destruccin.b) Definir procedimientos para deteccin y proteccin contra programas maliciosos, cuando seutilizan comunicaciones electrnicas.c) Proteger la informacin sensible que se encuentra en forma de adjunto.d) Establecer directrices para el uso de los servicios de comunicacin electrnica.e) Definir procedimientos para el uso de las redes inalmbricas en base a los riesgos involucrados.f) Establecer responsabilidades de empleados, contratistas y cualquier otro usuario de nocomprometer a la institucin con un mal uso de la informacin.g) Establecer controles por medio de tcnicas criptogrficas.h) Definir directrices de retencin y eliminacin de la correspondencia incluyendo mensajes, segn lanormativa legal local.i) No dejar informacin sensible en copiadoras, impresoras, fax, contestadores, etc.j) No revelar informacin sensible al momento de tener una conversacin telefnica o mantenerconversaciones sin tomar los controles necesarios.k) No dejar datos demogrficos al alcance de cualquier persona, como los correos electrnicos, yaque se puede hacer uso de ingeniera social para obtener ms informacin.

6.20. Acuerdos para el intercambio

a) Definir procedimientos y responsabilidades para el control y notificacin de transmisiones, envosy recepciones.b) Establecer procedimientos para garantizar la trazabilidad y el no repudio.c) Definir normas tcnicas para el empaquetado y transmisin.d) Definir pautas para la identificacin del prestador de servicio de correo.e) Establecer responsabilidades y obligaciones en caso de prdida de datos.f) Utilizar un sistema para rotulado de la informacin clasificada.g) Conocer los trminos y condiciones de las licencias de software privativo o suscripciones desoftware de cdigo abierto bajo las cuales se utiliza el software.h) Conocer sobre la propiedad de la informacin y las condiciones de uso.i) Definir procedimientos tcnicos para la grabacin y lectura de la informacin y del software en elintercambio de informacin.

6.21. Medios fsicos en trnsito

a) Utilizar transporte confiable o servicios de mensajera.b) Establecer una lista de mensajera aprobada por la direccinc) Definir procedimientos para identificar los servicios de mensajera.d) Embalar de forma segura medios o informacin enviada a travs de servicios de mensajera,siguiendo las especificaciones del proveedor o del fabricante.e) Adoptar controles especiales cuando sea necesario proteger informacin sensible, su divulgaciny modificacin.


6.22. Mensajera electrnicaa) Establecer lineamientos para proteger los mensajes contra los accesos no autorizados,modificacin o denegacin de los servicios.b) Supervisar que la direccin y el transporte de mensajes sean correctos.c) Tomar en cuenta consideraciones legales como la de firmas electrnicas.d) Encriptar los contenidos y/o informacin sensibles que puedan enviarse por mensajeraelectrnica; utilizando firmas electrnicas reconocidas por el Estado Ecuatoriano u otras tecnologasevaluadas y aprobadas por la entidad o el Gobierno Nacional.e) Monitorear los mensajes de acuerdo al procedimiento que establezca la institucin.6.23. Sistemas de informacin del negocio.

a) Proteger o tener en cuenta las vulnerabilidades conocidas en los sistemas administrativos,financieros, y dems sistemas informticos donde la informacin es compartida.b) Proteger y tener en cuenta las vulnerabilidades en los sistemas de comunicacin del negociocomo la grabacin de las llamadas telefnicas.c) Establecer polticas y controles adecuados para gestionar la forma en que se comparte lainformacin.d) Categorizar la informacin sensible y documentos clasificados.e) Implementar controles de acceso a la informacin como acceso a proyectos confidenciales.f) Categorizar al personal, contratistas y usuarios que tengan acceso a los sistemas informticos ylos sitios desde cuales pueden acceder.g) Identificar el estado de las cuentas de usuario.h) Verificar la retencin y copias de respaldo de la informacin contenida en los sistemasinformticos.i) Establecer requisitos y disposiciones para los recursos de emergencia.6.24. Transacciones en lnea.

a) Definir procedimientos para el uso de certificados de firmas electrnicas por las partes implicadasen la transaccin.b) Establecer procedimientos para garantizar todos los aspectos en la transaccin como credencialesde usuario, confidencialidad de la transaccin y privacidad de las partes.c) Cifrar o encriptar el canal de comunicaciones entre las partes involucradas (por ejemplo, utilizandoSSL/TLS).d) Establecer protocolos seguros en la comunicacin de las partes involucradas por ejemplo,utilizando SSL/TLS).e) Establecer procedimientos para que las transacciones se encuentren fuera del entorno de accesopblico.f) Utilizar los servicios de una entidad certificadora confiable.6.25. Informacin disponible al pblico.

a) Establecer controles para que la informacin disponible al pblico se encuentre conforme a lanormativa vigente.b) Definir controles para que la informacin de entrada sea procesada completamente y de formaoportuna.c) Establecer procedimientos para que la informacin sensible sea protegida durante la recoleccin,procesamiento y almacenamiento.

6.26. Registros de auditoras.

a) Identificar el nombre de usuario.b) Registrar la fecha, hora y detalles de los eventos clave, como registro de inicio y registro de cierre.c) Registrar la terminal si es posible.


d) Registrar los intentos aceptados y rechazados de acceso al sistema.e) Registrar los cambios de la configuracin.f) Registrar el uso de privilegios.g) Registrar el uso de las aplicaciones y sistemas.h) Registrar los accesos y tipos de acceso (*).i) Registrar las direcciones y protocolos de red (*).j) Definir alarmas originadas por el sistema de control de acceso(*).k) Activacin y desactivacin de los sistemas de proteccin como antivirus y los sistemas dedeteccin de intrusos (IDS) (*).6.27. Monitoreo de uso del sistema.

a) Registrar los accesos autorizados, incluyendo(*):- Identificacin del ID de usuario;- Fecha y hora de eventos clave;- Tipos de evento;- Archivos a los que se han tenido acceso;- Programas y utilitarios utilizados;

b) Monitorear las operaciones privilegiadas, como- Uso de cuentas privilegiadas;- Encendido y deteccin del sistema;- Acople y desacople de dispositivos de entrada;

c) Monitorear intentos de acceso no autorizados, como (*):- Acciones de usuario fallidas o rechazadas;- Violacin de la poltica de acceso y notificaciones de firewalls y gateways;- Alertas de los sistemas de deteccin de intrusos;

d) Revisar alertas o fallas del sistema, como (*):- Alertas y/o mensajes de consola;- Excepciones de registro del sistema;- Alarmas de gestin de red;- Alarmas del sistema de control de acceso;

e) Revisar cambios o intentos de cambio en la configuracin y los controles de la seguridad delsistema.

6.28. Proteccin del registro de la informacin.

a) Proteger de alteraciones en todos los tipos de mensaje que se registren.b) Proteger archivos de registro que se editen o se eliminen.c) Precautelar la capacidad de almacenamiento que excede el archivo de registro.d) Realizar respaldos peridicos del registro del servicio.6.29. Registros del administrador y del operador.

a) Incluir al registro, la hora en la que ocurri el evento (*).b) Incluir al registro, informacin sobre el evento (*).c) Incluir al registro, la cuenta de administrador y operador que estuvo involucrado (*).d) Aadir al registro, los procesos que estuvieron implicados (*).


6.30. Registro de fallas

a) Revisar los registros de fallas o errores del sistema (*).b) Revisar las medidas correctivas para garantizar que no se hayan vulnerado los controles (*).c) Asegurar que el registro de fallas est habilitado (*).6.31 Sincronizacin de relojesa) Sincronizar los relojes de los sistemas de procesamiento de informacin pertinentes con unafuente de tiempo exacta (ejemplo el tiempo coordinado universal o el tiempo estndar local). En loposible, se deber sincronizar los relojes en base a un protocolo o servicio de tiempo de red paramantener todos los equipos sincronizados.b) Verificar y corregir cualquier variacin significativa de los relojes sobretodo en sistemas deprocesamiento donde el tiempo es un factor clave.c) Garantizar que la marca de tiempo refleja la fecha/hora real considerando especificaciones locales(por ejemplo, el horario de Galpagos o de pases en donde existen representacin diplomticas delpas, turistas extranjeros, entre otros).d) Garantizar la configuracin correcta de los relojes para la exactitud de los registros de auditora ocontrol de transacciones y evitar repudio de las mismas debido a aspectos del tiempo.

7. CONTROL DE ACCESO

7.1. Poltica de control de acceso

a) Gestionar los accesos de los usuarios a los sistemas de informacin, asegurando el acceso deusuarios autorizados y previniendo los accesos no autorizados.b) Definir responsabilidades para identificar, gestionar y mantener perfiles de los custodios deinformacin.c) Definir claramente los autorizadores de los permisos de acceso a la informacin.7.2. Registro de usuarios

a) Establecer un procedimiento formal, documentado y difundido, en el cual se evidenciedetalladamente los pasos y responsables para:

- Definir el administrador de accesos que debe controlar los perfiles y roles;- Gestionar el documento de requerimiento de accesos de los usuarios tanto internos como externos,que contemple: el solicitante del requerimiento o iniciador del proceso, validacin del requerimiento,autorizador del requerimiento, ejecutor del requerimiento, forma y medio de entrega del acceso alusuario (manteniendo confidencialidad);- Crear los accesos para los usuarios, para lo cual la institucin debe generar convenios deconfidencialidad y responsabilidad con el usuario solicitante; adems, validar que el usuario tenga losdocumentos de ingreso con Recursos Humanos (o quien haga estas funciones) en orden ycompletos.- Modificar los accesos de los usuarios;- Eliminar los accesos de los usuarios;- Suspender temporalmente los accesos de los usuarios en caso de vacaciones, comisiones,licencias, es decir, permisos temporales;- Proporcionar accesos temporales a usuarios externos o terceros de acuerdo al tiempo de supermanencia y limitados segn las actividades para las que fueron contratados y firmar un conveniode confidencialidad;- Mantener un registro de la gestin de accesos a aplicaciones, redes, que evidencie, fecha decreacin, eliminacin, suspensin, activacin o eliminacin del acceso; al igual que de cada usuario,disponer de los permisos de acceso que han sido asignados.

7.3. Gestin de privilegios


a) Controlar la asignacin de privilegios a travs de un proceso formal de autorizacin.b) Mantener un cuadro de identificacin de los usuarios y sus privilegios asociados con cada servicioo sistema operativo, sistema de gestin de base de datos y aplicaciones.c) Evidenciar documentadamente que cada activo de informacin tecnolgico tenga definido losniveles de acceso basados en perfiles y permisos, a fin de determinar que privilegios se debenasignar segn las actividades de los usuarios y la necesidad de la institucin y su funcin.

7.4. Gestin de contraseas para usuarios

a) Establecer un proceso formal para la asignacin y cambio de contraseas (*).7.5. Revisin de los derechos de acceso de los usuarios

a) Realizar las depuraciones respectivas de los accesos de los usuarios, determinando un perodomximo de 30 das; en casos de presentar cambios estructurales, esta gestin deber hacerseinmediatamente que se ejecute el cambio organizacional.b) Evidenciar los cambios sobre los derechos de acceso en archivos de log o registro de lossistemas, los cuales deben estar disponibles en caso que se requieran.

7.6. Uso de contraseas

a) Documentar, en el procedimiento de accesos, las responsabilidades de los usuarios tanto internoscomo externos, sobre el uso de la cuenta y la contrasea asignados (*).b) Recomendar la generacin de contraseas con letras maysculas, minsculas, con caracteresespeciales, difciles de descifrar, es decir, que cumplen una complejidad media y alta (*).c) Evitar contraseas en blanco o que viene por defecto segn el sistema el fabricante del producto,puesto que son fcilmente descifrables; por ejemplo: admin, administrador, administrador, user,usuario, entre otros (*).d) Controlar el cambio peridico de contraseas de los usuarios (*).e) Generar y documentar revisiones peridicas de la gestin de usuarios incluidos losadministradores de tecnologa, por parte del Oficial de Seguridad de la Informacin (*).7.7. Equipo de usuario desatendido

a) Implementar medidas para que, en un determinado tiempo (ej., no mayor a 10 minutos), si elusuario no est realizando ningn trabajo en el equipo, este se bloquee, y se desbloquee nicamentesi el usuario ingresa nuevamente su clave (*).7.8. Poltica de puesto de trabajo despejado y pantalla limpiaa) El Oficial de Seguridad de la Informacin deber gestionar actividades peridicas (una vez cadames como mnimo) para la revisin al contenido de las pantallas de los equipos, con el fin de que nose encuentren iconos y accesos innecesarios, y carpetas y archivos que deben ubicarse en lacarpeta de documentos del usuario.b) Mantener bajo llave la informacin sensible (cajas fuertes o gabinetes), en especial cuando noestn en uso y no se encuentre personal en la oficina (*).c) Desconectar de la red, servicio o sistema, las computadoras personales, terminales, impresorasasignadas a funciones crticas, cuando se encuentren desatendidas. Por ejemplo, haciendo uso deprotectores de pantalla con clave (*).d) Proteger los puntos de recepcin de correo y fax cuando se encuentren desatendidas.e) Bloquear las copiadoras y disponer de un control de acceso especial para horario fuera de oficinas(*).f) Retirar informacin sensible una vez que ha sido impresa (*).g) Retirar informacin sensible, como las claves, de sus escritorios y pantallas (*).h) Retirar los dispositivos removibles una vez que se hayan dejado de utilizar (*).


i) Cifrar los discos duros de los computadores personales (escritorio, porttiles, etc.) y otrosdispositivos que se considere necesarios, de las mximas autoridades de la institucin.

7.9. Poltica de uso de los servicios de red

a) Levantar un registro de los servicios de red la institucin.b) Identificar por cada servicio los grupos de usuarios que deben acceder.c) Definir los perfiles y roles para cada grupo de usuarios que tenga acceso a la red y sus servicios.d) Definir mecanismos de bloqueos para que sea restringido el acceso de equipos a la red.7.10. Autenticacin de usuarios para conexiones externas

a) Generar mecanismos para asegurar la informacin transmitida por los canales de conexinremota, utilizando tcnicas como encriptacin de datos, implementacin de redes privadas virtuales(VPN) y Servicio de Acceso Remoto (SAR) (*).b) Realizar un mecanismo diferenciado para la autenticacin de los usuarios que requierenconexiones remotas, que permita llevar control de registros (logs) y que tenga limitaciones deaccesos en los segmentos de red.

7.11. Identificacin de los equipos en las redes

a) Identificar y documentar los equipos que se encuentran en las redes (*).b) Controlar que la comunicacin solo sea permitida desde un equipo o lugar especfico.c) Tener documentada la identificacin de los equipos que estn permitidos, segn la red que lecorresponda.d) Utilizar mtodos para que la identificacin del equipo est en relacin a la autenticacin delusuario.

7.12. Proteccin de los puertos de configuracin y diagnstico remoto

a) Establecer un procedimiento de soporte, en el cual se garantice que los puertos de diagnstico yconfiguracin sean slo accesibles mediante un acuerdo entre el administrador del servicio decomputador y el personal de soporte de hardware/ software que requiere el acceso.b) Los puertos, servicios (ej., fftp) que no se requieren por necesidades de la institucin, debern sereliminados o deshabilitados (*).7.13. Separacin en las redes

a) Realizar una evaluacin de riesgos para identificar los segmentos de red donde se encuentren losactivos crticos para la institucin (*).b) Dividir las redes en dominios lgicos de red, dominios de red interna, dominios de red externa einalmbrica.c) Documentar la segregacin de red, identificando las direcciones IP que se encuentran en cadasegmento de red.d) Configurar la puerta de enlace (gateway) para filtrar el trfico entre dominios y bloquear el accesono autorizado.e) Controlar los flujos de datos de red usando las capacidades de enrutamiento/conmutacin (ej.,listas de control de acceso).f) La separacin de las redes debe ejecutarse en base a la clasificacin de la informacinalmacenada o procesada en la red, considerando que el objetivo es dar mayor proteccin a losactivos de informacin crticos en funcin del riesgo que stos podran presentar.g) Separar redes inalmbricas procedentes de redes internas y privadas, para evitar el acceso aterceros y de usuarios externos a las redes privadas internas.

7.14. Control de conexin a las redes


a) Restringir la capacidad de conexin de los usuarios, a travs de puertas de enlace de red(gateway) que filtren el trfico por medio de tablas o reglas predefinidas, conforme a losrequerimientos de la institucin.b) Aplicar restricciones considerando:- Mensajera- Transferencia de archivos- Acceso interactivo- Acceso a las aplicaciones- Horas del da y fechas de mayor carga

c) Incorporar controles para restringir la capacidad de conexin de los usuarios a redes compartidasespecialmente de los usuarios externos a la institucin.

7.15. Control del enrutamiento en la red

a) Configurar polticas de control de acceso para el enrutamiento en la red, basndose en losrequerimientos de la institucin (*).Las puertas de enlace de la seguridad (gateway) se pueden usar para validar la direccinfuente/destino en los puntos de control de las redes internas y externas, si se emplean tecnologasproxy y/o de traduccin de direcciones de red.

Las instituciones que utilizan proxys y quienes definen las listas de control de acceso (LCA), debenestar conscientes de los riesgos en los mecanismos empleados, a fin de que no existan usuarios ogrupos de usuarios con salida libre y sin control, en base a las polticas de la institucin.

7.16. Procedimiento de registro de inicio seguro

a) Autenticar usuarios autorizados, de acuerdo a la poltica de control de acceso de la institucin, quedeber estar documentada, definida y socializada (*).b) Llevar un registro de definicin para el uso de privilegios especiales del sistema (*).c) Llevar un proceso de monitoreo y registro de los intentos exitosos y fallidos de autenticacin delsistema, registros de alarmas cuando se violan las polticas de seguridad del sistema (*).d) Utilizar mecanismos como: uso de dominios de autenticacin, servidores de control de acceso ydirectorios (*).e) Restringir el tiempo de conexin de los usuarios, considerando las necesidades de la institucin(*).f) Controlar que no se muestren identificadores de aplicacin ni de sistema, hasta que el proceso deregistro de inicio se haya completado exitosamente (*).g) Evitar que se desplieguen mensajes de ayuda durante el procedimiento de registro de inicio desesin.h) Validar la informacin de registro de inicio

esquema gubernamental de seguridades de la información

Documents