sgsi tesis
TRANSCRIPT
-
UNIVERSIDAD POLITCNICA SALESIANA
SEDE GUAYAQUIL
FACULTAD DE INGENIERAS
CARRERA: INGENIERA EN SISTEMAS
Tesis previa a la obtencin del ttulo de: Ingeniero en Sistemas
TTULO
Planeacin y Diseo de un Sistema de Gestin de Seguridad de la
Informacin basado en la norma ISO/IEC 27001 - 27002
AUTORES:
Jos Luis Buenao Quintana
Marcelo Alfonso Granda Luces
DIRECTOR:
Ing. Ricardo Naranjo
Guayaquil Ecuador
Diciembre de 2009
-
II
Seores:
UNIVERSIDAD POLITCNICA SALESIANA
Consejo de Carrera Ingeniera en Sistemas
Ciudad.-
Tenemos el agrado de dirigirnos a ustedes con la finalidad de dejar constancia de la
presente declaracin de responsabilidad en el desarrollo del trabajo de tesis
Planeacin y Diseo de un SGSI basado en la norma ISO/IEC 27001 27002.
Es as que los conceptos desarrollados, anlisis realizados y las conclusiones del
presente trabajo, son de exclusiva responsabilidad de los autores.
Atentamente,
Guayaquil, 8 diciembre del 2009
_________________________
Jos Luis Buenao Quintana
_________________________
Marcelo Alfonso Granda Luces
-
III
Dedicatorias y agradecimientos
Deseamos expresar nuestra profunda gratitud a quienes directa o indirectamente
colaboraron con el desarrollo del presente trabajo, entre ellos:
A nuestras respectivas familias, por su constante comprensin y estimulo
junto con su continuo y afectuoso aliento.
Al Ing. Ricardo Naranjo, director de tesis, por la colaboracin y asistencia
constante durante el desarrollo de este trabajo de tesis
Al Ing. Javier Ortiz , cuya colaboracin fue crucial para el desarrollo de este
proyecto, por su permanente disposicin y desinteresada ayuda
A cada uno de los docentes que aport a travs de nuestros aos de estudio
valiosos conocimientos que fomentaron nuestra capacidad y experiencia.
-
IV
ndice General
CAPTULO 1 : DISEO DE LA INVESTIGACIN Pgina
1.1 Antecedentes de la investigacin 6
1.2 Problema de investigacin. 6
1.2.1 Formulacin del problema de investigacin. 7
1.2.2 Sistematizacin del problema de investigacin 7
1.3 Objetivos de la investigacin. 8
1.3.1 Objetivo general 8
1.3.2 Objetivos especficos 8
1.4 Justificacin de la investigacin 9
1.5 Marco de referencia de la investigacin 10
1.5.1 Marco terico 10
1.5.2 Marco conceptual (Glosario de trminos) 15
1.6 Formulacin de la Hiptesis y variables 17
1.6.1 Hiptesis general 17
1.6.2 Hiptesis particulares 17
1.7 Aspectos metodolgicos de la investigacin 18
1.7.1 Tipo de estudio 18
1.7.2 Mtodo de investigacin 19
1.7.3 Fuentes y tcnicas para la recoleccin de informacin 20
1.7.4 Tratamiento de la informacin 21
1.8 Resultados e impactos esperados 22
CAPTULO 2: ANLISIS, Y DIAGNSTICO
2.1 Anlisis de la situacin actual 24
2.2 Anlisis comparativo, evolucin, tendencias y perspectivas 25
2.2.1 Pregunta 1 25
2.2.2 Pregunta 2 26
2.2.3 Pregunta 3 27
2.2.4 Pregunta 4 28
2.2.5 Pregunta 5 28
2.2.6 Pregunta 6 29
-
V
2.3 Verificacin de hiptesis 30
CAPTULO 3: PROPUESTA DE CREACIN
3.1 Definicin 37
3.2 Alcance 37
3.3 Plan de implementacin 40
3.4 Alcances del SGSI 41
3.5 Poltica de seguridad de la informacin 43
3.5.1 Poltica de Seguridad -A.5 43
3.5.2 Organizacin de la seguridad de la informacin - A.6 47
3.5.3 Gestin de Activos - A.7 55
3.5.4 Seguridad de los recursos humanos - A.8 73
3.5.5 Seguridad fsica y ambiental - A.9... 79
3.5.6 Gestin de las comunicaciones y operaciones - A.10. 94
3.5.7Control de Accesos - A.11.. 122
3.5.8 Adquisicin, desarrollo y mantenimiento de los S.I- A.12 150
3.5.9 Gestin de incidente en la seguridad de informacin. 170
3.5.10 Gestin de la continuidad del negocio - A.14. 177
3.5.11 Cumplimiento - A15.... 180
3.6 Gestin de riesgos 183
3.7 Conclusiones. 186
3.8 Recomendaciones 187
3.9 Bibliografa 187
3.10 Anexo1: Plan de continuidad del negocio 189
3.11 Anexo2: Activos de Informacin
3.12 Anexo 3: Gestin de riesgo y Enunciado de aplicabilidad
-
5
CAPTULO I
DISEO DE LA INVESTIGACIN
-
6
1.1.1 Antecedentes de la investigacin
Durante el constante proceso de evolucin del uso de la tecnologa como soporte a
las operaciones en las organizaciones, siempre ha existido la preocupacin por evitar
incidentes que comprometan la seguridad de la informacin.
Diversas han sido las herramientas de orden tcnico que se han desarrollado, creado
o mejorado a fin de contrarrestar los riesgos asociados al uso de la tecnologa, sin
embargo, ha sido evidente que ningn mecanismo tcnico de seguridad, logra ser
completamente efectivo, e incluso deja de cumplir su propsito si no se controla al el
elemento ms sensible, el recurso humano.
Es por eso que la seguridad de la informacin consiste en combinar de manera
coherente las herramientas tcnicas de seguridad y a la vez gestionar el
comportamiento del factor humano tratando de reducir en la mayor medida posible
las vulnerabilidades o posibles atentados contra la seguridad de la informacin y
sistemas.
1.2 Problema de investigacin
Luego de analizar la infraestructura tecnolgica de la Sede Guayaquil de la
Universidad Politcnica Salesiana, es notable el crecimiento experimentado con el
paso de los aos, este hecho ha provocado que los controles a nivel de seguridad de
la informacin que se encuentran vigentes, no sean los adecuados para garantizar la
disponibilidad, integridad, y confidencialidad de la informacin, razn por la cual es
necesario sean revisados y mejorados.
En caso de no remediarse la situacin anteriormente expuesta, se eleva
exponencialmente el riesgo de ocurrencia de incidentes de seguridad, prdida de
informacin o disponibilidad de los servicios y sistemas que sustentan la operacin
de la sede, esto redundara en prdidas econmicas y podra generar desconfianza
tanto sobre la imagen que la institucin mantiene en el medio acadmico, as como
sobre los futuros profesionales que egresen de la Universidad.
-
7
Al encontrar un mecanismo que logre regular, gestionar y mitigar al mximo los
riesgos actuales por el uso de la informacin le ser posible a la institucin controlar
las amenazas actuales en los sistemas informticos
1.2.1 Formulacin del problema de investigacin
Cmo se podran mitigar los riegos asociados al uso de la informacin de los
sistemas y servicios informticos brindados dentro de la sede Guayaquil de la
Universidad Politcnica Salesiana?
1.2.2 Sistematizacin del problema de investigacin
De qu manera tendra que organizarse al personal encargado de la administracin
del los recursos informticos a fin de asegurar que la informacin se mantenga y
manipule de forma segura?
Cmo puede asegurarse el uso aceptable de los recursos y sistemas de informacin
por parte de los funcionarios de la sede a fin de mitigar los riesgos?
De qu manera debera controlarse al recurso humano a fin de que ste no se
convierta en un elemento que pueda vulnerar la seguridad de la informacin o de los
recursos entregados al personal?
Cmo pueden salvaguardarse los recursos informticos de catstrofes naturales,
robos, prdidas, daos intencionales o no intencionales que puedan afectar la
disponibilidad de los recursos?
Cmo gestionar de manera segura las comunicaciones y operaciones informticas?
Cmo evitar el acceso no autorizado a la informacin de los sistemas y servicios
utilizados por la Universidad?
Cmo mantener seguro el proceso de desarrollo de software y soluciones
tecnolgicas?
-
8
Cmo debera procederse en caso de ocurrir un incidente de seguridad en un
sistema o servicio informtico?
Cmo asegurar que se d fiel cumplimiento a la poltica de seguridad de la
informacin?
1.3 Objetivos de la investigacin
1.3.1 Objetivos generales
Establecer cules seran los mecanismos adecuados para mitigar los riesgos
asociados al uso de la informacin, de los sistemas y servicios informticos
utilizados por el personal de la sede Guayaquil de la Universidad Politcnica
Salesiana.
1.3.2 Objetivos especficos
Establecer la manera adecuada de organizar al personal encargado de la
administracin del los recursos informticos, a fin de asegurar que la informacin se
mantenga y manipule de forma segura.
Descubrir y plantear los controles necesarios para asegurar el uso aceptable de los
recursos y sistemas de informacin por parte de los funcionarios de la sede.
Tabular de forma detallada, qu tipo de controles deberan aplicarse sobre el recurso
humano a fin de que ste no se convierta en un elemento vulnerable, que ponga en
riesgo la seguridad de la informacin o de los recursos tecnolgicos.
Determinar la manera ms eficiente de salvaguardar los recursos informticos de
catstrofes naturales, robos, prdidas, y daos intencionales o no intencionales que
puedan afectar la disponibilidad del recurso.
Especificar mecanismos que permitan mantener seguras las comunicaciones y
operaciones informticas.
-
9
Establecer controles que permitan evitar el acceso no autorizado a la informacin de
los sistemas y servicios utilizados por la Universidad.
Proveer lineamientos de seguridad que mantengan a buen recaudo el proceso de
desarrollo de software y soluciones tecnolgicas.
Determinar la manera adecuada de proceder en caso de ocurrir un incidente de
seguridad en un sistema o servicio informtico.
Hallar los mecanismos adecuados a fin de garantizar la continuidad de las
operaciones de la sede Guayaquil de la Universidad Politcnica Salesiana.
Asegurar que se d fiel cumplimiento a la poltica de seguridad de la informacin a
travs de procedimientos y polticas.
1.4 Justificacin de la investigacin
Mediante la implementacin de un SGSI Sistema de Gestin de Seguridad de la
Informacin- la Universidad conseguira minimizar considerablemente el riesgo de
que su productividad se vea afectada debido a la ocurrencia de un evento que
comprometa la confidencialidad, disponibilidad e integridad de la informacin o de
alguno de los sistemas informticos.
Informacin financiera, nmina, cuentas por cobrar, y acadmica debera estar
siempre disponible, a fin de no afectar el normal flujo de operaciones de la
institucin.
Los sistemas informticos deben cumplir su objetivo, a saber, estar siempre
disponibles para servir de apoyo a las labores principalmente acadmicas que la
institucin lleva a cabo.
La no disponibilidad de alguno de estos sistemas, tal como el sistema general de
facturacin, acadmico y dems, dilatara los tiempos de atencin a los estudiantes o
funcionarios, lo cual incidira negativamente en la imagen de la institucin y en el
-
10
nivel de satisfaccin de los docentes como clientes internos, as como en los
estudiantes en su calidad de clientes externos.
El funcionario o rea encargada de la seguridad informtica, mediante la
implantacin de un SGSI lograr controlar y evitar eventos como los citados
anteriormente, que evidentemente comprometeran el rendimiento financiero y
organizacional de la Universidad.
1.5 Marco de referencia
1.5.1 Marco terico
Al encontrarnos actualmente en una era en que las operaciones son altamente
dependientes de la tecnologa, la informacin es el bien ms preciado que las
organizaciones poseen, tanto as que una prdida considerable o total de la misma, le
producira consecuencias catastrficas a una organizacin.
La evolucin de las comunicaciones, y la dependencia casi absoluta a Internet, pone
en un riesgo mayor a este preciado bien. A diario alrededor del mundo, millones de
computadores personales o equipos servidores son asechados y atacados por piratas
informticos quedando expuesta informacin confidencial, tales como datos
personales, nmeros de tarjetas de crdito, informacin sobre precios, productos,
planes estratgicos, y dems datos crticos que a travs de Internet son transmitidos a
menudo de forma insegura.
Los piratas informticos dirigen a diario millones de intentos de ataques en busca de
vulnerabilidades tcnicas o descuidos humanos los cuales forman la brecha de
seguridad ms comnmente presentada en los sistemas expuestos a Internet.
Estos ataques en ocasiones son realizados con fines fraudulentos, otros con el
objetivo especfico de sabotear las operaciones de una empresa o institucin,
buscando generar desconfianza sobre la organizacin, o simplemente el deseo de
probar o evaluar qu tan robusta pudiera ser la seguridad de algn sistema expuesto,
deseo alimentado generalmente por mera curiosidad.
-
11
Indistintamente del motivo, los riesgos y el impacto que se produce debido a estos
ataques son considerables y se traducen a la larga en costos y prdidas para la
institucin, empresa u organizacin.
CSI Computer Crime & Security Survey, organizacin que recopila informacin de
la comunidad informtica en los Estados Unidos de Amrica, sobre como han sido
afectados sus respectivos entornos tecnolgicos y de red por crmenes informticos,
present varios datos estadsticos en su informe anual los cuales se mencionan a
continuacin:
El la figura 1.1, se detalla el mbito de actividad en el que se desempeaban las
organizaciones consultadas.
Actividad desempeada por las organizaciones encuestadas
Figura 1.1
Fuente: CSI Computer Crime & Security Survey - 2008 CSI Computer Crime and
Security Survey - : Robert Richardson, CSI Director}
-
12
Entre los datos ms relevantes incluidos en ste reporte anual tenemos los datos:
En los casos en que existieron fraudes de ndole financiero las perdidas
llegaron a ascender a los USD. $500.000.
Casi el 50% de las organizaciones consultadas reconocieron haber tenido
incidentes relacionados con cdigo malicioso o virus.
Cerca del 10% de las organizaciones sufrieron incidentes relacionados con el
servicio de resolucin de nombres o DNS (Domain Name Service).
El 27% de las organizaciones mencionadas en el punto anterior reconocieron
que estos ataques haban sido especficamente apuntados a su organizacin y
no un ataque al azar.1
Ocurrencia de incidentes de seguridad en el ao 2008
Figura 1.2
Fuente: CSI Computer Crime & Security Survey - 2008 CSI Computer Crime and
Security Survey - : Robert Richardson, CSI Director
____________________
1RICHARDSON, Robert, CSI Computer Crime & Security Survey - 2008 CSI Computer Crime and
Security Survey, USA, p. 2
-
13
Organizaciones que reportaron prdidas debido a intrusiones en el ao 2008
Figura 1.3
Fuente: CSI Computer Crime & Security Survey - 2008 CSI Computer Crime and
Security Survey - : Robert Richardson, CSI Director
Principales tipos de incidencias ocurridas por ao
Figura 1.4
Fuente: CSI Computer Crime & Security Survey - 2008 CSI Computer Crime and
Security Survey - : Robert Richardson, CSI Directo
Estos eventos ocurrieron inclusive organizaciones que contaban con herramientas de
seguridad, lo cual comprueba que no basta con estar a la vanguardia de las
soluciones de seguridad informtica disponibles en el mercado.
-
14
Herramientas de seguridad utilizadas
Figura 1.5
Fuente: CSI Computer Crime & Security Survey - 2008 CSI Computer Crime and
Security Survey - : Robert Richardson, CSI Director
Como puede concluirse por los datos estadsticas anteriormente expuestos el afn de
preservar la integridad, confidencialidad y disponibilidad de la informacin, no
puede basarse nicamente en mecanismos tcnicos, que en algn momento pueden
tambin ser vulnerables, nombrando entre ellos firewalls, sistemas de prevencin de
intrusos, aplicaciones antivirus, y dems.
La gestin efectiva de la seguridad de la informacin va un paso ms adelante, en
ella se involucra a toda la organizacin y sus miembros, la direccin, inclusive los
proveedores y clientes, todos guindose por una poltica definida en la que se
establezca las directrices a seguir, existiendo procedimientos precisos para las
diferentes acciones tcnicas o no tcnicas en las que la informacin se vea
involucrada.
Mediante un SGSI - Sistema de Gestin de Seguridad de la Informacin- la
institucin como tal conoce los riesgos a los que su informacin se ve expuesta,
consiguiendo mantenerlos en un nivel mnimo y sobre todo controlarlos mediante
una lgica definida y documentada.
-
15
1.5.2 Marco conceptual
La Norma ISO/IEC 27001, la cual brinda directrices para la implementacin de un
Sistema de Gestin de Seguridad de la Informacin incluye una seccin denominada
Trminos y definiciones las cuales se detallan a continuacin:
Activo
Cualquier cosa que tenga valor para la organizacin.
Disponibilidad
La propiedad de estar disponible y utilizable cuando lo requiera una entidad
autorizada.
Confidencialidad
La propiedad que esa informacin est disponible y no sea divulgada a
personas, entidades o procesos no-autorizados 2
Seguridad de informacin
Preservacin de la confidencialidad, integridad y disponibilidad de la
informacin; adems, tambin pueden estar involucradas otras propiedades
como la autenticidad, responsabilidad, no-repudio y confiabilidad.
Evento de seguridad de la informacin
Una ocurrencia identificada del estado de un sistema, servicio o red indicando
una posible violacin de la poltica de seguridad de la informacin o falla en
las salvaguardas, o una situacin previamente desconocida que puede ser
relevante para la seguridad.
____________________
2El sistema gerencial incluye la estructura organizacional, polticas, actividades de
planeacin, responsabilidades, prcticas, procedimientos, procesos y recursos integridad la
propiedad de salvaguardar la exactitud e integridad de los activos. (ISO/IEC 13335-1:2004)
-
16
Sistema de gestin de seguridad de la informacin SGSI
Esa parte del sistema gerencial general, basado en un enfoque de riesgo
comercial; para establecer, implementar, operar, monitorear, revisar,
mantener y mejorar la seguridad de la informacin.
Riesgo residual
El riesgo remanente despus del tratamiento del riesgo.
Aceptacin de riesgo
Decisin de aceptar el riesgo.
Anlisis de riesgo
Uso sistemtico de la informacin para identificar fuentes y para estimar el
riesgo.
Valuacin del riesgo
Proceso general de anlisis del riesgo y evaluacin del riesgo.
Evaluacin del riesgo
Proceso de comparar el riesgo estimado con el criterio de riesgo dado para
determinar la importancia del riesgo.
Gestin del riesgo
Actividades coordinadas para dirigir y controlar una organizacin con
relacin al riesgo.
Tratamiento del riesgo
Proceso de tratamiento de la seleccin e implementacin de medidas para
modificar el riesgo.
-
17
Enunciado de aplicabilidad
Enunciado documentado que describe los objetivos de control y los controles
que son relevantes y aplicables al SGSI de la organizacin. 3
1.6 Formulacin de hiptesis y variables
1.6.1 Hiptesis General
A travs de un SGSI es posible establecer los mecanismos adecuados que mediante
su aplicacin permiten mitigar al mximo los riesgos asociados al uso de la
tecnologa, informacin y sistemas informticos, salvaguardando los recursos de la
sede.
1.6.2 Hiptesis Particulares
Se puede mantener un control adecuado sobre las actividades relacionadas con la
seguridad que el personal encargado realiza a travs de aplicar los controles
mencionados en el apartado Organizacin de la seguridad de la informacin de la
norma.
Al aplicar los controles que forman parte del apartado Gestin de Activos se puede
asegurar que se de un uso aceptable de los recursos y sistemas de informacin por
parte de los funcionarios de la sede a fin de mitigar los riesgos.
A travs de la aplicacin del apartado Seguridad de los recursos humanos, es posible
controlar al recurso humano a fin de que este no se convierta en un factor que pueda
vulnerar la seguridad de la informacin o de los recursos entregados a los mismos.
La poltica de Seguridad fsica y ambiental incluida en la norma permite mediante su
aplicacin salvaguardar eficientemente los recursos informticos de catstrofes
naturales robos, perdidas, y daos intencionales o no intencionales que puedan
afectar la disponibilidad del recurso
____________________
3 En este Estndar Internacional el trmino control se utiliza como sinnimo de medida.
-
18
El apartado Gestin de las comunicaciones y permitirn mantener seguras las
comunicaciones y operaciones informticas.
Como parte de la norma se incluye una seccin de Control de Accesos que mediante
su aplicacin en las operaciones informticas de la sede, evitar el acceso no
autorizado a la informacin de los sistemas y servicios utilizados por los
funcionarios, docentes, y estudiantes de la sede.
La seccin Adquisicin, desarrollo y mantenimiento de los sistemas de informacin
establece lineamientos de seguridad que permitan mantener seguro el proceso de
adquisicin y desarrollo de soluciones tecnolgicas.
Mediante la poltica de Gestin de un incidente en la seguridad de la informacin se
proveen directrices sobre cmo proceder en caso de ocurrir un incidente de seguridad
en un sistema o servicio informtico.
Como parte del SGSI se incluye la Gestin de la continuidad del negocio que
mediante su aplicacin ayudarn a mantener activos y disponibles los sistemas, datos
y servicios que sustentan las operaciones fundamentales de la institucin.
El apartado de Cumplimiento provee una gua que permite asegurar que se d fiel
cumplimiento a la poltica de seguridad de la informacin a travs de procedimientos
y polticas.
1.7 Aspectos metodolgicos de la investigacin
1.7.1 Tipos de estudio
En el desarrollo de un proyecto pueden utilizarse diferentes tipos de estudios o
investigacin, entre estos tenemos:
-
19
Tipo de investigacin descriptiva
Este proyecto utiliz investigacin descriptiva pues detalla en forma breve y
especifica los componentes de la investigacin permitiendo comprobar en forma
sistemtica y progresiva las necesidades de la entidad objeto de estudio.
Tipo de investigacin no experimental
La presente investigacin es no experimental pues las circunstancias implicadas o
caractersticas del objeto de estudio no son modificables, el investigador no posee
control sobre estas, ni tiene la capacidad de influir sobre ellas pues ya han ocurrido.
El investigador tampoco posee control sobre los efectos causados por las
circunstancias vigentes en la institucin.
Tipo de investigacin explicativa
Es explicativa pues a travs del proceso de investigacin, intenta establecer las
causas de los eventos objeto de este estudio, mediante el anlisis de la situacin
actual queda claramente explicita la necesidad de normalizar los controles en lo
referente a la seguridad de la informacin.
Tipo de investigacin de campo
Esta investigacin es de campo pues se apoya en informacin obtenida mediante
entrevistas, reuniones, observacin y asesoramiento tcnico.
1.7.2 Mtodos de investigacin
Durante el desarrollo de este proyecto se utilizaran los mtodos de investigacin
inductiva y deductiva.
Adems se aplicarn las siguientes tcnicas de investigacin:
-
20
Observacin directa
Cuestionarios
Podemos decir que se utilizar el mtodo inductivo deductivo, pues ayuda a la
identificacin o determinacin de que controles o aspectos de la poltica son
aplicables a la institucin, as como descartar aquellos que no sean necesarios.
Adicionalmente se utilizaran los siguientes procedimientos:
Analtico
Distincin y separacin de las partes. Obtencin de un cuerpo compuesto a partir de
la combinacin de cuerpos simples o de cuerpos compuestos ms sencillos que el
que se trata de obtener. Este procedimiento se utilizar para descomponer y disponer
de forma estructurada los diferentes aspectos a aplicar como parte de la poltica de
seguridad de la informacin de la sede.
Para obtener informacin relevante que permita la realizacin de este proyecto se
recurrir a la tcnica de investigacin descriptiva, la misma que mediante la
observacin y entrevistas se ocupa en descubrir y comprobar la relacin entre las
variables de la investigacin, permitiendo as descubrir y establecer las necesidades
reales y la relevancia de cada aspecto del proyecto.
Anlisis (analtico)
Deduccin (mtodo deductivo)
Anlisis datos histricos
Enfoque del sistema (experimental)
Estudio de estndar (descriptivo)
1.7.3 Fuentes y tcnicas de recoleccin de la informacin
Para el desarrollo de esta tesis los autores han utilizado los siguientes mecanismos de
recoleccin de informacin:
-
21
Observacin
Entrevistas
Datos estadsticos
Discusin con personal capacitado
Evaluacin en base a experiencia
1.7.4 Tratamiento de la informacin
Durante el desarrollo de este proyecto se recopil informacin relacionada con el uso
de tecnologas de informacin dentro de la sede Guayaquil de la UPS, se realiz un
estudio de la informacin recibida, topologa de red, herramientas y aplicativos
utilizados, para luego establecer las polticas y procedimientos aplicables a la
institucin.
Para este fin se utilizaron las siguientes tcnicas de tratamiento de informacin:
Experimentacin
La experimentacin, mtodo comn de las ciencias y las tecnologas,
consiste en el estudio de un fenmeno, reproducido generalmente en
condiciones particulares de estudio que interesan, eliminando o introduciendo
aquellas variables que puedan influir en l. Se entiende por variable todo
aquello que pueda causar cambios en los resultados de un experimento y se
distingue entre variable independiente, dependiente y controlada.4
Registro
Es comn que durante el proceso de recoleccin de informacin, parte de ella
no sea recordada o se pierda debido a no contar con un registro adecuado de
cada dato importante, al realizarse mayormente va Internet las entrevistas
realizadas al coordinador de sistemas, se registro en un archivo electrnico las
respuestas o toda informacin que pudiera ser relevante en el proceso de
anlisis.
____________________
4Wikipedia, Internet http://es.wikipedia.org/wiki/Experimentacin
-
22
Anlisis y categorizacin
La informacin recolectada permiti realizar una anlisis detallado a fin de
establecer que controles de la norma serian aplicables a la infraestructura de
la sede Guayaquil de la UPS, en este sentido fue necesario categorizar la
informacin en funcin del apartado de la norma analizado.
1.8 Resultados e impactos esperados
Con la implantacin de un SGSI se lograr minimizar considerablemente los riesgos
asociados al uso de la informacin y se mantendrn normalizados los procesos ya
existentes ajustndose a las necesidades de de la sede Guayaquil de la UPS. Es
importante tomar en cuenta que se requerir realizar cambios en los procedimientos
administrativos de la Universidad, y existir un impacto principalmente en el
recurso humano durante el proceso de concienciacin y adopcin de cultura de
seguridad informtica.
-
23
CAPTULO II
ANLISIS , PRESENTACIN DE
RESULTADOS Y DIAGNSTICOS
-
24
2.1 Anlisis de la situacin actual
Luego de realizar el anlisis en base a la informacin recopilada de la coordinacin
de sistemas, es posible establecer que la infraestructura tecnolgica tiende a volverse
ms compleja debido al crecimiento organizacional de la Universidad, en funcin de
eso los controles ya establecidos llegan a ser poco eficientes y deben ser mejorados,
y alineados a una normativa que haya sido previamente comprobada como exitosa tal
como lo es la norma ISO serie 27000.
De forma general puede concluirse que se mantienen actualmente ciertos controles
que permiten mantener la informacin relativamente segura, sin embargo estos
controles dejan de ser efectivos a medida que la infraestructura, y el volumen de la
informacin van en aumento, razn por la cual es prudente robustecer los controles y
alinearlos a la normativa ISO 2700 que permitir potenciar las polticas o controles
existentes.
A travs de la aplicacin de esta norma se podrn corregir o mejorar los controles
existentes que dan origen a los siguientes problemas encontrados durante el
desarrollo de este proyecto:
Falta robustecer los lineamientos de seguridad fsica que permitan mitigar
riesgos de causen daos intencionados o no intencionados por parte de usuarios
o terceros.
No existen polticas documentadas y difundidas con respecto al manejo o uso
aceptable de los activos de informacin, sean de hardware, software o
informacin.
No se estn aplicando por completo los controles necesarios a fin de minimizar
la propagacin de cdigo malicioso en los equipos de computo, que pudieran
incluso llegar a afectar servidores o repositorios de informacin.
Existe una elevada tasa de prdida de equipos o partes dentro de los
laboratorios de cmputo, al ser sensibles a hurto.
-
25
No existe un plan de contingencia documentado y difundido que permita
garantizar la continuidad de las operaciones fundamentales de la institucin.
Los recursos humanos, siendo generalmente el punto ms vulnerable en la
seguridad de la informacin, no se encuentra regulado mediante polticas
formales de comportamiento y uso de activos de informacin.
Existe informacin que no se encuentra viajando a travs de los medios de
forma segura, no existen al momento mecanismos de encriptacin, si a travs
de estos medios se transmitiera informacin crtica se corre un alto riesgo de
comprometer datos acadmicos calificaciones, registros, y dems informacin
sensible manejada por los funcionarios de la sede.
Los controles relacionados a los servicios internos brindados por la
Universidad tales como mensajera electrnica, no son lo suficientemente
robustos, lo cual puede originar perdida de informacin , consumos excesivos
de recursos debido a ser objeto de spamming ,perdida de servicio debido a ser
calificados como spammers en listas negras disponibles en Internet y dems.
2.2 Anlisis comparativo, evolutivo, tendencias y perspectivas
La gestin de riesgo asociada a cada uno de los servicios y sistemas brindados por la
Institucin se ha establecido de acuerdo al tipo de negocio, servicios brindados, el
equipamiento suministrado, servicios subcontratados para mantener la comunicacin
y las instalaciones fsicas que posee la institucin
De acuerdo a la situacin actual y a los factores de riesgos encontrados se pueden
realizar los siguientes cuestionamientos y cuadros comparativos mediante los cuales
se podr evaluar cada uno de los puntos citados en una escala del 1 al 5
2.2.1 Pregunta 1
Cul es el ndice de riesgo que actualmente maneja la universidad de acuerdo al tipo
de negocio que esta maneja y la informacin que es transmitida por los medios?
-
26
Activo de Informacin Importancia Ocurrencia Estimada Riesgo Actual
Informacin Acadmica 5 4 4,5
Informacin Financiera 5 4 4,5
Informacin de Inventario 5 4 4,5
Informacin de RRHH 5 4 4,5
Tabla 2.1
Fuente: Los Autores
Figura 2.1
Fuente: Los Autores
2.2.2 Pregunta 2
Cul es la situacin actual y riesgo estimado con relacin a los servicios brindados
por la institucin?
Activo de informacin Importancia Ocurrencia Estimada Riesgo Actual
Correo Electrnico 4 5 4,5
Informacin Almacenada 5 5 5
Acceso a Internet 5 4 4,5
Servicios de Directorio Active 5 4 4,5
Tabla 2.2
Fuente: Los Autores
0
1
2
3
4
5
Informacin Acadmica
Informacin Financiera
Informacin de Inventario
Informacin de recursos humanos
ndice de Riego de Acuerdo al tipo de Informacin
Importancia Ocurrencia Estimada Riesgo Actual
-
27
Figura 2.2
Fuente: Los Autores
2.2.3 Pregunta 3
Cul sera la valoracin y riesgo asociado a los activos de informacin y equipos
segn su uso?
Activo de informacin Importancia Ocurrencia Estimada Riesgo Actual
Estaciones de Trabajo Criticas 5 4 4,5
Estaciones de Trabajo 3 4 3,5
Equipos en los Laboratorios 5 5 5
Servidores 5 4 4,5
Tabla 2.3
Fuente: Los Autores
Figura 2.3
Fuente: Los Autores
0
1
2
3
4
5
Estaciones de Trabajo
Criticas
Estaciones de Trabajo
Equipos en los
Laboratorios
Servidores
Aplicaciones De Acuerdo al tipo de informacin procesada en las Estaciones de Trabajo
Importancia Ocurrencia Estimada Riesgo Actual
0
1
2
3
4
5
Correo Electrnico
Informacin Almacenada
Acceso a Internet
Servicio de Directorio
Active
De acuerdo a los Servicios Brindados por la Institucin
Importancia Ocurrencia Estimada Riesgo Actual
-
28
2.2.4 Pregunta 4
Cul sera la valoracin del riesgo asociado al uso de aplicaciones o servicios a
travs de la infraestructura de networking de la sede?
Importancia Ocurrencia Estimada Riesgo Actual
Red Local 5 4 4,5
Firewall 5 3,5 4,25
Servicios de la Red 4 3,5 3,75
Telefona VoIp 5 3,5 4,25
Tabla 2.4
Fuente: Los Autores
Figura 2.4
Fuente: Los Autores
2.2.5 Pregunta 5
Qu tan expuestos estn los canales de comunicacin manejados por la sede y que
tan crticos son estos?
Activo de informacin Importancia Ocurrencia Estimada Riesgo Actual
Enlace de Datos
Guayaquil - Cuenca
5 3,3 4,15
Enlace Video Conf.
Guayaquil Cuenca
5 3 4
Tabla 2.5
Fuente: Los Autores
0
1
2
3
4
5
Red Local Firewall Servicion de
la Red
Telefonia
VoIp
Riesgo de acuerdo Servicio brindado
Importancia
Ocurrencia Estimada
Riesgo Actual
-
29
Figura 2.5
Fuente: Los Autores
2.2.6 Pregunta 6
Al carecer con una poltica de seguridad y planes de contingencia. Cules podran
ser considerados con los puntos ms vulnerables dentro de la institucin?
Activo de informacin Importancia Ocurrencia Estimada Riesgo Actual
Oficinas 5 3 4
Laboratorios 5 3,22 4,11
Sala de servidores 5 3 4
Tabla 2.6
Fuente: Los Autores
Figura 2.6
Fuente: Los Autores
0
1
2
3
4
5
oficinas laboratorios sala de servidores
Vulnerabilidad de acuerdo al nivel de riesgo dentro de cada uno de los servidores
Importancia Ocurrencia Estimada Riesgo Actual
0
1
2
3
4
5
Enlace de Datos Gye - Cue Enlace Video Conf Gye - Cue
Riegos asociados a los servicios subcontratados
Importancia
Ocurrencia Estimada Riesgo Actual
-
30
2.3 Verificacin de hiptesis
Segn lo analizado, la institucin estara en un nivel alto de exposicin en tema de
seguridad, tomando en cuenta la importancia de la calidad de los servicios brindados,
como el riego actual identificado al poder implementar mtodos y polticas de
control, estos mantendrn una tendencia a decrecer al menos en usa tasa del 50%.
Figura 2.7
Fuente: Los Autores
En la aplicacin de nuevos mtodos de control que mantengan segura la informacin
que es transmitida por los diferentes medios as como mantener una poltica de
encriptacin permitir mejorar el nivel de seguridad de la informacin que a travs
de los medios es transmitida.
Figura 2.8
Fuente: Los Autores
0
1
2
3
4
5
Correo Electrnico
Informacin Almacenada
Acceso a Internet
Servicio de Directorio
Active
De acuerdo a los Servicios Brindados por la Institucin despus de la Aplicacin del Control
Importancia Ocurrencia Estimada Riesgo Actual Riesgo luego del Control
0
1
2
3
4
5
Informacin Acadmica
Informacin Financier
Informacin de Inventario
Informacin de recursos humanos
ndice de Riego despus de Aplicar el Control de Seguridad
Importancia Ocurrencia Estimada Riesgo Actual Riesgo luego del Control
-
31
Entre los servicios brindados por la universidad se encuentra el de mensajera
electrnica, el cual es blanco de spammers, o correo basura, por otro lado el acceso
a Internet puede representar una vulnerabilidad que permita accesos no autorizados o
propagacin de cdigo malicioso si no existen los controles adecuados.
Figura 2.9
Fuente: Los Autores
Existen varias estaciones de trabajo que son consideradas crticas debido a la
informacin almacenada en las mismas y las funciones que estas desempean. Es
necesario aplicar controles sobre estos activos que permitan mitigar el riesgo de dao
por cdigo malicioso, uso indebido o por variaciones de corriente. Con la aplicacin
de una poltica de contingencia se podr evitar la prdida de la disponibilidad del
servicio que estos equipos prestan, y se evitar considerablemente incidencias como
las antes mencionadas.
Figura 2.10
Fuente: Los Autores
0
1
2
3
4
5
Red Local Firewall Servicio de la Red
Telefona VoIp
Riesgo de acuerdo Servicio brindado despus del Control
importancia ocurrencia estimada Riesgo Actual Riesgo luego de Control
0
1
2
3
4
5
Estaciones de Trabajo Crticas
Estaciones de Trabajo
Equipos en los Laboratorios
Servidores
Aplicaciones De Acuerdo al tipo de informacin procesada en las Estaciones de Trabajo despus de la Aplicaciones del Control
Importancia Ocurrencia Estimada Riesgo Actual Riesgo luego del Control
-
32
Podran potenciarse los controles existentes que permitan transmitir de manera mas
segura la informacin a travs de los diferentes canales de comunicacin disponibles.
Figura 2.11
Fuente: Los Autores
Unos de los principales objetivos es mantener los servicios, servidores y redes
interconectados entre las sedes, mediante la aplicacin de los controles sugeridos en
la norma, se podra monitorear y garantizar la calidad del servicio brindado por el
(los) proveedor (es).
Figura 2.12
Fuente: Los Autores
0
1
2
3
4
5
Oficinas Laboratorios Sala de servidores
Vulnerabilidad de acuerdo al nivel de riesgo dentro de cada uno de
los servidores despus de la poltica
Importancia
Ocurrencia estimada Riesgo Actual
Riesgo luego de Control
0
1
2
3
4
5
Enlace de Datos Gye - Cue
Enlace Video Conf Gye - Cue
Riegos al Mantener Servicios SubContratados con otros
Proveedores despus de la aplicacin del control
Importancia
Ocurrencia Estimada
Riesgo Actual
Riesgo luego de Control
-
33
A fin de cuantificar el cumplimiento actual y esperado con las mejores prcticas en
seguridad informtica, se ha realizado el anlisis GAP incluido a continuacin.
Un anlisis GAP examina las diferencias entre la gestin actual y la informacin
presupuestada. Los resultados obtenidos representan el grado en el que una
organizacin ha cumplido sus objetivos.
Aspecto Porcentaje
Proteccin
Actual
Gestin de Activos 5%
Seguridad fsica y ambiental 11,80%
Gestin de las comunicaciones y operaciones 12,80%
Control de Accesos 10%
Adquisicin, desarrollo y mantenimiento de los sistemas
de informacin
15%
Gestin de la continuidad del negocio 10%
Tabla 2.7
Fuente: Los Autores
Figura 2.13
Fuente: Los Autores
0%
20%
40%
60%
80%
100%Gestin de Activos
Seguridad fsica yambiental
Gestin de lascomunicaciones y
operaciones
Control de Accesos
Adquisicin,desarrollo y
mantenimiento de lossistemas deinformacin
Gestin de lacontinuidad del
negocio
Cumplimiento con mejores prcticas en seguridad informtica
Universidad Politcnica Salesiana Sede Guayaquil
CumplimientoCumplimiento ideal
-
34
Aspecto Porcentaje
Proteccin Inicial
esperado
Gestin de Activos 50%
Seguridad fsica y ambiental 64,20%
Gestin de las comunicaciones y operaciones 62,80%
Control de Accesos 60%
Adquisicin, desarrollo y mantenimiento de los
sistemas de informacin
60%
Gestin de la continuidad del negocio 60%
Tabla 2.8
Fuente: Los Autores
Figura 2.14
Fuente: Los Autores
Como puede apreciarse en la figura 2.14 el cumplimiento con las mejores prcticas
es limitado, debido a mantener controles de forma emprica, mas no existe un
0%10%20%30%40%50%60%70%80%90%
100%Gestin de Activos
Seguridad fsica yambiental
Gestin de lascomunicaciones y
operaciones
Control de Accesos
Adquisicin,desarrollo y
mantenimiento de lossistemas de
Gestin de lacontinuidad del
negocio
Cumplimiento mejores prcticas seguridad informtica
Cumplimiento actual
Cumplimiento ideal
-
35
cumplimiento formal de los controles aceptados como mejores prcticas en seguridad
informtica. Este hecho incrementa notablemente los riesgos de que la informacin o
sistemas se vean comprometidos en caso de una incidencia.
El establecimiento de un SGSI, lograra elevar los niveles de cumplimiento y a la vez
minimizar el riesgo asociado al uso de la informacin.
-
36
CAPTULO III
PROPUESTA DE CREACIN
DISEO - PLANEACIN DE UN SGSI
SEDE GUAYAQUIL UNIVERSIDAD
POLITCNICA SALESIANA
-
37
3.1 Definicin
Un Sistema de Gestin de Seguridad de la Informacin constituye una herramienta
de gestin para todo tipo de organizaciones en lo relacionado a la preservacin de la
informacin que esta maneja.
Los sistemas informticos almacenan gran cantidad de informacin fundamental para
las organizaciones, estos sistemas, como cualquier otro, son propensos a riesgos de
seguridad y pueden ser blanco de un sin nmero de amenazas internas y externas.
Los riesgos pueden categorizarse principalmente como:
Riesgos Fsicos Accesos no autorizados o controlados, catstrofes naturales,
vandalismo.
Riesgos Lgicos Ataques informticos, cdigos maliciosos, virus, troyanos, ataque
de denegacin de servicio.
El SGSI permite evaluar, reconocer, y aceptar controladamente los diferentes riesgos
a los que la informacin est sujeta, esto se lo consigue a travs de la definicin de
polticas, procedimientos y controles en relacin a los objetivos de negocio
consiguiendo con esto mantener el riesgo por debajo de los parmetros establecidos
por la organizacin gestionando estos de manera sistemtica, definida, documentada
y ampliamente difundida.5
3.2 Alcance
El proceso de implementacin de un Sistema de Gestin de Seguridad de la
Informacin se basa en lo estipulado en la norma ISO/IEC 27001.
La norma ISO 27001 es un estndar para la seguridad de la informacin el cual fue
aprobado y publicado como estndar internacional en Octubre de 2005 por la ISO
____________________
5Fuente: INTERNET - https://sgsi.inteco.es/index.php/es/conceptos-de-un-sgsi
International Organization for Standardization y por la IEC International
Electrotechnical Commission. 6
-
38
La norma ISO 27001 especifica los requisitos necesarios para establecer, implantar,
mantener y mejorar un Sistema de Gestin de la Seguridad de la Informacin
(SGSI) segn el conocido Ciclo PDCA - acrnimo de Plan, Do, Check, Act
(Planificar, Hacer, Verificar, Actuar).
Planificar (Plan)
Qu hacer y cmo para satisfacer poltica y objetivos para la seguridad de
la informacin?
Implementar (DO)
Poner en prctica lo planificado.
Verificar (Check)
Verificar si se ha hecho lo planificado y si lo que se ha hecho resulta
eficaz.
Mejora Continua (Act)
Cmo y qu mejorar?
Figura 3.1
Fuente: INTERNET - www.nexusasesores.com
____________________
6 Fuente: INTERNET Wikipedia http://es.wikipedia.org/wiki/ISO/IEC_27001
-
39
Este proyecto se encuentra definido como un DISEO orientado a cubrir los
requerimientos de la primera fase de implementacin de un SGSI, y el objeto de
estudio ser el Departamento de Sistemas de la Sede Guayaquil de la Universidad
Politcnica Salesiana.
Segn el estndar establecido, a saber, ISO/IEC 27001, en la fase de Planificacin se
incluir lo detallado a continuacin:
Anlisis detallado que permita establecer los lmites del sistema en funcin
de la estructura organizacional y recursos tecnolgicos disponibles,
incluyendo la debida justificacin.
Elaboracin y documentacin de una poltica de seguridad en trminos de las
caractersticas del negocio, organizacin, activos y tecnologa.
Definir el enfoque, y metodologas a utilizarse en la valoracin riesgos de la
organizacin.
Identificacin de riesgos , amenazas y vulnerabilidades a las que estn
expuestos los activos definidos dentro del alcance del Sistema de Gestin de
Seguridad de la Informacin (SGSI).
Anlisis y evaluacin de riesgos, que implica el clculo realista de la
posibilidad de que los riesgos identificados tengan una ocurrencia, valorar el
impacto comercial que estos acarrearan, y determinar si el riesgo es
aceptable en trminos del negocio.
Identificacin y evaluacin de las opciones o acciones para los riesgos
previamente evaluados.
Seleccionar los objetivos de control o controles a utilizarse en el tratamiento
de riesgos, existen diferentes controles recomendados en la norma ISO/IEC
-
40
27001, deber realizarse un anlisis de la organizacin a fin de definir cules
de ellos son aplicables al negocio.
Definicin de los riesgos residuales, es decir, los riegos que permanecen
incluso luego de realizar las acciones preventivas pertinentes, estos debern
clasificarse como aceptables o inaceptables para la organizacin y ser puestos
a consideracin de la direccin a fin de ser aprobados previo a continuar con
la fase de implantacin.
Preparar un Enunciado de Aplicabilidad
Obtener la autorizacin de la gerencia para implementar y operar el SGSI. 7
3.3 Plan de implementacin
Uno de los fundamentos del diseo del SGSI es la elaboracin de la poltica de
seguridad informtica a aplicarse en la sede Guayaquil de la Universidad
Politcnica Salesiana, los aspectos a tratarse, se detallan a continuacin:
Definir los alcances del Sistema de Gestin de Seguridad de la
Informacin.
Definir una poltica de seguridad de la informacin en trminos de la
lgica y poltica organizacional, la cual incluir:
o Poltica de Seguridad - A.5 8
o Organizacin de la seguridad de la informacin - A.6
o Gestin de Activos - A.7
o Seguridad de los recursos humanos - A.8
o Seguridad fsica y ambiental - A.9
____________________
7Aplicable en caso que la organizacin decida continuar con las tres fases de implementacin restantes
del Sistema de Gestin de Seguridad de la Informacin (SGSI), fases que no son parte del anlisis y
estudio de esta tesis.
8 Corresponde al nmero identificador del control segn la norma ISO/IEC 27001.
-
41
o Gestin de las comunicaciones y operaciones - A.10
o Control de Accesos - A.11
o Adquisicin, desarrollo y mantenimiento de los sistemas de
informacin - A.12
o Gestin de un incidente en la seguridad de la informacin - A.13
o Gestin de la continuidad del negocio - A.14
o Cumplimiento - A15
Definir el enfoque de evaluacin del riesgo de la organizacin
Analizar y evaluar el riesgo
Seleccionar los objetos de control y controles a fin de mitigar la posibilidad
de incidencia de los diferentes riesgos identificados
Enunciado de Aplicabilidad
3.4 Alcances del SGSI
Para la gestin financiera, administrativa y acadmica de la Universidad
Politcnica Salesiana sede Guayaquil, es necesario el uso de sistemas de
informacin, servicios informticos e informacin almacenada en servidores y
repositorios.
El SGSI pretende regularizar y controlar todo aspecto concerniente al uso de los
mismos a fin de mantener las operaciones lo ms seguras posibles sin impactar el
nivel de servicio y la continuidad de las operaciones.
El alcance del SGSI de la Universidad Politcnica Salesiana sede Guayaquil es
delimitado de la siguiente manera:
Servicios implicados
Procesos acadmicos tales como matriculacin estudiantes, registro y
-
42
gestin de informacin de estudiantes, docentes, registros acadmicos,
pensum acadmico, calificaciones, horarios de clases y dems procesos de
esta ndole.
Procesos financieros tales como registro de pagos, informacin financiera,
contable, informacin de cobros y dems procesos relacionados.
Procesos administrativos tales como nomina, talento humano, inventarios,
activos fijos y dems procesos relacionados.
Localizaciones fsicas
El SGSI objeto de esta planificacin est delimitado y es aplicable a la
sede Guayaquil de la Universidad Politcnica Salesiana Campus
Centenario ubicado en Chambers # 227 y Laura Vicua Guayaquil-
Ecuador.
Sistemas de Informacin
Los sistemas de informacin gestionados por este sistema son los
siguientes:
o Sistema Acadmico
o Sistema Financiero
o Sistema Administrativo
o Correo Electrnico
o Servicio Internet (Proxy, Firewall NAT)
o Sistemas de monitoreo y respaldos
o Sistemas y aplicativos residentes en equipos de computo de los
diferentes departamentos
-
43
3.5 Poltica de seguridad de la informacin
A.5 Poltica de seguridad
1.- ASPECTOS GENERALES
En la actual era de negocios electrnicos la informacin ha adquirido un nivel aun
ms crtico como activo dentro de las organizaciones, razn por la cual es de vital
importancia que esta sea debidamente resguardada.
Es conocido la gran diversidad de amenazas tanto internas como externas a las que la
informacin se puede ver sometida, es por eso que la poltica de seguridad intenta
minimizar al mximo los riesgos que asociados con la informacin, siendo posible
conseguir esto nicamente si la poltica de seguridad de la informacin se eleva al
mismo nivel de la poltica organizacional.
El xito de esta poltica radica en el compromiso por parte de las autoridades de la
institucin, una amplia difusin de la misma, y el serio compromiso de cumplimiento
por parte de los usuarios.
2.- Objetivos del control
Resguardar al mayor grado posible la informacin como bien preciado de la
organizacin, adems de los elementos tecnolgicos o sistemas que procesan la
misma a fin de minimizar al mximo el riesgo de incidentes que afecten la
confidencialidad, integridad o disponibilidad de la informacin.
Establecer un estndar que guiar las diversas operaciones a realizarse con la
informacin, estndar que deber mantenerse actualizado y difundido a fin de
asegurar que esta poltica cumpla con los objetivos antes mencionados.
3.- Alcance
La poltica es aplicable a todo mbito dentro de la Universidad Politcnica Salesiana
Sede Guayaquil en el que intervenga la informacin, principalmente al Departamento
de Sistemas, en el que se concentra la gestin de la seguridad , as como los
-
44
laboratorios de computo, siendo tambin extensible a entidades externas en caso de
trabajar colaborativamente o en outsourcing.
4.- Responsabilidad
Todos los docentes, directores de rea, jefes departamentales, personal tcnico,
personal administrativo y estudiantes son responsables de observar y cumplir la
Poltica de Seguridad de la Informacin dentro del rea a su responsabilidad y por
extensin hacer cumplir la misma al personal bajo su cargo si el caso lo amerita,
interviniendo como actores principales los mencionados a continuacin:
Oficial de Seguridad Informtica
Estar encargado de las diversas tareas relacionadas a la administracin de la
seguridad de los sistemas de informacin de la sede, y responsable de
supervisar todos los aspectos relacionados con la presente poltica de
seguridad.
Adicionalmente se encargara de cubrir o delegar tareas relacionadas a
satisfacer los requerimientos de seguridad de la informacin a nivel operativo
detallados en esta poltica.
Usuarios Propietarios de la Informacin
Los propietarios de la informacin, son responsables de clasificar y
catalogar la misma segn el nivel de criticidad y confidencialidad,
mantener documentada y actualizada esta informacin y definir
especficamente que usuarios necesitan acceder en funcin de sus
competencias y que nivel de acceso es requerido.
Coordinador / Jefe de Talento Humano Sede Guayaquil
Ser responsable de notificar a todo personal que ingresa su
responsabilidad de cumplir con la Poltica de Seguridad de la Informacin
y de todas las normas administrativas o tcnicas que se apliquen.
-
45
Tendr la responsabilidad de publicar o notificar al personal bajo su
direccin sobre la presente poltica de seguridad de la Informacin y
cualquier cambio que en esa se produzca.
Usuarios de la informacin y de los sistemas
Son responsables de conocer, difundir, cumplir y fomentar el
cumplimiento de la presente poltica, Es responsable adems de dar fiel
cumplimiento a la poltica de seguridad en toda accin, funcin, o tarea
relacionada directa o directamente con la informacin que accede o
maneja.
Auditor (es) Interno(s)
Es necesario que luego de la implementacin de un SGSI, se realicen
auditorias que permitan asegurar el cumplimiento de los lineamientos de
seguridad establecidos, el auditor tendr la obligacin de realizar
revisiones peridicas sobre el SGSI, constatando el fiel cumplimiento en
todo mbito relacionado al manejo de la informacin o recursos
tecnolgicos.
Una vez realizada esta auditora, ser responsable de presentar un informe
detallado con las novedades presentadas.
5.- Poltica de Seguridad de la Informacin
Generalidades
La poltica de Seguridad de la Informacin se encuentra conformada por normativas
y patrones a seguir para las diferentes instancias en las que la informacin y
patrones que se ve relacionada.
En conformidad con el estndar ISO/IEC 27001 la poltica de Seguridad de la
informacin incluir lo a continuacin detallado:
-
46
Organizacin de la Seguridad
Clasificacin y Control de Activos
Seguridad del Personal
Seguridad Fsica y Ambiental
Gestin de las Comunicaciones y las Operaciones
Control de Acceso
Desarrollo y Mantenimiento de los Sistemas
Administracin de la Continuidad de las Actividades del Organismo
Cumplimiento
El Oficial de Seguridad de la Informtica revisar peridicamente los lineamientos
de la presente poltica a fin de mantenerla actualizada, y adems realizar toda
modificacin necesaria debido a cambios en la infraestructura tecnolgica, variacin
en los procedimientos internos, o inclusin de nuevas tecnologas o sistemas,
asegurndose en lo posterior que esta sea difundida al personal de la sede en todos
los niveles que correspondan.
Sanciones
Se aplicarn sanciones administrativas a quien incumpla la Poltica de Seguridad de
la Informacin, estas sanciones sern definidas por la direccin, y sern establecidas
en funcin de la gravedad de la omisin o incumplimiento. Las sanciones debern ser
difundidas a todo el personal junto con la Poltica de Seguridad de la Informacin.
Objetivos de la Poltica de Seguridad
Asegurar que la informacin sea accedida nicamente por personas
autorizadas ya sean funcionarios de la institucin o personal externo.
Mantener la confidencialidad de la informacin
Garantizar que la integridad de la informacin sea mantenida durante todo el
ciclo de vida de la informacin.
-
47
Establecer un plan de continuidad de las operaciones y probarlo
regularmente.
Asegurar que todo el personal cuente con capacitacin en materia de
seguridad de la informacin, adems de conocer la obligatoriedad del
cumplimiento de la poltica de seguridad en todos los niveles
organizacionales.
Garantizar que todas las vulnerabilidades y debilidades en materia de
seguridad sean reportadas sistemticamente.
Garantizar que los requerimientos de disponibilidad de la informacin sean
cumplidos.
Establecer la necesidad de crear procedimientos tcnicos y administrativos
que sirvan de soporte a la poltica de seguridad de la informacin, debe
incluirse procedimientos para control de cdigo malicioso, gestin de
contraseas, y planes de contingencia.
El oficial de seguridad informtica es encargado de mantener y mejorar
progresivamente el sistema.
Las jefaturas departamentales son responsables de asegurar el cumplimiento
de la poltica de seguridad por parte del personal bajo su mando.
A.6 Organizacin de la seguridad de la informacin
1.- Aspectos Generales
La Poltica de Seguridad de la Informacin debe estar directamente relacionada a los
objetivos y polticas organizacionales que gobiernan el funcionamiento de la
institucin. Para esto es necesario establecer y definir un sujeto que gestione la
-
48
seguridad de la informacin y realice o establezca responsabilidad sobre tareas tales
como la aprobacin de nuevas polticas, cambios en la misma, y definicin de roles
dentro de este proceso.
Debe tomarse en consideracin que para dar cumplimiento a ciertas operaciones,
actividades, o funciones ser necesaria la interaccin con entidades externas, ya sean
de otra sede ,institucin, proveedores, o empresas que brindan servicio de outsorcing
, para estos casos debe tomarse en cuenta que la informacin puede verse en riesgo si
el acceso a la misma no se produce de manera adecuada y controlada , razn por la
cual es necesario establecer normativas y parmetros a seguir a fin de protegerla.
2.- Objetivos del Control
Implementar en la Universidad Politcnica Salesiana sede Guayaquil, la gestin
unificada de la seguridad de la informacin, especificando las instancias que
permitan implantar controles apropiados para garantizar su cumplimiento.
Establecer con claridad las funciones y responsabilidades dentro de la gestin de la
seguridad de la informacin.
Definir medidas de seguridad que permitan regular los accesos a activos de
informacin por parte de personal de organismos externos a la sede logrando
minimizar al mximo los riesgos en la misma.
Promover el uso de asesoramientos externos en materia de seguridad de la
informacin a fin de complementar la poltica detallada en este documento.
3.- Alcance del Control
El control ser aplicable a todos los recursos o personal que directa o indirectamente
interactan con los activos de informacin, y se hace extensible a los recursos
externos que requieran acceso a informacin interna servicios o sistemas
informticos.
-
49
4.- Responsabilidad sobre el Control
El funcionario encargado de la seguridad informtica dentro de la sede Guayaquil de
ser responsable de promover la implantacin de la poltica de seguridad, adems
ser el responsable de las actualizaciones en la poltica que en conformidad a
cambios sean necesarias, realizar o delegar a personal bajo su mando la realizacin
de monitoreos, pruebas de intrusiones , anlisis de riesgos , implementacin de
controles y realizacin de procedimientos de orden tcnico en lo relacionado a la
seguridad de la informacin.
Deber adems evaluar la necesidad de solicitar asesoramiento externo en caso de
existir la necesidad.
El personal a cargo de realizar la contratacin de servicios o adquisicin de bienes
relacionados a tecnologas de la informacin deber incluir en los contratos la
exigencia de cumplimiento de las normativas expuestas en la poltica de seguridad
implementada, adems de incluir una clusula de compromiso estricto de
confidencialidad.
5.- Poltica de Organizacin de la Seguridad de la Informacin
A.6.1.2 Coordinacin de la seguridad de informacin
En concordancia con la estructura organizacional y del departamento de sistemas, las
tareas de administrar la seguridad de Informacin estar a cargo del Oficial de
Seguridad Informtica , quien impulsar el cumplimiento de la presente poltica, se
encargar adems de solicitar apoyo de los jefes departamentales a fin de obtener
informacin relevante sobre sus respectivas reas en caso de requerirla.
La Coordinacin de la seguridad de la Informacin tendr la responsabilidad de:
Revisar y exponer ante la (las) autoridades de la Sede la poltica de seguridad
de la informacin y fomentar su aprobacin.
Descubrir y documentar nuevos riesgos a los que la informacin se pueda ver
sometida e incluir mecanismos para mitigarlos dentro de esta poltica.
-
50
Realizar los cambios necesarios a la Poltica de Seguridad, fomentar su
aprobacin, y delegar a quien corresponda la difusin en todos los niveles
organizacionales.
Mantenerse atento ante los incidentes de seguridad que se presenten, y
asegurarse que sean documentados.
Evaluar nuevas tecnologas a establecerse en la infraestructura tecnolgica de
la sede a fin de que la utilizacin de esta, no se contraponga a la poltica de
seguridad establecida, y en caso de ser aprobadas establecer los controles
necesarios para minimizar al mximo el riesgo de exposicin.
Fomentar la cultura de seguridad de la Informacin en todos los niveles.
Establecer planes de continuidad del negocio o planes de contingencia que
permitan mantener los sistemas y servicios disponibles.
Debe existir una constancia, o compromiso de aceptacin por escrito por
parte de la persona que la direccin de la Sede asigne para que realice las
funciones de coordinacin de la seguridad de la informacin, quien deber
cumplir las obligaciones anteriormente detalladas.
-
51
MODELO DECLARACIN DE ACEPTACIN CARGO
OFICAL DE SEGURIDA INFORMATICA
Fecha:__/__/__
El que suscribe (Nombre
del funcionario asignado a este cargo) con C.I#
...declara aceptar el nombramiento de OFICIAL
DE SEGURIDAD INFORMATICA de la Universidad Politcnica Salesiana
Sede Guayaquil , acepta conocer y aceptar todos los trminos ,condiciones
atribuciones y obligaciones que se encuentran detallados en la Poltica de
Seguridad de la Informacin seccin A.6.1 del SISTEMA DE GESTION DE
SEGURIDAD DE LA INFORMACION.
_________________________________________
NOMBRE DE FUNCIONARIO ASIGNADO
CARGO
Aclaraciones: _____________________________________________
Figura 3.2
Fuente: Los Autores
A.6.1.3 Asignacin de responsabilidades de la seguridad de la informacin.
El Oficial de Seguridad Informtica asignado por la direccin ser responsable de
establecer controles cooperativos con los dems departamentos si las circunstancias
lo ameritan y cumplir con las tareas especificadas a continuacin:
-
52
MATRIZ RESPONSABILIDADES
SGSI Universidad Politcnica Salesiana Sede Guayaquil
Tabla 3.1
Fuente: Los Autores
A.6.1 .4 Proceso de autorizacin para los medios de procesamiento de
informacin
Dentro del esquema organizacional puede presentarse la necesidad de aadir nuevos
medios o elementos destinados a procesamiento de la informacin.
La autorizacin de estos nuevos recursos ser responsabilidad conjunta de las
diferentes unidades o departamentos involucrados junto con el oficial de seguridad
de la informacin, tomando en cuenta el propsito de los mismos y considerando las
condiciones de uso recomendadas por el responsable de la seguridad de la
informacin.
Es necesario realizar una inspeccin y anlisis de los componentes de hardware,
software y conectividad a fin de verificar que se encuentren en congruencia con la
poltica de seguridad establecida, y determinar las posibles vulnerabilidades o
amenazas que este nuevo recurso podra implicar.
DETALLE RESPONSABLE
Seguridad en recursos humanos
Ing. Javier Ortiz -Direccin
Talento Humano
Seguridad Fsica y Ambiental
Ing. Javier Ortiz
Gestin de las comunicaciones y operaciones Ing. Javier Ortiz
Control de Accesos
Ing. Javier Ortiz
Adquisicin desarrollo y mantenimiento de los
sistemas de informacin
Ing. Javier Ortiz Martha Yanqui
Gestin de incidentes seguridad
Ing. Javier Ortiz
Gestin Continuidad Negocio
Ing. Javier Ortiz
-
53
A.6.1.8 Revisin independiente de la seguridad de la informacin.
Es recomendable que las autoridades de la Universidad Politcnica Salesiana
designen a personal calificado para efectuar auditorias y revisiones independientes
una vez establecido el Sistema de Gestin de Seguridad de la Informacin, esto
garantizar que las polticas que forman parte de este documento estn siendo
aplicadas en las diferentes labores cotidianas en las que la informacin se ve
involucrada.
A.6.2 Entidades Externas
A.6.2.1 Identificacin de riesgos relacionados con entidades externas
Al momento de requerir servicios o asesoras de terceros, sean personas naturales o
jurdicas, el responsable de la seguridad de la informacin deber en conjunto con el
titular del departamento al que se solicita acceso, desarrollar un anlisis que incluir
los diversos riesgos que implica la actuacin del recurso externo en cuestin.
En este anlisis debe incluirse , el nombre del recurso externo que acceder a
cualquier activo de informacin , el tipo de acceso que se autorizar , los motivos
para los cuales el acceso es solicitado , y un anlisis de cmo este acceso podra
poner en riesgo la disponibilidad , integridad o confidencialidad de la informacin.
Este anlisis debe presentarse por escrito y ser registrado en los archivos de tareas
administrativas relacionadas con la seguridad de la informacin.
Posterior a esto se definirn los controles necesarios a fin de mitigar los riesgos
analizados, no se autorizar el acceso antes que la fase de anlisis de riesgo, y
establecimiento de controles hayan sido concluidas.
A.6.2.3 Tratamiento de la seguridad en contratos con terceras personas
Todo contrato o convenio con entidades terceras, de ninguna manera deber vulnerar
el contenido de las polticas de seguridad informtica establecidas.
-
54
Cada solicitud de informacin por parte de la entidad externa deber ser analizada y
aprobada por el oficial de seguridad de la informacin fundamentndose en los
diferentes aspectos de la poltica de seguridad informtica institucional.
Al momento de compartir la informacin deber constar de los debidos controles que
permitan garantizar la confidencialidad, e integridad de la informacin.
Todo contrato de prestacin de servicios, asesora, o consultara deber contemplar
los siguientes controles:
Conocimiento de la poltica de seguridad organizacional y un compromiso
firmado de fiel cumplimiento.
Procedimientos que incluyan la forma en que el contratado proteger los
activos de informacin involucrados en su labor temporal en la institucin,
sean bienes de hardware, software, informacin, datos no procesados,
procedimientos de notificacin de la ocurrencia de un evento relacionado con
la seguridad, procedimientos que aseguren la no divulgacin de informacin
privada, entre otros aplicables.
Niveles de servicio esperado y obtenidos.
Establecer representante legal, y obligaciones del mismo.
Definir por escrito si existen derechos de autor o de propiedad intelectual en
alguno de los bienes de informacin, en caso de existirlos el personal externo
deber tomar las precauciones que se amerite.
Control de Acceso, acceso fsico, acceso a sistemas o servicios informticos a
travs de usuarios contraseas, tokens, y dems. Estos controles debern
caducar una vez terminada la participacin del personal externo en la
institucin.
-
55
Consentimiento por escrito que otorgar la facultad al oficial de seguridad
informtica o persona delegada por la mxima autoridad de la sede, para
auditar las tareas realizadas por el personal externo a fin de asegurarse que
los acuerdos y controles establecidos estn cumplindose.
Establecer un plan de contingencia en caso de verse afectados uno de los
bienes de informacin utilizados por el personal externo.
Documentar procesos que permitan conocer los cambios realizados y llevar
un control de los mismos.
Controles o procedimientos que eviten que los bienes de informacin sean
afectados por cdigo malicioso o malware.
Definir por escrito si el personal externo ha subcontratado a otra entidad para
realizar parte de las funciones adjudicadas, y establecer la relacin entre los
mismos.
Convenio firmado de confidencialidad.
A.7 Gestin de Activos
1.- Aspectos Generales
Como parte de la gestin de la seguridad de la informacin, la institucin, debe
mantener conocimiento sobre todo los activos que posee sean estos de hardware,
software, informacin, o datos no procesados y clasificarlos a fin de realizar un
riguroso control de riesgos asociados a cada uno de ellos.
Entre estos recursos tenemos: equipos informticos, hardware, equipos de
comunicaciones, software, bases de datos, medios de almacenamiento masivo y
backups ,archivos fsicos e informacin digital de las diferentes unidades
organizativas, equipos de acondicionamiento de aire, red suministro elctrico , UPS ,
entre otros.
-
56
Cada uno de los activos anteriormente citados deben estar clasificados por criterios
como, nivel de criticidad, sensibilidad, nivel de confidencialidad, unidad
organizativa que lo utiliza, etc.
Dado que la informacin puede residir en diversas formas, ya sea impresa,
almacenada en dispositivos removibles, pticos, magnticos, o informacin
transmitida por medios fsicos cableados o no cableados es necesario establecer
controles que permitan asegurar la confidencialidad de los mismos.
Todos los controles mencionados y dems controles aplicables nicamente podran
ser establecidos exitosamente con un conocimiento de los activos de la informacin
que se intenta proteger, teniendo en mente que la informacin es uno de los bienes
ms crticos de cualquier organizacin.
2.- Objetivos Del Control
Mantener la proteccin apropiada de los activos de la informacin
Lograr clasificar los activos en base a criterios previamente definidos.
Establecer niveles de proteccin y controles sobre los activos ya clasificados.
3.- Alcance Del Control
El control ser aplicable a toda la informacin manejada dentro de las actividades o
labores llevadas a cabo en la sede Guayaquil de la Universidad Politcnica Salesiana.
4.- Responsabilidad Sobre El Control
Cada uno de los propietarios de la informacin o activos es responsable de clasificar
y catalogarla segn su nivel de criticidad, mantener de forma documentada todo
cambio que en ella se realice y que esta informacin este actualizada.
-
57
El responsable departamental supervisar el proceso de documentacin y
clasificacin de la informacin que dentro de su departamento se esta administrando.
El Oficial de Seguridad Informtica ser el encargado de que los lineamientos de
seguridad orientados al control de activos se estn llevando a cabo en cada unidad
organizacional.
5.- Poltica De Organizacin de la Seguridad de la Informacin
A.7.1.1 Inventario de Activos
Como parte de la Poltica de Seguridad de la informacin, deben mantenerse
identificados los activos sobre todo los ms importantes y su relacin con los
sistemas de informacin, as como sus respectivos propietarios y la ubicacin fsica
de los mismos.
El inventario de activos de informacin debe mantenerse actualizado en caso de
existir alguna modificacin en alguno de los activos, la responsabilidad
administrativa de que estas tareas se estn realizando recaen sobre el responsable de
cada departamento.
Debe establecerse una revisin peridica, no superior a 6 meses, la misma que ser
supervisada por la jefatura departamental.
A.7.1.2 Propiedad de los activos.
Los activos de informacin pertenecen a la Universidad Politcnica Salesiana, a
menos que a travs de un mecanismo contractual, se establezca lo contrario, de tal
manera que la facultad de otorgar acceso a la informacin institucional ser el oficial
responsable de la seguridad de la informacin
.
Toda informacin residente en cualquier recurso informtico de la sede puede ser
sujeto de revisiones peridicas por parte del oficial de seguridad informtica o a
quien designe para esta funcin.
-
58
Al pertenecer la informacin a la Universidad, queda terminantemente prohibida la
comparticin con entidades externas a menos que sea previamente autorizado por las
autoridades pertinentes.
Cada uno de los activos utilizados por los diferentes departamentos de la sede
Guayaquil de la Universidad Politcnica Salesiana, hardware, software, equipos de
comunicaciones, as como la informacin y datos asociados deben estar bajo custodia
de una parte designada dentro de la organizacin, a saber una jefatura departamental,
o el funcionario a cargo de las actividades relacionadas con ese activo de
informacin.
Al existir una correspondencia del activo de informacin con el funcionario a su
cargo se crea la responsabilidad no repudiable sobre el uso que al activo en cuestin
se d, adems de la responsabilidad de cumplir con los lineamientos de seguridad.
PROPIETARIOS DE LA INFORMACIN
INFORMACIN PROPIETARIO PROCESOS INVOLUCRADOS
Financiera
Contable
Contabilidad
Controles Contables
Estrategias Financieras
Auditorias Contables y Financieras
Controles y Auditorias Tributarias
Control pago colegiaturas estudiantes
Acadmica
Secretaria
del Campus
Matriculas a estudiantes
Controles Acadmicos Estudiantes
Acadmica
Directores de Carrera
Asignacin de estudiantes a cursos
Diseo de horarios para Docentes
Nmina
Direccin
Talento Humano
Control sobre los docentes
Evaluaciones de desempeo
-
59
Acadmica
Secretaria del Campus
Asignacin de Paraacadmicos
Inventarios
Administrativo
Control de Inventarios
Activos Fijos
Tabla 3.2
Fuente: Los Autores
A.7.1.3 Uso aceptable de los activos
Los activos de informacin de la Universidad Politcnica Salesiana Sede Guayaquil,
incluyendo software, aplicaciones y archivos son propiedad de la misma y solo
pueden utilizarse para fines laborales y legales, por esto debern seguirse los
siguientes lineamientos:
Computadoras personales
Toda modificacin realizada sobre los equipos de cmputo de la sede deber
ser autorizada por el Oficial de Seguridad Informtica.
Toda modificacin, instalacin, desinstalacin, o cualquier mantenimiento
sobre los equipos ser realizado exclusivamente por el personal del
departamento de sistemas de la sede.
Deber mantenerse un inventario completo de software y hardware de cada
uno de los computadoras personales, debera inventariarse y mantenerse la
siguiente informacin:
1. Nombre del equipo
2. Direccin IP
3. Mascara Subred
4. Nombre de dominio
5. Ubicacin fsica
6. Modelo Procesador
7. Marca y Modelo del Equipo
-
60
8. Numero de procesadores
9. Velocidad Procesador
10. Versin Sistema Operativo
11. Service Pack instalado
12. Funcin del equipo
13. Memoria RAM
14. Almacenamiento en Disco
15. Nmeros seriales de componentes.
Se debern observar los siguientes lineamientos con relacin al uso de los
equipos informticos.
1. No ingerir alimentos o bebidas cerca de los equipos
2. No fumar cerca de los equipos
3. Mantener proteccin contra variaciones de voltaje
4. No insertar objetos en las ranuras de los equipos
5. No realizar cambios o actividades de mantenimiento sobre el
hardware
6. Conservar los equipos bajo las adecuadas condiciones ambientales
7. Nunca dejar los equipos encendidos, debern apagarse los equipos
cuando no estn en uso.
Computadoras porttiles
Los equipos porttiles de la sede se han adquirido especficamente con el fin
de facilitar el desarrollo actividades relacionadas con la institucin.
Su uso deber ser orientado al cumplimiento de las actividades relacionadas
con el rea o departamento asignado. El uso para propsito personal deber
ser ocasional, racional y bajo ninguna circunstancia deber obstaculizar las
actividades laborales de la institucin.
-
61
Deber mantenerse un inventario de los equipos porttiles que incluya las
caractersticas de los mismos as como su ubicacin.
Los equipos porttiles debern permanecer dentro de las instalaciones de la
sede durante horario laboral.
Los equipos porttiles pueden salir de las instalaciones de la sede bajo total
responsabilidad del usuario al que se le ha asignado el equipo, el cual tomara
todas las precauciones del caso en su uso y transporte.
En caso de ausencia por enfermedad, licencia, o vacaciones, el equipo porttil
deber permanecer en las instalaciones o a disposicin del departamento al
que el equipo ha sido asignado
Computadoras propiedad de terceros
Deben mantenerse deshabilitados los dispositivos de comunicacin o
MODEMS.
Utilizar nicamente las aplicaciones necesarias para el desarrollo de las
funciones asignadas.
Instalar nicamente software licenciado y autorizado por la sede.
Mantener actualizadas las aplicaciones con los ltimos hotfixes o parches
recomendados por el fabricante.
Mantener activo y actualizado el software antivirus.
Se deber controlar el acceso al equipo a fin de evitar el acceso a personas no
autorizadas a fin de preservar la informacin residente en el equipo.
Tomar las medidas necesarias para no vulnerar la seguridad informtica
institucional mediante el uso no responsable del equipo.
-
62
Conocer cumplir y difundir las polticas de seguridad de la informacin
adoptadas por la sede.
Sistemas de Informacin
Las herramientas tecnolgicas as como los sistemas de informacin y
servicios informticos, como el correo electrnico y la Internet, slo podrn
ser utilizados posterior a la autorizacin del Oficial de Seguridad Informtica
en respuesta a pedido de la jefatura del respectivo departamento.
Cada jefe departamental tiene la responsabilidad de definir las tareas que
conllevan acceso a tal herramienta. El uso de tales recursos constituye un
privilegio otorgado con el propsito de agilizar los trabajos de la institucin
gubernamental y NO es un derecho.
Toda informacin almacenada, creada o transmitida desde o hacia los
sistemas de informacin de la Universidad Politcnica Salesiana, es
propiedad de la institucin, por lo que le sern aplicadas todas las
disposiciones establecidas en la poltica de seguridad de la informacin. La
divulgacin de tal informacin sin autorizacin est estrictamente prohibida.
La alteracin fraudulenta de cualquier documento en formato electrnico
redundar en las sanciones que el consejo disciplinario considere aplicables.
Es responsabilidad de la Universidad, tomar todas las medidas aplicables a
fin de garantizar la confidencialidad de la informacin privada de los
estudiantes.
Los usuarios de los sistemas de informacin de la Universidad estn
obligados a respetar los derechos de propiedad intelectual de los autores de
las obras, programas, aplicaciones u otros, manejadas o accedidas a travs de
dicho sistema.
El software y utilitarios as como los sistemas de informacin de la
Universidad deben tener su respectiva licencia vigente o autorizacin de uso
-
63
para poder ser utilizadas los mismos que slo podrn ser instalados por
personal autorizado de la Universidad, a saber , personal tcnico del
departamento de sistemas. Adems, no podrn instalarse programas sin la
previa autorizacin de la Jefatura de Sistemas, inclusive si estos son
programas gratuitos o de cdigo abierto.
Queda terminantemente prohibido reproducir los medios de instalacin de las
aplicaciones, utilitarios, y sistemas de informacin utilizados en la sede
Guayaquil de la Universidad Politcnica Salesiana, adems queda prohibido
el uso de los mismos a no ser con fines institucionales.
La Universidad es responsable de establecer las pautas mediante las cuales se
crean y asignan las cuentas de usuario, incluyendo los mecanismos de
seguridad aplicables tales como contraseas, controles de acceso a los
servidores y sistemas para auditar y monitorear su uso, adems de
mecanismos que aseguren la integridad y seguridad de los datos y
comunicaciones que se envan a travs de medios cableados o no cableados.
Los usuarios de los sistemas debern cumplir con todas las normas de uso y
dando fiel cumplimiento a la poltica de seguridad de la informacin emitidas
por la sede Guayaquil de la Universidad Politcnica Salesiana.
Cada usuario es responsable por el uso adecuado de los cdigos de acceso o
contraseas asignadas.
El uso de los sistemas de informacin ser auditado por el personal
autorizado por el Oficial de seguridad de la Informacin, a fin de de
garantizar el uso apropiado de los recursos. Los usuarios no deben tener
expectativa de intimidad alguna con relacin a la informacin almacenada en
su computadora o buzn de correo electrnico.
Acceder a informacin o a un buzn de correo que no es el asignado,
mediante la modificacin de privilegios de acceso o la interceptacin de
-
64
informacin en cualquier otra manera est prohibido, por lo que tal accin se
sancionar conforme a lo dispuesto por las autoridades de la Universidad.
La Universidad es responsable de verificar que el servicio de Internet y el
correo electrnico estn funcionando adecuadamente adems de asegurar que
la informacin almacenada se encuentre protegida de acceso no autorizado.
El departamento de sistemas deber implementar controles tales como
Firewalls, antivirus, IPS/IDS, entre otros aplicables.
La Universidad se reserva el derecho de emprender los procesos
administrativos, pertinentes con relacin a los actos cometidos, aunque los
mismos no estn expresamente prohibidos en este documento, si dichos actos,
directa o indirectamente, ponen en riesgo la integridad, confiabilidad o
disponibilidad de la informacin, los equipos y los sistemas de informacin
de la Universidad. Cualquier violacin a las normas puede conllevar la
revocacin de privil