SlideShare una empresa de Scribd logo
1 de 19
Descargar para leer sin conexión
MANUAL DE POLITICAS DE SEGURIDAD INFORMÁTICA PARA EL IAEN
Instituto de Altos Estudios Nacionales 1
MANUAL DE POLÍTICAS
DE SEGURIDAD
INFORMÁTICA
MANUAL DE POLITICAS DE SEGURIDAD INFORMÁTICA PARA EL IAEN
Instituto de Altos Estudios Nacionales 2
INFORMACIÓN GENERAL:
Control de Cambios:
Fecha de
elaboración
Versión Elabora
cambios o
revisiones
Naturaleza del
cambio
4 de agosto de
2008
1.0 Gabriel Cevallos Primera Edición
5 de agosto de
2008
1.1 Ximena Garbay Revisión
16 de mayo de
2011
1.2 Soraya Carrasco Actualizaciones
Indicadores de revisión:
1.x: 1: Edición del documento, documento original.
X: Número de revisión efectuada en el documento
Dirigido a:
El presente documento está dirigido a todo el personal del IAEN.
MANUAL DE POLITICAS DE SEGURIDAD INFORMÁTICA PARA EL IAEN
Instituto de Altos Estudios Nacionales 3
CONTENIDO:
Antecedentes 4
Marco Jurídico Administrativo 4
Justificación 5
Objetivo general 6
Objetivos Específicos 6
Alcance 6
Sanciones 7
Beneficios 7
Vigencia 7
Manual de Políticas de Seguridad Informática para el IAEN 7
Generalidades 7
Políticas y Normas de Seguridad Personal 8
Políticas y Normas de Seguridad Física y Ambiental 8
Políticas y Normas de Seguridad y Administración de Operaciones de cómputo 11
Políticas y Normas de Controles de Acceso Lógico 15
Políticas y Normas de Cumplimiento de Seguridad Informática 17
Glosario de términos 18
MANUAL DE POLITICAS DE SEGURIDAD INFORMÁTICA PARA EL IAEN
Instituto de Altos Estudios Nacionales 4
ANTECEDENTES
El IAEN como Universidad de Postgrado se encuentra en una continua innovación académica y
tecnológica a fin de ser un ente de investigación y desarrollo en el ámbito educativo. Parte del
fortalecimiento a efectuarse en el instituto es la infraestructura tecnológica, la misma que es
permanentemente actualizada con propósitos de brindar calidad de servicios a las nuevas
exigencias que persigue la misión del IAEN.
La infraestructura de comunicación a implementarse en el IAEN requiere un manual o conjunto
de normas y políticas de uso y seguridad informática de los equipos y aplicaciones a
implementarse.
MARCO JURÍDICO ADMINISTRATIVO
En el Registro Oficial Número 378, del martes 17 de Octubre del 2006, la Contraloría General
del Estado en resolución No. 025-CG acuerda expedir el Reglamento General Sustitutivo para
el manejo y administración de bienes del Sector Público; el mismo que señala:
Art. 1.- Ámbito de aplicación.- “Este reglamento se aplicará para la gestión de los bienes de
propiedad de los organismos y entidades del sector público..… y para los bienes de terceros
que por cualquier causa estén en el sector público bajo custodia o manejo”.
Art. 2.- De los sujetos.- “Este reglamento rige para los servidores públicos… Por tanto, no
habrá persona alguna que por razón de su cargo, función o jerarquía esté exenta del
cumplimiento de las disposiciones del presente reglamento…”
Art. 3.- Del procedimiento y cuidado.- “La conservación, buen uso y mantenimiento de los
bienes, será responsabilidad directa del servidor que los ha recibido para el desempeño de sus
funciones y labores oficiales”. “Para la correcta aplicación de este artículo, cada institución
emitirá las disposiciones administrativas correspondientes…”
Art. 5.- Empleo de los bienes.- “Los bienes de las entidades y organismos del sector público
sólo se emplearán para los fines propios del servicio público. Es prohibido el uso de dichos
bienes para fines políticos, electorales, doctrinarios o religiosos o para actividades particulares
y/o extrañas al servicio público.”
La Ley de Propiedad Intelectual aprobada por el Congreso Nacional el 19 de mayo de 1998, en
su sección V, Disposiciones especiales sobre ciertas obras, escribe:
Art. 28.- “Los programas de ordenador se consideran obras literarias y se protegen como tales.
Dicha protección se otorga independientemente de que hayan sido incorporados en un
ordenador y cualquiera sea la forma en que estén expresados…..”.
En concordancia con la Constitución Política del Ecuador, art. 163, Capítulo 3, la ley de
Propiedad Intelectual tipifica dentro de la sección: De los Delitos y las Penas:
MANUAL DE POLITICAS DE SEGURIDAD INFORMÁTICA PARA EL IAEN
Instituto de Altos Estudios Nacionales 5
Art. 319.- Será reprimido con prisión de tres meses a tres años y multa de quinientas a cinco
mil Unidades de Valor Constante UVC, tomando en consideración el valor de los perjuicios
ocasionados, quién en violación de los derechos de propiedad intelectual, almacene, fabrique,
utilice con fines comerciales, oferte en venta, venda, importe o exporte:
...f) Un producto o servicio que utilice una marca no registrada idéntica o similar a una marca
notoria o de alto renombre, registrada en el país o en el exterior;
Del Reglamento a Ley de Transparencia y Acceso a la Información Pública del Registro Oficial
507 del 19 de enero del 2005 se declara:
Art. 2.- Ámbito .- “Las disposiciones de la Ley orgánica de Transparencia y de acceso a la
información pública y este reglamento, se aplican a todos los organismos entidades e
instituciones del sector público y privado que tengan participación del Estado…”.
Art. 10.- Información reservada .- Las instituciones sujetas al ámbito de este reglamento,
llevarán un listado ordenado de todos los archivos e información considerada reservada…”
Art. 16.- “El Recurso de Acceso a la Información Pública…procede cuando:
b) “La información sea considerada incompleta, alterada o supuestamente falsa,…”
JUSTIFICACIÓN
La seguridad, en lo que se refiere a una infraestructura de información, es un concepto
relacionado con los componentes del sistema (el hardware), las aplicaciones utilizadas en la
institución (software) y el manejo que se dé del conjunto (el conocimiento del usuario); por
esta razón es un paso primordial el establecer normativas y estándares que permitan obtener
una base de manejo seguro de todo lo relacionado con la infraestructura de comunicación del
IAEN.
El presente documento busca establecer el ¿por qué?, el ¿qué? y el ¿cómo? proteger la
información que fluye a través del sistema de comunicaciones del IAEN agrupando todas las
normas y políticas relacionadas con este fin, tomándose en cuenta todos los niveles de
seguridad considerados en recomendaciones internacionales.
El sentar bases y normas de uso y seguridad informáticas dentro del IAEN respecto a la
manipulación y uso de aplicaciones y equipos computacionales permitirá optimizar los
procesos informáticos y elevará el nivel de seguridad de los mismos.
OBJETIVO GENERAL
Divulgar un manual de políticas de seguridad informática para el conocimiento y
cumplimiento del mismo entre todo el personal del IAEN sobre los recursos
informáticos asignados o utilizados.
MANUAL DE POLITICAS DE SEGURIDAD INFORMÁTICA PARA EL IAEN
Instituto de Altos Estudios Nacionales 6
OBJETIVOS ESPECÍFICOS
Elaborar un manual de políticas de seguridad informática para el personal del IAEN
adaptado a las necesidades y activos tecnológicos del instituto así como a la naturaleza
de la información que se maneja en el mismo.
Utilizar un lenguaje claro de establecimiento de políticas y estándares de seguridad
para la fácil aplicación de las mismas por parte del personal del IAEN.
Establecer niveles de seguridad en base a recomendaciones internacionales
permitiendo que el manual normativo de seguridad sea ordenado y esquemático lo
que se traduce en un enfoque más objetivo de la situación de la institución.
ALCANCE
El presente manual describe todas las normas, políticas y estándares que se aplicarán de
manera obligatoria de parte del personal del IAEN respecto a seguridad informática para
precautelar un correcto uso de equipos de cómputo y aplicaciones tecnológicas; para el
presente manual se ha considerado sugerencias y recomendaciones del estándar británico
británicas BS7799.
BS7799 hace énfasis en la integridad, confidencialidad y disponibilidad. Integridad se refiere a
la necesidad de proteger la exactitud de la información, así como los métodos utilizados para
procesarla. Confidencial se refiere a la garantía de que la información sólo puede ser visitada
por las personas que tienen la autorización para hacerlo. Y la disponibilidad se refiere a la
garantía de que aquellos que han sido autorizadas a hacer uso de la información tienen acceso
a ella y todos los asociados activos cuando sea necesario.
El manual incluye cinco capítulos, a saber:
- SEGURIDAD PERSONAL
- SEGURIDAD FÍSICA Y AMBIENTAL
- SEGURIDAD Y ADMINISTRACIÓN DE OPERACIONES DE CÓMPUTO
- CONTROL DE ACCESO LÓGICO
- CUMPLIMIENTO
Cada capítulo incluye la política relacionada, así como el conjunto de normas respectivas
consideradas en cada caso.
MANUAL DE POLITICAS DE SEGURIDAD INFORMÁTICA PARA EL IAEN
Instituto de Altos Estudios Nacionales 7
SANCIONES
Las sanciones a aplicarse al personal que incumpla las normas descritas en este manual (que
asumirá todas las consecuencias producidas por este incumplimiento) quedan bajo el criterio
de las autoridades del IAEN.
BENEFICIOS
El cumplimiento del presente manual de seguridad informática hará posible un mejor
mantenimiento de los bienes activos de la infraestructura tecnológica del IAEN así como un
manejo más confiable de toda la información del instituto.
VIGENCIA
El presente manual entrará en vigencia, previa aprobación de las autoridades del IAEN
correspondientes y previéndose los medios de difusión entre todo el personal del IAEN. Todo
cambio referente a la infraestructura tecnológica, naturaleza de las aplicaciones u otros
causados por las exigencias del instituto hará necesario efectuar una revisión y actualizaciones
del presente documento, estas actualizaciones y revisiones están previstas dentro del control
de cambios adjunto al presente documento.
MANUAL DE POLÍTICAS DE SEGURIDAD INFORMÁTICA PARA EL IAEN
GENERALIDADES
INSTRUCCIONES DE INTERPRETACIÓN
El presente manual ha sido desarrollado de manera esquematizada y sencilla, con lenguaje
claro para que pueda interpretarse por cualquier colaborador del IAEN cualquiera sea su cargo
e independientemente de su nivel de conocimientos informáticos.
La aplicación de las normas expuestas en el presente documento se han ideado de forma que
su cumplimiento pueda efectuarse de la forma más simple posible y evitando interferir con las
funciones de los colaboradores del IAEN, sin embargo el personal deberá enmarcar sus
esfuerzos para que todas las normas y políticas concernientes a su entorno de trabajo y
utilización de recursos informáticos se cumplan a cabalidad.
POLÍTICAS Y NORMAS DE SEGURIDAD
Políticas.- Las políticas de seguridad informática establecen la visión y actitud general a
establecerse dentro del personal de la organización con respecto a los recursos y servicios
tecnológicos que se utilizan. Las políticas generan a su vez las normas y estándares a aplicarse
dentro de la organización para su cumplimiento; en otras palabras las políticas establecen que
se entiende por seguridad dentro de una determinada organización.
MANUAL DE POLITICAS DE SEGURIDAD INFORMÁTICA PARA EL IAEN
Instituto de Altos Estudios Nacionales 8
Normas.- Las normas son el conjunto de estándares, recomendaciones y controles que buscan
cumplir los objetivos establecidos por las políticas de seguridad, las políticas establecen la
concepción de seguridad dentro de la organización, las normas estableces las acciones
relacionadas con ese concepto.
POLÍTICAS Y NORMAS DE SEGURIDAD PERSONAL
POLÍTICA
Todo empleado y colaborador del IAEN, que debido a sus funciones debe manipular y utilizar
equipos y servicios tecnológicos de la infraestructura de comunicación del Instituto,
independientemente de su jerarquía dentro de la institución, debe firmar un convenio en el
que acepte: condiciones de confidencialidad y manejo de información digital generada en sus
funciones, el manejo adecuado de los recursos informáticos del IAEN, así como el apego a las
normas y políticas del presente manual.
OBLIGACIONES DE LOS USUARIOS
Es responsabilidad de los usuarios de equipos y servicios tecnológicos del IAEN cumplir las
políticas y normas del Manual de Políticas de Seguridad Informática para el IAEN.
ENTRENAMIENTO Y CAPACITACIÓN
Parte de los objetivos del manual es presentarse de fácil entendimiento para todo el personal
cualquiera sea el nivel de conocimiento de tecnología e informática que tenga el usuario, sin
embargo todo colaborador del IAEN de acceso reciente debe contar con la inducción referente
al Manual de Políticas de Seguridad Informática; esta tarea deberá desarrollarse por la Unidad
de Bienestar Humano en conjunto con la Dirección de Desarrollo Tecnológico del IAEN, dentro
de los puntos principales de la inducción se tratará a modo general las obligaciones del usuario
así como las sanciones relacionadas en caso de incumplimiento.
SANCIONES
En caso de que la Dirección de Desarrollo Tecnológico del IAEN identifique el incumplimiento
de las normas y políticas descritas en el presente manual, deberá emitir el reporte o informe
correspondiente a la Unidad Administrativa para que se ejecuten las medidas
correspondientes.
Se consideran violaciones graves el robo y daño de equipos voluntario; además el uso de la
infraestructura de comunicación del IAEN para hackeo o envío de correos tipo spam.
POLÍTICAS Y NORMAS DE SEGURIDAD FÍSICA Y AMBIENTAL
POLÍTICA
Los mecanismos de control de acceso físico deben asegurar que las áreas restringidas del IAEN
den acceso solamente a personas autorizadas para salvaguardar la seguridad de equipos e
MANUAL DE POLITICAS DE SEGURIDAD INFORMÁTICA PARA EL IAEN
Instituto de Altos Estudios Nacionales 9
información del IAEN, dentro de estas áreas restringidas se consideran en especialmente las
oficinas de coordinación y el Centro de Datos del instituto. Para las estaciones de trabajo
abiertas (modulares) se consideran mecanismos de seguridad lógica que limiten el acceso a los
equipos computacionales y la información almacenada en los mismos.
MANEJO DE LA INFORMACIÓN
Todos los usuarios deberán reportar de forma inmediata los riesgos reales o potenciales que
presente el área física en que desempeñan sus funciones para los equipos de cómputo o de
comunicación de los que hacen uso, como por ejemplo fugas de agua, conato de incendio, etc.
Todos los medios de almacenamiento de información de tipo extraíble (diskettes o cintas
magnéticos, CD, DVD o memorias tipo USB) asignados por el IAEN en función de las tareas del
usuario son responsabilidad del mismo, junto con la información contenida en los mismos, aún
cuando no se utilicen.
La información almacenada en los ordenadores asignados a los funcionarios del IAEN son
responsabilidad de los mismos, el evitar fugas o pérdidas de información dentro de los equipos
es obligación del usuario.
CONTROL DE INGRESO DE EQUIPOS
Cualquier persona que acceda a las instalaciones del IAEN deberá registrar al momento de su
ingreso: equipos de cómputo, equipos de comunicaciones (excepto por teléfonos móviles o
celulares) y herramientas que no sean propiedad del IAEN de manera que se mantenga control
sobre el tráfico de los equipos computacionales y de computación que entran y salen del
Instituto. En el caso de los cursantes se podrá declarar con anterioridad los equipos
computacionales que piensa utilizar el cursante en el transcurso de la cátedra respectiva.
Las computadoras personales o portátiles asignadas o cualquier otro activo de comunicación e
información podrán salir de las instalaciones del IAEN previa autorización de la autoridad
respectiva.
SEGURIDAD DEL CENTRO DE DATOS
El centro de datos se considera área restringida dentro del IAEN y sólo el personal autorizado
por la Dirección de Desarrollo Tecnológico tiene acceso al mismo.
TRASLADO, PROTECCIÓN Y UBICACIÓN DE EQUIPOS
La reubicación o movimiento de equipos de computación y comunicación, la instalación y
desinstalación de dispositivos, el retiro de sellos tanto de garantía como de licenciamiento de
sistema operativo o de programas de herramientas ofimáticas son atributos del personal de la
Dirección de Desarrollo Tecnológico del IAEN, este tipo de tareas se realizarán previa
autorización de la Dirección Administrativa y con apoyo de la misma.
MANUAL DE POLITICAS DE SEGURIDAD INFORMÁTICA PARA EL IAEN
Instituto de Altos Estudios Nacionales 10
Todo usuario es responsable de los equipos tecnológicos computacionales y de comunicación
asignados en la ubicación autorizada por la Dirección Administrativa, y el uso de los equipos
será de uso exclusivo de las funciones del IAEN.
En caso de necesitarlo, es responsabilidad del usuario solicitar capacitación necesaria para el
manejo de herramientas informáticas relacionadas con su labor de forma que se reduzca el
riesgo de daño o malfuncionamiento de los equipos y herramientas por mal uso o
desconocimiento, optimizando al mismo tiempo el uso de las herramientas informáticas.
Toda la información obtenida y desarrollada en base a las funciones de los usuarios se
guardará en la carpeta Mis Documentos, de manera que los datos puedan identificarse de
manera rápida y en una sola ubicación lógica para facilitar el proceso de recuperación o
respaldo de archivos.
La ingesta de alimentos y/o bebidas mientras se operan los equipos de computación y
comunicación está prohibida.
La colocación de cualquier objeto sobre los equipos computacionales o la ubicación de
obstáculos o cosas que obstruyan los orificios de ventilación (ubicados en la fuente y parte
lateral de los CPU y monitores de los computadores) están prohibidas.
La estación de trabajo debe estar limpia de polvo y libre de humedad para disminuir daños en
los equipos por estos agentes.
Los cables de conexión de los equipos computacionales a la red eléctrica, a la red de datos y el
cable de conexión telefónica deben protegerse, el usuario cuidará que estos cables no sean
pisados, aplastados o pinchados por personas u objetos.
Cuando se requiera cambiar la ubicación de varios equipos de cómputo (reestructuración,
remodelación, cambio de lugar de unidades, etc) se deberá notificar a la Dirección de
Desarrollo Tecnológico este particular con un mínimo de 48 horas de anticipación para prever
las medidas a aplicarse para realizar el cambio de la manera más rápida y eficaz, todos estos
movimientos y reubicaciones deben estar autorizados por la Dirección Administrativa.
Está prohibido que los usuarios abran o desarmen los equipos de computación y de
comunicación asignados por el IAEN.
MANTENIMIENTO DE EQUIPOS
Los servicios de mantenimiento y reparación se llevarán a cabo solamente por el personal de la
Dirección de Desarrollo Tecnológico del IAEN o personal autorizado por la misma unidad, es
responsabilidad del usuario solicitar información e identificación de la persona o personas
designadas antes de permitir el acceso al equipo asignado.
En caso de ser necesario el traslado del equipo para diagnóstico y reparación, los usuarios
deberán hacer respaldos de la información que consideren crítica o relevante para sus
MANUAL DE POLITICAS DE SEGURIDAD INFORMÁTICA PARA EL IAEN
Instituto de Altos Estudios Nacionales 11
funciones; de esta manera se asegura que la pérdida involuntaria de información que podría
suceder como efecto de la reparación pueda subsanarse.
PÉRDIDA DE EQUIPO
El usuario es responsable del equipo computacional y de comunicaciones asignado, en caso de
robo, extravío o pérdida responderá por el bien de acuerdo a la normativa vigente para estos
casos.
Los equipos de computación portátiles asignados tienen carácter intransferible y son de
responsabilidad del personal respectivo, por tanto no se pueden realizar préstamos de estos
equipos.
La pérdida de cualquier equipo computacional o de comunicación (y accesorios relacionados)
debe comunicarse de inmediato a la Unidad Administrativa, a la Dirección de Desarrollo
Tecnológico y al órgano de Control de Bienes del IAEN.
PERIFÉRICOS Y DISPOSITIVOS ESPECIALES
Los usuarios cuyos equipos computacionales están equipados con grabadores para CD, DVD o
ambos utilizarán estos dispositivos exclusivamente para archivos de respaldo de documentos
originales y copias de software autorizadas al IAEN vía contrato.
El uso indebido de estos dispositivos para copias no autorizadas por el autor (“piratas”) de
cualquier programa de ordenador o software es responsabilidad del usuario bajo cuyo
resguardo esté el equipo computacional.
DAÑO DEL EQUIPO
El daño por negligencia, maltrato o descuido del usuario en los equipos de computación y
comunicación asignados será cubierto por el responsable previa verificación de la
descompostura por parte de la Dirección de Desarrollo Tecnológico del IAEN; en función del
daño se podrá solicitar el valor de la reparación o reposición del equipo o dispositivo.
POLÍTICAS Y NORMAS DE SEGURIDAD Y ADMINISTRACIÓN DE
OPERACIONES DE CÓMPUTO
POLÍTICA
Los funcionarios del IAEN que utilizan equipos de computación y comunicación deben ocupar
mecanismos tecnológicos para la protección y privacidad de la información que manejan y
generan.
La protección de la información también compete a la prevención de código maliciosos al
computador asignado, ya sea este virus, gusano, caballo de troya u otros.
MANUAL DE POLITICAS DE SEGURIDAD INFORMÁTICA PARA EL IAEN
Instituto de Altos Estudios Nacionales 12
USO DE MEDIOS DE ALMACENAMIENTO
No se admite el uso de archivos compartidos entre los equipos asignados, el envío y recepción
de documentos internos se hará vía correo electrónico para que quede constancia del envío y
de las partes relacionadas; de esta manera se asegura control sobre el flujo de comunicaciones
interno del Instituto.
Todas las actividades que realizan los usuarios de la infraestructura de datos y comunicaciones
del IAEN son susceptibles de auditoría y revisión.
INSTALACIÓN DE SOFTWARE
Todos los usuarios que debido a sus actividades requieran el uso de software propietario,
deberán justificar el uso del mismo y solicitar la Autorización a la Dirección de Desarrollo
Tecnológico a través de un oficio firmado por el Director de la unidad del usuario, indicando en
que equipo o equipos (de existir varias licencias adquiridas) deberá instalarse el programa en
cuestión y el período de tiempo estimado de uso.
La instalación de cualquier tipo de programa en computadores, servidores o cualquier otro
equipo conectado a la red del IAEN sin la autorización de la Dirección de Desarrollo
Tecnológico está prohibida.
IDENTIFICACIÓN DEL INCIDENTE
En el caso que un usuario sospeche o tenga conocimiento pleno sobre un incidente de
seguridad informática deberá reportarlo de inmediato a la Dirección de Desarrollo
Tecnológico, justificando con claridad porque lo ocurrido se considera como incidente de
seguridad informática.
De existir la sospecha de que información ha sido revelada, modificada, alterada o borrada sin
autorización del usuario se deberá también notificar el incidente al Director de la Unidad
respectiva.
Cualquier incidente relacionado con la utilización de equipos computacionales y de
comunicación deben reportarse a la Dirección de Desarrollo Tecnológico.
ADMINISTRACIÓN DE LA CONFIGURACIÓN
Está prohibido el alterar la configuración del equipo asignado por cualquier motivo, el
establecer redes de área local, conexiones remotas internas o externas, el intercambio de
información a través del protocolo FTP o cualquier otro protocolo de transferencia de datos
tampoco está permitido sin la autorización previa de la Dirección de Desarrollo Tecnológico
SEGURIDAD PARA LA RED
El uso del equipo computacional asignado para exploración de los recursos compartidos de la
infraestructura tecnológica del IAEN y las aplicaciones que la misma presta con el objetivo de
MANUAL DE POLITICAS DE SEGURIDAD INFORMÁTICA PARA EL IAEN
Instituto de Altos Estudios Nacionales 13
hallar vulnerabilidades, sin autorización previa de la Dirección de Desarrollo Tecnológico se
considera un ataque a la seguridad de la red.
USO DEL CORREO ELECTRÓNICO
El correo electrónico institucional es personal e intransferible, cada usuario mantiene su propia
cuenta y está prohibido el utilizar cuentas asignadas a otras personas para enviar o recibir
mensajes de correo.
El uso de cuentas de correos en servidores externos (Hotmail, gmail, etc) para comunicaciones
institucionales está prohibido a menos que exista autorización de la Dirección de Desarrollo
Tecnológico.
Tanto los mensajes enviados y recibidos así como los archivos adjuntos que salen y entran a los
buzones institucionales se consideran propiedad del IAEN.
Los mensajes enviados por correo electrónico se consideran como una comunicación privada y
directa entre el emisor y el receptor.
El IAEN se reserva el derecho al acceso y análisis de todos los mensajes y archivos adjuntos
enviados a través del correo institucional, al existir sospecha de envío de información que
comprometa la seguridad de la red, o cualquier otra acción no autorizada.
El usuario debe utilizar el correo electrónico exclusivamente para desempeñar las funciones
que le fueron asignadas por su cargo, empleo o comisión; cualquier otro uso del correo
electrónico está prohibido.
Queda prohibido suplantar, falsear o suprimir la identidad de un usuario de correo electrónico.
Queda prohibido el interceptar, revelar o ayudar a interceptar o revelar a terceros las
comunicaciones por correo electrónico.
El empleo del correo electrónico considera el uso de lenguaje apropiado, evitando palabras
ofensivas o altisonantes que afecten la honra y estima de terceros.
CONTROLES CONTRA CÓDIGO MALICIOSO
Para evitar la inducción de código malicioso dentro de los equipos computacionales, el
personal hará uso sólo del software o programas de ordenador instalados y validados por la
Dirección de Desarrollo Tecnológico del IAEN.
Los usuarios de la infraestructura tecnológica del IAEN deben verificar que toda información
contenida en medios de almacenamiento extraíbles como diskettes, CD, DVD o memorias USB
esté libre de códigos maliciosos, esto a través del software antivirus autorizado e instalado en
cada equipo computacional por la Dirección de Desarrollo Tecnológico.
MANUAL DE POLITICAS DE SEGURIDAD INFORMÁTICA PARA EL IAEN
Instituto de Altos Estudios Nacionales 14
Debe verificarse la presencia o no de código malicioso en todos los archivos adjuntos
comprimidos (en formato .zip o .rar) enviados por personal externo o interno ejecutándose el
programa antivirus autorizado antes de ejecutarse la descompresión.
El usuario que genere, compile, escriba, copie, propague o ejecute programas o aplicaciones
en cualquier código o lenguaje de computadora que estén diseñados para auto-replicarse,
dañar o borrar datos o impedir el funcionamiento de aplicaciones y programas autorizados o
componentes del equipo computacional como memorias o periféricos será sancionado por la
autoridad competente como ataque contra la seguridad informática del IAEN.
Cualquier usuario que sospeche la infección de su equipo computacional de virus, troyano o
cualquier otro código malicioso deberá dejar de usar inmediatamente el equipo y anunciar el
particular a la Dirección de Desarrollo Tecnológico para que se tomen las acciones respectivas
de re-establecimiento del equipo y eliminación del código malicioso.
Los usuarios a quienes se han asignado equipos portátiles están en el deber de solicitar
periódicamente a la Dirección de Desarrollo Tecnológico la actualización del software antivirus.
Los usuarios no deben cambiar o eliminar las configuraciones de las consolas de antivirus
instaladas en cada equipo computacional para prevenir la propagación de código malicioso.
Los códigos maliciosos son cada vez más complejos, por lo que ningún usuario debe intentar
erradicarlos por sí mismo.
USO DEL INTERNET
El acceso a Internet provisto para el personal del IAEN a través de equipos computacionales es
exclusivo para el desarrollo de las actividades relacionadas con las necesidades del puesto y
función que desempeña.
Todos los accesos de Internet deben ser provistos a través de los canales previstos para el
efecto, de necesitarse una conexión a Internet especial de características diferenciadas esta
debe ser notificada y autorizada por la Dirección de Desarrollo Tecnológico.
Los usuarios de internet que sospechen la ocurrencia de un incidente de seguridad informática
deben reportarlo inmediatamente a la Dirección de Desarrollo Tecnológico con los
justificativos respectivos sobre las sospechas para la verificación del incidente.
Todo usuario de Internet en el IAEN, al aceptar el servicio está aceptando que:
- Las actividades realizadas en Internet serán sujeto de monitoreo.
- Conocen la prohibición al acceso de páginas no autorizadas
- Conocen la prohibición de descarga de software y archivos de música o video sin la
autorización de la Dirección de Desarrollo Tecnológico.
MANUAL DE POLITICAS DE SEGURIDAD INFORMÁTICA PARA EL IAEN
Instituto de Altos Estudios Nacionales 15
- La utilización del Internet es para el desempeño de su función y cargo en el IAEN y no
para propósitos personales.
POLÍTICAS Y NORMAS DE CONTROLES DE ACCESO LÓGICO
POLÍTICA
Cada usuario se responsabilizará por el mecanismo de acceso lógico asignado, esto es su
identificador de usuario y password necesarios para acceder a la información e infraestructura
de comunicación del IAEN, es responsabilidad de cada usuario la confidencialidad de los
mismos.
El acceso a la información que fluye dentro de la infraestructura tecnológica del IAEN se otorga
en base a las funciones del usuario, se deberán otorgar los permisos mínimos necesarios para
el desempeño del cargo o rol.
CONTROLES DE ACCESO LÓGICO
Todos los usuarios de equipos computacionales son responsables de la confidencialidad del
identificador de usuario y el password de su equipo, así como de aplicaciones especiales que
requieran el mismo control de acceso lógico.
Todos los usuarios deberán autenticarse con los mecanismos de control de acceso lógico antes
de tener acceso a los recursos de la Infraestructura tecnológica del IAEN.
No está permitido a los usuarios el proporcionar información a personal externo sobre los
mecanismos de control de acceso a los recursos e infraestructura tecnológica del IAEN, salvo el
caso de autorización expresa del generador de la información y la Dirección de Desarrollo
Tecnológico.
El identificador de usuario dentro de la red es único y personalizado, no está permitido el uso
del mismo identificador de usuario por varios miembros del personal.
El usuario es responsable de todas las actividades realizadas con su identificador de usuario,
por tanto no debe divulgar ni permitir que terceros utilicen su identificador, al igual que está
prohibido usar el identificador de usuario de otros.
ADMINISTRACIÓN DE PRIVILEGIOS
Todo cambio en roles, funciones o cargo que requiera asignar al usuario atributos para acceso
a diferentes prestaciones de la infraestructura tecnológica del IAEN debe ser notificado a la
Dirección de Desarrollo Tecnológico por el Director correspondiente a la unidad o la autoridad
que ordena el cambio.
MANUAL DE POLITICAS DE SEGURIDAD INFORMÁTICA PARA EL IAEN
Instituto de Altos Estudios Nacionales 16
EQUIPO DESANTENDIDO
El usuario que deja su lugar de trabajo por cualquier razón debe dejar bloqueado su terminal o
equipo computacional precautelando la seguridad de la información a través del mecanismo
de control de acceso lógico.
ADMINISTRACIÓN Y USO DE PASSWORDS
Es obligación del usuario cambiar la clave por defecto asignada por la Dirección de Desarrollo
Tecnológico.
Los passwords son individuales, está prohibido que varios usuarios compartan un password.
Cuando un usuario olvide, bloquee o extravíe su password deberá solicitar a la Dirección de
Desarrollo Tecnológico para que se le realice la acción que le permita ingresar un nuevo
password, y el momento de recibirlo deberá personalizar uno nuevo.
Está prohibido mantener ayudas escritas o impresas referentes al password en lugares donde
personas no autorizadas pueden descubrirlos.
La revelación del password o contraseña a terceros responsabiliza al usuario que prestó su
password de todas las acciones que se realicen con el mismo.
Los usuarios deberán observar las siguientes guías para la construcción de su contraseña:
- La contraseña estará compuesta de caracteres alfanuméricos de mínimo siete (7)
caracteres y máximo 12 (doce).
- Deben ser difíciles de adivinar, es decir no deben estar relacionados con nombre del
empleado, fechas de nacimiento, lugar o cargo o estado dentro del trabajo.
La contraseña no caduca, pero bajo sospecha de que el password es conocido por otra persona
debe cambiarse inmediatamente.
Los cambios o desbloqueo de password solicitados por el usuario a la Dirección de Desarrollo
Tecnológico serán notificados posteriormente al solicitante y al superior inmediato de manera
que se pueda detectar cualquier cambio no solicitado.
CONTROL DE ACCESOS REMOTOS
El uso de las extensiones telefónicas para acceso al Internet de tipo Dial-Up está prohibido, se
considera excepción previa autorización de la Dirección de Desarrollo Tecnológico del IAEN.
La administración remota de equipos conectados a Internet no está permitida, salvo que se
cuente con la autorización y un mecanismo de control de acceso seguro autorizado por el
dueño de la información y la Dirección de Desarrollo Tecnológico.
MANUAL DE POLITICAS DE SEGURIDAD INFORMÁTICA PARA EL IAEN
Instituto de Altos Estudios Nacionales 17
POLÍTICAS Y NORMAS DE CUMPLIMIENTO DE SEGURIDAD INFORMÁTICA
POLÍTICA
La Dirección de Desarrollo Tecnológico del IAEN emitirá y revisará el cumplimiento de las
políticas y normas de seguridad informática que permitan realizar acciones correctivas y
preventivas para el cuidado y mantenimiento de los equipos que forman parte de la
infraestructura tecnológica del Instituto.
DERECHOS DE PROPIEDAD INTELECTUAL
Las leyes de propiedad intelectual prohíben la reproducción de programas de ordenador o
software sin autorización escrita del autor, ya sea este adquirido o desarrollado en el Instituto.
Los sistemas desarrollados por personal interno o externo bajo la supervisión de la Dirección
de Desarrollo Tecnológico son propiedad del IAEN.
REVISIONES DE CUMPLIMIENTO
La Dirección de Desarrollo Tecnológico realizará acciones de verificación del cumplimiento de
manual de políticas de seguridad informática, lo que incluye mecanismos de revisión de
tendencias en el uso de recursos informáticos y la naturaleza de los archivos procesados.
El mal uso de los recursos informáticos detectado por la Dirección de Desarrollo Tecnológico
será reportado conforme a lo indicado en la política de Seguridad de Personal.
VIOLACIONES DE SEGURIDAD INFORMÁTICA
Se prohíbe el uso de herramientas de hardware o software que alteren o eviten los controles
de seguridad informática, a menos que exista autorización expresa de la Dirección de
Desarrollo Tecnológico.
Está prohibido realizar pruebas a los controles efectuados por la Dirección de Desarrollo
Tecnológico, ninguna persona puede probar o intentar comprometer los controles internos a
menos que cuente con la aprobación de la Dirección de Desarrollo Tecnológico o sea un
órgano interno de control.
La búsqueda de orificios o fallas de seguridad informática está reservada para la Dirección de
Desarrollo Tecnológico, está prohibida la realización de pruebas de este tipo para cualquier
usuario no autorizado.
La propagación de código malicioso de forma intencional para probar el desempeño de la red
de parte de usuarios no autorizados está prohibido totalmente.
MANUAL DE POLITICAS DE SEGURIDAD INFORMÁTICA PARA EL IAEN
Instituto de Altos Estudios Nacionales 18
GLOSARIO DE TÉRMINOS
CD.- (Compact Disc, disco compacto): Unidad de almacenamiento digital en forma de disco,
que a través de medios ópticos puede guardar información.
Correo electrónico.- Consiste en enviar y recibir mensajes escritos a través de un computador
y direcciones de buzón virtuales a través de una red privada o Internet y software diseñado
para el efecto.
CPU.- (Central Processing Unit, Unidad Central de proceso): Abreviatura utilizada para
nombrar al procesador de un ordenador, que es el chip que maneja las operaciones lógicas
de cada proceso, en la práctica se usa también para denominar a todo el equipamiento que
contiene al procesador.
Diskettes.- Unidad de almacenamiento extraíble originalmente en tamaño de 5¼” y
posteriormente en 3 ½” con capacidad de hasta 1,44MB, actualmente en proceso de desuso
por la entrada de unidades de almacenamiento con más capacidad y confiabilidad.
DVD.- (Digital Versatile Disc, disco digital verstátil): Unidad de almacenamiento óptica en
forma de disco de alta densidad que permite manejar formatos de audio y video de alta
calidad y gran capacidad de almacenamiento de datos, sustituto natural del CD ya que
soporta más de 4 veces la capacidad de este.
FTP.- (File Transfer Protocol, protocolo de transferencia de archivos): Protocolo que permite
la transferencia de archivos en la mayoría de redes actuales, FTP es soportado por varios
sistemas operativos, incluidas todas las versiones actuales del Windows.
Gusano.- Se denomina gusano al tipo de código malicioso capaz de duplicarse a sí mismo,
suele usar las operaciones automáticas de archivos propios del sistema operativo del
computador para la copia de sí mismo; básicamente ataca la red en sí ya que la duplicación
ocupa ancho de banda y enlentece los procesos.
Hackeo.- En el presente documento se limita a la acción de hallar huecos de seguridad en la
infraestructura de una red para acceder a la información de la misma.
MB.- (Megabyte): Unidad de volumen de información digital equivale a 1024 bytes, el byte
agrupa a ocho bits, un bit es la unidad fundamental del sistema digital y toma un valor de uno
(1) o cero (0).
RAR.- Formato de compresión, un archivo de cualquier naturaleza puede comprimirse a
través de un software especializado y toma la extensión .rar.
Software.- Se denomina software a todo programa, que instalado en un computador permite
el aceceso al usuario a la manipulación de información o uso de periféricos como impresoras,
videocámaras u otros.
Spam.- Publicidad no solicitada que viaja a través de cualquier red hacia buzones de correo
electrónico, el envío de spam en la red de Internet es uno de los mayores causantes de
saturación de la red.
MANUAL DE POLITICAS DE SEGURIDAD INFORMÁTICA PARA EL IAEN
Instituto de Altos Estudios Nacionales 19
Troyano.- Un troyano es un tipo de código malicioso capaz de ingresar a un ordenador para
recabar información que permita el acceso de usuarios externos al computador local con los
consiguientes problemas de seguridad informática.
USB.- (Universal Serial Bus, Bus serial universal): Es un tipo de puerto formado por 4
terminales para recepción, transmisión, y energización del equipo; los puertos USB se
encuentran presentes en todas las computadoras actuales y permiten la conexión de
unidades de almacenamiento portátiles, cámaras, teléfonos, módems inalámbricos y todo
tipo de periféricos.
UVC.- (Unidad de Valor Constante): El UVC toma el valor o costo de un bien constante en
cualquier época como por ejemplo la canasta familiar.
Virus.- Un virus es un tipo de código malicioso capaz de destruir o alterar información del
computador que lo aloja.
ZIP.- Formato de compresión, un archivo de cualquier naturaleza puede comprimirse a través
de un software especializado y toma la extensión .zip.

Más contenido relacionado

La actualidad más candente

“Protección de las infraestructuras críticas: la fusión de dos mundos” Joseba...
“Protección de las infraestructuras críticas: la fusión de dos mundos” Joseba...“Protección de las infraestructuras críticas: la fusión de dos mundos” Joseba...
“Protección de las infraestructuras críticas: la fusión de dos mundos” Joseba...Nextel S.A.
 
Protección de infraestructuras críticas frente a ataques dirigidos a sistemas...
Protección de infraestructuras críticas frente a ataques dirigidos a sistemas...Protección de infraestructuras críticas frente a ataques dirigidos a sistemas...
Protección de infraestructuras críticas frente a ataques dirigidos a sistemas...Enrique Martin
 
POLITICAS DE SEGURIDAD DE SISTEMAS INFORMATICOS
POLITICAS DE SEGURIDAD DE SISTEMAS INFORMATICOSPOLITICAS DE SEGURIDAD DE SISTEMAS INFORMATICOS
POLITICAS DE SEGURIDAD DE SISTEMAS INFORMATICOSyulitza123
 
Politica de seguridad de sistemas informaticos
Politica de seguridad de sistemas informaticosPolitica de seguridad de sistemas informaticos
Politica de seguridad de sistemas informaticosydaleuporsiempre_16
 
Taller 2 otro
Taller 2 otroTaller 2 otro
Taller 2 otroZu Garcia
 
Normas de seguridad informatica
Normas de seguridad informaticaNormas de seguridad informatica
Normas de seguridad informaticaenahego
 
Instructivo seguridad hecho
Instructivo seguridad hechoInstructivo seguridad hecho
Instructivo seguridad hechowpatricio
 
Politicas de sistemas informaticos
Politicas de sistemas informaticosPoliticas de sistemas informaticos
Politicas de sistemas informaticosdianalloclla
 
Protección de infraestructuras críticas
Protección de infraestructuras críticasProtección de infraestructuras críticas
Protección de infraestructuras críticasEnrique Martin
 
Seguridad en Infraestructuras Críticas por Manuel Ballester
Seguridad en Infraestructuras Críticas por Manuel BallesterSeguridad en Infraestructuras Críticas por Manuel Ballester
Seguridad en Infraestructuras Críticas por Manuel BallesterAsociación
 

La actualidad más candente (16)

“Protección de las infraestructuras críticas: la fusión de dos mundos” Joseba...
“Protección de las infraestructuras críticas: la fusión de dos mundos” Joseba...“Protección de las infraestructuras críticas: la fusión de dos mundos” Joseba...
“Protección de las infraestructuras críticas: la fusión de dos mundos” Joseba...
 
Trabajo de elba yeny
Trabajo de elba yenyTrabajo de elba yeny
Trabajo de elba yeny
 
Protección de infraestructuras críticas frente a ataques dirigidos a sistemas...
Protección de infraestructuras críticas frente a ataques dirigidos a sistemas...Protección de infraestructuras críticas frente a ataques dirigidos a sistemas...
Protección de infraestructuras críticas frente a ataques dirigidos a sistemas...
 
POLITICAS DE SEGURIDAD DE SISTEMAS INFORMATICOS
POLITICAS DE SEGURIDAD DE SISTEMAS INFORMATICOSPOLITICAS DE SEGURIDAD DE SISTEMAS INFORMATICOS
POLITICAS DE SEGURIDAD DE SISTEMAS INFORMATICOS
 
Politica de seguridad de sistemas informaticos
Politica de seguridad de sistemas informaticosPolitica de seguridad de sistemas informaticos
Politica de seguridad de sistemas informaticos
 
Taller 2 otro
Taller 2 otroTaller 2 otro
Taller 2 otro
 
Normas de seguridad informatica
Normas de seguridad informaticaNormas de seguridad informatica
Normas de seguridad informatica
 
Instructivo seguridad hecho
Instructivo seguridad hechoInstructivo seguridad hecho
Instructivo seguridad hecho
 
Politicas de sistemas informaticos
Politicas de sistemas informaticosPoliticas de sistemas informaticos
Politicas de sistemas informaticos
 
Protección de infraestructuras críticas
Protección de infraestructuras críticasProtección de infraestructuras críticas
Protección de infraestructuras críticas
 
Modulo III, parte 3
Modulo III, parte 3Modulo III, parte 3
Modulo III, parte 3
 
Guía sobre videovigilancia
Guía sobre videovigilanciaGuía sobre videovigilancia
Guía sobre videovigilancia
 
Seguridad en Infraestructuras Críticas por Manuel Ballester
Seguridad en Infraestructuras Críticas por Manuel BallesterSeguridad en Infraestructuras Críticas por Manuel Ballester
Seguridad en Infraestructuras Críticas por Manuel Ballester
 
Seguridad de la información
Seguridad de la información Seguridad de la información
Seguridad de la información
 
Ordenministerial314
Ordenministerial314Ordenministerial314
Ordenministerial314
 
Politicas de seguridad informatica itla (generales)
Politicas de seguridad informatica  itla (generales)Politicas de seguridad informatica  itla (generales)
Politicas de seguridad informatica itla (generales)
 

Similar a Manualdepolticasdeseguridadinformtica 110713162548-phpapp02

Manual politicas seguridad
Manual politicas seguridadManual politicas seguridad
Manual politicas seguridadragmyl
 
Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...
Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...
Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...Miguel A. Amutio
 
3. res. 856 de 2008 manual seguridad sistemas de informaci+¦n
3. res. 856 de 2008 manual seguridad sistemas de informaci+¦n3. res. 856 de 2008 manual seguridad sistemas de informaci+¦n
3. res. 856 de 2008 manual seguridad sistemas de informaci+¦nsena
 
20120316 Cómo adecuarse al Esquema Nacional de Seguridad (ENS)
20120316 Cómo adecuarse al Esquema Nacional de Seguridad (ENS)20120316 Cómo adecuarse al Esquema Nacional de Seguridad (ENS)
20120316 Cómo adecuarse al Esquema Nacional de Seguridad (ENS)Miguel A. Amutio
 
"Novedades normativas en seguridad de la información" Esquema Nacional de Seg...
"Novedades normativas en seguridad de la información" Esquema Nacional de Seg..."Novedades normativas en seguridad de la información" Esquema Nacional de Seg...
"Novedades normativas en seguridad de la información" Esquema Nacional de Seg...Miguel A. Amutio
 
Manual politicas de seguridad
Manual politicas de seguridad  Manual politicas de seguridad
Manual politicas de seguridad gchv
 
MAN.SGSI.01-PRONABEC_Manual del SGSI.pdf
MAN.SGSI.01-PRONABEC_Manual del SGSI.pdfMAN.SGSI.01-PRONABEC_Manual del SGSI.pdf
MAN.SGSI.01-PRONABEC_Manual del SGSI.pdfCarlosRamos605522
 
"Novedades legislativas. Evolución del Esquema Nacional de Seguridad (ENS)"
"Novedades legislativas. Evolución del Esquema Nacional de Seguridad (ENS)""Novedades legislativas. Evolución del Esquema Nacional de Seguridad (ENS)"
"Novedades legislativas. Evolución del Esquema Nacional de Seguridad (ENS)"Miguel A. Amutio
 
Manual politicas de seguridad grupo10
Manual politicas de seguridad grupo10Manual politicas de seguridad grupo10
Manual politicas de seguridad grupo10Eduardo Maradiaga
 
Novedades en el Esquema Nacional de Seguridad
Novedades en el Esquema Nacional de SeguridadNovedades en el Esquema Nacional de Seguridad
Novedades en el Esquema Nacional de SeguridadMiguel A. Amutio
 
Los Jueves de ISACA: Estado de situación y retos del Esquema Nacional de Segu...
Los Jueves de ISACA: Estado de situación y retos del Esquema Nacional de Segu...Los Jueves de ISACA: Estado de situación y retos del Esquema Nacional de Segu...
Los Jueves de ISACA: Estado de situación y retos del Esquema Nacional de Segu...Miguel A. Amutio
 
Manual redes&comunicaciones politicas de seguridad
Manual redes&comunicaciones politicas de seguridadManual redes&comunicaciones politicas de seguridad
Manual redes&comunicaciones politicas de seguridadgchv
 
Unidad III Politicas de Seguridad Lisby Mora
Unidad III  Politicas de Seguridad Lisby MoraUnidad III  Politicas de Seguridad Lisby Mora
Unidad III Politicas de Seguridad Lisby MoraLisby Mora
 
Diana sistemas
Diana sistemasDiana sistemas
Diana sistemasDIANA221
 
20120306 estado de situación y retos próximos del Esquema Nacional de Segurid...
20120306 estado de situación y retos próximos del Esquema Nacional de Segurid...20120306 estado de situación y retos próximos del Esquema Nacional de Segurid...
20120306 estado de situación y retos próximos del Esquema Nacional de Segurid...Miguel A. Amutio
 
Seminario sobre el Esquema Nacional de Seguridad (ENS)
Seminario sobre el Esquema Nacional de Seguridad (ENS)Seminario sobre el Esquema Nacional de Seguridad (ENS)
Seminario sobre el Esquema Nacional de Seguridad (ENS)Victor Salgado
 
2023909 manual-de-politicas-y-normas-de-seguridad-informatica
2023909 manual-de-politicas-y-normas-de-seguridad-informatica2023909 manual-de-politicas-y-normas-de-seguridad-informatica
2023909 manual-de-politicas-y-normas-de-seguridad-informaticaDC FCP
 

Similar a Manualdepolticasdeseguridadinformtica 110713162548-phpapp02 (20)

Manual de polticas des eguridad informtica
Manual de polticas des eguridad informtica Manual de polticas des eguridad informtica
Manual de polticas des eguridad informtica
 
Manual politicas seguridad
Manual politicas seguridadManual politicas seguridad
Manual politicas seguridad
 
Esquema nacional de seguridad
Esquema nacional de seguridadEsquema nacional de seguridad
Esquema nacional de seguridad
 
Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...
Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...
Esquema Nacional de Seguridad. Políticas de seguridad a aplicar en la Adminis...
 
3. res. 856 de 2008 manual seguridad sistemas de informaci+¦n
3. res. 856 de 2008 manual seguridad sistemas de informaci+¦n3. res. 856 de 2008 manual seguridad sistemas de informaci+¦n
3. res. 856 de 2008 manual seguridad sistemas de informaci+¦n
 
20120316 Cómo adecuarse al Esquema Nacional de Seguridad (ENS)
20120316 Cómo adecuarse al Esquema Nacional de Seguridad (ENS)20120316 Cómo adecuarse al Esquema Nacional de Seguridad (ENS)
20120316 Cómo adecuarse al Esquema Nacional de Seguridad (ENS)
 
"Novedades normativas en seguridad de la información" Esquema Nacional de Seg...
"Novedades normativas en seguridad de la información" Esquema Nacional de Seg..."Novedades normativas en seguridad de la información" Esquema Nacional de Seg...
"Novedades normativas en seguridad de la información" Esquema Nacional de Seg...
 
Manual politicas de seguridad
Manual politicas de seguridad  Manual politicas de seguridad
Manual politicas de seguridad
 
MAN.SGSI.01-PRONABEC_Manual del SGSI.pdf
MAN.SGSI.01-PRONABEC_Manual del SGSI.pdfMAN.SGSI.01-PRONABEC_Manual del SGSI.pdf
MAN.SGSI.01-PRONABEC_Manual del SGSI.pdf
 
"Novedades legislativas. Evolución del Esquema Nacional de Seguridad (ENS)"
"Novedades legislativas. Evolución del Esquema Nacional de Seguridad (ENS)""Novedades legislativas. Evolución del Esquema Nacional de Seguridad (ENS)"
"Novedades legislativas. Evolución del Esquema Nacional de Seguridad (ENS)"
 
Manual politicas de seguridad grupo10
Manual politicas de seguridad grupo10Manual politicas de seguridad grupo10
Manual politicas de seguridad grupo10
 
Novedades en el Esquema Nacional de Seguridad
Novedades en el Esquema Nacional de SeguridadNovedades en el Esquema Nacional de Seguridad
Novedades en el Esquema Nacional de Seguridad
 
Los Jueves de ISACA: Estado de situación y retos del Esquema Nacional de Segu...
Los Jueves de ISACA: Estado de situación y retos del Esquema Nacional de Segu...Los Jueves de ISACA: Estado de situación y retos del Esquema Nacional de Segu...
Los Jueves de ISACA: Estado de situación y retos del Esquema Nacional de Segu...
 
Manual redes&comunicaciones politicas de seguridad
Manual redes&comunicaciones politicas de seguridadManual redes&comunicaciones politicas de seguridad
Manual redes&comunicaciones politicas de seguridad
 
Unidad III Politicas de Seguridad Lisby Mora
Unidad III  Politicas de Seguridad Lisby MoraUnidad III  Politicas de Seguridad Lisby Mora
Unidad III Politicas de Seguridad Lisby Mora
 
Diana sistemas
Diana sistemasDiana sistemas
Diana sistemas
 
20120306 estado de situación y retos próximos del Esquema Nacional de Segurid...
20120306 estado de situación y retos próximos del Esquema Nacional de Segurid...20120306 estado de situación y retos próximos del Esquema Nacional de Segurid...
20120306 estado de situación y retos próximos del Esquema Nacional de Segurid...
 
Seminario sobre el Esquema Nacional de Seguridad (ENS)
Seminario sobre el Esquema Nacional de Seguridad (ENS)Seminario sobre el Esquema Nacional de Seguridad (ENS)
Seminario sobre el Esquema Nacional de Seguridad (ENS)
 
Tema10 aaee
Tema10   aaeeTema10   aaee
Tema10 aaee
 
2023909 manual-de-politicas-y-normas-de-seguridad-informatica
2023909 manual-de-politicas-y-normas-de-seguridad-informatica2023909 manual-de-politicas-y-normas-de-seguridad-informatica
2023909 manual-de-politicas-y-normas-de-seguridad-informatica
 

Más de Urania Estrada Ruiz

Metodologia vial 1formulacion de proyecto
Metodologia vial 1formulacion de proyectoMetodologia vial 1formulacion de proyecto
Metodologia vial 1formulacion de proyectoUrania Estrada Ruiz
 
27670204 estrategia marketing destino
27670204 estrategia marketing  destino27670204 estrategia marketing  destino
27670204 estrategia marketing destinoUrania Estrada Ruiz
 
Guia para comprender cambioclimatico
Guia para comprender cambioclimaticoGuia para comprender cambioclimatico
Guia para comprender cambioclimaticoUrania Estrada Ruiz
 
De florence scovel shinn afirmaciones y decretos
De florence scovel shinn afirmaciones y decretosDe florence scovel shinn afirmaciones y decretos
De florence scovel shinn afirmaciones y decretosUrania Estrada Ruiz
 
Compendio legal ambiental ene 2013 version ii prameclin
Compendio legal ambiental ene 2013 version ii prameclinCompendio legal ambiental ene 2013 version ii prameclin
Compendio legal ambiental ene 2013 version ii prameclinUrania Estrada Ruiz
 
52 sems emonitoreo seguimiento y evaluacion
52 sems emonitoreo seguimiento y evaluacion52 sems emonitoreo seguimiento y evaluacion
52 sems emonitoreo seguimiento y evaluacionUrania Estrada Ruiz
 
Categoria de manejo areas protegidas sinap
Categoria de manejo  areas protegidas  sinapCategoria de manejo  areas protegidas  sinap
Categoria de manejo areas protegidas sinapUrania Estrada Ruiz
 
Introducción al marketing turístico
Introducción al marketing turísticoIntroducción al marketing turístico
Introducción al marketing turísticoUrania Estrada Ruiz
 
Lcl1321e cap1introduccion gestion de proyecto
Lcl1321e cap1introduccion gestion de proyectoLcl1321e cap1introduccion gestion de proyecto
Lcl1321e cap1introduccion gestion de proyectoUrania Estrada Ruiz
 
Guia metodologia inventario recursos turisticos innova turismo
Guia metodologia inventario recursos turisticos innova turismoGuia metodologia inventario recursos turisticos innova turismo
Guia metodologia inventario recursos turisticos innova turismoUrania Estrada Ruiz
 
Seccion3manalisis participativos de los recrsos naturales
Seccion3manalisis participativos de los recrsos naturalesSeccion3manalisis participativos de los recrsos naturales
Seccion3manalisis participativos de los recrsos naturalesUrania Estrada Ruiz
 
38569138 manual-auxiliar-para-la-implementacion-de-proyectos-ecoturisticos
38569138 manual-auxiliar-para-la-implementacion-de-proyectos-ecoturisticos38569138 manual-auxiliar-para-la-implementacion-de-proyectos-ecoturisticos
38569138 manual-auxiliar-para-la-implementacion-de-proyectos-ecoturisticosUrania Estrada Ruiz
 

Más de Urania Estrada Ruiz (20)

08 humedales de nicaragua
08 humedales de nicaragua08 humedales de nicaragua
08 humedales de nicaragua
 
Metodologia vial 1formulacion de proyecto
Metodologia vial 1formulacion de proyectoMetodologia vial 1formulacion de proyecto
Metodologia vial 1formulacion de proyecto
 
27670204 estrategia marketing destino
27670204 estrategia marketing  destino27670204 estrategia marketing  destino
27670204 estrategia marketing destino
 
Abc cambio-climatico-final
Abc cambio-climatico-finalAbc cambio-climatico-final
Abc cambio-climatico-final
 
Guia para comprender cambioclimatico
Guia para comprender cambioclimaticoGuia para comprender cambioclimatico
Guia para comprender cambioclimatico
 
Investigacion documental 1
Investigacion documental 1Investigacion documental 1
Investigacion documental 1
 
De florence scovel shinn afirmaciones y decretos
De florence scovel shinn afirmaciones y decretosDe florence scovel shinn afirmaciones y decretos
De florence scovel shinn afirmaciones y decretos
 
Compendio legal ambiental ene 2013 version ii prameclin
Compendio legal ambiental ene 2013 version ii prameclinCompendio legal ambiental ene 2013 version ii prameclin
Compendio legal ambiental ene 2013 version ii prameclin
 
Plan de manejo isla juan venado
Plan de manejo isla juan venadoPlan de manejo isla juan venado
Plan de manejo isla juan venado
 
Compendio legal ambiental final
Compendio legal ambiental finalCompendio legal ambiental final
Compendio legal ambiental final
 
52 sems emonitoreo seguimiento y evaluacion
52 sems emonitoreo seguimiento y evaluacion52 sems emonitoreo seguimiento y evaluacion
52 sems emonitoreo seguimiento y evaluacion
 
Categoria de manejo areas protegidas sinap
Categoria de manejo  areas protegidas  sinapCategoria de manejo  areas protegidas  sinap
Categoria de manejo areas protegidas sinap
 
La distribución
La distribuciónLa distribución
La distribución
 
El producto turístico
El producto turísticoEl producto turístico
El producto turístico
 
Introducción al marketing turístico
Introducción al marketing turísticoIntroducción al marketing turístico
Introducción al marketing turístico
 
Lcl1321e cap1introduccion gestion de proyecto
Lcl1321e cap1introduccion gestion de proyectoLcl1321e cap1introduccion gestion de proyecto
Lcl1321e cap1introduccion gestion de proyecto
 
Guia metodologia inventario recursos turisticos innova turismo
Guia metodologia inventario recursos turisticos innova turismoGuia metodologia inventario recursos turisticos innova turismo
Guia metodologia inventario recursos turisticos innova turismo
 
Seccion3manalisis participativos de los recrsos naturales
Seccion3manalisis participativos de los recrsos naturalesSeccion3manalisis participativos de los recrsos naturales
Seccion3manalisis participativos de los recrsos naturales
 
Diversidad%20 fauna
Diversidad%20 faunaDiversidad%20 fauna
Diversidad%20 fauna
 
38569138 manual-auxiliar-para-la-implementacion-de-proyectos-ecoturisticos
38569138 manual-auxiliar-para-la-implementacion-de-proyectos-ecoturisticos38569138 manual-auxiliar-para-la-implementacion-de-proyectos-ecoturisticos
38569138 manual-auxiliar-para-la-implementacion-de-proyectos-ecoturisticos
 

Último

La Evolución Industrial en el Ecuador.pdf
La Evolución Industrial en el Ecuador.pdfLa Evolución Industrial en el Ecuador.pdf
La Evolución Industrial en el Ecuador.pdfAnthony Gualpa
 
Sistema Operativo Windows Capas Estructura
Sistema Operativo Windows Capas EstructuraSistema Operativo Windows Capas Estructura
Sistema Operativo Windows Capas EstructuraJairoMaxKevinMartine
 
Química Analítica-U1y2-2024.pdf. Unidades 1 y 2
Química Analítica-U1y2-2024.pdf. Unidades 1 y 2Química Analítica-U1y2-2024.pdf. Unidades 1 y 2
Química Analítica-U1y2-2024.pdf. Unidades 1 y 2santiagoBernabei8
 
Sales Básicas Quimica, conocer como se forman las sales basicas
Sales Básicas Quimica, conocer como se forman las sales basicasSales Básicas Quimica, conocer como se forman las sales basicas
Sales Básicas Quimica, conocer como se forman las sales basicasPaulina Cargua
 
GeoS4344444444444444444444444444444444.pdf
GeoS4344444444444444444444444444444444.pdfGeoS4344444444444444444444444444444444.pdf
GeoS4344444444444444444444444444444444.pdffredyflores58
 
5. MATERIAL COMPLEMENTARIO - PPT de la Sesión 02.pptx
5. MATERIAL COMPLEMENTARIO - PPT  de la Sesión 02.pptx5. MATERIAL COMPLEMENTARIO - PPT  de la Sesión 02.pptx
5. MATERIAL COMPLEMENTARIO - PPT de la Sesión 02.pptxJOSLUISCALLATAENRIQU
 
GeoS33333333333333333333333333333333.pdf
GeoS33333333333333333333333333333333.pdfGeoS33333333333333333333333333333333.pdf
GeoS33333333333333333333333333333333.pdffredyflores58
 
Capacitación Anexo 6 D.s. 023 seguridad y salud ocupacional
Capacitación Anexo 6 D.s. 023 seguridad y salud ocupacionalCapacitación Anexo 6 D.s. 023 seguridad y salud ocupacional
Capacitación Anexo 6 D.s. 023 seguridad y salud ocupacionalamador030809
 
TEMA 02 VISCOSIDAD DE MECÁNICA DE FLUIDOS .pdf
TEMA 02 VISCOSIDAD DE MECÁNICA DE FLUIDOS .pdfTEMA 02 VISCOSIDAD DE MECÁNICA DE FLUIDOS .pdf
TEMA 02 VISCOSIDAD DE MECÁNICA DE FLUIDOS .pdfJhonCongoraQuispe
 
Dispositivos Semiconductores de Potencia BJT, MOSFET 01.pdf
Dispositivos Semiconductores de Potencia BJT, MOSFET 01.pdfDispositivos Semiconductores de Potencia BJT, MOSFET 01.pdf
Dispositivos Semiconductores de Potencia BJT, MOSFET 01.pdfdego18
 
Accidente mortal con un Torno mecánico.pptx
Accidente mortal con un Torno mecánico.pptxAccidente mortal con un Torno mecánico.pptx
Accidente mortal con un Torno mecánico.pptxBuddyroi
 
FOTOCELDAS Y LOS DIFERENTES TIPOS QUE EXISTEN.pdf
FOTOCELDAS Y LOS DIFERENTES TIPOS QUE EXISTEN.pdfFOTOCELDAS Y LOS DIFERENTES TIPOS QUE EXISTEN.pdf
FOTOCELDAS Y LOS DIFERENTES TIPOS QUE EXISTEN.pdfDanielAlejandroAguir2
 
SESION 2- 2 ATOMO Y ESTRUCTURA ATÓMICA.pdf
SESION 2- 2 ATOMO Y ESTRUCTURA ATÓMICA.pdfSESION 2- 2 ATOMO Y ESTRUCTURA ATÓMICA.pdf
SESION 2- 2 ATOMO Y ESTRUCTURA ATÓMICA.pdfEsvinAlvares
 
EJERCICIOS DE -LEY-DE-OHM aplicaciones prácticas
EJERCICIOS DE -LEY-DE-OHM aplicaciones prácticasEJERCICIOS DE -LEY-DE-OHM aplicaciones prácticas
EJERCICIOS DE -LEY-DE-OHM aplicaciones prácticasEfrain Yungan
 
electricidad básica, ejemplos prácticos y ejercicios
electricidad básica, ejemplos prácticos y ejercicioselectricidad básica, ejemplos prácticos y ejercicios
electricidad básica, ejemplos prácticos y ejerciciosEfrain Yungan
 
Guía para la identificación de materiales peligrosos
Guía para la identificación de materiales peligrososGuía para la identificación de materiales peligrosos
Guía para la identificación de materiales peligrososAdrianVarela22
 
MATEMATICA BÁSICA FUNCIONES LOGARITMICAS
MATEMATICA BÁSICA FUNCIONES LOGARITMICASMATEMATICA BÁSICA FUNCIONES LOGARITMICAS
MATEMATICA BÁSICA FUNCIONES LOGARITMICASSALVADOR ALTEZ PALOMINO
 
Sanidad en alpacas, enfermedades infecciosas y parasitarias
Sanidad en alpacas, enfermedades infecciosas y parasitariasSanidad en alpacas, enfermedades infecciosas y parasitarias
Sanidad en alpacas, enfermedades infecciosas y parasitariasJilvertHuisaCenteno
 
EJERCICIOS DE PROPIEDADES INDICES DE MECÁNICA DE SUELOS
EJERCICIOS DE PROPIEDADES INDICES DE MECÁNICA DE SUELOSEJERCICIOS DE PROPIEDADES INDICES DE MECÁNICA DE SUELOS
EJERCICIOS DE PROPIEDADES INDICES DE MECÁNICA DE SUELOSLuisLopez273366
 
MANUAL DE NORMAS SANITARIAS PERUANAS ACTUALIZADO 2024.pdf
MANUAL DE NORMAS SANITARIAS PERUANAS ACTUALIZADO 2024.pdfMANUAL DE NORMAS SANITARIAS PERUANAS ACTUALIZADO 2024.pdf
MANUAL DE NORMAS SANITARIAS PERUANAS ACTUALIZADO 2024.pdfciteagrohuallaga07
 

Último (20)

La Evolución Industrial en el Ecuador.pdf
La Evolución Industrial en el Ecuador.pdfLa Evolución Industrial en el Ecuador.pdf
La Evolución Industrial en el Ecuador.pdf
 
Sistema Operativo Windows Capas Estructura
Sistema Operativo Windows Capas EstructuraSistema Operativo Windows Capas Estructura
Sistema Operativo Windows Capas Estructura
 
Química Analítica-U1y2-2024.pdf. Unidades 1 y 2
Química Analítica-U1y2-2024.pdf. Unidades 1 y 2Química Analítica-U1y2-2024.pdf. Unidades 1 y 2
Química Analítica-U1y2-2024.pdf. Unidades 1 y 2
 
Sales Básicas Quimica, conocer como se forman las sales basicas
Sales Básicas Quimica, conocer como se forman las sales basicasSales Básicas Quimica, conocer como se forman las sales basicas
Sales Básicas Quimica, conocer como se forman las sales basicas
 
GeoS4344444444444444444444444444444444.pdf
GeoS4344444444444444444444444444444444.pdfGeoS4344444444444444444444444444444444.pdf
GeoS4344444444444444444444444444444444.pdf
 
5. MATERIAL COMPLEMENTARIO - PPT de la Sesión 02.pptx
5. MATERIAL COMPLEMENTARIO - PPT  de la Sesión 02.pptx5. MATERIAL COMPLEMENTARIO - PPT  de la Sesión 02.pptx
5. MATERIAL COMPLEMENTARIO - PPT de la Sesión 02.pptx
 
GeoS33333333333333333333333333333333.pdf
GeoS33333333333333333333333333333333.pdfGeoS33333333333333333333333333333333.pdf
GeoS33333333333333333333333333333333.pdf
 
Capacitación Anexo 6 D.s. 023 seguridad y salud ocupacional
Capacitación Anexo 6 D.s. 023 seguridad y salud ocupacionalCapacitación Anexo 6 D.s. 023 seguridad y salud ocupacional
Capacitación Anexo 6 D.s. 023 seguridad y salud ocupacional
 
TEMA 02 VISCOSIDAD DE MECÁNICA DE FLUIDOS .pdf
TEMA 02 VISCOSIDAD DE MECÁNICA DE FLUIDOS .pdfTEMA 02 VISCOSIDAD DE MECÁNICA DE FLUIDOS .pdf
TEMA 02 VISCOSIDAD DE MECÁNICA DE FLUIDOS .pdf
 
Dispositivos Semiconductores de Potencia BJT, MOSFET 01.pdf
Dispositivos Semiconductores de Potencia BJT, MOSFET 01.pdfDispositivos Semiconductores de Potencia BJT, MOSFET 01.pdf
Dispositivos Semiconductores de Potencia BJT, MOSFET 01.pdf
 
Accidente mortal con un Torno mecánico.pptx
Accidente mortal con un Torno mecánico.pptxAccidente mortal con un Torno mecánico.pptx
Accidente mortal con un Torno mecánico.pptx
 
FOTOCELDAS Y LOS DIFERENTES TIPOS QUE EXISTEN.pdf
FOTOCELDAS Y LOS DIFERENTES TIPOS QUE EXISTEN.pdfFOTOCELDAS Y LOS DIFERENTES TIPOS QUE EXISTEN.pdf
FOTOCELDAS Y LOS DIFERENTES TIPOS QUE EXISTEN.pdf
 
SESION 2- 2 ATOMO Y ESTRUCTURA ATÓMICA.pdf
SESION 2- 2 ATOMO Y ESTRUCTURA ATÓMICA.pdfSESION 2- 2 ATOMO Y ESTRUCTURA ATÓMICA.pdf
SESION 2- 2 ATOMO Y ESTRUCTURA ATÓMICA.pdf
 
EJERCICIOS DE -LEY-DE-OHM aplicaciones prácticas
EJERCICIOS DE -LEY-DE-OHM aplicaciones prácticasEJERCICIOS DE -LEY-DE-OHM aplicaciones prácticas
EJERCICIOS DE -LEY-DE-OHM aplicaciones prácticas
 
electricidad básica, ejemplos prácticos y ejercicios
electricidad básica, ejemplos prácticos y ejercicioselectricidad básica, ejemplos prácticos y ejercicios
electricidad básica, ejemplos prácticos y ejercicios
 
Guía para la identificación de materiales peligrosos
Guía para la identificación de materiales peligrososGuía para la identificación de materiales peligrosos
Guía para la identificación de materiales peligrosos
 
MATEMATICA BÁSICA FUNCIONES LOGARITMICAS
MATEMATICA BÁSICA FUNCIONES LOGARITMICASMATEMATICA BÁSICA FUNCIONES LOGARITMICAS
MATEMATICA BÁSICA FUNCIONES LOGARITMICAS
 
Sanidad en alpacas, enfermedades infecciosas y parasitarias
Sanidad en alpacas, enfermedades infecciosas y parasitariasSanidad en alpacas, enfermedades infecciosas y parasitarias
Sanidad en alpacas, enfermedades infecciosas y parasitarias
 
EJERCICIOS DE PROPIEDADES INDICES DE MECÁNICA DE SUELOS
EJERCICIOS DE PROPIEDADES INDICES DE MECÁNICA DE SUELOSEJERCICIOS DE PROPIEDADES INDICES DE MECÁNICA DE SUELOS
EJERCICIOS DE PROPIEDADES INDICES DE MECÁNICA DE SUELOS
 
MANUAL DE NORMAS SANITARIAS PERUANAS ACTUALIZADO 2024.pdf
MANUAL DE NORMAS SANITARIAS PERUANAS ACTUALIZADO 2024.pdfMANUAL DE NORMAS SANITARIAS PERUANAS ACTUALIZADO 2024.pdf
MANUAL DE NORMAS SANITARIAS PERUANAS ACTUALIZADO 2024.pdf
 

Manualdepolticasdeseguridadinformtica 110713162548-phpapp02

  • 1. MANUAL DE POLITICAS DE SEGURIDAD INFORMÁTICA PARA EL IAEN Instituto de Altos Estudios Nacionales 1 MANUAL DE POLÍTICAS DE SEGURIDAD INFORMÁTICA
  • 2. MANUAL DE POLITICAS DE SEGURIDAD INFORMÁTICA PARA EL IAEN Instituto de Altos Estudios Nacionales 2 INFORMACIÓN GENERAL: Control de Cambios: Fecha de elaboración Versión Elabora cambios o revisiones Naturaleza del cambio 4 de agosto de 2008 1.0 Gabriel Cevallos Primera Edición 5 de agosto de 2008 1.1 Ximena Garbay Revisión 16 de mayo de 2011 1.2 Soraya Carrasco Actualizaciones Indicadores de revisión: 1.x: 1: Edición del documento, documento original. X: Número de revisión efectuada en el documento Dirigido a: El presente documento está dirigido a todo el personal del IAEN.
  • 3. MANUAL DE POLITICAS DE SEGURIDAD INFORMÁTICA PARA EL IAEN Instituto de Altos Estudios Nacionales 3 CONTENIDO: Antecedentes 4 Marco Jurídico Administrativo 4 Justificación 5 Objetivo general 6 Objetivos Específicos 6 Alcance 6 Sanciones 7 Beneficios 7 Vigencia 7 Manual de Políticas de Seguridad Informática para el IAEN 7 Generalidades 7 Políticas y Normas de Seguridad Personal 8 Políticas y Normas de Seguridad Física y Ambiental 8 Políticas y Normas de Seguridad y Administración de Operaciones de cómputo 11 Políticas y Normas de Controles de Acceso Lógico 15 Políticas y Normas de Cumplimiento de Seguridad Informática 17 Glosario de términos 18
  • 4. MANUAL DE POLITICAS DE SEGURIDAD INFORMÁTICA PARA EL IAEN Instituto de Altos Estudios Nacionales 4 ANTECEDENTES El IAEN como Universidad de Postgrado se encuentra en una continua innovación académica y tecnológica a fin de ser un ente de investigación y desarrollo en el ámbito educativo. Parte del fortalecimiento a efectuarse en el instituto es la infraestructura tecnológica, la misma que es permanentemente actualizada con propósitos de brindar calidad de servicios a las nuevas exigencias que persigue la misión del IAEN. La infraestructura de comunicación a implementarse en el IAEN requiere un manual o conjunto de normas y políticas de uso y seguridad informática de los equipos y aplicaciones a implementarse. MARCO JURÍDICO ADMINISTRATIVO En el Registro Oficial Número 378, del martes 17 de Octubre del 2006, la Contraloría General del Estado en resolución No. 025-CG acuerda expedir el Reglamento General Sustitutivo para el manejo y administración de bienes del Sector Público; el mismo que señala: Art. 1.- Ámbito de aplicación.- “Este reglamento se aplicará para la gestión de los bienes de propiedad de los organismos y entidades del sector público..… y para los bienes de terceros que por cualquier causa estén en el sector público bajo custodia o manejo”. Art. 2.- De los sujetos.- “Este reglamento rige para los servidores públicos… Por tanto, no habrá persona alguna que por razón de su cargo, función o jerarquía esté exenta del cumplimiento de las disposiciones del presente reglamento…” Art. 3.- Del procedimiento y cuidado.- “La conservación, buen uso y mantenimiento de los bienes, será responsabilidad directa del servidor que los ha recibido para el desempeño de sus funciones y labores oficiales”. “Para la correcta aplicación de este artículo, cada institución emitirá las disposiciones administrativas correspondientes…” Art. 5.- Empleo de los bienes.- “Los bienes de las entidades y organismos del sector público sólo se emplearán para los fines propios del servicio público. Es prohibido el uso de dichos bienes para fines políticos, electorales, doctrinarios o religiosos o para actividades particulares y/o extrañas al servicio público.” La Ley de Propiedad Intelectual aprobada por el Congreso Nacional el 19 de mayo de 1998, en su sección V, Disposiciones especiales sobre ciertas obras, escribe: Art. 28.- “Los programas de ordenador se consideran obras literarias y se protegen como tales. Dicha protección se otorga independientemente de que hayan sido incorporados en un ordenador y cualquiera sea la forma en que estén expresados…..”. En concordancia con la Constitución Política del Ecuador, art. 163, Capítulo 3, la ley de Propiedad Intelectual tipifica dentro de la sección: De los Delitos y las Penas:
  • 5. MANUAL DE POLITICAS DE SEGURIDAD INFORMÁTICA PARA EL IAEN Instituto de Altos Estudios Nacionales 5 Art. 319.- Será reprimido con prisión de tres meses a tres años y multa de quinientas a cinco mil Unidades de Valor Constante UVC, tomando en consideración el valor de los perjuicios ocasionados, quién en violación de los derechos de propiedad intelectual, almacene, fabrique, utilice con fines comerciales, oferte en venta, venda, importe o exporte: ...f) Un producto o servicio que utilice una marca no registrada idéntica o similar a una marca notoria o de alto renombre, registrada en el país o en el exterior; Del Reglamento a Ley de Transparencia y Acceso a la Información Pública del Registro Oficial 507 del 19 de enero del 2005 se declara: Art. 2.- Ámbito .- “Las disposiciones de la Ley orgánica de Transparencia y de acceso a la información pública y este reglamento, se aplican a todos los organismos entidades e instituciones del sector público y privado que tengan participación del Estado…”. Art. 10.- Información reservada .- Las instituciones sujetas al ámbito de este reglamento, llevarán un listado ordenado de todos los archivos e información considerada reservada…” Art. 16.- “El Recurso de Acceso a la Información Pública…procede cuando: b) “La información sea considerada incompleta, alterada o supuestamente falsa,…” JUSTIFICACIÓN La seguridad, en lo que se refiere a una infraestructura de información, es un concepto relacionado con los componentes del sistema (el hardware), las aplicaciones utilizadas en la institución (software) y el manejo que se dé del conjunto (el conocimiento del usuario); por esta razón es un paso primordial el establecer normativas y estándares que permitan obtener una base de manejo seguro de todo lo relacionado con la infraestructura de comunicación del IAEN. El presente documento busca establecer el ¿por qué?, el ¿qué? y el ¿cómo? proteger la información que fluye a través del sistema de comunicaciones del IAEN agrupando todas las normas y políticas relacionadas con este fin, tomándose en cuenta todos los niveles de seguridad considerados en recomendaciones internacionales. El sentar bases y normas de uso y seguridad informáticas dentro del IAEN respecto a la manipulación y uso de aplicaciones y equipos computacionales permitirá optimizar los procesos informáticos y elevará el nivel de seguridad de los mismos. OBJETIVO GENERAL Divulgar un manual de políticas de seguridad informática para el conocimiento y cumplimiento del mismo entre todo el personal del IAEN sobre los recursos informáticos asignados o utilizados.
  • 6. MANUAL DE POLITICAS DE SEGURIDAD INFORMÁTICA PARA EL IAEN Instituto de Altos Estudios Nacionales 6 OBJETIVOS ESPECÍFICOS Elaborar un manual de políticas de seguridad informática para el personal del IAEN adaptado a las necesidades y activos tecnológicos del instituto así como a la naturaleza de la información que se maneja en el mismo. Utilizar un lenguaje claro de establecimiento de políticas y estándares de seguridad para la fácil aplicación de las mismas por parte del personal del IAEN. Establecer niveles de seguridad en base a recomendaciones internacionales permitiendo que el manual normativo de seguridad sea ordenado y esquemático lo que se traduce en un enfoque más objetivo de la situación de la institución. ALCANCE El presente manual describe todas las normas, políticas y estándares que se aplicarán de manera obligatoria de parte del personal del IAEN respecto a seguridad informática para precautelar un correcto uso de equipos de cómputo y aplicaciones tecnológicas; para el presente manual se ha considerado sugerencias y recomendaciones del estándar británico británicas BS7799. BS7799 hace énfasis en la integridad, confidencialidad y disponibilidad. Integridad se refiere a la necesidad de proteger la exactitud de la información, así como los métodos utilizados para procesarla. Confidencial se refiere a la garantía de que la información sólo puede ser visitada por las personas que tienen la autorización para hacerlo. Y la disponibilidad se refiere a la garantía de que aquellos que han sido autorizadas a hacer uso de la información tienen acceso a ella y todos los asociados activos cuando sea necesario. El manual incluye cinco capítulos, a saber: - SEGURIDAD PERSONAL - SEGURIDAD FÍSICA Y AMBIENTAL - SEGURIDAD Y ADMINISTRACIÓN DE OPERACIONES DE CÓMPUTO - CONTROL DE ACCESO LÓGICO - CUMPLIMIENTO Cada capítulo incluye la política relacionada, así como el conjunto de normas respectivas consideradas en cada caso.
  • 7. MANUAL DE POLITICAS DE SEGURIDAD INFORMÁTICA PARA EL IAEN Instituto de Altos Estudios Nacionales 7 SANCIONES Las sanciones a aplicarse al personal que incumpla las normas descritas en este manual (que asumirá todas las consecuencias producidas por este incumplimiento) quedan bajo el criterio de las autoridades del IAEN. BENEFICIOS El cumplimiento del presente manual de seguridad informática hará posible un mejor mantenimiento de los bienes activos de la infraestructura tecnológica del IAEN así como un manejo más confiable de toda la información del instituto. VIGENCIA El presente manual entrará en vigencia, previa aprobación de las autoridades del IAEN correspondientes y previéndose los medios de difusión entre todo el personal del IAEN. Todo cambio referente a la infraestructura tecnológica, naturaleza de las aplicaciones u otros causados por las exigencias del instituto hará necesario efectuar una revisión y actualizaciones del presente documento, estas actualizaciones y revisiones están previstas dentro del control de cambios adjunto al presente documento. MANUAL DE POLÍTICAS DE SEGURIDAD INFORMÁTICA PARA EL IAEN GENERALIDADES INSTRUCCIONES DE INTERPRETACIÓN El presente manual ha sido desarrollado de manera esquematizada y sencilla, con lenguaje claro para que pueda interpretarse por cualquier colaborador del IAEN cualquiera sea su cargo e independientemente de su nivel de conocimientos informáticos. La aplicación de las normas expuestas en el presente documento se han ideado de forma que su cumplimiento pueda efectuarse de la forma más simple posible y evitando interferir con las funciones de los colaboradores del IAEN, sin embargo el personal deberá enmarcar sus esfuerzos para que todas las normas y políticas concernientes a su entorno de trabajo y utilización de recursos informáticos se cumplan a cabalidad. POLÍTICAS Y NORMAS DE SEGURIDAD Políticas.- Las políticas de seguridad informática establecen la visión y actitud general a establecerse dentro del personal de la organización con respecto a los recursos y servicios tecnológicos que se utilizan. Las políticas generan a su vez las normas y estándares a aplicarse dentro de la organización para su cumplimiento; en otras palabras las políticas establecen que se entiende por seguridad dentro de una determinada organización.
  • 8. MANUAL DE POLITICAS DE SEGURIDAD INFORMÁTICA PARA EL IAEN Instituto de Altos Estudios Nacionales 8 Normas.- Las normas son el conjunto de estándares, recomendaciones y controles que buscan cumplir los objetivos establecidos por las políticas de seguridad, las políticas establecen la concepción de seguridad dentro de la organización, las normas estableces las acciones relacionadas con ese concepto. POLÍTICAS Y NORMAS DE SEGURIDAD PERSONAL POLÍTICA Todo empleado y colaborador del IAEN, que debido a sus funciones debe manipular y utilizar equipos y servicios tecnológicos de la infraestructura de comunicación del Instituto, independientemente de su jerarquía dentro de la institución, debe firmar un convenio en el que acepte: condiciones de confidencialidad y manejo de información digital generada en sus funciones, el manejo adecuado de los recursos informáticos del IAEN, así como el apego a las normas y políticas del presente manual. OBLIGACIONES DE LOS USUARIOS Es responsabilidad de los usuarios de equipos y servicios tecnológicos del IAEN cumplir las políticas y normas del Manual de Políticas de Seguridad Informática para el IAEN. ENTRENAMIENTO Y CAPACITACIÓN Parte de los objetivos del manual es presentarse de fácil entendimiento para todo el personal cualquiera sea el nivel de conocimiento de tecnología e informática que tenga el usuario, sin embargo todo colaborador del IAEN de acceso reciente debe contar con la inducción referente al Manual de Políticas de Seguridad Informática; esta tarea deberá desarrollarse por la Unidad de Bienestar Humano en conjunto con la Dirección de Desarrollo Tecnológico del IAEN, dentro de los puntos principales de la inducción se tratará a modo general las obligaciones del usuario así como las sanciones relacionadas en caso de incumplimiento. SANCIONES En caso de que la Dirección de Desarrollo Tecnológico del IAEN identifique el incumplimiento de las normas y políticas descritas en el presente manual, deberá emitir el reporte o informe correspondiente a la Unidad Administrativa para que se ejecuten las medidas correspondientes. Se consideran violaciones graves el robo y daño de equipos voluntario; además el uso de la infraestructura de comunicación del IAEN para hackeo o envío de correos tipo spam. POLÍTICAS Y NORMAS DE SEGURIDAD FÍSICA Y AMBIENTAL POLÍTICA Los mecanismos de control de acceso físico deben asegurar que las áreas restringidas del IAEN den acceso solamente a personas autorizadas para salvaguardar la seguridad de equipos e
  • 9. MANUAL DE POLITICAS DE SEGURIDAD INFORMÁTICA PARA EL IAEN Instituto de Altos Estudios Nacionales 9 información del IAEN, dentro de estas áreas restringidas se consideran en especialmente las oficinas de coordinación y el Centro de Datos del instituto. Para las estaciones de trabajo abiertas (modulares) se consideran mecanismos de seguridad lógica que limiten el acceso a los equipos computacionales y la información almacenada en los mismos. MANEJO DE LA INFORMACIÓN Todos los usuarios deberán reportar de forma inmediata los riesgos reales o potenciales que presente el área física en que desempeñan sus funciones para los equipos de cómputo o de comunicación de los que hacen uso, como por ejemplo fugas de agua, conato de incendio, etc. Todos los medios de almacenamiento de información de tipo extraíble (diskettes o cintas magnéticos, CD, DVD o memorias tipo USB) asignados por el IAEN en función de las tareas del usuario son responsabilidad del mismo, junto con la información contenida en los mismos, aún cuando no se utilicen. La información almacenada en los ordenadores asignados a los funcionarios del IAEN son responsabilidad de los mismos, el evitar fugas o pérdidas de información dentro de los equipos es obligación del usuario. CONTROL DE INGRESO DE EQUIPOS Cualquier persona que acceda a las instalaciones del IAEN deberá registrar al momento de su ingreso: equipos de cómputo, equipos de comunicaciones (excepto por teléfonos móviles o celulares) y herramientas que no sean propiedad del IAEN de manera que se mantenga control sobre el tráfico de los equipos computacionales y de computación que entran y salen del Instituto. En el caso de los cursantes se podrá declarar con anterioridad los equipos computacionales que piensa utilizar el cursante en el transcurso de la cátedra respectiva. Las computadoras personales o portátiles asignadas o cualquier otro activo de comunicación e información podrán salir de las instalaciones del IAEN previa autorización de la autoridad respectiva. SEGURIDAD DEL CENTRO DE DATOS El centro de datos se considera área restringida dentro del IAEN y sólo el personal autorizado por la Dirección de Desarrollo Tecnológico tiene acceso al mismo. TRASLADO, PROTECCIÓN Y UBICACIÓN DE EQUIPOS La reubicación o movimiento de equipos de computación y comunicación, la instalación y desinstalación de dispositivos, el retiro de sellos tanto de garantía como de licenciamiento de sistema operativo o de programas de herramientas ofimáticas son atributos del personal de la Dirección de Desarrollo Tecnológico del IAEN, este tipo de tareas se realizarán previa autorización de la Dirección Administrativa y con apoyo de la misma.
  • 10. MANUAL DE POLITICAS DE SEGURIDAD INFORMÁTICA PARA EL IAEN Instituto de Altos Estudios Nacionales 10 Todo usuario es responsable de los equipos tecnológicos computacionales y de comunicación asignados en la ubicación autorizada por la Dirección Administrativa, y el uso de los equipos será de uso exclusivo de las funciones del IAEN. En caso de necesitarlo, es responsabilidad del usuario solicitar capacitación necesaria para el manejo de herramientas informáticas relacionadas con su labor de forma que se reduzca el riesgo de daño o malfuncionamiento de los equipos y herramientas por mal uso o desconocimiento, optimizando al mismo tiempo el uso de las herramientas informáticas. Toda la información obtenida y desarrollada en base a las funciones de los usuarios se guardará en la carpeta Mis Documentos, de manera que los datos puedan identificarse de manera rápida y en una sola ubicación lógica para facilitar el proceso de recuperación o respaldo de archivos. La ingesta de alimentos y/o bebidas mientras se operan los equipos de computación y comunicación está prohibida. La colocación de cualquier objeto sobre los equipos computacionales o la ubicación de obstáculos o cosas que obstruyan los orificios de ventilación (ubicados en la fuente y parte lateral de los CPU y monitores de los computadores) están prohibidas. La estación de trabajo debe estar limpia de polvo y libre de humedad para disminuir daños en los equipos por estos agentes. Los cables de conexión de los equipos computacionales a la red eléctrica, a la red de datos y el cable de conexión telefónica deben protegerse, el usuario cuidará que estos cables no sean pisados, aplastados o pinchados por personas u objetos. Cuando se requiera cambiar la ubicación de varios equipos de cómputo (reestructuración, remodelación, cambio de lugar de unidades, etc) se deberá notificar a la Dirección de Desarrollo Tecnológico este particular con un mínimo de 48 horas de anticipación para prever las medidas a aplicarse para realizar el cambio de la manera más rápida y eficaz, todos estos movimientos y reubicaciones deben estar autorizados por la Dirección Administrativa. Está prohibido que los usuarios abran o desarmen los equipos de computación y de comunicación asignados por el IAEN. MANTENIMIENTO DE EQUIPOS Los servicios de mantenimiento y reparación se llevarán a cabo solamente por el personal de la Dirección de Desarrollo Tecnológico del IAEN o personal autorizado por la misma unidad, es responsabilidad del usuario solicitar información e identificación de la persona o personas designadas antes de permitir el acceso al equipo asignado. En caso de ser necesario el traslado del equipo para diagnóstico y reparación, los usuarios deberán hacer respaldos de la información que consideren crítica o relevante para sus
  • 11. MANUAL DE POLITICAS DE SEGURIDAD INFORMÁTICA PARA EL IAEN Instituto de Altos Estudios Nacionales 11 funciones; de esta manera se asegura que la pérdida involuntaria de información que podría suceder como efecto de la reparación pueda subsanarse. PÉRDIDA DE EQUIPO El usuario es responsable del equipo computacional y de comunicaciones asignado, en caso de robo, extravío o pérdida responderá por el bien de acuerdo a la normativa vigente para estos casos. Los equipos de computación portátiles asignados tienen carácter intransferible y son de responsabilidad del personal respectivo, por tanto no se pueden realizar préstamos de estos equipos. La pérdida de cualquier equipo computacional o de comunicación (y accesorios relacionados) debe comunicarse de inmediato a la Unidad Administrativa, a la Dirección de Desarrollo Tecnológico y al órgano de Control de Bienes del IAEN. PERIFÉRICOS Y DISPOSITIVOS ESPECIALES Los usuarios cuyos equipos computacionales están equipados con grabadores para CD, DVD o ambos utilizarán estos dispositivos exclusivamente para archivos de respaldo de documentos originales y copias de software autorizadas al IAEN vía contrato. El uso indebido de estos dispositivos para copias no autorizadas por el autor (“piratas”) de cualquier programa de ordenador o software es responsabilidad del usuario bajo cuyo resguardo esté el equipo computacional. DAÑO DEL EQUIPO El daño por negligencia, maltrato o descuido del usuario en los equipos de computación y comunicación asignados será cubierto por el responsable previa verificación de la descompostura por parte de la Dirección de Desarrollo Tecnológico del IAEN; en función del daño se podrá solicitar el valor de la reparación o reposición del equipo o dispositivo. POLÍTICAS Y NORMAS DE SEGURIDAD Y ADMINISTRACIÓN DE OPERACIONES DE CÓMPUTO POLÍTICA Los funcionarios del IAEN que utilizan equipos de computación y comunicación deben ocupar mecanismos tecnológicos para la protección y privacidad de la información que manejan y generan. La protección de la información también compete a la prevención de código maliciosos al computador asignado, ya sea este virus, gusano, caballo de troya u otros.
  • 12. MANUAL DE POLITICAS DE SEGURIDAD INFORMÁTICA PARA EL IAEN Instituto de Altos Estudios Nacionales 12 USO DE MEDIOS DE ALMACENAMIENTO No se admite el uso de archivos compartidos entre los equipos asignados, el envío y recepción de documentos internos se hará vía correo electrónico para que quede constancia del envío y de las partes relacionadas; de esta manera se asegura control sobre el flujo de comunicaciones interno del Instituto. Todas las actividades que realizan los usuarios de la infraestructura de datos y comunicaciones del IAEN son susceptibles de auditoría y revisión. INSTALACIÓN DE SOFTWARE Todos los usuarios que debido a sus actividades requieran el uso de software propietario, deberán justificar el uso del mismo y solicitar la Autorización a la Dirección de Desarrollo Tecnológico a través de un oficio firmado por el Director de la unidad del usuario, indicando en que equipo o equipos (de existir varias licencias adquiridas) deberá instalarse el programa en cuestión y el período de tiempo estimado de uso. La instalación de cualquier tipo de programa en computadores, servidores o cualquier otro equipo conectado a la red del IAEN sin la autorización de la Dirección de Desarrollo Tecnológico está prohibida. IDENTIFICACIÓN DEL INCIDENTE En el caso que un usuario sospeche o tenga conocimiento pleno sobre un incidente de seguridad informática deberá reportarlo de inmediato a la Dirección de Desarrollo Tecnológico, justificando con claridad porque lo ocurrido se considera como incidente de seguridad informática. De existir la sospecha de que información ha sido revelada, modificada, alterada o borrada sin autorización del usuario se deberá también notificar el incidente al Director de la Unidad respectiva. Cualquier incidente relacionado con la utilización de equipos computacionales y de comunicación deben reportarse a la Dirección de Desarrollo Tecnológico. ADMINISTRACIÓN DE LA CONFIGURACIÓN Está prohibido el alterar la configuración del equipo asignado por cualquier motivo, el establecer redes de área local, conexiones remotas internas o externas, el intercambio de información a través del protocolo FTP o cualquier otro protocolo de transferencia de datos tampoco está permitido sin la autorización previa de la Dirección de Desarrollo Tecnológico SEGURIDAD PARA LA RED El uso del equipo computacional asignado para exploración de los recursos compartidos de la infraestructura tecnológica del IAEN y las aplicaciones que la misma presta con el objetivo de
  • 13. MANUAL DE POLITICAS DE SEGURIDAD INFORMÁTICA PARA EL IAEN Instituto de Altos Estudios Nacionales 13 hallar vulnerabilidades, sin autorización previa de la Dirección de Desarrollo Tecnológico se considera un ataque a la seguridad de la red. USO DEL CORREO ELECTRÓNICO El correo electrónico institucional es personal e intransferible, cada usuario mantiene su propia cuenta y está prohibido el utilizar cuentas asignadas a otras personas para enviar o recibir mensajes de correo. El uso de cuentas de correos en servidores externos (Hotmail, gmail, etc) para comunicaciones institucionales está prohibido a menos que exista autorización de la Dirección de Desarrollo Tecnológico. Tanto los mensajes enviados y recibidos así como los archivos adjuntos que salen y entran a los buzones institucionales se consideran propiedad del IAEN. Los mensajes enviados por correo electrónico se consideran como una comunicación privada y directa entre el emisor y el receptor. El IAEN se reserva el derecho al acceso y análisis de todos los mensajes y archivos adjuntos enviados a través del correo institucional, al existir sospecha de envío de información que comprometa la seguridad de la red, o cualquier otra acción no autorizada. El usuario debe utilizar el correo electrónico exclusivamente para desempeñar las funciones que le fueron asignadas por su cargo, empleo o comisión; cualquier otro uso del correo electrónico está prohibido. Queda prohibido suplantar, falsear o suprimir la identidad de un usuario de correo electrónico. Queda prohibido el interceptar, revelar o ayudar a interceptar o revelar a terceros las comunicaciones por correo electrónico. El empleo del correo electrónico considera el uso de lenguaje apropiado, evitando palabras ofensivas o altisonantes que afecten la honra y estima de terceros. CONTROLES CONTRA CÓDIGO MALICIOSO Para evitar la inducción de código malicioso dentro de los equipos computacionales, el personal hará uso sólo del software o programas de ordenador instalados y validados por la Dirección de Desarrollo Tecnológico del IAEN. Los usuarios de la infraestructura tecnológica del IAEN deben verificar que toda información contenida en medios de almacenamiento extraíbles como diskettes, CD, DVD o memorias USB esté libre de códigos maliciosos, esto a través del software antivirus autorizado e instalado en cada equipo computacional por la Dirección de Desarrollo Tecnológico.
  • 14. MANUAL DE POLITICAS DE SEGURIDAD INFORMÁTICA PARA EL IAEN Instituto de Altos Estudios Nacionales 14 Debe verificarse la presencia o no de código malicioso en todos los archivos adjuntos comprimidos (en formato .zip o .rar) enviados por personal externo o interno ejecutándose el programa antivirus autorizado antes de ejecutarse la descompresión. El usuario que genere, compile, escriba, copie, propague o ejecute programas o aplicaciones en cualquier código o lenguaje de computadora que estén diseñados para auto-replicarse, dañar o borrar datos o impedir el funcionamiento de aplicaciones y programas autorizados o componentes del equipo computacional como memorias o periféricos será sancionado por la autoridad competente como ataque contra la seguridad informática del IAEN. Cualquier usuario que sospeche la infección de su equipo computacional de virus, troyano o cualquier otro código malicioso deberá dejar de usar inmediatamente el equipo y anunciar el particular a la Dirección de Desarrollo Tecnológico para que se tomen las acciones respectivas de re-establecimiento del equipo y eliminación del código malicioso. Los usuarios a quienes se han asignado equipos portátiles están en el deber de solicitar periódicamente a la Dirección de Desarrollo Tecnológico la actualización del software antivirus. Los usuarios no deben cambiar o eliminar las configuraciones de las consolas de antivirus instaladas en cada equipo computacional para prevenir la propagación de código malicioso. Los códigos maliciosos son cada vez más complejos, por lo que ningún usuario debe intentar erradicarlos por sí mismo. USO DEL INTERNET El acceso a Internet provisto para el personal del IAEN a través de equipos computacionales es exclusivo para el desarrollo de las actividades relacionadas con las necesidades del puesto y función que desempeña. Todos los accesos de Internet deben ser provistos a través de los canales previstos para el efecto, de necesitarse una conexión a Internet especial de características diferenciadas esta debe ser notificada y autorizada por la Dirección de Desarrollo Tecnológico. Los usuarios de internet que sospechen la ocurrencia de un incidente de seguridad informática deben reportarlo inmediatamente a la Dirección de Desarrollo Tecnológico con los justificativos respectivos sobre las sospechas para la verificación del incidente. Todo usuario de Internet en el IAEN, al aceptar el servicio está aceptando que: - Las actividades realizadas en Internet serán sujeto de monitoreo. - Conocen la prohibición al acceso de páginas no autorizadas - Conocen la prohibición de descarga de software y archivos de música o video sin la autorización de la Dirección de Desarrollo Tecnológico.
  • 15. MANUAL DE POLITICAS DE SEGURIDAD INFORMÁTICA PARA EL IAEN Instituto de Altos Estudios Nacionales 15 - La utilización del Internet es para el desempeño de su función y cargo en el IAEN y no para propósitos personales. POLÍTICAS Y NORMAS DE CONTROLES DE ACCESO LÓGICO POLÍTICA Cada usuario se responsabilizará por el mecanismo de acceso lógico asignado, esto es su identificador de usuario y password necesarios para acceder a la información e infraestructura de comunicación del IAEN, es responsabilidad de cada usuario la confidencialidad de los mismos. El acceso a la información que fluye dentro de la infraestructura tecnológica del IAEN se otorga en base a las funciones del usuario, se deberán otorgar los permisos mínimos necesarios para el desempeño del cargo o rol. CONTROLES DE ACCESO LÓGICO Todos los usuarios de equipos computacionales son responsables de la confidencialidad del identificador de usuario y el password de su equipo, así como de aplicaciones especiales que requieran el mismo control de acceso lógico. Todos los usuarios deberán autenticarse con los mecanismos de control de acceso lógico antes de tener acceso a los recursos de la Infraestructura tecnológica del IAEN. No está permitido a los usuarios el proporcionar información a personal externo sobre los mecanismos de control de acceso a los recursos e infraestructura tecnológica del IAEN, salvo el caso de autorización expresa del generador de la información y la Dirección de Desarrollo Tecnológico. El identificador de usuario dentro de la red es único y personalizado, no está permitido el uso del mismo identificador de usuario por varios miembros del personal. El usuario es responsable de todas las actividades realizadas con su identificador de usuario, por tanto no debe divulgar ni permitir que terceros utilicen su identificador, al igual que está prohibido usar el identificador de usuario de otros. ADMINISTRACIÓN DE PRIVILEGIOS Todo cambio en roles, funciones o cargo que requiera asignar al usuario atributos para acceso a diferentes prestaciones de la infraestructura tecnológica del IAEN debe ser notificado a la Dirección de Desarrollo Tecnológico por el Director correspondiente a la unidad o la autoridad que ordena el cambio.
  • 16. MANUAL DE POLITICAS DE SEGURIDAD INFORMÁTICA PARA EL IAEN Instituto de Altos Estudios Nacionales 16 EQUIPO DESANTENDIDO El usuario que deja su lugar de trabajo por cualquier razón debe dejar bloqueado su terminal o equipo computacional precautelando la seguridad de la información a través del mecanismo de control de acceso lógico. ADMINISTRACIÓN Y USO DE PASSWORDS Es obligación del usuario cambiar la clave por defecto asignada por la Dirección de Desarrollo Tecnológico. Los passwords son individuales, está prohibido que varios usuarios compartan un password. Cuando un usuario olvide, bloquee o extravíe su password deberá solicitar a la Dirección de Desarrollo Tecnológico para que se le realice la acción que le permita ingresar un nuevo password, y el momento de recibirlo deberá personalizar uno nuevo. Está prohibido mantener ayudas escritas o impresas referentes al password en lugares donde personas no autorizadas pueden descubrirlos. La revelación del password o contraseña a terceros responsabiliza al usuario que prestó su password de todas las acciones que se realicen con el mismo. Los usuarios deberán observar las siguientes guías para la construcción de su contraseña: - La contraseña estará compuesta de caracteres alfanuméricos de mínimo siete (7) caracteres y máximo 12 (doce). - Deben ser difíciles de adivinar, es decir no deben estar relacionados con nombre del empleado, fechas de nacimiento, lugar o cargo o estado dentro del trabajo. La contraseña no caduca, pero bajo sospecha de que el password es conocido por otra persona debe cambiarse inmediatamente. Los cambios o desbloqueo de password solicitados por el usuario a la Dirección de Desarrollo Tecnológico serán notificados posteriormente al solicitante y al superior inmediato de manera que se pueda detectar cualquier cambio no solicitado. CONTROL DE ACCESOS REMOTOS El uso de las extensiones telefónicas para acceso al Internet de tipo Dial-Up está prohibido, se considera excepción previa autorización de la Dirección de Desarrollo Tecnológico del IAEN. La administración remota de equipos conectados a Internet no está permitida, salvo que se cuente con la autorización y un mecanismo de control de acceso seguro autorizado por el dueño de la información y la Dirección de Desarrollo Tecnológico.
  • 17. MANUAL DE POLITICAS DE SEGURIDAD INFORMÁTICA PARA EL IAEN Instituto de Altos Estudios Nacionales 17 POLÍTICAS Y NORMAS DE CUMPLIMIENTO DE SEGURIDAD INFORMÁTICA POLÍTICA La Dirección de Desarrollo Tecnológico del IAEN emitirá y revisará el cumplimiento de las políticas y normas de seguridad informática que permitan realizar acciones correctivas y preventivas para el cuidado y mantenimiento de los equipos que forman parte de la infraestructura tecnológica del Instituto. DERECHOS DE PROPIEDAD INTELECTUAL Las leyes de propiedad intelectual prohíben la reproducción de programas de ordenador o software sin autorización escrita del autor, ya sea este adquirido o desarrollado en el Instituto. Los sistemas desarrollados por personal interno o externo bajo la supervisión de la Dirección de Desarrollo Tecnológico son propiedad del IAEN. REVISIONES DE CUMPLIMIENTO La Dirección de Desarrollo Tecnológico realizará acciones de verificación del cumplimiento de manual de políticas de seguridad informática, lo que incluye mecanismos de revisión de tendencias en el uso de recursos informáticos y la naturaleza de los archivos procesados. El mal uso de los recursos informáticos detectado por la Dirección de Desarrollo Tecnológico será reportado conforme a lo indicado en la política de Seguridad de Personal. VIOLACIONES DE SEGURIDAD INFORMÁTICA Se prohíbe el uso de herramientas de hardware o software que alteren o eviten los controles de seguridad informática, a menos que exista autorización expresa de la Dirección de Desarrollo Tecnológico. Está prohibido realizar pruebas a los controles efectuados por la Dirección de Desarrollo Tecnológico, ninguna persona puede probar o intentar comprometer los controles internos a menos que cuente con la aprobación de la Dirección de Desarrollo Tecnológico o sea un órgano interno de control. La búsqueda de orificios o fallas de seguridad informática está reservada para la Dirección de Desarrollo Tecnológico, está prohibida la realización de pruebas de este tipo para cualquier usuario no autorizado. La propagación de código malicioso de forma intencional para probar el desempeño de la red de parte de usuarios no autorizados está prohibido totalmente.
  • 18. MANUAL DE POLITICAS DE SEGURIDAD INFORMÁTICA PARA EL IAEN Instituto de Altos Estudios Nacionales 18 GLOSARIO DE TÉRMINOS CD.- (Compact Disc, disco compacto): Unidad de almacenamiento digital en forma de disco, que a través de medios ópticos puede guardar información. Correo electrónico.- Consiste en enviar y recibir mensajes escritos a través de un computador y direcciones de buzón virtuales a través de una red privada o Internet y software diseñado para el efecto. CPU.- (Central Processing Unit, Unidad Central de proceso): Abreviatura utilizada para nombrar al procesador de un ordenador, que es el chip que maneja las operaciones lógicas de cada proceso, en la práctica se usa también para denominar a todo el equipamiento que contiene al procesador. Diskettes.- Unidad de almacenamiento extraíble originalmente en tamaño de 5¼” y posteriormente en 3 ½” con capacidad de hasta 1,44MB, actualmente en proceso de desuso por la entrada de unidades de almacenamiento con más capacidad y confiabilidad. DVD.- (Digital Versatile Disc, disco digital verstátil): Unidad de almacenamiento óptica en forma de disco de alta densidad que permite manejar formatos de audio y video de alta calidad y gran capacidad de almacenamiento de datos, sustituto natural del CD ya que soporta más de 4 veces la capacidad de este. FTP.- (File Transfer Protocol, protocolo de transferencia de archivos): Protocolo que permite la transferencia de archivos en la mayoría de redes actuales, FTP es soportado por varios sistemas operativos, incluidas todas las versiones actuales del Windows. Gusano.- Se denomina gusano al tipo de código malicioso capaz de duplicarse a sí mismo, suele usar las operaciones automáticas de archivos propios del sistema operativo del computador para la copia de sí mismo; básicamente ataca la red en sí ya que la duplicación ocupa ancho de banda y enlentece los procesos. Hackeo.- En el presente documento se limita a la acción de hallar huecos de seguridad en la infraestructura de una red para acceder a la información de la misma. MB.- (Megabyte): Unidad de volumen de información digital equivale a 1024 bytes, el byte agrupa a ocho bits, un bit es la unidad fundamental del sistema digital y toma un valor de uno (1) o cero (0). RAR.- Formato de compresión, un archivo de cualquier naturaleza puede comprimirse a través de un software especializado y toma la extensión .rar. Software.- Se denomina software a todo programa, que instalado en un computador permite el aceceso al usuario a la manipulación de información o uso de periféricos como impresoras, videocámaras u otros. Spam.- Publicidad no solicitada que viaja a través de cualquier red hacia buzones de correo electrónico, el envío de spam en la red de Internet es uno de los mayores causantes de saturación de la red.
  • 19. MANUAL DE POLITICAS DE SEGURIDAD INFORMÁTICA PARA EL IAEN Instituto de Altos Estudios Nacionales 19 Troyano.- Un troyano es un tipo de código malicioso capaz de ingresar a un ordenador para recabar información que permita el acceso de usuarios externos al computador local con los consiguientes problemas de seguridad informática. USB.- (Universal Serial Bus, Bus serial universal): Es un tipo de puerto formado por 4 terminales para recepción, transmisión, y energización del equipo; los puertos USB se encuentran presentes en todas las computadoras actuales y permiten la conexión de unidades de almacenamiento portátiles, cámaras, teléfonos, módems inalámbricos y todo tipo de periféricos. UVC.- (Unidad de Valor Constante): El UVC toma el valor o costo de un bien constante en cualquier época como por ejemplo la canasta familiar. Virus.- Un virus es un tipo de código malicioso capaz de destruir o alterar información del computador que lo aloja. ZIP.- Formato de compresión, un archivo de cualquier naturaleza puede comprimirse a través de un software especializado y toma la extensión .zip.