NORMA ISO NTE 17799:2005 APLICADA EN LA UNIVERSIDAD LAICA ELOY ALFARO DE MANABI EXTENSION CHONE

Direccin y Gestin en Seguridad y Comunicaciones Ing. Arteaga Paz Leonardo

Chone Ecuador 2013

LA NORMA TCNICA ISO NTE 17799:2005 APLICADA EN LA UNIVERSIDAD LAICA ELOY ALFARO DE MANABI EXTENSION CHONE.
1. LA ORGANIZACIN 1.1. DATOS ORGANIZACIONALES. Razn social. UNIVERSIDAD LAICA ELOY ALFARO DE MANABI EXTENSION CHONE. Nombre comercial. UNIVERSIDAD LAICA ELOY ALFARO DE MANABI EXTENSION CHONE. RUC. 1310147593003. Tipo de entidad. UNIVERSIDAD. Direccin y ubicacin geogrfica. Oficina Principal. Av. Universitaria KM 2 va Portoviejo, Cantn Chone Provincia de Manab. Telfono 052699317 - 052696301 Pgina Web http://chone.uleam.edu.ec 1.2. RESEA HISTRICA.

1 1 1 1 1 1 Toda Institucin de Educacin Superior debe estar integrada al avance tecnolgico y cientfico generado por las necesidades que van apareciendo conforme avanza el tiempo, para esto se deben asumir criterios de renovacin constante, que derivan en la implementacin de sistemas apropiados para agilizar y efectivizar los procesos llevados a cabo al interior de cada entidad. 111111 El mejoramiento constituye un elemento fundamental en las Universidades, por ello nos encontramos en la obligacin de promover el uso de nuevas tecnologas para brindar soluciones flexibles y funcionales, capaces de satisfacer las necesidades internas de la universidad y de la sociedad en general, para esto la Universidad como tal puede beneficiarse de lo que ella misma produce, Sus estudiantes y profesionales. 1 1 1 1 1 1 En el presente proyecto se plasma la intencin de crear un sistema informtico computarizado que permita gestionar la informacin correspondiente al control de asistencia de profesores y empleado / docente / estudiantes / docentes, que sirva de herramienta fundamental para que departamentos como secretara, coordinacin de escuelas, decanato, comisin acadmica y los mismos profesores y estudiantes,

puedan tener a su disposicin la informacin correspondiente al registro de asistencias diarias a travs de un moderno sistema, que brinde las facilidades necesarias para que la informacin est lista en todo momento y por qu no, en todo lugar. 111111 La realizacin de este proyecto es relevante, porque le permite a los egresados de la carrera de Licenciatura en Informtica aportar de manera significativa a una mejor gestin del proceso acadmico llevado a cabo en la Universidad, promoviendo el orden y el ahorro de recursos. 1.3. ACTIVIDAD ECONMICA.

La UNIVERSIDAD LAICA ELOY ALFARO DE MANABI EXTENSION CHONE es una Institucin educativa, dedicada a brindar servicios de educacin profesional. Esta entidad est brindando capacitacin y educacin permanente y constante a la ciudad de Chone y sus sectores aledaos, tambin tiene convenios entre instituciones. Es del Estado Ecuatoriano y su categora es de nivel superior, con una produccin de profesionales para obtener ttulos de tercer nivel. Las exigencias del mundo moderno obligan a las instituciones a estar a la par con los continuos avances tecnolgicos y cientficos, ya que de alguna manera stos contribuyen al desarrollo integral de la entidad y brindan mayores posibilidades a las personas para desempearse mejor en la funcin que estn ejerciendo. Tomando en consideracin el criterio anterior, las Instituciones de Educacin Superior o Universidades a nivel mundial, se preocupan constantemente en mejorar sus estructuras, tanto orgnicas como funcionales, a fin de garantizar a sus clientes un servicio de calidad en todo aspecto, un fiel ejemplo es la implementacin de sistemas que controlan el tiempo de trabajo que cumplen los docentes que estn al frente de determinadas ctedras, muchas universidades lo hacen a travs de controles manuales y otras por el contrario estn utilizando la tecnologa para dicho cometido, estas ltimas aprovechando las ventajas en el uso de dispositivos electrnicos para registrar la informacin.

1.4. 111111

ORGANIZACIN INSTITUCIONAL. ORGANIGRAMA SINTTICO DE LA UNIVERSIDAD LAICA ELOY ALFARO DE MANABI EXTENSION CHONE

1.5. 111111

DIRECCIONAMIENTO ORGANIZACIONAL. VISIN. La Universidad Laica Eloy Alfaro de Manab Extensin Chone es una institucin de educacin superior moderna y lder en el mbito de su actividad acadmica-cientfica y formativa de ciudadanos profesionales, quienes participan, colaboran, promueven y se comprometen con el desarrollo sustentable y el mejoramiento de las condiciones de vida de los y las habitantes de Chone y Manab. MISIN. La Universidad Laica Eloy Alfaro de Manab Extensin Chone es una institucin de educacin superior cuyo compromiso es formar ciudadanos y ciudadanas profesionales responsables, ticos y solidarios con la sociedad; capaces de generar y aplicar sus conocimientos y estrategias que contribuyan al desarrollo sustentable y al mejoramiento de las condiciones de vida de los y las habitantes de Chone y Manab. OBJETIVOS ESTRATGICOS. Mantener actualizada la Infraestructura tecnolgica de la Universidad convirtindola en un campus con los recursos didcticos necesarios para la excelencia acadmica. Tener una comunidad acadmica formada en el uso y aprovechamiento de las TIC para innovar en los procesos de enseanza y de aprendizaje a travs del uso de herramientas tecnolgicas articuladas a los procesos pedaggicos. Tener lineamientos pedaggicos, tecnolgicos y comunicativos que orienten la incorporacin de las TIC en los procesos de enseanza-aprendizaje y de investigacin. Consolidar la participacin de grupos de investigacin de excelencia en el Parque Tecnolgico generando una dinmica de vinculacin entre los estudiantes y docentesinvestigadores con la regin y el sector productivo del pas. Alcanzar el reconocimiento institucional a travs de la apropiacin de las TIC en sus labores acadmico-investigativas.

111111

111111

2.

CHECKLIST DE LA NORMA ISO 27002:2005 (o su adaptacin en Ecuador como NTE 17799:2005)

2.1. Poltica de Seguridad Poltica de Seguridad SUBCOMPONENTE Poltica de Seguridad de la Informacin CUMPLE Item DETALLE SI NO La gerencia aprueba, publica y comunica a todos los empleado 1 / docente / estudiantes / docentes en la forma adecuada, un X documento de poltica de seguridad de la informacin. Se revisa la poltica de seguridad en intervalos planificados o si 2 hay cambios significantes que ocurren con el fin de asegurar X su uso continuo, adecuacin y efectividad. 2.2. Organizando la Seguridad de Informacin Organizando la Seguridad de Informacin SUBCOMPONENTE Organizacin Interna CUMPLE Item DETALLE SI NO La gerencia apoya activamente en la seguridad dentro de la organizacin a travs de direcciones claras demostrando 1 X compromiso, asignaciones explicitas y reconocimiento de las responsabilidad de la seguridad de la informacin. La informacin de las actividades de seguridad deben ser 2 coordinadas por representantes de diferentes partes de la X organizacin con roles relevantes y funciones de trabajo. 3 Se definen claramente las responsabilidades. X Se establecen procesos de autorizacin para la gestin de 4 X cada nuevo recurso de tratamiento de la informacin. Se dan requerimientos de confidencialidad o acuerdos de no divulgacin que reflejen las necesidades de la organizacin 5 X para la proteccin de informacin que deben ser identificadas y revisadas regularmente. Se mantienen contactos apropiados con autoridades 6 X relevantes. Se mantienen contactos apropiados con grupos de inters 7 especial u otros especialistas en foros de seguridad y X asociaciones profesionales. Se da el alcance de la organizacin para gestionar la seguridad de informacin y su implementacin (objetivos de control, controles, polticas, procesos y procedimientos para seguridad 8 de informacin) que son revisados independientemente en intervalos planificados o cuando existan cambios significativos a la puesta en marcha de la seguridad que ocurran. NA NA

Organizando la Seguridad de Informacin SUBCOMPONENTE Seguridad en los Accesos de Terceras Partes CUMPLE Item DETALLE SI NO Los riesgos a la informacin de la organizacin y a las instalaciones del procesamiento de informacin desde los 1 procesos del negocio que impliquen a terceros son X identificados y se implementan controles apropiados antes de conceder el acceso.

NA

Los requisitos identificados de seguridad son anexados antes de dar a los clientes acceso a la informacin o a los activos de la organizacin.

2.3. Gestin de Activos Gestin de Activos SUBCOMPONENTE Responsabilidad de los Activos CUMPLE Ite m 1 2 3 DETALLE SI NO NA Los activos son claramente identificados y se elabora y X mantiene un inventario de todos los activos importantes. La informacin y los activos asociados con el proceso de informacin son posedos por una parte asignada de la X organizacin Las reglas para un uso aceptable de la informacin y de los activos asociados con las instalaciones del procesamiento de la X informacin son identificadas, documentadas y implementadas.

Gestin de Activos SUBCOMPONENTE Ite m 1 2 DETALLE

Clasificacin de la Informacin CUMPLE SI NO NA

La informacin es clasificada en funcin de su valor, requisitos X legales, sensibilidad y criticidad para la organizacin. Se define un conjunto adecuado de procedimientos para marcar y tratar la informacin de acuerdo con el esquema de X clasificacin adoptado por la organizacin.

2.4. Seguridad en Recursos Humanos Seguridad en Recursos Humanos SUBCOMPONENTE Seguridad antes del Empleo CUMPLE Ite m 1 DETALLE SI NO NA Las funciones y responsabilidades de los empleado / docente / estudiantes / docentes, contratistas y terceros son definidas y X documentadas con la poltica de seguridad de la organizacin. Se llevan listas de verificacin anteriores de todos los candidatos para empleo, contratistas y terceros en concordancia con las leyes, regulaciones y la tica, al igual que X proporcionalmente a los requerimientos del negocio, la clasificacin de la informacin ha sido acezada y los riesgos percibidos. Como parte de su obligacin contractual, empleado / docente / estudiantes / docentes, contratistas y terceros son aceptados y firmados los trminos y condiciones del contrato de empleo el X cual establecen sus obligaciones y las obligaciones de la organizacin para la seguridad de informacin.

Seguridad en Recursos Humanos SUBCOMPONENTE Durante el Empleo CUMPLE Ite m 1 DETALLE SI NO NA La gerencia ha requerido empleado / docente / estudiantes / X

docentes, contratistas y usuarios de terceros para aplicar la seguridad en concordancia con las polticas y los procedimientos establecidos de la organizacin. Todos los empleado / docente / estudiantes / docentes de la organizacin y donde son relevantes, contratistas y usuarios de terceros han recibido entrenamiento apropiado de conocimiento y actualizaciones regulares en polticas y procedimiento organizacionales como son relevantes para la funcin de su trabajo. Existe un proceso formal disciplinario para empleado / docente / estudiantes / docentes que han cometido una apertura en la seguridad.

Seguridad en Recursos Humanos SUBCOMPONENTE Finalizacin o Cambio de Empleo CUMPLE Ite m 1 2 DETALLE SI NO X X NA Las responsabilidades para realizarla finalizacin de un empleo o el cambio de este son claramente definidas y asignadas. Todos los empleado / docente / estudiantes / docentes, contratistas y terceros deben retomar todos los activos de la organizacin que este en su posesin hasta la finalizacin de su empleo, contrato o acuerdo. Los derechos de acceso para todos los empleado / docente / estudiantes / docentes, contratistas o usuarios de terceros a la informacin y a las instalaciones del procesamiento de X informacin han sido removidos hasta la culminacin del empleo, contrato o acuerdo, son ajustados en caso de cambio.

2.5. Seguridad Fsica y Ambiental Seguridad Fsica y Ambiental SUBCOMPONENTE reas Seguras CUMPLE Ite m 1 DETALLE Los permetros de seguridad (como paredes, tarjetas de control de entrada a puertas o un puesto manual de recepcin) son usados para proteger reas que contengan informacin y recursos de procesamiento de informacin. Las reas de seguridad son protegidas por controles de entradas adecuadas que aseguran el permiso de acceso solo al personal autorizado. La seguridad fsica para oficinas, despachos y recursos son asignadas y aplicadas. Se designan y aplican proteccin fsica del fuego, inundacin, terremoto, explosin, malestar civil y otras formas de desastre natural o humano. Se disean y aplican proteccin fsica y pautas para trabajar en reas seguras. Se controlan las reas de carga y descarga, y si es posible, aislarse de los recursos de tratamiento de informacin para evitar accesos no autorizados. SI NO X NA

2 3 4 5 6

X X X X X

Seguridad Fsica y Ambiental SUBCOMPONENTE Seguridad de los Equipos CUMPLE Ite m DETALLE SI NO NA

1 2 3 4 5

6 7

El equipo es situados y protegido para reducir el riesgo de amenazas del entorno, as como las oportunidades de acceso no X autorizados. Se protegen los equipos contra fallos de energa u otras X anomalas elctricas en los equipos de apoyo. Se protegen contra interceptaciones o dao el cableado de energa y telecomunicaciones que transporten datos o soporten servicios de informacin. Los equipos se mantienen adecuadamente para asegurar su continua disponibilidad e integridad. Se aplica seguridad a los equipos que se encuentran fuera de los locales de la organizacin tomando en cuenta los diversos riesgos a los que se est expuesto. Todos los elementos del equipo que contengan dispositivos de almacenamiento son revisados con el fin de asegurar que cualquier dato sensible y software con licencia a sido removido o sobrescrito con seguridad antes de la eliminacin. El equipo, informacin o software no debe ser sacado fuera del local sin autorizacin.

X X X

X X

2.6. Gestin de Comunicaciones y Operaciones GESTIN DE COMUNICACIONES Y OPERACIONES SUBCOMPONENTE Procedimientos y responsabilidades de operacin CUMPLE Ite DETALLE SI NO m Se documentan y mantienen los procedimientos de operacin y 1 X se ponen a disposicin de todos los usuarios que lo requieran. Se controlan los cambios en los sistemas y recursos de 2 X tratamiento de informacin Se segregar las tareas y las reas de responsabilidad con el fin de reducir las oportunidades de una modificacin no autorizada 3 X o no intencional, o el de un mal uso de los activos de la organizacin Se separan los recursos para desarrollo, prueba y produccin y 4 adems para reducir los riesgos de un acceso no autorizado o X de cambios al sistema operacional GESTIN DE COMUNICACIONES Y OPERACIONES SUBCOMPONENTE Gestin de servicios externos CUMPLE Ite m 1 DETALLE Se asegura que todos los controles de seguridad, definiciones de servicio y niveles de entrega incluidas en el acuerdo de entrega de servicio externo sean implementados, operados y mantenidos por la parte externa Los servicios, reportes y registros provistos por terceros deben ser monitoreados y revisados regularmente, y las auditorias deben ser llevadas a cabo regularmente Se asegura cambios en la provisin del servicio, incluyendo mantenimiento y mejoras en las polticas de seguridad de informacin existentes. SI NO X

NA

NA

2 3

X X

GESTIN DE COMUNICACIONES Y OPERACIONES SUBCOMPONENTE Planificacin y aceptacin del sistema CUMPLE

Ite m 1

DETALLE

SI

NO

NA

Se asegura que el uso de recursos debe ser monitoreado y las proyecciones hechas de requisitos de capacidades adecuadas X futuras para asegurar el sistema de funcionamiento requerido. Se establecen criterios de aceptacin para nuevos sistemas de informacin y versiones nuevas o mejoradas y se deberan X desarrollar con ellos las pruebas adecuadas antes de su aceptacin.

GESTIN DE COMUNICACIONES Y OPERACIONES SUBCOMPONENTE Proteccin contra software malicioso CUMPLE Ite m 1 DETALLE Se implementan controles para detectar el software malicioso y prevenirse contra l, junto a procedimientos adecuados para concientizar a los usuarios. Donde el uso de cdigo mvil es autorizado, la configuracin debe asegurar que dicho cdigo mvil opera de acuerdo a una poltica de seguridad definida y que se debe prevenir que este sea ejecutado. SI NO X NA

GESTIN DE COMUNICACIONES Y OPERACIONES SUBCOMPONENTE Gestin de respaldo y recuperacin CUMPLE Ite m 1 DETALLE Se hacen regularmente copias de seguridad de toda la informacin esencial del negocio y del software, en concordancia con la poltica acordada de recuperacin. SI NO X NA

GESTIN DE COMUNICACIONES Y OPERACIONES SUBCOMPONENTE Gestin de seguridad en redes CUMPLE Ite m 1 DETALLE Las redes deben ser manejadas y controladas adecuadamente para protegerse de amenazas y para mantener la seguridad en los sistemas y aplicaciones usando las redes, incluyendo informacin en trnsito. Las caractersticas de seguridad, niveles de servicio y los requisitos de gestin de todos los servicios de red deben ser identificadas e incluidos en cualquier acuerdo de servicio de red, as estos servicios sean provistos dentro o fuera de la organizacin. SI NO X NA

GESTIN DE COMUNICACIONES Y OPERACIONES SUBCOMPONENTE Utilizacin de los medios de informacin CUMPLE Ite m 1 DETALLE Existen procedimientos informticos removibles. para la gestin de los medios SI NO X NA

2 3 4

Se eliminan los medios de forma segura y sin peligro cuando no se necesiten ms, utilizando procedimientos formales. Los procedimientos para la manipulacin y almacenamiento de la informacin deben ser establecidos para proteger esta informacin de divulgaciones o usos no autorizados. La documentacin de sistemas debe ser protegida contra acceso no autorizado.

X X X

GESTIN DE COMUNICACIONES Y OPERACIONES SUBCOMPONENTE Intercambio de informacin CUMPLE Ite m 1 2 3 4 5 DETALLE SI NO X X X X NA Se establecen polticas, procedimientos y controles formales de intercambio con el fin de proteger la informacin a travs de todos los tipos de instalaciones de comunicacin. Los acuerdos deben ser establecidos para el intercambio de informacin y software entre la organizacin y terceros. Los medios conteniendo informacin deben ser protegidos contra acceso no autorizado, mal uso o corrupcin durante el transporte fuera de los lmites fsicos de la organizacin. La informacin implicada con la mensajera electrnica debe ser protegida apropiadamente. Se desarrollan e implementan polticas y procedimientos con el fin de proteger la informacin asociada con la interconexin de X sistemas de informacin de negocios.

GESTIN DE COMUNICACIONES Y OPERACIONES SUBCOMPONENTE Servicios de correo electrnico CUMPLE Ite m 1 DETALLE SI NO X NA La informacin envuelta en el comercio electrnico pasando a travs de redes pblicas, debe ser protegida de actividad fraudulenta, disputas de contratos y de acceso y modificacin no autorizada. La informacin implicada en las transacciones en lnea debe ser protegida para prevenir la transmisin incompleta, ruta equivocada, alteracin no autorizada de mensajes, acceso no autorizado, duplicado no autorizado del mensaje o reproduccin. La integridad de la informacin que se ha hecho disponible en un sistema pblico debe ser protegido para prevenir X modificaciones no autorizadas.

GESTIN DE COMUNICACIONES Y OPERACIONES SUBCOMPONENTE Monitoreo CUMPLE Ite m 1 2 DETALLE Los registros de auditora grabando actividades de los usuarios, excepciones y eventos de la seguridad de informacin deben ser producidos y guardados para un periodo acordado con el fin de que asistan en investigaciones futuras y en el monitoreo de los controles de acceso. Los procedimientos para el uso del monitoreo de las instalacin de procesamiento de informacin deben ser establecidos y los SI NO NA

X X

3 4

resultados de las actividades de monitoreo deben ser revisadas regularmente. Las instalaciones de informacin de registro deben ser protegidas contra acciones forzosas u acceso no autorizado. Las actividades del administrador y de los operadores del sistema deben ser registradas. Las averas deben ser registradas, analizadas y se debe tomar acciones apropiadas. Los relojes de todos los sistemas de procesamiento de informacin dentro de la organizacin o en el dominio de seguridad deben ser sincronizados con una fuente acordada y exacta de tiempo.

X X X X

2.7. Control de Acceso Control de Acceso SUBCOMPONENTE Requisitos de Negocio para el Control de Accesos CUMPLE Ite DETALLE SI NO m Una poltica de control de acceso es establecida, documentada 1 y revisada y debe estar basada en los requerimientos de X seguridad y del negocio. Control de Acceso SUBCOMPONENTE Ite m 1 DETALLE Gestin de Acceso de Usuarios CUMPLE SI NO

NA

NA

Se formaliza un procedimiento de registro de altas y bajas de usuarios para garantizar el acceso a los sistemas y servicios de X informacin multiusuario. 2 Se restringe y controla el uso y asignacin de privilegios. X Se controla la asignacin de contraseas por medio de un 3 X proceso de gestin formal. La gerencia establece un proceso formal de revisin peridica 4 X de los derechos de acceso de los usuarios. Control de Acceso SUBCOMPONENTE Responsabilidades de los Usuarios CUMPLE Ite DETALLE SI NO m Los usuarios siguen buenas prcticas de seguridad para la 1 X seleccin y uso de sus contraseas. Los usuarios aseguran que los equipos informticos 2 X desatendidos estn debidamente protegidos. Se adopta una poltica de escritorio limpio para papeles y medios removibles de almacenamiento as como una poltica de 3 X pantalla limpia para instalaciones de procesamiento de informacin. Control de Acceso SUBCOMPONENTE Ite m 1 2 DETALLE

NA

Control de Acceso a la Red CUMPLE SI NO NA

Los usuarios tienen acceso directo a los servicios para los que X estn autorizados de una forma especfica. Se utilizan mtodos apropiados de autentificacin para controlar el acceso de usuarios remotos.

3 4 5 6

Las identificaciones automticas de equipo son consideradas como medios para autentificar conexiones desde locales y equipos especficos. Se controla el acceso fsico y logstico para diagnosticar y configurar puertos. Los grupos de servicios de informacin, usuarios y sistemas de informacin son segregados en las redes. Los requisitos de la poltica de control de accesos para redes compartidas, sobre todo para las que atraviesan las fronteras de la organizacin, se basan en los requisitos de las aplicaciones del negocio. Los controles de enrutamiento se basan en mecanismos positivos de verificacin de las direcciones de origen y destino de los mensajes.

X X X X

Control de Acceso SUBCOMPONENTE Ite m 1 2 3 DETALLE

Control de Acceso al Sistema Operativo CUMPLE SI NO X X X NA

4 5 6

El acceso a los servicios de informacin est disponible mediante un proceso de conexin seguro. Todos los usuarios disponen de un identificador nico para su uso personal y deben ser escogida una tcnica de autentificacin adecuada para verificar la identificad de estos. Los sistemas de gestin de contraseas deben proporcionar un medio eficaz e interactivo para asegurar la calidad de las mismas. La mayora de las instalaciones informticas han dispuesto de programas del sistema capaces de eludir las medidas de control X del sistema o de las aplicaciones. Es fundamental que su uso se restrinja y se mantenga fuertemente controlado. Las sesiones se desactivan tas un periodo definido de inactividad. Las restricciones en los tiempos de conexin ofrecen seguridad adicional para aplicaciones de alto riesgo.

X X

Control de Acceso SUBCOMPONENTE Ite m 1 2 DETALLE

Control de Acceso a las Aplicaciones y la Informacin CUMPLE SI NO X X NA

Se dan accesos a la informacin y a las funciones del sistema de aplicaciones solo a los usuarios de este, incluido el personal de apoyo, de acuerdo con una poltica de control de accesos definida. Los sistemas sensibles necesitan entornos informticos definidos (aislados).

Control de Acceso SUBCOMPONENTE Ite m 1 2 DETALLE

Informtica Mvil y Teletrabajo CUMPLE SI NO X X NA

Se deben adoptar una poltica formal y medidas de seguridad apropiadas con el fin de protegernos contra los riesgos cuando se usan dispositivos de informtica. Se deben desarrollar e implementar una poltica, planes operacionales y procedimientos para las actividades de teletrabajo.

2.8. Adquisicin, Desarrollo y Mantenimiento de Sistemas Informacin Adquisicin, Desarrollo y Mantenimiento de Sistemas de Informacin SUBCOMPONENTE Requisitos de Seguridad de los Sistemas CUMPLE Ite DETALLE SI NO NA m Los enunciados de los requisitos de negocio para sistemas 1 nuevos o mejoras a sistemas existentes deben especificar los x requisitos de control. Adquisicin, Desarrollo y Mantenimiento de Sistemas de Informacin SUBCOMPONENTE Seguridad de las Aplicaciones del Sistema CUMPLE Ite DETALLE SI NO m Se validan los datos de entrada a las aplicaciones del sistema 1 X para garantizar que son correctas y apropiadas. Se incorporan a los sistemas comprobaciones de validacin para 2 detectar cualquier tipo de corrupcin de informacin a travs de X los errores del proceso o por actos deliberados. Se identifican los requerimientos para asegurar la 3 autentificacin y proteccin de la integridad de los mensajes en X aplicaciones y se deberan e implementar controles apropiados. Se validan los datos de salida de un sistema de aplicacin para 4 garantizar que el proceso de la informacin ha sido correcto y X apropiado a las circunstancias. Adquisicin, Desarrollo y Mantenimiento de Sistemas de Informacin SUBCOMPONENTE Controles Criptogrficos CUMPLE Ite DETALLE SI NO m La organizacin desarrolla e implementa una poltica de uso de 1 X las medidas criptogrficas para proteger la informacin. La gestin de claves criptogrfica apoya el uso de las tcnicas 2 X criptogrficas en la organizacin. Adquisicin, Desarrollo y Mantenimiento de Sistemas de Informacin SUBCOMPONENTE Seguridad de los Archivos del Sistema CUMPLE Ite DETALLE SI NO m Existen procedimientos para controlar la instalacin del 1 X software en sistemas operacionales. 2 Los datos de prueba son seleccionados cuidadosamente, as X

de

NA

NA

NA

como protegidos y controlados. El acceso a los cdigos de programas fuente debe ser restringido.

Adquisicin, Desarrollo y Mantenimiento de Sistemas de Informacin SUBCOMPONENTE Seguridad en los Procesos de Desarrollo y Soporte CUMPLE Ite DETALLE SI NO m La implementacin de cambios es controlada usando 1 procedimientos formales de cambio. Se revisan y prueban las aplicaciones del sistema cuando se 2 efecten cambios, para asegurar que no impactan adversamente en el funcionamiento o en la seguridad. No se recomiendan modificaciones a los paquetes de software. 3 Se deberan limitar a cambios necesarios y todos estos deben ser estrictamente controlados. 4 Las oportunidades de fuga de informacin son prevenidas. X El desarrollo externo del software es supervisado y monitoreado 5 X por la organizacin.

NA X X X

Adquisicin, Desarrollo y Mantenimiento de Sistemas de Informacin SUBCOMPONENTE Gestin de la Vulnerabilidad Tcnica CUMPLE Ite DETALLE SI NO NA m Se obtiene a tiempo la informacin sobre las vulnerabilidades tcnicas del sistema de informacin utilizado. Igualmente, se 1 X evala la exposicin de la organizacin a tales vulnerabilidades y las medidas apropiadas para tratar a los riegos asociados. 2.9. Gestin de Incidentes de los Sistemas de Informacin Gestin de Incidentes de los Sistemas de Informacin Reportando Eventos y Debilidades de la Seguridad de SUBCOMPONENTE Informacin CUMPLE Ite DETALLE SI NO NA m Los eventos en la seguridad de informacin son ser reportados 1 lo ms rpido posible a travs de una gestin de canales X apropiados. Todos los empleado / docente / estudiantes / docentes, contratistas y terceros que son usuarios de los sistemas y 2 X servicios de informacin anotan y reportan cualquier debilidad observada o sospechada en la seguridad de estos. Gestin de Incidentes de los Sistemas de Informacin Gestin de las Mejoras e Incidentes en la Seguridad de SUBCOMPONENTE Informacin CUMPLE Ite DETALLE SI NO NA m Las responsabilidades y procedimientos de el Decanato son 1 establecidos para asegurar una rpida, efectiva y ordenada X respuesta a los incidentes en la seguridad de informacin. Existe un mecanismo que permite que los tipos, volmenes y 2 costos de los incidentes en la seguridad de informacin sean X cuantificados y monitoreados. 3 Cuando una accin de seguimiento contra una persona u X organizacin, despus de un incidente en la seguridad de informacin, implique accin legal (civil o criminal), la evidencia

es recolectada, retenida y presentada para ser conforme con las reglas para la colocacin de evidencia en la jurisdiccin existente. 2.10. Gestin de la Continuidad del Negocio Gestin de la Continuidad del Negocio SUBCOMPONENTE Aspectos de la Gestin de Continuidad del Negocio CUMPLE Ite DETALLE SI NO m Se instala en toda la organizacin un proceso de gestin para el desarrollo y el mantenimiento de la continuidad del negocio a 1 travs de la organizacin que trate los requerimientos en la X seguridad de informacin necesarios para la continuidad del negocio. Los eventos que pueden causar interrupciones a los procesos de negocio son identificados, junto con la probabilidad e impacto 2 X de dichas interrupciones y sus consecuencias para la seguridad de informacin. Se desarrollan planes de mantenimiento y recuperacin de las operaciones del negocio, para el aseguramiento de informacin 3 al nivel y en las escalas de tiempo requeridas, tras la interrupcin o la falla de sus procesos crticos. Se mantiene un esquema nico de planes de continuidad del negocio para asegurar dichos planes son consistentes, para 4 tratar los requisitos de seguridad y para identificar las prioridades de prueba y mantenimiento. Los planes de continuidad del negocio se prueban regularmente 5 X para asegurarse de su actualizacin y eficacia.

NA

2.11. Cumplimiento Cumplimiento SUBCOMPONENTE Cumplimiento de los Requisitos Legales CUMPLE Ite m 1 DETALLE Se definen, documentan y mantienen actualizados de forma explcita todos los requisitos legales, regulatorios y contractuales que sean importantes para cada sistema de informacin. Se implementan los procedimientos apropiados para asegurar el cumplimiento de las restricciones legales, reguladoras y contractuales sobre el uso del material protegido por derechos de propiedad intelectual y sobre el uso de productos de software propietario. Se protegen los registros importantes de la organizacin frente a su perdida, destruccin y falsificacin en concordancia con los requisitos regulatorios, contractuales y de negocio. La proteccin de datos y la privacidad es asegurada como se requiere en la legislacin, las regulaciones y, si es aplicable, en las clusulas contractuales. El personal es disuadido de utilizar los recursos de tratamiento de la informacin para propsitos no autorizados. Los controles criptogrficos es utilizado en conformidad con todos los acuerdos, leyes y regulaciones. SI NO NA X

3 4 5 6

X X X X

Cumplimiento SUBCOMPONENTE Ite m 1 2 DETALLE Los gerentes se aseguraran que se cumplan correctamente todos los procedimientos de seguridad dentro de su rea de responsabilidad cumpliendo las polticas y estndares de seguridad. Se comprueban regularmente la conformidad con las normas de implantacin de la seguridad en los sistemas de informacin. Controles de Auditoria de Sistemas CUMPLE Ite m 1 2 DETALLE Se planifica cuidadosamente y acuerdan los requisitos y actividades de auditoria que impliquen comprobaciones en los sistemas operativos, para minimizar el riesgo de interrupcin de los procesos de negocio. Se protegen los accesos a las herramientas de auditoria de sistemas con el fin de prever cualquier posible mal uso o dao. SI NO X X NA Revisiones de la Poltica de Seguridad y de la Conformidad Tcnica CUMPLE SI NO X X NA

Cumplimiento SUBCOMPONENTE

1111111 1er. tem En la actualidad no existe un manual de polticas para la seguridad de la informacin, y no cumple con las NTE, por lo tanto se tiene que elaborar un documento, con el fin de que exista una normativa comn que regule a toda la organizacin. Mediante este documento definiremos polticas y planes de tecnologas de la informacin que deben ser implementados en esta empresa.

2.11.1.1. INTRODUCCION La institucin define como elemento importante, contar con polticas para la Seguridad de la Informacin. 2.11.1.2. POLITICAS PARA INFORMACIN RIESGOS ASOCIADOS A TECNOLOGAS DE LA

2.11.1.2.1. Objetivos Garantizar el correcto uso y cuidado de los equipos, el correcto uso de passwords asignados, el uso de software libre y legal, la correcta realizacin de los respectivos backups de la institucin. Garantizar la seguridad de la informacin en todos los niveles de la organizacin, desarrollando normas de seguridad integrales que alcancen a todas las reas de la Institucin.

2.11.1.2.2. Alcance A toda la Organizacin. 2.11.1.2.3. Definiciones Seguridad de la informacin: es el conjunto de medidas preventivas y reactivas de la organizacin y de los sistemas tecnolgicos que permitan resguardar y proteger la informacin buscando mantener la confidencialidad, la disponibilidad e integridad de la misma. Estudiantes: personal estudiantil que va a las instalaciones a utilizar los laboratorios de computacin para sus capacitaciones, y acceder a la red internet por medio de puntos de accesos inalmbricos. Usuario: Se refiere a cualquier persona contratada por la entidad, que haya sido autorizada para hacer uso de las herramientas tecnolgicas. Equipo: Aquel equipo (computadoras de escritorio, porttiles, servidores, equipos de comunicacin y otros equipos electrnicos) propiedad de la Institucin y de estudiantes particulares. Software: Aquel software que la oficina de sistemas de la Institucin ha definido como "Software de Uso Legal", del cual la Institucin ha adquirido e inscrito a su nombre todas las licencias respectivas. 2.11.1.2.4. Integrantes del comit de seguridad a. Preside un miembro del Decano. b. Decano. c. Jefe de Sistemas. d. Administrativos. e. Docentes. f. Estudiantes. Para las revisiones sobre la poltica de seguridad de la informacin, actualmente la Institucin cuenta con el Manual de polticas y procedimientos de cumplimiento normativo, en etapa de elaboracin, solo indica que las revisiones son informadas anualmente al Decano y Rector. Se modific las poltica y se agreg un punto donde se define al propietario de la polticas de seguridad, el cual tiene como responsabilidad el mantenimiento y revisin de la misma. 2.11.1.2.5. OBJETIVO

La funcin de cumplimiento normativo tiene como objetivo velar por el adecuado cumplimiento de la normativa que le sea aplicable a la institucin, tanto interna como externa. 2.11.1.2.6. DESARROLLO

2.11.1.2.6.1. Polticas La Universidad realizar la vigilancia y evaluacin de la funcin para el cumplimiento normativo de acuerdo a sus propias necesidades y organizacin interna, asegurando que dicha funcin cuente con recursos asignados suficientes para realizar una labor efectiva.

Tambin estar en permanente custodia para que los encargados cumplan con la funcin de encargada y deban ser independientes respecto de las actividades a realizar y contar con conocimientos slidos de la normativa aplicable a la Institucin as como de su impacto en las operaciones de sta. La funcin de cumplimiento normativo incorpora la evaluacin y monitoreo del cumplimiento de toda la normativa aplicable a la institucin supervisada. Sin embargo, la evaluacin y monitoreo de lo dispuesto en materia de prevencin bifurcacin de la informacin, corrupcin y financiamiento del terrorismo as como del sistema de atencin al usuario ser responsabilidad del Oficial de Cumplimiento y del Oficial de Atencin al Usuario, respectivamente, los cuales deben ser diferentes del encargado de la funcin de cumplimiento normativo. 2.11.1.2.6.2. Funciones del oficial de cumplimiento normativo

Las funciones de cumplimiento normativo son: Asesorar al Decano en el manejo efectivo del cumplimiento de la normativa aplicable a la institucin. En el Organigrama Funcional el rea de Sistemas como nivel de Apoyo cumple funciones en todas las reas que lo requieran en total confidencialidad y armona en el trabajo. Informar de manera continua y oportuna al consejo institucional y al decanato respecto a las acciones necesarias para un buen cumplimiento normativo y las posibles brechas existentes, as como de los principales cambios en el ambiente normativo que puedan producir un impacto en las operaciones de la Institucin. Vigilar el cumplimiento normativo aplicable a la entidad. Informar semestralmente al Decano y al consejo institucional, Consejo Estudiantil sobre el progreso de la implementacin de las medidas de adecuacin normativa. Orientar al personal de la institucin respecto a la importancia del cumplimiento normativo, y de las responsabilidades que se derivan en caso de incumplimiento. Asegurar la existencia de procedimientos y controles para garantizar que el personal cumple las decisiones adoptadas y las funciones encomendadas. Brindar seguridad razonable al Decano y al Consejo institucional de que las polticas y procedimientos relacionados con el cumplimiento normativo logran que la Institucin cumpla con los requerimientos regulatorios. Proponer para aprobacin del Decano antes del 31 de diciembre de cada ao, un programa de cumplimiento anual que exponga las actividades programadas y la implementacin de stas y sus recomendaciones; dicho programa deber estar a disposicin a todo el personal de la Universidad Laica Eloy Alfaro. Proponer al Decano medidas correctivas en caso de presentarse fallas en la aplicacin de la Funcin de Cumplimiento Normativo. Las polticas de seguridad definidas debern tener un propietario que sea responsable del mantenimiento y revisin de las mismas. Poltica de seguridad - Manual de polticas y procedimientos de cumplimiento normativo. (Auditor Interno) - Manual de polticas para la seguridad de la informacin. (Jefe de Sistemas) Gestin de activos - Manual de procedimientos para la elaboracin del inventario de activos de la informacin. (Decano) Seguridad en recursos humanos

- Manual de procedimientos de atencin de requerimientos de informacin de entidades gubernamentales. (Coordinadores) - Manual de procedimientos de recursos humanos. (Jefe de RR.HH) - Manual de procedimientos para los contratos con los aliados comerciales. (Coordinadores) Gestin de comunicaciones y Operaciones - Manual de procedimientos de backups y medios de almacenamiento. (Administrador de BD) - Manual de procedimientos operativos de la oficina de informtica. (Jefe de Sistemas) - Manual de procedimientos para pruebas de copias de respaldo. (Administrador de BD)

Control de accesos - Manual de polticas de escritorio limpio. (Coordinador de Soporte Tcnico) - Manual de procedimientos para la gestin de perfiles y usuarios a los sistemas. (Jefe de Sistemas) - Manual de procedimientos para seguimiento de accesos y uso de los sistemas. (Jefe de Sistemas) 2.12. POLTICAS PARA LA ORGANIZAR LA SEGURIDAD DE LA INFORMACIN Mediante este documento definiremos polticas y planes de tecnologas de la informacin que deben ser implementados en esta empresa. 1111111 POLTICAS PARA LA ORGANIZACIN INTERNA 2.12.1.1. 1er. tem Los requisitos identificados de seguridad son anexados antes de dar a los Estudiantes acceso a la informacin o a los activos de la organizacin. 2.12.1.2. Introduccin a. El propsito de esta poltica es que exista un documento en el cual se anexe y se entregue a terceras personas cuando se les conceda accesos. 2.12.1.3. Polticas 2.12.1.4. Objetivos 1 1 Contar con un documento que se indique los deberes y derechos que tiene una tercera persona cuando se le conceda accesos a nuestros sistemas. 2.12.1.5. Alcance a. - Todo el personal de la Universidad Laica Eloy Alfaro De Manab Extensin Chone. b. - Se prepara un documento de derechos y deberes de las terceras personas.

2.13. POLTICAS PARA LA GESTIN DE ACTIVOS Mediante este documento definiremos polticas y planes de tecnologas de la informacin que deben ser implementados en esta empresa. a. Los activos son claramente identificados y se elabora y mantiene un inventario de todos los activos importantes. b. En la actualidad existe un manual de inventario de activos de la informacin, pero existe slo en procedimiento y no ha sido desarrollado. 1111111 DEFINICIN DE ACTIVOS DE TI/SI: 2.13.1.1. 1er. tem

. Los activos de TI/SI son muy amplios, por ello es fundamental estar conceptualmente claros qu es un activo de TI/SI y conocer sus distintas posibles modalidades. 2.13.1.1.1. Polticas 2.13.1.1.1.1. Objetivos . Definir claramente los activos.

2.13.1.1.1.2. Alcance 1) Identificar y determinar activos para Universidad Laica Eloy Alfaro de Manab Extensin Chone, teniendo en cuenta las diferentes reas de la organizacin (Ejm. rea de Operaciones, rea de Administrativa, rea de Secretariado, Laboratorios, etc). 2) Realizar un listado, descripcin y ubicacin de activos a la fecha y estructurar un formato con la siguiente informacin: a. Nombre Activo: Es un campo que define la manera como se va a reconocer el activo en la organizacin con un nombre particular y diferenciable. b. Clasificacin: El tipo al cual pertenece el activo. c. Ubicacin Fsica: Es la informacin acerca de donde se encuentra especficamente ubicado el activo. d. Jefe de rea Responsable: Encargado de cada rea dnde se encuentre fsicamente el activo. e. Medio: Es la ubicacin fsica o electrnica donde se encuentra disponible el activo. 2.13.1.2. 2do. tem La informacin y los activos asociados con el proceso de informacin son posedos por una parte asignada de la organizacin.

2.13.1.2.1. INTRODUCCIN . Cada activo de la informacin tiene que tener un propietario que se encarte de la gestin. 2.13.1.2.1.1. Polticas 2.13.1.2.1.2. Objetivos a. Definir claramente el propietario del activo de la informacin. 2.13.1.2.1.3. Alcance . - Cada activo inventariado se le asignar un propietario. . - Cada propietario se encargar de la gestin del activo (custodia, clasificacin, etc). . - Anualmente por el comit del SGSI revisa la asignacin de propiedades. 2.13.1.3. 3er. tem La informacin es clasificada en funcin de su valor, requisitos legales, sensibilidad y criticidad para la organizacin. 2.13.1.3.1. INTRODUCCIN Cada activo de la informacin tiene ser clasificada en funcin de su valor, requisitos legales, sensibilidad y criticidad para la organizacin.

2.13.1.3.2. Polticas 2.13.1.3.2.1. Objetivos Clasificar el activo de informacin 2.13.1.3.2.2. Alcance - Se clasifica los activos de la Universidad Laica Eloy Alfaro De Manab Extensin Chone en funcin de categoras:

Categora segn NTE 17799:2005

Subcategora

Activos a proteger Datos de usuario Documentacin de: programas, hardware, sistemas, procedimientos administrativos, locales, manuales, etc. Estaciones de trabajo Locales Mobiliario Antenas Cableados Hardware (teclado, monitor, unidades de disco, medios removibles, etc.) Hubs Modems Servidores Switch Central Cintas, cartuchos de tinta, toner, papel, formularios, etc. Administrador de sistema (Departamento de Sistema) Personal Interno Personal Subcontratado Responsable Planificacin Usuarios Acceso telefnico remoto Mensajera instantnea, otros Backups Base de datos Configuracin de redes Datos en trnsito, datos de configuracin, datos en medios externos Herramientas de auditoria Programas fuentes Sistemas de control Sistemas operativos Software de aplicacin

Activos de informacin

Documentos

Edificios y Equipamiento

Activos Fsicos

Equipamiento Informtico

Insumos

Recursos Humanos

Recursos Humanos

Servicios

Servicios

Activos de Software

Software

Imagen y Reputacin

Imagen y Reputacin

2.13.1.4. 4to. tem Se define un conjunto adecuado de procedimientos para marcar y tratar la informacin de acuerdo con el esquema de clasificacin adoptado por la organizacin. 2.13.1.4.1. INTRODUCCIN El propsito de esta poltica tiene definir el procesamiento para el marcado de la informacin. 2.13.1.4.2. Polticas 2.13.1.4.2.1. Objetivos Definir el procesamiento para el marcado de la informacin. 2.13.1.4.2.2. Alcance Procedimiento para el marcado de la informacin: Toda informacin impresa o almacenada en medios fsicos transportables (cintas de backup, cds, etc.) que sean confidenciales o restringidas, deben estar claramente etiquetadas como tal, con letras grandes que sean legibles sin la necesidad de un lector especial. La Institucin debe definir el tratamiento de cada uno de los tipos de informacin, incluyendo el personal autorizado, soportes en los que se puede almacenar y usuarios o destinatarios autorizados de dicha informacin. Todo documento o contenedor de informacin debe ser etiquetado como Restringida, Confidencial, de Uso interno o de Acceso General, dependiendo de la clasificacin asignada.

2.14. POLTICAS PARA LASEGURIDAD DE RECURSOS HUMANOS Mediante este documento definiremos polticas y planes de tecnologas de la informacin que deben ser implementados en esta empresa. 1111111 Objetivo: Asegurar que los empleado / docente / estudiantes / docentes, contratistas y terceros entiendan sus responsabilidades, y que sean adecuados para los roles para los que han sido considerados, reduciendo el riesgo de robo, fraude o mal uso de las instalaciones. 1111111 Alcance: 11 A todo tipo de personal que lleva alguna relacin laboral con ULEAM CHONE (Ej. Personal contratado y proveedores). 1111111 Polticas: ) La seguridad es responsabilidad de todos los empleado / docente / estudiantes / docentes y personas involucradas con la ULEAM CHONE . Por ende, todos los empleado / docente / estudiantes / docentes, contratistas, proveedores y personas con acceso a las instalaciones e informacin de la ULEAM CHONE deben de acatar los estndares documentados en la poltica de seguridad de la ULEAM CHONE e incluir la seguridad como una de sus responsabilidades principales. ) Promover el uso de Sistemas Libre (Open Source). ) Cuando se contrate a un empleado / docente / estudiante nuevo y/o el servicio de algn tercero, se debe de entregar la poltica de seguridad as como las normas y procedimientos para el uso de las aplicaciones y los sistemas de informacin de la ULEAM CHONE . Asimismo se debe entregar un resumen escrito de las medidas bsicas de seguridad de la informacin.

) El personal debe de ser comunicado de las implicancias de seguridad en relacin a las responsabilidades de su trabajo. ) Una copia firmada de la poltica de seguridad de informacin debe de ser guardada en el archivo del empleado / docente / estudiante. ) Todos los dispositivos personales de informacin, como por ejemplo computadoras de propiedad de los empleado / docente / estudiantes / docentes o asistentes digitales personales (PDA Personal Digital Assistant), que interacten con los sistemas de la ULEAM CHONE , deben ser revisados, aprobados y autorizados por el Decanato de la ULEAM CHONE . Esto debe hacerse casi inmediato de firmarse el contrato con la Institucin. ) El personal a contratar debe estar enterado de: a. Cada usuario es responsable del equipamiento que ULEAM CHONE le ha confiado para el desarrollo de sus funciones laborales. Por ello, slo podr extraer de los locales de la organizacin aquellos equipos y dispositivos autorizados por la direccin. b. Cualquier desperfecto ocasionado por el uso o traslado inadecuado de los recursos, ser atribuible al usuario. c. El usuario es responsable de proteger y mantener la confidencialidad de la informacin perteneciente o confiada a ULEAM CHONE , y deber contribuir de manera activa al secreto de la misma. d. El usuario se hace responsable de sus contraseas y bajo ninguna circunstancia debe divulgarlas o cederlas al resto de usuarios. Las contraseas de usuario deben ser robustas y difcilmente adivinables por terceros no autorizados. e. En caso de detectar algn incidente de seguridad, el usuario deber comunicarlo inmediatamente al personal oportuno siguiendo el procedimiento establecido. ) El personal a contratar debe saber que est estrictamente prohibido: a. Hacer uso de del equipamiento con fines no relacionados con la actividad exclusivamente laboral. b. Modificar, alterar o daar la configuracin de los dispositivos de hardware, software y comunicaciones habilitados por la organizacin para el desempeo de las funciones propias de cada usuario. c. En caso de que algn usuario precise la instalacin de componentes adicionales, deber comunicarlo a su responsable directo, el cual, tras valorar la peticin, remitir una solicitud formal a la Direccin de la organizacin. No se permitir bajo ningn concepto la instalacin de software que no vaya acompaado de su correspondiente licencia. d. Conectarse a la red corporativa por medios distintos a los establecidos por la organizacin. e. Emplear Internet con fines que no guarden en modo alguna relacin con las tareas y obligaciones estipuladas en el mbito laboral. Esta premisa se hace extensible al uso del correo electrnico y aplicaciones informticas. f. Intentar acceder sin autorizacin a los elementos y contenidos restringidos de los sistemas; as como leer, modificar o eliminar el correo personal de otros usuarios. g. Introducir intencionadamente en los Sistemas de Informacin de la organizacin componentes potencialmente dainos (malware), o con contenido amenazante, ofensivo u obsceno. h. Intentar destruir, alterar, inutilizar o divulgar los datos e informacin que son propiedad de la organizacin. Este acto, adems, puede constituir un delito. i. No se podr realizar reenvos automticos a direcciones que no pertenecen a la organizacin. No olvidar que este control es mientras se est bajo la red de ULEAM CHONE . ) Es responsabilidad del rea de seguridad informtica promover constantemente la importancia de la seguridad a todos los usuarios de los sistemas de informacin. (Se habla de capacitaciones continuas). ) La capacitacin en seguridad debe de incluir, pero no estar limitado, a los siguientes aspectos: a. Requerimientos de identificador de usuario y contrasea. b. Seguridad de PC, incluyendo proteccin de virus.

c. d. e. f. g. h. i.

Responsabilidades de la organizacin de seguridad de informacin. Concientizacin de las tcnicas utilizadas por hackers, Jackers. Programas de cumplimiento. Guas de acceso a Internet. Guas de uso del correo electrnico. Procesos de monitoreo de seguridad de la informacin utilizados. Persona de contacto para informacin adicional.

1111111 Sanciones por Incumplimiento: a. El incumplimiento de alguna de estas pautas generales de conducta, podra propiciar la apertura del correspondiente proceso disciplinario. b. En caso de identificar a algn usuario que incumpla alguna de las normas anteriores, proceder a comunicarle esta circunstancia como primer aviso en forma verbal. c. Si se llegase a apreciar mala fe o reiteracin en sus acciones, como segundo aviso se le enviar un Memorndum al usuario involucrado. d. Si por tercera vez el usuario reitera, ULEAM CHONE adoptar las medidas que legalmente le amparen para la proteccin de sus derechos. Esto podra llegar hasta la terminacin de la relacin laboral entre el usuario y la Institucin. 2.15. POLTICAS PARA LA SEGURIDAD FSICA Y AMBIENTAL Mediante este documento definiremos polticas y planes de tecnologas de la informacin que deben ser implementados en esta empresa. 1111111 Poltica para la revisin de Dispositivos de Almacenamiento: 2.15.1.1. Objetivo: a. Asegurar la integridad del valor de la informacin que se encuentra procesada y almacenada en los dispositivos de la ULEAM CHONE . 2.15.1.2. Alcance: . A todo tipo de personal que lleva alguna relacin laboral con ULEAM CHONE y que se le haya asignado algn equipo de cmputo o algn dispositivo de almacenamiento externo. (Ej. Personal contratado y proveedores). 2.15.1.3. Polticas: El responsable del rea de Sistemas para la Seguridad de la Informacin deber tener en cuenta las siguientes medidas de proteccin: ) Almacenar los equipos redundantes y la informacin de resguardo (back up) en un sitio seguro y distante del lugar de procesamiento, se debe indicar el lugar, nombre y telfono en el Plan de Contingencias. ) El responsable del rea de Sistemas para la Seguridad de la Informacin deber realizar un cronograma para la revisin de los equipos y de todos los dispositivos de almacenamientos que maneja el personal. ) El usuario ser notificado 5 das hbiles de anterioridad a la revisin de los equipos o dispositivos que tenga a custodia. ) La informacin a revisar debe considerar: a. Documentacin que se maneja en la Institucin. b. Correo electrnico de la Institucin. c. Programas instalados y / o modificados y/o eliminados de la computadora sin autorizacin. (Sea con o sin licencia) d. Copias de seguridad almacenadas. e. Historial y temporales de los navegadores. f. Historial de Acceso Remoto. g. Revisar si el sistema ha sido restaurado y/o formateado sin autorizacin.

h. Si los archivos existentes contienen usuario y clave del equipo y del usuario; entre otros. ) El personal que realice la revisin debe de documentar todo lo que realiza, revis y encontr en el equipo, as como tambin los datos del usuario a quien le pertenece (o tiene la custodia del equipo). ) La gerencia de Sistemas tiene la obligacin de hacer un informe final de las estadsticas de las anomalas encontradas en los equipos, as como hacer llegar a cada gerencia quienes son los usuarios que no cumplen con las polticas de seguridad de la Institucin. 2.15.1.4. Sanciones de Incumplimiento: a) Si el usuario no permite realizar la revisin de los equipos a su custodia, se le realizar un llamado de atencin mediante un memorndum para luego realizar la reprogramacin de la revisin. (Debido a que se le ha sido notificado con anticipacin). b) Si el usuario reitera con su actitud este puede tener una sancin mayor segn el Decanato general lo decida, llegando a la sancin mayor que sera el trmino de la relacin laboral. c) Si el encargado de realizar la revisin no notificara con tiempo a los usuarios tambin recibir un memorndum como llamado de atencin. d) Si se reitera con la accin de no notificar a los usuarios este personal sera removido de sus responsabilidades, y se le reubicara en un rea diferente, tomando en cuenta que si no cumpliera con las nuevas responsabilidades obligara a que ULEAM CHONE termine con la relacin laboral con dicho personal. 2.16. POLTICAS PARA LA GESTIN DE COMUNICACIONES Y OPERACIONES Mediante este documento definiremos polticas y planes de tecnologas de la informacin que deben ser implementados en esta empresa. 1111111 MANUAL DE PROCEDIMIENTO PARA COPIAS DE RESPALDO 2.16.1.1. DEFINICIN Definir el procedimiento operativo para realizar los backups de la base de datos de los aplicativos y programas fuentes. 2.16.1.2. ALCANCE reas de Operaciones, Sistemas y Mtodos, Jefatura de Sistemas, Administrador de Base de Datos. 2.16.1.3. PROCEDIMIENTO PARA BACKUP DE BASE DE DATOS DE APLICATIVOS ) El backup de base de datos se realiza a partir de las 4:00am, a travs de un proceso automtico diario que copia toda la BD a otro Directorio del disco duro del servidor. ) El Administrador de Base de Datos a las 8:40 a.m. verifica que el proceso de backup haya terminado correctamente y copia de forma manual el backup de base de datos a disco local del Administrador de Base de Datos y semanalmente a disco duro externo. ) Luego el Administrador de base de Datos enva diariamente una copia del backup de base de datos a la oficina de ULEAM Manta a travs de nuestro FTP para su descargo y almacenamiento respectivo. ) Se mantienen 4 copias de la base de datos: servidor de base de datos, disco local del Administrador de Base de Datos, disco duro externo y servidor en Manta, lo que nos permite asegurar la informacin en pueda ser recuperada en caso de algn desastre en la centro principal de procesamiento ) El Administrador de Base de datos registra el backup en forma diaria, en el formato FOR036 Formatos del SGSI Respaldos, que ser archivado en el file Acta de Backup y Restore. ) Adicionalmente mediante el proceso automtico diario se realiza un backup de la base de datos principal por horas, que se almacenan en el mismo servidor a las siguientes horas : 10:00, 12:00, 13:00,14:00, 18:00, 19:00, 20:00 y 21:00 horas.

) La copia de la base de datos en el disco duro externo se almacena en la caja fuerte que se encuentra en el rea de Sistemas. La infraestructura del rea de Sistemas cuenta con dispositivos contraincendios y aire acondicionado, lo que permite mantener en condiciones ambientales ptimas los backups de la base de datos. 2.16.1.4. PROCEDIMIENTO PARA BACKUP DE PROGRAMAS FUENTES . El backup de los programas fuentes se realiza a partir de las 10:00 pm, a travs de un proceso automtico semanal que copia todo el cdigo fuente a un Directorio del disco duro de un equipo de backup de fuentes a cargo del DBA . . El Administrador de Base de Datos al da siguiente las 9.00 am verifica que el proceso de backup haya terminado correctamente. . El DBA copia de forma manual el backup de programas fuentes al disco externo. 1111111 MANUAL DE PROCEDIMIENTO PARA PRUEBAS DE COPIAS DE SEGURIDAD Mediante este documento definiremos polticas y planes de tecnologas de la informacin que deben ser implementados en esta empresa. 2.16.2.1. DEFINICIN Definir el procedimiento para realizar las pruebas de las copias de respaldo. 2.16.2.2. ALCANCE reas de Operaciones, Sistemas y Mtodos, Administrador de Base de Datos. 2.16.2.3. PROCEDIMIENTO . El Administrador de Base de Datos selecciona el backup de base de datos a restaurar desde el medio externo (disco duro externo). . El Administrador de Base de Datos crea una base de datos en el SQLServer local. . El Administrador de Base de Datos restaura el backup de base de datos en la base de datos creada localmente. . El Administrador de Base de Datos direcciona el aplicativo del sistema de registro de matrculas y notas a la base de datos restaurada, en el cual se verifica la integridad de la informacin. . El Administrador de Base de Datos realiza un cierre crediticio a una fecha de corte (Fin de Mes). . Los siguientes indicadores nos indica que la data de nuestra base de datos restaurada esta ntegra: a. Realizar un cuadre de transacciones. b. Reportar indicadores de calidad de procesos desde nuestra base de datos restaurada y compararlo con un reporte de indicadores de calidad de cartera de la base de datos en produccin. c. Reportar Balance General de procesos suscitados diariamente como registro de asistencia de estudiantes desde nuestra base de datos restaurada y compararlo con un reporte de Balance General de la base de datos en produccin. . Se registra en la bitcora de restauracin de backup la prueba realizada. . Este procedimiento se realiza con frecuencia mensual. 2.17. POLITICAS PARA CONTROL DE ACCESOS Mediante este documento definiremos polticas y planes de tecnologas de la informacin que deben ser implementados en esta empresa. 1111111 POLTICAS DE REVISIN DE LOS DERECHOS DE ACCESO DE LOS USUARIOS 2.17.1.1. Objetivos

a. Asegurar el acceso autorizado de cada usuario y prevenir accesos no autorizados a los sistemas de informacin. b. La gerencia debera establecer un proceso formal de revisin peridica de los derechos de acceso de los usuarios. 2.17.1.2. Alcance a. reas de Sistemas, Administrador de Base de Datos, y Jefatura de Recursos Humanos. 2.17.1.3. Polticas La revisin de los derechos de acceso de usuario debera considerar las siguientes pautas: a. Revisar los derechos de acceso de los usuarios a intervalos de tiempo regulares (se recomienda cada seis meses) y despus de cualquier cambio como promocin, degradacin o termino del empleo. b. Los derechos de acceso de los usuarios deben ser revisados y reasignados cuando se traslade desde un empleo a otro dentro de la misma organizacin. Modelos de formularios recomendados de ejemplos a implementar en la ULEAM CHONE. FORMULARIO 1: REVISIN DE DERECHOS DE ACCESO DE USUARIOS Y REASIGNACIN DE DERECHOS DE ACCESO rea o departamento encargado de la revisin de los derechos de acceso de los usuarios: Responsable del rea: Revisin de derechos de acceso Indicar en motivo por el cual Cambio de promocin se est llevando a cabo una Degradacin de un empleado / docente / revisin : estudiante Ascensin de un empleado / docente / estudiante Retiro de la organizacin de un empleado / docente / estudiante Est Programado la revisin Otros Documento de registro de los derechos accesos: (nombre, tipo y numero) Documento de reporte de los accesos y observaciones halladas (nombre, tipo y numero ) Responsable de emitir los reportes despus de la revisin (nombres apellidos y rea de trabajo) Reasignacin de derechos de acceso Nombre y apellidos: Cargo actual que ocupa: Documento de reasignacin de derechos de acceso Responsable de autorizar reasignacin de derechos.

(nombre, apellidos rea de trabajo) Motivo de reasignacin de derechos de acceso

Cambio de promocin Degradacin Ascensin Retiro de la organizacin Otros

Documento de aprobacin de reasignacin de derecho de accesos c. Revisar ms frecuentemente (se recomienda cada tres meses) las autorizaciones de derechos de acceso con privilegios especiales. Modelos de formularios recomendados de ejemplos a implementar en la ULEAM CHONE. FORMULARIO 2: rea o departamento encargado de la revisin de los derechos de acceso de los usuarios: Responsable del rea: Revisin de derechos de acceso con privilegios Frecuencia con la cual revisan los Diaria derechos de acceso con Semanal privilegios: Mensual Peridicamente cundo? ________________ Nunca Documento de registro de los derechos accesos con privilegios: (nombre, tipo y numero) Documento de reporte de los accesos y observaciones halladas (nombre, tipo y numero ) Responsable de emitir los reportes despus de la revisin (nombres apellidos y rea de trabajo) d. Comprobar las asignaciones de privilegios a intervalos de tiempo regulares para asegurar que no se han obtenido privilegios no autorizados.

Modelos de formularios recomendados de ejemplos a implementar en la ULEAM CHONE. FORMULARIO 3: Nombre y Apellidos: Cargo que ocupaba: Cargo que ocupa actualmente: Responsable de reasignar los derechos de acceso con privilegios (nombres, apellidos y rea de trabajo) Documento de reasignacin de privilegios de derechos de acceso Fecha de ultima asignacin de privilegios

Fecha de privilegios Fecha de privilegios e.

la

reasignacin de

de los

caducidad

Los cambios en las cuentas privilegiadas deben ser registradas para una revisin peridica.

Modelos de formularios recomendados de ejemplos a implementar en la ULEAM CHONE. FORMULARIO 4: Responsable de la revisin de cuentas privilegiadas: Documento de registro de los cambios en las cuentas privilegiadas: (nombre, tipo y numero) Frecuencia con la que se realiza la Diaria revisin de las cuentas Semanal privilegiadas: Mensual Peridicamente cundo? ________________ Nunca Documento de reporte de los cambios en las cuentas con privilegios y observaciones halladas (nombre, tipo y numero ) 2.17.1.4. Otra Informacin Es necesario revisar regularmente los derechos de los accesos de los usuarios para mantener un control efectivo del acceso a los datos y los sistemas de informacin.

1111111 POLTICAS DE PANTALLA Y ESCRITORIO LIMPIO 2.17.2.1. Objetivos Contar con una Poltica de Responsabilidad de Escritorio Limpio compartida para mantener y proteger la Seguridad de la informacin (se en documentos, dispositivos de almacenamiento internos o externos, entre otros) con el fin de reducir los riesgos de acceso no autorizado, prdida y dao de la informacin, tanto durante la jornada laboral, en horas de almuerzo, y/o terminando la jornada laboral (entre otras actividades fuera de la estacin de trabajo del empleado / docente / estudiante).

2.17.2.2. Alcance a. En primer lugar se hace saber que esta Poltica llega a Todo el Personal de la ULEAM CHONE , por lo tanto se debe hacer conocer. b. En segundo lugar, saber que llega para los largos perodos de tiempo fuera del escritorio (o estacin de trabajo), conocido como un descanso para almorzar, se espera que los documentos sensibles del trabajo sean colocados en cajones cerrados con llave. c. Y en tercer lugar, para el final de la jornada de trabajo se espera que el empleado / docente / estudiante ponga en orden su escritorio y guarde todos los papeles de oficina.

2.17.2.3. Ubicacin De Escritorios Y Equipos a. Los Lugares de trabajo de los colaboradores de la institucin deben localizarse se preferentemente en ubicaciones que no queden expuestas al acceso de personas externas. De esta forma se protege tanto el equipamiento tecnolgico como los documentos que pudiera estar utilizando el trabajador. b. Los equipos que queden ubicados cerca de zonas de atencin o trnsito de pblico, deben situarse de forma que las pantallas no puedan ser visualizadas por personas externas.

2.17.2.4. POLTICAS PARA ESCRITORIO LIMPIO 2.17.2.4.1. Datos de Propiedad VIOLACIONES (Ej.) Agenda y calendario organizador dejados en el escritorio. RIESGOS Informacin personal y profesional (incluyendo nmeros de telfono, contraseas, o notas de horarios de reuniones, lugares y asuntos) es vulnerable. POLTICA SUGERIDA Guardar agendas, organizadores y notebooks en un cajn bajo llave, o quitarlos del escritorio durante perodos de tiempo extendidos, incluyendo la noche.

2.17.2.4.2. Datos Personales VIOLACIONES (Ej.) Efectos personales incluyendo resmenes de cuentas bancarias, chequera y correo dejados en el escritorio. Maletn abierto dejado cerca del escritorio. RIESGOS Los resmenes de cuentas bancarias incluyen nmeros de cuentas y otros identificadores personales; el correo incluye direcciones y puede revelar informacin confidencial. Las chequeras contienen un historial de transacciones bancarias. Un maletn abierto puede sufrir el robo de elementos. POLTICA SUGERIDA Cerrar maletines y gabinetes cuando se aleja del escritorio por periodos extendidos de tiempo.

Mantener todos los efectos personales en un maletn o gabinete cerrado dedicado a los mismos.

2.17.2.4.3. Elementos de Acceso VIOLACIONES (Ej.) Llaves, telfono celular, PDA y tarjeta de acceso a las instalaciones dejadas en el escritorio. RIESGOS Los celulares pueden robarse o puede resultar comprometido el historial de sus llamadas. Las llaves robadas dan a los intrusos acceso a reas restringidas de la oficina. Las PDAs contienen datos personales y profesionales sensibles. Las tarjetas de control de acceso robadas pueden utilizarse para lograr POLTICA SUGERIDA Llevar consigo los dispositivos, y bloquear con clave los telfonos y PDAs.

Nunca se debe dejar las tarjetas de control de acceso ni llaves; siempre llevarlas consigo.

un continuo acceso al edificio. Notificar inmediatamente al personal de seguridad si se pierden tarjetas de control de acceso o llaves.

2.17.2.4.4. Herramientas de Tecnologas de la Informacin VIOLACIONES (Ej.) Si se han dejado aplicaciones abiertas en la computadora, un CD en la lectora, contraseas en notas autoadhesivas pegadas al monitor, trabajos de impresin en la impresora. RIESGOS El acceso a correo corporativo o personal, o contraseas, puede permitir acceso e intrusin a futuro. POLTICA SUGERIDA Cerrar aplicaciones y bloquear la pantalla cuando se aleje de su escritorio. No dejar medios porttiles como CDs y pen drives conectados. Apagar la computadora al alejarse por perodos prolongados de tiempo. Nunca escribir las contraseas en notas autoadhesivas ni tratar de esconderlas en la oficina. Quitar impresiones antes de dejar el lugar. Triturar impresiones con datos sensibles una vez utilizados. Borrar archivos de memorias cach e impresoras.

Un CD dejado en la lectora y documentos impresos en la impresora pueden ser robados.

Archivos en memoria e impresoras pueden dar acceso a datos sensibles.

2.17.2.4.5. Configuracin Espacial VIOLACIONES (Ej.) La posicin del escritorio lo expone a la vista desde la ventana y el pasillo. El pizarrn con informacin sensible es visible desde la ventana y el pasillo. RIESGOS La exposicin a la ventana permite espiar desde el exterior. POLTICA SUGERIDA Los escritorios deben posicionarse de forma que el material sensible no sea visible desde ventanas o pasillos. Cerrar persianas. Utilizar un filtro en la pantalla del monitor para minimizar el ngulo de visin. Borrar pizarrones; si se necesita guardar datos, utilizar medios electrnicos.

La exposicin al pasillo puede permitir accesos no autorizados si datos, como contraseas, se escriben en el pizarrn.

2.17.2.4.6. Fuera del Escritorio VIOLACIONES (Ej.) Cajn del gabinete abierto y llaves en la cerradura. La papelera contiene hojas sueltas. RIESGOS Las carpetas pueden ser fcilmente robadas. Las llaves permiten lograr un acceso continuo y la posibilidad de retornar archivos, lo que dificulta la deteccin del robo de informacin. Correos u otros papeles con informacin sensible en la papelera pueden ser robados en horarios nocturnos o encontrados en contenedores externos. Las carpetas en la biblioteca, claramente marcadas como sensibles, son tambin victimas de "prstamos" dificultando la deteccin del robo de informacin. POLTICA SUGERIDA No usar estanteras para guardar carpetas con informacin sensible. Etiquetar estas carpetas con nombres clave y cerrar con llave. Ordenar carpetas en gabinetes para que las menos sensibles queden al frente y las ms sensibles detrs. Mantener los gabinetes de archivos cerrados con llave. No dejar las laves en sus cerraduras. Triturar el papel antes de arrojarlo. Participar en un programa a nivel corporativo de triturado de papel. Cerrar con llave la oficina al alejarse por perodos prolongados de tiempo.

La biblioteca contiene carpetas con informacin sensible.

2.17.2.5.

Otras acciones para cumplir con el escritorio limpio

1) Asignar el tiempo en su calendario para eliminar el papeleo. 2) Siempre limpie su rea de trabajo antes de salir durante periodos ms largos de tiempo. 3) En caso de duda - trelo a la basura. Si no est seguro si una pieza de duplicado de la documentacin confidencial debe mantenerse - probablemente ser mejor colocarlo en la bandeja de la trituradora. 4) Considere la posibilidad de leer artculos de papel y su presentacin por va electrnica en su estacin de trabajo. 5) Utilizar los contenedores de reciclaje para los documentos sensibles cuando ya no son necesarios. 6) Cierre con llave su escritorio y archivadores en la final de la jornada. 7) Guarde bajo llave los dispositivos informticos porttiles, como ordenadores porttiles o dispositivos PDA. 8) Tratar a los dispositivos de almacenamiento masivo como CD-ROM, DVD o unidades USB como sensibles y fijarlos en un cajn cerrado con llave. (Establecido Anteriormente). 9) Reportar inmediatamente cualquier anomala o riesgo que vulnere la integridad y Seguridad de y de sus Colaboradores.

2.17.2.6.

Polticas para Pantalla Limpia

1) El servidor de dominio deber bloquear cualquier estacin de trabajo con un protector de pantalla, que tenga un tiempo de inactividad mayor a un minuto.

2) Las estaciones de trabajo y equipos porttiles deben tener aplicado el estndar relativo a protector de pantalla, de forma que se active ante un tiempo sin uso, el protector definido por la ULEAM CHONE . 3) La prctica de guardar las contraseas en papel adherido al monitor o reas cercanas al equipo de trabajo, es una falta grave y sancionable. 4) El gestor de seguridad debe desactivar cualquier caracterstica de los sistemas o aplicaciones que les permita a los usuarios, almacenar localmente sus contraseas. 5) La pantalla de autenticacin a la red de la institucin debe requerir solamente la identificacin de la cuenta y una clave, no se debe entregar otra informacin si lo solicita. 6) Toda vez que el colaborador se ausente de su lugar de trabajo debe bloquear su estacin de trabajo de forma que se proteger el acceso a las aplicaciones y servicios de la institucin.

2.17.2.7.

Responsabilidades del Personal de Seguridad

1) Realizar recorridos por las instalaciones para detectar cualquier anomala que ponga en riesgo la Integridad y Seguridad de y de sus Colaboradores. 2) Asegurar cualquier objeto, valor o pertenencia personal olvidada y dar trmite para que sea devuelto a su propietario. 2.17.2.8. Ejecucin

Cualquier empleado / docente / estudiante que haya violado esta poltica puede ser sujeto a medidas disciplinarias, y hasta incluyendo la terminacin del empleo. 2.17.2.9. Recomendaciones Generales

a) Es importante estar conscientes que nuestra estacin de trabajo es vulnerable ante personas ajenas a ella, esto ocurre con mayor frecuencia cuando la persona se retira del lugar de trabajo, ya que muchas personas pudieran tener acceso a informacin privilegiada o a objetos o pertenencias de valor que dejemos olvidadas o que no estn aseguradas. b) Frecuentemente las oficinas son visitadas por proveedores, clientes, personal externo y compaeros de trabajo, por eso es necesario llevar a cabo medidas preventivas. c) Es una excelente prctica y medida de Seguridad mantener la estacin de trabajo con el mayor orden y limpieza posibles, ya que si esta desordenada lo ms probable es que no se d cuenta cuando algo le falte. d) Cuando se retire de su lugar de trabajo momentnea o definitivamente, invariablemente asegrese que su PC quede bloqueada para no permitir la entrada de personal no autorizado. (para bloquear su PC, slo presione CTRL+ALT+SUPR y para desbloquear coloque su contrasea). e) Solicite a Sistemas le instale un Password de arranque para evitar que alguna persona ajena ingrese a su equipo indebidamente. f) Cuando se retire de su lugar de trabajo momentnea o definitivamente no deje informacin importante o confidencial a la mano, as como tampoco objetos de valor a la vista, ya que con esta accin estamos dejando vulnerable nuestro espacio de trabajo. g) Si usted est en una Oficina privada, siempre mantngala cerrada cuando se retire momentnea, temporal o definitivamente de ella. h) Cuando termine su horario de trabajo tmese unos minutos para: a. Juntar y asegurar material importante, as como pertenencias personales. b. Cerrar bajo llave cajoneras, gavetas y oficinas. c. Asegurar equipo costoso como Laptops, memorias, palms, etc. d. Asegurar las llaves con las que cerr. i) Para evitar accidentes en su estacin de trabajo, deber llevar a cabo las siguientes medidas: a. No mantenga abiertas o semiabiertas cajoneras o gavetas, ya que pudiera golpearse con

ellas. b. Al cerrar un cajn, tomarlo por la manija y no por la parte superior, ya que sus dedos pudieran quedar atrapados. c. Mantenga el orden y limpieza de su lugar de trabajo, as evitar tropezones, golpes y riesgos de incendio. d. No recargue los circuitos elctricos, conectando varios equipos en el mismo contacto, ya que pudiera haber riesgo de sobrecalentamiento de cables o corto circuito; solicite apoyo de Seguridad Interna y Mantenimiento. e. Si mantiene el orden en su lugar de trabajo, podr darse cuenta cuando algo le falte o si algo inesperado aparece en su lugar (recuerde que una estacin de trabajo refleja la personalidad de quin la ocupa). Con las anteriores medidas preventivas, se reducir en gran medida cualquier problema de prdida de valores, informacin y frecuencia de accidentes. 2.17.2.10. Trabajo Recomendaciones en Caso de Ocurrir un Problema con las Estaciones de

1) Si despus de haber llevado a cabo las medidas preventivas descritas en esta Poltica sucede un problema con su estacin de trabajo, proceder de la siguiente manera. 2) De aviso inmediato a Seguridad de lo sucedido. 3) Recuerde que las pertenencias personales son responsabilidad del propietario y le apoyar en el anlisis de responsabilidades correspondiente, aunque no es corresponsable de artculos personales. 4) Si Seguridad recupera algn objeto o valor olvidado, lo asegurar y dar seguimiento para entregarlo a su propietario. 5) En caso de un riesgo o Accidente reprtelo de inmediato a Seguridad y al Servicio Mdico Recuerde que todos somos responsables de la Seguridad y en la medida en que colaboremos, nuestras instalaciones sern ms seguras y agradables.

1111111 POLTICAS PARA PROTECCIN DE LOS PUERTOS DE DIAGNOSTICO REMOTO 2.17.3.1. Objetivos a. Controlar la accesibilidad y / o ingreso por parte del personal de soporte de hardware y software. 2.17.3.2. Polticas a. El encargo de seguridad dentro del rea del Directorio de sistemas debe realizar un mecanismo de seguridad apropiado y un procedimiento que garantice que slo son accesibles mediante un acuerdo formal y documentado que justifique el ingreso por parte del personal de soporte de hardware y software. b. Se deben implementar controles mediante equipos o software de red que filtren el trfico por medio de reglas o tablas previamente definidas. c. Las restricciones aplicadas deben basarse en la poltica y los requerimientos de acceso de las aplicaciones del Ente supervisado y deben mantenerse y actualizarse. d. Se debe recordar que para la proteccin de los puertos en acceso remoto el usuario siempre debe tener que autenticarse, para ello debe usar su usuario y clave el cual no debe ser revelado a otros usuarios. e. Se debe considerar restricciones para: a. Correo electrnico. b. Transferencia unidireccional de archivos. c. Transferencia de archivos en ambas direcciones. d. Acceso interactivo. e. Acceso de red vinculado a hora o fecha.

1111111 POLTICAS PARA CONTROL DE ACCESO A REDES COMPARTIDAS 2.17.4.1. Objetivos a. Control la transferencia y compartimiento de los archivos dentro de las redes que maneje ULEAM CHONE . 2.17.4.2. Polticas a. Es responsabilidad del rea de sistemas determinar lo siguiente: a. Elementos de la red que pueden ser accedidos. b. El procedimiento de autorizacin para la obtencin de acceso. c. Controles para la proteccin de la red. b. Los usuarios que deseen entrar a otros equipos deben realizar una peticin la cual debe ser aprobada por el gerente del rea adjunto al gerente de sistemas. c. Los usuarios deben estar identificados de manera nica, y el acceso del usuario as como su actividad en los sistemas debe de ser controlado, monitoreado y revisado. d. Todos los consultores, contratistas, proveedores y personal temporal deben tener los derechos de acceso cuidadosamente controlados. El acceso solo debe ser vlido hasta el final del trimestre o incluso antes, dependiendo de la terminacin del contrato. e. Todas las conexiones realizadas entre la red interna de la ULEAM CHONE e Internet. deben ser controladas por un firewall para prevenir accesos no autorizados. f. El esquema de direccionamiento interno de la red no debe ser visible dese redes o equipos externos. 1111111 POLTICAS PARA INFORMTICA MVIL Y TELETRABAJO La proteccin requerida debera ser proporcional a los riesgos que causan estas formas especficas de trabajo. a. Se debera considerar los riesgos al trabajar en un entorno desprotegido cuando se usa informtica mvil y aplicar la proteccin adecuada. b. En el caso de teletrabajo la organizacin debera implantar proteccin en el lugar del teletrabajo y asegurar que existan los acuerdos adecuados para este tipo de trabajo. 2.17.5.1. Objetivos a. Garantizar la seguridad de la informacin cuando se usan dispositivos de informtica mvil y teletrabajo. 2.17.5.2. Alcance a. sta Poltica llega a Todo el Personal de la ULEAM CHONE , por lo tanto se hace conocer. 2.17.5.3. Polticas de Informtica Mvil y Comunicaciones a. Se debera tener un especial cuidado para asegurar que la informacin de negocio no se comprometa cuando se usan dispositivos de informtica mvil como porttiles,

agendas, calculadoras y telfonos mviles. b. Se debera formalizar una poltica que tenga en cuenta los riesgos de trabajar con dispositivos de informtica mvil, especialmente en entornos desprotegidos. c. Cuando estos dispositivos se usen en lugares pblicos, es importante tener cuidado para evitar el riesgo de que se enteren personas no autorizadas. 2.17.5.4. Polticas de Teletrabajo 1) Las organizaciones slo deberan autorizar las actividades de teletrabajo si se han satisfecho las disposiciones y controles de seguridad apropiados y se cumple la poltica de seguridad de la organizacin. 2) Se debe proteger debidamente el lugar de teletrabajo por ejemplo, el robo del equipo o informacin. La distribucin no autorizada de informacin, el acceso remoto no autorizado a los sistemas internos de la organizacin o el mal uso de los dispositivos. 3) Se debe considerar lo siguiente: a. La seguridad fsica real del lugar de teletrabajo, teniendo en cuenta la del edificio y la de su entorno local. b. El entorno de teletrabajo propuesto. c. los requisitos de seguridad de las comunicaciones, teniendo en cuenta la necesidad de acceso remoto a los sistemas internos de la organizacin, la criticidad de la informacin a acceder y el paso por alto del enlace de comunicacin y de la criticidad del sistema interno, la amenaza de acceso no autorizado a informacin y recursos por otras personas prximas, por ejemplo, la familia o amigos. 2.17.5.5. Polticas de Acceso Remoto Medidas de seguridad adicionales deben ser implementadas para proteger la informacin almacenada en dispositivos mviles. Entre las medidas a tomarse se deben incluir: a. b. c. d. Encriptacin de los datos Contraseas de encendido Concientizacin de usuarios Proteccin de la data transmitida hacia y desde dispositivos mviles. Ej. VPN, SSL o PGP. e. Medidas de autenticacin adicionales para obtener acceso a la red de datos. 2.18. POLITICAS PARA LA ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIN 1111111 Objetivos a. Complementar las polticas ya establecidas por la ULEAM CHONE para la adquisicin, mantenimiento y desarrollo de SI, para as tener un mejor manejo de los Sistemas de Informacin. 1111111 Alcance a. reas de Sistemas y Decanato. 1111111 Polticas 2.18.3.1. POLTICAS PARA LA SEGURIDAD DE LOS SISTEMAS El diseo de la infraestructura de la ULEAM CHONE , las aplicaciones de negocio y las aplicaciones del usuario final deben soportar los requerimientos generales de seguridad documentados en la poltica de seguridad de la ULEAM CHONE . Estos requerimientos deben ser incorporados en cada paso del ciclo de desarrollo de los sistemas, incluyendo todas las fases de diseo, desarrollo, mantenimiento y produccin.

Los requerimientos de seguridad y control deben estar: Determinados durante cualquier diseo de sistemas. Desarrollados dentro de la arquitectura del sistema. Implementados en la instalacin final del sistema. Adicionalmente, todos los procesos de desarrollo y soporte a estos sistemas deben seguir los requerimientos de seguridad incluidos en esta poltica de seguridad. 2.18.3.1.1. Control de cambios El rea responsable de la administracin de cambios debe retener todos los formularios de solicitud de cambio, planes de cambio de programa y resultados de pruebas de acuerdo con los estndares de retencin de registros del ULEAM CHONE . El Jefe de sistemas y de las reas comprometidas es responsable de retener una copia de la documentacin de solicitud de cambio pertinente a su respectiva rea. Los procedimientos de prueba deben estar documentados en los formularios de solicitud de cambio. Si se notara problemas durante el proceso de prueba, el proveedor debe documentar el problema, realizar las modificaciones apropiadas en el ambiente de desarrollo y entregarlo para que se vuelva a probar. 2.18.3.1.1.1. Recepcin de Requerimientos: a. Toda solicitud de modificacin a las aplicaciones o sistemas existentes, as como nuevos desarrollos debe presentarse a travs de la Solicitud de Cambios o nuevos requerimientos de sistemas. b. Las solicitudes de cambios o nuevos requerimientos de sistemas deben ser formalmente firmados por el Gerente del rea solicitante y contar con la aprobacin de la Consejo Institucional, Decanato, Consejo Estudiantil Adjunta de la Jefatura de Sistemas, antes de realizar el anlisis o cualquier diseo inicial. c. Los nuevos proyectos o modificaciones autorizados deben adherirse a un procedimiento formal de iniciacin del proyecto, cuando el impacto de los mismos lo amerite, ya sea por su importancia en la organizacin como lo es un sistema de misin crtica o bien, por el tiempo de desarrollo e implantacin estimados (mayor a 6 meses). 2.18.3.1.1.2. Aprobacin de nuevos proyectos o requerimientos de modificaciones a los sistemas ya existentes. a. La Gerencia de Sistemas debe estudiar la justificacin y evaluar la factibilidad para llevar la modificacin del sistema o nuevo proyecto. b. Las reas de la organizacin facultadas para la aprobacin formal de la realizacin y prioridad de los nuevos desarrollos o modificaciones son: reas de Consejo Directivo, Acadmica, Decanato adjunta de la Jefatura de Sistemas. 2.18.3.1.2. Anlisis y especificacin de los requerimientos de seguridad Para todos los sistemas desarrollados por o para la ULEAM CHONE , se debe determinar los requerimientos de seguridad y control antes de comenzar la fase de desarrollo de la aplicacin. Durante la fase de diseo del sistema, los propietarios de la informacin y el rea de sistemas deben determinar un control adecuado para el ambiente de la aplicacin. Estos requerimientos deben incluir, pero no estn limitadas a: a. Control de acceso b. Autorizacin c. Criticidad del sistema d. Clasificacin de la informacin e. Niveles de disponibilidad requeridos f. Confidencialidad e integridad de la informacin

2.18.3.1.2.1. Anlisis de Requerimientos 1) Para todo requerimiento autorizado debe desarrollarse un anlisis de requerimientos cuyo fin debe ser establecer las especificaciones formales que describan las necesidades de informacin que deben ser cubiertas por el nuevo sistema. 2) En la definicin de los requerimientos deben participar los usuarios de todas las unidades a las que afecte el nuevo sistema o las modificaciones solicitadas. 3) Debe existir un antecedente (minuta de trabajo, correo electrnico, entre otros documentos) para cada una de las sesiones con los usuarios del proyecto y con los responsables de las unidades afectadas que permita conocer cmo valoran el sistema actual (en caso de que exista) y lo que esperan del nuevo sistema. a. El plan revisado debe incluir para cada entrevista, la fecha, hora y lugar, tipo de entrevista (individual, en grupo, por escrito, etc.) y un guin de los aspectos relevantes que en dicha entrevista se tratarn. (Funciones que el entrevistado realiza y los problemas que necesita resolver). b. Una vez presentados los requisitos del nuevo sistema o la modificacin solicitada, se deben definir las diferentes alternativas de construccin con sus ventajas e inconvenientes. c. Para la seleccin de la alternativa se debe contar con un documento en el que se describen las distintas alternativas. 1111111 POLTICAS PARA LA INSTALACIN DE SOFTWARE 2.18.4.1. Para Instalacin de Sistemas Desarrollados a. La Jefatura de Sistemas y los Jefes de Proyectos, deben cumplir con las polticas de instalacin del sistema o modificacin a liberar en el ambiente de produccin. b. Las polticas de Instalacin debe ser consideradas desde las primeras etapas (anlisis), con el fin de considerar todos los factores que influirn luego para la implantacin del sistema. Esto evitar que surjan situaciones no previstas que afecten las fechas y calidad de la implantacin. La anticipacin al considerar la instalacin desde la primera etapa, ayudar a identificar necesidades de capacitacin, depuracin de informacin, conversin de datos, logstica, etc. c. Slo se instalar software si se cuenta con licencia vigente ya sea por parte de ULEAM CHONE o por algn tercero. (Salvo el sistema haya sido desarrollado con Software libre.) d. En el caso que el sistema sea desarrollado por un tercero, y el usuario tiene licencia de las herramientas a usar, deber facilitar una copia del documento que avale al Tercero el cumplimiento del objetivo. Si el tercero es quien dar hasta la licencia del software ste deber entregar una documentacin dando las especificaciones completas del software. e. Sea el personal de ULEAM CHONE o un Tercero que incurra en la instalacin de algn software sin licencia, ser el nico responsable de las consecuencias. f. Para realizar la instalacin de los sistemas nuevos o modificaciones (adems de la migracin de la BD), se debe realizar en horas y das no laborales, y cuando los servidores no estn trabajando. As se evitar alguna prdida de informacin, interrupcin de horario de trabajo de la Institucin, o algn colapso de la Bd o de los sistemas. g. El Jefe de Proyecto debe estar supervisando cuando se hagan las actividades de migracin e instalacin de los sistemas y Base de datos. Adems todo evento adicional que ocurra debe ser tambin documento y firmado por todos aquellos que intervienen en dicha actividad. 2.18.4.2. Para Instalacin de Cualquier Software a. Todo el software que se encuentra preinstalado en los equipos que se suministran en la Institucin, est licenciado y registrado a nombre de la ULEAM CHONE . (Salvo sea Software Libre).

b. Los empleado / docente / estudiantes / docentes no pueden instalar software en los dispositivos informticos operados dentro de la red. c. Queda prohibido instalar cualquier software fuera de los fines de la ULEAM CHONE , se encuentre ste licenciado o no. En este sentido, hay que prestar especial atencin a los programas "Peer to peer" (P2P) utilizados para el intercambio de ficheros, y a los accesos a los chats. d. Se realizarn Peticiones de Software y stas deben ser aprobadas por el rea solicitante, luego se enva por escrito o por correo electrnico dicha peticin a la Jefatura de Sistemas para su aceptacin e instalacin. OTRA INFORMACIN: El Software debe ser seleccionado de una lista de software autorizado, mantenida por el Decanato de Sistemas, a menos que ninguna seleccin en la lista satisface la necesidad del solicitante. La gerencia de Sistemas deber realizar un seguimiento de las licencias. (Ej. Al probar un nuevo software para el conflicto y la compatibilidad, hasta realizar la instalacin) 1111111 POLTICAS PARA LA PRUEBA DEL SOFTWARE 2.18.5.1. Seleccin de los Datos de Prueba a. Siempre una muestra de datos se selecciona de una base de datos existente. b. Los datos de prueba pueden ser generados: a. A mano b. Por copia de los datos de produccin al ambiente de pruebas. c. Por copia de los datos de prueba de los sistemas ya existentes. d. Herramienta Automatizada para la generacin de datos de Prueba. c. Los datos de prueba se deben generar antes de comenzar la ejecucin de pruebas. Ya que al realizarlo mientras se est en la fase de ejecucin de pruebas se puede exceder el plazo de Prueba. d. Los datos de prueba puede ser seleccionados teniendo en cuenta las siguientes cosas: a. Es deseable cubrir todas ramas como posible; los datos de prueba se pueden generar de tal manera que todas las sucursales en el cdigo fuente del programa se pruebe al menos una vez. b. Las rutas de pruebas; todos los caminos en el cdigo fuente del programa se prueba al menos una vez. Los datos de prueba pueden estar diseados para abarcar casos como nmero posible. c. Pueden contener tipos vlidos de los parmetros utilizados para llamar a mtodos diferentes. d. Datos sobre los exmenes pueden consistir una invlida combinacin de argumentos que se utilizan para llamar a los mtodos del programa. e. El conjunto de los datos de prueba utilizados debes estar muy cerca con la realidad, es decir con los datos reales que se utiliza en la produccin. f. Se puede disear un conjunto de datos de pruebas que verifique que los datos cifrados (encriptados) estn correctamente. g. Escoger diferentes combinaciones de nombres y contraseas para comprobar que slo las personas autorizadas puedan acceder al sistema de software. (Segn su perfil tambin, si lo hubiese). 2.18.5.2. Desarrollo y prueba de aplicaciones e. Los procedimientos de prueba deben estar adecuadamente documentados en los formularios de solicitud de cambio. f. El jefe del proyecto debe efectuar una revisin independiente de los resultados de la unidad de prueba. Como resultado, se debe evidenciar una aprobacin formal por parte del jefe del proyecto en el formulario de solicitud de cambio.

g. Durante la prueba de integracin, restricciones de acceso lgico deben asegurar que los desarrolladores no tengan accesos de actualizacin y que el cdigo siendo probado no sea modificado sin consentimiento del usuario. Copias de los datos de produccin o conjuntos prediseados de datos de prueba deben ser usados para propsitos de prueba. h. Todas las modificaciones significativas, mejoras grandes y sistemas nuevos deben ser probados por los usuarios del sistema antes de la instalacin del software en el ambiente de produccin. El plan de aceptacin del usuario debe incluir pruebas de todas las funciones principales, procesos y sistemas de interfaces. Los procedimientos de prueba deben ser adecuadamente documentados en los formularios de solicitud de cambio. i. Durante las pruebas de aceptacin, restricciones lgicas de acceso deben asegurar que los desarrolladores no tengan acceso de actualizacin y que el cdigo fuente siendo probado no pueda ser modificado sin consentimiento escrito por el usuario. Si se notara problemas, el usuario debe documentar el problema, el desarrollador debe realizar las modificaciones apropiadas en el ambiente de desarrollo y lo entregar para volver a probarlo. 1111111 POLTICAS PARA EL ACCESO AL CDIGO FUENTE Segn acuerdo entre las partes interesadas, las polticas se aplicarn de la siguiente manera: a. Una sola copia electrnica del cdigo fuente o cdigo ejecutable se pondrn a disposicin para su inspeccin en un ordenador independiente (ms seguro se puede disponer el cdigo en un servidor). b. El equipo independiente debe ser protegido por contrasea y suministrado por el proveedor de cdigo fuente hasta que termine su contrato; si fuera el caso que el cdigo lo haya proporcionado un tercero. Si fuera creado por personal de la misma Institucin, deberan tener un encargado de dicho equipo. c. El acceso al equipo independiente, estar autorizado, despus de notificacin al gerente de Sistemas. d. Ningn integrante del proveedor debe tener un mayor acceso a la computadora durante el periodo de desarrollo e implantacin. Su acceso debe terminar junto con la fecha de trmino de su contrato. e. El cdigo fuente no puede ser impreso o copiado sin el acuerdo de la parte que produce o nueva orden de la Jefatura. f. Se debe tener un manifiesto del contenido del equipo independiente. Este manifiesto, que se suministra debe estar tanto impreso como en formato electrnico; se debe indicar el nombre, la ubicacin y toda la informacin de los archivos (scripts de creacin, compiladores, ensambladores, y otras utilidades necesarias) que se tengan custodiados en el equipo. g. El equipo independiente debe tener herramientas de software que permitir ver, buscar y analizar el cdigo fuente. h. Si el Administrador de los Servidores determina que existen archivos faltantes, el proveedor (sea de la Institucin o externo) del cdigo fuente debe proporcionar de nuevo todos los scripts de creacin, compiladores, ensambladores, y otras utilidades necesarias para reconstruir la aplicacin del cdigo fuente, junto con instrucciones para su uso. 1111111 POLTICAS PARA CONTROL DE FUGAS DE INFORMACIN El avance tecnolgico de las comunicaciones y la voracidad por conocer cada vez ms hacen que las Institucin deban tomar mayores procesos para proteger uno de sus principales activos: la confidencialidad de la informacin. a. Se debe exigir una clave (password) para acceder a los documentos que contienen la informacin confidencial. b. Se obligar al cambio peridico de las claves.

c.

d. e. f. g. 1111111

Fragmentar la informacin de acuerdo a las necesidades de produccin de cada rea. (Ej. Que ninguno de los empleado / docente / estudiantes / docentes tenga acceso al cdigo fuente, slo del rea de desarrollo del Decanato de sistemas) Inclusin de leyendas que dispongan que la informacin contenida en un documento es confidencial. Restricciones en cuanto al uso de Internet durante la jornada laboral. Remover los discos de las PCs y sus archivos en lugares cerrados. Celebrar acuerdos de confidencialidad. POLTICAS PARA MONITOREAR EL DESARROLLO DE SOFTWARE POR TERCEROS

h. El monitoreo del proceso de desarrollo del producto es un componente central del proceso de gestin de proyectos para verificar los avances que se est obteniendo de acuerdo a los entregables realizados por el proveedor del software. i. La Jefatura de Sistemas y el proveedor tendrn una reunin formal semanal, la cual debe quedar documentada. j. El proveedor del software debe realizar entregables semanales con los siguientes datos: a. Progresos realizados, b. Cuestiones que hay que abordar. c. Los riesgos que se estn manejando. d. Problemas del durante el proceso. e. Responsables por cada actividad que comprometa el desarrollo del sistema. k. En caso que el proveedor se conecte remotamente a algn servidor (con accesos restringidos), ste servidor debe guardar registros de todos los accesos remotos que se realicen en l, luego se debe sacar un impreso semanal de todos los accesos realizados por el proveedor. l. La Jefatura de Sistemas debe encargar a alguien de su rea para realizar la verificacin de los avances realizados de por el proveedor del software, as se realiza la confirmacin de los datos receptados en los entregables del proveedor. m. La Jefatura de Sistemas debe supervisar el trabajo realizado, certificndolo antes del pago.

1111111 SANCIONES POR INCUMPLIMIENTO a. Sanciones de las Autoridades. Econmicas y administrativas que emitan la alta directiva de ULEAM CHONE , al no cumplir con los requerimientos de desarrollo exigidos para proporcionar un determinado servicio o un producto nuevo. b. Falta de cooperacin por parte de los usuarios. Cuando se solicita la cooperacin por parte de reas usuarias y no haya respuesta, se acude al jefe inmediato y hasta llegar al Jefe de rea. Falta de atencin de las Solicitudes de Cambios o Nuevos Requerimientos de Sistemas. Si en la etapa de anlisis se identifica que no se cubre con las expectativas que marca la Solicitud de Cambios o Nuevos Requerimientos de Sistemas o se muestra renuencia injustificada para la realizacin del proyecto por parte del analista, se debe recurrir a jefe inmediato de este o en su caso al Jefe de Sistemas. d. Para el personal de la Institucin: El personal que incurra en incumplimiento o mal ejercicio de sus funciones y responsabilidades, estar sujeto a lo estipulado dentro del Reglamento Interno de Trabajo c.

y la Publicacin del Cdigo de Conducta.

2.19. POLTICAS PARA LA GESTIN DE INCIDENTES DE LOS SISTEMAS DE INFORMACIN Reportando Eventos y Debilidades de la Seguridad de Informacin a. Los eventos en la seguridad de informacin son reportados lo ms rpido posible a travs de una gestin de canales apropiados. 1111111 Introduccin El propsito de esta poltica es establecer una cultura de registro de eventos que acontecen dentro de Universidad Laica Eloy Alfaro De Manab Extensin Chone. Un esfuerzo eficaz del monitorio de los eventos, con la participacin y el apoyo de todos los empleado / docente / estudiantes / docentes de Universidad Laica Eloy Alfaro De Manab Extensin Chone en gran medida puede proteger la fiabilidad de las operaciones enfocados en nuestros clientes y proveedores. Y adems es importante recordar que todo acontecimiento (evento), por ms mnimo que sea, debe ser registrado. 1111111 Polticas 2.19.2.1. Objetivos Al no contar con polticas se ha medido un estudio y realizado polticas, normas, procedimientos acorde a la necesidad de la ULEAM CHONE, con una Poltica de Gestin de Eventos de Seguridad para mantener y proteger la fiabilidad de la Seguridad de la Informacin (en toda rea existente de Universidad Laica Eloy Alfaro De Manab Extensin Chone 2.19.2.2. Alcance a. En primer lugar se hace saber que esta poltica llega a todo el personal de la ULEAM CHONE , por lo tanto se debe hacer conocer. b. En segundo lugar, los eventos segn la norma ITIL es considerado como un cambio significativo, que pueden tener un consecuencia positiva, negativa o neutral por lo cual es necesario poder administrarlos c. Finalmente los eventos debe estar clasificados y ser considerados dentro de los indicadores de gestin. 2.19.2.3. Polticas de Gestin de Eventos Los procedimientos de reporte deben incluir: a. Procesos de retroalimentacin adecuados para asegurar que dichos eventos reportados de la seguridad de informacin sean notificados de los resultados despus de que el tema haya sido repartido y cerrado. b. Formularios de reporte de eventos en la seguridad de informacin, con el fin de apoyar la accin de reporte y para ayudar a la persona que reporta recordar todas las acciones necesarias en caso de un evento. c. El comportamiento correcto a ser emprendido en caso de un evento en la seguridad de informacin, por ejemplo: a. Notar todos los detalles importantes (tipos de no conformidad, mal

funcionamiento, aberturas, mensajes en la pantalla, conducta extraa) inmediatamente; b. No llevar a cabo ninguna accin por s mismo, pero reportar inmediatamente al punto de contacto; d. Referencias a un proceso formal disciplinario establecido para tratar con empelados, contratistas o terceros que cometan una abertura en la seguridad.

2.19.2.4. Gestin de las Mejoras e Incidentes en la Seguridad de Informacin 2.19.2.4.1. 1er. tem: Las responsabilidades y procedimientos del Decanato son establecidos para asegurar una rpida, efectiva y ordenada respuesta a los incidentes en la seguridad de informacin. 2.19.2.4.1.1. Introduccin El propsito de esta poltica es establecer una cultura de una apropiada gestin a los incidentes que acontezcan dentro de Universidad Laica Eloy Alfaro De Manab Extensin Chone Un esfuerzo eficaz de la gestin de los incidentes, conllevara a que no se conviertan en problemas lo que ocasionaran gastos en tiempo y costo. 2.19.2.4.1.2. Poltica 2.19.2.4.1.2.1. Objetivos Contar con una Poltica de Gestin de Incidentes para proteger la fiabilidad de la Seguridad de la Informacin (en toda rea existente de Universidad Laica Eloy Alfaro De Manab Extensin Chone 2.19.2.4.1.2.2. Alcance Las siguientes pautas deben ser consideradas para los procedimientos en la gestin de incidentes en la seguridad de informacin: a. Los procedimientos deben ser establecidos para maniobrar diferentes tipos de incidentes en la seguridad de informacin como por ejemplo: a. Fallas y prdidas de servicio en los sistemas de informacin; b. Cdigo malicioso; c. Negacin de servicio; d. Errores resultantes de datos incompletos o no actualizados; e. Aperturas en la confidencialidad e integridad; f. Mal uso de los sistemas de informacin. b. En adicin a los planes de contingencias normales, los procedimientos tambin deben cubrir: a. Anlisis e identificacin de la causa del incidente; b. Contencin; c. Si es necesario, planeamiento e implementacin de acciones correctivas para prevenir la re ocurrencia; d. Comunicaciones con los afectados o implicados en recuperarse del incidente; e. Reportar acciones a la autoridad apropiada. c. Un registro de auditoras y se debe recolectar evidencia similar y resguardada como sea apropiado para: a. Anlisis de problemas internos; b. El uso de evidencia forense en relacin con una apertura potencial del contrato, requisitos regulados o en el caso de procedimientos civiles o

c.

criminales, como por ejemplo el mal uso del computador o la legislacin de proteccin de datos; Negociaciones para compensaciones por parte de los proveedores de software o del servicio.

d. Accin para recuperarse de aperturas de seguridad y controlar formal y cuidadosamente las fallas del sistema que han sido corregidas; los procedimientos deben asegurar que: a. Solo el personal claramente identificado y autorizado estn permitidos de acceder a los sistemas y datos vivos; b. Todas las acciones de emergencia que se realizaron sean documentadas a detalle; c. Las acciones de emergencia sean reportadas al Decanato y revisados de una manera ordenada; d. La integridad de los sistemas y controles de negocio son confirmados con un mnimo de retraso. 2.19.2.4.2. 2do. tem: Existe un mecanismo que permite que los tipos, volmenes y costos de los incidentes en la seguridad de informacin sean cuantificados y monitoreados. 2.19.2.4.2.1. Introduccin El propsito de esta poltica es establecer un monitoreo correcto de los incidentes que acontecen dentro de Universidad Laica Eloy Alfaro De Manab Extensin Chone y a la vez determinar los costos que ocasionan los mismos. 2.19.2.4.2.2. Poltica 2.19.2.4.2.2.1. Objetivos Contar con una poltica que determine los costos que ocasionan los incidentes dentro de Universidad Laica Eloy Alfaro De Manab Extensin Chone 2.19.2.4.2.2.2. Alcance La informacin ganada de la evaluacin de los incidentes en la seguridad de informacin deben ser utilizados para identificar incidentes que se repiten o de gran impacto.

MANUAL DE POLTICAS
3. POLTICAS PARA CUMPLIMIENTO Cumplimiento de los Requisitos Legales 3.1. 1er. tem: Se definen, documentan y mantienen actualizados de forma explcita todos los requisitos legales, regulatorios y contractuales que sean importantes para cada sistema de informacin. 111111 Introduccin El propsito de esta poltica es establecer una adecuada documentacin sobre aspectos legales, regulatorios y contractuales que sean de importancia para Universidad Laica Eloy Alfaro De Manab Extensin Chone 111111 Poltica 3.1.2.1. Objetivos Contar con una poltica de gestin documentaria: legal, regulatorio y contractual. 3.1.2.2. Alcance Los controles, medidas y responsabilidades especficos deben ser similarmente definidos y documentados para cumplir dichos requerimientos.

3.2. 2do. tem: La proteccin de datos y la privacidad es asegurada como se requiere en la legislacin, las regulaciones y, si es aplicable, en las clusulas contractuales. 111111 Introduccin El propsito de esta poltica es la proteccin de los datos y asegurar la privacidad en base a la legislacin y regulaciones existentes dentro de Universidad Laica Eloy Alfaro De Manab Extensin Chone 111111 Poltica 111111 Objetivos Contar con una poltica de proteccin de datos y asegurar la privacidad. 111111 Alcance Se debera implementar y desarrollar una poltica organizacional de privacidad y de proteccin de datos. Esta poltica debe ser comunicada a todo el personal implicado en el procesamiento de informacin personal. El cumplimiento de la legislacin de proteccin de datos personales requiere una estructura y controles de gestin apropiados. Este objetivo suele alcanzarse con mayor facilidad, designando un encargado de dicha proteccin que oriente a los directivos, usuarios y proveedores de servicios sobre sus responsabilidades individuales y sobre los procedimientos especficos a seguir. La responsabilidad para maniobrar informacin personal y asegurar el conocimiento de los principios de proteccin de datos debe ser confrontado con la legislacin y regulaciones actuales. Se debera implementar medidas tcnicas y organizacionales apropiadas para proteger la informacin personal.

3.3. 3er. tem: El personal es disuadido de utilizar los recursos de tratamiento de la informacin para propsitos no autorizados.

MANUAL DE POLTICAS
111111 Introduccin El propsito de esta poltica es establecer una serie de normativa que prohba utilizar los recursos para propsitos no autorizados dentro de Universidad Laica Eloy Alfaro De Manab Extensin Chone 111111 Poltica 3.3.2.1. Objetivos Contar con una poltica que establezca una serie de normativa que prohba utilizar los recursos para propsitos no autorizados. 3.3.2.2. Alcance La organizacin debera proporcionar recursos informticos para los fines del negocio. La gerencia debera autorizar su uso. Se debera considerar como impropio todo uso de estos recursos para fines no autorizados o ajenos al negocio. Si dicha actividad se identifica mediante supervisin y control u otros medios, se debera poner en conocimiento del gerente responsable de adoptar la accin disciplinaria y/o legal apropiada. Es esencial que todos los usuarios sean conscientes del alcance preciso del acceso que se les permite y del monitoreo que se lleva acabo para detecta un uso no autorizado. Esto puede conseguirse, por ejemplo, con una autorizacin escrita cuya copia debera firmar el usuario y ser almacenada por la organizacin. Se debera informar a los empleado / docente / estudiantes / docentes de la organizacin y a usuarios de terceros que no se permitir otro acceso que no sea el autorizado. Al registrarse un usuario, un mensaje de advertencia debera indicar en la pantalla que el sistema al que se entra es privado y que no se permite el acceso no autorizado. El usuario tiene que darse por enterado y reaccionar de forma apropiada al mensaje para poder continuar el proceso de registro. 3.4. Revisiones de la Poltica de Seguridad y de la Conformidad Tcnica Los gerentes se aseguraran que se cumplan correctamente todos los procedimientos de seguridad dentro de su rea de responsabilidad cumpliendo las polticas y estndares de seguridad. 111111 Introduccin El propsito de esta poltica es asegurar que se cumplan correctamente todos los procedimientos de seguridad dentro de Universidad Laica Eloy Alfaro De Manab Extensin Chone. 111111 Poltica 3.4.2.1. Objetivos Contar con una poltica que asegure que se cumplan correctamente todos los procedimientos de seguridad. 3.4.2.2. Alcance Si se encuentra una no conformidad como resultado de la revisin, los gerentes deben de: a. Determinar las causas de la no conformidad; b. Evaluar la necesidad de acciones para asegurar que la no conformidad no vuelva a ocurrir; c. Determinar e implementar una accin correctiva apropiada; d. Revisar la accin correctiva que se realiz;

MANUAL DE POLTICAS

CONCLUSIONES y RECOMENDACIONES: Se concluye que la Institucin llegara a cumplir el 76% de los controles establecidos por la Norma Tcnica ISO NTE 17799:2005, teniendo un 24% que no se cumple, para los cuales se estn proponiendo las polticas faltantes. Se recomienda a la Institucin tomar las polticas definidas dentro de este documento ya que son con las cuales en la actualidad no est cumpliendo segn la norma Tcnica ISO NTE 17799:2005.