www.espoch.edu.

ec
Facultad de Informática y
Electrónica

Prof. Raúl Lozada Yánez Mg.

raul.lozada@espoch.edu.ec

2
SEGURIDAD
INFORMÁTICA
REQUISITOS MÍNIMOS DE SEGURIDAD
INFORMÁTICA

4
 Antecedentes

El crecimiento de Tecnologías de la Información, está cambiando la forma

de hacer casi todas las actividades del ser humano.
Entidades de todo tipo deben controlar los riesgos tecnológicos y contar
con políticas y normas de seguridad informática para brindar un ambiente
seguro y adecuado.
Para ello deben determinarse unos “Requisitos Mínimos de Seguridad
Informática” para la Administración de Sistemas de Información y
tecnologías relacionadas, mismas que deben ser cumplidos por las
entidades con el propósito de minimizar el riesgo tecnológico existente en
las operaciones informáticas.
 REQUISITOS MÍNIMOS DE SEGURIDAD
INFORMÁTICA PARA EL SISTEMA FINANCIERO
Responsable de la Seguridad Informática: El Directorio es responsable de aprobar y
tener actualizadas las políticas y normas de seguridad informática para la
administración y control de los sistemas de información.
Características y criterios de la información: Los datos deben contener un alto
grado de seguridad y cumplir con los siguientes criterios básicos:
• Confiabilidad
• Confidencialidad
• Integridad
• Disponibilidad
• Efectividad
• Eficiencia
• Cumplimiento
 Políticas, normas y procedimientos

El área de TI ,deberá tener implementadas y actualizadas, políticas, normas y procedimientos

de seguridad informática para las siguientes áreas informáticas:

a) Gestión
i. Plan informático.
ii. Comité de informática.
iii. Comité operativo del área.
iv. Desarrollo y mantenimiento de sistemas.
v. Administración de contratos externos.
b) Operaciones
i. Seguridad física de sala de servidores y el entorno que la rodea.
ii. Respaldos y recuperación de información.
iii. Registro de caídas de los sistemas o no disponibilidad de servicios que
afecten la atención normal al público.}
iv. Administración de cintoteca interna y externa.
v. Control y políticas de administración de antivirus.
vi. Administración de licencias de software y programas.
vii. Traspaso de aplicaciones al ambiente de explotación.
viii. Inventario de hardware y software.
ix. Seguridad de redes.
− Características, topología y diagrama de la red
− Seguridad física de sitios de comunicación
− Seguridad y respaldo de enlaces.
− Equipos de seguridad y telecomunicaciones.
− Seguridad de acceso Internet/Intranet.
c) Administración de Usuarios
i. Administración de privilegios de acceso a sistemas.
ii. Administración y rotación de password.
iii. Asignación y responsabilidad de hardware y software.
iv. Administración de estación de trabajo ó PC.
v. Uso de comunicaciones electrónicas.
vi. Administración y control de usuarios Intranet/Internet.
El Plan de Contingencias Tecnológicas Contendrá:
• Objetivo y metodología del plan de contingencias tecnológicas.
• Procedimientos de recuperación de operaciones críticas.
• Descripción de responsabilidades e identificación de personal clave.
• Medidas de prevención y recursos mínimos necesarios para la
recuperación.
Se Realizarán Pruebas del Plan de Contingencias Tecnológicas:
• Efectuar al menos una prueba al año del Plan de Contingencias
Tecnológicas.
 CONTRATO CON PROVEEDORES DE
TECNOLOGÍAS DE LA INFORMACIÓN

Procesamiento de datos o ejecución de sistemas en lugar externo

1. Asegurarse que la empresa proveedora cuente con la experiencia y capacidad necesaria en
el procesamiento de datos y servicios (saber elegir el proveedor adecuado es importante).
2. Evaluar si la infraestructura tecnológica y los sistemas que se utilizarán para la comunicación,
almacenamiento y procesamiento de datos, ofrecen suficiente seguridad para resguardar la
continuidad operacional y la confidencialidad, integridad, exactitud y calidad de la
información y los datos.
3. Suscripción del contrato con la empresa proveedora, señalando la naturaleza y
especificaciones del servicio, la responsabilidad para mantener políticas, normas y
procedimientos que garanticen la seguridad informática, el secreto y la confidencialidad de
la información, así como la facultad de la entidad para practicar evaluaciones periódicas.
 Desarrollo y mantenimiento de programas,
sistemas o aplicaciones

1. Contar con la necesaria solidez financiera, organización y personal adecuado, con

conocimiento y experiencia en el desarrollo de sistemas y/o en servicios.
2. Adecuados estructura tecnológica, sistemas operativos y herramientas de desarrollo, referidos
que éstos estén debidamente licenciados por el fabricante o representante de software.
Relación Contractual con el Proveedor Externo de Tecnologías
– Programas Fuente
– Propiedad intelectual
– Plataforma de Desarrollo
– Formalización de Recursos Humanos
– Cronograma y plan de trabajo
– Atrasos y Riesgos
– Acceso remoto
 OPERACIONES ELECTRÓNICAS

Requisitos de los sistemas para operaciones electrónicas

Se deben adquirir e implementar los elementos de hardware y software

necesarios para la protección y control de la plataforma tecnológica,
cumplir con los siguientes requisitos mínimos:

a) Seguridad del Sistema

b) Protección del Canal de Comunicación
c) Difusión de Políticas de Seguridad
d) Certificación
e) Continuidad Operativa
f) Disponibilidad de la Información (Informes)
g) Acuerdos privados
 Contrato formal

Además es necesario establecer derechos y responsabilidades de cada una de las

partes que intervienen en este tipo de operaciones electrónicas.

– El usuario, será responsable del uso y confidencialidad de su clave de acceso.

Recordarle que su cuenta puede bloquearse automáticamente luego de un cierto
número de intentos fallidos y hacerle conocer el procedimiento para recuperar su
contraseña.
– Debe detallarse el tipo de acciones que está autorizado a efectuar el usuario.
– En caso de ser necesario, debe quedar establecido el horario de cierre diario del
sistema interno
– En caso de ser posible, debe establecerse un procedimiento alternativo en caso de
no disponibilidad del servicio.
– Hacer conocer al usuario las medidas de seguridad para las operaciones electrónicas.
 GRACIAS

www.espoch.edu.ec