Manual de Seguridad de La Información

MANUAL DE SEGURIDAD DE LA INFORMACIÓN
MAN.GES.01
VERSIÓN 1.0
UNIDAD TECNOLOGIA
2020
La reproducción total o parcial de este documento se encuentra prohibida, bajo cualquiera de sus formas, sin la autorización expresa
de la Cooperativa Politécnica.
PRO.MAN.01
Página 3 de 28
VERSIÓN 1.0
ÍNDICE
I. INTRODUCCIÓN ................................................................................................. 4
II. OBJETIVO ........................................................................................................... 4
III. MARCO LEGAL ................................................................................................... 4
IV. GLOSARIO DE TÉRMINOS................................................................................. 4
V. ALCANCE ............................................................................................................ 6
VI. APROBACIÓN, DIVULGACIÓN Y ACTUALIZACIÓN .......................................... 7
VII. POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN ......................................... 7
La reproducción total o parcial de este documento se encuentra prohibida, bajo cualquiera de sus formas, electrónica u otras, sin la
autorización expresa de la Cooperativa Politécnica.
PRO.MAN.01
Página 4 de 28
VERSIÓN 1.0
I. INTRODUCCIÓN
La base para que cualquier organización pueda gestionar y operar de una forma confiable la
seguridad informática empieza con la definición de políticas y procesos adecuados.
II. OBJETIVO
Definir las políticas y normas de seguridad de la información de la Cooperativa de Ahorro y crédito

Politécnica, con la finalidad de preservar la confidencialidad, integridad y disponibilidad de la
información, así como de los medios para su tratamiento.
III. MARCO LEGAL

RESOLUCIÓN No. SEPS-IGT-IR-IGJ-2018-0279 emitida por la superintendencia de economía
popular y solidaria relacionado a “NORMA DE CONTROL PARA LA ADMINISTRACIÓN DEL RIESGO
OPERATIVO Y RIESGO LEGAL EN LAS ENTIDADES DEL SECTOR FINANCIERO POPULAR Y SOLIDARIO
BAJO EL CONTROL DE LA SUPERINTENDENCIA DE ECONOMÍA POPULAR Y SOLIDARIA”
IV. GLOSARIO DE TÉRMINOS
 Seguridad de la Información: Es el conjunto de medidas preventivas y reactivas que

permiten resguardar y proteger la información.
 Información: Se refiere a toda comunicación o representación de conocimiento como

datos, en cualquier forma, con inclusión de formas textuales, numéricas, gráficas,
cartográficas, narrativas o audiovisuales, y en cualquier medio, ya sea magnético, en
papel, en pantallas de computadoras, audiovisual u otro.
 Confidencialidad: se garantiza que la información sea accesible sólo a aquellas personas

autorizadas a tener acceso a la misma.
 Integridad: se salvaguarda la exactitud y totalidad de la información y los métodos de

procesamiento.
 Disponibilidad: se garantiza que los usuarios autorizados tengan acceso a la información

y a los recursos relacionados con la misma, siempre que lo requieran.
PRO.MAN.01
Página 5 de 28
VERSIÓN 1.0
 Autenticidad: asegura la validez de la información en tiempo, forma y distribución. Así

mismo, se garantiza el origen de la información, validando el emisor para evitar
suplantación de identidades.
 Funcionario: persona que ocupa un cargo jerárquico en la COAC Politécnica.
 Empleado: persona que trabaja por un sueldo en la COAC Politécnica.
 No repudio: evita que el emisor o receptor de un mensaje electrónico niegue la transmisión

de este.
 Sistema de Información (SI): Se refiere a un conjunto independiente de recursos de

información organizados para la recopilación, procesamiento, mantenimiento, transmisión y
difusión de información según determinados procedimientos, tanto automatizados como
manuales.
 Tecnología de la Información (TI): Se refiere al hardware y software operados por el

COAC Poitécnica o por un tercero con la finalidad de almacenar, recuperar, transmitir
y manipular datos.
 Responsable de Seguridad de la Información: es la persona que cumple la función de

supervisar el cumplimiento de las presentes Políticas y de asesorar en materia de seguridad
de la información a los integrantes de la COAC Politécnica que así lo requieran.
 Incidente de Seguridad: Un incidente de seguridad es un evento adverso en un sistema de

computadoras, o red de computadoras, que compromete la confidencialidad, integridad o
disponibilidad, la legalidad y confiabilidad d e l a información. Puede ser causado
mediante la explotación de alguna vulnerabilidad o un intento o amenaza de romper los
mecanismos de seguridad existentes.
 Propietarios de la Información: Son los funcionarios, dependencias responsables de la

generación o recopilación de la información, con competencia jurídica para administrar y
disponer de su contenido.
 Activos de Información: Son los bienes relacionados a un sistema de información en

cualquiera de sus etapas.
 Software: programas o aplicaciones que ejecutan una actividad específica.
 Activos físicos: Computadoras, equipamiento de redes y comunicaciones, medios de

almacenamiento, mobiliario, lugares de emplazamiento.
 Servicios: Servicios informáticos y de comunicaciones.
PRO.MAN.01
Página 6 de 28
VERSIÓN 1.0
 Procedimiento: Acciones que se realizan, con una serie común de pasos claramente
definidos, que permiten realizar correctamente una tarea o alcanzar un objetivo.
 Proceso de Información: Conjunto de tareas relacionadas lógicamente que se realizan
para lograr un resultado determinado en un Sistema de Información.
 Propietario de un Proceso de Información: Es el responsable por la creación, puesta en

funcionamiento y mantenimiento de un Proceso de Información.
 Propietario de un Activo Físico: Es el responsable patrimonial del bien.
 Responsable de la Unidad de Auditoría Interna: Auditor Interno.
 Responsable de una Aplicación: Encargado de la instalación y mantenimiento de la

aplicación.
 Responsable del Área de Tecnológica: Responsable de Tecnología.
 Responsable del Área de Talento Humanos: Responsable de Talento Humano.
 ISO/IEC: Organización internacional de estandarización y comisión internacional

electrotécnica.
V. ALCANCE
La información que se detalla en el presente manual de seguridad de la información tiene como

finalidad dar cumplimiento a las disposiciones legales vigentes, esto con el objetivo de gestionar
adecuadamente la seguridad de la información, los sistemas informáticos.
Para efectos del presente manual a la Cooperativa de Ahorro y Crédito Politécnica, se la denominara
COAC POLITÉCNICA.
Este manual es de aplicación para todos los funcionarios y empleados de la COAC POLITÉCNICA, así
como también para las personas o empresas que de alguna u otra manera estén relacionados con
la COAC, en el tratamiento de la información.
El Departamento de TI controlara los activos asociados a la información y a las instalaciones de

procesamiento de la información.
PRO.MAN.01
Página 7 de 28
VERSIÓN 1.0
Se debe identificar la ubicación y responsable del activo (Codificación), se deberá realizar una toma
física con la finalidad de tener un inventario totalmente actualizado, cualquier cambio de ubicación
o asignación de un nuevo activo deberá estar respaldado por un acta de entrega y recepción, se
realizará dos revisiones anuales.
Al momento de terminar la relación laboral con la institución el empleado debe proceder a entregar
el equipo asignado a su cargo, el cual será verificado con las respectivas actas de entrega y
recepción que tenga firmadas, en caso de no entregarse los equipos completos o en mal estado se
deberá aplicar lo indicado en el Reglamento Interno de trabajó.
VI. APROBACIÓN, DIVULGACIÓN Y ACTUALIZACIÓN
El presente documento deberá ser aprobado por el Consejo de Administración, y dado a conocer a
todos los funcionarios de la Cooperativa.
VII. POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
Las políticas detalladas en este documento son basadas en las normas ISO 27001-2013, ISO/IEC
17799 y Controles ISO 27002-2005, estas están sujetas a cambios realizables en cualquier
momento, siempre y cuando se tengan presentes los objetivos de seguridad.
El presente manual de políticas está conformado además por una serie de aspectos específicos, que
se encuentran enmarcados con los requerimientos del negocio y también se encuentran dentro de
las normativas de los entes de control vigentes.
Las políticas de seguridad se deben aplicar en los siguientes ámbitos:

1) Clasificación y Control de Activos.
2) Seguridad del Personal.
3) Seguridad Física y Ambiental.
4) Gestión de las Comunicaciones y las Operaciones.
5) Control de Acceso.
6) Desarrollo y Mantenimiento de los Sistemas.
PRO.MAN.01
Página 8 de 28
VERSIÓN 1.0
El incumplimiento de las políticas que se encuentran detalladas dentro del presente manual será
sancionado de acuerdo al Reglamento Interno de Trabajo, y de ser el caso también se procederá de
acuerdo a las leyes ecuatorianas vigentes.
La revisión de las presentes políticas se las realizara una vez al año o más antes en caso de
producirse cambios significativos ya sea en lo normado por los entes de control o por disposiciones
generales regulatorias esto con la finalidad de asegurar la conveniencia, suficiencia o eficacia
continua.
1. Administración de Activos
1.1 Responsabilidad por los activos
El Departamento de TI controlara los activos asociados a la información y a las instalaciones de

Se debe identificar la ubicación y responsable del activo (Codificación), se deberá realizar una toma
física con la finalidad de tener un inventario totalmente actualizado, cualquier cambio de
ubicación o asignación de un nuevo activo deberá estar respaldado por un acta de entrega y
recepción, se realizará dos revisiones anuales.
Al momento de terminar la relación laboral con la institución el empleado debe proceder a

entregar el equipo asignado a su cargo, el cual será verificado con las respectivas actas de entrega
y recepción que tenga firmadas, en caso de no entregarse los equipos completos o en mal estado
se deberá aplicar lo indicado en el Reglamento Interno de trabajó.
1.2 Clasificación de la información
Para clasificar un Activo de Información, se evaluarán las tres propiedades de la información estas
son: confidencialidad, integridad y disponibilidad.
Confidencialidad:
Información que puede ser conocida y utilizada por personal específico de la COAC
POLITÉCNICA, pero no puede ser divulgada a individuos entidades o procesos no
autorizados. La confidencialidad la clasificaremos en:
PRO.MAN.01
Página 9 de 28
VERSIÓN 1.0
a. Restringido: Puede ser conocida por gerencia presidencia.

b. Interna: Puede ser conocida y utilizada por empleados, entidades externas
que tengan la debida autorización por parte de la COAC POLITECNICA.
c. Pública: clientes de la cooperativa
Integridad:
Se busca mantener la información fuera de modificaciones y acceso indebidos se

clasifica en:
o Integridad Alta – A
o Integridad Media – M
o Integridad Baja – B
Disponibilidad:
La información debe encontrarse a disposición de todas aquellas personas o empresa

autorizadas que necesiten acceder a procesos o aplicaciones.
La disponibilidad puede estar opacada por la inaccesibilidad a la información y se la puede

dividir en:
 Inaccesibilidad Transitoria ._ puede ser de 1 hora o 1 día, esto pueden provocar

pérdidas leves para la COAC Politécnica o terceros
 Inaccesibilidad Permanente._ puede ser más de 24 horas constantes de poder tener

ningún tipo de información disponible, esto pueden provocar pérdidas graves para
el COAC Politécnica o terceros
La información se clasifica de acuerdo a su Disponibilidad (criticidad) en:
CRITICIDAD BAJA: el valor o valores asignados no superan a 1.

CRITICIDAD MEDIA: el valor o valores asignados son igual a 2.
CRITICIDAD ALTA: el valor o valores asignados son igual a 3
CONFIDENCIALIDAD INTEGRIDAD DISPONIBILIDAD

INFORMACIÓN ALTA ALTA
RESTRINGIDA (A) (1)
INFORMACIÓN MEDIA MEDIA
INTERNA (M) (2)
INFORMACIÓN BAJA BAJA
PÚBLICA (B) (3)
Tabla 1: Criterios de Clasificación
PRO.MAN.01
Página 10 de 28
VERSIÓN 1.0
Activos de información en los cuales la clasificación de la información en

dos (2)
ALTA
o todas las propiedades (confidencialidad, integridad y disponibilidad)
es alta.
Activos de información en los cuales la clasificación de la información es
MEDIA alta en una (1) de sus propiedades o al menos una de ellas es nivel
medio.
Activos de información en los cuales la clasificación de la información

BAJA
en todos sus niveles es baja
Tabla 2: Niveles de Clasificación
1.3 Etiquetado de la Información
El Responsable de TI definirá procedimientos para el etiquetado y manejo de información, de

acuerdo al esquema de clasificación definido por COAC Politécnica. Se contemplarán los
activos de información tanto en formatos físicos como electrónicos y se tomara como parte de
la codificación los siguientes aspectos
 Información básica del activo (nombre, observaciones, proceso, entre otras).

 Nivel de clasificación de la información
 Ubicación física y/o electrónica.
 Propietario y/o Custodio
 Los usuarios y derechos de acceso
1.4 Manejo de los activos
Los activos antes de ser ingresados a TI son examinados con la finalidad verificar su
funcionamiento y fiabilidad, luego de realizar este proceso ingresan a TI para luego ser
distribuidos a las distintas áreas de acuerdo a la necesidad, para la constatación de la entrega
de los activos se firma un acta de entrega y recepción.
1.5 Manejo de los medios
Los medios removibles (Disco duro externo, CD, DVD o pendrive) no son alternativas para
respaldar ningún tipo de información, estos deben ser utilizados únicamente como medios de
transporte de información.
Todo medio removible antes de ser utilizado debe ser escaneado por un antivirus para evitar
la presencia de virus informáticos.
Cuando se requiera almacenar información crítica para la COAC Politécnica debe realizarse
a través de herramientas de cifrado.
PRO.MAN.01
Página 11 de 28
VERSIÓN 1.0
Los medios removibles deben almacenarse en un lugar seguro, además estos son de exclusiva
responsabilidad de cada funcionario.
2. Seguridad del Personal
2.1 Seguridad en la Definición de Puestos de Trabajo y la Asignación de Recursos.

2.1.1 Incorporación de la Seguridad en los Puestos de Trabajo
El responsable de TI incorporará las funciones y responsabilidades en materia de seguridad

en la descripción de las obligaciones de los puestos de trabajo. Éstas incluirán las
obligaciones generales relacionadas con la implementación y el mantenimiento de las
Políticas de Seguridad, y las responsabilidades específicas vinculadas a la protección de
cada uno de los activos, o la ejecución de procesos o actividades de seguridad determinadas.
2.1.2 Control y Política del Personal
El responsable de Recursos Humanos llevará a cabo controles de verificación del personal

en el momento en que se solicita el puesto.
2.1.3 Compromiso de Confidencialidad
Como parte de sus términos y condiciones iniciales de empleo, los empleados, cualquiera sea
su situación laboral, firmarán un Acuerdo de Confidencialidad o no divulgación, en lo que
respecta al tratamiento de la información de la COAC POLITÉCNICA. De igual manera,
mediante el Compromiso de Confidencialidad el empleado declarará conocer y aceptar
la existencia de determinadas actividades que pueden ser objeto de control y monitoreo. Estas
actividades deben ser detalladas a fin de no violar el derecho a la privacidad del empleado.
El acuerdo de confidencialidad será revisado anualmente por el responsable de Recurso Humanos.
En los términos y condiciones se establece que el empleado tiene la responsabilidad de

guardar la confidencialidad y no divulgación de la información más allá de los límites de la
sede de la COAC POLITÉCNICA
2.2 Capacitación del usuario

2.2.1 Formación y Capacitación en Materia de Seguridad de la Información
Todos los empleados de la COAC POLITÉCNICA recibirán la capacitación necesaria de

acuerdo con las funciones que desempeñan.
Los temas de la capacitación estarán relacionados con los requerimientos de seguridad,

correcto uso de las instalaciones, y las responsabilidades legales que la no observancia de este
manual implica, la capacitación será coordinada por el responsable de Recursos Humanos.
Cuando se contrate un nuevo empleado en la COAC POLITÉCNICA, se le deberá proveer del

material necesario en el cual indique el comportamiento que se espera en lo relacionado a
PRO.MAN.01
Página 12 de 28
VERSIÓN 1.0
seguridad de la información.
El responsable del Área de TI buscara los medios técnicos necesarios para comunicar al
personal de COAC POLITÉCNICA, los cambios que se hayan realizado con lo relacionado a
seguridad de la información.
2.3 Respuesta a Incidentes y Anomalías en Materia de Seguridad
2.3.1 Comunicación de Incidentes Relativos a la Seguridad
Los incidentes relativos a la seguridad serán comunicados a través de canales apropiados y

tan pronto como sea posible al responsable de TI, el establecerá un procedimiento formal de
comunicación y de respuesta al incidente.
El responsable de TI destinara los recursos necesarios para la resolución del incidente, además
es obligación del responsable de TI mantener informados a sus superiores, sin perjuicio de
informar a los organismos de control.
2.3.2 Comunicación de Debilidades en Materia de Seguridad
Los usuarios de los servicios de información tienen la obligación de informar al responsable

de TI de alguna anomalía que detecten en lo relacionado a seguridad de la información. No
se pueden realizar pruebas para detectar dichas falencias sin que esté presente o sin la debida
autorización del responsable de TI.
2.3.3 Comunicación y corrección de Anomalías del Software
El responsable de TI establecerá los procedimientos necesarios para reportar falencias de

software proporcionados por terceros.
 Se realizará un análisis de las falencia o requerimientos que se tenga a nivel de

software adquiridos a terceros, se solicitará una cotización y gerencia aprobará la
generación del ticket con los proveedores respectivos.
1.
2.3.4 Aprendiendo de los Incidentes
Se llevará un control de incidentes en los cuales se deberá señalar cual fue la anomalía, que
costo tuvo la reparación o solución, esto con la finalidad de mejorar los controles para evitar
la frecuencia de daños y con esto disminuir gastos innecesarios.
2.3.5 Procesos Disciplinarios
Se aplicarán los procesos disciplinarios a cualquier empleado que no cumpla con las normas
estatutarias y convenciones que rigen al personal de la COAC Politécnica.
PRO.MAN.01
Página 13 de 28
VERSIÓN 1.0
3. Seguridad Física y Ambiental
3.1 Áreas Seguras
El perímetro de seguridad se llevará a cabo creando diversas medidas de control físico, se protegerá
las instalaciones donde se realice el procesamiento de información, el lugar en donde se proveerá de
energía eléctrica, aire acondicionado y cualquier otra área de índole critico que ayude en el correcto
funcionamiento de los Sistemas de Información.
Se considerarán e implementarán los siguientes lineamientos y controles, según corresponda:
1. Ubicar las instalaciones de procesamiento de información dentro del perímetro de un

edificio o área de construcción físicamente sólida
2. Las paredes externas del área deben ser sólidas y todas las puertas que comunican con
el exterior deben estar adecuadamente protegidas contra accesos no autorizados, por
ejemplo mediante mecanismos de control, vallas, alarmas, cerraduras, etc.
3. Verificar la existencia de un área de recepción atendida por personal. Si esto no fuera

posible se implementarán medios alternativos de control de acceso físico al área o
edificio. El acceso a dichas áreas y edificios estará restringido exclusivamente
al personal autorizado. Los métodos implementados registrarán cada ingreso y egreso
en forma precisa (Bitácora para TI).
4. Extender las barreras físicas necesarias desde el piso (real) hasta el techo (real), a fin
de impedir el ingreso no autorizado y la contaminación ambiental, por ejemplo por
incendio, humedad e inundación.
5. Identificar claramente todas las puertas de evacuación en el perímetro de seguridad
6. Registrar a los visitantes que accedan a áreas protegidas en el registro deberá constar fecha,
hora de ingreso, nombre del visitante, empresa de la que viene, hora de salida y firma; de ser
necesario se instruirá al visitante sobre las políticas de seguridad
7. Controlar y limitar el acceso a la información clasificada y a las instalaciones de

procesamiento de información.
8. Se mantendrá un registro protegido para permitir auditar todos los accesos.
9. La Unidad de Auditoría Interna revisará los registros de acceso a las áreas protegidas.
10. Establecer que las puertas y ventanas permanecerán cerradas cuando no haya
vigilancia. Se agregará protección externa a las ventanas, en particular las que se
encuentran en planta baja o presenten riesgos especiales.
11. Implementar mecanismos de control para la detección de intrusos. Los mismos

serán instalados según estándares profesionales y probados periódicamente.
PRO.MAN.01
Página 14 de 28
VERSIÓN 1.0
3.2 Equipamiento
1. Separar las instalaciones de procesamiento de información administradas por la

COAC POLITÉCNICA de aquellas administradas por terceros.
2. Almacenar los materiales peligrosos o inflamables en lugares seguros a y una

distancia prudencial de las áreas protegidas de la COAC POLITÉCNICA.
3. Los equipos redundantes y la información de respaldo deben estar ubicados en un

sitio seguro y distante del lugar de principal.
4. Ubicar dichos activos en un sitio donde se minimice el acceso innecesario y provea

un control de acceso adecuado.
5. Ubicar las instalaciones de procesamiento y almacenamiento de información que

manejan datos clasificados, en un sitio que permita la supervisión durante su uso.
6. Revisar regularmente las condiciones ambientales para verificar que las mismas
no afecten de manera adversa el funcionamiento de las instalaciones de
7. Disponer de múltiples tomacorriente para evitar la falta del suministro de energía.
8. Contar con un suministro de energía alterna (UPS) para asegurar el apagado regular
y sistemático o la ejecución continua del equipamiento que sustenta las operaciones
críticas de la COAC POLITÉCNICA. Los planes de contingencia contemplarán las
acciones que se emprenderán ante una falla de la UPS. A los UPS se les debe realizar
un mantenimiento periódico para constatar su buen estado.
9. En caso de que se produzcan un apagón prolongado se debe contar con un generador

de energía, este debe entrar en funcionamiento de forma sincronizada con los UPS
esto con la finalidad de que no se produzca ningún daño ni perdida de datos en los
sistemas de información.
10. Se proveerá de iluminación de emergencia en caso de producirse una falla en el

suministro principal de energía.
11. Se implementará protección contra descargas eléctricas y líneas de comunicaciones

externas de acuerdo a las normativas vigentes.
12. Se debe proteger el cableado de energía eléctrica y de comunicaciones que transporta

datos o brinda apoyo a los servicios de información contra intercepción o daño, con
las siguientes acciones:
a) Utilizar pisoducto o cableado en canaleta o tubería en la pared, siempre que sea
PRO.MAN.01
Página 15 de 28
VERSIÓN 1.0
posible, cuando corresponda a las instalaciones de procesamiento de información.
b) Proteger el cableado de red contra intercepción no autorizada o daño.
c) Evitar las interferencias entre los cables de energía de los cables de

comunicaciones.
d) Proteger el tendido del cableado troncal (backbone).
Para los sistemas críticos se implementarán controles adicionales estos son:
a) Instalar conductos blindados y recintos o cajas con cerradura en los puntos

terminales y de inspección
b) Utilizar rutas o medios de transmisión alternativos.
13. Establecer un cronograma para el mantenimiento preventivo de los equipos de

computación. El mantenimiento debe ser realizado por personal capacitado y
autorizado.
14. El uso del equipo de cómputo destinado al procesamiento de información, fuera de la

COAC Politécnica, deberá ser autorizado por el Responsable del Área de TI. En el
caso de que en el mismo se almacene información clasificada, también deberá ser
aprobado por el propietario de la misma.
15. Para que la información no se vea comprometida por una desafectación o una
reutilización descuidada del equipamiento. Los medios de almacenamiento
conteniendo material sensible serán físicamente destruidos o sobrescritos en forma
segura en lugar de utilizar las funciones de borrado estándar.
16. Se adoptará la política de escritorios o pantallas limpias esto implica almacenar bajo
llave documentos en papel y medios informáticos que contenga información crítica
para la COAC POLITÉCNICA. Desconectar de la red / sistema / servicio las
computadoras personales, terminales e impresoras asignadas a funciones críticas,
cuando están desatendidas. Las mismas deben ser protegidas mediante cerraduras de
seguridad, contraseñas u otros controles cuando no están en uso (como por ejemplo
la utilización de protectores de pantalla con contraseña), se debe retirar
inmediatamente un documento luego de ser impreso.
4. Gestión de Comunicaciones y Operaciones
4.1 Procedimientos y Responsabilidades Operativas
4.1.1 Documentación de los Procedimientos Operativos
PRO.MAN.01
Página 16 de 28
VERSIÓN 1.0
Los Responsables de los Sistemas de Información documentarán y mantendrán

actualizados los procedimientos operativos identificados en esta Política y sus
cambios serán autorizados por TI, estos deberán ser puestos a disposición de los
usuarios que lo necesiten.
Los Responsables de los Sistemas de Información prepararán documentación sobre

procedimientos referidos a las siguientes actividades:
1. Instalación y mantenimiento del equipo de computación para el correcto

procesamiento de información y comunicaciones.
2. Programación y ejecución de procesos.
3. Gestión de servicios.
4. Protección de información.
5. Gestión de incidentes de seguridad en el ambiente de procesamiento y
comunicaciones.
6. Reemplazo o cambio de componentes del ambiente de procesamiento y
comunicaciones.
7. Uso del correo electrónico.
4.1.2 Procedimientos de Manejo de Incidentes
El Responsable de TI establecerá funciones y procedimientos de manejo de incidentes

garantizando una respuesta rápida, eficaz y sistemática a los incidentes relativos a seguridad,
a continuación se detalla alguno de los incidentes que pueden presentarse.
a. Fallas operativas.
b. Código malicioso.
c. Intrusiones.
d. Fraude informático.
e. Error humano.
f. Catástrofes naturales.
Los procedimientos para el manejo de incidentes se los realizaría por medio de:
a. Recepción de reportes de incidentes.

b. Clasificación y valoración de impacto.
c. Relevamiento de sistemas y procesos de negocio afectados.
d. Elaboración de un plan de respuesta al incidente con medidas de contención y mitigación
recomendadas.
e. Ejecución de las medidas de contención y mitigación
f. Elaboración de un informe final.
Es importante registrar pistas de auditoria con la finalidad de:
a. Analizar problemas internos.

b. Usar como evidencia al momento de producirse una probable violación
contractual o infracción normativa, o en marco de un proceso judicial.
c. Negociación de compensaciones por parte de los proveedores de software, hardware y
PRO.MAN.01
Página 17 de 28
VERSIÓN 1.0
de servicios.
4.1.3 Separación de Funciones
Se realizara una segregación de funciones con la finalidad de prevenir la ejecución de procesos

no autorizados por parte de los empleados en áreas a las cuales no deben tener acceso.
En caso de no poder realizar la segregación de funciones se implementa algunos de los

siguientes controles
1. Monitorear las distintas actividades.

2. Registros de auditoría y control periódico de las actividades.
3. Supervisión por parte de la Unidad de Auditoría Interna.
4.1.4 Separación entre Instalaciones de Desarrollo e Instalaciones Operativas.
Los ambientes prueba y operaciones, en medida de lo que sea posible deberán estar separados
preferentemente en forma física, Para esto, se tendrán en cuenta los siguientes controles:
1. Utilizar sistemas de autenticación y autorización independientes para los diferentes

ambientes, así como perfiles de acceso a los sistemas. Prohibir a los usuarios
compartir contraseñas en estos sistemas. Las interfaces de los sistemas
identificarán claramente a qué instancia se está realizando la conexión.
2. Definir propietarios de la información para cada uno de los ambientes de
procesamiento existentes.
3. El personal de desarrollo no tendrá acceso al ambiente operativo. De ser extrema
dicha necesidad, se establecerá un procedimiento de emergencia para la autorización,
documentación y registro de dichos accesos.
4.2 Planificación y Aprobación de Sistemas.
4.2.1 Planificación de la Capacidad
El Responsable del Área TI junto con los Responsables de los Sistemas de Información
efectuarán un monitoreo constante de las necesidades de futuras demandas en los sistemas de
información.
Para esto se tomará en cuenta nuevos requerimientos que tenga la COAC Politécnica,
tendencias actuales o nuevos requerimientos de los entes de control. Están necesidades serán
comunicadas a las autoridades para que toman las acciones correspondientes.
PRO.MAN.01
Página 18 de 28
VERSIÓN 1.0
4.2.2 Aprobación del Sistema
El Responsable del Área TI sugerirá criterios de aprobación para nuevos sistemas de

información o actualización. Para esto se realizarán las pruebas necesarias con la finalidad de
verificar la fiabilidad del producto.
Para la aprobación se considerar los siguientes puntos:
1. Se analizará su viabilidad técnica, operativa, legal y económica

2. Se deberá garantizar que el software cuenta con los suficientes niveles de seguridad
3. Garantizar que el nuevo software no afecte negativamente al software ya existente
4. Disponer la realización de capacitación en la operación y/o uso de nuevos sistemas.
4.3 Protección Contra Software Malicioso
4.3.1 Controles Contra Software Malicioso
El Responsable de TI establecerá controles con la finalidad de proteger la información ante

la presencia de software malicioso, con esto se protegerá tanto el software como la
información. En los controles que se establezcan se deberá contemplar las siguientes acciones:
1. Instalar o actualizar periódicamente los antivirus, además es muy importante que los
estos cuenten con sus respectivas licencias
2. Se debe prohibir la instalación y uso de software no autorizado por la COAC
Politécnica.
3. No se debe descargar ningún tipo de software ni aplicación desde el internet sin que
se tenga la debida autorización de TI.
4. Se debe realizar escaneos periódicos en busca de virus informáticos.
5. Se deben mantener los sistemas con sus respectivas licencias evitando en todo
momento el uso de software pirata o crackedo.
6. En los sistemas que lo ameriten se deberá instalar los correspondientes parches de
seguridad.
7. Se debe indicar al personal del COAC Politécnica que los correos que no
conozcan sus remitentes no deben ser abiertos y se proceda con su eliminación
inmediata.
8. Se debe implementar firewall.
4.4 Mantenimiento
4.4.1 Respaldo de la Información
El Propietario de Información con la ayuda del Responsable de TI determinará los

requerimientos para respaldar la información de cada software o dato en función de su
criticidad.
El responsable de TI deberá
PRO.MAN.01
Página 19 de 28
VERSIÓN 1.0
Definir y documentar un esquema de resguardo de la información. El Responsable del Área

Informática dispondrá la realización de dichas copias, así como la prueba periódica de su
restauración. Para esto se deberá contar con instalaciones de resguardo que garanticen la
disponibilidad de toda la información y del software crítico de la COAC Politécnica.
Para el respaldo de la información se considerarán los siguientes puntos:
1. Se definirá un formato (Codificación) para el rotulado de las copias El formato deberá
contar con la información necesaria que permita identificar el activo
2. Determinar el proceso que se debe seguir para el reemplazo de los medios donde se
guardan las copias de seguridad.
3. Los respaldos deberán ser almacenados en una ubicación distante a la Matriz de COAC
Politécnica con la finalidad de evitar daños por desastres que puedan ocurrir en la
matriz. Se deberán retener al menos tres generaciones o ciclos de información de
resguardo para la información actualizada y el software esenciales para la COAC
Politécnica.
4. A la información de respaldo se le debe asignar un nivel de protección física y
ambiental si fuera el caso
5. Se debe comprobar periódicamente(3 meses) que la información o sistemas
respaldados estén en funcionales para ser utilizados inmediatamente de ser necesario.
4.4.2 Registro de eventos
El Propietario de la Información asegurará que se registren las actividades realizadas con los
sistemas o con la información, según sea el caso en este registro se deberá tomar en cuenta
lo siguiente:
1. Tiempos de inicio y cierre del sistema.

2. Cambios a información crítica.
3. Errores del sistema y medidas correctivas tomadas.
4. Intentos de acceso a sistemas, recursos, información crítica o la realización de
acciones restringidas.
5. Ejecución de operaciones críticas.
6. Se deberá revisar regularmente los registros de eventos
4.4.3 Registro de Fallas
El Responsable del Área TI elaborara procedimientos para comunicar las fallas en el

procesamiento de la información o en los sistemas de información con la finalidad de tomar
medidas correctivas.
Se deberá llevar un registro de las fallas, para establecer si estas fueron resueltas, este registro
nos permitirá prevenir su repetición o en caso que vuelva a ocurrir su arreglo sea inmediato..
4.5 Administración de la Red
4.5.1 Controles de Redes
PRO.MAN.01
Página 20 de 28
VERSIÓN 1.0
El Responsable de TI definirá controles para el acceso no autorizado, con la finalidad de

garantizar la seguridad de los datos y los servicios conectados en las redes de la COAC
Politécnica, para esto se realizarán la ejecución de las siguientes acciones:
1. Establecer procedimientos para la administración de equipos remotos.

2. Establecer controles para salvaguardar la información que se trasmite por redes
públicas.
3. Realizar actividades de supervisión para garantizar que los controles establecidos
sean aplicados.
4. Se debe aplicar controles de autenticación, codificación y conexiones.
4.6 Administración y Seguridad de los Medios de Almacenamiento
4.6.1 Administración de Medios Informáticos Extraíbles
El Responsable TI definirá procedimientos para la administración de medios informáticos

extraíbles, como cintas, discos, casetes e informes impresos, los medios se deben proteger
y controlar físicamente.
4.6.2 Eliminación de Medios de Información
El Responsable de T I definirá procedimientos para la eliminación segura de los medios

de información respetando la normativa vigente. Los procedimientos deberán considerar
que los siguientes elementos requerirán almacenamiento y eliminación segura:
1. Documentos en papel.
2. Equipo defectuoso
3. Voces u otras grabaciones.
4. Papel carbón.
5. Informes de salida.
6. Cintas de impresora de un solo uso.
7. Medios de almacenamiento óptico (todos los formatos incluyendo todos los
medios de distribución de software del fabricante o proveedor
8. Listados de programas.
9. Datos de prueba.
10. Documentación del sistema.
4.6.3 Procedimientos de Manejo de la Información
El departamento de TI establecerá procedimientos para el manejo y almacenamiento de la

información de acuerdo a su clasificación. En los procedimientos se contemplarán las
siguientes acciones:
1. Etiquetar todos los medios de acuerdo al nivel de clasificación
PRO.MAN.01
Página 21 de 28
VERSIÓN 1.0
2. Restringir el acceso solo al personal debidamente autorizado.

3. Proteger los datos en espera (“colas”).
4. Conservar los medios de almacenamiento en un ambiente que concuerde con las
especificaciones de los fabricantes o proveedores.
5. Todos los medios deben ser almacenados de acuerdo a las especificaciones técnicas
proporcionadas por el fabricante.
4.7 Intercambios de Información y Software
4.7.1 Política de Correo Electrónico
El Responsable de TI definirá y documentará normas y procedimientos claros con respecto al

uso del correo electrónico, se deberá incluir los siguientes aspectos:
1. Las cuentas de correos electrónicos que estén asignadas a los empleados de la COAC
Politécnica podrán ser utilizados únicamente en actividades relacionadas con la
institución el contenido podrá ser académico, administrativo o de investigación.
2. La creación de cuentas de correo electrónico empresariales la realizara el
departamento de TI.
3. El departamento de TI será el encargado de garantizar la privacidad inicial de las
cuentas de correo electrónico institucional.
4. Protección contra ataques al correo electrónico, por ejemplo virus, intercepción, etc.
5. Protección de archivos adjuntos de correo electrónico.
6. Uso de técnicas criptográficas para proteger la confidencialidad e integridad de los
mensajes electrónicos.
7. Retención de mensajes que, si se almacenaran, pudieran ser usados en caso de litigio.
8. Controles adicionales para examinar mensajes electrónicos que no pueden ser
autenticados.
9. Aspectos operativos para garantizar el correcto funcionamiento del servicio (ej.:
tamaño máximo de información transmitida y recibida, cantidad de destinatarios,
tamaño máximo del buzón del usuario, etc.).
4.7.2 Otras Formas de Intercambio de Información
TI definirá normas, procedimientos y controles para proteger el intercambio de información

a través de medios de comunicaciones como son video, voz, datos.
Las transacciones en línea deberá estar controladas para una transacción incompleta, routing
equivocado, alteración no autorizada de un mensaje, divulgación o duplicación, para realizar
transacciones en línea deben incluir lo siguiente.
a. Usar firmas electrónicas para cada una de las partes involucradas.
b. Los caminos de las comunicaciones electrónicas deberían ser codificados.
c. Los protocolos de comunicación deben ser seguros.
4.8 Monitoreo
PRO.MAN.01
Página 22 de 28
VERSIÓN 1.0
El propósito del monitoreo es detectar actividades o tráfico de información no autorizada
4.8.1 Registro de Auditoria
Se deben registrar bitácoras, log de todos los procesos que involucren actividades o procesos
donde este inmerso el tráfico de información, para el registro se deberá tomar en cuenta lo
siguiente:
a. ID
b. Fecha y horas (Ingreso – Salida)
c. Ubicación del responsable que realizo la transacción (IP Computador)
d. Registrar los intentos fallidos o rechazados por los sistemas de información u otros
recursos al realizar un proceso determinado.
e. Protocolos utilizados.
4.8.2 Registro de Fallas
Se deben registrar y analizar las fallas producidas con la finalidad de tomar las acciones necesarias
para su pronta solución, tomando muy en cuenta que la acción tomada para la corrección de una
determinada falla haya sido autorizada.
4.8.3 Sincronización de relojes.
Los relojes de todos los sistemas de procesamiento de información dentro de la COAC Politécnica se
deben sincronizar con una fuente que proporcione la hora exacta por ejemplo el Tiempo Universal
Coordinado (UTC).
El ajuste exacto de todos los relojes de los computadores es sumamente importante para asegurar la
exactitud de los datos almacenados en los logs de auditoria.
Se puede utilizar un protocolo de hora de red para mantener todos los servidores sincronizados
con el reloj maestro.
5. Control de Accesos.
5.1 Requerimientos para el Control de Acceso.
5.1.1 Política de Control de Accesos.
En las políticas de control de acceso se contemplará los siguientes aspectos:
1. Cada usuario y empleado de COAC Politécnica, es responsable de los mecanismos de control

de acceso que le sean facilitados, debe cuidar su contraseñas de acceso a redes o sistemas
informáticos.
PRO.MAN.01
Página 23 de 28
VERSIÓN 1.0
2. Identificar los requerimientos de seguridad de cada una de las aplicaciones.

3. Todos los usuarios sin excepción deberán autenticarse por los mecanismos de control
provistos por TI.
4. Identificar toda la información relacionada con las aplicaciones.
5. Política de Clasificación de Información de los diferentes sistemas y redes.
6. Identificar la legislación aplicable y las obligaciones contractuales con respecto a la
protección del acceso a datos y servicios.
7. Definir los distintos perfiles de usuario de acuerdo a la categoría de su puesto de trabajo en
COAC Politécnica
8. Los usuarios de los sistemas de información o infraestructura no deben proporcionar
información a personal externo de la COAC Politécnica, excepto cuando esta persona tenga
el visto bueno el dueño de la información y de TI.
9. Todos los usuarios y empleados son responsables de todas las actividades que se realizasen
con sus usuarios y contraseñas, estas no deben ser divulgadas. Los empleados tienen
prohibido utilizar el ID de otros usuarios
5.1.2 Registro de Usuarios
El responsable de TI definirá un procedimiento para el registro de nuevos usuarios con la finalidad de

otorgar o quitar accesos a los sistemas, bases de datos y cualquier servicio adicional para esto, se
contemplará los siguientes aspectos
a. Utilizar IDs de usuario con la finalidad de permitir al personal de la COAC

Politécnica realizar los procesos para responsabilizarse de las acciones que realicen.
b. Verificar que el usuario tenga la autorización del propietario del sistema para el uso
del mismo.
c. Los perfiles de usuario deben ser asignados de acuerdo al cargo y procesos que
realizase dentro de la COAC Politécnica.
d. Entregar a los usuarios un documento en el cual se le indique el detalle de los accesos
asignados a su persona.
e. Mantener un registro de las personas registradas para el uso del servicio.
f. Eliminar o cambiar los perfiles de usuario inmediatamente después de que un
empleado de COAC Politécnica dejo de laborar para la institución o cambio de
puesto de trabajo.
g. Eliminar cuentas que se encuentren inactivas por más de 60 días
5.1.3 Gestión de Privilegios
Se debe restringir y controlar el uso de privilegios a través de los distintos procesos que se detallan a
continuación:
a. Los privilegios se deben aplicar a los usuario solo de lo que necesitan saber.
b. Se debe mantener un proceso de autorización y registrar todo los privilegios
otorgados.
c. Los privilegios deben ser otorgados a un ID de usuario diferente a aquellos utilizados
para el uso normal de la COAC Politécnica.
PRO.MAN.01
Página 24 de 28
VERSIÓN 1.0
5.1.4 Revisión de los derechos de acceso del usuario
El departamento de TI debe realizar controles periódicos sobre el acceso que tienen los usuarios a los
diferentes sistemas de información a continuación se detalla alguno de los aspectos a tenerse en
cuenta:
a. Los derechos de los accesos de los distintos usuarios o empleados de COAC

Politécnica deberán ser revisados aproximadamente cada 4 meses.
b. Los accesos deberán ser revisados cuando un empleado sea cambiado de una lugar
a otro dentro de COAC Politécnica.
5.2 Responsabilidades del Usuario
Es responsabilidad del usuario cuidar sus claves de accesos con el propósito de evitar accesos no
autorizados y así poner en peligro la información de la COAC Politécnica.
Se implementará una política de escritorio y pantallas limpias para reducir el riesgo de accesos no
autorizados o daño a medios de procesamiento de la información.
5.2.1 Uso de Claves Secretas
Los Usuarios deberán seguir los siguientes lineamientos para uso y selección de claves secretas:
a. Mantener las claves confidenciales
b. Evitar registrar las claves en papel, archivos
c. Cambiar las claves a la menor presunción de que la claves fueron descubiertas.
d. Las claves deben ser de calidad y de un tamaño mínimo para que se puedan recordar
e. Utilizar caracteres especiales
f. Letras mayúsculas
g. Cambiar la clave secreta temporal en el primer ingreso a los Sistemas de Información
h. No utilizar las mismas claves en asuntos de trabajo que las que se utiliza con frecuencia en
asuntos personales.
i. Si los usuarios tienen accesos a diferentes sistemas de aplicación recomendarles que pueden
utilizar una misma clave pero tomando en cuenta todos los niveles de seguridad para crear
una clave secreta segura.
5.2.2 Equipos del usuario desatendidos
Los usuarios deben verificar que sus equipos de cómputo o sistemas de información tengan la
protección adecuada cuando se encuentren desatendidos, para esto se debe indicar a los usuarios
que:
a. Cierren las sesiones activas cuando terminen de trabajar
b. Verificar que las computadoras o terminales tengan claves de acceso (protectores de
pantalla)
PRO.MAN.01
Página 25 de 28
VERSIÓN 1.0
5.2.3 Políticas de escritorio y pantallas limpias
Tomar en cuenta los siguientes lineamientos:

a. La información critica debe ser guardada bajo llave
b. Cuando una computadora se deje desatendida preferente mente deberá ser dejada apagada
c. Se debe evitar el uso inadecuado de fotocopiadoras y escáner.
5.3 Control de acceso a la red
El principal objetivo es evitar el acceso no autorizado a la red se deben controlar los accesos tanto
a las redes internas como externas, es decir verificar que el usuario acceda únicamente a las áreas a
las cuales fue autorizado.
5.3.1 Control de Conexión a la red
Todas las computadoras estarán dentro del dominio de la cooperativa(coopepn.local). En el caso de

redes compartidas que se extienden a través de los límites de la COAC Politécnica se deben
restringir la capacidad de los usuarios para conectarse a la red en línea, se pueden restringir la
capacidad de conexión a través de gateways, los cuales filtraran el tráfico por medio de tablas o
reglas predefinidas las restricciones se pueden aplicar a:
a. Correo electrónico
b. Transferencia de archivos
c. Acceso a una aplicación
5.4 Control de acceso a la aplicación y la información
Evitar el acceso no autorizado al contenido de los sistemas de información, se debe limitar el registro
de usuarios autorizados, los sistemas de aplicación deberían:
a. Controlar el acceso del usuario a la información y a las funciones de un sistema.

b. Proporcionar protección contra accesos no autorizados de cualquier software.
c. No comprometer a otros sistemas.
5.4.1 Restricción del acceso a la información
El acceso a la información debe estar centrado en las políticas de control de acceso, se deben basar
en los requerimientos de las aplicaciones, en las aplicaciones se deben considerar los siguientes
lineamientos para la restricción de acceso:
a. Controlar el acceso a las funciones del sistema a través de menús

b. Controlar la lectura, escritura, eliminación, y ejecución de los distintos procesos que sean
realizado por los funcionarios de COAC Politécnica.
PRO.MAN.01
Página 26 de 28
VERSIÓN 1.0
c. Asegurar que los sistemas que manejan información confidencial solo presenten
información necesaria y que esta solo sea enviada a terminales y a ubicaciones autorizadas
5.4.2 Aislar el sistema confidencial
Los sistemas que contengan información confidencial deben tener un ambiente de computo
dedicado, para esto se deben considerar los siguientes lineamientos:
a. El propietario de la aplicación o aplicaciones debe identificar y documentar el grado de

confidencialidad de la información.
b. Cuando una aplicación confidencial va a acorrer en una ambiente compartido, el propietario
de la aplicación debe identificar y aceptar a los otros sistemas con los cuales van a compartir
los recursos.
5.5 Ordenadores portátiles y comunicaciones móviles
La COAC Politécnica provee las condiciones para el manejo de los dispositivos móviles (portátiles,
teléfonos, inteligentes y tabletas, entre otros) institucionales y personales que hagan uso de servicios
de la cooperativa. Así mismo, vela porque los funcionarios hagan un uso responsable de los
servicios y equipos proporcionados por la Entidad. A continuación, se detallan las normas que se
deberán tomar en cuenta.
 Para quienes tengan autorizado el uso de ordenadores portátiles y dispositivos móviles para
tener acceso a la información institucional se suscribe un Acuerdo de Usuario Final de
Dispositivo Móvil que incluye la renuncia de la propiedad de los datos institucionales, el
borrado remoto en caso de incidentes con el dispositivo. En todo caso se preserva el derecho
de la privacidad del propietario del dispositivo.
 Evitar usar el uso de ordenadores portátiles y dispositivos móviles institucionales en lugares
que no les ofrezcan las garantías de seguridad física necesarias para evitar pérdida o robo
de estos.
 No modificar las configuraciones de seguridad de los ordenadores portátiles y dispositivos
móviles institucionales bajo su responsabilidad, ni desinstalar el software provisto con ellos
al momento de su entrega.
 Evitar la instalación de programas desde fuentes desconocidas, instalar aplicaciones en los
ordenadores portátiles y dispositivos móviles únicamente desde repositorios seguros y
previa consulta al departamento de tecnología.
 Evitar hacer uso de redes inalámbricas de uso público inseguras para transmitir información
institucional, así como conectar los dispositivos a equipos de uso compartido público (café
internet, hoteles, computadores personales no institucionales).
 No almacenar videos, fotografías o información personal en los dispositivos móviles
institucionales asignados.
 Preservando el derecho fundamental a la intimidad. las actividades realizadas con los
dispositivos móviles institucional o los activos de información institucionales podrán ser
monitoreadas siguiendo los procedimientos administrativos de la COAC Politécnica o los
definidos por la normatividad vigente.
PRO.MAN.01
Página 27 de 28
VERSIÓN 1.0
5.6 Uso de conexiones remotas
La COAC Politécnica define las circunstancias y requisitos para realizar conexiones remotas a su
plataforma tecnológica y desde su plataforma a otras plataformas; así mismo, suministra las
herramientas y controles necesarios para que dichas conexiones se realicen de manera segura. A
continuación, se detallan las normas que se implementaran por las distintas áreas.
Riesgos y la dirección de tecnología

 Aprobar las conexiones remotas a la plataforma tecnológica de la COAC Politécnica en
los formatos existentes.
Dirección de tecnología
 Implantar los métodos y controles de seguridad para establecer conexiones remotas
hacia la plataforma tecnológica de la COAC Politécnica.
 Restringir las conexiones remotas a los recursos de la plataforma tecnológica; permitir
los accesos solo a personal autorizado y por periodos de tiempo establecidos de acuerdo
con las labores desempeñadas.
 Verificar la efectividad de los controles de seguridad aplicados sobre las conexiones
remotas a los recursos de la plataforma tecnológica de la COAC Politécnica.
 Monitorear los accesos de conexiones remotas a la plataforma tecnológica y alertar
sobre potenciales amenazas internas y externas de acceso no autorizado a la
información o recursos.
 Suministrar el soporte, mantenimiento y actualización del hardware y software
empleado para realizar las conexiones remotas
6. Adquisición, desarrollo y mantenimiento de los sistemas de información
6.1 Requerimientos de seguridad de los sistemas de información
Garantizar que la seguridad sea una parte integral de los sistemas de información, se deben
identificar y acordar los requerimientos de seguridad ya sea para el desarrollo o implementación de
un sistema de información.
6.2 Procesamiento correcto en las aplicaciones:
Prevenir mal uso, pérdida, errores o modificación no autorizada de la información en las

aplicaciones con las que trabaje COAC Politécnica. Se va a implementar controles que validen el
procesamiento interno y salida de información.
6.2.1 Validación de la input data
Validar el ingreso de datos de las aplicaciones de acuerdo a los siguientes lineamientos:
a. Limitar el tamaño de los campos.

b. Validar el registro números en determinados campos.
PRO.MAN.01
Página 28 de 28
VERSIÓN 1.0
c. Validar que los valores ingresados no estén fuera del rango.

d. Controlar datos inexistentes o incorrectos
e. Establecer procedimientos para responder a los errores de validación
f. Crear un registro de actividades.
Referencias:
 Norma ISO 27001-2013

 Norma ISO/IEC 17799
 Controles ISO 27002-2005

Manual de Seguridad de La Información

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Manual de Seguridad de La Información

Cargado por

Copyright:

Formatos disponibles

MANUAL DE SEGURIDAD DE LA INFORMACIÓN

Definir las políticas y normas de seguridad de la información de la Cooperativa de Ahorro y crédito

III. MARCO LEGAL

IV. GLOSARIO DE TÉRMINOS

 Seguridad de la Información: Es el conjunto de medidas preventivas y reactivas que

 Información: Se refiere a toda comunicación o representación de conocimiento como

 Confidencialidad: se garantiza que la información sea accesible sólo a aquellas personas

 Integridad: se salvaguarda la exactitud y totalidad de la información y los métodos de

 Disponibilidad: se garantiza que los usuarios autorizados tengan acceso a la información

 Autenticidad: asegura la validez de la información en tiempo, forma y distribución. Así

 Funcionario: persona que ocupa un cargo jerárquico en la COAC Politécnica.

 Empleado: persona que trabaja por un sueldo en la COAC Politécnica.

 No repudio: evita que el emisor o receptor de un mensaje electrónico niegue la transmisión

 Sistema de Información (SI): Se refiere a un conjunto independiente de recursos de

 Tecnología de la Información (TI): Se refiere al hardware y software operados por el

 Responsable de Seguridad de la Información: es la persona que cumple la función de

 Incidente de Seguridad: Un incidente de seguridad es un evento adverso en un sistema de

 Propietarios de la Información: Son los funcionarios, dependencias responsables de la

 Activos de Información: Son los bienes relacionados a un sistema de información en

 Software: programas o aplicaciones que ejecutan una actividad específica.

 Activos físicos: Computadoras, equipamiento de redes y comunicaciones, medios de

 Propietario de un Proceso de Información: Es el responsable por la creación, puesta en

 Propietario de un Activo Físico: Es el responsable patrimonial del bien.

 Responsable de la Unidad de Auditoría Interna: Auditor Interno.

 Responsable de una Aplicación: Encargado de la instalación y mantenimiento de la

 Responsable del Área de Tecnológica: Responsable de Tecnología.

 Responsable del Área de Talento Humanos: Responsable de Talento Humano.

 ISO/IEC: Organización internacional de estandarización y comisión internacional

La información que se detalla en el presente manual de seguridad de la información tiene como

El Departamento de TI controlara los activos asociados a la información y a las instalaciones de

VI. APROBACIÓN, DIVULGACIÓN Y ACTUALIZACIÓN

VII. POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN

Las políticas de seguridad se deben aplicar en los siguientes ámbitos:

1.1 Responsabilidad por los activos

El Departamento de TI controlara los activos asociados a la información y a las instalaciones de

Al momento de terminar la relación laboral con la institución el empleado debe proceder a

1.2 Clasificación de la información

a. Restringido: Puede ser conocida por gerencia presidencia.

Se busca mantener la información fuera de modificaciones y acceso indebidos se

La información debe encontrarse a disposición de todas aquellas personas o empresa

La disponibilidad puede estar opacada por la inaccesibilidad a la información y se la puede

 Inaccesibilidad Transitoria ._ puede ser de 1 hora o 1 día, esto pueden provocar

 Inaccesibilidad Permanente._ puede ser más de 24 horas constantes de poder tener

La información se clasifica de acuerdo a su Disponibilidad (criticidad) en:

CRITICIDAD BAJA: el valor o valores asignados no superan a 1.

CONFIDENCIALIDAD INTEGRIDAD DISPONIBILIDAD

Activos de información en los cuales la clasificación de la información en

Activos de información en los cuales la clasificación de la información

Tabla 2: Niveles de Clasificación

1.3 Etiquetado de la Información

El Responsable de TI definirá procedimientos para el etiquetado y manejo de información, de

 Información básica del activo (nombre, observaciones, proceso, entre otras).

1.4 Manejo de los activos

1.5 Manejo de los medios

2. Seguridad del Personal

2.1 Seguridad en la Definición de Puestos de Trabajo y la Asignación de Recursos.

El responsable de TI incorporará las funciones y responsabilidades en materia de seguridad

2.1.2 Control y Política del Personal

El responsable de Recursos Humanos llevará a cabo controles de verificación del personal

2.1.3 Compromiso de Confidencialidad

El acuerdo de confidencialidad será revisado anualmente por el responsable de Recurso Humanos.

En los términos y condiciones se establece que el empleado tiene la responsabilidad de

2.2 Capacitación del usuario