GOBIERNO AUTONÓMO DESCENTRALIZADO MUNICIPAL

CODIGO : MA.TI01
GAD Manual de Políticas de Seguridad de la VERSION : 1.0
información

POLITICAS DE SEGURIDAD DE LA INFORMACIÓN

GOBIERNO AUTONÓMO DESCENTRALIZADO

MUNICIPAL .

Octubre 20xx

Elaborado por: Revisado por: Aprobado por: Fecha de Vigencia Página

Ing. Gerardo Cajamarca Méndez
SOFTWARESYSTEM GC
1
Fecha: 30-10-2017 Fecha: Acta: 30-10-2018
 GOBIERNO AUTONÓMO DESCENTRALIZADO MUNICIPAL
CODIGO : MA.TI01
GAD Manual de Políticas de Seguridad de la VERSION : 1.0
información

1. Objetivo: 4ta. semana

Definir las políticas y normas de seguridad de la información del Gobierno Autónomo

Descentralizado del Cantón Xxde, con la finalidad de preservar la confidencialidad, integridad y
disponibilidad de la información así como de los medios para su tratamiento.

2. Alcance: 4ta. semana

La información que se detalla en el presente manual de políticas de seguridad de la información

tiene como finalidad dar cumplimiento a las disposiciones legales vigentes, esto con el objetivo de
gestionar adecuadamente la seguridad de la información, los sistemas informáticos y el ambiente
Gobierno Autónomo Descentralizado Municipal ..

Para efectos del presente manual al Gobierno Autónomo Descentralizado del Cantón ., se la
denominara GAD XXDE.

Este manual es de aplicación para todos los funcionarios y empleados de GAD XXDE, así como
también para las personas o empresas que de alguna u otra manera estén relacionados con la
institución municipal, en el tratamiento de la información.

3. Justificación: 4ta. semana

La información y los equipos informáticos son activos muy importante y delicados que posee el
GAD XXDE por este motivo debe ser tratados como tal, es por ello que se deben tomar las
acciones necesarias para asegurar que la información sea confiable, integra y esté disponible a
todo momento. Esto implica que los sistemas informáticos, la información y la infraestructura este
protegida contra toda clase de amenaza, con la finalidad de evitar fraude, sabotaje, espionaje
industrial, extorsión, violación de la privacidad, intrusos, hackers, interrupción de servicio,
accidentes y desastres naturales.

4. RESPONSABILIDAD Y AUTORIDAD 4ta. semana

 Nivel Directivo
o Alcalde
 Nivel de Apoyo
o Jefe de Tecnología de la Información y Comunicaciones.
 Nivel Operativo

Elaborado por: Revisado por: Aprobado por: Fecha de Vigencia Página

Ing. Gerardo Cajamarca Méndez
SOFTWARESYSTEM GC
2
Fecha: 30-10-2017 Fecha: Acta: 30-10-2018
 GOBIERNO AUTONÓMO DESCENTRALIZADO MUNICIPAL
CODIGO : MA.TI01
GAD Manual de Políticas de Seguridad de la VERSION : 1.0
información

o Administrador de Infraestructura
o Administrador de Base de Datos
o Analista de Soporte
o Operador de Sistemas

5. Marco Jurídico 5ta. semana

Normas de Control Interno para las entidades organismos del sector público y de las personas
jurídicas de derecho.

6. Terminología: 5ta. semana

 Seguridad de la Información: Es el conjunto de medidas preventivas y reactivas que

permiten resguardar y proteger la información.

 Información: Se refiere a toda comunicación o representación de conocimiento como

datos, en cualquier forma, con inclusión de formas textuales, numéricas, gráficas,
cartográficas, narrativas o audiovisuales, y en cualquier medio, ya sea magnético, en
papel, en pantallas de computadoras, audiovisual u otro.

 Confidencialidad: se garantiza que la información sea accesible sólo a aquellas personas

autorizadas a tener acceso a la misma.

 Integridad: se salvaguarda la exactitud y totalidad de la información y los métodos de

procesamiento.

 Disponibilidad: se garantiza que los usuarios autorizados tengan acceso a la

información y a los recursos relacionados con la misma, siempre que lo requieran.

 Autenticidad: asegura la validez de la información en tiempo, forma y distribución. Así

mismo, se garantiza el origen de la información, validando el emisor para evitar
suplantación de identidades.

 Funcionario: persona que ocupa un cargo jerárquico en el GAD XXDE

 Empleado: persona que trabaja por un sueldo en el GAD XXDE

Elaborado por: Revisado por: Aprobado por: Fecha de Vigencia Página

Ing. Gerardo Cajamarca Méndez
SOFTWARESYSTEM GC
3
Fecha: 30-10-2017 Fecha: Acta: 30-10-2018
 GOBIERNO AUTONÓMO DESCENTRALIZADO MUNICIPAL
CODIGO : MA.TI01
GAD Manual de Políticas de Seguridad de la VERSION : 1.0
información

 No repudio: evita que el emisor o receptor de un mensaje electrónico niegue la transmisión

de este.

 Sistema de Información (SI): Se refiere a un conjunto independiente de recursos de

información organizados para la recopilación, procesamiento, mantenimiento, transmisión y
difusión de información según determinados procedimientos, tanto automatizados como
manuales.

 Tecnología de la Información (TI): Se refiere al hardware y software operados por el

GAD XXDE o por un tercero con la finalidad de almacenar, recuperar, transmitir y
manipular datos.

 Responsable de Seguridad de la Información: es la persona que cumple la función de

supervisar el cumplimiento de las presentes Políticas y de asesorar en materia de seguridad
de la información a los integrantes del GAD XXDE que así lo requieran.

 Incidente de Seguridad: Un incidente de seguridad es un evento adverso en un sistema de

computadoras, o red de computadoras, que compromete la confidencialidad, integridad o
disponibilidad, la legalidad y confiabilidad de la información. Puede ser causado
mediante la explotación de alguna vulnerabilidad o un intento o amenaza de romper los
mecanismos de seguridad existentes.

 Propietarios de la Información: Son los funcionarios, dependencias responsables de la

generación o recopilación de la información, con competencia jurídica para administrar y
disponer de su contenido.

 Activos de Información: Son los bienes relacionados a un sistema de información en

cualquiera de sus etapas.

 Software: programas o aplicaciones que ejecutan una actividad específica.

 Activos físicos: Computadoras, equipamiento de redes y comunicaciones, medios de

almacenamiento, mobiliario, lugares de emplazamiento.
 Servicios: Servicios informáticos y de comunicaciones.

 Procedimiento: Acciones que se realizan, con una serie común de pasos claramente
definidos, que permiten realizar correctamente una tarea o alcanzar un objetivo.
 Proceso de Información: Conjunto de tareas relacionadas lógicamente que se
realizan para lograr un resultado determinado en un Sistema de Información.

Elaborado por: Revisado por: Aprobado por: Fecha de Vigencia Página

Ing. Gerardo Cajamarca Méndez
SOFTWARESYSTEM GC
4
Fecha: 30-10-2017 Fecha: Acta: 30-10-2018
 GOBIERNO AUTONÓMO DESCENTRALIZADO MUNICIPAL
CODIGO : MA.TI01
GAD Manual de Políticas de Seguridad de la VERSION : 1.0
información

 Propietario de un Proceso de Información: Es el responsable por la creación, puesta en

funcionamiento y mantenimiento de un Proceso de Información.

 Propietario de un Activo Físico: Es el responsable patrimonial del bien.

 Responsable de la Unidad de Auditoría Interna: Auditor Interno.

 Responsable de una Aplicación: Encargado de la instalación y mantenimiento de la

aplicación.

 Responsable del Área Informática o Tecnológica: Jefe de Sistemas Informáticos.

 Responsable del Área de Recursos Humanos: Jefe de Personal de RRHH.

 ISO/IEC: Organización internacional de estandarización y comisión internacional

electrotécnica.

7. Políticas de Seguridad de la Información 5ta. Semana - 6ta. Semana - 7ma. Semana 8va.
Semana

Las políticas detalladas en este documento son basadas en las normas ISO 27001-2013, y Controles
ISO 27002-2013, estas están sujetas a cambios realizables en cualquier momento, siempre y cuando
se tengan presentes los objetivos de seguridad.

El presente manual de políticas está conformado además por una serie de aspectos específicos, que se
encuentran enmarcados con los requerimientos del negocio y también se encuentran dentro de las
normativas de los entes de control vigentes.

Las políticas de seguridad se deben aplicar en los siguientes ámbitos:

Clasificación y Control de Activos.

Seguridad del Personal.
Seguridad Física y Ambiental.
Gestión de las Comunicaciones y las Operaciones.
Control de Acceso.

El incumplimiento de las políticas que se encuentran detalladas dentro del presente manual será
Elaborado por: Revisado por: Aprobado por: Fecha de Vigencia Página
Ing. Gerardo Cajamarca Méndez
SOFTWARESYSTEM GC
5
Fecha: 30-10-2017 Fecha: Acta: 30-10-2018
 GOBIERNO AUTONÓMO DESCENTRALIZADO MUNICIPAL
CODIGO : MA.TI01
GAD Manual de Políticas de Seguridad de la VERSION : 1.0
información

sancionado de acuerdo al Reglamento Interno de Trabajo, y de ser el caso también se procederá de

acuerdo a las leyes ecuatorianas vigentes.

La revisión de las presentes políticas se las realizara una vez al año o más antes en caso de
producirse cambios significativos ya sea en lo normado por los entes de control o por disposiciones
generales regulatorias esto con la finalidad de asegurar la conveniencia, suficiencia o eficacia
continua.

8 Clasificación y Control de Activos.

………………….

………………….

………………….

………………….

………………….

Referencias:
 Norma ISO 27001-2013
 Norma ISO/IEC 17799
 Controles ISO 27002-2005

Elaborado por: Revisado por: Aprobado por: Fecha de Vigencia Página

Ing. Gerardo Cajamarca Méndez
SOFTWARESYSTEM GC
6
Fecha: 30-10-2017 Fecha: Acta: 30-10-2018