GOBIERNO DE LA

CIBERSEGURIDAD
Actividad Grupal: Norma de Seguridad

Descripción breve
En esta actividad se busca prácticas con una herramienta de apoyo
para realizar una pre-auditoría del nivel de cumplimiento de gestión
de la seguridad de una compañía.

Jandry Oscar Banegas Rojas

jandryoscar.banegas056@comunidadunir.net
Contenido
1. Introducción.....................................................................................................................................2
2. Objetivo............................................................................................................................................2
3. Ámbito..............................................................................................................................................3
4. Documentación relacionada.........................................................................................................4
5. Roles y responsabilidades.............................................................................................................5
6. Seguridad de Redes y Comunicaciones......................................................................................7

4
1. Introducción
La necesidad de implementación de una norma de seguridad para la
empresa JanTelecom es importante ya que es un entorno donde la tecnología de
redes y comunicaciones es fundamental para las operaciones diarias. Es por esto
que la seguridad de estos sistemas se convierte en una prioridad crítica.
El aumento en el uso de soluciones en la nube, IoT y el trabajo remoto ha
expandido el ámbito de la seguridad, presentando nuevos desafíos en cuanto a la
protección contra amenazas y vulnerabilidades. Esta norma se establece para
abordar estos retos, proporcionando un marco de referencia para la gestión y
mitigación de riesgos, asegurando así la integridad, confidencialidad y
disponibilidad de los datos y servicios.

2. Objetivo
El objetivo de esta normativa de seguridad en JanTelecom, considerando el
dinámico contexto tecnológico del Ecuador, es asegurar un manejo seguro y
efectivo de nuestras redes y sistemas de comunicación, enfocándonos en:

• Protección de Datos y Privacidad: Garantizar la integridad,

confidencialidad y disponibilidad de la información manejada, respetando la
normativa ecuatoriana de protección de datos y los derechos de nuestros
usuarios.

• Prevención y Gestión de Riesgos: Identificar y controlar los riesgos

asociados a las redes y comunicaciones, incluyendo amenazas digitales y
vulnerabilidades, con un enfoque proactivo que se adapte al panorama
tecnológico ecuatoriano.

• Cumplimiento de Normativas Locales: Asegurar que nuestras operaciones

y prácticas de seguridad estén en línea con las leyes y regulaciones
ecuatorianas, así como con los estándares internacionales aplicables.

• Capacitación y Concienciación del Personal: Promover una cultura de

seguridad digital entre todos los colaboradores de JanTelecom, ofreciendo
capacitaciones regulares y fomentando la consciencia sobre prácticas
seguras en el ambiente digital.

2
 • Respuesta Eficaz a Incidentes: Establecer procedimientos claros para la
gestión de incidentes de seguridad, asegurando una respuesta rápida y
efectiva para minimizar impactos y facilitar una pronta recuperación.

• Evaluación y Mejora Continua: Realizar revisiones periódicas de la

normativa, adaptándola a los avances tecnológicos, las nuevas amenazas en
el ciberespacio y los cambios en el entorno empresarial ecuatoriano.

3. Ámbito
La normativa de seguridad de redes y comunicaciones de JanTelecom se
define en los siguientes términos:

3.1. Cobertura Geográfica

Aplicable a todas las instalaciones y operaciones de JanTelecom en Ecuador,
incluyendo la sede central en Quito, todas las sucursales, puntos de servicio al
cliente y centros de datos dispersos en el país.

Se extiende a cualquier lugar donde se realicen operaciones remotas o

teletrabajo por parte de los empleados de JanTelecom.

3.2. Tecnologías y Plataformas

Cubre una amplia gama de tecnologías, desde infraestructura de red
tradicional hasta tecnologías emergentes como 5G y soluciones IoT.

Incluye tanto hardware (servidores, switches, routers, dispositivos IoT) como

software (sistemas operativos, aplicaciones, bases de datos, soluciones en la
nube).

3.3. Personal Involucrado:

Todos los empleados de JanTelecom, independientemente de su rol o
ubicación, están sujetos a las directrices de esta normativa.

Se extiende a terceros como contratistas, consultores, socios comerciales y

proveedores que interactúen con la infraestructura y los datos de JanTelecom.

3.4. Datos e Información

Aplica a todos los tipos de datos manejados por JanTelecom, desde datos
operativos y transaccionales hasta datos personales de clientes y empleados.

3
 Incluye la gestión de la seguridad en todas las etapas del ciclo de vida de los
datos: desde su creación o recopilación, pasando por su procesamiento y
almacenamiento, hasta su eliminación o archivo.

3.5. Procesos y Operaciones:

Se enfoca en asegurar que todos los procesos empresariales y técnicos, desde la
gestión de redes hasta el desarrollo de software y el mantenimiento de sistemas,
cumplan con las directrices de seguridad.

Implica la integración de prácticas de seguridad en el diseño, implementación y

operación de todos los sistemas y procesos de la empresa.

3.6. Entidades Reguladoras y de Cumplimiento:

Alineación con las leyes y regulaciones ecuatorianas pertinentes, como la Ley de
Protección de Datos Personales y regulaciones específicas del sector de
telecomunicaciones.

Cumplimiento con estándares internacionales relevantes, como ISO/IEC

27001, para la gestión de seguridad de la información.

4. Documentación relacionada
La presente normativa de seguridad para JanTelecom se relaciona y
complementa con varios documentos y estándares, tanto internos como
externos, incluyendo:

4.1. Políticas Internas de JanTelecom

• Política de Seguridad de la Información: Define los principios generales
de seguridad de la información en la empresa.

• Política de Uso Aceptable: Detalla las pautas para el uso adecuado de los
recursos tecnológicos de la empresa.

• Manual de Procedimientos de TI: Contiene los procedimientos estándar

para la gestión y operación de la infraestructura de TI.

4.2. Documentos de Cumplimiento Legal y Regulatorio

• Ley Orgánica de Protección de Datos Personales: Ley ecuatoriana que
establece los principios y obligaciones en materia de protección de datos
personales.

• Regulaciones del ARCOTEL (Agencia de Regulación y Control de las

Telecomunicaciones): Normativas específicas para el sector de
telecomunicaciones en Ecuador.

4
 4.3. Estándares y Marcos de Trabajo Internacionales
• ISO/IEC 27001: Estándar internacional para la gestión de la seguridad de
la información.

• NIST Cybersecurity Framework: Marco de trabajo para la gestión de

riesgos cibernéticos desarrollado por el Instituto Nacional de Estándares
y Tecnología de EE. UU.

4.4. Guías y Mejores Prácticas de la Industria

• Guías de Seguridad de Redes y Comunicaciones: Documentos que
ofrecen mejores prácticas para la seguridad en redes y comunicaciones.

• Recomendaciones de la UIT (Unión Internacional de

Telecomunicaciones): Directrices para la operación y seguridad en el
ámbito de las telecomunicaciones.

4.5. Planes y Protocolos de Respuesta a Incidentes

• Plan de Respuesta a Incidentes de Seguridad Informática: Define las
acciones a seguir ante incidentes de seguridad.

• Protocolos de Recuperación de Desastres: Establece procedimientos

para la recuperación de sistemas y datos en caso de desastres o fallos
graves.

5. Roles y responsabilidades
5.1. Dirección General de JanTelecom
• Responsabilidad: Asegurar que la empresa cuente con una normativa de
seguridad robusta y vigente.

• Tareas: Aprobar la normativa de seguridad, asignar recursos necesarios

para su implementación y mantenimiento, y supervisar el cumplimiento
general.

5.2. Departamento de Seguridad de la Información

• Responsabilidad: Desarrollar, actualizar y hacer cumplir la normativa de
seguridad.

• Tareas: Realizar evaluaciones de riesgo, definir controles de seguridad,

supervisar la implementación de políticas de seguridad y conducir
auditorías periódicas.

5.3. Administradores de Redes y Sistemas

5
 • Responsabilidad: Implementar y mantener las medidas de seguridad
técnicas.

• Tareas: Configurar firewalls, monitorear la seguridad de la red, aplicar

parches y actualizaciones de seguridad, y gestionar herramientas de
seguridad.

5.4. Equipo de Desarrollo de Software

• Responsabilidad: Integrar prácticas de seguridad en el desarrollo de
aplicaciones y sistemas.

• Tareas: Aplicar codificación segura, realizar pruebas de seguridad en el

software y mantener actualizaciones para asegurar la seguridad de las
aplicaciones.

5.5. Personal de TI y Soporte Técnico

• Responsabilidad: Asistir en la implementación de la normativa y resolver
problemas relacionados con la seguridad.

• Tareas: Proporcionar soporte técnico para cuestiones de seguridad,

ayudar en la gestión de incidentes y educar a los usuarios sobre prácticas
seguras.

5.6. Todos los Empleados

• Responsabilidad: Cumplir con la normativa de seguridad y reportar
cualquier incidente o vulnerabilidad.

• Tareas: Seguir las políticas de seguridad, utilizar contraseñas seguras,

evitar prácticas riesgosas y reportar inmediatamente cualquier actividad
sospechosa o incidente de seguridad.

5.7 Departamento Legal y de Cumplimiento

• Responsabilidad: Asegurar que la normativa de seguridad esté en
conformidad con las leyes y regulaciones aplicables.

• Tareas: Revisar la normativa desde una perspectiva legal, asesorar sobre

asuntos de cumplimiento y manejar aspectos legales de cualquier
incidente de seguridad.

6
6. Seguridad de Redes y Comunicaciones
La seguridad de redes y comunicaciones es un aspecto crítico de la
tecnología de la información que se centra en proteger la infraestructura de
redes y los sistemas de comunicación de cualquier forma de acceso, uso,
divulgación, interrupción, modificación o destrucción no autorizada. Esta área
abarca una amplia gama de prácticas y tecnologías diseñadas para salvaguardar
la integridad, confidencialidad y disponibilidad de los datos y servicios de
comunicación. Incluye la protección de hardware y software, la gestión segura
del tráfico de datos, la prevención de ataques cibernéticos, y el aseguramiento
de las comunicaciones entre dispositivos y usuarios.

En un mundo cada vez más conectado, la seguridad de redes y

comunicaciones es fundamental para mantener la continuidad operativa y la
confianza de los clientes, especialmente en empresas como JanTelecom, donde
la tecnología es el eje central de su negocio.

Un resumen de todos los aspectos de esta normativa y su forma de ser

implementada en esta organización se da en la siguiente tabla (ver tabla 1)

Aspecto Descripción Aplicación de Seguridad

Infraestructura de Red Redes inalámbricas y Firewalls, sistemas de
cableadas, servidores, detección de intrusiones,
dispositivos de segmentación de red.
almacenamiento.
Comunicaciones Comunicaciones Protocolos de cifrado, VPNs,
Seguras internas y externas, políticas para manejo de
incluyendo correos comunicaciones.
electrónicos y
comunicaciones en
línea.
Gestión de Acceso e Control de accesos y Sistemas IAM, autenticación
Identidad permisos dentro de la multifactor, políticas de
red de la empresa. mínimo privilegio.
Protección contra Defensa contra virus, Software antivirus,
Malware y Ransomware gusanos, ransomware y protección de endpoints,
otro software malicioso.capacitación en seguridad.
Respuesta a Incidentes Capacidad de responder Plan de respuesta a
y Recuperación y recuperarse de incidentes, equipos de
incidentes de seguridad.respuesta, estrategias de
respaldo.
Cumplimiento y Asegurar el Auditorías regulares,
Auditorías cumplimiento con cumplimiento con
normativas y estándares regulaciones locales e
de la industria. internacionales.
Educación y Programas de Capacitación regular,
Concienciación en capacitación y fomento de una cultura de

7
Seguridad sensibilización para seguridad.
todos los empleados.
Tabla 1. Aspectos en seguridad de Redes y Comunicaciones para JanTelecom