planeación y diseño sgsi basado 27001 - 27002
DESCRIPTION
Muy buen aporte para implementación de un SGSITRANSCRIPT
UNIVERSIDAD POLITÉCNICA SALESIANA
SEDE GUAYAQUIL
FACULTAD DE INGENIERÍAS
CARRERA: INGENIERÍA EN SISTEMAS
Tesis previa a la obtención del título de: Ingeniero en Sistemas
TÍTULO
Planeación y Diseño de un Sistema de Gestión de Seguridad de la
Información basado en la norma ISO/IEC 27001 - 27002
AUTORES:
José Luis Buenaño Quintana
Marcelo Alfonso Granda Luces
DIRECTOR:
Ing. Ricardo Naranjo
Guayaquil – Ecuador
Diciembre de 2009
II
Señores:
UNIVERSIDAD POLITÉCNICA SALESIANA
Consejo de Carrera Ingeniería en Sistemas
Ciudad.-
Tenemos el agrado de dirigirnos a ustedes con la finalidad de dejar constancia de la
presente declaración de responsabilidad en el desarrollo del trabajo de tesis
Planeación y Diseño de un SGSI basado en la norma ISO/IEC 27001 – 27002.
Es así que los conceptos desarrollados, análisis realizados y las conclusiones del
presente trabajo, son de exclusiva responsabilidad de los autores.
Atentamente,
Guayaquil, 8 diciembre del 2009
_________________________
José Luis Buenaño Quintana
_________________________
Marcelo Alfonso Granda Luces
III
Dedicatorias y agradecimientos
Deseamos expresar nuestra profunda gratitud a quienes directa o indirectamente
colaboraron con el desarrollo del presente trabajo, entre ellos:
A nuestras respectivas familias, por su constante comprensión y estimulo
junto con su continuo y afectuoso aliento.
Al Ing. Ricardo Naranjo, director de tesis, por la colaboración y asistencia
constante durante el desarrollo de este trabajo de tesis
Al Ing. Javier Ortiz , cuya colaboración fue crucial para el desarrollo de este
proyecto, por su permanente disposición y desinteresada ayuda
A cada uno de los docentes que aportó a través de nuestros años de estudio
valiosos conocimientos que fomentaron nuestra capacidad y experiencia.
IV
Índice General
CAPÍTULO 1 : DISEÑO DE LA INVESTIGACIÓN Página
1.1 Antecedentes de la investigación……………………………… 6
1.2 Problema de investigación. …………………………………… 6
1.2.1 Formulación del problema de investigación. …………… 7
1.2.2 Sistematización del problema de investigación………… 7
1.3 Objetivos de la investigación. ………………………………… 8
1.3.1 Objetivo general………………………………………… 8
1.3.2 Objetivos específicos…………………………………… 8
1.4 Justificación de la investigación……………………………… 9
1.5 Marco de referencia de la investigación……………………… 10
1.5.1 Marco teórico…………………………………………… 10
1.5.2 Marco conceptual (Glosario de términos) ……………… 15
1.6 Formulación de la Hipótesis y variables……………………… 17
1.6.1 Hipótesis general………………………………………… 17
1.6.2 Hipótesis particulares…………………………………… 17
1.7 Aspectos metodológicos de la investigación………………… 18
1.7.1 Tipo de estudio…………………………………………… 18
1.7.2 Método de investigación………………………………… 19
1.7.3 Fuentes y técnicas para la recolección de información… 20
1.7.4 Tratamiento de la información…………………………… 21
1.8 Resultados e impactos esperados …………………………… 22
CAPÍTULO 2: ANÁLISIS, Y DIAGNÓSTICO
2.1 Análisis de la situación actual………………………………… 24
2.2 Análisis comparativo, evolución, tendencias y perspectivas… 25
2.2.1 Pregunta 1……………………………………………… 25
2.2.2 Pregunta 2……………………………………………… 26
2.2.3 Pregunta 3……………………………………………… 27
2.2.4 Pregunta 4……………………………………………… 28
2.2.5 Pregunta 5……………………………………………… 28
2.2.6 Pregunta 6……………………………………………… 29
V
2.3 Verificación de hipótesis……………………………………… 30
CAPÍTULO 3: PROPUESTA DE CREACIÓN
3.1 Definición……………………………………………………… 37
3.2 Alcance………………………………………………………… 37
3.3 Plan de implementación………………………………………… 40
3.4 Alcances del SGSI……………………………………………… 41
3.5 Política de seguridad de la información………………………… 43
3.5.1 Política de Seguridad -A.5……………………………… 43
3.5.2 Organización de la seguridad de la información - A.6… 47
3.5.3 Gestión de Activos - A.7………………………………… 55
3.5.4 Seguridad de los recursos humanos - A.8……………… 73
3.5.5 Seguridad física y ambiental - A.9………………………... 79
3.5.6 Gestión de las comunicaciones y operaciones - A.10……. 94
3.5.7Control de Accesos - A.11………………………………..… 122
3.5.8 Adquisición, desarrollo y mantenimiento de los S.I- A.12… 150
3.5.9 Gestión de incidente en la seguridad de información….… 170
3.5.10 Gestión de la continuidad del negocio - A.14……………. 177
3.5.11 Cumplimiento - A15………………….…………………... 180
3.6 Gestión de riesgos……………………………………………… 183
3.7 Conclusiones……………………………………………………. 186
3.8 Recomendaciones……………………………………………… 187
3.9 Bibliografía…………………………………………………… 187
3.10 Anexo1: Plan de continuidad del negocio………………… 189
3.11 Anexo2: Activos de Información
3.12 Anexo 3: Gestión de riesgo y Enunciado de aplicabilidad
5
CAPÍTULO I
DISEÑO DE LA INVESTIGACIÓN
6
1.1.1 Antecedentes de la investigación
Durante el constante proceso de evolución del uso de la tecnología como soporte a
las operaciones en las organizaciones, siempre ha existido la preocupación por evitar
incidentes que comprometan la seguridad de la información.
Diversas han sido las herramientas de orden técnico que se han desarrollado, creado
o mejorado a fin de contrarrestar los riesgos asociados al uso de la tecnología, sin
embargo, ha sido evidente que ningún mecanismo técnico de seguridad, logra ser
completamente efectivo, e incluso deja de cumplir su propósito si no se controla al el
elemento más sensible, el recurso humano.
Es por eso que la seguridad de la información consiste en combinar de manera
coherente las herramientas técnicas de seguridad y a la vez gestionar el
comportamiento del factor humano tratando de reducir en la mayor medida posible
las vulnerabilidades o posibles atentados contra la seguridad de la información y
sistemas.
1.2 Problema de investigación
Luego de analizar la infraestructura tecnológica de la Sede Guayaquil de la
Universidad Politécnica Salesiana, es notable el crecimiento experimentado con el
paso de los años, este hecho ha provocado que los controles a nivel de seguridad de
la información que se encuentran vigentes, no sean los adecuados para garantizar la
disponibilidad, integridad, y confidencialidad de la información, razón por la cual es
necesario sean revisados y mejorados.
En caso de no remediarse la situación anteriormente expuesta, se eleva
exponencialmente el riesgo de ocurrencia de incidentes de seguridad, pérdida de
información o disponibilidad de los servicios y sistemas que sustentan la operación
de la sede, esto redundaría en pérdidas económicas y podría generar desconfianza
tanto sobre la imagen que la institución mantiene en el medio académico, así como
sobre los futuros profesionales que egresen de la Universidad.
7
Al encontrar un mecanismo que logre regular, gestionar y mitigar al máximo los
riesgos actuales por el uso de la información le será posible a la institución controlar
las amenazas actuales en los sistemas informáticos
1.2.1 Formulación del problema de investigación
¿Cómo se podrían mitigar los riegos asociados al uso de la información de los
sistemas y servicios informáticos brindados dentro de la sede Guayaquil de la
Universidad Politécnica Salesiana?
1.2.2 Sistematización del problema de investigación
¿De qué manera tendría que organizarse al personal encargado de la administración
del los recursos informáticos a fin de asegurar que la información se mantenga y
manipule de forma segura?
¿Cómo puede asegurarse el uso aceptable de los recursos y sistemas de información
por parte de los funcionarios de la sede a fin de mitigar los riesgos?
¿De qué manera debería controlarse al recurso humano a fin de que éste no se
convierta en un elemento que pueda vulnerar la seguridad de la información o de los
recursos entregados al personal?
¿Cómo pueden salvaguardarse los recursos informáticos de catástrofes naturales,
robos, pérdidas, daños intencionales o no intencionales que puedan afectar la
disponibilidad de los recursos?
¿Cómo gestionar de manera segura las comunicaciones y operaciones informáticas?
¿Cómo evitar el acceso no autorizado a la información de los sistemas y servicios
utilizados por la Universidad?
¿Cómo mantener seguro el proceso de desarrollo de software y soluciones
tecnológicas?
8
¿Cómo debería procederse en caso de ocurrir un incidente de seguridad en un
sistema o servicio informático?
¿Cómo asegurar que se dé fiel cumplimiento a la política de seguridad de la
información?
1.3 Objetivos de la investigación
1.3.1 Objetivos generales
Establecer cuáles serían los mecanismos adecuados para mitigar los riesgos
asociados al uso de la información, de los sistemas y servicios informáticos
utilizados por el personal de la sede Guayaquil de la Universidad Politécnica
Salesiana.
1.3.2 Objetivos específicos
Establecer la manera adecuada de organizar al personal encargado de la
administración del los recursos informáticos, a fin de asegurar que la información se
mantenga y manipule de forma segura.
Descubrir y plantear los controles necesarios para asegurar el uso aceptable de los
recursos y sistemas de información por parte de los funcionarios de la sede.
Tabular de forma detallada, qué tipo de controles deberían aplicarse sobre el recurso
humano a fin de que éste no se convierta en un elemento vulnerable, que ponga en
riesgo la seguridad de la información o de los recursos tecnológicos.
Determinar la manera más eficiente de salvaguardar los recursos informáticos de
catástrofes naturales, robos, pérdidas, y daños intencionales o no intencionales que
puedan afectar la disponibilidad del recurso.
Especificar mecanismos que permitan mantener seguras las comunicaciones y
operaciones informáticas.
9
Establecer controles que permitan evitar el acceso no autorizado a la información de
los sistemas y servicios utilizados por la Universidad.
Proveer lineamientos de seguridad que mantengan a buen recaudo el proceso de
desarrollo de software y soluciones tecnológicas.
Determinar la manera adecuada de proceder en caso de ocurrir un incidente de
seguridad en un sistema o servicio informático.
Hallar los mecanismos adecuados a fin de garantizar la continuidad de las
operaciones de la sede Guayaquil de la Universidad Politécnica Salesiana.
Asegurar que se dé fiel cumplimiento a la política de seguridad de la información a
través de procedimientos y políticas.
1.4 Justificación de la investigación
Mediante la implementación de un SGSI – Sistema de Gestión de Seguridad de la
Información- la Universidad conseguiría minimizar considerablemente el riesgo de
que su productividad se vea afectada debido a la ocurrencia de un evento que
comprometa la confidencialidad, disponibilidad e integridad de la información o de
alguno de los sistemas informáticos.
Información financiera, nómina, cuentas por cobrar, y académica debería estar
siempre disponible, a fin de no afectar el normal flujo de operaciones de la
institución.
Los sistemas informáticos deben cumplir su objetivo, a saber, estar siempre
disponibles para servir de apoyo a las labores principalmente académicas que la
institución lleva a cabo.
La no disponibilidad de alguno de estos sistemas, tal como el sistema general de
facturación, académico y demás, dilataría los tiempos de atención a los estudiantes o
funcionarios, lo cual incidiría negativamente en la imagen de la institución y en el
10
nivel de satisfacción de los docentes como clientes internos, así como en los
estudiantes en su calidad de clientes externos.
El funcionario o área encargada de la seguridad informática, mediante la
implantación de un SGSI logrará controlar y evitar eventos como los citados
anteriormente, que evidentemente comprometerían el rendimiento financiero y
organizacional de la Universidad.
1.5 Marco de referencia
1.5.1 Marco teórico
Al encontrarnos actualmente en una era en que las operaciones son altamente
dependientes de la tecnología, la información es el bien más preciado que las
organizaciones poseen, tanto así que una pérdida considerable o total de la misma, le
produciría consecuencias catastróficas a una organización.
La evolución de las comunicaciones, y la dependencia casi absoluta a Internet, pone
en un riesgo mayor a este preciado bien. A diario alrededor del mundo, millones de
computadores personales o equipos servidores son asechados y atacados por piratas
informáticos quedando expuesta información confidencial, tales como datos
personales, números de tarjetas de crédito, información sobre precios, productos,
planes estratégicos, y demás datos críticos que a través de Internet son transmitidos a
menudo de forma insegura.
Los piratas informáticos dirigen a diario millones de intentos de ataques en busca de
vulnerabilidades técnicas o “descuidos humanos” los cuales forman la brecha de
seguridad más comúnmente presentada en los sistemas expuestos a Internet.
Estos ataques en ocasiones son realizados con fines fraudulentos, otros con el
objetivo específico de sabotear las operaciones de una empresa o institución,
buscando generar desconfianza sobre la organización, o simplemente el deseo de
probar o evaluar qué tan robusta pudiera ser la seguridad de algún sistema expuesto,
deseo alimentado generalmente por mera curiosidad.
11
Indistintamente del motivo, los riesgos y el impacto que se produce debido a estos
ataques son considerables y se traducen a la larga en costos y pérdidas para la
institución, empresa u organización.
CSI Computer Crime & Security Survey, organización que recopila información de
la comunidad informática en los Estados Unidos de América, sobre como han sido
afectados sus respectivos entornos tecnológicos y de red por crímenes informáticos,
presentó varios datos estadísticos en su informe anual los cuales se mencionan a
continuación:
El la figura 1.1, se detalla el ámbito de actividad en el que se desempeñaban las
organizaciones consultadas.
Actividad desempeñada por las organizaciones encuestadas
Figura 1.1
Fuente: CSI Computer Crime & Security Survey - 2008 CSI Computer Crime and
Security Survey - : Robert Richardson, CSI Director}
12
Entre los datos más relevantes incluidos en éste reporte anual tenemos los datos:
En los casos en que existieron fraudes de índole financiero las perdidas
llegaron a ascender a los USD. $500.000.
Casi el 50% de las organizaciones consultadas reconocieron haber tenido
incidentes relacionados con código malicioso o virus.
Cerca del 10% de las organizaciones sufrieron incidentes relacionados con el
servicio de resolución de nombres o DNS (Domain Name Service).
El 27% de las organizaciones mencionadas en el punto anterior reconocieron
que estos ataques habían sido específicamente apuntados a su organización y
no un ataque al azar.1
Ocurrencia de incidentes de seguridad en el año 2008
Figura 1.2
Fuente: CSI Computer Crime & Security Survey - 2008 CSI Computer Crime and
Security Survey - : Robert Richardson, CSI Director
____________________
1RICHARDSON, Robert, CSI Computer Crime & Security Survey - 2008 CSI Computer Crime and
Security Survey, USA, p. 2
13
Organizaciones que reportaron pérdidas debido a intrusiones en el año 2008
Figura 1.3
Fuente: CSI Computer Crime & Security Survey - 2008 CSI Computer Crime and
Security Survey - : Robert Richardson, CSI Director
Principales tipos de incidencias ocurridas por año
Figura 1.4
Fuente: CSI Computer Crime & Security Survey - 2008 CSI Computer Crime and
Security Survey - : Robert Richardson, CSI Directo
Estos eventos ocurrieron inclusive organizaciones que contaban con herramientas de
seguridad, lo cual comprueba que no basta con estar a la vanguardia de las
soluciones de seguridad informática disponibles en el mercado.
14
Herramientas de seguridad utilizadas
Figura 1.5
Fuente: CSI Computer Crime & Security Survey - 2008 CSI Computer Crime and
Security Survey - : Robert Richardson, CSI Director
Como puede concluirse por los datos estadísticas anteriormente expuestos el afán de
preservar la integridad, confidencialidad y disponibilidad de la información, no
puede basarse únicamente en mecanismos técnicos, que en algún momento pueden
también ser vulnerables, nombrando entre ellos firewalls, sistemas de prevención de
intrusos, aplicaciones antivirus, y demás.
La gestión efectiva de la seguridad de la información va un paso más adelante, en
ella se involucra a toda la organización y sus miembros, la dirección, inclusive los
proveedores y clientes, todos guiándose por una política definida en la que se
establezca las directrices a seguir, existiendo procedimientos precisos para las
diferentes acciones técnicas o no técnicas en las que la información se vea
involucrada.
Mediante un SGSI - Sistema de Gestión de Seguridad de la Información- la
institución como tal conoce los riesgos a los que su información se ve expuesta,
consiguiendo mantenerlos en un nivel mínimo y sobre todo controlarlos mediante
una lógica definida y documentada.
15
1.5.2 Marco conceptual
La Norma ISO/IEC 27001, la cual brinda directrices para la implementación de un
Sistema de Gestión de Seguridad de la Información incluye una sección denominada
“Términos y definiciones” las cuales se detallan a continuación:
Activo
Cualquier cosa que tenga valor para la organización.
Disponibilidad
La propiedad de estar disponible y utilizable cuando lo requiera una entidad
autorizada.
Confidencialidad
La propiedad que esa información esté disponible y no sea divulgada a
personas, entidades o procesos no-autorizados 2
Seguridad de información
Preservación de la confidencialidad, integridad y disponibilidad de la
información; además, también pueden estar involucradas otras propiedades
como la autenticidad, responsabilidad, no-repudio y confiabilidad.
Evento de seguridad de la información
Una ocurrencia identificada del estado de un sistema, servicio o red indicando
una posible violación de la política de seguridad de la información o falla en
las salvaguardas, o una situación previamente desconocida que puede ser
relevante para la seguridad.
____________________
2El sistema gerencial incluye la estructura organizacional, políticas, actividades de
planeación, responsabilidades, prácticas, procedimientos, procesos y recursos integridad la
propiedad de salvaguardar la exactitud e integridad de los activos. (ISO/IEC 13335-1:2004)
16
Sistema de gestión de seguridad de la información SGSI
Esa parte del sistema gerencial general, basado en un enfoque de riesgo
comercial; para establecer, implementar, operar, monitorear, revisar,
mantener y mejorar la seguridad de la información.
Riesgo residual
El riesgo remanente después del tratamiento del riesgo.
Aceptación de riesgo
Decisión de aceptar el riesgo.
Análisis de riesgo
Uso sistemático de la información para identificar fuentes y para estimar el
riesgo.
Valuación del riesgo
Proceso general de análisis del riesgo y evaluación del riesgo.
Evaluación del riesgo
Proceso de comparar el riesgo estimado con el criterio de riesgo dado para
determinar la importancia del riesgo.
Gestión del riesgo
Actividades coordinadas para dirigir y controlar una organización con
relación al riesgo.
Tratamiento del riesgo
Proceso de tratamiento de la selección e implementación de medidas para
modificar el riesgo.
17
Enunciado de aplicabilidad
Enunciado documentado que describe los objetivos de control y los controles
que son relevantes y aplicables al SGSI de la organización. 3
1.6 Formulación de hipótesis y variables
1.6.1 Hipótesis General
A través de un SGSI es posible establecer los mecanismos adecuados que mediante
su aplicación permiten mitigar al máximo los riesgos asociados al uso de la
tecnología, información y sistemas informáticos, salvaguardando los recursos de la
sede.
1.6.2 Hipótesis Particulares
Se puede mantener un control adecuado sobre las actividades relacionadas con la
seguridad que el personal encargado realiza a través de aplicar los controles
mencionados en el apartado Organización de la seguridad de la información de la
norma.
Al aplicar los controles que forman parte del apartado Gestión de Activos se puede
asegurar que se de un uso aceptable de los recursos y sistemas de información por
parte de los funcionarios de la sede a fin de mitigar los riesgos.
A través de la aplicación del apartado Seguridad de los recursos humanos, es posible
controlar al recurso humano a fin de que este no se convierta en un factor que pueda
vulnerar la seguridad de la información o de los recursos entregados a los mismos.
La política de Seguridad física y ambiental incluida en la norma permite mediante su
aplicación salvaguardar eficientemente los recursos informáticos de catástrofes
naturales robos, perdidas, y daños intencionales o no intencionales que puedan
afectar la disponibilidad del recurso
____________________
3 En este Estándar Internacional el término ‘control’ se utiliza como sinónimo de ‘medida’.
18
El apartado Gestión de las comunicaciones y permitirán mantener seguras las
comunicaciones y operaciones informáticas.
Como parte de la norma se incluye una sección de Control de Accesos que mediante
su aplicación en las operaciones informáticas de la sede, evitará el acceso no
autorizado a la información de los sistemas y servicios utilizados por los
funcionarios, docentes, y estudiantes de la sede.
La sección Adquisición, desarrollo y mantenimiento de los sistemas de información
establece lineamientos de seguridad que permitan mantener seguro el proceso de
adquisición y desarrollo de soluciones tecnológicas.
Mediante la política de Gestión de un incidente en la seguridad de la información se
proveen directrices sobre cómo proceder en caso de ocurrir un incidente de seguridad
en un sistema o servicio informático.
Como parte del SGSI se incluye la Gestión de la continuidad del negocio que
mediante su aplicación ayudarán a mantener activos y disponibles los sistemas, datos
y servicios que sustentan las operaciones fundamentales de la institución.
El apartado de Cumplimiento provee una guía que permite asegurar que se dé fiel
cumplimiento a la política de seguridad de la información a través de procedimientos
y políticas.
1.7 Aspectos metodológicos de la investigación
1.7.1 Tipos de estudio
En el desarrollo de un proyecto pueden utilizarse diferentes tipos de estudios o
investigación, entre estos tenemos:
19
Tipo de investigación descriptiva
Este proyecto utilizó investigación descriptiva pues detalla en forma breve y
especifica los componentes de la investigación permitiendo comprobar en forma
sistemática y progresiva las necesidades de la entidad objeto de estudio.
Tipo de investigación no experimental
La presente investigación es no experimental pues las circunstancias implicadas o
características del objeto de estudio no son modificables, el investigador no posee
control sobre estas, ni tiene la capacidad de influir sobre ellas pues ya han ocurrido.
El investigador tampoco posee control sobre los efectos causados por las
circunstancias vigentes en la institución.
Tipo de investigación explicativa
Es explicativa pues a través del proceso de investigación, intenta establecer las
causas de los eventos objeto de este estudio, mediante el análisis de la situación
actual queda claramente explicita la necesidad de normalizar los controles en lo
referente a la seguridad de la información.
Tipo de investigación de campo
Esta investigación es de campo pues se apoya en información obtenida mediante
entrevistas, reuniones, observación y asesoramiento técnico.
1.7.2 Métodos de investigación
Durante el desarrollo de este proyecto se utilizaran los métodos de investigación
inductiva y deductiva.
Además se aplicarán las siguientes técnicas de investigación:
20
Observación directa
Cuestionarios
Podemos decir que se utilizará el método inductivo deductivo, pues ayuda a la
identificación o determinación de que controles o aspectos de la política son
aplicables a la institución, así como descartar aquellos que no sean necesarios.
Adicionalmente se utilizaran los siguientes procedimientos:
Analítico
Distinción y separación de las partes. Obtención de un cuerpo compuesto a partir de
la combinación de cuerpos simples o de cuerpos compuestos más sencillos que el
que se trata de obtener. Este procedimiento se utilizará para descomponer y disponer
de forma estructurada los diferentes aspectos a aplicar como parte de la política de
seguridad de la información de la sede.
Para obtener información relevante que permita la realización de este proyecto se
recurrirá a la técnica de investigación descriptiva, la misma que mediante la
observación y entrevistas se ocupa en descubrir y comprobar la relación entre las
variables de la investigación, permitiendo así descubrir y establecer las necesidades
reales y la relevancia de cada aspecto del proyecto.
Análisis (analítico)
Deducción (método deductivo)
Análisis datos históricos
Enfoque del sistema (experimental)
Estudio de estándar (descriptivo)
1.7.3 Fuentes y técnicas de recolección de la información
Para el desarrollo de esta tesis los autores han utilizado los siguientes mecanismos de
recolección de información:
21
Observación
Entrevistas
Datos estadísticos
Discusión con personal capacitado
Evaluación en base a experiencia
1.7.4 Tratamiento de la información
Durante el desarrollo de este proyecto se recopiló información relacionada con el uso
de tecnologías de información dentro de la sede Guayaquil de la UPS, se realizó un
estudio de la información recibida, topología de red, herramientas y aplicativos
utilizados, para luego establecer las políticas y procedimientos aplicables a la
institución.
Para este fin se utilizaron las siguientes técnicas de tratamiento de información:
Experimentación
“La experimentación, método común de las ciencias y las tecnologías,
consiste en el estudio de un fenómeno, reproducido generalmente en
condiciones particulares de estudio que interesan, eliminando o introduciendo
aquellas variables que puedan influir en él. Se entiende por variable todo
aquello que pueda causar cambios en los resultados de un experimento y se
distingue entre variable independiente, dependiente y controlada.”4
Registro
Es común que durante el proceso de recolección de información, parte de ella
no sea recordada o se pierda debido a no contar con un registro adecuado de
cada dato importante, al realizarse mayormente vía Internet las entrevistas
realizadas al coordinador de sistemas, se registro en un archivo electrónico las
respuestas o toda información que pudiera ser relevante en el proceso de
análisis.
____________________
4Wikipedia, Internet http://es.wikipedia.org/wiki/Experimentación
22
Análisis y categorización
La información recolectada permitió realizar una análisis detallado a fin de
establecer que controles de la norma serian aplicables a la infraestructura de
la sede Guayaquil de la UPS, en este sentido fue necesario categorizar la
información en función del apartado de la norma analizado.
1.8 Resultados e impactos esperados
Con la implantación de un SGSI se logrará minimizar considerablemente los riesgos
asociados al uso de la información y se mantendrán normalizados los procesos ya
existentes ajustándose a las necesidades de de la sede Guayaquil de la UPS. Es
importante tomar en cuenta que se requerirá realizar cambios en los procedimientos
administrativos de la Universidad, y existirá un impacto principalmente en el
recurso humano durante el proceso de concienciación y adopción de cultura de
seguridad informática.
23
CAPÍTULO II
ANÁLISIS , PRESENTACIÓN DE
RESULTADOS Y DIAGNÓSTICOS
24
2.1 Análisis de la situación actual
Luego de realizar el análisis en base a la información recopilada de la coordinación
de sistemas, es posible establecer que la infraestructura tecnológica tiende a volverse
más compleja debido al crecimiento organizacional de la Universidad, en función de
eso los controles ya establecidos llegan a ser poco eficientes y deben ser mejorados,
y alineados a una normativa que haya sido previamente comprobada como exitosa tal
como lo es la norma ISO serie 27000.
De forma general puede concluirse que se mantienen actualmente ciertos controles
que permiten mantener la información relativamente segura, sin embargo estos
controles dejan de ser efectivos a medida que la infraestructura, y el volumen de la
información van en aumento, razón por la cual es prudente robustecer los controles y
alinearlos a la normativa ISO 2700 que permitirá potenciar las políticas o controles
existentes.
A través de la aplicación de esta norma se podrán corregir o mejorar los controles
existentes que dan origen a los siguientes problemas encontrados durante el
desarrollo de este proyecto:
Falta robustecer los lineamientos de seguridad física que permitan mitigar
riesgos de causen daños intencionados o no intencionados por parte de usuarios
o terceros.
No existen políticas documentadas y difundidas con respecto al manejo o uso
aceptable de los activos de información, sean de hardware, software o
información.
No se están aplicando por completo los controles necesarios a fin de minimizar
la propagación de código malicioso en los equipos de computo, que pudieran
incluso llegar a afectar servidores o repositorios de información.
Existe una elevada tasa de pérdida de equipos o partes dentro de los
laboratorios de cómputo, al ser sensibles a hurto.
25
No existe un plan de contingencia documentado y difundido que permita
garantizar la continuidad de las operaciones fundamentales de la institución.
Los recursos humanos, siendo generalmente el punto más vulnerable en la
seguridad de la información, no se encuentra regulado mediante políticas
formales de comportamiento y uso de activos de información.
Existe información que no se encuentra viajando a través de los medios de
forma segura, no existen al momento mecanismos de encriptación, si a través
de estos medios se transmitiera información crítica se corre un alto riesgo de
comprometer datos académicos calificaciones, registros, y demás información
sensible manejada por los funcionarios de la sede.
Los controles relacionados a los servicios internos brindados por la
Universidad tales como mensajería electrónica, no son lo suficientemente
robustos, lo cual puede originar perdida de información , consumos excesivos
de recursos debido a ser objeto de spamming ,perdida de servicio debido a ser
calificados como spammers en listas negras disponibles en Internet y demás.
2.2 Análisis comparativo, evolutivo, tendencias y perspectivas
La gestión de riesgo asociada a cada uno de los servicios y sistemas brindados por la
Institución se ha establecido de acuerdo al tipo de negocio, servicios brindados, el
equipamiento suministrado, servicios subcontratados para mantener la comunicación
y las instalaciones físicas que posee la institución
De acuerdo a la situación actual y a los factores de riesgos encontrados se pueden
realizar los siguientes cuestionamientos y cuadros comparativos mediante los cuales
se podrá evaluar cada uno de los puntos citados en una escala del 1 al 5
2.2.1 Pregunta 1
¿Cuál es el índice de riesgo que actualmente maneja la universidad de acuerdo al tipo
de negocio que esta maneja y la información que es transmitida por los medios?
26
Activo de Información Importancia Ocurrencia Estimada Riesgo Actual
Información Académica 5 4 4,5
Información Financiera 5 4 4,5
Información de Inventario 5 4 4,5
Información de RRHH 5 4 4,5
Tabla 2.1
Fuente: Los Autores
Figura 2.1
Fuente: Los Autores
2.2.2 Pregunta 2
¿Cuál es la situación actual y riesgo estimado con relación a los servicios brindados
por la institución?
Activo de información Importancia Ocurrencia Estimada Riesgo Actual
Correo Electrónico 4 5 4,5
Información Almacenada 5 5 5
Acceso a Internet 5 4 4,5
Servicios de Directorio Active 5 4 4,5
Tabla 2.2
Fuente: Los Autores
0
1
2
3
4
5
Información Académica
Información Financiera
Información de Inventario
Información de recursos humanos
Índice de Riego de Acuerdo al tipo de Información
Importancia Ocurrencia Estimada Riesgo Actual
27
Figura 2.2
Fuente: Los Autores
2.2.3 Pregunta 3
¿Cuál sería la valoración y riesgo asociado a los activos de información y equipos
según su uso?
Activo de información Importancia Ocurrencia Estimada Riesgo Actual
Estaciones de Trabajo Criticas 5 4 4,5
Estaciones de Trabajo 3 4 3,5
Equipos en los Laboratorios 5 5 5
Servidores 5 4 4,5
Tabla 2.3
Fuente: Los Autores
Figura 2.3
Fuente: Los Autores
0
1
2
3
4
5
Estaciones de Trabajo
Criticas
Estaciones de Trabajo
Equipos en los
Laboratorios
Servidores
Aplicaciones De Acuerdo al tipo de información procesada en las Estaciones de Trabajo
Importancia Ocurrencia Estimada Riesgo Actual
0
1
2
3
4
5
Correo Electrónico
Información Almacenada
Acceso a Internet
Servicio de Directorio
Active
De acuerdo a los Servicios Brindados por la Institución
Importancia Ocurrencia Estimada Riesgo Actual
28
2.2.4 Pregunta 4
¿Cuál sería la valoración del riesgo asociado al uso de aplicaciones o servicios a
través de la infraestructura de networking de la sede?
Importancia Ocurrencia Estimada Riesgo Actual
Red Local 5 4 4,5
Firewall 5 3,5 4,25
Servicios de la Red 4 3,5 3,75
Telefonía VoIp 5 3,5 4,25
Tabla 2.4
Fuente: Los Autores
Figura 2.4
Fuente: Los Autores
2.2.5 Pregunta 5
¿Qué tan expuestos están los canales de comunicación manejados por la sede y que
tan críticos son estos?
Activo de información Importancia Ocurrencia Estimada Riesgo Actual
Enlace de Datos
Guayaquil - Cuenca
5 3,3 4,15
Enlace Video Conf.
Guayaquil – Cuenca
5 3 4
Tabla 2.5
Fuente: Los Autores
0
1
2
3
4
5
Red Local Firewall Servicion de
la Red
Telefonia
VoIp
Riesgo de acuerdo Servicio brindado
Importancia
Ocurrencia Estimada
Riesgo Actual
29
Figura 2.5
Fuente: Los Autores
2.2.6 Pregunta 6
Al carecer con una política de seguridad y planes de contingencia. ¿Cuáles podrían
ser considerados con los puntos más vulnerables dentro de la institución?
Activo de información Importancia Ocurrencia Estimada Riesgo Actual
Oficinas 5 3 4
Laboratorios 5 3,22 4,11
Sala de servidores 5 3 4
Tabla 2.6
Fuente: Los Autores
Figura 2.6
Fuente: Los Autores
0
1
2
3
4
5
oficinas laboratorios sala de servidores
Vulnerabilidad de acuerdo al nivel de riesgo dentro de cada uno de los servidores
Importancia Ocurrencia Estimada Riesgo Actual
0
1
2
3
4
5
Enlace de Datos Gye - Cue Enlace Video Conf Gye - Cue
Riegos asociados a los servicios subcontratados
Importancia
Ocurrencia Estimada Riesgo Actual
30
2.3 Verificación de hipótesis
Según lo analizado, la institución estaría en un nivel alto de exposición en tema de
seguridad, tomando en cuenta la importancia de la calidad de los servicios brindados,
como el riego actual identificado al poder implementar métodos y políticas de
control, estos mantendrán una tendencia a decrecer al menos en usa tasa del 50%.
Figura 2.7
Fuente: Los Autores
En la aplicación de nuevos métodos de control que mantengan segura la información
que es transmitida por los diferentes medios así como mantener una política de
encriptación permitirá mejorar el nivel de seguridad de la información que a través
de los medios es transmitida.
Figura 2.8
Fuente: Los Autores
0
1
2
3
4
5
Correo Electrónico
Información Almacenada
Acceso a Internet
Servicio de Directorio
Active
De acuerdo a los Servicios Brindados por la Institución después de la Aplicación del Control
Importancia Ocurrencia Estimada Riesgo Actual Riesgo luego del Control
0
1
2
3
4
5
Información Académica
Información Financier
Información de Inventario
Información de recursos humanos
Índice de Riego después de Aplicar el Control de Seguridad
Importancia Ocurrencia Estimada Riesgo Actual Riesgo luego del Control
31
Entre los servicios brindados por la universidad se encuentra el de mensajería
electrónica, el cual es blanco de spammers, o correo basura, por otro lado el acceso
a Internet puede representar una vulnerabilidad que permita accesos no autorizados o
propagación de código malicioso si no existen los controles adecuados.
Figura 2.9
Fuente: Los Autores
Existen varias estaciones de trabajo que son consideradas críticas debido a la
información almacenada en las mismas y las funciones que estas desempeñan. Es
necesario aplicar controles sobre estos activos que permitan mitigar el riesgo de daño
por código malicioso, uso indebido o por variaciones de corriente. Con la aplicación
de una política de contingencia se podrá evitar la pérdida de la disponibilidad del
servicio que estos equipos prestan, y se evitará considerablemente incidencias como
las antes mencionadas.
Figura 2.10
Fuente: Los Autores
0
1
2
3
4
5
Red Local Firewall Servicio de la Red
Telefonía VoIp
Riesgo de acuerdo Servicio brindado después del Control
importancia ocurrencia estimada Riesgo Actual Riesgo luego de Control
0
1
2
3
4
5
Estaciones de Trabajo Críticas
Estaciones de Trabajo
Equipos en los Laboratorios
Servidores
Aplicaciones De Acuerdo al tipo de información procesada en las Estaciones de Trabajo después de la Aplicaciones del Control
Importancia Ocurrencia Estimada Riesgo Actual Riesgo luego del Control
32
Podrían potenciarse los controles existentes que permitan transmitir de manera mas
segura la información a través de los diferentes canales de comunicación disponibles.
Figura 2.11
Fuente: Los Autores
Unos de los principales objetivos es mantener los servicios, servidores y redes
interconectados entre las sedes, mediante la aplicación de los controles sugeridos en
la norma, se podría monitorear y garantizar la calidad del servicio brindado por el
(los) proveedor (es).
Figura 2.12
Fuente: Los Autores
0
1
2
3
4
5
Oficinas Laboratorios Sala de servidores
Vulnerabilidad de acuerdo al nivel de riesgo dentro de cada uno de
los servidores después de la política
Importancia
Ocurrencia estimada Riesgo Actual
Riesgo luego de Control
0
1
2
3
4
5
Enlace de Datos Gye - Cue
Enlace Video Conf Gye - Cue
Riegos al Mantener Servicios SubContratados con otros
Proveedores después de la aplicación del control
Importancia
Ocurrencia Estimada
Riesgo Actual
Riesgo luego de Control
33
A fin de cuantificar el cumplimiento actual y esperado con las mejores prácticas en
seguridad informática, se ha realizado el análisis GAP incluido a continuación.
Un análisis GAP examina las diferencias entre la gestión actual y la información
presupuestada. Los resultados obtenidos representan el grado en el que una
organización ha cumplido sus objetivos.
Aspecto Porcentaje
Protección
Actual
Gestión de Activos 5%
Seguridad física y ambiental 11,80%
Gestión de las comunicaciones y operaciones 12,80%
Control de Accesos 10%
Adquisición, desarrollo y mantenimiento de los sistemas
de información
15%
Gestión de la continuidad del negocio 10%
Tabla 2.7
Fuente: Los Autores
Figura 2.13
Fuente: Los Autores
0%
20%
40%
60%
80%
100%Gestión de Activos
Seguridad física yambiental
Gestión de lascomunicaciones y
operaciones
Control de Accesos
Adquisición,desarrollo y
mantenimiento de lossistemas deinformación
Gestión de lacontinuidad del
negocio
Cumplimiento con mejores prácticas en seguridad informática
Universidad Politécnica Salesiana Sede Guayaquil
Cumplimiento…Cumplimiento ideal
34
Aspecto Porcentaje
Protección Inicial
esperado
Gestión de Activos 50%
Seguridad física y ambiental 64,20%
Gestión de las comunicaciones y operaciones 62,80%
Control de Accesos 60%
Adquisición, desarrollo y mantenimiento de los
sistemas de información
60%
Gestión de la continuidad del negocio 60%
Tabla 2.8
Fuente: Los Autores
Figura 2.14
Fuente: Los Autores
Como puede apreciarse en la figura 2.14 el cumplimiento con las mejores prácticas
es limitado, debido a mantener controles de forma empírica, mas no existe un
0%10%20%30%40%50%60%70%80%90%
100%Gestión de Activos
Seguridad física yambiental
Gestión de lascomunicaciones y
operaciones
Control de Accesos
Adquisición,desarrollo y
mantenimiento de lossistemas de…
Gestión de lacontinuidad del
negocio
Cumplimiento mejores prácticas seguridad informática
Cumplimiento actual
Cumplimiento ideal
35
cumplimiento formal de los controles aceptados como mejores prácticas en seguridad
informática. Este hecho incrementa notablemente los riesgos de que la información o
sistemas se vean comprometidos en caso de una incidencia.
El establecimiento de un SGSI, lograría elevar los niveles de cumplimiento y a la vez
minimizar el riesgo asociado al uso de la información.
36
CAPÍTULO III
PROPUESTA DE CREACIÓN
DISEÑO - PLANEACIÓN DE UN SGSI
SEDE GUAYAQUIL UNIVERSIDAD
POLITÉCNICA SALESIANA
37
3.1 Definición
Un Sistema de Gestión de Seguridad de la Información constituye una herramienta
de gestión para todo tipo de organizaciones en lo relacionado a la preservación de la
información que esta maneja.
Los sistemas informáticos almacenan gran cantidad de información fundamental para
las organizaciones, estos sistemas, como cualquier otro, son propensos a riesgos de
seguridad y pueden ser blanco de un sin número de amenazas internas y externas.
Los riesgos pueden categorizarse principalmente como:
Riesgos Físicos – Accesos no autorizados o controlados, catástrofes naturales,
vandalismo.
Riesgos Lógicos – Ataques informáticos, códigos maliciosos, virus, troyanos, ataque
de denegación de servicio.
El SGSI permite evaluar, reconocer, y aceptar controladamente los diferentes riesgos
a los que la información está sujeta, esto se lo consigue a través de la definición de
políticas, procedimientos y controles en relación a los objetivos de negocio
consiguiendo con esto mantener el riesgo por debajo de los parámetros establecidos
por la organización gestionando estos de manera sistemática, definida, documentada
y ampliamente difundida.5
3.2 Alcance
El proceso de implementación de un Sistema de Gestión de Seguridad de la
Información se basa en lo estipulado en la norma ISO/IEC 27001.
La norma ISO 27001 es un estándar para la seguridad de la información el cual fue
aprobado y publicado como estándar internacional en Octubre de 2005 por la ISO –
____________________
5Fuente: INTERNET - https://sgsi.inteco.es/index.php/es/conceptos-de-un-sgsi
International Organization for Standardization y por la IEC – International
Electrotechnical Commission. 6
38
La norma ISO 27001 especifica los requisitos necesarios para establecer, implantar,
mantener y mejorar un Sistema de Gestión de la Seguridad de la Información
(SGSI) según el conocido “Ciclo PDCA - acrónimo de Plan, Do, Check, Act
(Planificar, Hacer, Verificar, Actuar).
Planificar (Plan)
¿Qué hacer y cómo para satisfacer política y objetivos para la seguridad de
la información?
Implementar (DO)
Poner en práctica lo planificado.
Verificar (Check)
Verificar si se ha hecho lo planificado y si lo que se ha hecho resulta
eficaz.
Mejora Continua (Act)
¿Cómo y qué mejorar?
Figura 3.1
Fuente: INTERNET - www.nexusasesores.com
____________________
6 Fuente: INTERNET – Wikipedia http://es.wikipedia.org/wiki/ISO/IEC_27001
39
Este proyecto se encuentra definido como un DISEÑO orientado a cubrir los
requerimientos de la primera fase de implementación de un SGSI, y el objeto de
estudio será el Departamento de Sistemas de la Sede Guayaquil de la Universidad
Politécnica Salesiana.
Según el estándar establecido, a saber, ISO/IEC 27001, en la fase de Planificación se
incluirá lo detallado a continuación:
Análisis detallado que permita establecer los límites del sistema en función
de la estructura organizacional y recursos tecnológicos disponibles,
incluyendo la debida justificación.
Elaboración y documentación de una política de seguridad en términos de las
características del negocio, organización, activos y tecnología.
Definir el enfoque, y metodologías a utilizarse en la valoración riesgos de la
organización.
Identificación de riesgos , amenazas y vulnerabilidades a las que están
expuestos los activos definidos dentro del alcance del Sistema de Gestión de
Seguridad de la Información (SGSI).
Análisis y evaluación de riesgos, que implica el cálculo realista de la
posibilidad de que los riesgos identificados tengan una ocurrencia, valorar el
impacto comercial que estos acarrearían, y determinar si el riesgo es
aceptable en términos del negocio.
Identificación y evaluación de las opciones o acciones para los riesgos
previamente evaluados.
Seleccionar los objetivos de control o controles a utilizarse en el tratamiento
de riesgos, existen diferentes controles recomendados en la norma ISO/IEC
40
27001, deberá realizarse un análisis de la organización a fin de definir cuáles
de ellos son aplicables al negocio.
Definición de los riesgos residuales, es decir, los riegos que permanecen
incluso luego de realizar las acciones preventivas pertinentes, estos deberán
clasificarse como aceptables o inaceptables para la organización y ser puestos
a consideración de la dirección a fin de ser aprobados previo a continuar con
la fase de implantación.
Preparar un Enunciado de Aplicabilidad
Obtener la autorización de la gerencia para implementar y operar el SGSI. 7
3.3 Plan de implementación
Uno de los fundamentos del diseño del SGSI es la elaboración de la política de
seguridad informática a aplicarse en la sede Guayaquil de la Universidad
Politécnica Salesiana, los aspectos a tratarse, se detallan a continuación:
Definir los alcances del Sistema de Gestión de Seguridad de la
Información.
Definir una política de seguridad de la información en términos de la
lógica y política organizacional, la cual incluirá:
o Política de Seguridad - A.5 8
o Organización de la seguridad de la información - A.6
o Gestión de Activos - A.7
o Seguridad de los recursos humanos - A.8
o Seguridad física y ambiental - A.9
____________________
7Aplicable en caso que la organización decida continuar con las tres fases de implementación restantes
del Sistema de Gestión de Seguridad de la Información (SGSI), fases que no son parte del análisis y
estudio de esta tesis.
8 Corresponde al número identificador del control según la norma ISO/IEC 27001.
41
o Gestión de las comunicaciones y operaciones - A.10
o Control de Accesos - A.11
o Adquisición, desarrollo y mantenimiento de los sistemas de
información - A.12
o Gestión de un incidente en la seguridad de la información - A.13
o Gestión de la continuidad del negocio - A.14
o Cumplimiento - A15
Definir el enfoque de evaluación del riesgo de la organización
Analizar y evaluar el riesgo
Seleccionar los objetos de control y controles a fin de mitigar la posibilidad
de incidencia de los diferentes riesgos identificados
Enunciado de Aplicabilidad
3.4 Alcances del SGSI
Para la gestión financiera, administrativa y académica de la Universidad
Politécnica Salesiana sede Guayaquil, es necesario el uso de sistemas de
información, servicios informáticos e información almacenada en servidores y
repositorios.
El SGSI pretende regularizar y controlar todo aspecto concerniente al uso de los
mismos a fin de mantener las operaciones lo más seguras posibles sin impactar el
nivel de servicio y la continuidad de las operaciones.
El alcance del SGSI de la Universidad Politécnica Salesiana sede Guayaquil es
delimitado de la siguiente manera:
Servicios implicados
Procesos académicos tales como matriculación estudiantes, registro y
42
gestión de información de estudiantes, docentes, registros académicos,
pensum académico, calificaciones, horarios de clases y demás procesos de
esta índole.
Procesos financieros tales como registro de pagos, información financiera,
contable, información de cobros y demás procesos relacionados.
Procesos administrativos tales como nomina, talento humano, inventarios,
activos fijos y demás procesos relacionados.
Localizaciones físicas
El SGSI objeto de esta planificación está delimitado y es aplicable a la
sede Guayaquil de la Universidad Politécnica Salesiana Campus
Centenario ubicado en Chambers # 227 y Laura Vicuña – Guayaquil-
Ecuador.
Sistemas de Información
Los sistemas de información gestionados por este sistema son los
siguientes:
o Sistema Académico
o Sistema Financiero
o Sistema Administrativo
o Correo Electrónico
o Servicio Internet (Proxy, Firewall NAT)
o Sistemas de monitoreo y respaldos
o Sistemas y aplicativos residentes en equipos de computo de los
diferentes departamentos
43
3.5 Política de seguridad de la información
A.5 Política de seguridad
1.- ASPECTOS GENERALES
En la actual era de negocios electrónicos la información ha adquirido un nivel aun
más crítico como activo dentro de las organizaciones, razón por la cual es de vital
importancia que esta sea debidamente resguardada.
Es conocido la gran diversidad de amenazas tanto internas como externas a las que la
información se puede ver sometida, es por eso que la política de seguridad intenta
minimizar al máximo los riesgos que asociados con la información, siendo posible
conseguir esto únicamente si la política de seguridad de la información se eleva al
mismo nivel de la política organizacional.
El éxito de esta política radica en el compromiso por parte de las autoridades de la
institución, una amplia difusión de la misma, y el serio compromiso de cumplimiento
por parte de los usuarios.
2.- Objetivos del control
Resguardar al mayor grado posible la información como bien preciado de la
organización, además de los elementos tecnológicos o sistemas que procesan la
misma a fin de minimizar al máximo el riesgo de incidentes que afecten la
confidencialidad, integridad o disponibilidad de la información.
Establecer un estándar que guiará las diversas operaciones a realizarse con la
información, estándar que deberá mantenerse actualizado y difundido a fin de
asegurar que esta política cumpla con los objetivos antes mencionados.
3.- Alcance
La política es aplicable a todo ámbito dentro de la Universidad Politécnica Salesiana
Sede Guayaquil en el que intervenga la información, principalmente al Departamento
de Sistemas, en el que se concentra la gestión de la seguridad , así como los
44
laboratorios de computo, siendo también extensible a entidades externas en caso de
trabajar colaborativamente o en outsourcing.
4.- Responsabilidad
Todos los docentes, directores de área, jefes departamentales, personal técnico,
personal administrativo y estudiantes son responsables de observar y cumplir la
Política de Seguridad de la Información dentro del área a su responsabilidad y por
extensión hacer cumplir la misma al personal bajo su cargo si el caso lo amerita,
interviniendo como actores principales los mencionados a continuación:
Oficial de Seguridad Informática
Estará encargado de las diversas tareas relacionadas a la administración de la
seguridad de los sistemas de información de la sede, y responsable de
supervisar todos los aspectos relacionados con la presente política de
seguridad.
Adicionalmente se encargara de cubrir o delegar tareas relacionadas a
satisfacer los requerimientos de seguridad de la información a nivel operativo
detallados en esta política.
Usuarios Propietarios de la Información
Los propietarios de la información, son responsables de clasificar y
catalogar la misma según el nivel de criticidad y confidencialidad,
mantener documentada y actualizada esta información y definir
específicamente que usuarios necesitan acceder en función de sus
competencias y que nivel de acceso es requerido.
Coordinador / Jefe de Talento Humano Sede Guayaquil
Será responsable de notificar a todo personal que ingresa su
responsabilidad de cumplir con la Política de Seguridad de la Información
y de todas las normas administrativas o técnicas que se apliquen.
45
Tendrá la responsabilidad de publicar o notificar al personal bajo su
dirección sobre la presente política de seguridad de la Información y
cualquier cambio que en esa se produzca.
Usuarios de la información y de los sistemas
Son responsables de conocer, difundir, cumplir y fomentar el
cumplimiento de la presente política, Es responsable además de dar fiel
cumplimiento a la política de seguridad en toda acción, función, o tarea
relacionada directa o directamente con la información que accede o
maneja.
Auditor (es) Interno(s)
Es necesario que luego de la implementación de un SGSI, se realicen
auditorias que permitan asegurar el cumplimiento de los lineamientos de
seguridad establecidos, el auditor tendrá la obligación de realizar
revisiones periódicas sobre el SGSI, constatando el fiel cumplimiento en
todo ámbito relacionado al manejo de la información o recursos
tecnológicos.
Una vez realizada esta auditoría, será responsable de presentar un informe
detallado con las novedades presentadas.
5.- Política de Seguridad de la Información
Generalidades
La política de Seguridad de la Información se encuentra conformada por normativas
y patrones a seguir para las diferentes instancias en las que la información y
patrones que se ve relacionada.
En conformidad con el estándar ISO/IEC 27001 la política de Seguridad de la
información incluirá lo a continuación detallado:
46
Organización de la Seguridad
Clasificación y Control de Activos
Seguridad del Personal
Seguridad Física y Ambiental
Gestión de las Comunicaciones y las Operaciones
Control de Acceso
Desarrollo y Mantenimiento de los Sistemas
Administración de la Continuidad de las Actividades del Organismo
Cumplimiento
El Oficial de Seguridad de la Informática revisará periódicamente los lineamientos
de la presente política a fin de mantenerla actualizada, y además realizará toda
modificación necesaria debido a cambios en la infraestructura tecnológica, variación
en los procedimientos internos, o inclusión de nuevas tecnologías o sistemas,
asegurándose en lo posterior que esta sea difundida al personal de la sede en todos
los niveles que correspondan.
Sanciones
Se aplicarán sanciones administrativas a quien incumpla la Política de Seguridad de
la Información, estas sanciones serán definidas por la dirección, y serán establecidas
en función de la gravedad de la omisión o incumplimiento. Las sanciones deberán ser
difundidas a todo el personal junto con la Política de Seguridad de la Información.
Objetivos de la Política de Seguridad
Asegurar que la información sea accedida únicamente por personas
autorizadas ya sean funcionarios de la institución o personal externo.
Mantener la confidencialidad de la información
Garantizar que la integridad de la información sea mantenida durante todo el
ciclo de vida de la información.
47
Establecer un plan de continuidad de las operaciones y probarlo
regularmente.
Asegurar que todo el personal cuente con capacitación en materia de
seguridad de la información, además de conocer la obligatoriedad del
cumplimiento de la política de seguridad en todos los niveles
organizacionales.
Garantizar que todas las vulnerabilidades y debilidades en materia de
seguridad sean reportadas sistemáticamente.
Garantizar que los requerimientos de disponibilidad de la información sean
cumplidos.
Establecer la necesidad de crear procedimientos técnicos y administrativos
que sirvan de soporte a la política de seguridad de la información, debe
incluirse procedimientos para control de código malicioso, gestión de
contraseñas, y planes de contingencia.
El oficial de seguridad informática es encargado de mantener y mejorar
progresivamente el sistema.
Las jefaturas departamentales son responsables de asegurar el cumplimiento
de la política de seguridad por parte del personal bajo su mando.
A.6 Organización de la seguridad de la información
1.- Aspectos Generales
La Política de Seguridad de la Información debe estar directamente relacionada a los
objetivos y políticas organizacionales que gobiernan el funcionamiento de la
institución. Para esto es necesario establecer y definir un sujeto que gestione la
48
seguridad de la información y realice o establezca responsabilidad sobre tareas tales
como la aprobación de nuevas políticas, cambios en la misma, y definición de roles
dentro de este proceso.
Debe tomarse en consideración que para dar cumplimiento a ciertas operaciones,
actividades, o funciones será necesaria la interacción con entidades externas, ya sean
de otra sede ,institución, proveedores, o empresas que brindan servicio de outsorcing
, para estos casos debe tomarse en cuenta que la información puede verse en riesgo si
el acceso a la misma no se produce de manera adecuada y controlada , razón por la
cual es necesario establecer normativas y parámetros a seguir a fin de protegerla.
2.- Objetivos del Control
Implementar en la Universidad Politécnica Salesiana sede Guayaquil, la gestión
unificada de la seguridad de la información, especificando las instancias que
permitan implantar controles apropiados para garantizar su cumplimiento.
Establecer con claridad las funciones y responsabilidades dentro de la gestión de la
seguridad de la información.
Definir medidas de seguridad que permitan regular los accesos a activos de
información por parte de personal de organismos externos a la sede logrando
minimizar al máximo los riesgos en la misma.
Promover el uso de asesoramientos externos en materia de seguridad de la
información a fin de complementar la política detallada en este documento.
3.- Alcance del Control
El control será aplicable a todos los recursos o personal que directa o indirectamente
interactúan con los activos de información, y se hace extensible a los recursos
externos que requieran acceso a información interna servicios o sistemas
informáticos.
49
4.- Responsabilidad sobre el Control
El funcionario encargado de la seguridad informática dentro de la sede Guayaquil de
será responsable de promover la implantación de la política de seguridad, además
será el responsable de las actualizaciones en la política que en conformidad a
cambios sean necesarias, realizará o delegará a personal bajo su mando la realización
de monitoreos, pruebas de intrusiones , análisis de riesgos , implementación de
controles y realización de procedimientos de orden técnico en lo relacionado a la
seguridad de la información.
Deberá además evaluar la necesidad de solicitar asesoramiento externo en caso de
existir la necesidad.
El personal a cargo de realizar la contratación de servicios o adquisición de bienes
relacionados a tecnologías de la información deberá incluir en los contratos la
exigencia de cumplimiento de las normativas expuestas en la política de seguridad
implementada, además de incluir una cláusula de compromiso estricto de
confidencialidad.
5.- Política de Organización de la Seguridad de la Información
A.6.1.2 Coordinación de la seguridad de información
En concordancia con la estructura organizacional y del departamento de sistemas, las
tareas de administrar la seguridad de Información estará a cargo del Oficial de
Seguridad Informática , quien impulsará el cumplimiento de la presente política, se
encargará además de solicitar apoyo de los jefes departamentales a fin de obtener
información relevante sobre sus respectivas áreas en caso de requerirla.
La Coordinación de la seguridad de la Información tendrá la responsabilidad de:
Revisar y exponer ante la (las) autoridades de la Sede la política de seguridad
de la información y fomentar su aprobación.
Descubrir y documentar nuevos riesgos a los que la información se pueda ver
sometida e incluir mecanismos para mitigarlos dentro de esta política.
50
Realizar los cambios necesarios a la Política de Seguridad, fomentar su
aprobación, y delegar a quien corresponda la difusión en todos los niveles
organizacionales.
Mantenerse atento ante los incidentes de seguridad que se presenten, y
asegurarse que sean documentados.
Evaluar nuevas tecnologías a establecerse en la infraestructura tecnológica de
la sede a fin de que la utilización de esta, no se contraponga a la política de
seguridad establecida, y en caso de ser aprobadas establecer los controles
necesarios para minimizar al máximo el riesgo de exposición.
Fomentar la cultura de seguridad de la Información en todos los niveles.
Establecer planes de continuidad del negocio o planes de contingencia que
permitan mantener los sistemas y servicios disponibles.
Debe existir una constancia, o compromiso de aceptación por escrito por
parte de la persona que la dirección de la Sede asigne para que realice las
funciones de coordinación de la seguridad de la información, quien deberá
cumplir las obligaciones anteriormente detalladas.
51
MODELO “DECLARACIÓN DE ACEPTACIÓN CARGO
“OFICAL DE SEGURIDA INFORMATICA”
Fecha:__/__/__
El que suscribe ………………………………………………………(Nombre
del funcionario asignado a este cargo) con C.I#
……………………………...declara aceptar el nombramiento de OFICIAL
DE SEGURIDAD INFORMATICA de la Universidad Politécnica Salesiana
Sede Guayaquil , acepta conocer y aceptar todos los términos ,condiciones
atribuciones y obligaciones que se encuentran detallados en la Política de
Seguridad de la Información sección A.6.1 del SISTEMA DE GESTION DE
SEGURIDAD DE LA INFORMACION.
_________________________________________
NOMBRE DE FUNCIONARIO ASIGNADO
CARGO
Aclaraciones: _____________________________________________
Figura 3.2
Fuente: Los Autores
A.6.1.3 Asignación de responsabilidades de la seguridad de la información.
El Oficial de Seguridad Informática asignado por la dirección será responsable de
establecer controles cooperativos con los demás departamentos si las circunstancias
lo ameritan y cumplir con las tareas especificadas a continuación:
52
MATRIZ RESPONSABILIDADES
SGSI Universidad Politécnica Salesiana Sede Guayaquil
Tabla 3.1
Fuente: Los Autores
A.6.1 .4 Proceso de autorización para los medios de procesamiento de
información
Dentro del esquema organizacional puede presentarse la necesidad de añadir nuevos
medios o elementos destinados a procesamiento de la información.
La autorización de estos nuevos recursos será responsabilidad conjunta de las
diferentes unidades o departamentos involucrados junto con el oficial de seguridad
de la información, tomando en cuenta el propósito de los mismos y considerando las
condiciones de uso recomendadas por el responsable de la seguridad de la
información.
Es necesario realizar una inspección y análisis de los componentes de hardware,
software y conectividad a fin de verificar que se encuentren en congruencia con la
política de seguridad establecida, y determinar las posibles vulnerabilidades o
amenazas que este nuevo recurso podría implicar.
DETALLE RESPONSABLE
Seguridad en recursos humanos
Ing. Javier Ortiz -Dirección
Talento Humano
Seguridad Física y Ambiental
Ing. Javier Ortiz
Gestión de las comunicaciones y operaciones Ing. Javier Ortiz
Control de Accesos
Ing. Javier Ortiz
Adquisición desarrollo y mantenimiento de los
sistemas de información
Ing. Javier Ortiz – Martha
Yanqui
Gestión de incidentes seguridad
Ing. Javier Ortiz
Gestión Continuidad Negocio
Ing. Javier Ortiz
53
A.6.1.8 Revisión independiente de la seguridad de la información.
Es recomendable que las autoridades de la Universidad Politécnica Salesiana
designen a personal calificado para efectuar auditorias y revisiones independientes
una vez establecido el Sistema de Gestión de Seguridad de la Información, esto
garantizará que las políticas que forman parte de este documento estén siendo
aplicadas en las diferentes labores cotidianas en las que la información se ve
involucrada.
A.6.2 Entidades Externas
A.6.2.1 Identificación de riesgos relacionados con entidades externas
Al momento de requerir servicios o asesorías de terceros, sean personas naturales o
jurídicas, el responsable de la seguridad de la información deberá en conjunto con el
titular del departamento al que se solicita acceso, desarrollar un análisis que incluirá
los diversos riesgos que implica la actuación del recurso externo en cuestión.
En este análisis debe incluirse , el nombre del recurso externo que accederá a
cualquier activo de información , el tipo de acceso que se autorizará , los motivos
para los cuales el acceso es solicitado , y un análisis de cómo este acceso podría
poner en riesgo la disponibilidad , integridad o confidencialidad de la información.
Este análisis debe presentarse por escrito y ser registrado en los archivos de tareas
administrativas relacionadas con la seguridad de la información.
Posterior a esto se definirán los controles necesarios a fin de mitigar los riesgos
analizados, no se autorizará el acceso antes que la fase de análisis de riesgo, y
establecimiento de controles hayan sido concluidas.
A.6.2.3 Tratamiento de la seguridad en contratos con terceras personas
Todo contrato o convenio con entidades terceras, de ninguna manera deberá vulnerar
el contenido de las políticas de seguridad informática establecidas.
54
Cada solicitud de información por parte de la entidad externa deberá ser analizada y
aprobada por el oficial de seguridad de la información fundamentándose en los
diferentes aspectos de la política de seguridad informática institucional.
Al momento de compartir la información deberá constar de los debidos controles que
permitan garantizar la confidencialidad, e integridad de la información.
Todo contrato de prestación de servicios, asesoría, o consultaría deberá contemplar
los siguientes controles:
Conocimiento de la política de seguridad organizacional y un compromiso
firmado de fiel cumplimiento.
Procedimientos que incluyan la forma en que el contratado protegerá los
activos de información involucrados en su labor temporal en la institución,
sean bienes de hardware, software, información, datos no procesados,
procedimientos de notificación de la ocurrencia de un evento relacionado con
la seguridad, procedimientos que aseguren la no divulgación de información
privada, entre otros aplicables.
Niveles de servicio esperado y obtenidos.
Establecer representante legal, y obligaciones del mismo.
Definir por escrito si existen derechos de autor o de propiedad intelectual en
alguno de los bienes de información, en caso de existirlos el personal externo
deberá tomar las precauciones que se amerite.
Control de Acceso, acceso físico, acceso a sistemas o servicios informáticos a
través de usuarios contraseñas, tokens, y demás. Estos controles deberán
caducar una vez terminada la participación del personal externo en la
institución.
55
Consentimiento por escrito que otorgará la facultad al oficial de seguridad
informática o persona delegada por la máxima autoridad de la sede, para
auditar las tareas realizadas por el personal externo a fin de asegurarse que
los acuerdos y controles establecidos están cumpliéndose.
Establecer un plan de contingencia en caso de verse afectados uno de los
bienes de información utilizados por el personal externo.
Documentar procesos que permitan conocer los cambios realizados y llevar
un control de los mismos.
Controles o procedimientos que eviten que los bienes de información sean
afectados por código malicioso o malware.
Definir por escrito si el personal externo ha subcontratado a otra entidad para
realizar parte de las funciones adjudicadas, y establecer la relación entre los
mismos.
Convenio firmado de confidencialidad.
A.7 Gestión de Activos
1.- Aspectos Generales
Como parte de la gestión de la seguridad de la información, la institución, debe
mantener conocimiento sobre todo los activos que posee sean estos de hardware,
software, información, o datos no procesados y clasificarlos a fin de realizar un
riguroso control de riesgos asociados a cada uno de ellos.
Entre estos recursos tenemos: equipos informáticos, hardware, equipos de
comunicaciones, software, bases de datos, medios de almacenamiento masivo y
backups ,archivos físicos e información digital de las diferentes unidades
organizativas, equipos de acondicionamiento de aire, red suministro eléctrico , UPS ,
entre otros.
56
Cada uno de los activos anteriormente citados deben estar clasificados por criterios
como, nivel de criticidad, sensibilidad, nivel de confidencialidad, unidad
organizativa que lo utiliza, etc.
Dado que la información puede residir en diversas formas, ya sea impresa,
almacenada en dispositivos removibles, ópticos, magnéticos, o información
transmitida por medios físicos cableados o no cableados es necesario establecer
controles que permitan asegurar la confidencialidad de los mismos.
Todos los controles mencionados y demás controles aplicables únicamente podrían
ser establecidos exitosamente con un conocimiento de los activos de la información
que se intenta proteger, teniendo en mente que la información es uno de los bienes
más críticos de cualquier organización.
2.- Objetivos Del Control
Mantener la protección apropiada de los activos de la información
Lograr clasificar los activos en base a criterios previamente definidos.
Establecer niveles de protección y controles sobre los activos ya clasificados.
3.- Alcance Del Control
El control será aplicable a toda la información manejada dentro de las actividades o
labores llevadas a cabo en la sede Guayaquil de la Universidad Politécnica Salesiana.
4.- Responsabilidad Sobre El Control
Cada uno de los propietarios de la información o activos es responsable de clasificar
y catalogarla según su nivel de criticidad, mantener de forma documentada todo
cambio que en ella se realice y que esta información este actualizada.
57
El responsable departamental supervisará el proceso de documentación y
clasificación de la información que dentro de su departamento se esta administrando.
El Oficial de Seguridad Informática será el encargado de que los lineamientos de
seguridad orientados al control de activos se estén llevando a cabo en cada unidad
organizacional.
5.- Política De Organización de la Seguridad de la Información
A.7.1.1 Inventario de Activos
Como parte de la Política de Seguridad de la información, deben mantenerse
identificados los activos sobre todo los más importantes y su relación con los
sistemas de información, así como sus respectivos propietarios y la ubicación física
de los mismos.
El inventario de activos de información debe mantenerse actualizado en caso de
existir alguna modificación en alguno de los activos, la responsabilidad
administrativa de que estas tareas se estén realizando recaen sobre el responsable de
cada departamento.
Debe establecerse una revisión periódica, no superior a 6 meses, la misma que será
supervisada por la jefatura departamental.
A.7.1.2 Propiedad de los activos.
Los activos de información pertenecen a la Universidad Politécnica Salesiana, a
menos que a través de un mecanismo contractual, se establezca lo contrario, de tal
manera que la facultad de otorgar acceso a la información institucional será el oficial
responsable de la seguridad de la información
.
Toda información residente en cualquier recurso informático de la sede puede ser
sujeto de revisiones periódicas por parte del oficial de seguridad informática o a
quien designe para esta función.
58
Al pertenecer la información a la Universidad, queda terminantemente prohibida la
compartición con entidades externas a menos que sea previamente autorizado por las
autoridades pertinentes.
Cada uno de los activos utilizados por los diferentes departamentos de la sede
Guayaquil de la Universidad Politécnica Salesiana, hardware, software, equipos de
comunicaciones, así como la información y datos asociados deben estar bajo custodia
de una parte designada dentro de la organización, a saber una jefatura departamental,
o el funcionario a cargo de las actividades relacionadas con ese activo de
información.
Al existir una correspondencia del activo de información con el funcionario a su
cargo se crea la responsabilidad no repudiable sobre el uso que al activo en cuestión
se dé, además de la responsabilidad de cumplir con los lineamientos de seguridad.
PROPIETARIOS DE LA INFORMACIÓN
INFORMACIÓN PROPIETARIO PROCESOS INVOLUCRADOS
Financiera
Contable
Contabilidad
Controles Contables
Estrategias Financieras
Auditorias Contables y
Financieras
Controles y Auditorias
Tributarias
Control pago colegiaturas
estudiantes
Académica
Secretaria
del Campus
Matriculas a estudiantes
Controles Académicos
Estudiantes
Académica
Directores de Carrera
Asignación de estudiantes a
cursos
Diseño de horarios para
Docentes
Nómina
Dirección
Talento Humano
Control sobre los docentes
Evaluaciones de desempeño
59
Académica
Secretaria del Campus
Asignación de
Paraacadémicos
Inventarios
Administrativo
Control de Inventarios
Activos Fijos
Tabla 3.2
Fuente: Los Autores
A.7.1.3 Uso aceptable de los activos
Los activos de información de la Universidad Politécnica Salesiana Sede Guayaquil,
incluyendo software, aplicaciones y archivos son propiedad de la misma y solo
pueden utilizarse para fines laborales y legales, por esto deberán seguirse los
siguientes lineamientos:
Computadoras personales
Toda modificación realizada sobre los equipos de cómputo de la sede deberá
ser autorizada por el Oficial de Seguridad Informática.
Toda modificación, instalación, desinstalación, o cualquier mantenimiento
sobre los equipos será realizado exclusivamente por el personal del
departamento de sistemas de la sede.
Deberá mantenerse un inventario completo de software y hardware de cada
uno de los computadoras personales, debería inventariarse y mantenerse la
siguiente información:
1. Nombre del equipo
2. Dirección IP
3. Mascara Subred
4. Nombre de dominio
5. Ubicación física
6. Modelo Procesador
7. Marca y Modelo del Equipo
60
8. Numero de procesadores
9. Velocidad Procesador
10. Versión Sistema Operativo
11. Service Pack instalado
12. Función del equipo
13. Memoria RAM
14. Almacenamiento en Disco
15. Números seriales de componentes.
Se deberán observar los siguientes lineamientos con relación al uso de los
equipos informáticos.
1. No ingerir alimentos o bebidas cerca de los equipos
2. No fumar cerca de los equipos
3. Mantener protección contra variaciones de voltaje
4. No insertar objetos en las ranuras de los equipos
5. No realizar cambios o actividades de mantenimiento sobre el
hardware
6. Conservar los equipos bajo las adecuadas condiciones ambientales
7. Nunca dejar los equipos encendidos, deberán apagarse los equipos
cuando no estén en uso.
Computadoras portátiles
Los equipos portátiles de la sede se han adquirido específicamente con el fin
de facilitar el desarrollo actividades relacionadas con la institución.
Su uso deberá ser orientado al cumplimiento de las actividades relacionadas
con el área o departamento asignado. El uso para propósito personal deberá
ser ocasional, racional y bajo ninguna circunstancia deberá obstaculizar las
actividades laborales de la institución.
61
Deberá mantenerse un inventario de los equipos portátiles que incluya las
características de los mismos así como su ubicación.
Los equipos portátiles deberán permanecer dentro de las instalaciones de la
sede durante horario laboral.
Los equipos portátiles pueden salir de las instalaciones de la sede bajo total
responsabilidad del usuario al que se le ha asignado el equipo, el cual tomara
todas las precauciones del caso en su uso y transporte.
En caso de ausencia por enfermedad, licencia, o vacaciones, el equipo portátil
deberá permanecer en las instalaciones o a disposición del departamento al
que el equipo ha sido asignado
Computadoras propiedad de terceros
Deben mantenerse deshabilitados los dispositivos de comunicación o
MODEMS.
Utilizar únicamente las aplicaciones necesarias para el desarrollo de las
funciones asignadas.
Instalar únicamente software licenciado y autorizado por la sede.
Mantener actualizadas las aplicaciones con los últimos hotfixes o parches
recomendados por el fabricante.
Mantener activo y actualizado el software antivirus.
Se deberá controlar el acceso al equipo a fin de evitar el acceso a personas no
autorizadas a fin de preservar la información residente en el equipo.
Tomar las medidas necesarias para no vulnerar la seguridad informática
institucional mediante el uso no responsable del equipo.
62
Conocer cumplir y difundir las políticas de seguridad de la información
adoptadas por la sede.
Sistemas de Información
Las herramientas tecnológicas así como los sistemas de información y
servicios informáticos, como el correo electrónico y la Internet, sólo podrán
ser utilizados posterior a la autorización del Oficial de Seguridad Informática
en respuesta a pedido de la jefatura del respectivo departamento.
Cada jefe departamental tiene la responsabilidad de definir las tareas que
conllevan acceso a tal herramienta. El uso de tales recursos constituye un
privilegio otorgado con el propósito de agilizar los trabajos de la institución
gubernamental y NO es un derecho.
Toda información almacenada, creada o transmitida desde o hacia los
sistemas de información de la Universidad Politécnica Salesiana, es
propiedad de la institución, por lo que le serán aplicadas todas las
disposiciones establecidas en la política de seguridad de la información. La
divulgación de tal información sin autorización está estrictamente prohibida.
La alteración fraudulenta de cualquier documento en formato electrónico
redundará en las sanciones que el consejo disciplinario considere aplicables.
Es responsabilidad de la Universidad, tomar todas las medidas aplicables a
fin de garantizar la confidencialidad de la información privada de los
estudiantes.
Los usuarios de los sistemas de información de la Universidad están
obligados a respetar los derechos de propiedad intelectual de los autores de
las obras, programas, aplicaciones u otros, manejadas o accedidas a través de
dicho sistema.
El software y utilitarios así como los sistemas de información de la
Universidad deben tener su respectiva licencia vigente o autorización de uso
63
para poder ser utilizadas los mismos que sólo podrán ser instalados por
personal autorizado de la Universidad, a saber , personal técnico del
departamento de sistemas. Además, no podrán instalarse programas sin la
previa autorización de la Jefatura de Sistemas, inclusive si estos son
programas gratuitos o de código abierto.
Queda terminantemente prohibido reproducir los medios de instalación de las
aplicaciones, utilitarios, y sistemas de información utilizados en la sede
Guayaquil de la Universidad Politécnica Salesiana, además queda prohibido
el uso de los mismos a no ser con fines institucionales.
La Universidad es responsable de establecer las pautas mediante las cuales se
crean y asignan las cuentas de usuario, incluyendo los mecanismos de
seguridad aplicables tales como contraseñas, controles de acceso a los
servidores y sistemas para auditar y monitorear su uso, además de
mecanismos que aseguren la integridad y seguridad de los datos y
comunicaciones que se envían a través de medios cableados o no cableados.
Los usuarios de los sistemas deberán cumplir con todas las normas de uso y
dando fiel cumplimiento a la política de seguridad de la información emitidas
por la sede Guayaquil de la Universidad Politécnica Salesiana.
Cada usuario es responsable por el uso adecuado de los códigos de acceso o
contraseñas asignadas.
El uso de los sistemas de información será auditado por el personal
autorizado por el Oficial de seguridad de la Información, a fin de de
garantizar el uso apropiado de los recursos. Los usuarios no deben tener
expectativa de intimidad alguna con relación a la información almacenada en
su computadora o buzón de correo electrónico.
Acceder a información o a un buzón de correo que no es el asignado,
mediante la modificación de privilegios de acceso o la interceptación de
64
información en cualquier otra manera está prohibido, por lo que tal acción se
sancionará conforme a lo dispuesto por las autoridades de la Universidad.
La Universidad es responsable de verificar que el servicio de Internet y el
correo electrónico estén funcionando adecuadamente además de asegurar que
la información almacenada se encuentre protegida de acceso no autorizado.
El departamento de sistemas deberá implementar controles tales como
Firewalls, antivirus, IPS/IDS, entre otros aplicables.
La Universidad se reserva el derecho de emprender los procesos
administrativos, pertinentes con relación a los actos cometidos, aunque los
mismos no estén expresamente prohibidos en este documento, si dichos actos,
directa o indirectamente, ponen en riesgo la integridad, confiabilidad o
disponibilidad de la información, los equipos y los sistemas de información
de la Universidad. Cualquier violación a las normas puede conllevar la
revocación de privilegios de uso de los Sistemas de información y deberá ser
notificada al Oficial de Seguridad Informática y , al director de talento
humano y al jefe inmediato del empleado.
Internet
El acceso a Internet es propiedad de la Universidad y deberá ser utilizado
exclusivamente como una herramienta de trabajo siguiendo las normas
que rigen el comportamiento del personal docente, administrativo, y
estudiantes, nunca con fines no oficiales o para actividades personales o
con fines de lucro.
Los usuarios que tengan acceso al Internet a través de la Universidad no
deberían tener expectativa de privacidad alguna con relación al uso y los
accesos realizados a través de la Internet. La Universidad se reserva el
derecho a intervenir y auditar los accesos realizados por los usuarios a
través de su sistema de información, el acceso a la Internet y el contenido
de lo accedido.
La Universidad no se responsabiliza por la validez, calidad, o contenido
de la Información contenida en la Internet.
65
La Universidad será responsable por velar que la conexión a Internet se
lleve a cabo cumpliendo fielmente la Política de Seguridad de la
información y deberá monitorear el funcionamiento correcto de las
mismas.
Cualquier información o servicio publicado en Internet deberá ser
autorizado por las autoridades de la Universidad y bajo el conocimiento
del Oficial de Seguridad Informática.
Queda prohibido el acceso a sitios de dudosa procedencia, sitios de
hacking, warez, pornográficos, o de contenido no apropiado según lo
defina la institución.
Se encuentran prohibidas las descargas de software o aplicaciones desde
Internet.
Se realizará inspecciones periódicas y revisiones sobre el uso que se esté
dando al acceso a Internet por parte de los funcionarios de la sede y de
personal externo laborando dentro de las instalaciones.
Se establecerán restricciones de acceso a través del uso de perfiles en el
equipo que permite el acceso a Internet (Proxy Server). Los perfiles serán
categorizados de la siguiente forma:
o Acceso Total :
Sin restricción alguna
o Acceso Intermedio
Utilizado para labores del Departamento de sistemas
o Acceso Restringido
Acceso restringido a Internet asignado a la mayoría de los
usuarios.
66
Correo electrónco:
El sistema de correo electrónico es propiedad de la Universidad por lo
cual se reserva el derecho absoluto de auditar, monitorear e investigar
sobre los buzones de correo a fin de corroborar el correcto uso que se le
esté dando al mismo.
El uso del correo electrónico será únicamente destinado a propósitos
oficiales relativos a las funciones del usuario. Queda prohibido el uso del
mismo para asuntos personales o con fines de lucro, los usuarios están
obligados a velar por el cumplimiento de las normas relacionadas al uso
de este servicio.
Queda prohibido transmitir información confidencial de la Universidad
Politécnica Salesiana sin contar con la debida autorización. En caso de
enviar información confidencial debe ser transmitida de forma encriptada
a fin de evitar divulgación de la misma. En caso de existir sospecha de
que información ha sido interceptada o divulgada deberá informarse de
inmediato al Oficial de Seguridad Informática a fin de tomar las medidas
necesarias.
Deberán existir normas mediante las cuales se asignan cuentas de correo
electrónico incluyendo medidas de seguridad, nombres de usuario,
contraseñas y demás mecanismos de autenticación.
Los usuarios no deberán utilizar o acceder a cuentas de correo electrónico
de otros dominios que no sean el institucional, a menos que hayan sido
previamente autorizados a usar los mismos, así como páginas o sitios de
mensajería instantánea.
Deberá utilizarse el correo para comunicaciones cortas y concisas.
Las comunicaciones electrónicas, deben tener las características básicas
de cordialidad y respeto.
67
Los mensajes deben ser enviados desde el correo electrónico de quien los
firma.
Las cuentas de correo electrónico deben ser creadas usando el estándar
establecido por la coordinación de sistemas de la sede.
Se asignará un tamaño de buzón de correo para cada usuario, es decir un
espacio de almacenamiento en el servidor de correo, destinado al guardar
los mensajes electrónicos de cada usuario.
Se evitará en el nombre del destinatario y el asunto el uso de caracteres
especiales como slash (/), tildes (´), guiones (-), y demás.
Siempre se escribirá en el campo “Asunto” una frase que haga referencia
directa al contenido del texto.
La funcionalidad “confirmación de lectura” deberá utilizarse de manera
mesurada a fin de evitar la congestión en el envío de los correos
electrónicos.
En caso de ausencias superiores a ocho días deberá utilizarse la opción de
respuestas automáticas informando la ausencia del funcionario así como
la duración de su ausencia.
Luego de un periodo superior a 30 días de inactividad, el personal de
sistemas deshabilitará la cuenta de correo asignada al usuario.
Los usuarios deberán asegurarse antes del envío de archivos adjuntos que
éstos no contengan virus o código malicioso.
Queda prohibida bajo cualquier circunstancia a reproducción y envío de
mensajes en cadenas o similares, el incumplimiento de esta disposición
redundaría en suspensión del servicio temporal o definitiva.
68
El contenido de los mensajes de correo se considera confidencial y solo
perderá este carácter en casos de investigaciones administrativas,
judiciales o incidentes relacionados con Seguridad Informática.
Política de SPAM
Mantener depurada la base de datos de direcciones e-mails para evitar
envíos innecesarios, eliminar direcciones de correo incorrectas.
En lo posible no se compraran listas de direcciones de correo electrónico
a usarse con fines publicitarios o de mercadeo, en caso de hacerlo , existir
clara evidencia sobre el origen lícito de las mismas.
Evaluar al proveedor de servicio de Internet (ISP) antes de contratar el
servicio.
En caso de realizar envíos de boletines o similares, debe proveerse a los
destinatarios, de mecanismos que permitan cancelar dicha suscripción.
A fin de evitar ser catalogados como SPAMMERS por filtros bayesianos
se deben tomar en cuenta los siguientes lineamientos:
Evitar en lo posible el uso de terminología comercial en la
redacción de los correos
Evitar expresiones como “Free” “gratis” “Compre ahora” y
similares.
No escribir con letras mayúsculas en el campo “asunto” del correo
electrónico.
Evitar en lo posible el uso excesivo de símbolos ($,%,!!) , suelen
ser utilizados en correos catalogados como SPAM.
69
Evitar la frase “haga clic aquí” a lo largo de la redacción del
correo
Tener precaución al incluir código HTML en los correos
electrónicos
Evitar incluir controles Active-X o animaciones flash
Mantener activada la resolución inversa en los servidores de
nombres (DNS)
Monitorear regularmente las listas negras de SPAMERS.
A.7.2 Clasificación de la información
A.7.2.1 Lineamientos de clasificación
Para clasificar un Activo de Información, se evaluarán las tres características de la
información en las cuales se basa la seguridad: confidencialidad, integridad y
disponibilidad.
A continuación se establece el criterio de clasificación de la información en función
a cada una de las mencionadas características:
Por Confidencialidad
TIPO A
Información Pública, No confidencial
TIPO B
Información Reservada – Uso Interno destinada a personal
de la organización y cuya divulgación podría crear riesgos
LEVES a la organización.
TIPO C
Información Reservada - Confidencial utilizada
únicamente por un grupo de personas autorizadas dentro de
la organización, y cuya divulgación ocasionaría perdidas
significativas para la Institución.
70
TIPO D
Información Reservada – Secreta destinada a un grupo
pequeño de personas dentro de la institución, generalmente
mandos altos o directivos, la divulgación de esta
información supondría pérdidas graves para la institución.
Tabla 3.3
Fuente: Los Autores
Por Integridad
TIPO A
Información cuya modificación puede ser fácilmente
corregida
TIPO B
Información cuya modificación puede corregirse pero que
ocasionaría perdidas leves a la institución o a terceros.
TIPO C
Información cuya modificación no autorizada es difícil de
corregir, y que ocasionaría daños o pérdidas significativas
para la institución o a terceros.
TIPO D
Información que al ser modificada sin autorización no
puede ser corregida, ocasionando pérdidas graves o
cuantiosas para la institución o a terceros.
Tabla 3.4
Fuente: Los Autores
Por Disponibilidad
TIPO A
Información que al no encontrarse disponible NO afecta las
operaciones de la institución
TIPO B
Información que al no hallarse disponible durante una
semana afecta levemente las operaciones de la institución o
de terceros.
TIPO C
Información que al no hallarse disponible durante 24 horas
afecta significativamente las operaciones de la institución o
de terceros.
71
TIPO D
Información que al no hallarse disponible durante 1 hora
afecta significativamente las operaciones de la institución o
de terceros.
Tabla 3.5
Fuente: Los Autores
A todo activo de información deberá asignársele un valor por cada criterio, a saber,
confidencialidad, disponibilidad, e integridad, tal como se muestra en la tabla a
continuación:
ACTIVO CONFIDENCIALIDAD DISPONIBILIDAD INTEGRIDAD
Información financiera de
alumnos.
C
C
D
Tabla 3.6
Fuente: Los Autores
Luego de asignar valores por los diferentes criterios se deberá asignar una
clasificación según el criterio citado a continuación:
CRITIDIDAD BAJA Todos los valores dentro del rango de A hasta B
CRITICIDAD MEDIA Alguno de los valores asignados es C
CRITICIDAD ALTA Alguno de los valores asignados es D
Deberán identificarse los medios o archivos físicos utilizando las etiquetas
mencionadas respetando el código de color para establecer el nivel de criticidad de la
información, a saber alta, media, y baja.
72
A.7.2.2 Etiquetado y manejo de información
El almacenamiento de la información cumplirá con procedimientos para el rotulado
y manejo de la misma, de acuerdo al esquema de clasificación definido.
Se etiquetarán los recursos de información tanto en formatos físicos como
electrónicos guardados en dispositivos de almacenamiento, e incorporarán las
siguientes actividades de procesamiento de la información:
Copia de información
Almacenamiento
Transmisión por correo normal, electrónico, o fax
Otros aplicables
A.8 Seguridad de los recursos humanos
1.- Aspectos Generales
Así como lo es la información, el recurso humano es de vital importancia dentro de
cualquier organización, es fundamental educar y mantener informado al personal
desde su ingreso a la organización sobre los lineamientos de seguridad incluidos en
la política así como las sanciones en caso de incumplimiento.
2.- Objetivos Del Control
Reducir los riesgos derivados al error humano, omisiones, comisión de ilícitos o uso
no apropiado de los activos de información y equipos.
Mantener informado al personal sobre las responsabilidades en materia de seguridad
incluso desde el proceso de selección, durante el tiempo en que la persona presta
servicios a la institución y al momento de cesar en sus funciones.
Garantizar que los usuarios estén al tanto de las amenazas en materia de seguridad de
la información y estén capacitados para respaldar la política establecida por la
Universidad en materia de seguridad.
Establecer compromisos de confidencialidad con todo el personal y personal externo
que tenga acceso a la información fin de minimizar los riesgos y sus efectos en caso
de ocurrencia.
73
3.- Alcance Del Control
Esta Política es aplicable a todo el personal interno de la Universidad Politécnica
Salesiana sede Guayaquil, sin importar cual sea su situación, y al personal externo
que se involucre en tareas dentro del ámbito del Organismo y relacionadas con la
seguridad.
4.- Responsabilidad Del Control
El departamento de gestión de talento humano deberá difundir entre los empleados e
informar sobre las obligaciones con relación al cumplimiento de la política de
seguridad de la información, además de dar a conocer la política de seguridad desde
el proceso de selección.
Los usuarios en general son responsables de cumplir la política de seguridad de la
información y reportar las debilidades, amenazas, vulnerabilidades o cualquier
incidente relacionado con la seguridad de la información al oficial de seguridad
informática.
5.- Política - Seguridad De Los Recursos Humanos
A.8.1 Antes del empleo
A.8.1.1 Roles y responsabilidades
Es necesario establecer responsabilidad sobre el cumplimiento de las normas de
seguridad de la información tanto de los empleados ya sea como docentes, personal
administrativo o de servicio, así como contratistas.
En el caso de los empleados existirá una labor conjunta entre la coordinación de
talento humano y el oficial de seguridad informática a fin de asegurar que los
funcionarios de la universidad, sin importar el nivel que estos ocupen cumplan
fielmente las disposiciones expuestas en esta política.
En el caso de los proveedores, la labor sea compartida entre el oficial de seguridad
informática y la jefatura del departamento que solicita el servicio prestado razón por
la cual el personal externo ya sea contratista o accesoria ha sido contratada.
74
A.8.1.2 Selección
En el caso de los aspirantes cargos ya sea como docentes o personal administrativo,
deberán realizarse investigaciones previas tanto de antecedentes como de cualquier
hecho que podría sugerir que la persona podría representar algún tipo de amenaza a
la seguridad de la institución.
A fin de cumplir esto deberán realizarse pruebas de admisión, referencias laborales,
personales, record que acredite no poseer problemas de índole legal, entre otros.
Deberá en el caso de proveedores existir una pre-calificación a fin de verificar todos
los aspectos legales, éticos, e historial del comportamiento del proveedor o asesor
con la finalidad de garantizar que la participación de los mismos no redunde en una
amenaza a la seguridad. Para este fin deberán solicitarse recomendaciones
personales, record legal, garantías, listado de clientes, y certificaciones de
acreditación.
Entre las verificaciones a considerar en el proceso de selección de personal
administrativo, docente o proveedores deberán realizarse las siguientes:
a) Disponibilidad de referencias de carácter satisfactorias; por ejemplo, una
referencia comercial y una personal.
b) Chequeo del currículo vitae del postulante buscando integridad y exactitud.
c) Confirmación de las calificaciones académicas y profesionales mencionadas
d) Chequeo de identidad independiente ya sea, cédula, pasaporte o documento
similar.
A.8.1.3 Términos y condiciones de empleo
Una vez realizada la selección de un funcionario, asesoría, o proveedor, cualquiera
sea el caso debe existir un contrato firmado y legalizado, el mismo debe incluir
cláusulas de confidencialidad, y las obligaciones que en materia de seguridad de la
información el contratado sea funcionario, persona natural o jurídica deberá cumplir.
75
Como parte del contrato debe incluirse una cláusula en la cual el contratado acepta
los términos y condiciones que lo obligan y declaran como responsable de dar
cumplimiento a las políticas de seguridad de la información que sean aplicables.
Se consideran las siguientes como condiciones de empleo:
a) Todos los usuarios empleados, contratistas y terceros que tienen acceso a
información sensible debieran firmar un acuerdo de confidencialidad o no
divulgación antes de otorgarles acceso a los medios de procesamiento de la
información.
b) Aceptación de las responsabilidades y derechos por parte de los empleados,
contratistas y cualquier otro usuario; por ejemplo, con relación a las leyes de
derecho de auditoría y legislación de protección de data
c) Aceptación de las responsabilidades para la clasificación de la información y
la gestión de los activos organizacionales asociadas con los sistemas y
servicios de información manejados por el empleado, contratista o tercera
persona
d) Aceptación de las responsabilidades del usuario empleado, contratista o
tercera persona con relación al manejo de la información recibida de otras
compañías o partes externas.
e) Aceptación de las responsabilidades de la organización por el manejo de la
información personal, incluyendo la información creada en el transcurso del
empleo con la organización.
f) Las responsabilidades que se extienden fuera del local de la organización y
fuera del horario normal de trabajo.
g) Las acciones a tomarse si el usuario empleado, contratista o tercera persona
no cumple los requerimientos de seguridad de la organización.
A.8.2 Durante el empleo
76
A.8.2.1 Gestión de responsabilidad
Los términos y condiciones de empleo, los cuales deberán estar incluidos en los
contratos, establecerán la responsabilidad de los empleados en materia de seguridad
de la información.
Adicionalmente los procesos contractuales deberán establecer que las
responsabilidades se extienden más allá de los límites de la Sede Guayaquil de la
Universidad Politécnica Salesiana e incluso fuera del horario laboral.
A.8.2.2 Capacitación y educación en seguridad de la información
Cada integrante de la institución, los usuarios externos y contratistas que
desempeñan funciones en la misma, deberán recibir una adecuada capacitación y
actualización periódica en lo relacionado a la política y normas relacionadas a la
seguridad.
Esto incluirá los requerimientos de seguridad y las responsabilidades que cada
usuario adquiere al iniciar sus labores. El responsable de la gestión de talento
humano será la persona encargada de coordinar las labores de capacitación
necesarias para la difusión y conocimiento de la política de seguridad.
El material destinado a la capacitación en seguridad de los usuarios será
responsabilidad del oficial de seguridad informática, en conjunto con personal de las
diversas áreas implicadas y cada seis meses se revisará y actualizará a fin de que la
misma sea precisa y cumpla el objetivo para la cual fue concebida.
A.8.2.3 Proceso Disciplinario
Todos los incumplimientos u omisiones implicaran según la gravedad el inicio de un
proceso disciplinario formal según normas establecidas y políticas administrativas
internas vigentes de la Universidad Politécnica Salesiana Sede Guayaquil.
Todo proceso disciplinario debe garantizar el tratamiento correcto y ecuánime para
los empleados sobre los que se levanta sospecha de cometer incumplimientos de
la política de seguridad.
77
Este proceso debe proporcionar una respuesta equilibrada tomando en consideración
las circunstancias, naturaleza, gravedad, atenuantes y agravantes.
En casos de gravedad elevada, el proceso debería permitir la remoción inmediata de
los derechos, accesos y privilegios, y en caso que amerite la separación inmediata del
funcionario.
A.8.3 Terminación o cambio de empleo
A.8.3.1 Responsabilidades de terminación
Es responsabilidad del funcionario que cesa en sus funciones presentar la renuncia a
su cargo con suficiente tiempo de antelación, al menos con 15 días.
La jefatura del departamento donde el funcionario realizó sus labores tendrá la
responsabilidad de supervisar la entrega formal del cargo al funcionario encargado
de cubrir la vacante, esto incluirá la documentación relacionada al cargo,
información, llaves, credenciales, y demás.
El oficial de seguridad informática o el funcionario que designe de entre el personal
de sistemas serán responsables de cancelar todas las credenciales de acceso a los
diferentes sistemas de información, acceso a Internet y buzones de correo
electrónico.
A.8.3.2 Devolución de activos
Dentro del proceso de cesación de funciones, es necesario que se cumpla con una
entrega formal de los activos entre los cuales deberá incluir:
Devolución de software, manuales y documentos institucionales así como
de equipos y herramientas de trabajo.
.Activos organizacionales, equipos de computo equipos de telefonía móvil
tarjetas de acceso, e información almacenada en medios de
almacenamiento, ya sean fijos o removibles.
78
En caso que el empleado o contratista empleaba equipos propios para el
cumplimiento de sus funciones, debe asegurarse que la información
relevante sea transferida a la organización y eliminada definitivamente del
equipo.
En caso que el empleado o contratista posea conocimientos necesarios
para tareas operativas, administrativas o demás que vayan relacionados
con la institución , se debe asegurar que este conocimiento sea
documentado y trasferido a la organización
A.8.3.3 Eliminación de derechos de acceso
Todos los derechos de acceso, equipos, y demás activos de información, que hayan
sido concedidos a los usuarios, empleados o contratistas deberían ser retirados al
terminar sus funciones ya sea contrato o acuerdo.
En caso de cambiar de funciones, dentro de la misma institución, deben retirarse
todos los derechos de acceso no aprobados debido a no ser necesarios para las nuevas
funciones. Entre los derechos de acceso a retirar se encuentran los siguientes:
Acceso físico
Acceso lógico
Llaves
Tarjetas de identificación
Medios de procesamiento de información
Suscripciones
Documentación que identifique a la persona como miembro de la institución
79
Claves secretas
Otras aplicables
El retiro de derechos de acceso deberá realizarse con suficiente anticipación con
relación a la fecha de cese de funciones del empleado o contratista tomando en
cuenta los siguientes factores:
Quien origina la terminación del contrato o acuerdo ,si es iniciado por el
empleado o contratista o por parte de las autoridades de la Universidad
Politécnica Salesiana Sede Guayaquil
La razón por la que se termina el contrato o acuerdo.
La criticidad de las responsabilidades que el empleado o contratista
actualmente mantiene.
El valor de los activos que el empleado o contratista mantiene bajo su
custodia.
A.9 Seguridad física y ambiental
1.- Aspectos Generales
La gestión de la seguridad física permite reducir en gran manera los riesgos de existir
daños debido a accesos físicos no autorizados mediante la definición de zonas
restringidas y establecimiento de perímetros de seguridad.
Controlar los factores ambientales o de entorno permite garantizar el funcionamiento
adecuado de los equipos de procesamiento y preservar el servicio mediante evitar
interrupciones debido a causas físicas.
2.- Objetivos del Control
Evitar accesos no autorizados que causen daños o interferencia en los servicios
informáticos, instalaciones y redes de la Universidad sede Guayaquil.
80
Mantener protegido el equipamiento destinado a procesar la información de la
Universidad, tanto servidores como computadores de escritorio, portátiles,
dispositivos de red, y demás, ubicándolos en áreas protegidas y con acceso
restringido y controlado apropiadamente.
Proteger los activos sobre todo los de hardware que procesan información en caso de
tener que ser trasladados fuera del perímetro protegido de la debido a motivos de
mantenimiento o reparaciones.
Gestionar y minimizar el riesgo de que factores ambientales de alguna manera
puedan afectar el funcionamiento de la infraestructura informática de la institución.
Evitar perdida de equipos tanto en las oficinas, sala de servidores, o laboratorios de
cómputo de la Universidad.
3.- Alcance del Control
El alcance del control está delimitado a todos los elementos o recursos físicos que
forman parte de la infraestructura, equipos de cómputo, servidores, medios de
almacenamiento, dispositivos removibles, equipos de comunicación, cableado, redes
no cableadas, y demás.
4.- Responsabilidad del Control
El oficial de seguridad informática en conjunto con las jefaturas de las diversas
áreas deberá definir las áreas críticas que deben establecerse como zonas restringidas
o dentro de un perímetro de seguridad así como la definición de las posibles
amenazas ambientales para cada departamento y tomar las precauciones para mitigar
el riesgo.
El área de sistemas se encargara de seguir las indicaciones del Oficial de seguridad
informática en cuanto a la implementación de las áreas protegidas y coordinara la
contratación de empresas terceras en caso que se requiera.
Las jefaturas departamentales definirán los niveles de acceso a establecerse para sus
respectivas áreas.
81
El personal en general, administrativo, o docente es responsable minimizar el riesgo
de divulgación de documentos mediante mantenerlos almacenados con la seguridad
del caso y no expuestos sobre los escritorios.
5.- Política - Seguridad Física Y Ambiental
A.9.1 Áreas Seguras
A.9.1.1 Perímetro de seguridad física
Cada recurso tecnológico ya sea propiedad de la Universidad o de terceros , que
procese información de la institución deberá cumplir contados los lineamientos de
seguridad física que se emitan a fin de restringir y evitar el acceso no autorizado a los
mismos.
Los funcionarios encargados del proceso o almacenamiento de información deberán
cumplir con las normas básicas de cuidado de los componentes tecnológicos así
como velar por mantener las condiciones adecuadas de higiene.
Todo cambio a la infraestructura física de la sede, deberá ser previamente analizado a
fin de asegurar que con el mencionado cambio no se vulnere la seguridad de los
activos.
Se deben establecer barreras o medidas de control físico dentro de las instalaciones
de la institución dentro de las cuales deben ubicarse los elementos más críticos
dentro del procesamiento de información.
La Universidad Politécnica salesiana sede Guayaquil, definirá perímetros o áreas de
seguridad a fin de proteger las áreas que contienen elementos o equipos relacionados
con el procesamiento de información así como las redes de datos , red eléctrica,
sistemas de aire acondicionado y cualquier área relacionada a garantizar el correcto
funcionamiento de los sistemas de información.
82
A fin de establecer el perímetro de seguridad se delimitará físicamente en oficinas
protegidas por accesos controlados por personal de la Universidad o por dispositivos
de autenticación como lo son los dispositivos biométricos.
Definir el plan de instalación y la definición de las áreas, serán establecidas por el
oficial de seguridad informática, una vez haya evaluado la criticidad de las áreas a
proteger y los riesgos a los que estas pueden verse sometidas.
En caso de ser aplicables se implementaran los siguientes controles o lineamientos:
Enumerar los perímetros de seguridad y documentarlos.
Encontrar las instalaciones críticas dentro del perímetro de los edificios o
construcciones.
Deben tomarse precauciones como el no existir brechas en el perímetro que
permitan fácilmente acceso no autorizado.
Las paredes externas de los edificios deberían ser una construcción sólida y
las puertas externas deben estar protegidas contra accesos no autorizados,
protegidas por sistemas de vigilancia constante por video, vallas, alarmas
sonoras y cerraduras.
Las puertas o ventanas deben mantenerse cerradas cuando el personal
abandone el área segura.
El área de sistemas debe ser restringida y siempre mantenerse controlado el
acceso a la misma.
Debe existir un área de recepción en la cual se controlara el acceso de
personal externo hacia las oficinas de la Universidad.
En la recepción debe solicitarse identificación a las personas que ingresan y
confirmar con el personal interno si se permite o no el acceso.
83
Las puertas de emergencia deben contar con alarmas y ser monitoreadas y
probadas periódicamente y asegurarse que cumplan con las regulaciones
locales solicitadas por el Cuerpo de Bomberos, así como regulaciones
internacionales.
Deben instalarse principalmente en las áreas de acceso a las oficinas y en
áreas restringidas, dispositivos de detección de intrusos, sensores de
movimiento, etc. los mismos que deberán cumplir las regulaciones
internacionales y ser probados periódicamente.
Se recomienda separar los dispositivos o equipamiento de procesamiento de
información utilizados por el personal interno de la Universidad de los que
son utilizados por personal externo, contratistas o asesores.
Se define como área segura por ejemplo a una oficina con llave, habitaciones
rodeadas por una barrera de seguridad interna y continua. Evidentemente
varían los requerimientos de seguridad de acceso entre las diferentes áreas de
la Universidad así que puede ser necesario establecer barreras de acceso entre
áreas si el caso así lo requiere.
En conformidad a lo anteriormente mencionado, se consideran las siguientes
como áreas seguras o restringidas dentro de la sede Guayaquil de la
Universidad Politécnica Salesiana:
1. Oficinas del Departamento de Sistemas
En estas oficinas se concentran lo equipos de comunicación, seguridad
perimetral y servidores de aplicaciones y servicios informáticos,
archivos físicos, digitales, inventarios de equipos y contraseñas, lo
cual convierte a esta sección del edificio en un área segura que debe
ser resguardada según la política anteriormente expuesta.
2. Bodega
Lugar de almacenaje que pudiera ser objeto de incidentes tales como
robo / hurto
84
3. Direcciones de Carrera
Los directores de carrera manejan información confidencial
relacionada con el plan académico, información sobre estudiantes,
docentes, etc. El acceso a esta área debe ser restringido y regulado por
la presente política
El oficial de seguridad informática es responsable de mantener identificados y
documentados los sitios protegidos detallando:
Identificación del edificio y área
Elementos a proteger
Medidas de protección física
A.9.1.2 Controles de acceso físico
Para poder acceder a las áreas protegidas deben establecerse controles de acceso
físico los cuales deben ser definidos por el Oficial de seguridad informática.
El oficial de seguridad informática deberá asegurarse que los controles incluyan las
siguientes características:
Inspeccionar a los visitantes que requieran acceso a las áreas protegidas, así
como llevar un registro en la bitácora de visitas el nombre del visitante, hora
de entrada, hora de salida, persona a la que visita, y el área a la que accede. El
visitante debe ser informado sobre las medidas de seguridad que debe
observar mientras permanezca en las instalaciones de la sede.
Controlar y limitar el acceso a información que haya sido clasificada como
confidencial o con grado de criticidad medio o alto, así como el acceso a las
áreas protegidas. Se sugiere utilizar controles de autenticación para autorizar
y validar los accesos a las áreas protegidas de la sede, tales como personal de
seguridad con listado de personas autorizadas , uso de tarjetas magnéticas,
credenciales, entre otros.
Se recomienda implementar el uso de identificaciones para todo el personal
interno la cual debería mantenerse siempre visible, así como credenciales
85
para los visitantes las cuales especificaran a que área tiene acceso el
visitante.
Realizar una actualización cada tres meses de los derechos de acceso a todas
las áreas protegidas, deberá mantenerse documentada cada modificación de
los derechos, y deben ser firmados por el responsable departamental.
A.9.1.3 Seguridad de oficinas, habitaciones y medios
Entre las áreas protegidas se encuentran las oficinas en la que se encuentran los
diferentes equipos y dispositivos relacionados con el procesamiento de información y
principalmente el departamento de sistemas, lugar donde se concentra el cableado de
red, y servidores de aplicación y servicios informáticos.
Las siguientes medidas de protección deberán observarse dentro de las áreas
protegidas:
Las instalaciones críticas que se encuentran deben ubicarse en lugares que no
permitan el acceso no autorizado
Asegurarse que los edificios u oficinas en los cuales se realicen actividades
críticas relacionadas con el procesamiento de la información sean discretos
sin existir señalización exagerada o signos obvios que permitan identificarlas
fácilmente.
Desplegar los dispositivos como impresoras, maquinas de fax, plotters,
copiadoras, multifunciones, entre otras, dentro de áreas protegidas a fin de
evitar uso no autorizado.
Se instruirá al personal de seguridad establecer vigilancia sobre ventanas y
puertas las cuales deberán permanecer cerradas a menos que sea necesario lo
contrario, dando especial atención a las ubicadas en la planta baja o que
represente riesgos especiales.
86
Mantener físicamente separadas las áreas de procesamiento de información
administradas por la Universidad con la áreas de procesamiento de
información manejadas por terceros.
Debe impedirse el acceso a directorios telefónicos e información de contacto
del personal interno.
Almacenar equipos redundantes y respaldos de información en un sitio
seguro, distante, dentro de un área protegida a fin de evitar daños ocasionados
ante contingencias.
A.9.1.4 Protección contra amenazas externas o ambientales
Deben establecerse controles que permitan proteger a la infraestructura contra daño
por fuego, inundación, terremoto, explosión, revuelta civil y otras formas de
desastres naturales o causados por el hombre.
Debe considerarse cualquier amenaza contra la seguridad presentada por locales
vecinos; tales como, amenaza de fuego en un edificio vecino, escape de agua en el
techo o pisos en sótano o una explosión en la calle.
A fin de evitar o reducir los daños por fuego, inundación, terremoto, explosión,
revuelta civil y otras formas de desastres naturales o causados por el hombre se
deberán seguir los siguientes lineamientos:
Los materiales peligrosos o combustibles debieran ser almacenados a una
distancia segura del área asegurada.
Los suministros a granel como papelería no debiera almacenarse en el área
asegurada
El equipo de reemplazo y los medios de respaldo debieran ubicarse a una
distancia segura para evitar el daño de un desastre que afecte el local
principal
87
Se debiera proporcionar equipo contra-incendios ubicado adecuadamente.
Mantener activo y documentado un plan de contingencia que permita
restablecer el servicio en el menor tiempo posible.
A.9.1.5 Trabajo en áreas seguras
A fin de robustecer la seguridad en las áreas protegidas se establecen lo siguientes
controles y lineamientos, estos son aplicables sobre tareas en estas áreas por parte de
personal interno o externo:
El personal debe conocer la existencia del área protegida y de las actividades
que en ella se llevan a cabo SOLO si es necesario e indispensable para que el
personal cumpla con sus labores.
Evitar la ejecución de trabajos en estas áreas por parte de personal externo, y
siempre deberán ser supervisados por el personal responsable dentro de la
Universidad.
Mantener bloqueadas las áreas protegidas y establecer inspecciones
periódicas
El acceso al personal externo debe ser limitado a las áreas críticas de
procesamiento de información. Estos accesos deberán ser autorizados
registrados, y controlados.
Evitar el ingreso a las áreas protegidas de equipos móviles, fotográficos de
video, audio o cualquier dispositivo que registre información a menos que
haya sido autorizo previamente por el Oficial de seguridad informática.
Queda prohibido, comer, beber o fumar dentro de las áreas críticas de
procesamiento de información.
88
A.9.1.6 Áreas de acceso público, entrega y carga
Se mantendrán bajo control las áreas donde se realicen recepción de materiales o
equipos teniendo en cuenta que estas áreas estarán aisladas de las instalaciones de
procesamiento de información, a fin de impedir accesos no autorizados.
Con este fin se establecerán controles físicos que considerarán los siguientes
lineamientos:
Limitar el acceso a las áreas de recepción, desde el exterior de la sede, sólo
se permitirá el acceso al personal previamente identificado y autorizado.
Diseñar el área de recepción de manera tal que los suministros puedan ser
descargados sin que el personal que realiza la entrega acceda a otros sectores
del edificio.
Proteger todas las puertas exteriores del área de recepción cuando se abre la
puerta interna.
Inspeccionar el material entrante para descartar peligros potenciales antes de
ser trasladado desde el área de depósito hasta el lugar de uso.
Registrar el material entrante al ingresar al sitio pertinente.
A.9.2 Seguridad del equipo
A.9.2.1 Ubicación y protección del equipo
Deben considerarse las diferentes amenazas físicas y ambientales a los que los
equipos que procesan información pueden verse expuestos al momento de definir el
lugar donde se ubicaran los mismos.
Los siguientes principios o pautas deben tomarse en cuenta:
89
Debe evitarse instalar equipos de procesamiento de datos en lugares de libre
acceso, o en aquellos en que no sea posible establecer controles previos a
ingresar al área.
Los sitios u oficinas destinadas a procesamiento de datos críticos,
clasificados,
así como la sala de servidores deben estar estratégicamente ubicados a fin de
mantener permanente supervisión y vigilancia sobre el uso de los mismos.
Reducir el nivel de protección requerida mediante aislar en un entorno
independiente los sistemas o repositorios de información mas críticos o que
manejen información confidencial.
Se deberán realizar minuciosas supervisiones semestrales evaluando las
condiciones ambientales constatando que estas no afecten de forma negativa
los equipos repositorios y procesadores de información, en caso de
encontrarse sugerencias deberán aplicarse de inmediato.
A.9.2.2 Redes de suministro eléctrico
Los equipos deberán estar protegidos y tolerante a fallas en el sistema de suministro
eléctrico. La alimentación de energía eléctrica deberá apegarse a los requerimientos
del fabricante de los equipos. Además es necesario que se observen las siguientes
recomendaciones a fin de asegurar la disponibilidad de los equipos, y sistemas:
Contar con múltiples tomas de energía eléctrica y acometidas a fin de no
tener un único punto de falla en el suministro de energía eléctrica para los
equipos.
Contar con un sistema de suministro eléctrico de emergencia (UPS) que
permita tener suficiente tiempo para realizar un apagado sistemático de los
equipos en caso de pérdida del suministro eléctrico.
90
La capacidad del equipo a adquirirse será determinada luego de un análisis de
la cantidad de equipos a protegerse, es necesario que este análisis determine
los equipos más críticos que serán protegidos en función del servicio que
estos desempeñan o la información que estos manipulan o almacenan.
Al momento se cuenta con esta protección en los departamentos o secciones
más críticos, que permiten mantener el flujo eléctrico hasta por 30 minutos
posterior a la pérdida de suministro .Los departamentos son detallados a
continuación:
Departamento de Sistemas – 30 minutos
Secretaria- 10 minutos
Tesorería – 10 minutos
Direcciones de carrera – 10 minutos
Se prohíbe terminantemente la conexión de cualquier equipo que no se
encuentre entre los que se definieron previamente para ser protegidos por el
sistema de suministro eléctrico UPS
Debe existir un sistema de iluminación de emergencia
El Oficial de seguridad informática realizara una inspección semestral en
conjunto con el personal técnico respectivo a fin de asegurarse la
disponibilidad y correcto funcionamiento de la red de suministro eléctrico.
A.9.2.3 Seguridad del cableado
Al ser la red de cableado eléctrico y de datos un elemento crítico dentro de la
infraestructura tecnológica de la Universidad, debe ser protegido de intercepciones o
daños intencionales o no intencionales mediante aplicar las siguientes normas:
Las líneas de cableado eléctrico o de datos en lo posible deberán ser
subterráneas o contar con la protección necesarias tales como canaletas,
tuberías, y demás.
91
El cableado de datos deberá estar protegido a fin de evitar intercepciones no
autorizadas mediante el uso de tuberías.
No se desplegará el cableado de datos a través de áreas de acceso público o
no controladas.
El cableado eléctrico y el cableado de datos deben desplegarse de manera
separada a fin de evitar interferencias o pérdidas de paquetes de datos.
Los cables de red deberán ser identificados a través de marcadores
numéricos, lo cual minimizará el riesgo de manipulación errónea de los
mismos.
Los puntos de red deben estar claramente identificados en el bastidor o patch
panel.
Debe mantenerse documentados los diferentes empalmes y conexiones a fin
de evitar errores de manipulación.
Para los sistemas más sensibles ,como servidores de bases de datos, y demás
repositorios o procesadores de información critica deberán tomarse estas
medidas adicionales a las mencionadas anteriormente:
o Utilización de tubos blindados y de cajas con llave para los puntos de
inspección del cableado.
o Utilizar una ruta de cableado estratégicamente dispuesta que brinde la
seguridad y protección adecuada.
o Utilización de fibra óptica.
o Utilizar un escudo electromagnético para la protección del cableado.
92
o Acceso controlado y registrado para el acceso a las terminales de
cableado y realización de empalmes.
El oficial de Seguridad informática realizará una inspección trimestral en
busca de cualquier dispositivo instalado en la red que pudiera representar una
amenaza a la seguridad del mismo.
El plan de inspección mencionado en el punto anterior debe incluir una
revisión detallada de las áreas de concentración de cableado las cuales se
detallan a continuación:
o Departamento de Sistemas, concentración principal de cableado
o Direcciones de carrera , Interconexión en cascada con el sitio
principal de cableado (Departamento de sistemas)
o Biblioteca , Conexión inalámbrica con el sitio principal de la sede
(Departamento de sistemas)
o Datacenter, Se encuentra planificada la implementación de un
datacenter que concentrará el cableado y equipos de
comunicación, este debe ser el principal punto en el que el Oficial
de seguridad informática deberá enfocarse durante las
inspecciones planificadas.
A.9.2.4 Mantenimiento de los equipos
Se realizarán mantenimientos periódicos de los equipos a fin de asegurar la
disponibilidad de los mismos, tomando en cuenta los siguientes lineamientos:
Deben seguirse las recomendaciones del fabricante de los equipos con
respecto a la periodicidad de los mantenimientos para los mismos.
Solo el personal de sistemas de la Universidad está autorizado a realizar el
mantenimiento de los equipos.
93
Luego de realizar el mantenimiento el personal de sistemas colocará sellos
que garantizarán la no manipulación de los equipos.
El personal de sistemas mantendrá una bitácora, manual o digital de cada
equipo señalando los daños encontrados y posibles fallas, así como las
acciones de remediación y mantenimientos realizados.
Se prohíbe terminantemente al personal de sistemas el acceso, copia o
divulgación de la información clasificada que se encuentre almacenada en el
equipo al momento de realizar el mantenimiento.
Se deben observar los requerimientos impuestos por la empresa aseguradora
en caso de que los equipos estén asegurados, y los requerimientos aplicables
en caso de estar vigente el periodo de garantía del equipo por parte del
fabricante.
A.9.2.5 Seguridad del equipo fuera de las instalaciones
En la sede Guayaquil de la Universidad, se utilizan equipos informáticos portátiles
con información corporativa, y son utilizados por las siguientes áreas:
Vicerrectorado
Coordinación administrativa
Coordinación académica
Coordinación de talento humano
Coordinación de pasantitas
Coordinación de sistemas
Pastoral
Analista de sistemas
Directores de carrera (5)
94
Al momento de utilizar equipos de procesamiento de datos o repositorios de
información deberán seguirse los siguientes lineamientos a fin de asegurar la
protección de los mismos y de la información que estos almacenan:
Los equipos y medios de almacenamiento nunca deberán ser desatendidos
durante el periodo en que se mantienen fuera de las oficinas, en caso de ser
computadoras portátiles siempre se mantendrán cerca como equipaje de mano
y en lo posible de forma discreta.
Seguir rigurosamente las recomendaciones técnicas y ambientales dispuestas
por el fabricante.
Los equipos deben contar con un seguro adecuado para protegerlos durante
este tiempo.
La información almacenada en los equipos portátiles debe ser encriptada.
Establecer medidas técnicas que obliguen a autenticarse luego de un periodo
corto de inactividad.
En caso de realizar tele trabajo, la conexión hacia los servidores o servicios
de la sede debe realizarse a través de un túnel VPN, cifrando la información
enviada.
A.10 Gestión de las comunicaciones y operaciones
1.- Aspectos Generales
Las comunicaciones permiten el intercambio de información y acceso a la misma
desde las diferentes ubicaciones geográficas de la Universidad, pero a la par con los
beneficios que estas encierran existe un riesgo latente al utilizarlas.
Herramientas de comunicación como la Internet, correo electrónico y mensajera
instantánea se han convertido en un foco de proliferación de software malicioso,
virus, troyanos, puertas traseras, y un punto vulnerable que puede ser explotado por
95
piratas informáticos, es por eso que es necesario establecer lineamientos que
permitan minimizar los riesgos producidos por la manipulación de información a
través de canales de comunicación.
2.- Objetivos del Control
Garantizar que la manipulación de la información a través de canales de
comunicación se encuentre siempre disponible y que el uso de los mismos se realice
de modo seguro, mediante establecer controles, responsabilidades y procedimientos
que permitan mitigar los riesgos presentes y evitar incidentes de seguridad que
pondrían en riesgo la información como activo principal de la institución.
3.- Alcance del Control
Esta política es aplicable a todos los sistemas de información y los sistemas de
comunicación que son utilizados por los mismos.
4.- Responsabilidad del Control
La aplicación de los lineamientos expuestos en esta política será supervisada por el
oficial de seguridad de la información en cada una de las áreas de la Universidad
Politécnica Salesiana sede Guayaquil, contando con la colaboración de los
responsables de las diferentes áreas.
El Oficial de seguridad de la información además es responsable de de realizar los
procedimientos relacionados con esta política.
El departamento de sistemas realizará las labores operativas necesarias para dar
cumplimiento a la presente política, realizando esto siempre bajo la supervisión del
oficial de seguridad de la información.
96
5.- Política – Gestión del las Comunicaciones y Operaciones
A.10.1 Procedimientos y responsabilidades operacionales
A.10.1.1 Procedimientos de operación documentados
Como parte de la gestión de la seguridad de la información es necesaria la creación y
actualización de los procedimientos operativos relacionados con los diferentes
sistemas de información que la Universidad Politécnica Salesiana Sede Guayaquil.
Cuando se realice una modificación a los procedimientos, esta debe ser autorizada
por el Oficial de Seguridad de la información.
Entre la documentación que debe elaborarse debe constar:
Documentación sobre procesamiento de información utilizando los diferentes
sistemas de la Universidad.
Instructivo para manejo de errores comunes y generales que pudieran
presentarse el proceso de manipulación de la información.
Restricciones en el uso de utilitarios del sistema.
Gestión de servicios.
Aplicación de procedimientos de reinicio de sistemas o servicios que
permitirá garantizar la calidad y confiabilidad del servicios brindado por la
universidad en los caso de que estos hayan sido reiniciado ya sea por
procedimiento de rutinarios o de fuerza mayor.
Procedimiento de instalación, cambio, o reemplazo de componentes dentro de
los sistemas de información o comunicaciones.
Procedimientos de instalación y mantenimiento de los equipos de
procesamiento de información y comunicaciones.
97
Procedimientos de monitoreo de los sistemas de información y
comunicaciones.
Información sobre personal técnico a contactar en caso de errores o
problemas operativos ya sea de los sistemas propietarios de la universidad
como de los ISP que proveen los servicios de comunicación entre las sedes.
Procedimientos de resguardo de información.
Procedimientos de Respaldos.
Procedimiento de uso de correo electrónico.
A.10.1.2 Control de cambios en las operaciones
Todos los cambios realzados en el ambiente operativo deberán ser evaluados
previamente y documentado. El control de los cambios a realizarse es
responsabilidad del oficial de seguridad de la información, quien en conjunto con el
personal de sistemas evaluará las posibles implicaciones al realizar dichos cambios.
Cualquier cambio que afecte la plataforma tecnológica debe ser requerido por los
usuarios de la información y aprobado formalmente por el responsable de la
administración del componente tecnológico, Jefe de Oficina, o Director o a quienes
estos formalmente deleguen.
De ninguna manera un cambio será aprobado, realizado e implantado por la misma
persona o área.
Una bitácora debe ser mantenida registrando todos los cambios en el ambiente de
producción.
Entre los procedimientos y/o documentación requeridos se encuentran los siguientes:
Registro de cambios significativos en la infraestructura.
Evaluación de implicaciones posibles.
98
Documento de aprobación para realizar el cambio.
Planificación del proceso de cambio.
Procedimiento que permita reversar el cambio realizado.
Matriz de pruebas sobre el nuevo escenario.
Notificación por escrito a los departamentos implicados la cual debe incluir
los cambios realizados.
A.10.1.4 Separación de los ambientes de desarrollo y producción.
Los entornos de desarrollo y de producción deben mantenerse separados, de
preferencia físicamente separados, al momento de que un sistema o servicio deba ser
trasladado del entorno de desarrollo a producción deben documentarse reglas y
procedimientos de forma previa.
Los siguientes lineamientos deberán observarse:
Ejecutar la aplicación, programa, o servicios de desarrollo y producción en
diferentes ambientes, y diferentes servidores manteniéndose aislados uno del
otro.
Separar las actividades de desarrollo en ambientes aislados
En caso del software de producción, en lo posible evitar el acceso a código
fuente o herramientas de debugging.
Los sistemas de autenticación y control de acceso a los ambientes de
desarrollo y producción deben ser independientes.
Mantener documentados los nombres y cargos de los propietarios de la
información de ambos ambientes.
99
En lo posible el personal de desarrollo no tendrá acceso al entorno de
producción a menos que sea requerido y previamente autorizado por el
Oficial de seguridad de la información.
Durante el proceso de pruebas en el ambiente de desarrollo deberán realizarse
todas las pruebas pertinentes, las mismas que deberán documentarse de forma
similar al formato mostrado a continuación:
100
PLAN DE PRUEBAS AMBIENTE DE DESARROLLO
1. Datos Generales
Nombre de la prueba
Objetivo
Tipo de prueba Funcional / Técnica
Módulos o
programas
Tiempo estimado
2. Roles
Roles que intervienen en la prueba Responsabilidades
3. Descripción general de las pruebas
4. Plan de Pruebas
No Descripción S/N
1
2
3
5. Observaciones del plan de pruebas
6. Criterios de aceptación de la prueba
7. Firmantes
Elaborado por: Autorizado por:
Firma: Firma:
Cargo: Cargo:
Fecha: / / Fecha: / /
Figura 3.3
Fuente: Los Autores
101
10.2.1 Entrega del servicio
Se incluirán controles de seguridad, definiciones del servicio y niveles de entrega
incluidos en el acuerdo de entrega del servicio de terceros se implementen, operen y
mantengan.
En el caso de la sede Guayaquil de la UPS, se cuentan con contratos de provisión de
enlaces de datos y video conferencia entre las sedes de Guayaquil y Cuenca, así
como la provisión de acceso a Internet.
Deberán seguirse los siguientes lineamientos a fin de regularizar la aceptación del
servicio contratado:
La entrega del servicio de enlaces de datos o de cualquier servicio en el que
se contratase a un tercero, deberá incluir los acuerdos de seguridad pactados,
definiciones del nivel de servicio esperado y aspectos de la gestión del
servicio.
En caso de los acuerdos de abastecimiento externo, la organización debería
planear las transacciones de información, medios de procesamiento de la
información y cualquier otra cosa que necesite transferirse, y debiera asegurar
que se mantenga la seguridad a través del período de transición.
El personal de sistemas de la sede Guayaquil de la UPS, es responsable
asegurar que el proveedor mantenga una capacidad de servicio suficiente
junto con los planes de trabajo diseñados para asegurar que se mantengan los
nivel de continuidad del servicio en caso de existir fallas importantes en el
servicio o un desastre que cause una pérdida de disponibilidad del servicio.
10.2.2 Monitoreo y revisión de los servicios de terceros
Todos los servicios, reportes y registros provistos por terceros debieran ser
monitoreados y revisados periódicamente y serán sometidos a auditorias a fin de
asegurar que se esté dando fiel cumplimiento a lo acordado entre ambas partes.
102
La auditoria y el monitoreo permanente de los servicios asegurarán que se cumplan
los términos y condiciones de seguridad de los acuerdos, y que se manejen
apropiadamente los incidentes y problemas de seguridad de la información.
Entre las tareas asociadas a este aspecto se encuentran las siguientes:
Monitorear los niveles de desempeño del servicio que permitan dar fe de que
el proveedor está cumpliendo a conformidad con los acuerdos.
Revisar de los reportes de servicio emitidos por el proveedor del servicio
Recopilar información sobre incidentes de seguridad de la información
relacionados con la entrega del servicio contratado.
Revisar los rastros de auditoría del proveedor del servicio y los registros de
eventos de seguridad, problemas operacionales, fallas, e interrupciones
detectadas y reportadas.
Resolver y manejar cualquier problema identificado en la entrega del
servicio.
La responsabilidad de manejar la relación con terceros se debiera asignar a
una persona o equipo de gestión de servicios, en caso de la sede Guayaquil de
la UPS, el funcionario pertenecerá al departamento de sistemas.
Se llevará un control permanente relacionado con la entrega del servicio que
permita la identificación de vulnerabilidades y reporte y(o) respuesta a un
incidente de seguridad a través de un proceso, formato y estructura de reporte
definidos
103
10.2.3 Manejo de cambios en los servicios de terceros
Se gestionarán los cambios en la provisión de servicios, incluyendo el mantenimiento
y mejoramiento de las políticas, procedimientos y controles de seguridad de la
información existentes teniendo en cuenta el grado crítico de los sistemas y procesos
del negocio involucrados y la re-evaluación de los riesgos.
Esta gestión deberá incluir lo siguiente:
Los cambios realizados por la organización para implementar mejoras en los
servicios ofrecidos actualmente; desarrollo de cualquier aplicación y sistema
nuevo; modificaciones y(o) actualizaciones de las políticas y procedimientos
de la organización.
Controles nuevos para solucionar incidentes de la seguridad de la
información y para robustecer la seguridad en el servicio recibido.
Control de modificaciones en los servicios de terceros para implementar:
cambios y mejoras en las redes, uso de tecnologías nuevas, adopción de
productos nuevos o versiones más modernas, desarrollo de herramientas y
ambientes nuevos, cambios en la ubicación física de los medios del servicio,
entre otros.
A.10.3.Planeación y aceptación del sistema.
A.10.31 Gestión de capacidad
El oficial de seguridad de la información se encargará o delegará funciones de
monitoreo de las necesidades futuras que los diferentes sistemas de información o
servicios informáticos deberán cubrir.
Es necesario que periódicamente se realice un análisis de las nuevas necesidades de
la institución así como la posibilidad de hacer uso de nuevas tendencias relacionadas
con la tecnología y seguridad de la información.
104
Los posibles limitantes en los procesos de manipulación de la información y
necesidades de mejoramiento deberán ser informados y se buscará una futura
solución u optimización a través de la aplicación de una nueva tecnología y(o) la
implementación o actualización de sistemas o servicios informáticos.
A.10.3.2 Aceptación del sistema.
El Oficial de seguridad de la información en conjunto con el personal técnico
relacionado con la implementación de un nuevo sistema de información o servicio
informático sugerirán los criterios a observar al momento de aceptar la
implementación de nuevos sistemas, y(o) actualizaciones de versiones ya existentes.
Antes de realizar la aprobación formal se deberán considerar los siguientes puntos:
Evaluación de impacto en el desempeño y calidad del servicio.
Capacidad de recuperación ante errores o desastres, planes de contingencia.
Elaboración de los procedimientos de operación para la nueva solución.
Prueba de la efectividad de los procedimientos de operación de la nueva
solución.
Controles de seguridad aplicables.
Evidencia comprobable de que el nuevo servicio o sistema no afectara a los
demás sistemas en producción, sobre todo en horas de alta demanda de
trabajo.
Aceptación por parte del Oficial de Seguridad de la información , indicando
de que el nuevo sistema o servicio no se convertirá en un eslabón débil dentro
de la gestión de la seguridad de la información
Plan de capacitación en la nueva herramienta, sistema, o servicio informático.
105
Comprobar que el nuevo elemento es fácil de utilizar y no entorpecerá los
procesos relacionados al uso del mismo.
A.10.4 Protección contra software malicioso y código móvil
A.10.4.1 Controles contra software malicioso
El oficial de seguridad informática deberá establecer los controles técnicos o no
técnicos que permitan detectar, prevenir y proteger la infraestructura tecnológica de
la Universidad de software malicioso como virus, troyanos, “puertas traseras”, entre
otros, así mismo elaborar una estrategia para concienciar a los usuarios de la
información, sistemas, y servicios informáticos
El personal de sistemas será encargado de la implementación operativa de estos
controles.
Los controles deberán incluir las siguientes observaciones:
Definir formalmente una política que prohíba el uso de software no
autorizado dentro de la Universidad.
Todo software que sea utilizado por la Universidad deberá ser adquirido de
acuerdo a las leyes vigentes y siguiendo los procedimientos establecidos por
la Universidad.
Deberá fomentarse la cultura informática al interior de la institución que
asegure el conocimiento por parte de los funcionarios de la sede acerca de las
implicaciones que podrían acarrear la instalación de software ilegal en los
computadores.
No se brindará soporte técnico sobre cualquier aplicación instalada en los
equipos de la Universidad que no se encuentre autorizada por la coordinación
de sistemas para su uso
106
Se mantendrá un inventario detallado del software instalado en los equipos
así como el software instalado con fines de evaluación.
A fin de detectar software ilegal o potencialmente peligroso el departamento
de sistemas realizará revisiones e inspecciones periódicas de forma aleatoria.
Deberá disponerse de una herramienta que permita administrar y controlar de
forma automática el software instalado en los equipos.
Todo software ilegal encontrado deberá ser desinstalado inmediatamente.
Las aplicaciones actualmente autorizadas para uso en las computadoras de la
sede son:
a. APLICATIVOS
o Microsoft Office con sus respectivos aplicativos dentro del
paquete de instalación
o Adobe PhotoShop (Relaciones Publicas)
b. SEGURIDAD CLIENTES
o Antivirus F-Secure
c. SISTEMAS OPERATIVOS CLIENTES
o Microsoft Windows XP SP2
Elaborar procedimientos que permitan evitar riesgos relacionados con la
obtención de archivos y programas desde o a través de redes públicas como
Internet.
Instalar en todos los equipos software de detección y eliminación de virus y
software malicioso y mantener actualizadas las definiciones.
107
Los sistemas operativos deberán estar actualizados con los últimos parches de
seguridad o hotfixes, si la instalación de los mismos pudieran representar
cambios significativos en la infraestructura actual, estos deberán ser
evaluados previamente en un entorno de desarrollo independiente.
Establecer una política de revisión y escaneo de los archivos recibidos previo
a su utilización.
Alertar a los usuarios sobres las estrategias utilizadas para la difusión de los
virus y demás código malicioso a fin de evitar posibles infecciones.
Establecer una política de uso de dispositivos removibles que evitará la
propagación de código malicioso, generalmente residente en dispositivos
móviles.
Todos los equipos personales y portátiles deberán siempre mantener instalado
configurado y funcionando el software antivirus aprobado por la
coordinación de sistemas
Es responsabilidad del usuario reportar al departamento de sistemas
cualquier problema relacionado a infección de virus o software malicioso en
el equipo a él asignado.
La coordinación de sistemas se asegurara de que se realicen las
actualizaciones de las definiciones de virus en todos los equipos clientes.
A.10.5 Respaldo de información o Backups
A.10.51 Respaldo de la información
Se deberán analizar los requerimientos de respaldo y preservación de la información,
para esto el Oficial de seguridad informática junto con el personal designado por el
departamento de sistemas y propietarios de la información se reunirán
periódicamente realizaran las respectivas definiciones.
108
La persona designada dentro del departamento de sistemas como responsable de los
respaldos de información controlará la realización de las copias periódicas de los
datos y de llevar a cabo pruebas periódicas de restauración.
Se definirá una ubicación física, segura, con los controles de acceso necesarios y con
condiciones ambientales adecuadas para el almacenamiento de las copias de
seguridad.
Los procedimientos operativos relacionados con el respaldo de la información
deberán seguir los siguientes lineamientos:
Definir y establecer por escrito que tipo de información es necesario
respaldar y hasta que nivel.
Llevar una bitácora exacta sobre la realización de los respaldos de la
información, y documentación sobre el procedimiento a seguir para la
restauración.
Definir el tipo de respaldo , sea este total, incremental, o diferencial y la
frecuencia con la que se los realizará.
Los registros de las copias de seguridad deberán incluir el nivel de
criticidad de la información almacenada en los medios.
Los medios deberán almacenarse en un lugar aislado, lejos de áreas de
libre acceso, buscando áreas en las que sería menos probable la incidencia
de algún desastre o daño causado por factores ambientales.
Debe existir un plan de pruebas sobre los medios de almacenamiento, los
cuales serán probados periódicamente, los tiempos serán definidos por el
Oficial de seguridad informática.
109
Los procedimientos de restauración realizados por el departamento de
sistemas deberán ser revisados y probados a fin de asegurar la efectividad
de los mismos.
En caso de información altamente critica o confidencial, la información
deberá utilizarse encriptación al momento de almacenarla en los medios.
En caso del respaldo de información de sistemas críticos el respaldo será
total, aplicaciones, y datos de todos los sistemas, en general toda la
información que sería necesaria a fin de recuperar el servicio en caso de
un desastre.
Deberá además establecerse por escrito el periodo de tiempo en que se
retendrá la información almacenada en los medios.
En caso de utilizar dispositivos que permiten automatizar los respaldos,
estas deberán ser probadas en cada una de las fases, respaldo y
recuperación, antes de ser puestas en producción, es importante además
realizar pruebas periódicas que aseguren la confiabilidad del dispositivo.
Deben almacenarse copias de seguridad en otra ubicación física evitando
destrucción de las mismas en caso de una catástrofe como en caso de
incendios u otros.
A.10.6 Gestión de seguridad de redes
A.10.6.1 Controles de red
Las redes de comunicación de datos de la Universidad deben ser administradas y
monitoreadas de con regularidad y manteniendo la seguridad en las operaciones,
garantizando que la información trasmitida a través de la red se mantenga segura y
libre de acceso no autorizado.
110
La red de datos de la Universidad Politécnica Salesiana sede Guayaquil es
administrada por el departamento de sistemas, siendo responsable el Coordinador de
sistemas de elaborar controles y procedimientos operativos que observen los
siguientes principios:
En lo posible deberá delegarse las tareas de administración de red a
personal no relacionado con tareas operativas con los sistemas de
cómputo.
El Coordinador de Sistemas deberá establecer responsabilidades sobre las
diferentes tareas de administración y monitoreo de la red, incluyendo
equipos de comunicación, enrutadores, switches y canales de
comunicación.
Deben existir controles especiales a fin de asegurar la confidencialidad de
la información transmitida a través de redes públicas como Internet o a
través de redes inalámbricas. Pueden utilizarse recursos de orden técnico
como redes privadas virtuales (VPN) y utilizar encriptación sobre las
redes inalámbricas.
Debe existir registros de accesos a la red que permita llevar un control de
la actividad de red e identificar algún comportamiento anormal en la
misma.
Dentro del departamento de sistemas existen los siguientes cargos y
funciones de entre los cuales el Coordinador de sistemas puede delegar
funciones inherentes a controlar la red de datos:
Analista – Programador
Técnico en soporte y mantenimiento
Asistente de soporte y mantenimiento
111
En lo relacionado con la administración de los equipos de conectividad de
red tales como concentradores, enrutadores y demás se tomaran en cuenta
las siguientes recomendaciones:
o Configurar usuario y contraseña diferentes a los establecidos por
defecto en fábrica.
o Permitir acceso administrativo únicamente a direcciones IP
establecidas para este fin.
o Tiempo de 30 segundos de time out para sesiones inactivas
o Guardar registro de auditoría de las conexiones de administración
realizadas.
o Realizar respaldos de la configuración del switch al menos una vez
al mes.
o Las contraseñas de las comunidades SNMP deberá ser diferente a
la establecida por defecto en fábrica.
o Almacenamiento de las contraseñas de administración y
contraseñas de comunidades
Con respecto a la seguridad en dispositivos de interconexión inalámbrica
se deben tomar en cuenta los siguientes lineamientos:
Puntos de Acceso Inalámbrico (Access Point)
Broadcast: Deshabilitado
Modo de Seguridad: WPA/WPA2 con PSK
Método Cifrado de Datos: TKIP
Periodicidad de cambio de clave: 3 meses
Nombre de red (SSID): No debe ser fácilmente asociado por un
posible intruso.
A.10.6.2 Seguridad de los servicios de red
Para todo servicio de red que se planee implementar , refiriéndose a que este sea
interno , como un nuevo segmento de red, o externo como un nuevo enlace Wan de
datos, deberá asegurarse que este incluya características de seguridad que permita
mantener el nivel de servicio lo más alto posible.
112
Para este fin el Coordinador de Sistemas se asegurará de monitorear la capacidad
operativa del proveedor de servicios, en caso de ser externo, a fin de constatar que se
encuentra en la capacidad de proveer los servicios contratados en concordancia a los
requerimientos impuestos por la Universidad.
El Coordinador de Sistemas de la sede deberá asegurarse que el proveedor
implemente las características necesarias a nivel de seguridad y nivel de servicio que
se han establecido en el contrato de prestación de servicios.
Se define en esta política como servicios de red, implementados interna o
externamente por ejemplo a servicios de redes privadas, soluciones de seguridad
como firewalls, IPS/IDS, redes privadas virtuales, así como de enlaces Wan de banda
ancha.
Los servicios de red deben incluir control sobre las conexiones, VPNs, soluciones de
seguridad tales como firewalls, sistemas de prevención de intrusiones, etc. Estos
servicios pueden ser ofrecidos por el proveedor o implementados por el
departamento de sistemas de la sede.
Las características de seguridad que estos servicios deben cumplir son los siguientes:
El servicio de red debe contar con mecanismos de seguridad como
controles autenticación, control de acceso, y de conexión y cifrado.
Cumplir con los requerimientos técnicos establecidos previamente por la
Universidad, los cuales permitan una conexión segura a los servicios de
red.
Incluir procedimientos sobre la utilización del servicio de red,
procedimientos que permitan restricción de acceso al servicio o
aplicaciones.
113
A.10.7 Gestión de medios
A.10.7.1 Gestión de medios removibles
El Coordinador del departamento de sistemas diseñará procedimientos para la
administración de los medios removibles, como memorias flash, cintas discos, tapes,
etc.
Para la gestión de estos dispositivos se seguirán los siguientes libamientos:
En caso de que la información almacenada en dispositivos removibles
como cintas, discos ópticos, etc. deberá ser eliminada utilizando
herramientas que permitan asegurar que la misma no pueda luego ser
restaurada utilizando software destinado a este fin.
Deben estar claramente identificados los dispositivos que requieran que se
ejecute el proceso de eliminación segura mencionado en el anterior punto
Es necesario mantener un registro de la eliminación de los medios que
contengan información confidencial a fin de tener registros para futuras
auditorias o intervenciones.
Se recomienda seguir las siguientes normas de seguridad con relación a
los dispositivos removibles:
o Únicamente se permite el uso de dispositivos removibles a los
usuarios que lo requieran para el cumplimiento de sus funciones.
o Debe mantenerse identificado el tipo de información que se
almacenará en los dispositivos
o El responsable del medio velará por el buen uso de la información
en el medio almacenada.
114
o El responsable del medio velará por la seguridad de la información
durante el traslado del medio.
o En caso de pérdida del medio el responsable está obligado a
reportar el incidente al oficial de seguridad informática.
o En caso de ser necesaria la eliminación de la información
contenida en el medio se lo realizara a través de mecanismos
seguros.
o Los medios removibles deben ser utilizados como medio de
transporte de información y bajo ninguna circunstancia como
almacenamiento primario.
A.10.7.3 Procedimientos de manejo de la información
Deben definirse procedimientos para el manejo de la información de acuerdo a lo
definido en la sección de Clasificación y control de activos.
Estos procedimientos deberán incluir:
Protección a documentos físicos o digitales, sistemas de información redes de
comunicación de datos, comunicaciones móviles, correo electrónico y demás
servicios o sistemas en los que información se encuentre envuelta.
El acceso a estos activos será permitido únicamente a personal autorizado y
designado por el coordinador de sistemas
Mantener una bitácora que incluyan los accesos realizados a esta información
Conservar los sistemas y medios de almacenamientos en un ambiente
apropiado de acuerdo a las especificaciones del fabricante.
Se almacenara en los servidores únicamente información propietaria de la
sede Guayaquil de la Universidad Politécnica Salesiana.
115
Toda información de carácter sensible deberá almacenarse en servidores
repositorios de información manteniendo la seguridad de acceso pertinente.
En los computadores personales se mantendrá almacenada únicamente
información de apoyo, no clasificada como critica para la institución.
A.10.7.4 Seguridad en la documentación de los sistemas de información
Todos los sistemas de información deben contar con documentación operativa y
guías de administración, al ser esta información sensible se deben seguir las
siguientes pautas sobre su custodia:
La documentación del sistema debe almacenarse de manera segura con sus
respectivos índices y seguridades de acceso a la documentación almacenada
en cada una de ellas.
La cantidad de usuarios autorizados a acceder a la misma se mantendrá al
mínimo.
Los documentos del sistema de acceso público deben ser almacenados con la
debida seguridad de acceso, a través de credenciales, usuario y contraseña,
certificados digitales, tokens, etc.
Existe documentación sobre los sistemas de información residentes en la sede de
Cuenca, información como diccionario de datos y estructuras de almacenamiento, de
forma impresa y almacenada digitalmente con los debidos controles de acceso. A
esta información tienen acceso:
Jefe de desarrollo de software
Director de Sistemas
Personal designado por los anteriormente mencionados
116
A.10.9 Servicios de Comercio Electrónico
A.10.9.2 Transacciones en línea
La Universidad Politécnica Salesiana sede Guayaquil, a través de su portal Web
permite a los estudiantes realizar consultas financieras y académicas a sus clientes,
en este caso los estudiantes, así como también realizar pagos vía Internet con las
diferentes tarjetas de crédito con las que ha realizado convenios.
La institución debe garantizar que durante las transacciones en línea no exista
transmisión incompleta, divulgación de información privada, plagio de identidad, o
acceso no autorizado a los datos transmitidos a través de Internet.
Es por eso se recomienda tomar las siguientes medidas preventivas:
Utilizar firmas electrónicas en ambas partes que participan en la transacción
Durante la realización de la transacción deben existir certeza de que :
o Las credenciales de usuario son validas y han sido verificadas
o La transacción se ha realizado de forma confidencial
o Existe privacidad en ambas partes involucradas
Al utilizarse un canal de comunicaciones público, la información debe ir
encriptada.
Se utilizaran protocolos de comunicación seguros (SSL)
Los medios de almacenamiento donde se guarden las transacciones realizadas
en línea deben contar con protecciones robustas a fin de evitar accesos no
autorizados.
Cumplir con las leyes y regulaciones vigentes y establecidas por el estado
ecuatoriano.
117
A.10.9.3 Información disponible públicamente.
La información que puede ser vista desde Internet a través del portal Web de la
Universidad debe contar con la suficiente seguridad de acceso que permita asegurar
la no modificación de la misma.
Se realizará pruebas de penetración aplicadas sobre los servidores que publican
información a través de Internet a fin de descubrir vulnerabilidades que permitan
afectar la confiabilidad e integridad de la información en ellos almacenados.
Adicionalmente deberá observarse las regulaciones legales establecidas por el estado
referente a comercio electrónico y manejo de información.
A.10.10 Monitoreo
Se deberá detectar cada una de las actividades que involucren el procesamiento de la
información que no ha sido autorizada por el Coordinador de Sistemas, también se
deberán utilizar bitácoras de operador y registrar cada una de las fallas para poder
asegurar que se identifiquen cada uno de los problemas en las distintas dependencias
Las tareas de monitoreo realizadas deberán cumplir con cada uno de los lineamientos
establecidos en este documento:
Gestión de Monitorio Sede Cuenca
En vista que los gestores de base de datos como las aplicaciones de gestión
académicas residen en la sede de Cuenca, el personal de sistemas de la sede matriz se
encargara de monitorear cada uno de los eventos , alertas, y estado de los mismos
asegurándose de documentar de los eventos ocurridos.
Gestión de Monitorio Sede Guayaquil
Como parte de las tareas del personal de sistemas de la sede Guayaquil se encuentra
el monitoreo de la disponibilidad y estado de los servicios informáticos, servidores y
equipos utilizados tanto por el personal docente como por los estudiantes.
118
Se deberá mantener un constante monitoreo de los servicios más críticos de la sede,
mencionados a continuación:
Enlace a Internet
Enlaces hacia Cuenca
Proxy Server
Carga de los servidores
Estado y utilización de los enlaces inalámbricos
A10.10.1 Registro de Auditoria
Se deberán generar el registro de la auditoria que deberá contener cada una de las
excepciones y los eventos que hayan sido relativos con la seguridad informática
Todas las acciones generadas en el proceso de auditoría se deberán mantener en un
periodo acordado, el cual permitirá facilitar los procesos de investigación y el
monitoreo de los controles de acceso concedido en cada uno de los procesos.
Los registros de auditoría deberán seguir los siguientes lineamientos de seguridad
Utilizar las ID o nombre de usuario.
Fecha, hora que identifique las fecha de ingreso y salida.
Presentar la identidad y dirección IP de donde inició sesión el usuario.
Mantener un registro de intentos fallidos que serán registrado en el
sistema
Mantener un registro de los accesos no permitidos por un mencionado
usuario.
Registrar los cambios en la configuración de los perfiles del usuario en el
sistema.
119
Mantener un registro del uso de las utilidades y aplicaciones que son
empleadas por el usuario del sistema.
Mantener una bitácora del acceso al que tuvo el usuario.
Mantener controles que monitoreen los de accesos ya sea por emisión de
sonidos o alarmas.
Mantener un control de activación y desactivación de los sistemas de
protección, como de aquellos sistemas de anti-virus y de detección de
intrusos.
Se deberán implementar las medidas de control de la protección a la privacidad
apropiadas sobre la información privada o confidencial sobre el usuario que
mediante el monitoreo se podría obtener.
El Encargado del departamento de Sistemas no deberá tener permisos para borrar o
desactivar los controles de auditoría, y de igual forma se realizaran auditorias sobre
las actividades realizadas por él.
A.10.10.2 Uso del Sistema de Monitoreo
Se deberán contemplar los procedimientos para el monitoreo de cada uno de los
medios de procesamiento de la infamación y estos medios serán revisados de manera
periódica en cada una de las actividades realizadas y almacenadas
La determinación del nivel de monitoreo de las actividades de los medios de
procesamiento de la información estarán de acuerdo a su evaluación realizada en
cuanto a su criticidad y al riesgo al que están expuestos.
Cada uno de los sectores deberá considerar las siguientes implicaciones:
Incluir ID del usuario.
Fecha y hora de ingreso y salida.
120
Tipo de acción realzada.
Identificación de los documentos y los sitios donde tuvo acceso.
Identificación de los programas y/o utilidades que fueron ejecutados.
Anexo de la operaciones catalogadas como privilegiadas.
Uso y fecha de ingreso con las cuentas privilegiadas.
Dispositivos de entrada y salida que fueron utilizados para adjuntar o
eliminar la información.
Intentos de acceso no autorizados
- Registros de accesos fallidos por el usuario.
- Registro de acciones fallidas que involucren datos o información
dentro de los sistemas.
- Violaciones a políticas de seguridad establecidas en los
dispositivos de seguridad como firewalls.
Alertas o fallas del sistema:
- Implementar alertas en caso de fallas o degradación del servicio.
- Control sobre acciones realizadas por red , y alertas de saturación
de los canales de comunicación
- Alertas en tiempo real en cuanto se realcen cambios en alguna
configuración
Monitorear cambios o intentos de cambios
121
A.10.10.3 Protección del registro de Información
Este control está orientado a proteger de cambios no autorizados y operaciones no
autorizadas en los medios de registro. Para la implementación de este control se
deberá considerar:
Considerar las alteraciones que se hayan registrado en cada según los
mensajes.
Salvaguardar aquellos archivos de registro que va ha ser editados o
eliminados.
Debe asegurarse que los registros sean almacenados con seguridad
evitando almacenar los mismos en medios de almacenamiento
defectuosos.
A.10.10.4 Registro del Administrador y Operador
Se deberán registrar cada una de las actividades realizadas por el encargado del
departamento de Sistemas y los operadores a los que se les ha delegado tareas
relacionadas con la administración de sistemas. Se registrara lo siguiente
Hora en el que ocurre el evento
Tipo de evento o acción realizada
Identificación del usuario involucrado
Tareas o procesos secundarios envueltos incluso los ejecutados a bajo
nivel
A.10.10.5 Registro de Fallas
Debe mantenerse un registro detallado de cada una de las fallas significativas que los
sistemas, servicios informáticos o bases de datos presenten durante su normal
operación, se deberían observar los siguientes lineamientos:
122
Realizar una revisión de cada uno de los registros, de manera que se
permitan saber si ya han sido resueltas de manera parcial o total.
Revisión de las medidas correctivas ejecutadas que permita establecer
las acciones a tomar en caso de que el problema se presente en lo
posterior.
A.10.10.6 Sincronización de relojes
Los relojes de cada uno de los sistemas de procesamiento de la información, deberán
mantenerse sincronizados con una fuente que proporcione una hora exacta.
En caso de establecer un servidor contra el cual se sincronizaran los demás, este
deberá apegarse el estándar previamente establecido por la organización, en este caso
se ha definido la zona horaria para la región continental de Ecuador (GMT-5)
La sincronización de relojes, fechas y zona horaria será de vital importancia para
asegurar la exactitud al momento de definir el momento en que algún evento se
suscita a través de las labores de monitoreo definidas en esta política.
A.11 Control de Accesos
1.- Aspectos Generales
Las acciones que permiten una gestión y control sobre los accesos al los activos de
información o sistemas son la base de todo sistema de gestión de seguridad
informática.
Es por esto que es de vital importancia la implementación de controles y
procedimientos que permitan garantizar que el control y asignación de privilegios
sobre el acceso a sistemas, repositorios de información, y bases de datos.
Estos controles deben mantenerse documentados y actualizados, pero sobre todo
debe existir un riguroso control por parte del encargado de la seguridad en cuanto al
123
cumplimiento de estos controles durante la operación diaria de los sistemas y activos
de información.
En este aspecto es importante el compromiso adquirido por los usuarios a fin
de
llevar a cabo los lineamientos sugeridos, razón por la cual la divulgación de esta
política debe ser masiva.
2.- Objetivos del Control
Evitar todo acceso no autorizado tanto a los activos de información, bases de
datos, y sistemas de información.
Establecer mecanismos de seguridad de accesos a través de robustas técnicas de
autenticación.
Controlar el acceso desde o hacia redes públicas o de entidades externas.
Mantener un registro de eventos de actividades de los usuarios y realizar
auditorías sobre los mismos.
Concienciar a los usuarios sobre la importancia de la seguridad de acceso e
impulsarlos a cumplir rigurosamente los controles y políticas aquí descritas.
Garantizar la seguridad y acceso a la información al utilizar equipos portátiles,
conexiones remotas, o computación móvil.
3.- Alcance del Control
Esta política es aplicable a todas las acciones relacionadas con acceso a recursos de
información, a todos los usuarios sobre los cuales recaen privilegios de acceso a
sistemas o bases de datos, así como a personal técnico del área de sistemas y de
seguridad informática
124
4.- Responsabilidad del Control
La elaboración de las políticas de control de acceso y controles serán responsabilidad
del Oficial de seguridad informática, de igual manera será la persona encargada de
autorizar los permisos que los usuarios a través de la jefatura de su respectivo
departamento soliciten.
Es también responsable de auditar los accesos de los usuarios a los diferentes
recursos de información a través de la revisión de logs de actividades, y de acceso.
Los jefes departamentales son los responsables de avalar las solicitudes de acceso de
sus respectivos subalternos, y aprobarlas por escrito.
Es por su parte responsabilidad de los usuarios de la información, sistemas y
servicios informáticos observar rigurosamente esta política y darle cumplimiento.
5.- Política – Control De Accesos
A.11.1 Requerimiento comercial para el control del acceso
A.11.1.1 Política de control de acceso
La política de control de acceso y derechos que los usuarios individualmente o
grupalmente deben ser claramente establecidos. Estos controles deben ser tanto de
acceso físico como lógico.
Dentro de los lineamientos de implementación debe tomarse en consideración lo
siguiente:
Establecer los requerimientos de seguridad para las aplicaciones o
sistemas críticos de la institución.
Identificar que información está ligada a los sistemas de información y
debe ser protegida.
125
Debe existir consistencia entre los niveles de accesos establecidos y el
nivel de criticidad con el que fue catalogada la información.
Asegurar el cumplimiento de las regulaciones y legislación vigente.
Definir niveles de acceso de usuario estándar para personal que se ajuste a
labores básicas dentro de la institución.
Gestionar la seguridad de acceso tanto para ambientes simples como
distribuidos tomando en cuentas las comunicaciones que para esto se
requiera.
Establecimiento de un procedimiento que permita autorizar los accesos
necesarios por los usuarios de la información o sistemas.
Si se delegan las tareas operativas de concesión de derechos de acceso
estas deben ser documentadas y controladas por el Oficial de seguridad de
la Información.
Cronograma de revisión y auditoria de privilegios concedidos.
Controles que permitan revocación de privilegios de acceso.
Los permisos de acceso a los sistemas de información son concedidos por
el administrador de base de datos luego de existir solicitud y aprobación
por escrito del permiso solicitado.
A continuación se muestra un formato referencial que podría servir como
constancia de la solicitud y concesión de privilegios de acceso.
126
FORMULARIO DE SOLICITUD DE ACCESO A SISTEMAS DE
INFORMACIÓN
SOLICITUD DE ACCESO A SISTEMAS DE INFORMACIÓN
1. Datos Generales
Sede:
Departamento
2. Datos del usuario
Nombre y Apellido del Solicitante:
Cargo: TEL 1:
Correo electrónico:
3.Perfil del Usuario que se está creado ( Marque la opción)
Sistema de información:
Creación Modificación
Perfil 1 Eliminación:
Prefil2 Cambio Perfil: Elaboración
Revisión
Aprobación
5. Firmantes
Solicitado por: Autorizado por:
Firma: Firma:
Cargo: Cargo:
Fecha: / / Fecha: / /
6. Aprobación ( Para uso interno Coordinación )
Aprobado por: Observaciones
Firma:
Cargo:
Fecha: / /
7. Condiciones
127
Condiciones:
a) El usuario y contraseña otorgado es de uso personal
b) El usuario y contraseña por ningún motivo debe ser transferido a otro funcionario.
c) La suspensión temporaria o definitiva del funcionario deberá ser comunicada de
inmediato al administrador de usuarios del sistema siguiendo los mecanismos
definidos
d) Los cambios de perfiles del funcionarios, deberán ser comunicados al administrador de
usuarios del sistema siguiendo los mecanismos definidos
e) Todas las operaciones realizadas en los sistemas, son responsabilidad del funcionario
propietario del usuario.
f) Debe de salir del sistema cada vez que no esté en uso.
g) Los inconvenientes asociados a las habilitaciones y modificaciones deberán ser
comunicados al administrador de usuarios del sistema
Figura 3.4
Fuente: Los Autores
A.11.2 Gestión del acceso del usuario
A.11.2.1 Inscripción del usuario
Debe desarrollarse un procedimiento que permita registrar de manera única a los
usuarios que requerirán acceso a la información.
Se deben tomar en cuenta los siguientes lineamientos en el registro de usuarios:
Utilizar nombres de usuarios únicos que permitan el no repudio de las
acciones realizadas con el mismo.
Realizar chequeos que permitan establecer que el usuario tenga la
autorización asignada por el administrador del sistema, servidor, o base de
datos.
128
Chequear que el nivel de acceso otorgado sea el estrictamente necesario para
que el usuario pueda realizar únicamente las tareas relacionadas con su
trabajo.
Al momento de registrar un usuario el funcionario deberá firmar el
formulario que indique su usuario, mecanismo de autenticación, sistema al
que se le ha concedido acceso y privilegios asignados.
Bajo ninguna circunstancia el personal de sistemas otorgará privilegios de
acceso sin haber completado el proceso normal de aprobación.
Asegurarse que no se asignen nombres de usuarios repetidos para los
sistemas o servicios.
Se establecerá en el contrato de servicios del funcionario una cláusula que
indique la sanción por incumplimiento a la política de seguridad y control de
accesos.
A.11.2.2 Gestión de privilegios
Los privilegios de acceso se mantendrán al mínimo necesario para el cumplimiento
de las funciones individuales de cada funcionario, estos privilegios serán regulados a
través de los siguientes lineamientos de seguridad:
Deben establecerse por escrito y de forma detallada los privilegios de acceso
que el usuario tendrá para cada uno de los sistemas de información, base de
datos, y servicios informáticos a utilizarse en la institución, de ninguna
manera se asignaran privilegios generales para todos los servicios.
Los privilegios se asignaran en función de la premisa “solo lo que el usuario
necesita saber”, no se asignaran funciones ni accesos a ningún módulo o
servicio que no sean los que estrictamente se necesitan para el cumplimiento
de su función.
En lo posible se utilizaran herramientas de software automatizadas para la
asignación de privilegios, permisos y accesos a menús.
129
Los privilegios se asignaran a usuarios específicos y nunca a usuarios
generales designados a utilizarse para tareas básicas de operación del sistema
con datos o información pública.
Deberá prestarse especial atención al uso que el personal de tecnología da al
usuario administrador del(los) sistema(s), pues el uso indebido supondría una
vulnerabilidad significativa a la seguridad.
A.11.2.3 Gestión de claves secretas de los usuarios
La asignación de contraseñas de acceso a los sistemas e información deberá ser
gestionada por un proceso de autorización previo a la asignación de los mismos, este
procedimiento deberá incluir lo siguiente:
Debe firmarse el formulario que incluye el enunciado de confidencialidad de
las credenciales de autenticación de usuario
Se deberá asignar inicialmente una clave temporal a los usuarios y establecer
los mecanismos que permitan que el usuario cambie su contraseña a fin de
que ni el usuario del departamento de sistemas la conozca.
Establecer un procedimiento que permita corroborar la identidad del
funcionario previo a entregarle su nombre de usuario y contraseñas para los
sistemas o servicios.
Las claves temporales de igual forma deben entregarse a los usuarios de
manera segura en sobre sellado y existiendo una constancia escrita y firmada
de la recepción de la misma
Las contraseñas de los sistemas o servidores nunca deberán ser almacenadas
en los equipos de computo a menos que estas sean almacenadas utilizando en
algoritmos robustos de encriptación
130
Bajo ninguna circunstancia se mantendrán las contraseñas establecidas desde
fabrica para los equipos nuevos que la institución adquiera, antes de ser
puestos en producción se les asignaran contraseñas con la longitud adecuada.
131
FORMULARIO DE ENTREGA Y RESPONSABILIDAD DE
CONTRASEÑAS
SOLICITUD DE ACCESO
1. Datos Generales
Sede:
Departamento
2. Datos del usuario
Nombre y Apellido del Solicitante:
Cargo: TEL 1:
Correo electrónico:
3. Perfil del Usuario que se está creado ( Marque la opción)
Sistema de información:
Usuario / Contraseña
Usuario
Contraseña
4. Aceptación de obligaciones del usuario
h) El usuario y contraseña otorgado es de uso personal
i) El usuario y contraseña por ningún motivo debe ser transferido a otro funcionario.
j) La suspensión temporaria o definitiva del funcionario deberá ser comunicada de inmediato al
administrador de usuarios del sistema siguiendo los mecanismos definidos
k) Los cambios de perfiles del funcionarios, deberán ser comunicados al administrador de
usuarios del sistema siguiendo los mecanismos definidos
l) Todas las operaciones realizadas en los sistemas, son responsabilidad del funcionario
propietario del usuario.
m) Debe de salir del sistema cada vez que no esté en uso.
Los inconvenientes asociados a las habilitaciones y modificaciones deberán ser comunicados al
administrador de usuarios del sistema
5. Firmantes
Recibido por: Entregado por:
Firma: Firma:
Cargo: Cargo:
Fecha: / / Fecha: / /
Figura 3.5
Fuente: Los Autores
132
Con relación a las contraseñas utilizadas por el personal encargado de
administrar los servidores, deberá entregarse un listado de los usuarios y
contraseñas para cada servidor o sistema luego de contar con la respectiva
autorización. Puede utilizarse un formato similar al presentado a
continuación:
CONTRASEÑAS DE ACCESO SERVIDORES
SOLICITUD DE ACCESO A SISTEMAS DE INFORMACIÓN
1. Datos Generales
Sede:
Departamento o Coordinación
2. Datos del administrador
Nombre y Apellido del Solicitante:
Cargo: TEL 1:
Correo electrónico:
Figura 3.6
Fuente: Los Autores
3. Perfil del Usuario que se esta creado ( Marque la opción)
DIRECCION IP HOSTNAME USUARIO CONTRASEÑA
10.0.0.1 SERVER1 Root **********
10.0.0.2 SERVER2 Root **********
10.0.0.3 SERVER3 Root **********
10.0.0.4 SERVER4 Root **********
10.0.0.5 SERVER5 Root **********
4. Aceptación de obligaciones del usuario
5. Firmantes
Recibido por: Entregado por:
Firma: Firma:
Cargo: Cargo:
Fecha: / / Fecha: / /
133
A.11.2.4 Revisión de los derechos de acceso de los usuarios
El oficial de seguridad informática realizará una revisión periódica de los derechos
de acceso establecidos para los usuarios. Este proceso de revisión debe observar los
siguientes lineamientos:
Los derechos de acceso a los usuarios deberán ser revisados al menos cada 6
meses de forma ordinaria , y de forma extraordinaria en caso de existir una
promoción o ascenso de un funcionario , o en caso de el funcionario cese en
sus funciones dentro de la institución.
Los derechos de acceso deberán ser revisados y ajustados cuando se traslada
o transfiere a un funcionario a otra área o departamento dentro de la
organización.
Los accesos privilegiados, usuarios administradores, o usuarios con acceso a
información altamente crítica deberán ser revisados cada 3 meses.
Los accesos privilegiados deben ser registrados a fin de dar especial atención
a estos.
Los usuarios asignados al personal de tecnología o sistemas deberán ser
especialmente auditados al contar con derechos totales de acceso.
11.3 Responsabilidades del usuario
11.3.1 Uso de las claves secretas
Este control está orientado a buen uso de las prácticas de seguridad informática y el
uso de las contraseñas para el acceso a la información.
Siendo las contraseñas un medio de validación e identificación del usuario, como un
medio para la clasificación de los medios de acceso a los servicios otorgados; el
mencionado usuario deberá apegarse al siguiente alineamiento de la política de
control.
134
Mantener la no divulgación de las contraseñas
Llevar un cambio periódico de las contraseñas o en el caso que exista algún
indicio que acceso de acceso no permitido este deberá modificar su clave de
acceso
La selección de una contraseña adecuada, deberá ir de acuerdo a las
prescripciones informadas por el responsable de la seguridad informática.
Para esto el usuario deberá llevar a cabo los siguiente lineamientos:
o Que sean fácil de recordar por el usuario.
o Que no mantenga una relación directa con el usuario y que esta no se
pueda obtener de manera sencilla, como tampoco utilizar información
como nombres, teléfonos, fechas de nacimiento, etc.
o Estas no deberán contener una secuencia consecutiva de caracteres o
un alineamiento totalmente numérico.
Realizar un cambio de las contraseñas cada vez que el sistema lo amerite y
tratando en lo menos posible de reutilizar antiguas claves empleadas.
Realizar en cambio de las contraseñas provisionales desde el primer inicio de
sesión en el sistema.
Evitar la inclusión de las contraseñas en los procesos de automatización.
Cualquier anomalía relacionada con el hurto, robo o pérdida de la contraseña;
como aquellos indicios en la pérdida de la confiabilidad de los sistemas
deberán ser notificado de acuerdo a lo establecido en la política de
Comunicación de incidentes relativos.
No compartir las claves individuales con los demás usuarios.
135
Evitar el uso de las claves personales con fines comerciales y no comerciales.
11.3.2 Equipo del usuario desatendido
Este control está orientado para aquellos equipos que se encuentran desatendidos y
no mantengan la protección apropiada.
Cada uno de los usuarios deberá mantenerse al tanto de los requerimientos de
seguridad y los procedimientos adecuados para el equipo desatendido
Cerrar cada una de las sesiones al terminar de procesar la información, en el
caso de contener un procedimiento de cierre automático de la sesión o
protectores de pantallas activados con clave secreta de acceso al equipo.
Finalizar las sesiones del sistema en los equipos servidores, y computadores
de escritorio al terminar la sesión.
Asegurar el encendido de las computadoras de escritorio o terminales de
acceso contra el uso no autorizado mediante un seguro de clave o control
equivalente.
11.3.3 Política de escritorios y pantalla limpios
La información critica o confidencial de la universidad, ya sea escrita o
almacenada en dispositivos electrónicos, deben ser guardados bajo llave, en
caso de la información más crítica se debería almacenar en cajas fuertes o
archivadores, teniendo especial cuidado cuando la oficina se encuentra
desatendida.
Los computadores deben apagarse o bloquearse al momento de abandonar las
oficinas.
El uso de fotocopiadoras, faxes, escáner, cámaras digitales, memorias usb, y
demás deberán ser controlados y permitidos únicamente en caso de ser
necesario.
136
Los documentos confidenciales deberán ser retirados inmediatamente de la
impresora.
11.4 Control de acceso a la red
A.11.4.1Politica sobre el uso de los servicios de red
El acceso a la red a través de servicios no asegurados podrían afectar el optimo
redimiendo de la infraestructura tecnológica de todo el Organismo de la Universidad
Politécnica Salesiana.
Para esto es necesario garantizar que cada uno de los usuarios que mantengan acceso
a la red y sus servicios brindados; no lleguen a comprometer la seguridad de los
mismos.
El jefe de operaciones como responsable del Área Informática mantendrá a su cargo
el otorgamiento del acceso a los servicios y los recursos brindados por la
infraestructura tecnológica de la institución, estos solo deberán ser brindados
únicamente con el pedido formal del titular departamental quien será el que solicite
los permisos para el personal a su cargo.
La importancia de este control es por las conexiones de acceso a la red y las
aplicaciones que estarán procesando la información ya serán catalogadas como
clasificadas o criticas, como para aquellos usuarios que utilicen el acceso desde
aquellos sitios definidos como de alto riesgo para la institución como también
aquellas áreas públicas que están fuera del control de seguridad de la institución.
Los procedimientos aplicados en este control están orientados a la activación y
desactivación de los derechos de acceso a las redes de la universidad el cual
contemplaran los siguientes ítems:
137
a) Identificación de cada una de las redes de la universidad; sus servicios
brindados y cuales serán de fácil acceso. La universidad utiliza una red clase
B en su entorno de networking la dirección de red es 172.18.0.0/16.
b) Aplicación de normas de procedimientos de autorización para determinar los
usuarios, redes y servicios al cual se le podrán otorgar.
Establecer políticas de control y procedimientos de gestión para precautelar el acceso
a las conexiones y servicios brindados por la red.
A.11.4.2 Autentificación del usuario para las conexiones externas
Las conexiones externas son clasificadas como una de las principales
vulnerabilidades por los accesos no autorizados a la información de la Institución.
Por estos motivos el acceso de aquellos usuarios remotos estará sujeto al
cumplimiento de cada uno de los procedimientos de autenticación.
El responsable de la Seguridad Informática será el que tome la decisión sobre cual
tipo de autenticación disponible implementar.
La autenticación de cada uno de los usuarios remotos que ingresan al sistema deberá
mantenerse bajos los siguientes principios:
Facilitarle un método de autenticación físico.
Asignación de herramientas de autenticación.
Contemplar registro de los posee de autentificadores.
Mantener un registro de rescate en el momento que exista la desvinculación
del personal en la institución.
Implementación de métodos de revocación de acceso del autentificador, en el
caso que se vea comprometido la seguridad informática.
138
Utilización de líneas dedicadas privadas o herramientas de verificación de la
dirección del usuario de red. con la finalidad de poder constatar el origen de
la conexión.
A.11.4.3 Identificación del equipo en las redes
Las herramientas de conexión automática o de escritorio remoto para un determinado
equipo puede ser un medio fácil para obtener un acceso no autorizado a cualquiera de
las aplicaciones que posee la Institución.
Para esta particular es muy importante que la institución mantenga métodos de
autentificación robustos el cual evitara una infiltración de las personas no autorizadas
a las aplicaciones de la institución.
A.11.4.4 Protección del puerto de diagnostico y configuración remoto
Muchos de los servidores u equipos de comunicación mantienen instalados puerto de
administración (ILO) y diagnostico remoto.
En este caso se deben contemplar mecanismos de seguridad apropiados, que irán
relacionados con el acceso y seguridad física.
A.11.4.5 Segregación en redes
En caso de que la red de datos sea extensa, se los deberá dividir los dominios lógicos
y mantener los segmentos separados.
Para estos casos deberá existir la documentación necesaria de los perímetros de
seguridad que sean más convenientes para dicha implementación.
Debe contemplarse además la instalación de gateways con funcionalidades de
firewall o redes privadas virtuales que permitan segmentar las redes segregadas y el
trafico que recorre en cada un de ellas, como también la aplicación de las políticas de
control de acceso.
139
Las redes pueden ser segregadas mediante IP switching y enrutamiento controlando
el trafico entre los diferentes segmentos de red, adicional a las configuraciones que
permitan enrutamiento entre segmentos de red deberían existir mecanismos de
control de acceso entre redes.
Para la subdivisión de los dominios de la red se tomara en cuenta los siguientes
criterios:
Establecer los requerimientos de la seguridad del dominio y para cada
segmento de red independientemente.
Definir que grupos integraran los segmentos de red.
Segmentar aquellos grupos que están expuestos a peligros externos (DMZ).
La universidad actualmente mantiene segregadas las redes a través del uso de
VLANs, la distribución se menciona a continuación:
o VLAN Laboratorios: Estas VLANs están destinadas a separar las
redes de los diferentes laboratorios de las redes de uso de la
institución.
o VLAN para departamento administrativo
o VLAN para departamento financiero
o VLAN de uso general.
A.11.4.6 Control de conexión a la red
Al existir diferentes segmentos de red segregados por subredes y controlados
mediante dispositivos de seguridad de red, será necesario establecer controles que
permitan el acceso específicamente a los servicios que sean necesarios protegiendo:
140
a) Servicios tales como correo electrónico
b) Transferencia de archivos
c) Acceso interactivo
d) Acceso a la red fuera de los horarios laborales
e) Sistemas de información o servicios de red
f) Otros controles aplicables
A.11.4.7 Control de enrutamiento de la red
En el caso de las redes compartidas, principalmente aquellas que se han extendido
fuera de los límites de la organización, se deberá incorporar controles de ruteo para
asegurar que las conexiones y flujos de información no violen la política de control
de acceso.
Este control deberá contemplar la verificación de los direcciones IP de origen como
de destino, control sobre los protocolos de enrutamiento dinámico, estático,
traducción de direcciones (NAT) y controles de listas de acceso (ACL).
En vista que la Universidad utiliza un Proxy de conexión y un gateway que realiza
NAT, estos deben proveer controles de accesos asociados a la dirección fuente y
destino.
A.11.5 Control de acceso al sistema operativo
A.11.5.1 Procedimientos para un registro seguro
El acceso a los servicios e información, solo será posible a través de una conexión
segura. El procedimiento de conexión seguro para los sistemas informáticos deberá
ser diseñado con la finalidad de minimizar cualquier oportunidad de acceso no
autorizado.
La constitución de este procedimiento procurará evitar la divulgación de la
información del sistema, a fin de no proveer de información a un usuario no
autorizado, deberán evitarse banners que informen sistema operativo, versiones,
sistema o servicio instalado, etc.
141
El procedimiento de identificación deberá contemplar los siguientes parámetros:
a) Mantener la confidencialidad de los identificadores o aquellas aplicaciones
del sistema que solo deberán ser mostrados cuando el proceso de conexión
segura se haya completado en su totalidad.
b) Alertar mediante mensajes en pantalla (Banners) que únicamente usuarios
autorizados podrán acceder a los servicios.
c) Evitar mostrar mensajes de ayuda que puedan proveer de información a un
atacante o usuario no autorizado del sistema
d) La validación de la conexión solo se realizara al completarse en su
totalidad los datos de entrada. En el caso de generarse un error en el proceso
de conexión, este no deberá mostrar el motivo u origen del error; como
tampoco el sistema deberá indicar que parte de los datos han sido ingresados
de manera errónea.
e) Limitar el número de conexiones permitidas como y de intentos fallidos,
registrarlos, y bloquear cualquier usuario que haya alcanzado el máximo de
intentos no permitidos.
f) Limitar el tiempo máximo de conexión permitido, en el caso que este sea
excedido, el sistema deberá finalizar la sesión y cancelar la conexión
g) Al realizar una conexión exitosa, el sistema deberá visualizar al usuario su
última fecha de conexión exitosa incluyendo la hora, fecha y equipo de la
conexión
A.11.5.2 Identificación y autenticación del usuario
Todos aquellos usuarios que hagan uso del sistema incluido al personal de sistemas
(soporte técnico, operadores, coordinador de sistemas, y demás.) deberán contar con
un identificador único (ID de usuario) que será de uso personal y exclusivo, de esta
142
manera se podrá rastrear los eventos realizados por el usuario. Los indicadores de los
usuarios no deberán dar indicios de los niveles de privilegios que contiene.
En casos excepcionales, se podrá utilizar los identificadores compartidos para un
grupo de usuarios o para una tarea específica, en estos casos se deberán establecer
los motivos, justificación y contar con aprobación de la Coordinación de sistemas y
el Oficial de Seguridad Informática.
Al implementarse un mecanismo de autentificación físico tales como identificadores
de hardware, deberá contarse con un procedimiento que incluya la siguiente
información:
a) Asignar una herramienta de autentificación.
b) Registrar los poseedores de autentificación.
c) Desactivar el dispositivo de autenticación o desvincular al personal
asociado.
d) Revocar el acceso del autentificador, en el caso que se encuentren indicios
de acciones que podrían comprometer la integridad de la información.
A.11.5.3 Sistema de gestión de claves secretas
Siendo las contraseñas uno de los principales medios de autenticación de usuarios al
momento de acceder a un determinado servicio informático estas deberán constituir
una herramienta eficaz e interactiva que garantice un acceso seguro.
Las características fundamentales que deberá tener un sistema de autenticación por
contraseñas son:
a) Obligar el uso de las contraseñas individuales que garanticen responsabilidad
por parte de cada uno de los usuarios del sistema.
b) Permitir que el usuario administre y pueda cambiar su contraseña después de
un determinado plazo de tiempo, como también incluir un procedimiento de
confirmación para contemplar errores en los ingresos.
143
c) Imponer un patrón de selección de contraseñas de calidad.
d) Implementar cambios de contraseñas en casos de que el usuario ingrese su
propia contraseña.
e) Obligar a los usuarios nuevos a modificar las contraseñas por defecto
utilizadas para ingresar a los sistemas o servicios informáticos.
f) Ocultar las contraseñas en el momento que estas son ingresadas
g) Almacenar de manera individual los archivos de contraseñas y los sucesos
registrados por las aplicaciones del sistema.
h) Las contraseñas deberán ser almacenadas utilizando un algoritmo de cifrado
unidireccional.
A.11.5.4 Uso de las utilidades del sistema
Es necesario que existan controles y limitaciones sobre los utilitarios que son
utilizados dentro de la institución, este control debe incluir:
a) Utilización de procedimiento de autenticación para los utilitarios del sistema
b) Clasificación entre los utilitarios del sistema y el software de aplicación.
c) Limitar el uso de los utilitarios.
d) Evitar que terceras personas adquieran conocimiento sobre la existencia el uso
y funcionamiento de los utilitarios de la institución.
e) Limitar la disponibilidad de los sistemas utilitarios únicamente a lo
estrictamente necesario para el cumplimiento de las funciones del personal.
f) Registrar cada uno de los eventos originados por los utilitarios de sistema.
144
g) Definir y documentar cada uno de los niveles de autorización para el uso de
los utilitarios.
h) Remover todo aquel software que pueda ser considerado como innecesario
A.11.5.5 Cierre de una sesión por inactivadada
Luego de pasar un periodo de tiempo definido por el Oficial de Seguridad
Informática las sesiones establecidas deberán finalizar automáticamente, se cerrarán
las aplicaciones y se eliminará el contenido mostrado en la pantalla del sistema o
servicio
Debe establecerse este control con restricciones elevadas principalmente sobre
equipos altamente críticos, equipos de acceso público, o ubicados en áreas fuera de la
gestión de seguridad de la institución.
A.11.5.6 Limitación del tiempo de conexión
El oficial de seguridad Informática deberá establecer las restricciones de conexión
con relación a horarios, especialmente a aplicaciones críticas, esta reducción
minimizará las posibilidades de accesos no autorizados, protegiendo proactivamente
la red de datos e información.
Estos controles deberán ser más estrictos en equipos de acceso público o en aquellos
ubicados en áreas sin seguridad física implementada.
Los controles deberán incluir:
a) Establecimiento de periodos cortos en caso de procesos o aplicaciones críticas
u copia de archivos por lotes.
b) A menos que exista un requerimiento por escrito y aprobado que indique lo
contrario, se deberá limitar el acceso a los sistemas e información a horarios de
oficina únicamente.
145
c) Los equipos o usuarios sobre los cuales no se establece restricción por
horarios, deberán estar inventariados y debidamente documentados, las razones
por las cuales se realizo esta excepción, incluso si esta es ocasional o temporal.
A.11.6 Control de acceso a la aplicación y la información
A.11.6.1 Restricción del acceso a la información
Existirá restricción sobre el acceso a los sistemas de información e información
almacenada en repositorios, tanto a los usuarios normales como a los pertenecientes
al departamento de sistemas, en función a la política de “Control de Accesos”
establecida en este mismo documento.
Para restringir el acceso a la información se establecerán los siguientes controles:
a) Proveer una interfaz que permita controlar los accesos a los sistemas de
información y servicios.
b) Los usuarios deberán poseer conocimiento limitado sobre los sistemas, su
estructura e información contenida en cada equipo.
c) Establecer permisos sobre la información, tanto de lectura, escritura y
ejecución.
d) Garantizar que los sistemas brinden acceso únicamente a la información
requerida por el usuario y a la que este tenga acceso según los permisos
establecidos.
e) Realizar una revisión periódica sobre los accesos y permisos sobre la
información, esta revisión no superara los seis meses.
f) Evitar el acceso a la información de forma directa, no debe permitirse acceso a
la información a no ser a través del sistema de información debidamente
autenticado.
146
A.11.6.2 Aislar el sistema confidencial
El nivel de criticidad de los sistemas va relacionado con lo sensible y confidencial
que la información residente en los mismos posee, es por eso que es necesario
establecer que sistemas necesitan ejecutarse en un equipo independiente y cuales
podrían compartir recursos al ejecutarse en un solo equipo. Para esto deben tomarse
en cuenta las siguientes consideraciones:
a) Identificar y documentar los sistemas de información, servicios, o repositorios
de información altamente críticos
b) Identificar y dar a conocer a los administradores de sistemas cuales son los
sistemas sensibles que deberán ejecutarse sobre un servidor exclusivamente y
cuales podrían compartir recursos al coexistir con otro sistema.
c) Coordinar con el Responsable del Área informática, qué servicios estarán
disponibles en el entorno donde se ejecutará la aplicación, de acuerdo a los
requerimientos de operación y seguridad especificados por el administrador de la
aplicación.
d) Considerar la seguridad en la administración de las copias de respaldo de la
información que procesan las aplicaciones.
A.11.7 Computación y tele-trabajo móvil
A.11.7.1 Computación y comunicaciones móviles
Se categorizan como dispositivos móviles de trabajo y/o comunicación:
Computadores portátiles,
PDA (Asistente Personal Digital)
Teléfonos Celulares y sus tarjetas de memoria
Dispositivos de almacenamiento, CDs, DVD, Disquetes, etc.
Cualquier dispositivo de almacenamiento de conexión USB
Tarjetas de identificación personal (control de acceso)
Dispositivos criptográficos,
Cámaras digitales, etc.
147
En esta categoría se deberá incluir todo dispositivo que almacene información
confidencial de la Universidad y que sean propensos a eventos que comprometan la
seguridad de la misma.
Con relación a los dispositivos anteriormente detallados debe asegurarse:
a) Protección física del dispositivo
b) Acceso seguro al dispositivo
c) La utilización de los dispositivos en lugares públicos.
d) Establecer y mantener al mínimo necesario el acceso a información y
servicios del Organismo a través de dichos dispositivos.
e) Deben utilizarse técnicas criptográficas al momento de transmitir o almacenar
información clasificada en estos dispositivos.
f) Deben existir mecanismos de resguardo de la información contenida en los
dispositivos.
g) Los dispositivos deben poseer protección contra software malicioso.
A la par con las ventajas que el uso de dispositivos móviles permite, se incrementa la
posibilidad de ocurrencia de eventos que pongan en riesgo la información tales como
perdida, robo, hurto, etc., es por esto que se restringirá al mínimo necesario el uso de
estos dispositivos, y debe capacitarse al personal a fin de que sean usado con
precaución, deben seguirse las siguientes recomendaciones:
a) Permanecer siempre cerca del dispositivo.
b) No dejar desatendidos los equipos.
c) No llamar la atención al portar un dispositivo o equipo portátil.
148
d) No utilizar identificaciones o logos de la Universidad en el dispositivo, a
menos que sea estrictamente necesario.
e) No poner datos de contacto técnico en el dispositivo.
f) Mantener cifrada la información clasificada.
g) Se reportará rápidamente cualquier incidente sufrido a fin de tomar medidas
de remediación de inmediato.
h) En caso de pérdida se revocaran las credenciales afectadas de inmediato
i) Notificación a grupos de Trabajo donde potencialmente se pudieran haber
comprometido recursos.
A.11.7.2 Tele-trabajo
El trabajo remoto utiliza tecnología de comunicaciones para permitir que el personal
trabaje en forma remota desde un lugar externo a la sede Guayaquil.
El trabajo remoto sólo será autorizado por el Responsable de la Unidad Organizativa
o departamento, o de niveles superiores en el nivel jerárquico correspondiente
conjuntamente con el Oficial de Seguridad Informática, cuando se verifique que son
adoptadas todas las medidas que correspondan en materia de seguridad de la
información, a fin de cumplir las normas de prevención de incidentes
En caso de que un funcionario de la Universidad necesite acceso remoto a
aplicaciones o información debe realizarse la petición avalada por la jefatura
departamental respectiva exponiéndose los motivos que justifiquen la petición
Los controles a aplicarse en el trabajo remoto comprenden:
a) Proveer de mobiliario para almacenamiento y equipamiento adecuado para
las actividades de trabajo remoto.
149
b) Definir qué tipo de tareas están permitidas realizarse de manera remota,
restringir el acceso por horarios, la clasificación de la información que se
puede almacenar en el equipo remoto desde el cual se accede a la red de la
Universidad y sus sistemas y servicios internos a los cuales se ha dado acceso
al funcionario.
c) Proveer de mecanismos de comunicación seguros, encriptación, túneles vpn,
y demás.
d) Incluir lineamientos de seguridad física.
e) Definir reglas y orientación respecto del acceso de terceros al equipamiento
de tele-trabajo.
f) Proveer soporte al hardware y mantenimiento al software.
g) Definir los procedimientos de backup y de continuidad de las operaciones.
h) Efectuar auditoria y monitoreo de la seguridad.
i) Realizar la anulación de las autorizaciones, derechos de acceso y devolución
del equipo cuando finalicen las actividades remotas.
j) Asegurar el reintegro del equipo o dispositivo en las mismas condiciones en
que fue entregado, en el caso de ya no ser necesario el acceso remoto, se dará
notificación por escrito de la devolución al jefe departamental y al Oficial de
seguridad Informática.
Se implementarán procesos de auditoría específicos para los casos de accesos
remotos, que serán revisados regularmente. Se llevará un registro de incidentes a fin
de corregir eventuales fallas en la seguridad de este tipo de accesos.
150
A.12 Adquisición, desarrollo y mantenimiento de los sistemas de información
1.- Aspectos Generales
Las fases de desarrollo y el mantenimiento de los sistemas utilizados por la
Universidad Politécnica Salesiana Guayaquil son parte fundamental dentro de la
gestión de la seguridad de la información.
Al momento de realizar el análisis y diseño de los procesos que soportan estas
aplicaciones se deben identificar, documentar y aprobar los requerimientos o
mecanismos de seguridad a incorporar durante las etapas de desarrollo e
implementación. Adicionalmente, se deberán diseñar controles de validación de
datos de entrada, procesamiento interno y salida de datos.
Dado que los analistas y programadores tienen el conocimiento total de la lógica de
los procesos en los sistemas, se deben implementar controles que eviten acciones
dolosas por parte de estas personas u otras que puedan operar sobre los sistemas,
bases de datos y plataformas de software de base y en el caso de que se lleven a
cabo, identificar rápidamente al responsable.
Asimismo, es necesaria una adecuada administración de la infraestructura de base,
Sistemas Operativos y Software de Base, en las distintas plataformas, para asegurar
una correcta implementación de la seguridad, ya que en general los aplicativos se
asientan sobre este tipo de software.
2.- Objetivos del Control
Deben incluirse en los sistemas controles de seguridad y validación de datos al
momento de operar el mismo.
Definir y documentar las normas y procedimientos que se aplicarán durante el ciclo
de vida de los sistemas o aplicativos y en la infraestructura de base en la cual se
apoyan. Definir los métodos de protección de la información crítica o sensible.
151
3.- Alcance del Control
La presente política es aplicable a todos los sistemas informáticos, tanto
desarrollados por la Universidad Politécnica Salesiana como por terceros, y a todos
los Sistemas Operativos y(o) Software de base que integren cualquiera de los
ambientes administrados por la Universidad.
4.- Responsabilidad del Control
Será responsabilidad del Oficial de seguridad informática junto con el propietario de
la Información establecer los controles a ser implementados en los sistemas
desarrollados internamente o por terceros, en función de una evaluación previa de
riesgos.
El Responsable de Seguridad Informática, junto con el Propietario de la Información,
definirá en función de la criticidad de la información, los requerimientos de
protección mediante métodos criptográficos.
Adicionalmente el Oficial de Seguridad Informática cumplirá las siguientes
funciones:
a) Definir los procedimientos de administración de claves.
b) Verificar el cumplimiento de los controles establecidos para el desarrollo y
mantenimiento de sistemas.
c) Garantizar el cumplimiento de los requerimientos de seguridad para el
software.
d) Definir procedimientos para: el control de cambios a los sistemas; la
verificación de la seguridad de las plataformas y bases de datos que soportan
e interactúan con los sistemas; el control de código malicioso; y la definición
de las funciones del personal involucrado en el proceso de entrada de datos.
152
El administrador del departamento de Sistemas propondrá quiénes realizarán la
administración de las técnicas criptográficas y claves.
El responsable del área de administración de sistemas incorporará aspectos
relacionados con el licenciamiento, la calidad del software y la seguridad de la
información en los contratos con terceros por el desarrollo de software, el
responsable del área legal participará en dicha tarea.
5.- Política – Control de Accesos
A.12 Adquisición, desarrollo y mantenimiento de los sistemas de Información.
A.12.1 Análisis y Especificaciones de los Requerimientos de Seguridad
Debe observarse los siguientes lineamientos:
a) Establecer un procedimiento en la etapa de análisis y diseño del sistema,
incluyendo como requerimientos del sistema mecanismos de seguridad, esto
debe incluir una etapa de evaluación de riesgos previa al diseño, para definir
los requerimientos de seguridad e identificar los controles apropiados.
b) Evaluar los requerimientos de seguridad definidos para las aplicaciones y
cuantificar los riesgos envueltos y costos económicos y en rendimiento
implicados al ser aplicados en el sistema.
c) Es importante tomar en cuenta que los controles introducidos en la etapa de
diseño, son significativamente menos costosos de implementar y mantener
que aquellos incluidos durante o después de la implementación.
A.12.2 Seguridad en los sistemas de aplicación
A fin de mantener la confidencialidad, disponibilidad e integridad de la información,
ya sea por modificación o uso inadecuado de los datos pertenecientes a los sistemas
de información, se establecerán controles y registros de auditoría, verificando:
153
a) Validación de los datos de entrada del sistema
b) El procesamiento interno.
c) La autenticación de mensajes (interfaces entre sistemas)
d) Validación de datos de salida
A.12.2.1 Validación de datos de entrada
Debe existir un procedimiento que regule la validación de los datos de entrada en la
etapa de diseño de sistemas, debes especificarse controles que aseguren la validez de
los datos ingresados, controlando también datos permanentes y tablas de parámetros.
Este procedimiento considerará los siguientes controles:
a) Control de secuencia.
b) Control de monto límite por operación y tipo de usuario.
c) Control del rango de valores posibles y de su validez, de acuerdo a criterios
predeterminados.
d) Control de paridad.
e) Control contra valores cargados en las tablas de datos.
f) Controles por oposición, de forma tal que quien ingrese un dato no pueda
autorizarlo y viceversa.
g) Debe establecerse un procedimiento que permita realizar revisiones
periódicas de contenidos de campos claves o archivos de datos, definiendo
quién lo realizará, en qué forma, con qué método, quiénes deberán ser
informados del resultado, etc.
h) Debe existir un documento que especifique las alternativas a seguir para
responder a errores de validación en un aplicativo.
i) Se definirá un procedimiento que permita determinar las responsabilidades de
todo el personal involucrado en el proceso de entrada de datos
A.12.2.2 Procesamiento Interno
Debe establecerse un procedimiento que permita establecer lineamientos durante la
fase de diseño, a fin de que se incorporen controles de validación que eviten posibles
problemas en las tareas de procesamiento de los sistemas o aplicaciones
154
A fin de conseguir esto se realizaran:
a) Procedimientos que establezcan los controles y verificaciones necesarios
para prevenir la ejecución de programas fuera de secuencia o cuando falle
el procesamiento previo.
b) Procedimientos que establezcan la revisión periódica de los registros de
auditoría de forma de detectar cualquier anomalía en la ejecución de las
transacciones.
c) Procedimientos que realicen la validación de los datos generados por el
sistema.
d) Procedimientos que verifiquen la integridad de los datos y del software
cargado o descargado entre computadoras.
e) Procedimientos que controlen la integridad de registros y archivos.
f) Procedimientos que verifiquen la ejecución de los aplicativos en el
momento adecuado.
g) Procedimientos que aseguren el orden correcto de ejecución de los
aplicativos, la finalización programada en caso de falla, y la detención de
las actividades de procesamiento hasta que el problema sea resuelto.
A.12.2.3 Autenticación de Mensajes
Las aplicaciones o sistemas necesitaran en algún momento realizar transmisiones de
los datos procesados, generalmente esta información es altamente critica, en estos
casos deberán seguirse los lineamientos y controles criptográficos a fin de garantizar
la confidencialidad de la información, estos controles criptográficos son detallados a
continuación.
A.12.3 Controles criptográficos
Deberán utilizarse sistemas, técnicas, o algoritmos de encriptación a fin de garantizar
la protección de la información fundamentada en un análisis de riesgo efectuado, con
el fin de asegurar una adecuada protección de su confidencialidad e integridad.
155
A12.3.1 Política sobre el uso de controles criptográficos
La Universidad Politécnica Salesiana define la aplicación de la política de uso de
técnicas criptográficas a fin de garantizar su correcto uso y asegurar la
confidencialidad de la información:
a) Se utilizarán controles criptográficos en los siguientes casos:
1. Para la protección de claves de acceso a sistemas, datos y
servicios.
2. Para la transmisión de información clasificada, fuera del ámbito
del Organismo.
3. Para el resguardo de información, cuando así surja de la
evaluación de riesgos realizada por el Propietario de la
Información y el Responsable de Seguridad Informática.
b) Se desarrollarán procedimientos respecto de la administración de claves,
de la recuperación de información cifrada en caso de pérdida,
compromiso o daño de las claves y en cuanto al reemplazo de las claves
de cifrado.
c) El Oficial de Seguridad Informática definió las siguientes
responsabilidades:
Función Cargo
Implementación de la política de uso de
técnicas criptográficas
Oficial Seguridad
Informática
Administración de contraseñas Departamento Sistemas
Tabla 3.7
Fuente: Los Autores
d) Se podrá elegir entre los siguientes algoritmos de encriptación y tamaño
de clave
156
CIFRADO SIMÉTRICO
Tabla 3.8
Fuente: Los Autores
CIFRADO ASIMÉTRICO
Casos de Utilización Algoritmo Longitud
Clave
Para certificados utilizados en servicios
relacionados a la firma digital (sellado de
tiempo, almacenamiento seguro de
documentos electrónicos, etc.)
RSA 2048 bits
Para certificados de sitio seguro bits para
certificados de Certificador o de información
de estado de certificados
DSA
ECDSA
RSA
RSA
2048 bits
210 bits
1024 bits
2048 bits
Para certificados de usuario (personas físicas o
jurídicas)
DSA
ECDSA
RSA
DSA
2048 bits
210 bits
1024 bits
1024 bits
Para digesto seguro ECDSA
SHA-1
160 bits
256 bits
Tabla 3.9
Fuente: Los Autores
El Oficial de Seguridad Informática debe estar atento a los mejoramientos en los
algoritmos arriba mencionados a fin de utilizar los algoritmos más robustos y en
consonancia con el rendimiento de los sistemas.
Algoritmo Encriptación Longitud Clave
AES 128/192/256
3DES 168 bits
IDEA 128 bits
RC4 128 bits
RC2 128 bits
157
A.12.3.1.1 Cifrado
A través de un análisis y evaluación de riesgos que llevará a cabo el Propietario de la
información y el Oficial de Seguridad Informática, se establecerá el nivel requerido
de protección, tomando en cuenta el tipo y la calidad del algoritmo de cifrado
utilizado y la longitud de las claves criptográficas a utilizar.
Al implementar la Política del Organismo en materia criptográfica, se considerarán
los controles aplicables a la exportación e importación de tecnología criptográfica.
Debe utilizarse algoritmos de cifrado para la protección de la información
confidencial almacenada en los medios y dispositivos móviles o removibles o a
través de las líneas de comunicación:
Los controles criptográficos o de cifrado permiten cumplir los diferentes objetivos de
seguridad:
a. Confidencialidad: utilizando la codificación de la información para
proteger la información confidencial o crítica, ya sea almacenada o
transmitida;
b. Integridad/autenticidad: utilizando firmas digitales o códigos de
autenticación del mensaje para proteger la autenticidad e integridad de la
información confidencial o crítica almacenada o transmitida;
c. No-repudiación: utilizando técnicas criptográficas para obtener prueba de
a ocurrencia o no-ocurrencia de un evento o acción.
A.12.3.1.2 Firma Digital
Las firmas digitales proporcionan un mecanismo de protección de la autenticidad e
integridad de los documentos electrónicos.
Pueden aplicarse a cualquier tipo de documento que se procese electrónicamente. Se
implementan mediante el uso de una técnica criptográfica sobre la base de dos claves
relacionadas de manera única, donde una clave, denominada privada, se utiliza para
crear una firma y la otra, denominada pública, para verificarla.
158
Es primordial proteger la integridad de la clave pública. Esta protección se provee
mediante el uso de un certificado de clave pública.
Las claves criptográficas utilizadas para firmar digitalmente no deberían ser
empleadas en procedimientos descifrados de información. Dichas claves deben
ser resguardadas bajo el control exclusivo de su titular.
A.12.3.1.3 No Repudio
Esta condición permite resolver disputas acerca de la ocurrencia de un evento o
acción. Su objetivo es proporcionar herramientas para evitar que aquél que haya
originado una transacción electrónica niegue haberla efectuado
12.3.2 Gestión de claves
12.3.2.1. Protección de Claves Criptográficas
Se implementará un sistema de administración de claves criptográficas para respaldar
la utilización por parte del Organismo de los dos tipos de técnicas criptográficas, a
saber:
a) Criptografía de clave secreta (criptografía simétrica), cuando dos o más
entidades comparten la misma clave y ésta se utiliza tanto para cifrar
información como para descifrarla.
b) Criptografía de clave pública (criptografía asimétrica), cuando cada usuario
tiene un par de claves: una clave pública (que puede ser revelada a cualquier
persona) utilizada para cifrar y una clave privada (que debe mantenerse en
secreto) utilizada para descifrar. Las claves asimétricas utilizadas para cifrado
no deben ser las mismas que se utilizan para firmar digitalmente
De igual manera se proporcionará una protección adecuada a los equipos y
dispositivos utilizados para generar, almacenar y archivar claves,
considerando el alto nivel de criticidad de los mismos, las claves deberán
tener la debida protección, confidencialidad, y mecanismos de respaldo en
caso de pérdida.
159
12.3.2.2 Normas, Procedimientos y Métodos
Los procedimientos y normativas relacionados a la gestión de claves
deberán incluir lo siguiente:
Generar claves para diferentes sistemas criptográficos y diferentes
aplicaciones.
Generar y obtener certificados de clave pública de manera segura.
Disponer de mecanismos que permitan difundir claves de forma segura a
los usuarios, incluyendo información sobre cómo deben activarse cuando
se reciban.
Almacenamiento de claves, debe incluirse la forma de acceso a las
mismas por parte de los usuarios autorizados.
Cambiar o actualizar claves, incluyendo reglas sobre cuándo y cómo
deben cambiarse las claves.
Revocación de claves criptográficas
Recuperar claves perdidas o alteradas como parte de la administración de
la continuidad de las actividades del Organismo, por ejemplo para la
recuperación de la información cifrada.
Archivar claves, por ejemplo, para la información archivada o
resguardada.
Recuperar claves perdidas o alteradas como parte de la administración de
la continuidad de las actividades del Organismo, por ejemplo para la
recuperación de la información cifrada.
160
Mecanismos de destrucción de claves de encriptación
Registrar y auditar el uso de las claves de encriptación por parte de los
usuarios.
Adicionalmente a la protección establecida para preservar las claves
secretas y privadas, deberá tenerse en cuenta la protección de las claves
públicas.
A.12.4 Seguridad de los archivos de sistema
A.12.4.1 Control del software operaciones
A fin de mitigar al máximo el riesgo de alteración de los sistemas durante la
implementación de software propietario o desarrollado por terceros deben tomarse en
cuenta los siguientes lineamientos:
Cada software, programa, o aplicación, desarrollada por el departamento de
sistemas de la Universidad o por un tercero tendrá un único responsable
designado formalmente y por escrito por el encargado del Departamento de
Sistemas
Ningún programador o analista con permisos únicamente para el ambiente de
desarrollo y mantenimiento de aplicaciones podrá acceder a los ambientes de
producción.
El encargado del departamento de sistemas, propondrá para su aprobación
por parte del Oficial de seguridad informática junto con el encargado del área
de desarrollo, la asignación de la función de “implementador” al personal de
su área que considere adecuado, quien tendrá como responsabilidades:
Coordinar con el equipo o personal de desarrollo y de infraestructura la
implementación de modificaciones o nuevos programas en el ambiente de
Producción.
161
Asegurar que los sistemas y servicios utilizados en el ambiente de producción
se encuentren aprobados según las políticas vigentes.
Instalar las modificaciones, controlando previamente la recepción de la
prueba aprobada por parte del Analista Responsable, del sector encargado del
testeo y del usuario final.
Asegurarse que la puesta en producción de sistemas o aplicaciones no se
realice a menos que no existan problemas, vulnerabilidades de seguridad y
documentación precisa sobre la administración y gestión del software.
Debe tomarse en cuenta adicionalmente:
Almacenar únicamente los ejecutables en el ambiente de producción, no debe
existir información de desarrollo tales como librerías o formularios, etc.
Mantener actualizada la bitácora de actualizaciones de los sistemas.
Mantener almacenadas las versiones previas del sistema, como parte del plan
de contingencia.
Definir un procedimiento que establezca los pasos a seguir para implementar
las autorizaciones y conformes pertinentes, las pruebas previas a realizarse,
etc.
No permitir la modificación al código fuente por parte del analista o
desarrollador designado como implementador.
El personal que ha sido designado como implementador no podrá ser un
funcionado que se encuentre envuelto las tareas de desarrollo del software.
162
A.12.4.2 Protección de la data de prueba del sistema
En caso de ser necesario realizar pruebas sobre los sistemas utilizando datos, estos
nunca deberán realizarse sobre datos puestos en producción, adicionalmente deben
seguirse los siguientes lineamientos de seguridad:
a) Prohibir el uso de bases de datos operativas. En caso contrario se deben
despersonalizar los datos antes de su uso. Aplicar idénticos procedimientos
de control de acceso que en la base de producción.
b) Solicitar autorización formal para realizar una copia de la base operativa
como base de prueba, llevando registro de tal autorización.
c) Eliminar inmediatamente, una vez completadas las pruebas, la información
operativa utilizada.
A.12.4.3 Control de acceso al código fuente del programa
Es importante preservar la integridad del código fuente a fin de evitar modificaciones
no autorizadas, es por esto que deben seguirse las siguientes directrices:
El responsable del departamento de sistemas deberá designar a una persona
calificada como custodio y Administrador de código fuente , quien tendrá
diferentes responsabilidades como:
a. Proveer al Área de Desarrollo los programas fuentes solicitados para
su modificación, manteniendo en todo momento la correlación
programa fuente / ejecutable.
b. Llevar un registro actualizado de todos los programas fuentes en uso,
indicando nombre del programa, programador, Analista Responsable
que autorizó, versión, fecha de última modificación y fecha / hora de
compilación y estado (en desarrollo, y en producción).
163
c. Verificar que el Analista Responsable que autoriza la solicitud de un
programa fuente sea el designado para la aplicación, rechazando el
pedido en caso contrario. Registrar cada solicitud aprobada.
d. Administrar las distintas versiones de una aplicación.
e. Asegurar que un mismo programa fuente no sea modificado
simultáneamente por más de un desarrollador.
Debe restringirse al “administrador de programas fuentes” el acceso de
escritura sobre los programas fuentes bajo su custodia.
Como regla, debe existir únicamente un código fuente por cada ejecutable a
fin de que exista correspondencia única.
Deben establecerse procedimientos técnicos que garanticen que cada vez que
se ponga en producción un código fuente cree únicamente un ejecutable
correspondiente al mismo.
Evitar que la función de “administrador de programas fuentes” sea ejercida
por personal que pertenezca al sector de desarrollo y/o mantenimiento.
Debe evitarse el almacenamiento de códigos fuentes históricos (que no sean
los correspondientes a los programas operativos) en el ambiente de
producción.
Prohibirse el acceso a los operadores a los códigos fuentes a fin de evitar
modificación o eliminación no autorizada.
Mantener una política de respaldo de los códigos fuentes, el esquema de
respaldo debe ser probado periódicamente mediante restauración.
164
12.5 Seguridad en los procesos de desarrollo y soporte
12.5.1 Procedimientos del control de cambios
A fin de mitigar el riesgo de modificaciones no controladas debe aplicarse la política
de control de cambios sobre el software en desarrollo tomando en consideración lo
siguiente:
Los cambios solicitados sobre los sistemas deben hacerse por escrito y por
usuarios calificados para ello
Llevar una bitácora que contenga los niveles de acceso para realizar cambios
sobre el software o aplicaciones.
En caso de que el cambio en las aplicaciones implique una manipulación de
datos, debe contarse con la aprobación del propietario de la misma.
Identificar todos los elementos que requieren modificaciones (software, bases
de datos, hardware).
Revisar periódicamente los mecanismos establecidos a fin de mantener la
integridad de los datos.
Antes de realizar cualquier cambio en las aplicaciones debe contarse con la
aprobación por escrito del responsable del área de sistemas y del oficial de
seguridad informática.
Solicitar la revisión del Responsable de Seguridad Informática para
garantizar que no se violen los requerimientos de seguridad que debe cumplir
el software.
Los cambios siempre se realizaran en el ambiente de desarrollo
165
Los cambios se aprobaran luego de realizar varias pruebas de concepto junto
con el usuario del sistema
Luego de realizarse un cambio debe actualizarse la documentación del
sistema adaptándose al nuevo cambio o funcionalidad modificada en el
software.
Mantener actualizado el control de versionamiento del software.
Debe garantizarse que la realización del cambio no implicara la interrupción
de servicio, dando especial atención a los sistemas sobre los que se sustentan
las operaciones de la Sede.
Antes de realizar cualquier cambio en los sistemas, debe informarse al
departamento al que pertenecen el o los usuarios del mismo.
Garantizar que sea el implementador quien efectúe el paso de los objetos
modificados al ambiente operativo, de acuerdo a lo establecido en “Control
del Software Operativo”.
12.5.2 Revisión técnica de la aplicación luego de cambios sistema
Siempre que se realicen cambios programados sobre los sistemas deben realizarse
pruebas a fin de asegurar su correcto funcionamiento, para este fin se definirá un
procedimiento que incluya:
Seguir los procedimientos necesarios para garantizar la integridad y control
de aplicaciones y asegurarse de que no hayan sido comprometidas ninguna de
las funcionalidades del sistema a raíz del cambio.
Asegurarse que previo a realizar cualquier cambio todo el personal
involucrado haya sido notificado formalmente.
Asegurar la actualización del Plan de Continuidad de las Actividades del
Organismo.
166
12.5.3 Filtrado de información
En vista que mucho software puede incluir código malicioso que envíe información
confidencial y vulnere así la seguridad de la información en necesario observar las
siguientes normas:
Calificar únicamente a proveedores acreditados y adquirir productos ya
evaluados tanto en su funcionalidad como en seguridad
Examinar los códigos fuentes (cuando sea posible) antes de utilizar los
programas.
Controlar el acceso y las modificaciones al código instalado.
Utilizar y mantener actualizados los sistemas de protección contra la
infección del software con código malicioso.
A.12.6 Gestión de Vulnerabilidades técnicas
A.12.6.1 Control de las vulnerabilidades técnicas
Debe mantenerse actualizado el inventario completo de los activos de información
que la Universidad maneja, siguiendo los lineamientos establecidos en esta política
de seguridad.
De la misma forma el inventario del software con el que se cuenta debe mantenerse
debidamente documentado y actualizado, debe incluir información como fabricante
del software, versión, y actualizaciones o service packs instalados.
Las normas que deben observarse en la gestión de vulnerabilidades de orden técnico
son las siguientes:
a. Deben nombrarse responsables de las tareas de gestión de vulnerabilidades,
tareas como monitoreo, evaluación, y mitigación de las vulnerabilidades
167
b. Debe realizarse una planificación en línea de tiempo que corresponda a la
respuesta que el departamento de seguridades y sistemas de a las
vulnerabilidades existentes.
c. Tan pronto se identifica una vulnerabilidad debe realizarse un análisis de
riesgo y acciones correctivas a fin de mitigar el riesgo de ocurrencia, esto será
a través de actualizaciones, parches y demás configuraciones de índole
técnico recomendados por el fabricante.
d. Dependiendo de lo crítico de la vulnerabilidad o del riesgo implicado, se
realizaran las acciones de remediación tales como actualizaciones
cumpliendo con la política de control de cambios detallada anteriormente.
e. Preferentemente deberán probarse y evaluarse las actualizaciones antes de
instalarlas en el ambiente de producción, esto se decidirá en función de la
evaluación del riesgo para la vulnerabilidad en cuestión.
f. En caso de no existir por parte del fabricante una actualización o parche que
mitigue la vulnerabilidad encontrada se podrán tomar las siguientes acciones
preventivas:
1) Desconectar los servicios o capacidades relacionadas con la
vulnerabilidad.
2) Adaptar o agregar controles de acceso; por ejemplo, firewalls en los
límites de la red.
3) Incrementar el monitoreo para detectar o evitar ataques reales.
4) Elevar la conciencia acerca de la vulnerabilidad.
5) Mantener un registro de auditoría de todos los procedimientos
realizados.
168
6) El proceso de gestión de vulnerabilidad técnica debiera ser
monitoreado y evaluado regularmente para asegurar su efectividad y
eficacia.
7) Se debieran tratar primero los sistemas en alto riesgo.
A.13 Gestión de un incidente en la seguridad de la información
1.- Aspectos Generales
Es necesario asegurar que los eventos y debilidades de la seguridad de la
información asociados con los sistemas de información sean comunicados de una
manera que permita que se realice una acción correctiva oportuna, esto permitirá que
se consiga un aprendizaje sobre la vulnerabilidad, causas y efectos de la misma.
2.- Objetivos del Control
Establecer procedimientos formales de reporte y de la intensificación de un evento.
Todos los usuarios empleados contratistas y terceros debieran estar al tanto de los
procedimientos para el reporte de los diferentes tipos de eventos y debilidades que
podrían tener un impacto en la seguridad de los activos organizacionales. Se les
debiera requerir que reporten cualquier evento y debilidad de la seguridad de la
información lo más rápidamente posible en el punto de contacto designado.
3.- Alcance del Control
Esta política es aplicable al tratamiento de las vulnerabilidades en cada uno de los
sistemas operativos, aplicaciones, dispositivos o equipos utilizados en la
Universidad Politécnica Salesiana, los cuales son administrados por el departamento
de sistemas de la Universidad.
4.- Responsabilidad del Control
Es responsabilidad del Oficial de Seguridad Informática definir las acciones a tomar
en caso de existir vulnerabilidades o incidentes de seguridad, además de coordinar
con el personal operativo del departamento de sistemas las acciones a tomar.
169
5.- Política – Gestión de un incidente en la seguridad de la información
13.1 Reporte de los eventos y debilidades de la seguridad de la información
13.1.1 Reportes de eventos en la seguridad de la información
El reporte de eventos relacionados a incidentes de seguridad debe estar regulado y
documentado, de tal forma que exista constancia de la incidencia y se cuente con
información necesaria para la toma de decisiones.
Debe definirse un punto de contacto el mismo que debe ser conocido por toda la
organización, en este caso el Oficial de Seguridad Informática es el funcionario
designado a recibir las notificaciones de incidentes de seguridad, el medio de
contacto será a través de email, y en caso de tratarse de un nivel alto de criticidad se
notificara telefónicamente, o utilizando el medio de comunicación mas efectivo
según las circunstancias.
Cada uno de los funcionarios de la Universidad, docentes, o personal externo debe
conocer su responsabilidad de notifica cualquier evento o incidente de seguridad del
cual tuviera conocimiento, además de conocer el procedimiento a seguir para la
notificación del incidente, este proceso debe incluir:
a) Procesos de retroalimentación que permitan conocer cuando el incidente haya
sido remediado
b) Formatos de reporte de eventos de seguridad que sirvan como sustento y
evidencia de la incidencia a fin de justificar las acciones correctivas a
realizarse
c) Deberá adicionalmente:
1. Anotar todos los detalles importantes inmediatamente (por
ejemplo, el tipo de no-cumplimiento o violación, mal
funcionamiento actual, mensajes en la pantalla, conducta extraña);
170
2. No realizar ninguna acción por cuenta propia, sino reportar
inmediatamente al Oficial de Seguridad Informática.
d) Referencia a un proceso disciplinario formal establecido para tratar con los
usuarios empleados, contratistas o terceros que cometen violaciones de
seguridad.
En ambientes altamente críticos puede implementarse sistemas de alertas
automáticas en caso de existir incidentes, para esto pueden utilizarse dispositivos
móviles de comunicación como busca personas, celulares, o correo electrónico.
A.13.1.2 Reportes de la debilidades de la seguridad
Se deberá asegurar que todo el personal relacionado con la Universidad Politécnica
Salesiana Sede Guayaquil, conozca de la necesidad y responsabilidad de reportar
cualquier evento o sospecha de alguna debilidad en el perímetro de seguridad de la
Sede. Para este fin se establecen los siguientes lineamientos:
Todos los usuarios o usuarios externos están obligados a reportar cualquier debilidad
de cualquier índole del que llegasen a conocer, ya sea a su Jefatura departamental, o
al Oficial de Seguridad Informática, la notificación de la debilidad deberá realizarse
inmediatamente se tenga conocimiento de la misma.
El mecanismo de reporte debiera ser fácil, accesible y estar disponible lo más
posible.
Los usuarios deben conocer que se encuentra estrictamente prohibido mediante esta
política, tratar de probar una debilidad sospechada que el usuario haya descubierto o
de la que haya llegado a conocer.
A.13.2 Gestión de los incidentes y mejoras en la seguridad de la información
Se entiende por incidente en la plataforma informática a cualquier evento que ponga
en riesgo la integridad, disponibilidad, confiabilidad, y consistencia de la
información.
171
En la gestión de incidentes que permitan mejorar y robustecer el perímetro de
seguridad se tomaran en consideración las siguientes normas:
Deben establecerse procedimiento para tratar diferentes tipos de incidentes
como:
1) Fallas del sistema de información y pérdida del servicio.
2) Código malicioso.
3) Negación del servicio.
4) Errores resultantes de data incompleta o inexacta.
5) Violaciones de la confidencialidad e integridad.
6) Uso indebido de los sistemas de información.
Adicional a los planes de contingencia de la Universidad debe existir
documentación sobre:
1) Análisis e identificación de la causa del incidente
2) Mecanismos de contención
3) Planeación e implementación de la acción correctiva para evitar la
recurrencia, si fuese necesario.
4) Comunicaciones con aquellos afectados por o involucrados con la
recuperación de un incidente
5) Reportar la acción a la autoridad apropiada
6) Recolectar y asegurar rastros de auditoría y evidencia similar,
conforme sea apropiado para:
Poder realizar el análisis interno del problema
Utilizar como evidencia forense en relación a una violación
potencial del contrato o el requerimiento regulador o en el
caso de una acción legal civil o criminal.
Negociación para la compensación de los proveedores del
software y Servicio.
172
Deberán controlarse formal las acciones para la recuperación de las
violaciones de la seguridad y para corregir las fallas en el sistema; los
procedimientos debieran asegurar que:
Únicamente el personal claramente identificado y
autorizado tengan acceso a los sistemas vivos y la data
Se deben documentar detalladamente todas las acciones de
emergencia realizadas
La acción de emergencia será reportada a la gerencia y
revisada de una manera adecuada
La integridad de los sistemas y controles comerciales sea
confirmada con una demora mínima.
A.13.2.1 Aprender de los incidentes en la seguridad de la información
La información obtenida de incidencias relacionadas con la seguridad debe ser
analizada y debe permitir realizar acciones preventivas a fin de evitar incidentes
futuros, esto implica un aprendizaje en función de experiencias ocurridas.
La evaluación de los incidentes en la seguridad de la información puede indicar la
necesidad de incrementar o establecer controles adicionales para limitar la
frecuencia, daño y costo de ocurrencias futuras, o tomarlos en cuenta en el proceso
de revisión de la política de seguridad
A.13.2.2 Recolección de evidencia
Debe darse especial atención a la recolección de evidencia en casos de existir un
incidente o cuando se vulnere la seguridad en algún
La recolección de evidencia deberá abarcar:
173
a) Admisibilidad de la evidencia: si la evidencia se puede o no se puede utilizar
en la corte o procesos legales.
b) Peso de la evidencia: La evidencia debe cumplir con los estándares que
cataloguen a la evidencia lo suficientemente contundente como para que sea
aceptada inclusive en instancias legales.
c) Para lograr el peso de la evidencia, se debiera demostrar mediante un rastro
de auditoría sólido la calidad y la integridad de los controles utilizados para
proteger correcta y consistentemente la evidencia asegurando que los
registros tales como los log de actividad no sean modificados y se encuentren
intactos para el análisis.
d) Para la información en medios de cómputo: se debieran realizar imágenes
dobles o copias
e) Se debiera mantener un registro de todas las acciones realizadas durante el
proceso de copiado y el proceso debiera ser atestiguado.
f) Tanto los originales como los medios copiados deben ser asignados bajo
custodia y almacenados con la seguridad del caso.
A.14 Gestión de la continuidad del negocio
1. Aspectos Generales
La continuidad de las operaciones de la institución es catalogada como un
aspecto critico que debe involucrar recursos y personal de cada una de las áreas.
El proceso en el desarrollo e implementación de cada uno de los planes de
contingencia será calificado como una herramienta básica para garantizar el
desenvolvimiento de las actividades de la Institución.
174
La elaboración y constante revisión de los planes de contingencia es parte
integral en el proceso de gestión de seguridad, debiendo cumplir cuidadosamente
los controles destinados a identificar y riesgos, y así poder atenuar posibles
interrupciones el servicio ofrecido, lo cual se traduciría en pérdidas para la
institución.
2. Objetivos
El objetivo de esta política es minimizar al máximo los efectos de perdidas
temporales o permanentes en la disponibilidad de los sistemas, servicios, o
información, ya sea esto accidental o causado por desastres naturales, fallas en el
equipamiento, o acciones deliberadas y que vulneren los procesos criítos para la
institución.
Analizar y evaluar las posibles consecuencias en caso de existir interrupción en el
servicio, y así poder aplicar medidas correctivas a fin de evitar inconvenientes de
este tipo en lo posterior.
Loas planes de contingencia a aplicarse en la sede deben incluir los siguientes
aspectos:
1) Notificación / Activación: El administrador debe mantenerse al tanto de la
ocurrencia de algún evento que pueda afectar el nivel de servicio.
2) Reanudación: Iniciar las operaciones nuevamente de manera total o al
menos parcial.
3) Recuperación: Lograr el funcionamiento normal y original de los sistemas
o servicios informáticos.
175
3. Alcance
Esta política será aplicable en todas las dependencias relacionadas directa o
indirectamente con el adecuado funcionamiento de los sistemas de información,
servicios informáticos y sistemas de acceso a la información almacenada en las bases
de datos de la institución.
4. Responsabilidad
El Oficial de Seguridad Informática tomara participará activamente en la definición,
documentación, pruebas y actualización de los diferentes planes de contingencia
que se pueda implementar en aquellas áreas catalogadas como criticas
El Oficial de seguridad informática en conjunto con el personal de sistemas y
contando con la colaboración de los propietarios de la información serán
responsables de:
Identificar las amenazas que pueden causar interrupciones en los procesos y
actividades de la institución
Evaluar cada uno de los riesgos identificados y determinar la gravedad del
impacto ocasionado por estas interrupciones.
Identificar cada uno de los controles preventivos
Desarrollar estratégicamente un plan que permita garantizar la continuidad de
las actividades de la institución inclusive en caso de presentarse incidentes
que afecten la disponibilidad de los mismos.
El personal de sistemas es responsable de la implementación de soluciones
tecnológicas, ya sean de hardware, software, o comunicaciones, a fin de dar
cumplimiento a esta política.
El Oficial de seguridad informática será responsable de auditar el cumplimiento a
nivel técnico y administrativo de la presente política.
176
A.14.1 Aspectos de la seguridad de la información de la gestión de la
continuidad del negocio
A.14.1.1 Incluir la seguridad de la información en el proceso de la gestión de la
continuidad del negocio
Se debe desarrollar, mantener, y difundir como política organizacional la continuidad
del negocio.
Al ser la seguridad de la información parte del plan de gestión de continuidad del
negocio es necesario:
Comprender los riesgos en términos de probabilidad de ocurrencia, e impacto
en los servicios o sistemas, los mismos que deberán ser priorizados desde los
más críticos hasta los de menor prioridad.
Identificar los activos de información más críticos envueltos en las
operaciones de la Universidad.
Comprender el impacto que tendrían las interrupciones ocasionadas por
incidentes relacionados con la seguridad de la información.
Evaluar la posibilidad de asegurar económicamente los activos de la
institución.
Garantizar la seguridad e integridad del personal y de los activos de
información.
Desarrollar y mantener documentados los planes de contingencia necesarios
para evitar interrupciones de servicio.
Plan de pruebas correctamente documentados.
177
Asegurarse que el plan de continuidad se integre a las demás políticas
organizacionales.
A.14.1.2 Continuidad del negocio y evaluación del riesgo
La continuidad en las operaciones va directamente relacionada con la identificación
de eventos o serie de eventos que pudieran causar interrupciones en los procesos de
la Universidad, tales como fallas de tipo eléctrico, errores humanos, catástrofes
naturales, incendios, terrorismo, y demás.
Cada uno de estos eventos deben ser evaluados y tasados en función de posibilidad
de ocurrencia a fin de definir los mecanismos adecuados para superar cada uno de
estos eventos en caso de ocurrencia, y que el servicio no se vea afectado.
La evaluación de los riesgos implicados en la continuidad de las operaciones no
debería ser efectuado de forma independiente por el personal de tecnología, debe
realizarse contando con la colaboración de las áreas implicadas y propietarios de la
información.
La mencionada evaluación debería considerar los procedimientos administrativos,
académicos, y financieros que normalmente se llevan a cabo a diario. Por otro lado
debería identificarse, cuantificarse y priorizarse los riesgos alineándose en todo
momento con los objetivos organizacionales.
Luego de contar con los resultados de la evaluación de riesgo debe formularse la
estrategia que permita la continuidad de las operaciones, incluyendo procedimientos
de orden técnico y administrativo, el mismo que debe contar con la aprobación y
respaldo de las máximas autoridades de la sede.
A.14.1.3 Desarrollar e implementar los planes de continuidad incluyendo la
seguridad de la información
El plan de continuidad de las operaciones debería realizarse luego de la evaluación
de los riesgos asociados con este aspecto, entre los lineamientos a considerar
deberían tomarse los siguientes:
178
Especificar con claridad los procedimientos a ejecutarse a fin de mantener la
continuidad de las operaciones, debe también identificarse a los responsables
de su ejecución.
Establecer el nivel aceptable de pérdida de servicio o información.
Implementar los procedimientos de recuperación y restauración de las
operaciones, y disponibilidad de los sistemas según los niveles establecidos.
Documentar los procesos y controles.
Capacitar al personal sobre los procesos y las implicaciones técnicas y no
técnicas que estos conllevan.
Plan de pruebas y mejoramiento continúo de los procesos.
A.14.1.4 Marco Referencial de la planeación de la continuidad del negocio
A fin de mantener la consistencia en los diversos planes de continuidad deben
mantenerse un solo marco referencial al cual cada plan o procedimiento se alinearía.
Los objetivos de cada plan estarán orientados a identificar claramente las
condiciones necesarias para su puesta en ejecución, así como la identificación de
aquellas personas que estarán al cargo de ejecutar cada uno de los procedimientos
que forman parte de este plan.
La definición del marco para la planificación de la continuidad de las actividades de
la institución debería contemplar lo siguiente:
Los escenarios para activar los planes de contingencia
Detalle de los procedimientos emergentes que establecen las acciones
puntuales que deben realizarse después de cada evento.
Procedimientos de contingencia que establecen las acciones tomadas para
recuperar la disponibilidad de los servicios.
179
Procedimientos temporales de orden técnico que aseguran una recuperación y
restauración exitosa de los servicios.
Procedimientos de reanudación que permitan volver al normal
funcionamiento de los servicios y sistemas
Matriz de responsabilidad de las personas implicadas.
A.14.1.5 Prueba, mantenimiento y re-evaluación de los planes de continuidad
del negocio
Los planes de contingencia cumplen su objetivo cuando su efectividad se ha visto
probada, es por esto que debe existir un plan de pruebas evaluación y mejoramiento
de los planes y procesos relacionados con la continuidad de las operaciones.
Este programa debe incluir el escenario en el que se realizarían las pruebas y debería
cumplir con los siguientes lineamientos:
Pruebas flexibles de simulación utilizando diferentes escenarios y periodos de
interrupción.
Simulaciones parciales.
Pruebas técnicas de operación, asegurando que a través de los procesos y
planes la información logra ser recuperada de manera íntegra.
Pruebas de levantamiento de un sitio alterno en caso de contarse con el, debe
re-diseccionarse todas las peticiones y comunicación hacia el sitio secundario
de preferencia de manera automática.
Pruebas del servicio
Simulaciones completas poniendo a prueba todos los planes de continuidad.
180
A.15 Cumplimiento
1.- Aspectos Generales
La política de seguridad de la información detallada en este documento debe ser
cuidadosamente cumplida, tanto por los usuarios internos o funcionarios de la
Universidad como en caso del personal externo colaborando con la misma. Para esto
deben establecerse normativas que aseguren su cumplimiento.
2.- Objetivos Del Control
Cumplir con todas las disposiciones relacionadas con la seguridad de la información
y los procesos en los que la información se vea envuelta, a fin de evitar posibles
sanciones administrativas, o posibles litigios en caso de que el incumplimiento
redunde en un delito informático.
Garantizar que todos los sistemas y servicios informáticos de la Sede Guayaquil
cumplan con la política de seguridad de la información detallados en este
documento.
Revisar periódicamente los sistemas de información a fin de garantizar que las
políticas de seguridad están siendo cumplidas cuidadosamente.
Garantizar que exista protección sobre los sistemas y la información que la
universidad maneja, así como una auditoria de eventos que permita corroborar el
cumplimiento individual en cada sistema a la política de seguridad.
3.- Alcance del Control
Esta Política es aplicable a todo el personal de la Universidad Politécnica Salesiana
Sede Guayaquil, cualquiera sea su situación o funciones dentro de la institución.
Es aplicable además a los sistemas de información, normas, procedimientos,
documentación y plataformas técnicas de la Universidad y a las auditorias
efectuadas sobre los mismos.
181
4.- Responsabilidad del Control
El Oficial de Seguridad Informática será responsable de:
Definir normas y procedimientos que permitan garantizar el cumplimiento
de las políticas.
Realizar revisiones periódicas que garantice el cumplimiento de la
política de seguridad.
Verificar periódicamente los sistemas de información garantizando el
cumplimiento de las mejores prácticas.
Garantizar la seguridad y el control de las herramientas utilizadas para las
revisiones de auditoría.
Los Responsables de los diferentes departamentos son responsables del control y
cumplimiento de las normas y procedimientos de seguridad establecidos dentro de su
correspondiente área.
Todos los empleados de los mandos medios y superiores conocerán,
comprenderán,
darán a conocer, cumplirán y harán cumplir la presente Política y la normativa
vigente.
5.- Política – Cumplimiento
A. 15.2 Cumplimiento de las políticas y estándares de seguridad y
cumplimento técnico
A.15.2.1 Cumplimiento con las políticas y estándares de seguridad
Deben revisarse regularmente el cumplimiento del procesamiento de la información
dentro de su área de responsabilidad con las políticas y estándares de seguridad
apropiados, y cualquier otro requerimiento de seguridad.
182
En caso de existir algún incumplimiento como resultado de la revisión, la dirección
debería:
a) Determinar cuáles fueron los motivos incumplimiento
b) Definir la necesidad de acciones para asegurar que no se repita el
incumplimiento
c) Determinar e implementar la acción correctiva apropiada
d) Revisar la acción correctiva tomada.
Toda acción debe ser debidamente registrada a fin de tomarla en cuenta en futuros
incidente y en tomas de decisiones en temas de seguridad.
A.15.2.2 Chequeo del cumplimiento técnico
El chequeo técnico del cumplimiento de la política de seguridad en los sistemas
deberá hacerse utilizando herramientas que permitan realizar análisis exhaustivos
sobre los mismos, estos análisis deberán ser realizados por un Ingeniero en sistemas
especializado en seguridad informática y siendo supervisado por el encargado del
departamento de sistemas.
En caso de realizarse pruebas de penetración o evaluaciones de vulnerabilidad, se
debiera tener especial cuidado ya que estas actividades pueden llevar a comprometer
la seguridad del sistema.
Las pruebas de vulnerabilidad deben realizarse de manera controlada, planificada y
cada prueba que se realice debe ser debidamente documentada, tanto en la definición
de la prueba como en los resultados de esta. Luego de realizar pruebas de
penetración deben emitirse un informe con las novedades presentadas y deberán
tomarse acciones de remediación de manera inmediata.
183
3.6 Gestión De Riesgos
3.6.1 Definición de riesgo
Puede definirse como riesgo a cualquier evento que impide que se cumpla el objetivo
predeterminado de algo, en el ambiente informático puede ser un sistema, servicio, o
herramienta tecnológica.
Según la Organización Internacional de la Normalización (ISO) se define como
riesgo tecnológico a “La probabilidad de que una amenaza se materialice utilizando
vulnerabilidades existentes en un activo o grupo de activos generándole perdidas a
daños”
Según la definición formal mencionada anteriormente podrían tabularse como
elementos que forman parte del riesgo informático a los siguientes:
Figura 3.6
Fuente: Los Autores
Probabilidad Amenazas
Vulnerabilidades Activos
Impacto
RIESGO INFORMÁTICO
184
Probabilidad
Que tan probable que ocurra o se haga efectivo el riesgo, este puede evaluarse de
forma cuantitativa, esta valoración debe realizarse sin que se vea involucrada
ninguna acción que minimice el riesgo. Al momento de cuantificar la probabilidad se
puede disponer como recurso la experiencia en entornos o circunstancias iguales o
parecidas al objeto de estudio.
Amenazas
Pueden catalogarse como amenazas a aquellas acciones que podrían provocar efectos
negativos para la organización, generalmente se relaciona el termino amenaza con
fallas accesos no autorizados código malicioso, desastres naturales, entre otras.
Vulnerabilidades
Se relaciona el término vulnerabilidad a una característica negativa que tiene el
activo la cual permitiría que se materialice alguna de las amenazas a la que el activo
se encuentra expuesto.
Una amenaza sin una vulnerabilidad no lograría materializar ningún daño sobre el
activo.
Activos
Son los bienes que posee la organización, en términos informáticos los activos de
información son los datos, información, sistemas, servicios informáticos o
equipamiento utilizado por el recurso humano de la organización.
Impacto
Se relaciona con la severidad de las consecuencias en caso de que ocurra o se
materialice un riesgo, estas consecuencias o suelen traducirse en pérdidas
monetarias, confianza, mercado, y de oportunidades de negocios.
3.6.2 Gestión de riesgos
El riesgo informático es algo que no puede evitarse o mitigarse en su totalidad, pero
a través de una adecuada gestión de riesgos puede mantenerse al mínimo el
porcentaje de incidencia.
185
Para que exista gestión de riesgo deben considerarse los elementos descritos en la
siguiente ecuación:
ECUACIÓN GESTIÓN DE RIESGOS
Gestión Riesgo = Análisis Riesgos + Tratamiento Riesgos
Figura 3.7
Fuente: Los Autores
3.6.3 Metodología de análisis de riesgos
El análisis, cuantificación y gestión de riesgo en las operaciones de la Sede
Guayaquil de la UPS, ha sido elaborado en base a la metodología de gestión
MAGERIT.
MAGERIT (Metodología de Análisis y Gestión de Riesgos de los Sistemas de
Información) es una metodología promovida por el CSAE (Consejo Superior de
Administración Electrónica) que persigue una aproximación metódica al análisis de
riesgos para la gestión de la seguridad que no deje lugar a la improvisación ni que
dependa exclusivamente de la experiencia del analista de riesgos.
MAGERIT no pretende que la seguridad de la información sea absoluta, pues tal
aseveración es inexistente. Siempre hay que aceptar un riesgo que debe ser
conocido y sometido al umbral de calidad que se requiere del servicio.
3.6.4 Análisis y evaluación de riesgos
A través de la metodología MAGERIT se realizó el análisis de los riesgos existentes
en la Sede Guayaquil de la UPS incluido en el ANEXO1.
186
3.6.5 Enunciado de aplicabilidad
El Enunciado de aplicabilidad es uno de los principales documentos requeridos por la
norma ISO/IEC 27001.
Es un documento en el cual deben documentarse los objetivos de control o controles
seleccionados, así como las razones para su selección. También debe registrarse la
exclusión de cualquier objetivo de control y controles enumerados en la norma.
3.7 CONCLUSIONES
Cabe concluir que este estudio de tesis esta orientada a poder identificar cada uno de
los puntos más críticos que se ha venido presentado con el avance de la tecnología
han llegado a ser considerado con una vulnerabilidad en la seguridad informática.
Citando algunos de estos como la calidad de los servicios brindados por la
institución; el servicio de mensajería , navegación que es utilizado tanto por el
recurso humano dentro de la institución como el personal docente, al no contener un
política que regule el uso de estos servicios y que permite que los mencionados
recursos sea utilizados de manera indiscriminada, es considerado como un factor
grave y atentatorio a la calidad de servicio y esta repercutirá en los controles de la
seguridad informática.
La utilización de métodos de encriptación como de aquellos mecanismos de
autenticación para salvaguardar los datos que viajan por la infraestructura
tecnológica de la institución son factores primordiales en la seguridad de la
información, ya que estos permiten mantener la confidencialidad de la información y
la confiabilidad que dicha información no ha sido alterado por algún tipo o
mecanismo de intrusión.
El adecuado manejo de una política documentada, ayudará en futuros procesos de
auditoria a saber los orígenes de cada uno de los cambios, como también a identificar
posibles omisiones a la seguridad que se han originados con el transcurso y avance
de la tecnología.
187
Todos estos controles dentro de un política bien estructura permite mejorar los
niveles de seguridad ya sea en su parte física, estructural, tecnológica y en la su parte
metódica documental, donde se podrán ir identificando cada uno de problemas
presentados. El cual podrá ser tomado como tema de estudio para poder identificar
posibles mecanismos y falencia al momento de implementas controles y políticas de
seguridad dentro de una institución.
3.8 Recomendaciones
La aplicación de cada uno de los puntos de esta tesis contemplan las situaciones
actuales de la institución, como aquellos puntos críticos omitidos en el actual
procedimiento de seguridad que la institución maneja ; y el alto índice de
inseguridad que se puede presentar al mantener el esquema actualmente utilizado.
Como parte del estudio realizado, este permitió identificar la omisión en ciertos
puntos de la seguridad, que con el desarrollo tecnológico este se ha convertido en
una amenaza al tipo de negocio que maneja la institución y a los servicios para el
manejo del personal humano.
El uso de los controles citados a los largo de este documento ayudaran a reducir el
índice de riesgo obtenidos con los controles actuales; con un decrecimiento de un 50
a 60 % de los niveles de riesgos anteriormente citados.
La perfecta propagación de la documentación contenida en cada uno de los controles
y que haga referencia a las personas involucradas en los diferentes controles
ayudaran mucho a mantener bajo el nivel de incidencia en los controles de seguridad.
La implementación de este documento permitirá reducir el riesgo actualmente
encontrado en la seguridad presentado tanto a nivel de infraestructura como en la
parte de documentación la cual presenta una carencia de información física no
implementada y tampoco difundida en los entornos de la institución. El cual podrá
servir como ayuda para futuras implementaciones y temas de estudio a nivel de la
misma institución.
188
3.9 BIBLIOGRAFÍA
INTERNET
Wikipedia: Sin Autor: http://es.wikipedia.org/wiki/Informaci%C3%B3n
INTERNET
Asepal.es : Sin Autor :
http://www.asepal.es/adjuntos/fichero_211_20060920.pdf?PHPSESSID=1b4ed7642
56fc5e28c01a0dbdea3f1e5
INTERNET
Mondragón.edu : Sin Autor :
http://www.mondragon.edu/eps/jor/seguridad/JornadaSeguridadMCC-
MU_archivos/Nextel.pdf
INTERNET
Revista Ays : Sin Autor:
http://www.revista-ays.com/DocsNum14/Normas/Corletti.pdf
ISO / IEC
ISO / IEC: Documentación Normas ISO/IEC serie 27000
ISO 27001 – ISO 27002
INTERNET
ISO 27001 Blogspot : Sin Autor :
http://sgsi-iso27001.blogspot.com/
INTERNET
ISO 27000.es: Sin Autor:
http://www.iso27000.es/doc_sgsi_all.htm
ISMS Forum Spain
https://www.ismsforum.es/index.php
189
3.10 ANEXOS
ANEXO 1: Plan de Continuidad del Negocio
Definición
El plan de continuidad del negocio es un proceso está diseñado para prevenir
interrupciones que afecten el normal desempeño de las actividades relacionadas con
el negocio , evitando así perdidas a la institución, las cuales pueden ser económicas ,
causales de litigios legales , o incluso afectar la posición que la institución tiene en el
mercado.
En caso de la ocurrencia de un incidente que afecte algún recurso relacionado con el
negocio, y este no haya podido ser evitado, el plan de continuidad debe tender a
minimizar su impacto, tanto en tiempo como en sentido económico. Estas acciones
pueden tener un alcance operativo o tecnológico.
Ciclo de vida de una contingencia
El ciclo de vida de una contingencia comprende los diferentes eventos en línea de
tiempo, lo cual incluye, el momento en el que existe normal operación, la ocurrencia
de un incidente, las acciones para restablecer parcialmente las operaciones y el
momento en ocurre el restablecimiento a la normalidad de las operaciones.
CICLO DE VIDA DE UNA CONTINGENCIA
Figura 3.9
Fuente: Instituto de Estudios Bancarios Guillermo Subercaseaux
190
Los Desastres
Los desastres son eventos que impactan negativamente las operaciones del negocio,
causan interrupción en la operación de procesamiento de información crítica
Análisis del impacto (BIA)
El Análisis del impacto en el negocio tiene como objetivo determinar y entender que
procesos son fundamentales para mantener las operaciones continuas y calcular su
posible impacto. Este proceso es un elemento fundamental dentro del plan de
continuidad del negocio.
Según el Business Continuity Institute los tres objetivos principales a tomar en
consideración en el análisis de impacto son los siguientes:
Entender los procesos críticos que soportan el servicio, estableciendo la
prioridad de cada uno de estos servicios y los tiempos estimados de
recuperación (RTO).
Determinar los tiempos máximos tolerables de interrupción (MTD).
Apoyar el proceso de determinar las estrategias adecuadas de recuperación.
Clasificación de los recursos en las operaciones
Críticos
Funciones que pueden realizarse sólo si las capacidades se reemplazan por
otras idénticas.
No pueden reemplazarse por métodos manuales.
Muy baja tolerancia a interrupciones.
Dentro de la Sede Guayaquil, los recursos críticos son los siguientes:
o Repositorios de información, archivos compartidos por red
o Servicio de Active Directory
o Sistema de información académico
191
o Sistema de información financiero
o Sistema de información de talento humano
o Servidores
o Equipos de conectividad de red (back-bone)
o Firewall
o Enlaces de datos Guayaquil-Cuenca
o Edificios, oficinas , sala de servidores
o Recurso humano
Vitales
Pueden realizarse manualmente por un periodo breve.
Costo de interrupción un poco más bajos, sólo si son restaurados dentro de un
tiempo determinado 5 o menos días.
Dentro de la Sede Guayaquil, los recursos vitales son los siguientes:
o Correo Electrónico
o Estaciones de trabajo criticas
o Equipos de laboratorio
o Telefonía VoIp
Sensitivos
Funciones que pueden realizarse manualmente por un periodo prolongado a
un costo tolerable.
El proceso manual puede ser complicado y requeriría de personal adicional.
Dentro de la Sede Guayaquil, los recursos sensitivos son los siguientes:
o Acceso a Internet
o Video conferencia
192
No críticos
Funciones que pueden interrumpirse por tiempos prolongados a un costo
pequeño o nulo.
Dentro de la Sede Guayaquil, los recursos sensitivos son los siguientes:
o Estaciones de trabajo, normales
Figura 3.10
Fuente: Instituto de Estudios Bancarios Guillermo Subercaseaux
Metodología utilizada para el desarrollo del BIA
El impacto de análisis del negocio permite determinar las labores y recursos
esenciales para respaldar la continuidad del negocio , su criticidad, el impacto que
tendrá en el negocio , sus del negocio DE SISTESEG, su criticidad, su impacto para
el negocio, sus RTOs (Recovery Time Objective – tiempo de recuperación objetivo),
RPOs (Recovery Point Objective) o punto de recuperación objetivo y MTD
(Maximum Tolerable Downtime – tiempo máximo tolerable fuera de servicio) Para
este fin debe seguirse el siguiente proceso:
1. Identificar instalaciones
2. Identificar procesos en cada instalación:
3. Analizar la criticidad de los procesos en cada instalación
4. Calcular el RTO, RPO y MTD de cada proceso en cada instalación:
5. Determinar procesos críticos en cada instalación:
193
Figura 3.11
Fuente: Instituto de Estudios Bancarios Guillermo Subercaseaux
RTO (Recovery Time Objective)
Es la duración de tiempo dentro del cual un proceso dentro del negocio debe ser
restablecido luego de una interrupción o desastre a fin de evitar consecuencias
inaceptables para la organización.
Esto incluye el tiempo el tiempo destinado a solucionar el problema sin realizar un
recovery, el proceso de recovery como tal y comunicación con los usuarios.
194
El RTO es establecido durante el Análisis de impacto del negocio (BIA) por el
propietario del proceso, el cual deberá ser aprobado por el Oficial de seguridad
informática.
RTO (Recovery Time Objective)
Figura 3.12
Fuente: Los Autores
El impacto de análisis del negocio permite determinar las labores y recursos
esenciales para respaldar la continuidad del negocio, su criticidad, e impacto.
RPO (Recovery Point Objective)
EL RTO expresa la cantidad de datos que una aplicación puede llegar a perder antes
de que ello suponga repercusiones negativas para la empresa.
Va estrechamente relacionado con la disponibilidad de información respaldada a la
cual reversar en caso de una interrupción o un desastre, la cantidad de información o
transacciones realizadas desde el último punto de recovery y el incidente es la
cantidad de data perdida.
6 horas
RTO
Tiempo
Desastre o interrupción
195
Cuanto más se aproximen los valores RPO y RTO de una aplicación a cero, mayor
será la dependencia de la organización del proceso en particular y, por consiguiente,
mayor prioridad tendrá a la hora de recuperar los sistemas en caso de desastre
RPO (Recovery Point Objective)
Figura 3.13
Fuente: Los Autores
WRT (Work Recovery Time)
El WRT comprende la cantidad de tiempo necesario para restaurar la data y
transacciones comprendidas desde el punto de recovery o último backup disponible,
además de la data o transacciones realizadas manualmente desde la incidencia del
desastre o interrupción hasta el RTO.
6 horas
RTO
Tiempo
Desastre o interrupción
RPO
01:00am Backup
08:00am
196
WRT (Work Recovery Time)
Figura 3.14
Fuente: Los Autores
MTD (Maximum Tolerable Downtime)
Este término se refiere al máximo de tiempo tolerable contado desde la incidencia
del desastre o la interrupción hasta la recuperación total del servicio y de la data o
transacciones realizadas, en otras palabras el restablecimiento total del servicio luego
del incidente.
RPO
6 horas
RTO
Tiempo
Desastre o interrupción
01:00am Backup
08:00am
WRT
2 horas
Transacciones manuales
197
MTD (Maximum Tolerable Downtime)
MTD = RTO + WRT
Figura 3.15
Fuente: Los Autores
Desarrollo de plan de contingencia
Las condiciones de normal operación pueden verse interrumpidas por diversos tipos
de incidentes encasillados en las siguientes categorías:
PERDIDA DE DATOS
En esta categoría se agrupan eventos relacionados con pérdida de información.
o Recursos envueltos
En esta categoría podría incluirse los repositorios de información y archivos
compartidos por
RPO
6 horas
RTO
Tiempo
Desastre o interrupción
01:00am
Backup 08:00am
WRT
2 horas
Transacciones manuales
MTD
198
No se incluye la información utilizada por los sistemas de información debido
a que esta se encuentra almacenada en servidores que forman parte de la
infraestructura de red de la Sede Matriz en Cuenca, sobre la cual el
departamento de sistemas de la sede Guayaquil no ejerce administración.
o Causas
Perdida de datos causados por terrorismo, sabotaje, robo, software malicioso,
virus, Worms, entre otros
o Medidas de Prevención (recomendaciones)
Generar respaldos periódicos
Mantener una política de respaldos y pruebas de restablecimiento de
información, a fin de asegurarse que en caso de perdida, la misma pueda
ser restaurada y estar disponible para las operaciones.
Resguardo Externo
De preferencia, una copia de los respaldos deben ser almacenados en
ubicaciones externas, garantizando la disponibilidad del respaldo en caso
de que la perdida sea causada por una catástrofe natural tal como
incendios, terremotos, inundación, entre otros.
Copiado Remoto de datos
En vista que existe un enlace de datos hacia Cuenca, podría utilizarse este
canal para realizar copia remota de datos, la cual puede ser configurable
para ser realizada calendarizadamente por las noches, con esto se
garantiza otro recurso de recuperación en caso de pérdida.
Imágenes de Disco
Podría adoptarse como complemento a la política de respaldos, la
realización de una copia exacta conocida como imagen de disco, en vista
del volumen en almacenamiento que esto requeriría podría realizarse
semanal, o quincenalmente.
Antivirus, Antispyware
199
A fin de evitar que los archivos de información almacenados en el
repositorio sean comprometidos por la existencia de código malicioso es
necesario mantener actualizada la solución antivirus con la última versión
tanto del “motor” antivirus como con las últimas firmas de definición de
virus.
INTERRUPCIONES OPERACIONALES
En esta categoría se agrupan eventos relacionados con pérdida de disponibilidad de
algún tipo de equipamiento.
Recursos envueltos
Los recursos envueltos en esta categoría son:
Servicio de Active Directory
Sistema de información académico
Sistema de información financiero
Sistema de información de talento humano
Servidores
Equipos de conectividad de red (back-bone)
Firewall
Enlaces de datos Guayaquil-Cuenca
Estaciones de trabajo criticas
Equipos de laboratorio
Telefonía VoIp
Acceso a Internet
Video conferencia
Estaciones de trabajo, normales
Causas
Perdida de disponibilidad causada por fallas de hardware, fallas eléctricas,
fallas en componentes internos de los equipos tales como discos duros o
memorias, y robo de hardware.
Medidas de Prevención (recomendaciones)
200
Datacenter de contingencia
Centros de datos que agrupan una réplica de los sistemas, servicios, e
información que el sitio principal, el trafico es diseccionado manual o
automáticamente cuando el sitio principal es detectado como fuera de
servicio.
Los Datacenter de contingencia son recomendados para ambientes con
un flujo transaccional muy alto, en los cuales se justifica los elevados
costos de inversión. Al momento las operaciones en la sede Guayaquil
no requerirían la implementación de un esquema de Datacenter de
contingencia, en caso de un crecimiento futuro en la infraestructura,
pero sobre todo en un aumento en la criticidad de los sistemas, podría
considerarse un Datacenter de contingencia como una buena opción
de continuidad de negocio.
Equipamiento redundante
Es vital establecer redundancia principalmente en los puntos más
críticos de la infraestructura.
Servicio de Active Directory
Microsoft recomienda mantener múltiples controladores de dominio y
servidores de catálogo globales en varias ubicaciones que replican con
frecuencia la información del directorio. Para proteger
Active Directory en el nivel del servidor, se necesita hacer copias de
seguridad periódicas de los controladores de dominio y servidores de
catálogo global, incluyendo una copia de seguridad del estado del
sistema de los servidores de directorio en la organización.
Servidores, Sistemas de Información
Los sistemas de información y servicios residentes en los servidores
existen varios componentes que son necesarios para su correcto
funcionamiento. Múltiples son las probabilidades, tales como fallos en
el servidor, fallos en disco, fuentes de alimentación eléctrica, tarjetas
de red, etc. Es por esto que el plan de continuidad requiere se
considere la implementación de lo siguiente:
201
Redundancia en Procesador
Utilizar discos Hotswap
Redundancia en Discos (RAID 1-5-10)
Redundancia en interfaces de Red
Fuentes de alimentación redundantes
Redundancia en Suministro eléctrico como UPS y generadores
de energía eléctrica.
Equipos de conectividad de red (back-bone)
A fin de garantizar la conectividad de red puede modificarse la
topología de red a fin de que existan al menos dos diferentes
“caminos” para llegar a los puntos de conexión críticos. Adicional a
esto puede adquirirse equipos de conectividad o concentradores
adicionales y configurarlos en redundancia.
202
INTERNET
REDES WAN
Figura 3.16
Fuente: Los Autores
Redundancia en Firewall
El firewall es un elemento de hardware (Cisco ASA) ubicado
generalmente en el perímetro con la finalidad de controlar las
comunicaciones mediante permitir o denegar conexiones según la
política de seguridad definida por el responsable de la red.
A fin de evitar pérdidas de servicio debido a fallas presentadas en este
dispositivo puede establecerse un esquema de redundancia, ya sea en
alta disponibilidad o modo activo/pasivo, o en modo balanceo de
carga también llamado modo activo/activo.
Con este esquema de redundancia, en caso de un daño en uno de los
firewall, el dispositivo de contingencia puede atender todo el tráfico y
así mantener el servicio.
203
ESQUEMA DE FIREWALLS REDUNDANTES
InternetSincronización
Switch / VLANEth0 : Eth0 :
Switch / VLAN
Eth1 Eth1
Figura 3.17
Fuente: Los Autores
Enlaces de datos Guayaquil-Cuenca
Al momento existen dos enlaces hacia Cuenca, el enlace provisto por
la Corporación Nacional de Telecomunicaciones, cuyo ancho de
banda es de 512Kb, y un enlace contratado con Telconet con ancho de
banda de 1Mb. Esto provee tolerancia a fallos en alguno de los
enlaces.
Enlaces de Internet
La sede cuenta con una conexión a Internet provista por Telconet, con
un ancho de banda de 6Mb, en caso de existir un fallo en la
infraestructura del proveedor, la sede perdería completamente este
servicio.
Con este fin existen soluciones de redundancia aplicables tanto en el
segmento de red administrado por el proveedor como soluciones
aplicables en el dispositivo que protege el perímetro (firewall). En este
caso el firewall contaría con una interfaz de red adicional que
establecería conectividad hacia Internet a través de un proveedor
distinto a Telconet, en caso de existir una falla en alguno de los dos
enlaces, se enrutaría todo el tráfico a través del enlace activo, tal como
se muestra en la figura a continuación.
204
Redundancia de ISPs
Figura 3.18
Fuente: Los Autores
Equipos de contingencia
Existen elementos dentro de la red de datos de la sede que no
requerirían un esquema de redundancia a pesar de ser equipos críticos
para la institución.
En esta categoría podríamos definir, los computadores utilizados en
secretaria, direcciones de carrera, telefonía VoIp, y demás equipos
relacionadas con tareas que no deberían verse interrumpidas durante
largo tiempo debido a la ocurrencia de un daño severo de hardware o
software, en estos casos sería aplicable contar con equipos de
contingencia o reserva de similares o superiores características listos
para ser utilizados en caso de requerirse.
205
ANEXO 4
COSTOS DEL PROYECTO
El presente proyecto está delimitado a la fase de PLANEACION de un SGSI, fase
que no implica tareas de implementación, aplicación ni mejora continua.
La fase de planeación requiere un estudio de la situación actual, y definición de los
riesgos y política de seguridad.
Las tareas asociadas con la fase de planeación requieren el uso de recursos
económicos, humanos y tecnológicos tal como se detallan a continuación:
Equipamiento
Computadoras
Horas trabajo hombre / asesorías
Acceso a Internet
Movilizaciones
Impresiones
Encuadernación
Comunicaciones
Los costos en que se ha incurrido por los conceptos anteriormente citados han sido
asumidos por los autores del proyectos y no ha representado una inversión
económica para la Universidad.
En caso de que la Universidad decida proceder con las fases posteriores a la
PLANEACION del SGSI, deberá incurrir en gastos de implementación y
certificación por parte de una consultora acreditada. Estos costos no son incluidos al
encontrarse fuera del alcance de este estudio.