Politica Ejemplo

UNIDAD DE GESTIN DE TECNOLOGAS DE LA INFORMACIN
Manual de Polticas Institucionales de Seguridad de la Informacin
UNIDAD DE GESTIN DE TECNOLOGAS DE LA INFORMACIN
Manual de Polticas Institucionales de Seguridad de la Informacin
El presente Manual constituye el conjunto de Polticas Institucionales de Seguridad de la Informacin, aprobadas por el Dr. Jos Barbosa, Rector Canciller de la UTPL y revisadas por el comit de Seguridad, integrado por:
Dr. Santiago Acosta Vicecanciller UTPL Dr. Roberto Beltrn Director General Acadmico Eco. Santiago Armijos Director Financiero Loja
Es deber de todos quienes son parte de la UTPL cumplir con las polticas contenidas en el presente manual
CONTENIDO 1. Poltica de gestin de Riesgos.. 5 2. Poltica de Seguridad de la Informacin.....13 3. Poltica de Responsabilidad de la Seguridad de la Informacin..19 4. Poltica de Gestin de Activos..33 5. Poltica de-seguridad Fsica en las Instalaciones...44 6. Poltica de Seguridad en las Comunicaciones y Operaciones.50 7. Poltica de Control de Accesos Lgicos...70 8. Poltica de Adquisicin, Desarrollo y Mantenimiento de Sistemas Informticos..... ..81 9. Poltica de Gestin de Incidentes de Seguridad..90 10. Poltica de Cumplimiento .114 11. Poltica de Licenciamiento de Software ..119 12. Poltica de Gestin del Servicio 126
POLTICA DE GESTIN DE RIESGOS
POLTICA DE GESTIN DE RIESGOS
CDIGO POL-GR 1.0
FECHA DE VIGENCIA DESDE SU APROBACIN
VERSIN 1.0
PGINAS 8
RUBRO
APROBADO POR:
CARGO
JOSE BARBOSA RECTOR CANCILLER
APROBADO POR: COMITE DE SEGURIDAD UTPL
DR. SANTIAGO ACOSTA VICECANCILLER DR. ROBERTO BELTRN DIRECTOR GENERAL ACADMICO DRA. ROSARIO DE RIVAS DIRECTORA GENERAL MAD ECO. RAMIRO ARMIJOS DIRECTOR FINANCIERO LOJA
REVISADO POR:
MARA PAULA ESPINOZA DIRECTORA UGTI
DESARROLLADO POR:
MARCO CEVALLOS GERENTE DE RIESGO
GESTIN DE RIESGOS E IMPLEMENTACIN DE CONTROLES

1. GENERALIDADES Proceso al cual pertenece: Frecuencia de ejecucin: Fecha de elaboracin: 2. OBJETIVOS Identificar y minimizar la probabilidad de materializacin de los riesgos que puedan afectar a los procesos crticos de la Institucin, soportados por el ambiente tecnolgico. Identificar y minimizar la probabilidad de materializacin de riesgos que puedan afectar a los proyectos crticos. 3. NIVELES DE RESPONSABILIDAD GESTIN DE RIESGOS
BAJO DEMANDA 07/06/2011 Versin del documento: 1.0
ROL O CARGO DEL NIVEL DE RESPONSABILIDADO FUNCIONES RESPONSABLE Comit de Seguridad de Aprobar esta poltica y otorgar lineamientos y UTPL criterios generales para la gestin de riesgos. Aprobar acciones y planes de mitigacin de riesgos crticos que puedan afectar a los procesos de Gestin Acadmica y Gestin Financiera. Director de UGTI / Gerente Revisar peridicamente el mapa de riesgos de de Proyecto. tecnologa que puedan afectar a los procesos crticos de la Universidad: Proceso de Gestin Acadmica y Proceso de Gestin Financiera. Gestionar y dar seguimiento a la implementacin de controles para mitigar los riesgos tecnolgicos. Definir los plazos de mitigacin de cada riesgo y un responsable, basado en las sugerencias del Gestor de Riesgo. Lderes de rea Ejecutar los planes de accin para mitigar los riesgos identificados.
Gestor de Riesgo
Administrar el universo de riesgos tecnolgicos u operativos que pueden afectar a los procesos crticos de la Universidad. Recomendar y asesorar a la Direccin de UGTI y al Comit de Seguridad en la toma de decisiones o definicin de directrices para mitigar riesgos crticos. Presentar un informe peridico sobre la exposicin de riesgo tecnolgico. Mantener informado de manera ejecutiva al Comit de Seguridad sobre riesgos importantes y sus mtodos de mitigacin.
4.
DESCRIPCIN DE LA POLTICA 4.1. NORMAS Y DISPOSICIONES GENERALES
Todos los miembros de la UGTI y de proyectos crticos deben informar a la Unidad de Gestin de Riesgos la existencia de debilidades o amenazas que puedan afectar a los intereses de la Universidad. La Unidad de Gestin de Riesgos tiene la obligacin de detectar y sugerir controles para mitigar los riesgos identificados basndose en un plan de accin aprobado por la UGTI. En caso de existir riesgos crticos o que afecten significativamente a los procesos de Gestin Acadmica y/o Gestin Financiera, el plan de accin debe aprobarlo el Comit de Seguridad de la UTPL. Los riesgos crticos que sern informados al Comit de Seguridad de UTPL deben presentar indicadores como costo, valor y retorno de inversin, con la finalidad de facilitar a los niveles directivos la toma de decisiones. En el Anexo A se detallan las escalas de: a) Probabilidad de ocurrencia de un riesgo; y, b) Impacto en caso de materializacin del riego. Estas escalas han sido aprobadas por el Comit de Seguridad de UTPL. No se definir cuantitativamente el apetito de riesgo en trminos econmicos. Los lmites de apetito de riesgo dependern de cada proyecto y debern ser mitigados todos aquellos riesgos que afecten a la operacin Institucional y/o al cumplimiento de los objetivos principales de un proyecto. Cualquier lineamiento general o cambio en la priorizacin de mitigacin de riesgo debe ser aprobada por el Comit de Seguridad de UTPL. En proyectos estratgicos como Syllabus+ se deber presentar un informe de los riesgos ms importantes identificados al Comit Impulsor creado para el efecto.
5.
MARCO DE REFERENCIA
La administracin del riesgo del proyecto se basar en trminos de proceso en el estndar internacional NIST SP 800-30 para la gestin del riesgo tecnolgico. 6. GLOSARIO DE TERMINOS Riesgos: Es la probabilidad de que ocurra un evento no deseado, afectando en mayor o menor medida a los intereses de la Universidad. Plan de accin: Se refiere al plan de mitigacin de riesgo y los actores involucrados. Comit de Seguridad de UTPL: De acuerdo a la poltica Institucional de Seguridad de la Informacin, el comit est compuesto por: 1. Presidida por el Vicecanciller. 2. Director General Acadmico. 3. Director General de Modalidad Abierta. 4. Director General Administrativo Financiero. Sin embargo, siempre estar asesorado por el equipo tcnico de riesgos.
Escalas de impacto de un riesgo sobre algunos factores que pueden afectar a la Institucin
Muy bajo IMPACTO 0,05 Prdida o dao insignificante. No aumenta las quejas de los usuarios No hay impacto negativo en el patrimonio. Bajo 0,1 Moderado 0,2 Alto 0,4 Muy alto 0,8
Cualitativo
Prdida o dao menor. Aumentan las quejas de los usuarios. Impacto mnimo en el valor del patrimonio (activos)
Prdida catastrfica. Prdida o dao Riesgo inaceptable en Prdida significativa. mayor. el sector. Reclamos de usuarios Investigacin formal Intervencin de ente a gran escala. del regulador y regulador. Potencial prdida de aplicacin de multas. Produce quiebra de la valor en el patrimonio Prdida que afecta el entidad o pone en valor del patrimonio peligro su continuidad. Prdida financiera >$10.000 y <=$100.000 Prdida financiera > $100.000 y <=$1.000.000 Algunos objetivos Algunos objetivos son importantes no afectados pueden ser alcanzados. El evento es de conocimiento a nivel local El evento es de conocimiento a nivel nacional Prdida financiera >$1.000.000 La mayora de los objetivos no pueden ser alcanzados. El evento es de conocimiento a nivel internacional Evento que ocasion prdida de vidas humanas o incapacidad permanente. Los activos se ven expuestos a prdida y comprometidos en un nivel critico debido a la explotacin de varias vulnerabilidades de mbito legal. Las operaciones de la organizacin fueron suspendidas. Los pasivos y contingentes se incrementan en un nivel crtico.
Cuantitativo
Prdida financiera <=$1000
Prdida financiera > $1000 <= $10.000
Objetivos
Impacto insignificante Impacto menor que es en el logro de los fcilmente remediable. objetivos.
El evento solo es de conocimiento de los Reputacin e im agen ejecutivos directamente involucrados Evento que no ocasion lesiones u Afectacin al recurso ocasion lesiones hum ano con incapacidad de hasta 3 das
El evento es de conocimiento general de la organizacin
Evento que ocasion Evento que ocasion Evento que ocasion incapacidad de 1 mes incapacidad de 3 a 6 incapacidad de 3 das a 1 mes hasta 3 meses meses Los activos se ven expuestos a prdida y Los activos se ven expuestos comprometidos en un a prdida y comprometidos en nivel moderado un nivel menor debido a la debido a algunas explotacin de alguna vulnerabilidades de vulnerabilidad en el mbito mbito legal. legal. Las operaciones se Las operaciones se ven ven afectadas de afectadas en un nivel menor. manera negativa en Los pasivos y contingentes se un nivel considerable. incrementan en un nivel no Los pasivos y importante. contingentes se incrementan en un nivel importante. Los activos se ven expuestos a prdida y comprometidos en un nivel grave debido a la exposicin de varias vulnerabilidades de mbito legal. Las operaciones se ven afectadas negativamente en un nivel grave. Los pasivos y contingentes se incrementan de manera grave.
Legal
Los activos no se ven expuestos a prdidas ni comprometidos por vulnerabilidad de mbito legal alguna. Las operaciones no se ven afectadas. Los pasivos y contingentes se incrementan en un nivel insignificante.
Escalas de probabilidad de que un riesgo se materialice

Muy baja Probabilidad Significado 0,10 Nunca ha pasado Baja 0,30 Ha pasado en alguna ocasin Moderada 0,50 Ha pasado contadas ocasiones Alta 0,70 Pasa la mayora del tiempo Muy alta 0,90 Actualmente ocurre. / Siempre ocurre
Escalas de impacto de un riesgo sobre algunos factores de cumplimiento del proyecto

Muy bajo Objetivos del Proyecto Recursos 0,05 $0 - $2.000 < !% del proy. Aumento del tiempo insignificante Variacin del alcance apenas perceptible Degradacin de la calidad apenas perceptible La no disponibilidad del sistema no afecta en absoluto a la gestin acadmica Bajo 0,10 Moderado 0,20 Alto 0,40 $20.001 $100.000 > 5% del proy. Aumento del tiempo entre el 10% y 20% Variaciones en el alcance inaceptables por el patrocinador Muy alto 0,80 > $100.000 < 15% del proy. Aumento del tiempo > 20% El producto final del proyecto es inservible
Tiempo
Alcance
$6.001 $2.001 - $6.000 $20.000 < 2% del proy. < 5% del proy. Aumento del Aumento del tiempo entre el tiempo < 5% 5% y 10% Areas de Areas de alcance alcance secundarias principales afectadas afectadas Solo algunos componentes se ven afectados La no disponibilidad del sistema afecta en lo mnimo a la gestin acadmica La reduccin de calidad requiere de aprobacin del patrocinador La no disponibilidad del sistema no afecta considerableme nte a la gestin acadmica La divulgacin no autorizada de informacin afecta al proyecto considerableme nte
Calidad
Reduccin en la El producto final calidad es del proyecto es inaceptable por el inservible patrocinador La no disponibilidad del sistema detiene por completo el proceso de gestin acadmica
Disponibilidad
La disponibilidad del sistema detiene casi por completo el negocio
La divulgacin no autorizada de informacin Confidencialidad no produce ningn inconveniente
La divulgacin no autorizada de informacin puede afectar al proyecto mnimamente
La divulgacin no autorizada de La divulgacin no informacin autorizada de puede traer informacin como afecta al proyecto consecuencia el de manera crtica detenimiento casi total del proyecto Fallas de integridad en la informacin no afectan de manera crtica al proyecto Fallas de integridad en la informacin pueden detener casi por completo el proyecto
Integridad
Fallas de integridad en la informacin no afectan en absoluto al proyecto.
Fallas de integridad en la informacin no afectan mnimamente al proyecto
Fallas de integridad en la informacin no afectan considerableme nte al proyecto
Escalas de probabilidad de que un riesgo se materialice

Muy baja Probabilidad Significado 0,10 Nunca ha pasado Baja 0,30 Ha pasado en alguna ocasin Moderada 0,50 Ha pasado contadas ocasiones Alta 0,70 Pasa la mayora del tiempo Muy alta 0,90 Actualmente ocurre. / Siempre ocurre
POLTICA DE SEGURIDAD DE LA INFORMACIN
13
CDIGO POL_UGTI_SEGURIDAD_V1.0
VERSIN 1.0
PGINAS 132
POLTICA: POLTICA DE SEGURIDAD DE LA INFORMACIN
RUBRO
NOMBRE - CARGO DR. JOS BARBOSA
APROBADO POR:
RECTOR CANCILLER ING. PAL SNCHEZ DIRECTOR DE UGTI (E)
REVISADO POR:
ING. MARCO CEVALLOS RESPONSABLE DE CONTROL INTERNO DE TI ING. JULIA PINEDA RESPONSABLE DE SEGURIDAD DE LA INFORMACIN
REALIZADO POR:
8.
GENERALIDADES Proceso al cual pertenece: Frecuencia de ejecucin: Tipo de Documento: Documento Padre: Fecha de elaboracin: SEGURIDAD DE LA INFORMACIN CONTNUA POLITICA POLTICA DE GESTIN DE TECNOLOGA DE LA INFORMACIN (POL_UGTI_GTI) Versin del 12-OCT-2010 1.0 documento:
REGISTRO DE CAMBIOS DEL DOCUMENTO Versin Motivo Realizado Por Ing. Julia Pineda Creacin del 1.0 Documento
Fecha 12-OCT-2010
1. OBJETIVO Establecer los lineamientos necesarios que permitan resguardar la informacin institucional y los recursos tecnolgicos relacionados a su gestin y consumo. 2. ALCANCE La presente poltica regir para todo el ambiente de tecnologa de la informacin y sus actores, tanto operadores, administradores y beneficiarios de la UTPL en el campus Loja.
3.
DESCRIPCIN DE LA POLTICA
NORMAS Y DISPOSICIONES GENERALES Es poltica de la Universidad generar normar de seguridad para: Definir un marco gerencial para iniciar y controlar la implementacin de la seguridad de la informacin, as como para la distribucin de funciones y responsabilidades. La gestin de activos informticos para que estos reciban un apropiado nivel de proteccin. Asegurar a un nivel razonable que todos los medios de procesamiento y/o conservacin de informacin cuenten con medidas de proteccin fsica que eviten el acceso y/o utilizacin indebida por personal no autorizado, as como permitan la continuidad de las operaciones.
El funcionamiento correcto y seguro de las instalaciones de procesamiento de la informacin y comunicaciones. Asegurar a un nivel razonable que la informacin y la capacidad de procesamiento manual y automtico, este disponible en el momento necesario para usuarios autorizados. Considerando la continuidad de la operacin tecnolgica que soporta los procesos institucionales. Asegurar que los datos y/o transacciones cumplan con los niveles de autorizacin correspondiente para su utilizacin y divulgacin. El Registro e identificacin inequvoca de los usuarios de los sistemas. Evitar casos de suplantacin de identidad por medio de los recursos tecnolgicos. Mantener registros de auditora de los eventos ocurridos as como el responsable de su ejecucin. Mantener niveles de operacin razonables en los sistemas e infraestructura estratgica para la Universidad. La identificacin de riesgos relacionados al ambiente tecnolgico que no permitan soportar a la Universidad en su cumplimiento de objetivos.
4. RESPONSABILIDADES
El Comit de Seguridad de la Informacin integrado por: Vice-rectorado Director Administrativo Financiero Director General Acadmico Este comit tendr la responsabilidad de revisar y aprobar la Poltica de Seguridad de la Informacin de la UTPL, as como tambin; supervisar el Plan de Seguridad de la Informacin de manera ejecutiva mediante: La revisin anual del Plan Estratgico del rea Seguridad La definicin de proyectos de tecnologas que fortalezcan la Seguridad del Informacin del Negocio (Servicio, Producto e Informacin). Aprobar el Manual de Gestin de Seguridad de la Informacin y el plan de difusin respectivo, para lograr el compromiso de todos los usuarios de la Universidad.
El rea de Seguridad de la Informacin elaborar las polticas necesarias para proteger la informacin generada en el ambiente tecnolgico de la UTPL. El Director de cada dependencia, cumplir la funcin de notificar a todo el personal que ingresa de sus obligaciones respecto del cumplimiento de la Poltica de Seguridad de la Informacin y de todas las normas, procedimientos y prcticas que de ella surjan. La Direccin de Unidad de Gestin de TI tiene la responsabilidad de otorgar las facilidades para la implementacin del Sistema de Gestin de Seguridad de la Informacin y tomar decisiones estratgicas en el proceso.
El Responsable del rea Legal brindar la asesora necesaria en el mbito legal y regulatorio, as mismo otorgar los lineamientos necesarios para no incurrir en incongruencias legales dentro del mbito de seguridad de la informacin. El rea de control Interno de TI, es responsable de practicar auditoras peridicas sobre el cumplimiento de las normas y procedimientos asociados al Sistema de Gestin de Seguridad de la Informacin. 5. CONTROL DE CUMPLIMIENTO Y ACCIONES
En caso de existir incumplimiento de la presente Poltica de Seguridad de la

Informacin por parte de un trabajador de la Universidad, se comunicar al departamento de RRHH para que tomen las medidas de sancin respectivas por incumplimiento de acuerdo a las normativas internas oficiales a mas de las responsabilidades civiles y penales a que hubiere lugar.
ANEXOS TERMINOS Y DEFINICIONES

Poltica General: Contiene principios generales de seguridad de la informacin sobre los cuales deben basarse las normas, procedimientos y estndares tcnicos. Norma: Definiciones concretas sobre cada uno de los temas de seguridad que luego sern adaptados a cada recurso informtico en particular. Procedimientos: Detalle de cursos de accin y tareas que deben realizar los usuarios para hacer cumplir las definiciones de las normas. Estndares tcnicos: Conjunto de parmetros especficos de seguridad para cada una de las tecnologas informticas utilizadas. Confidencialidad: La informacin solo puede ser conocida por las personas definidas. Integridad: La informacin solo puede se creada y/o modificada por las personas autorizadas. Disponibilidad: La informacin este disponible cuando lo necesite el usuario. Evaluacin de Riesgo: Se entiendo por evaluacin de riesgos a valoracin de amenazas y vulnerabilidades relacionadas con la informacin y los procesos que la contienen en tres: disponibilidad, integridad y confidencialidad. La evaluacin de riesgos es un proceso cclico y debe ser llevado peridicamente. Administracin de Riesgos: Es un proceso en que se identifica, controla y minimiza o elimina, a un costo aceptable, los riesgos de seguridad que pueden afectar a la informacin. Comit de Seguridad de la Informacin: Es un equipo integrado por representantes de las diferentes reas de la organizacin, destinado a apoyar las iniciticas de Seguridad de la Informacin. Responsable de Seguridad de la Informacin: Persona que se encarga de supervisar el cumplimiento de la presente poltica de seguridad y asesorar en materia de seguridad de la informacin a los miembros de la organizacin. Incidentes de Seguridad: Es cualquier evento que comprometa la confidencialidad, integridad y disponibilidad de la informacin de la organizacin.
POLTICA DE DE RESPONSABILIDAD DE LA SEGURIDAD DE LA INFORMACIN
CDIGO POL_UGTI_RESPONSABLESEG_v1.0
VERSIN 1.0
PGINAS 132
POLTICA: RESPONSABILIDAD DE LA SEGURIDAD DE LA INFORMACIN
RUBRO
NOMBRE - CARGO
ING. MARA PAULA ESPINOZA DIRECTORA DE UGTI
APROBADO POR: ING. JULIA PINEDA LDER DE SEGURIDAD DE LA INFORMACIN ING. MARCO CEVALLOS GERENTE DE ASEGURAMIENTO DE CALIDAD Y RIESGOS REVISADO POR: ING. CARLOS CRDOVA OFICIAL DE SEGURIDAD DE LA INFORMACIN DR. JUAN CARLOS ROMN DEPARTAMENTO LEGAL ING. JULIA PINEDA SEGURIDAD DE LA INFORMACIN ING. MARITZA RUEDA SEGURIDAD DE LA INFORMACIN
REALIZADO POR:
CONTENIDO
1. 2. 3. 4. GENERALIDADES ....................................................................................................................... 22 OBJETIVO .................................................................................................................................... 22 ALCANCE ..................................................................................................................................... 22 DESCRIPCIN DE LA POLTICA ................................................................................................ 22 ORGANIZACIN INTERNA ...................................................................................................................... 22 Asignacin de responsabilidades en materia de seguridad de la informacin ............................ 22 Definicin del Comit de Seguridad de la Informacin ............................................................ 23 Responsabilidades del Comit de Seguridad de la Informacin ............................................. 23 Definicin del Dueo de Datos ................................................................................................. 24 Responsabilidades del Dueo de Datos .................................................................................. 24 Definicin del rea de Calidad, Riesgos y Seguridad .............................................................. 24 Responsable del Calidad, Riesgos y Seguridad ...................................................................... 25 Definicin del Oficial de Seguridad .......................................................................................... 25 Responsabilidades del Oficial de Seguridad ............................................................................ 25 Definicin de los Administradores de los Servicios .................................................................. 26 Responsabilidades de los Administradores de los Servicios ................................................... 26 Definicin de Usuario final ........................................................................................................ 26 Responsabilidades del Usuario Final ....................................................................................... 26 Autorizacin para Instalaciones de Procesamiento de Informacin ............................................. 27 Acuerdos de confidencialidad ....................................................................................................... 27 Revisin independiente de la seguridad de la informacin .......................................................... 27 TERCEROS .......................................................................................................................................... 27 Identificacin de Riesgos Derivados del Acceso de Terceros .................................................... 27 Requerimientos de Seguridad en Contratos y Acuerdos con Terceros ....................................... 27 Requerimientos de Seguridad en Contratos de Tercerizacin ..................................................... 28 5. CONTROL DE CUMPLIMIENTO Y SANCIONES ........................................................................ 29
ACUERDO DE CONFIDENCIALIDAD .................................................................................................. 31
9.
GENERALIDADES Proceso al cual pertenece: Frecuencia de ejecucin: Tipo de Documento: Documento Padre: Fecha de elaboracin: SEGURIDAD DE LA INFORMACIN CONTNUA POLTICA POLTICA DE SEGURIDAD DE LA INFORMACIN (POL_UGTI_SEGURIDAD) Versin del Octubre-2010 1.0 documento:
REGISTRO DE CAMBIOS DEL DOCUMENTO Versin Motivo Realizado Por Julia Pineda Creacin del 1.0 Documento Maritza Rueda
Fecha Octubre-2010
10. OBJETIVO Administrar adecuadamente la Seguridad de la Informacin en la UTPL y establecer un marco gerencial para iniciar y controlar su implementacin y establecer las funciones y responsabilidades. Garantizar la aplicacin de medidas de seguridad adecuadas por terceros en el procesamiento de la informacin interna de la UTPL. 11. ALCANCE La presente poltica regir a todo el ambiente de tecnologa de la informacin y sus actores, tanto operadores, administradores y beneficiarios de la UTPL. 12. DESCRIPCIN DE LA POLTICA
NORMAS Y DISPOSICIONES GENERALES ORGANIZACIN INTERNA Asignacin de responsabilidades en materia de seguridad de la informacin La Universidad deber considerar los siguientes roles para llevar una adecuada administracin de la Seguridad de la Informacin.
TABLA 1 FUNCIONES REALACIONADAS CON SEGURIDAD DE LA INFORMACIN
Funcin Respaldo de la Poltica de Seguridad Seguimiento de la Poltica de Seguridad Clasificacin de la informacin Cumplimiento de la Poltica de Seguridad
Rol Comit de Seguridad Oficial de Seguridad Dueo de Datos Usuarios finales Terceros y/o Personal Contratado Personal de la Unidad de Gestin de TI
Control de la Poltica de Seguridad
Calidad, Riesgos y Seguridad
Definicin del Comit de Seguridad de la Informacin La seguridad de la informacin es una responsabilidad compartida con todos los miembros de la Universidad, por lo cual se define un comit de seguridad de la Informacin que integra miembros de la alta direccin para el apoyo de las iniciativas de seguridad de la informacin. El comit estar conformado por. Vice-rectorado Director Administrativo Financiero Director General Acadmico Responsabilidades del Comit de Seguridad de la Informacin Este comit tendr la responsabilidad de revisar y aprobar la Poltica de Seguridad de la Informacin de la UTPL, as como tambin; supervisar el Plan de Seguridad de la Informacin de manera ejecutiva mediante:
La revisin anual del Plan Estratgico del rea Seguridad La definicin de proyectos de tecnologas que fortalezcan la Seguridad del Informacin del Negocio (Servicio, Producto e Informacin). Aprobar el Manual de Gestin de Seguridad de la Informacin y el plan de difusin respectivo, para lograr el compromiso de todos los usuarios de la Universidad.
Definicin del Dueo de Datos
Son todos los responsables de cada uno de los procesos y sistemas de informacin que mantiene la Universidad. El oficial de Seguridad conjuntamente con cada lder UGTI son los responsables de identificar los dueos de datos y hacer conocer a los mismos sus responsabilidades. En esta identificacin se debe determinar tambin: o o o o Informacin Dueo de Datos Recursos informticos que procesan la informacin Proceso Involucrado con la informacin
TABLA 2 DUEO DE DATOS
Informacin
Propietario
Recurso Asociado
Proceso involucrado
Responsabilidades del Dueo de Datos Deber identificar toda la informacin confidencial que corresponda a su rea de responsabilidad directa cualquiera sea su forma y medio de conservacin, para proceder a clasificarla de acuerdo a lo establecido en la Poltica de Gestin de activos (POL_UGTI_GESTION-ACTIVOS). Deber autorizar el acceso a su informacin a toda persona o grupo que requiera. Este acceso contemplar los privilegios respectivos (lectura, escritura, actualizacin y eliminacin). Podr delegar su funcin a personal idneo, pero conservaran la responsabilidad del cumplimiento de la misma. Adems, debern verificar la correcta ejecucin de las tareas asignadas. La delegacin de funciones debe quedar documentado por el propietarios e informadas al Oficial de Seguridad de dicha delegacin. Definicin del rea de Calidad, Riesgos y Seguridad La Universidad como toda organizacin maneja flujo continuo de informacin que mueve gran nmero de las actividades de la institucin, razn por la cual se ha conformado el rea de Seguridad de la Informacin, cuyos objetivos son:
Desarrollar un grupo formal de administracin de Seguridad en la UTPL, que trabaje en establecer mecanismos y polticas de seguridad que minimicen los
riesgos potenciales. Disminuir el nmero y criticidad de los problemas de seguridad. Difundir la cultura de la seguridad de la informacin a los usuarios finales. Desarrollar procedimientos de seguridad en las distintas plataformas del campus. Potenciar la formacin de Recursos Humanos en el rea de Seguridad de la Informacin. Definir una adecuada Gestin de Incidentes de Seguridad de la Informacin. Responsable del Calidad, Riesgos y Seguridad Deber apoyar al Oficial de Seguridad en la ejecucin del plan de Seguridad de la Informacin. Deber participar en la implementacin de los proyectos establecidos en el plan de Seguridad de la Informacin aprobados pro el comit de Seguridad. Deber investigar y dar seguimiento a los incidentes de seguridad de la informacin. Deber estar en constante innovacin y capacitacin en temas relacionados con la Seguridad de la Informacin. Deber establecer procedimientos de Auditoria a travs de los cuales se efecten controles permanentes del correcto cumplimiento de las medidas en el presente manual. Deber realizar revisiones independientes sobre la vigencia y el cumplimiento de la presente poltica. Definicin del Oficial de Seguridad El oficial de seguridad tiene a su cargo la definicin y el mantenimiento del Manual de Gestin de Seguridad de la Informacin y el asesoramiento a todo el personal de la Universidad para su implementacin. Responsabilidades del Oficial de Seguridad Deber implementar un plan para concientizar a la administracin acerca de la importancia de dar seguridad segn la criticidad de la informacin manejada en cada servicio. Deber llevar a cabo el mantenimiento, aprobacin, actualizacin, distribucin y monitoreo del Manual de Gestin de Seguridad de la Informacin en base a los requerimientos futuros presentados por nuevos servicios. Deber implementar los proyectos de seguridad que se planteen en el Plan de Seguridad de la Informacin de la Universidad. Deber participar en la investigacin y recomendaciones de productos de seguridad para la implementacin de las medidas de seguridad en la Universidad.
Deber dar soporte a los usuarios en los procesos de: o o o Identificacin de la informacin sensible. Identificacin de las medidas de seguridad necesarias en cada sistema para cumplir con el Manual de Gestin de Seguridad de la Informacin. Implementar dichas medidas.
Deber analizar e informar cualquier evento que atente contra la seguridad de la informacin al Director de la Unidad de Gestin de TI, as como monitorear peridicamente que solamente los usuarios autorizados tengan accesos a los sistemas. Deber verificar la validez del plan aprobado para la Seguridad de la Universidad mediante un testeo constante. Deber someter al plan de seguridad en una mejora continua. Llevar un registro actualizado de contactos de todos los administradores de los servicios de la Universidad. Definicin de los Administradores de los Servicios
Se considera a las personas encargadas de llevar la administracin de las aplicaciones, servidores, bases de datos y equipos de comunicacin existentes en la Universidad. Responsabilidades de los Administradores de los Servicios Debern implementar las medidas de seguridad dadas en el Manual de Gestin de Seguridad de la Informacin a fin de garantizar la seguridad de su servicio. Deber participar activamente en las capacitaciones y actualizaciones peridicas para conocer el Manual. Deber apoyar a los proyectos que se planteen en torno al tema de seguridad de la informacin. Deber ser parte del desarrollo e implementacin del Plan de Seguridad de la Universidad. Definicin de Usuario final Se considera a todo el personal de la Universidad y/o terceros que hacen uso de las aplicaciones y la informacin con el objetivo de poder cumplir con sus correspondientes funciones. Responsabilidades del Usuario Final Deber cumplir con todas las medidas de seguridad definidas en el Manual de Gestin de Seguridad de la Informacin. Deber participar activamente de las capacitaciones peridicas para conocer el Manual de Gestin de Seguridad de la Informacin.
Autorizacin para Instalaciones de Procesamiento de Informacin La inclusin de nuevos servicios para el procesamiento de la informacin deber ser autorizada por el dueo de datos involucrado y por el director de la Unidad de Gestin de TI. El rea de Calidad, Riesgos y Seguridad deber identificar e implementar controles de seguridad necesarios contra posibles vulnerabilidades introducidos por la implementacin de nuevos sistemas e infraestructura que procese informacin. Acuerdos de confidencialidad Todos los administradores de servicios debern firmar un Acuerdo de Confidencialidad. Todo el personal que trabaja en el rea de Calidad, Riesgos y Seguridad deber obligatoriamente firmar un Acuerdo de Confidencialidad, estos incluyen personal de planta, becarios de investigacin, tesistas y gestin productiva. (Ver Plantillas Acuerdo de Confidencialidad) Revisin independiente de la seguridad de la informacin rea de Calidad, Riesgos y Seguridad realizar revisiones independientes sobre la vigencia e implementacin de la Poltica de Seguridad de Informacin, con el fin de verificar y garantizar que las prcticas de la Universidad reflejen adecuadamente sus disposiciones.
TERCEROS Identificacin de Riesgos Derivados del Acceso de Terceros En caso que sea necesario que un tercero tenga acceso a informacin o servicios tecnolgicos internos de la Universidad, el Oficial de Seguridad y el responsable de la informacin o servicios tiene la responsabilidad de documentar y realizar una evaluacin de riesgos para definir los controles necesarios, tomando en cuenta los siguientes aspectos: El tipo de accesos que requiere El motivo por el que solicita el acceso El valor de la informacin Los controles que tomar la tercera parte La incidencia del acceso en la seguridad de la informacin de la Universidad.
No se otorgar acceso a terceros a la informacin, hasta que se hayan implementado los controles apropiados y se haya firmado un contrato o acuerdos de confidencialidad que definan las condiciones para la conexin o acceso. Requerimientos de Seguridad en Contratos y Acuerdos con Terceros
Los contratos o acuerdos con terceros que se efecten deben tomar en cuenta: Cumplimiento de la Poltica de Seguridad de la Informacin de la UTPL Proteccin de los activos de la Universidad, incluyendo: o o Procedimientos para proteger los bienes de la Universidad, abarcando los activos fsicos, la informacin y el software. Controles para garantizar la recuperacin o destruccin informacin y los activos al finalizar el contrato o acuerdo, o durante la vigencia del mismo.
Definicin de nivel de servicios esperado y del nivel de servicio aceptable. Acuerdos de control de acceso que contemplen: o o o Mtodos de accesos permitido, y el control uso de identificadores nicos. Procesos de autorizacin y privilegios de usuarios. Requerimiento para mantener actualizada una lista de de individuos autorizados a utilizar los servicios que han de implementarse y sus derechos y privilegios con respecto a dicho uso.
Procesos claros y detallados para la administracin de cambios. Controles que garanticen la proteccin contra software malicioso. Acuerdos de confidencialidad en los contratos Requerimientos de Seguridad en Contratos de Tercerizacin
Los contratos o acuerdos de tercerizacin total o parcial para la administracin y control de sistemas de informacin, redes y/o ambientes de PC del Organismo, contemplarn adems de los puntos especificados en (Requerimientos de Seguridad en Contratos o Acuerdos con Terceros, los siguientes aspectos: Acuerdo de confidencialidad Forma en que se cumplirn los requisitos legales aplicables. Medios para garantizar que todas las partes involucradas en la tercerizacin, incluyendo los subcontratistas, estn al corriente de sus responsabilidades en materia de seguridad. Forma en que se mantendr y comprobar la integridad y confidencialidad de los activos de la Universidad. Controles fsicos y lgicos que se utilizarn para restringir y delimitar el acceso a la informacin sensible de la Universidad. Forma en que se mantendr la disponibilidad de los servicios ante la ocurrencia de desastres. Niveles de seguridad fsica que se asignarn al equipamiento tercerizado. Derecho a la auditora por parte de la universidad sobre los aspectos tercerizados en forma directa o a travs de la contratacin de este servicio. Se debe prever la factibilidad de ampliar los requerimientos y procedimientos de seguridad con el acuerdo de las partes.
Si el servicio que se va contratar es la instalacin y/o configuracin de servidores, equipos de comunicacin y/o aplicacin, se deber pedir al tercero que se realice un hardening de seguridad que debe de contemplar como mnimo. o o o o o o o o Definicin de accesos a los servicios Cambio de configuraciones por defecto Cambio o eliminacin de archivos de instalacin Ocultamiento de versiones Cambio o eliminacin de usuarios y claves por defecto Desinstalacin de servicios innecesarios Configuracin de Firewall Eliminacin de accesos a recursos innecesarios
13. CONTROL DE CUMPLIMIENTO Y SANCIONES En caso de existir incumplimiento de la presente Poltica de Seguridad de la Informacin por parte de un trabajador de la Universidad, se comunicar al Direccin General de Recursos Humanos para que tomen las medidas de sancin respectivas por incumplimiento de acuerdo a las normativas internas oficiales a mas de las responsabilidades civiles y penales a que hubiere lugar.
PLANTILLAS
ACUERDO DE CONFIDENCIALIDAD Yo, ...........................................................por el presente dejo constancia de haber recibido accesos a sistemas de seguridad e informacin confidencial de la UTPL. Comprometindome a aceptar y cumplir con todas las polticas, normas y est ndares de seguridad informtica de la universidad y, especficamente, a: No utilizar la informacin para fines contrarios a los intereses de la Universidad. El intento de ganar acceso a recursos no asignados al mismo ser considerado intento de violaci n a la seguridad del sistema en el cual la universidad se reserva el derecho de tomar las acciones pertinentes al caso. No divulgar la informacin obtenida de los sistemas de la Universidad. No revelar la contrasea otorgada. Modificar la contrasea al so spechar que esta haya sido descubierta. Aceptar las responsabilidades sobre el uso de mi cuenta de usuario. Utilizar los sistemas de la Universidad nicamente para fines aprobados por sta. No permitir la utilizacin de la cuenta de usuario por terceros. No realizar instalacin de ningn homologado por la Universidad. tipo de software no
Aceptar que toda la informacin conservada en los equipos informticos (archivos y correos electrnicos residentes en servidores de datos centralizados y/o estaciones de t rabajo) es de propiedad de la Universidad, por lo que podr ser administrada y/o monitoreada por los responsables del rea de sistemas de acuerdo con las pautas de seguridad definidos. Efectuar la destruccin de todo mensaje cuyo origen es desconocido, y asumir la responsabilidad por las consecuencias que puede ocasionar la ejecucin de cualquier archivo adjunto. En estos casos, no se deben contestar dichos mensajes y debe ser enviada una copia al
administrador de seguridad para que efecte las tareas de seguimiento e investigacin necesarias. Desconectarse de la estacin de trabajo correspondiente, cada vez que finalice con las tareas que en ella desarrolla, a fin de evitar el uso de la clave por otra persona En caso de incumplimiento de las obligaciones co ntenidas en este documento, reconozco el derecho de la UNIVERSIDAD para reclamar las indemnizaciones respectivas a travs de todas las acciones judiciales contempladas en la legislacin vigente y presentar inclusive las acciones penales a que hubiere lugar de acuerdo con lo dispuesto en la Ley de Propiedad Intelectual. La terminacin del presente acuerdo, por cualquier causa, no me libera de las obligaciones de confidencialidad adquiridas en virtud del mismo, respecto a la informacin que le haya sido revel ada hasta la fecha de la terminacin. Usuario:............................................. Fecha de entrega:....../......./........ ..................................................
Firma de usuario C.I:.
POLTICA DE GESTIN DE ACTIVOS
33
CDIGO POL_UGTI_GESTIONACTIVOS_v1.0
VERSIN 1.0
PGINAS 132
POLTICA: GESTIN DE ACTIVOS

RUBRO NOMBRE - CARGO ING. MARA PAULA ESPINOZA DIRECTORA DE UGTI APROBADO POR: ING. JULIA PINEDA SEGURIDAD DE LA INFORMACIN ING. MARCO CEVALLOS GERENTE DE ASEGURAMIENTO DE CALIDAD Y RIESGOS REVISADO POR: ING. CARLOS CRDOVA OFICIAL DE SEGURIDAD Y CAMBIOS ING. JULIA PINEDA REALIZADO POR: SEGURIDAD DE LA INFORMACIN ING. MARITZA RUEDA SOPORTE TCNICO
CONTENIDO
1. 2. 3. 4.
GENERALIDADES .......................................................................................................36 OBJETIVO ....................................................................................................................36 ALCANCE ....................................................................................................................36 DESCRIPCIN DE LA POLTICA ................................................................................36

INVENTARIO 36 37 CLASIFICACIN DE LA INFORMACIN
5.
CONTROL DE CUMPLIMIENTO Y SANCIONES .........................................................38
ET1N02 INVENTARIO DE EQUIPO COMPUTACIONES E IMPRESORAS .........................39 ET2N02 INVENTARIO DE SERVIDORES Y EQUIPOS DE COMUNICACIN ....................40 ET3N02 INVENTARIO DE INFORMACIN .........................................................................42 ET5N02 INVENTARIO DE SERVICIOS ...............................................................................43
14. GENERALIDADES Proceso al cual pertenece: Frecuencia de ejecucin: Tipo de Documento: Documento Padre: Fecha de elaboracin: SEGURIDAD DE LA INFORMACIN CONTNUA POLTICA POLTICA DE SEGURIDAD DE LA INFORMACIN (POL_UGTI_SEGURIDAD) Versin del Noviembre-2010 1.0 documento:
Fecha Novimebre-2010
15. OBJETIVO Alcanzar y mantener una proteccin adecuada de los activos e informacin de la Universidad. 16. ALCANCE La presente poltica regir para todo el ambiente de tecnologa de la informacin y sus actores, tanto operadores, administradores y beneficiarios de la UTPL. 17. DESCRIPCIN DE LA POLTICA NORMAS Y DISPOSICIONES GENERALES INVENTARIO Todas las rea de la Unidad de Gestin de TI debe llevan un inventario de los activos tecnolgicos que manejan. o Soporte Tcnico deber mantener un inventario actualizado de las PCs e impresoras instaladas dentro de la Universidad. (Ver estndar: Inventario de equipos computacionales e impresoras) Infraestructura de TI deber mantener un inventario de los servidores, y equipos de comunicacin activos existentes en la Universidad. (Ver estndar: Inventario de Servidores y Equipos de comunicacin)
Todo PCs e impresoras del campus, equipos activos y servidores debern estar etiquetados para su identificacin y control de inventario. Este etiquetado sern
realizado por el departamento de Activos Fijos. El rea de Soporte Tcnico y Infraestructura de TI conjuntamente con Activos Fijos debern controlar peridicamente y actualizar el inventario de sus respectivos equipos cada que exista una movilizacin y/o nueva adquisicin. Cada rea de la Unidad de Gestin de TI deber identificar la informacin que son procesados por los sistemas informticos y clasificarlos, para luego realizar un inventario de esta informacin y mantenerlo actualizado. (Ver estndar: Inventario de Informacin). Cada rea de la Unidad de Gestin de TI deber definir el inventario de servicios que presta a la UTPL y mantenerlo actualizado. (Ver estndar: Inventario de Servicios) El rea de Soporte Tcnico y Infraestructura deber establecer procedimientos para la movilizacin, adquisicin y dar de baja (de manera tcnica) los equipo a su cargo.
CLASIFICACIN DE LA INFORMACIN Cada rea de la Unidad de Gestin de TI conjuntamente con el dueo de datos y el Oficial de Seguridad debern clasificar la informacin segn los siguientes tres criterios: o Confidencialidad 0. PUBLICO: Informacin que puede ser conocida y utilizada sin autorizacin por cualquier persona, sea de la Universidad o no. 1. RESERVADA USO INTERNO: Informacin que puede ser conocida y utilizada por todos los empleados de la Universidad y algunas entidades externas debidamente autorizadas, y cuya divulgacin o uso no autorizados podra ocasionar riesgos o prdidas leves para la Universidad. 2. RESERVADA PRIVADA: Informacin que slo puede ser conocida y utilizada por un grupo de empleados, que la necesiten para realizar su trabajo, y cuya divulgacin o uso no autorizados podra ocasionar prdidas significativas a la Universidad. 3. RESERVADA CONFIDENCIAL: Informacin que slo puede ser conocida y utilizada por un grupo muy reducido de empleados, generalmente de la alta direccin de la Universidad, y cuya divulgacin o uso no autorizados podra ocasionar prdidas graves al mismo. o Integridad 0. Informacin cuya modificacin no autorizada puede repararse fcilmente, o no afecta la operatividad de la Universidad. 1. Informacin cuya modificacin no autorizada puede repararse aunque podra ocasionar prdidas leves para a la Universidad. 2. Informacin cuya modificacin no autorizada es de difcil reparacin y podra ocasionar prdidas significativas para la Universidad. 3. Informacin cuya modificacin no autorizada no podra repararse, ocasionando prdidas graves a la Universidad. o Disponibilidad
0. Informacin cuya inaccesibilidad no afecta la operatoria de la Universidad durante un mes. 1. Informacin cuya inaccesibilidad permanente durante una semana podra ocasionar prdidas significativas para la Universidad. 2. Informacin cuya inaccesibilidad permanente durante un da podra ocasionar prdidas significativas a la Universidad. 3. Informacin cuya inaccesibilidad permanente durante 2 horas podra ocasionar prdidas significativas a la Universidad. Se asignar a la informacin un valor por cada uno de estos criterios. Luego, se clasificar la informacin en una de las siguientes categoras: o o o CRITICIDAD BAJA: ninguno de los valores asignados superan el 1. CRITICIDAD MEDIA: alguno de los valores asignados es 2 CRITICIDAD ALTA: alguno de los valores asignados es 3
Slo el Dueo de datos puede asignar o cambiar su nivel de clasificacin. El Dueo de datos con apoyo del administrador del servicios deber identificar los recursos asociados (sistemas, equipamiento, servicios, etc.) y los perfiles funcionales que debern tener acceso a la misma. En adelante se mencionar como informacin clasificada (o datos clasificados) a aquella que se encuadre en los niveles 1, 2 o 3 de Confidencialidad. El Dueo de datos deber definir los criterios utilizados para la depuracin de datos y su periodicidad.
18. CONTROL DE CUMPLIMIENTO Y SANCIONES

Informacin por parte de un trabajador de la Universidad, se comunicar al Direccin General de Recursos Humanos para que tomen las medidas de sancin respectivas por incumplimiento de acuerdo a las normativas internas oficiales a mas de las responsabilidades civiles y penales a que hubiere lugar.
19. REFERENCIAS Modelo de Poltica de Seguridad de la Informacin para Organismos de la Administracin Pblica Nacional, Versin 1, Julio-2005. Disponible en: www.arcert.gov.ar/politica/PSI_Modelo-v1_200507.pdf [Consulta 23-03-2011]
ET1N02 Inventari o de equi po computaciones e impresoras Equipos computaci onales

Localizacin No. Propietario Edificio Departamento rea Tipo Nombre Marca Modelo Serie Activos Componentes
Aplicaciones extras
Sistema Operativo
Memoria RAM
Procesador Garanta
Observaciones
Impresoras
Localizacin No. Propietario Edificio Departamento rea Tipo Marca Modelo Serie Activos Garanta Observaciones
ET2N02 Inventari o de Se rvi dores y equipos de comunicacin Servidores N Nombre del ser vidor Depende ncia Datos del Administrador o Nombre y Apellidos o Extensin o Nmero de Celular Datos del Backup o Nombre y Apellidos o Extensin o Nmero de Celular Ser vicios que presta Direccin IP Sistemas Operativos o Nombre del Sistema Operativo o Versin Marca Hardware del Ser vidor o Type/Parte Number o Modelo o N/S o Descr ipcin Procesador o Nmero o Tipo o Velocidad (GHz) Memor ia Disco Interno o Nmero o Tamao o Tipo o Conf ig uracin Disco Interno o Nmero o Tamao o Tipo o Conf iguracin Tarjeta de Red o Nmero o Velocidad Ubicacin Fsica o Lugar o Rack o Blade Center Nmero de BladeCenter Cuchilla Expiracin de Garant a
Fecha de Inicio de produccin Respaldos o Respalda? o Tamaos de respaldos (aproximado) o Medio de respaldo o Periodo de respaldo Crit icidad Observaciones
Dispositivos de red
Direccin IP Numero de Parte Tipo de Dispositivo
Hostname Ubicacin Modelo Versin Serie
Criticidad Garanta Observacin
ET3N02 Inventari o de Informacin
Clasificacin (0-3) N Informacin Confidencialidad Integridad Disponibilidad Categora Propietario Localizacin
Medio o formato de almacenamiento
Observacin
ET4N02 Inventari o de Servi cios

Descripcin del Servicio Administrador del Servicio Criticidad del Servicio
N rea
Servicio
POLTICA DE LA SEGURIDAD FSICA EN LAS INSTALACIONES
44
CDIGO POL_UGTI_SEGFISICA_v1.0
VERSIN 1.0
PGINAS 132
POLTICA: SEGURIDAD FSICA EN LAS INSTALACIONES
RUBRO
NOMBRE - CARGO ING. MARA PAULA ESPINOZA DIRECTORA DE UGTI
APROBADO POR:
ING. JULIA PINEDA SEGURIDAD DE LA INFORMACIN ING. MARCO CEVALLOS GERENTE DE ASEGURAMIENTO DE CALIDAD Y RIESGOS
REVISADO POR: ING. CARLOS CRDOVA OFICIAL DE SEGURIDAD Y CAMBIOS ING. JULIA PINEDA REALIZADO POR: SEGURIDAD DE LA INFORMACIN ING. MARITZA RUEDA SOPORTE TCNICO
CONTENIDO
1. 2. 3. 4.
GENERALIDADES .......................................................................................................47 OBJETIVO ....................................................................................................................47 ALCANCE ....................................................................................................................47 DESCRIPCIN DE LA POLTICA ................................................................................47

CONSIDERACIONES GENERALES ................................................................................................ 47 Control de accesos ....................................................................................................................... 48 Factores de ambientales .............................................................................................................. 48 Instalaciones elctricas ................................................................................................................. 49 Movilizacin de equipos ................................................................................................................ 49 Vigilancia ....................................................................................................................................... 49 Ordenadores porttiles y teletrabajo............................................................................................. 49
NORMAS Y DISPOSICIONES GENERALES .......................................................................47
5.
20. GENERALIDADES Proceso al cual pertenece: Frecuencia de ejecucin: Tipo de Documento: Documento Padre: Fecha de elaboracin: SEGURIDAD DE LA INFORMACIN CONTNUA POLTICA POLTICA DE SEGURIDAD DE LA INFORMACIN (POL_UGTI_SEGURIDAD) Versin del Octubre-2010 1.0 documento:
Fecha Octubre-2010
21. OBJETIVO Mantener una adecuada proteccin fsica de los equipos, soportes de procesamiento, transmisin y conservacin de la informacin de la Universidad. 22. ALCANCE La presente poltica regir para todo el ambiente de tecnologa de la informacin y sus actores, tanto operadores, administradores y beneficiarios de la UTPL. 23. DESCRIPCIN DE LA POLTICA
NORMAS Y DISPOSICIONES GENERALES CONSIDERACIONES GENERALES El rea de Infraestructura de UGTI deber contar con un estndar para la Sala de Servidores, tomando en cuenta: o o o o o Un sistema de climatizacin adecuada para el buen funcionamiento de los equipos Sistemas de deteccin de humo y calor La proteccin contra accesos no autorizados Cableado de red y elctrico (Ejemplo: organizacin y etiquetado) Sistema Elctrico (ejemplo: energa redundante, UPSs (Uninterrumpible
Power Supply), generadores, etc.) Todos los servidores de la Universidad debern ubicarse en la sala de servidores y colocarlos en racks. Si algn administrador no colocara su servidor en dicho lugar, este debe presentar por escrito los motivos y justificacin de esto al Responsable del equipo de la Sala de Servidores. Se deber realizar revisiones peridicas, al menos una vez al ao, sobre el estado del cableado de red y sobre su organizacin. Control de accesos El lder del grupo de Infraestructura de TI deber establecer un equipo de trabajo que se encargar de velar por el buen estado, funcionamiento y la buena presentacin de la Sala de Servidores. Este equipo debe estar compuesto por: o o o o o Responsable del equipo de la Sala de Servidores. Responsable de red. Responsable de la parte elctrica. Responsable de Aire acondicionando. Responsable de mantenimiento de servidores.
Los lderes de las diferentes reas de UGTI y el Oficial de Seguridad debern elaborar un listado del personal autorizado para ingresar a la Sala de Servidores. Estrictamente se debe apuntar a las personas que por el rol de sus funciones tiene que ingresar cotidianamente. Este listado deber estar a cargo del Responsable del equipo de la sala de servidores y el Oficial de Seguridad. Las nuevas solicitudes de acceso a la sala de servidores, debern ser evaluadas por el Oficial de Seguridad de la Informacin. Los miembros del equipo de la Sala de Servidores deber entregar al personal autorizado una clave nica, la que le permitir ingresar a la sala de servidores y ser registrada en el Sistema de Control de Accesos. Los miembros del equipo de la Sala de Servidores y el Oficial de Seguridad deber implementar controles para vigilar que el acceso a la sala de servidores sea efectivamente por el personal autorizado. El personal de Soporte Tcnico debern portar un identificativo para realizar el mantenimiento de software o equipo en las diferentes instalaciones de la Universidad. Los tours de visitas a la sala de servidores, deben ser realizadas con la presencia de al menos un personal de UGTI. Factores de ambientales
El equipo de la sala de servidores deber gestionar mantenimiento peridico para: o o UPS`s Aire acondicionado de la sala de servidores
o o
Generador elctrico del edificio de UGTI. Servidores
Se deber prohibir el ingreso de alimentos y bebidas en la sala de servidores. Instalaciones elctricas
Las estaciones de trabajo y a los equipos que son considerados vitales en la Universidad debern estar conectadas a un UPS y a un generador. Previo a la instalacin de equipos informticos en la sala de servidores el rea de Infraestructura de UGTI deber realizar clculos de la carga elctrica requerida en la instalacin, de los tableros de distribucin, as como de los circuitos y conexiones que deben soportar la carga adicional proyectada. Movilizacin de equipos
Debe existir procedimientos formales para la movilizacin o adquisicin de equipo computacionales. Las movilizaciones de equipos computacionales los debern se informadas y autorizados por el personal de Soporte Tcnico. Vigilancia
El personal de vigilancia deber registrar la orden de salida de los equipos para su movilizacin fuera de las instalaciones de la UGTI. Ordenadores porttiles y teletrabajo
Los equipos porttiles usados por los administradores deben ser de propiedad de la UTPL. Los administradores no puede portar informacin sensible de la Universidad en medios extrables como: discos, pen drive, telfonos celulares, etc, fuera de las instalaciones de la Universidad. Los administradores no puede trabajar con equipos porttiles personales ni portar informacin de la Universidad en los mismos.

POLTICA DE SEGURIDAD EN LAS COMUNICACIONES Y OPERACIONES

50
CDIGO POL_UGTI_OPERACIONES_v1.0
VERSIN 1.0
PGINAS 132
POLTICA: SEGURIDAD EN LAS COMUNICACIONES Y OPERACIONES
RUBRO
APROBADO POR:
REVISADO POR: ING. CARLOS CRDOVA OFICIAL DE SEGURIDAD Y CAMBIOS ING. JULIA PINEDA SEGURIDAD DE LA INFORMACIN REALIZADO POR: ING. MARITZA RUEDA SOPORTE TCNICO
CONTENIDO 1. 2. 3. 4. GENERALIDADES .......................................................................................................53 OBJETIVO ....................................................................................................................53 ALCANCE ....................................................................................................................53 DESCRIPCIN DE LA POLTICA ................................................................................53
CONSIDERACIONES GENERALES........................................................................................................... 53 RESPONSABILIDADES Y PROCEDIMIENTO DE OPERACIN....................................................................... 53 CONTROL DE CAMBIO EN LAS OPERACIONES ........................................................................................ 54 SEPARACIN DE LOS RECURSOS DE DESARROLLO, PRUEBAS Y OPERACIN ............................................ 55 PLANIFICACIN Y ACEPTACIN DEL SISTEMA ......................................................................................... 55 PROTECCIN CONTRA SOFTWARE MALICIOSO ....................................................................................... 56 RESPALDOS ........................................................................................................................................ 56 ADMINISTRACIN DE SERVIDORES ........................................................................................................ 58 GESTIN DE SEGURIDAD EN LA RED ..................................................................................................... 59 Red Interna ................................................................................................................................... 59 Acceso Remoto............................................................................................................................ 60 Red Inalmbrica ............................................................................................................................ 60 Monitoreo ...................................................................................................................................... 61
5.
ET1N05 CONFIGURACIN DE EQUIPOS COMPUTACIONALES......................................63 ET2N05 LNEA BASE DE SERVIDORES ............................................................................64 PLANTILLA ..........................................................................................................................65 SOLICITUD DE INFORMACIN PARA CONFIGURACION DE ALARMAS .........................66 SOLICITUD DE PERMISOS.................................................................................................67 ASIGNACIONES ..................................................................................................................68 PRVEEDORES DE ENLACES .............................................................................................69
25. GENERALIDADES Proceso al cual pertenece: Frecuencia de ejecucin: Tipo de Documento: Documento Padre: Fecha de elaboracin: SEGURIDAD DE LA INFORMACIN CONTNUA POLTICA POLTICA DE SEGURIDAD DE LA INFORMACIN (POL_UGTI_SEGURIDAD) Versin del Octubre-2010 1.0 documento:
Fecha Octubre-2010
26. OBJETIVO Asegurar la integridad, confidencialidad y disponibilidad de la informacin en su transmisin y recepcin tanto en una red interna como externa. 27. ALCANCE La presente poltica regir para todo el ambiente de tecnologa de la informacin y sus actores, tanto operadores, administradores y beneficiarios de la UTPL. 28. DESCRIPCIN DE LA POLTICA
NORMAS Y DISPOSICIONES GENERALES Consideraciones Generales o o Todos los equipos de comunicacin, servidores y aplicaciones debern contar con soporte de direccionamiento Dual Stack (IPv4 e IPv6). IPv6 deber estar habilitado en todos los servicios de la Universidad tanto internos como externos. Responsabilidades y Procedimiento de Operacin o Se documentarn y mantendrn actualizados los procedimientos operativos identificados en esta poltica y sus cambios sern autorizados por el Oficial de
Seguridad. o Los procedimientos especificarn instrucciones para la ejecucin detallada de cada tarea, incluyendo: o o o o o o o o o o o o o o o o Monitoreo de red y servidores Administracin de la W-LAN, LAN y WAN Administracin de equipo de seguridad (Firewall, Switch de Core, IPS y IDS) Administracin de Servidores Administracin de servicios informticos Alta y baja de cuenta de usuario en todos los sistemas Verificacin de accesos Respaldos Mantenimiento de servidores Mantenimiento de equipo computacionales Mantenimiento de equipos de red Manejo de incidentes de seguridad Recuperacin de informacin Control de cambios
En cada uno de los procedimientos se debern especificar cuales son los responsable de realizar las tareas en cada procedimiento. Se deber establecer estndares de configuracin segura para las diferentes plataformas bases como son: servidores (Windows, Linux, Solaris y Aix), equipos de comunicacin de red y bases de datos. Control de Cambio en las Operaciones
Se deber cumplir el proceso de control de cambios para cualquier cambio que se requiera realizar en: infraestructura, sistema, configuracin en servidores, WAN, LAN y la incorporacin de nuevos servicios tecnolgicos. Se definirn procedimientos y estndares para cada rea de TI para el control de los cambios en los ambientes operativos y de comunicacin. Todo cambio deber ser evaluado en aspectos tcnicos y de seguridad. El Oficial de Seguridad de Informacin controlar que los cambios en los componentes operativos y de comunicacin no afecten la informacin y seguridad de los mismos. Cada lder tiene la responsabilidad de evaluar el impacto operativo de su rea debido a los cambios previstos y verificar su correcta implementacin. Los procedimientos de control de cambios debern contemplar lo siguiente: o o o Identificacin y registros de cambios significativos. Evaluacin del posible impacto. Evaluacin de riesgos.
o o
o o o o o o
Aprobacin formal de de los cambios propuestos. Planificacin del proceso de cambios. Pruebas del nuevo escenario. Comunicacin de cambios a todos los involucrados. Identificacin de las responsabilidades por la cancelacin de los cambios fallidos y la recuperacin respecto a los mismos. Regirse a la Poltica (POL_UGTI_CAMBIOS). de Control de Cambios establecida
Separacin de los recursos de desarrollo, pruebas y operacin o Los ambientes de desarrollo, prueba y operaciones, siempre que sea posible, estarn separados preferentemente en forma fsica, y se definirn y documentarn las reglas para la transferencia de software desde el estado de desarrollo hacia el estado operativo. Para ello, se tendrn en cuenta los siguientes controles: o o o Ejecutar el software de desarrollo y de operaciones, en diferentes ambientes de operaciones, equipos, o directorios. Separar las actividades de desarrollo y prueba, en entornos diferentes. Impedir el acceso a los compiladores, editores y otros utilitarios del sistema en el ambiente operativo, cuando no sean indispensables para el funcionamiento del mismo. Utilizar sistemas de autenticacin y autorizacin independientes para los diferentes ambientes, as como perfiles de acceso a los sistemas. Prohibir a los usuarios compartir contraseas en estos sistemas. Las interfaces de los sistemas identificarn claramente a qu instancia se est realizando la conexin. Definir propietarios de la informacin para cada uno de los ambientes de procesamiento existentes. El personal de desarrollo no tendr acceso al ambiente operativo. De ser extrema dicha necesidad, se establecer un procedimiento de emergencia para la autorizacin, documentacin y registro de dichos accesos.
o o
o o
Todo servicio deber ser probado y verificado su funcionamiento en un ambiente de pruebas. Los servicios que se estn probando para su operacin tambin debern pasar pruebas de seguridad. Planificacin y aceptacin del sistema
Cada lder de las reas UGTI, o el personal que ste designe, efectuar el monitoreo de las necesidades de capacidad de los servicios en operacin y proyectar las futuras demandas, a fin de garantizar un procesamiento y almacenamiento adecuados. Para ello tomar en cuenta los nuevos requerimientos de los servicios as como las tendencias actuales y proyectadas en el procesamiento de la informacin de la Universidad para el perodo estipulado de vida til de cada componente.
Los lderes informarn las necesidades detectadas a las autoridades competentes para que puedan identificar y evitar potenciales cuellos de botella, que podran plantear una amenaza a la seguridad o a la continuidad del procesamiento, y puedan planificar una adecuada accin correctiva. El equipo de control de cambio debern especificar los criterios de aceptacin para un nuevo sistema o servicio tecnolgico a implementar en la UTPL. Debe considerar los siguientes puntos: o o o o o Verificar el impacto en el desempeo y requerimientos de capacidad en los equipos informticos. Garantizar la recuperacin ante errores. Garantizar la implementacin acorde a las normas de seguridad establecidas. Asegurara que la nueva implementacin no afectaran negativamente a los sistemas existentes. Considerar el efecto en la seguridad de la Universidad con la nueva implementacin. Proteccin contra software malicioso
o o
Las reas de Soporte Tcnico, y Calidad, Riesgos y Seguridad debern definir e implementar controles de deteccin y prevencin contra cdigo maliciosos. El equipo de Calidad, riesgos y Seguridad desarrollar procedimientos adecuados para concientizar a los usuarios en materia de seguridad y control de accesos a los sistemas. Estos controles debern considerar las siguientes acciones: o o Prohibir el uso de software no autorizado por la Universidad Instalar y actualizar peridicamente software de deteccin y reparacin de virus, examinado computadoras y medios informticos, como medida precautoria y rutinaria. Mantener los sistemas al da con las ltimas actualizaciones de seguridad disponibles. Revisar peridicamente el contenido de software y datos de los equipos de procesamiento que sustentan procesos crticos de la Universidad, investigando formalmente la presencia de archivos no aprobados o modificaciones no autorizadas. Verificar antes de su uso, la presencia de virus en archivos de medios electrnicos de origen incierto, o en archivos recibidos a travs de redes no confiables. Respaldos
o o
Los administradores de los servicios y sus backp debern mantener documentos actualizados de polticas y manuales de administracin, configuracin y manejo del software instalado en los servidores y equipos de comunicacin, y usuarios finales para la adecuada administracin de los mismos. Estos documentos debern especificar:
o o o o o o
fecha de creacin versin del documento cambios efectuados datos informativos de la persona que los elabor aprobacin
Infraestructura de TI debe proveer al los administradores de servicios un sistema de respaldos como: CDs, cintas, servidor de respaldos o cualquier otro medio de almacenamiento. Los administradores de los servicios debern respaldar el cdigo, datos, base de datos, configuraciones antes de aplicar cualquier cambio. Solo los administradores de los servidores y sus backup tiene acceso al lugar de almacenamiento de los respaldos dentro de la Universidad o fuera de ella. Se deber tener un lugar alterno para guardar los respaldos fsicamente, este lugar debe estar fuera de las instalaciones del edificio de la UGTI. El lugar alterno de respaldos deber contar con la infraestructura, medidas de seguridad y ambientales necesarias para mantener una adecuada organizacin y clasificacin de las copias de respaldos. Cada administrador deber priorizar la informacin segn su nivel de importancia, (aplicando los tems mencionados en la Poltica de Gestin de Activos POL_UGTI_GESTION-ACTIVOS), y su comportamiento para determinar la frecuencia de respaldos. Se deber trasladar de manera inmediata los respaldos residentes en el disco del computador del administrador a dispositivos secundarios como CDs, cintas, o cualquier otro tipo de almacenamiento en forma inmediata luego de haber realizado esta tarea. La copia de respaldos si tuviere un uso excesivo deber reemplazarse peridicamente, antes de que el mismo medio magntico de almacenamiento que la contiene llegue a deteriorarse. Al momento en que los medio de respaldos (cintas magnticas, CDs, etc) deban desecharse, estos debern ser destruidos de forma segura para evitar copias o recuperacin de la informacin almacenada. Los administradores de los servicios y sus backup debern verificar el funcionamiento de los medio de almacenamiento antes de realizar el respaldo. Las copias de respaldo debern conservase en armarios de acceso restringido. El administrador principal y su backup debern realizar pruebas peridicas para verificar la validez y funcionalidad de las mismas. Toda la informacin respaldada ser clasificada y etiquetada. En su medio de almacenamiento debe incluir: nombre del archivo, versin, aplicacin o sistema al que pertenece la informacin, fecha de respaldo, persona que hizo el respaldo, ubicacin fsica para su almacenamiento. Los administradores de los servicios debern llevar un registro de la informacin respaldada para su fcil localizacin. Se deber manejar polticas y procedimientos para la administracin, generacin y
o o o o
o o o o
o o
pruebas de respaldos de informacin. Administracin de Servidores o o El responsable de cada dependencia de la UTPL, donde se administren servidores, debe asignar un administrador principal y de bakcup para los equipos. Los administradores son los responsables de establecer el manual de administracin y configuracin de sus servicios, y solicitar y documentar los permisos que son necesarios para el funcionamiento del servicio. Cuando se implemente un nuevo servicio en produccin, el administrador tiene la responsabilidad de solicitar al rea de Calidad, Riesgos y Seguridad un Reporte de vulnerabilidades de equipo. El rea de Calidad, Riesgos y Seguridad / CSIRT-UTPL debe realizar escaneo de vulnerabilidades a los servidores de la Universidad y este debe entregar el reporte respectivo a cada administrador. El administrador y su backup debe dar respuesta a este reporte con un informe de los huecos de seguridad arreglados. Se debe establecer una lnea base del comportamiento de los servidores y equipos de comunicacin para su monitorizacin. Todos los servidores y equipos de comunicacin deben estar monitoreados por el administrador de la red. Como mnimo deben monitorearse: o o o o o o Disponibilidad del Servicio que presta el servidor Disco Procesador Memoria
o o o
Los informes de monitoreo deben ser enviados al administrador del servicio cada mes o cuando se presente una situacin anormal en el mismo. Para el monitoreo de la integridad del sistema de archivos de los servidores se debe instalar un HIDS (Sistema de Deteccin de Intrusos de Host). Se puede utilizar osiris para Windows y Linux. El administrador de la LAN conjuntamente con el administrador de cada servidor deben planificar cada 6 meses una depuracin de permisos de red tanto de intranet como de internet para los servidores que administran. La solicitud de permisos de red hacia los servidores deben ser solicitados por el administrador o el backup del mismo. Los administradores de servidores deben como mnimo configurar sus servidores bajo el estndar tcnico establecido (ver estndar: Lnea base de servidores) El administrador de servidores debe informar al administrador del antivirus la presencia de cdigo malicioso que no es detectado por el antivirus de la institucin. El administrador del antivirus debe reportar lo antes mencionado al proveedor de antivirus y dar un plan de accin al administrador. Todos los servidores en produccin deben estar en una de las vlans de servidores internos o externos (DMZ Zona Desmilitarizada). En caso de que no sea posible esto, el administrador de servidores se responsabiliza por la seguridad del mismo.
o o o
Los servidores internos no podrn ser accedidos desde una red externa como Internet. En caso de ser estrictamente necesario este acceso se lo realizar a travs de un mecanismo seguro como una red privada virtual o un canal dedicado. El administrador debe revisar peridicamente los log de auditora de su servidor. Cuando existan un cambio de administradores, se debe realizar la capacitacin respectiva al nuevo administrador y se debe realizar la entrega de manuales de administracin y configuracin. Adems, el nuevo administrador debe proceder a realizar el cambio de claves de los usuarios de administracin, eliminar usuarios personales del anterior administrador y depuracin de permisos. En los servidores de pruebas se debe implementar todos los puntos anteriores de esta seccin. Gestin de Seguridad en la red Red Interna
o o
o o
El rea de Infraestructura de TI deber establecer estndares para el etiquetad y cableado estructurado de voz y datos. El rea de Infraestructura deber establecer estndares de configuracin para los dispositivos de red (firewall, router, switch) con los niveles de seguridad definidos para cada servicio. El rea de Soporte Tcnico deber configurar los nuevos equipos computacionales bajo el estndar establecido (ver estndar: Configuracin de equipos computacionales). No est permitido el uso de mdems en PCs que tengan tambin conexin a la red local (LAN), a menos que sea debidamente autorizado. Todas las comunicaciones de datos deben efectuarse a travs de la LAN de la Universidad y las autorizaciones por parte del administrador, con el fin de prevenir la intrusin de hackers. Toda estacin de trabajo deber estar asociado a una vlan dependiendo de sus funciones. En los segmentos de red de servidores internos y externos se debe establecer obligatoriamente Listas de Control de Accesos (ACLs) tomando en cuenta el principio del mnimo privilegio. Si un usuario final necesita acceder a servicios externos de la UTPL que se encuentran restringidas (como ftp, vpns, escritorio remoto, etc), este debe realizar la solicitud por medio de correo electrnico a cuentaseguridad@utpl.edu.ec (ver plantilla: Solicitud de Permisos). El personal Soporte Tcnico sern encargado de: primeramente validar la necesidad de lo solicitado y realizar la asignacin del permiso en caso de que se requiera. Si un administrador de servicios necesita permisos adicionales a los ya establecidos en sus servidores, el nico personal autorizado para solicitarlos es el administrador del servicio o su backup. Ellos debern por medio de correo electrnico a cuentaseguridad@utpl.edu.ec solicitar el permiso (ver plantilla: Solicitud de Permisos). Estas solicitudes debern ser atendidas por el administrador de la LAN o su backup, quienes son los nicos autorizados para asignar permiso de servidores. El administrador de la Red LAN debe tener documentado la asignacin de IPs
o o
pblicas a los servidores, equipos computacionales y de red, tomando en cuenta: o o o o o Justificacin del uso de la IP pblica Vigencia de la asignacin de la IP pblica Permisos asignados a dicha IP pblica Justificacin de los permisos asignados
El Oficial de Seguridad deber revisar cada tres meses la documentacin de IPs Publicas asignadas y sus permisos asociados. Acceso Remoto
o o
Los accesos remotos a sistemas informticos de uso interno deben estar debidamente autorizados por el administrador del sistema y el Oficial de Seguridad. Se debe permitir acceso remoto (desde la red externa) a los servidores, solamente a personal autorizado e identificados dentro de la UTPL como son administrador y backup de un determinado servicio. Para el acceso remoto a los servidores se debe utilizar protocolos seguros como SSH V2 para servidores Linux, Solaris, AIX, WMWare ESX, Roocks y MAC y mstsc para servidores Windows. Para la administracin remota de los servidores mediante aplicaciones Web, se deber obligatoriamente habilitar SSL en la aplicacin web (HTTPS). En caso de ser necesario el acceso de terceros a la administracin de un determinado servidor, el administrador de dicho servidor y el Oficial de Seguridad son los responsables de autorizar el acceso. Las conexiones externas remotas deben ser autorizadas por el Oficial de Seguridad. Las conexiones externas remotas se las debe establecer por medio del servicio de VPN (cisco o/y utpl-explorer). Red Inalmbrica
o o
o o
o o
Infraestructura de TI deber establecer los Manuales de Configuraciones para Access Point. El administrador de la red inalmbrica deber desarrolla un Manual para usuario final en el que se presente paso a paso como unirse a la red inalmbrica y los posibles problemas que puedan haber. Las redes WLAN deben ser asignadas a una subred dedicada y no compartidas con una red LAN. La red WLAN es considerada insegura, por lo que todo el trfico entre ella y la red corporativa debe ser filtrada. Estos filtrados deben ser aplicados principalmente a la red de servidores, por lo que no se permitir la administracin de servidores desde la red inalmbrica. El acceso a la administracin de los Accesos Point ya sea por ssh o via web deben ser permitida solo al personal autorizado. El Access Point deber estar configurado obligatoriamente con una clave segura (ver estndar: Creacin de contraseas para usuarios) mediante el mecanismo de acceso
o o
o o
WPA (Wi-Fi Protected Access) para las red inalmbricas de uso especifico como son: o o o o o o o o o Gubernativo Valle de Tecnologa UGTI OUI Video Conferencia Salas de Reuniones de Abierta
Las claves de las redes inalmbricas protegidas podrn ser cambiados por peticin de un representante del departamento al que pertenece la red. El administrador de la red inalmbrica deber cambiar las claves de acceso a la red cada 3 meses e informarle a cada departamento. Realizar inspecciones fsicas peridicas y emplear herramientas de gestin de red para revisar la red rutinariamente y detectar la presencia de puntos de acceso no autorizados. La instalacin de un Access Point sin autenticacin deber ser solicitada al lder de Infraestructura de TI. Conjuntamente con el Oficial de Seguridad el lder de Infraestructura de TI deber evaluar los riesgos a los que est expuesta la informacin que va a fluir en este canal inseguro. Si el riesgo es aceptable el administrador de la WLAN proceder a instalar el Access Point sin autenticacin, caso contrario se habilitar la autenticacin. Monitoreo
El administrador de la red deber estar monitoreando: o o Los equipos activos de red Los enlaces de: Internet, centros regionales o asociados, videoconferencia y voz sobre IP.
Cada administrador de los servicios y equipos activos deber proporcionar al administrador de la red la informacin que se solicite en la plantilla Configuracin de Alarmas (ver anexo: Plantillas: Solicitud de Informacin para Configuracin de Alarmas) para ser registrado en el monitoreo y aviso de alarmas que ofrece las herramientas de monitoreo. El administrador de la red deber configurar en la herramienta de monitoreo que los avisos de alarmas llegue por correo electrnico o SMS. Los tipos de alarmas que se debern configurar son los siguientes: o o o o Ping: saturacin Traps: anomalas Host down: prdida de conectividad Almacenamiento: almacenamiento saturado
o o
El monitoreo deber ser habilitado las 24 horas x 7 das por los enlaces, equipos activos y servidores.
o o
El administrador de la red deber evaluar la capacidad de los enlaces semestralmente, con los administradores de las aplicaciones involucradas. El administrador de la red deber contactarse inmediatamente con el proveedor del servicio cuando haya prdida de enlace (ver anexo: Asignaciones: Proveedores de Enlaces) El servicios de snmp (Protocolo Simple de Administracin de Red) debe estar habilitado en los dispositivos de comunicacin para su monitoreo, el acceso a este servicio debe ser solo para el servidor del NOC. Cuando en un dispositivo de comunicacin deba habilitarse el servicio de snmp, se deber considerar lo siguiente: o o o Utilizar snmp versin 3 El nombre del community no puede ser fcil de adivinar como: public, private, utpl. El community debe ser una palabra robusta. En el caso de monitoreo se debe habilitar un community solo para lectura. En caso que se requiera utilizar snmp para la administracin se debe crear otro community para esta funcin, de igual manera debe ser una palabra robusta y difcil de adivinar. Se debe habilitar listas de acceso en los dispositivos de comunicacin a monitorear para que el servidor de NOC pueda acceder al servicio de snmp.
o En caso de existir incumplimiento de la presente Poltica de Seguridad de la

ET1N05 Configuraci n de equipos computacionales Instalacin y c onf iguracin de bsica de equipos computacionales
Instalacin del sistema operativo con lt imo Ser vicesPack o Excepcin: aplicaciones que no son soport ada por el ltimo Ser vicesPack Instalacin de drives de audio, video, y r ed Instalaci n de Antivirus y su actualizaci n Instalacin de s of tware bsico o Microsof t off ice o Adobe Prof esional o W inzip o W inrar Activacin de Fir ewall Activacin de IPv4 y IPV6 Conf iguracin de n ombre del equipo y nombre de dominio ( ver estndar: Nombre de equipo y grupo de tr abajo) Conf iguracin de z ona horar io (Bogot -Lima-Quito GT+5) Conf iguraci n del pr oxy en caso de ser necesar io Conf iguracin del Nombre de equipo (Ejemplo: oct -sa2-001) compuest o por: o Edif icio o Centro o Departamento o Nmero Conf iguracin del Grupo de trabajo: utpl.edu.ec
ET2N05 L nea base de servi dores Instalacin y c onf iguracin de bsica de ser vidores
Instalacin del sist ema operativo con la ltima actual izacin del sistemas Instalaci n de Antivirus y su actualizaci n Activacin y conf iguracin de Firewall Conf iguracin de n ombre del equipo Conf iguracin estt ica de red Conf iguracin de z ona horar io (Bogot -Lima-Quito GT+5) Desinstalacin de sof tware y se r vicios innecesarios Eliminacin de archivos de instalacin Eliminacin de cuent as por def ecto Cambiar el nombre el nombre del usuar io de administracin Establecer contrasea segura para las cuentas adm inistracin segn estndar Creacin de contraseas par a administracin ( Poltica de Control de Accesos Lgicos POL_UGTI_ACCESOS) Documentar los servicios levantados en el equipo y el sof tware instalado
PLANTILLA
SOLICI TUD DE INFORM ACIN P AR A CONFIGUR ACION DE AL ARM AS
D ATO S GENER ALES Administrador Principal
Fecha: ____ _________
Nombres Completos: __________________________________ Direccin de correo electrnico: _________________________ Nmero de Telf ono Mvil: _____________________________ Administrador Backup Nombres Completos: _________ _________________________ Direccin de correo electrnico: _________________________ Nmero de Telf ono Mvil: _____________________________
SERVIDOR Direccin IP Interna Direccin IP Ext erna
SERVICIOS A MONI TO RE AR Servicios a monitorear Puertos Tipo de Al arma
SOLICI TUD DE PERMISOS ############################################################## ## FORMATO DE SOLICITUD DE PERMISOS - SEGURI DAD UTPL ## ##############################################################
* NOMBRE DEL R ESPONSABLE: .. * JUSTIFICACION: .. .. * PERIODO DE TIEMPO: * DESCRIPCIN: IP ORIGEN . IP DESTINO ... PUERTO .
ASIGNACIONES
PRVEEDORES DE ENL ACES ENL ACE Terrestre Terrestre Terrestre Terrestre Satelital PROVEEDOR CEDIA GLOBALCROSSING TELCONET TELCONECT -LOJA GLOBALCROSSING CONTACTO Claudio Chacn Patricio Andrade Gustavo Alarcn Ef rain Encarnacin Patricio Andrade TELEFNICO 074051000 - 093790347 024004040 - 093463800 084974981 072585848 - 099277981 024004040 093463800
POLTICA DE CONTROL ACCESOS LGICOS
70
CDIGO POL_UGTI_ACCESOS_v1.0
VERSIN 1.0
PGINAS 132
POLTICA: CONTROL DE ACCESOS LGICOS
RUBRO
NOMBRE - CARGO
APROBADO POR:
REVISADO POR: ING. CARLOS CRDOVA OFICIAL DE SEGURIDAD Y CAMBIOS ING. JULIA PINEDA REALIZADO POR: SEGURIDAD DE LA INFORMACIN ING. MARITZA RUEDA SOPORTE TCNICO
CONTENIDO 1. 2. 3. 4. 5. GENERALIDADES .......................................................................................................73 OBJETIVO ....................................................................................................................73 ALCANCE ....................................................................................................................73 RESPONSABILIDADES ...............................................................................................73 DESCRIPCIN DE LA POLTICA ................................................................................74
CONSIDERACIONES GENERALES........................................................................................................... 74 CREACIN DE USUARIOS ..................................................................................................................... 75 GESTIN DE ACCESOS DE USUARIOS ................................................................................................... 75 Registro de usuarios ..................................................................................................................... 75 Gestin de privilegios ................................................................................................................... 75 Seguimiento y Auditoria ................................................................................................................ 76 Gestin de contraseas de usuario .............................................................................................. 76 Revisin de los derechos de acceso de los usuarios ................................................................... 76
6.
CONSECUENCIAS Y SANCIONES .............................................................................77
ET1N04 CREACIN DE CONTRASEAS PARA USUARIOS FINALES DE SISTEMAS O APLICACIONES ...................................................................................................................78 ET2N04 CREACIN DE CONTRASEAS PARA ADMINISTRACIN ................................79
30. GENERALIDADES Proceso al cual pertenece: Frecuencia de ejecucin: Tipo de Documento: Documento Padre: Fecha de elaboracin: SEGURIDAD DE LA INFORMACIN CONTNUA POLTICA POLTICA DE SEGURIDAD DE LA INFORMACIN (POL_UGTI_SEGURIDAD) Versin del Noviembre- 2010 1.0 documento:
REGISTRO DE CAMBIOS DEL DOCUMENTO Versin Motivo Realizado Por Julia Pineda Creacin del 1.0 Documento Maritza Rueda 31. OBJETIVO
Fecha Noviembre- 2010
Proteger la informacin institucional, normando el acceso a travs de los sistemas informticos, considerando: perfiles, permisos, cuentas, contraseas y protectores de pantalla.
32. ALCANCE Las normas definidas en esta poltica cubren toda la informacin que se encuentra almacenada y gestionada en activos tecnolgicos. Su cumplimiento es de carcter obligatorio para quienes necesitan hacer uso de a la misma.
33. RESPONSABILIDADES El Oficial de Seguridad Informacin estar a cargo de: o o o Definir normas y procedimientos para: la gestin de accesos a todos los sistemas, bases de datos y servicios de informacin. Definir pautas de utilizacin de los activos de informacin institucionales para los usuarios del rea de TI. Participar en el comit de control de cambios y aprobar o rechazar un cambio luego de poseer un informe de impacto de las reas involucradas en el cambio. Verificar el cumplimiento del procedimiento de control de cambios Verificar el cumplimiento de las pautas establecidas, relacionadas con control de accesos, registro de usuarios, administracin de privilegios, administracin de contraseas, utilizacin de servicios de red, proteccin
o o
de puertos, subdivisin de redes, control de conexiones a la red, etc. o Autorizar el acceso remoto a la administracin de servicios crticos de la UTPL y a datos sensibles, verificando que se adopten todas las medidas que correspondan en materia de seguridad de la informacin, de modo de cumplir con las normas vigentes.
Los administradores de los servicios junto con el rea de Calidad, Riegos y Seguridad estarn encargados de identificar los riesgos a los cuales se expone la informacin con el objeto de: o o Definir el plan de accin que permita mitigar los riesgos encontrados en: los controles de accesos y autenticacin. Definir los eventos y actividades de usuarios a ser registrados en los sistemas de procesamiento de su incumbencia y la periodicidad de revisin de los mismos.
El rea de Calidad, Riesgos y Seguridad o en su defecto quien sea propuesto por el Comit de Seguridad de la Informacin, realizarn auditorias peridicas a los sistemas, los mismo que tendrn acceso a los registros de eventos a fin de colaborar en el control y efectuar recomendaciones sobre modificaciones a los aspectos de seguridad. El Direccin General de Recursos Humanos se encargar de: o Notificar va correo electrnico al Oficial de Seguridad el cambio de rol, o la salida o ingreso de un empleado para que los administradores de los servicios procedan a eliminar/crear inmediatamente accesos y permisos a los sistemas informticos. Emitir un reporte mensual al Oficial de Seguridad en el que se detalle todos los ingresos y salidas de personal.
34. DESCRIPCIN DE LA POLTICA NORMAS Y DISPOSICIONES GENERALES Consideraciones Generales Los lderes de cada rea de UGTI conjuntamente con el Dueo del Servicio tienen la responsabilidad de crear procesos formales para la gestin de usuarios de los sistemas informticos, en los cuales se debe considerar: o Definicin de roles y perfiles El rol esta definido por la funcin que cumple un usuario dentro de un sistema. El perfil es la descripcin detallada de las transacciones que un usuario puede realizar en un sistema. En definitiva son los privilegios con los que cuenta un usuario.
o o
Procedimiento de autorizacin, acceso y nivel de privilegios en los sistemas. Procedimiento de entrega de usuarios y claves a los sistemas de manera
adecuada y segura. o o Procedimientos de creacin de usuarios. Procedimiento para dar de baja a los usuarios en los sistemas.
Los sistemas informticos deben estar configurados de tal manera que la sesin de los usuarios caduque cuando exista un tiempo de inactividad de 15 minutos. Esto obligatoriamente para los sistemas definidos como crticos y para los usuarios de administracin de los sistemas. Creacin de Usuarios
Cada administrador de servicios conjuntamente con el Dueo del Servicio debern definir el flujo de autorizacin y procedimiento de creacin de usuarios considerando: las solicitudes y autorizaciones, roles y perfiles. El nombre de usuario debe estar creado segn el estndar definido (Ver estndar: Creacin de cuentas). Gestin de accesos de usuarios
REGISTRO DE USUARIOS El lder de cada rea de UGTI conjuntamente con el Dueo del Servicios deben definir el flujo de autorizacin para el acceso y el nivel de privilegios en los sistemas. El otorgamiento de roles y perfiles de usuario deber ser definido de acuerdo al principio del mnimo privilegio. Todo el personal de la UTPL tendr asignado un nombre nico de usuario y contrasea para acceder a los sistemas informticos permitidos segn su perfil. Si existe alguna excepcin, esta debe ser autorizada por el Oficial de Seguridad. Los administradores de servicios debern otorgar acceso a los diferentes sistemas siempre que el solicitante posea la respectiva autorizacin. Los administradores de cada servicio deber mantener actualizado sus registros de usuario. As como una bitcora relacionada a accesos lgicos de los mismos. Se debera mantener opciones y reportes automticos para obtener los listados necesarios de las cuentas y privilegios de los usuarios en los sistemas.
GESTIN DE PRIVILEGIOS Cada aplicacin debe gestionar el nivel de privilegios que tienen los usuarios dentro del sistema informtico. Todo el personal de la UTPL debe estar asociado a un rol/perfil en los sistemas informticos de acuerdo a las actividades que realiza. Es responsabilidad de los administradores de servidores y servicios, la correcta administracin de las cuentas de acceso, el otorgamiento de privilegios de acuerdo a las autorizaciones que se especifiquen en el flujo de autorizacin.
SEGUIMIENTO Y AUDITORIA Los servicios de TI sern auditados por el rea de Calidad, Riesgos y Seguridad. Se deber activar el registro de auditora en los servicios, servidores, equipos de comunicacin y sistemas crticos, para aquellos usuarios que mantengan privilegios administrativos. Los registros de auditoria debern ser eliminados peridicamente, para que no afecten el rendimiento de los servicios.
GESTIN DE CONTRASEAS DE USUARIO Se debe aplicar el estndar de creacin de contraseas seguras para el acceso de usuarios finales a los diferentes sistemas. (ver estndar: Creacin de Contraseas para usuarios finales). Se debe aplicar el estndar de creacin de contraseas seguras para el acceso a la administracin de los sistemas, servidores o equipos de comunicacin (ver estndar: Creacin de Contraseas para administracin). Las claves de acceso a los sistemas deben ser protegidas mediante controles criptogrficos. Los sistemas crticos: Sistema de Gestin Acadmica y BAAN deben estar configurados de tal manera que: o Permitan al usuario cambie su clave obligatoriamente cuando ingresa por primera vez al sistema.
Se debe utilizar un sistema de gestin de usuarios que permita: o o Bloquear al usuario en la aplicacin por 15 minutos luego de 3 intentos fallidos. Cambiar la contrasea al menos cada 6 meses para los usuarios finales, con excepcin del sistema BAAN que debe ser cambiado cada 3 meses. Y cada 3 meses para las cuentas administradores de servicios, servidores o equipos de comunicacin. Verificar la robustez de las contraseas segn estndar ET1N04 y ET2N04
Se debe cambiar inmediatamente la contrasea al sospechar o detectar que ha sido comprometida. Todo el personal de UGTI debe mantener sus equipos de trabajo diario como: PC, PORTATIL con contrasea de acceso segura cuando no estn trabajando en ellas.
REVISIN DE LOS DERECHOS DE ACCESO DE LOS USUARIOS Los lderes/jefes de rea de UGTI sern responsables de ejecutar una depuracin de los derechos y privilegios de acceso de los colaboradores a su cargo, tanto en los sistemas informticos, dispositivos de red, bases de datos, servidores. Esto se lo debe realizar mnimo dos veces al ao.
Los administradores de servicios debern reportar trimestralmente al Oficial de Seguridad los derechos y privilegios de acceso de los usuarios con altos privilegios en los activos de informacin.
35. CONSECUENCIAS Y SANCIONES En caso de existir incumplimiento de la presente Poltica de Seguridad de la Informacin por parte de un trabajador de la Universidad, se comunicar al Direccin General de Recursos Humanos para que tomen las medidas de sancin respectivas por incumplimiento de acuerdo a las normativas internas oficiales a mas de las responsabilidades civiles y penales a que hubiere lugar.
ET1N04 Creacin de contraseas para usuarios finales de sistemas o aplicaciones La contrasea debe tener una longitud mnima de seis caracteres La contrasea debe ser una combinacin de letras y nmeros. La contrasea no debe estar conformada por nombres o palabras comunes.
ET2N04 Creacin de contraseas para administracin La contrasea debe tener una longitud mnima de ocho caracteres La contrasea debe ser una combinacin de letras maysculas, minsculas, nmeros y caracteres especiales La contrasea no debe estar conformada por nombres o palabras comunes.
ET3N04 Creacin de cuent as El nombre de usuario estar conformado por: o o o o o Letra del primer nombre Letra del segundo nombre Apellido En caso que ya exista el nombre de usuario agregar secuencia de nmeros Ejemplo: Usuario: Pablo Andrs Daz Patio Cuenta de usuario: padiaz (Si ya existe el usuario, se cambiara apadiaz1)
POLTICA DE ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS

81
CDIGO POL_UGTI_SISTEMAS_v1.0
VERSIN 1.0
PGINAS 132
POLTICA: ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS INFORMTICOS

RUBRO NOMBRE - CARGO
ING. MARA PAULA ESPINOZA DIRECTORA DE UGTI APROBADO POR: ING. JULIA PINEDA SEGURIDAD DE LA INFORMACIN ING. MARA EUGENIA ENRIQUEZ LDER DE SOLUCIONES DE NEGOCIOS ING. MARCO CEVALLOS GERENTE DE ASEGURAMIENTO DE CALIDAD Y RIESGOS ING. CARLOS CRDOVA OFICIAL DE SEGURIDAD Y CAMBIOS ING. JULIA PINEDA REALIZADO POR: SEGURIDAD DE LA INFORMACIN ING. MARITZA RUEDA SOPORTE TCNICO
REVISADO POR:
CONTENIDO
1. 2. 3. 4. 5.
GENERALIDADES .......................................................................................................84 OBJETIVO ....................................................................................................................84 ALCANCE ....................................................................................................................84 RESPONSABILIDAD ....................................................................................................84 DESCRIPCIN DE LA POLTICA ................................................................................85
REQUISITOS DE SEGURIDAD DE LOS SISTEMAS INFORMTICOS ............................................................... 85 Anlisis y especificaciones de los requisitos de seguridad. ......................................................... 85 Etapa de Anlisis ...................................................................................................................... 85 Etapa de Diseo ....................................................................................................................... 85 Etapa de Codificacin............................................................................................................... 86 Etapa Testing/QA ..................................................................................................................... 86 PROCESAMIENTO CORRECTO EN LAS APLICACIONES .............................................................................. 86 Validacin de datos....................................................................................................................... 86 SEGURIDAD DE LOS ARCHIVOS DEL SISTEMA ......................................................................................... 86 Controles del software en explotacin .......................................................................................... 86 Proteccin de datos de pruebas del sistema ................................................................................ 87 Control de acceso al cdigo fuente de los programas ................................................................. 87 SEGURIDAD DE LOS PROCESOS DE DESARROLLO Y SOPORTE ................................................................. 87 Procedimientos de control de cambios ......................................................................................... 87 EXTERNALIZACIN DEL DESARROLLO DE SOFTWARE .............................................................................. 88 Para la tercerizacin del desarrollo de software ........................................................................... 88
6.
CONSECUENCIAS Y SANCIONES .............................................................................89
36. GENERALIDADES Proceso al cual pertenece: Frecuencia de ejecucin: Tipo de Documento: Documento Padre: Fecha de elaboracin: SEGURIDAD DE LA INFORMACIN CONTNUA POLTICA POLTICA DE SEGURIDAD DE LA INFORMACIN (POL_UGTI_SEGURIDAD) Versin del Enero-2011 1.0 documento:
REGISTRO DE CAMBIOS DEL DOCUMENTO Versin Motivo Realizado Por Maritza Rueda Creacin del 1.0 Documento Julia Pineda 37. OBJETIVO
Fecha Enero-2011
Asegurar la inclusin de controles de seguridad y validacin de datos en el desarrollo de los sistemas informticos. Definir y documentar las normas y procedimientos que se aplicarn durante el ciclo de vida de los aplicativos y en la infraestructura de base en la cual se apoyan.
38. ALCANCE Esta Poltica se aplica a todos los sistemas informticos, tanto desarrollos propios o de terceros, y a todos los Sistemas Operativos y/o Software de Base.
39. RESPONSABILIDAD El Oficial de Seguridad de la Informacin junto con el lder de Soluciones de Negocio, definirn los controles a ser implementados en los sistemas desarrollados internamente o por terceros, en funcin de una evaluacin previa de riesgos. El Oficial de Seguridad de la Informacin, junto con el lder de Soluciones de Negocio definirn en funcin a la criticidad de la informacin, los requerimientos de proteccin mediante mtodos criptogrficos. As mismo, el Oficial de Seguridad de la Informacin cumplir las siguientes funciones: o o Definir los procedimientos de administracin de claves. Verificar el cumplimiento de los controles establecidos para el desarrollo y mantenimiento de sistemas.
Definir procedimientos para: el control de cambios a los sistemas; la verificacin de la seguridad de las plataformas y bases de datos que soportan e interactan con los sistemas; el control de cdigo malicioso; y la definicin de las funciones del personal involucrado en el proceso de entrada de datos.
Control Interno realizar auditorias para verificar el cumplimiento de las definiciones establecidas sobre los controles y las medidas de seguridad a ser incorporadas a los sistemas.
40. DESCRIPCIN DE LA POLTICA NORMAS Y DISPOSICIONES GENERALES REQUISITOS DE SEGURIDAD DE LOS SISTEMAS INFORMTICOS Consideraciones generales La definicin de requerimientos deben estar regidos por la POLTICA INSTITUCIONAL DE DEFINICIN DE REQUERIMIENTOS PARA SISTEMAS DE INFORMACIN. Los sistemas informticos deben autenticarse contra el Directorio Activo de la UTPL. Las sistemas informticos deben contar con un modul de gestin de la aplicacin, en el que se contemple: o o Gestin de usuarios (creacin, eliminacin, desactivacin de usuarios, entre otros) Gestin de privilegios Anlisis y especificaciones de los requisitos de seguridad. Etapa de Anlisis Se debe incorporar los requerimientos referentes al cumplimiento con la normativa local (SRI, Conesup, Nueva ley de Educacin, Derechos de Propiedad intelectual, etc.). Se debe identificar el tipo de informacin que se trasmitir y procesar (pblica, privada, datos financieros, contraseas, etc). La aplicacin debe proporcionar registros de auditora. Etapa de Diseo En esta etapa se definir el diseo de autorizacin (definicin de roles, permisos y privilegios de la aplicacin). Se debe realizar el diseo de la forma de autenticacin de los usuarios as como los mecanismos para evitar posibles ataques.
Se debe realizar el diseo de los mensajes de advertencia y error con la finalidad de evitar que estos brinden demasiada informacin la misma que puede ser aprovechada por atacantes. Realizar la evaluacin de riesgos orientada a software utilizando tcnicas como Threat Modeling. Etapa de Codificacin
En esta etapa se realizar la identificacin de los tipos de vulnerabilidades las cuales se las puede dividir en dos: o o Vulnerabilidades clsicas: dentro de estas vulnerabilidades tenemos errores de manejo de sesiones, desbordamiento, denegacin de servicios. Vulnerabilidades funcionales: estas vulnerabilidades se refieren a la funcionalidad del la aplicacin con respecto a los requerimientos de la aplicacin (Que haga lo que tiene que hacer)
Se verificar que los datos de entrada sean los mismos que los de salida. Etapa Testing/QA
Se deber evaluar los controles definidos en las etapas anteriores. Se debe crear un proceso formal de testing de seguridad para probar la aplicacin con escenarios no planificados incluyendo: o o o Valores fuera de rango Valores de tipo incorrecto Acciones fuera de orden
PROCESAMIENTO CORRECTO EN LAS APLICACIONES Validacin de datos Elaborar procedimientos formales para la validacin de los datos de entrada, procesamiento y salida de los sistemas. Una vez culminadas las pruebas a los sistemas se debe elaborar un informe formal de todas las actividades realizadas y los resultados obtenidos.
SEGURIDAD DE LOS ARCHIVOS DEL SISTEMA Controles del software en explotacin Toda aplicacin desarrollada por Soluciones de Negocio o por un tercero tendr un nico Responsable tcnico designado formalmente por el lder de Soluciones de Negocio. Los programadores o analistas de desarrollo y mantenimiento de aplicaciones no pueden acceder a los ambientes de produccin.
Todas las modificaciones que se realicen a algn sistema informtico en el ambiente de produccin deben estar regidas por la Poltica de Control de Cambios. Proteccin de datos de pruebas del sistema
Los datos que son utilizados para pruebas no pueden ser datos de las bases de datos que se encuentran en produccin. Si se realizan copias de bases de datos operativas se deber autorizar formalmente y llevar un registro de las autorizaciones realizadas. Control de acceso al cdigo fuente de los programas
En el rea de Soluciones de Negocio debe existir una persona responsable de administrar y custodiar los programas fuentes, la misma que debe: o o Proveer los programas fuentes solicitados para su modificacin. Llevar un registro formal y actualizado de todos los programas fuentes en uso en el que se debe incluir (nombre del programa, programador, Analista Responsable que autoriz, versin, fecha de ltima modificacin y estado: en modificacin, en produccin). Administrar las distintas versiones de una aplicacin. Asegurar que un mismo programa fuente no sea modificado simultneamente por ms de un desarrollador. Verificar que el Analista Responsable que autoriza la solicitud de un programa fuente sea el designado para la aplicacin, caso contrario se deber rechazar el pedido.
o o o
El administrador de programas fuentes no puede modificar el cdigo de los programas fuente bajo su custodia. Todo programa ejecutable en produccin debe tener un nico programa fuente asociado a este. Desarrollar un procedimiento que garantice que toda vez que se migre a produccin el mdulo fuente, se cree el cdigo ejecutable correspondiente en forma automtica. Se debe realizar copias de respaldo de los programas fuentes cumpliendo requisitos de seguridad especificados en la seccin POLTICA DE SEGURIDAD EN LAS COMUNICACIONES Y OPERACIONES.
SEGURIDAD DE LOS PROCESOS DE DESARROLLO Y SOPORTE Procedimientos de control de cambios Se debe mantener un control de versiones para todas las actualizaciones de software.
La documentacin se debe mantener actualizada para cada cambio implementado, tanto en los manuales de usuario como en la documentacin operativa. Los requisitos de seguridad que debe cumplir el software deben ser revisados por el Oficial de Seguridad. Los propietarios de la informacin debern autorizar los cambios si estos afectan al procesamiento de la informacin de un determinado sistema. Las actividades relativas al cambio deben efectuarse en el ambiente de desarrollo. Se debe garantizar que la discontinuidad de las actividades sea mnima durante la implementacin de cambios y que los procesos involucrados no sean alterados. Regirse a la Poltica de Control de Cambios
EXTERNALIZACIN DEL DESARROLLO DE SOFTWARE Para la tercerizacin del desarrollo de software Se establecern acuerdos de Licencias, propiedad de cdigo y derechos conferidos (Derechos de propiedad intelectual) Si se intercambia informacin que es confidencial, se deber generar un documento/acuerdo de confidencialidad entre la UTPL y el proveedor de servicios, ya sea como parte del contrato de tercerizacin en s o un acuerdo de confidencialidad por separado. Se debe verificar el cumplimiento de las condiciones de seguridad contempladas en la POLTICA DE DE RESPONSABILIDAD DE LA SEGURIDAD DE LA INFORMACIN. Se establecer como requerimiento a la calidad del cdigo. Se establecer procedimientos para la certificacin de la calidad del trabajo llevado a cabo por el proveedor, que incluyan auditoras, revisin de cdigo para detectar cdigo malicioso, verificacin del cumplimiento de los requerimientos de seguridad del software establecidos, etc. Deben regirse a las poltica establecidas por el rea de Soluciones de Negocio: o o o o o o POLTICA DE DOCUMENTACIN DE DESARROLLO DE SISTEMAS DE INFORMACIN (PROGRAMACIN) POLTICA DE DOCUMENTACIN DE PROYECTOS DE DESARROLLO Y/ IMPLEMENTACIN DE SISTEMAS DE INFORMACIN POLTICA DE DEFINICIN Y REVISIN DE PISTAS DE AUDITORA POLTICA DE SEGURIDAD DE LA INFORMACIN EN SERVICIOS TERCERIZADOS POLTICA DE DEFINICIN DE MULTAS Y SANCIONES POLTICA DE DOCUMENTACIN RESPONSABILIDAD DE ACUERDO DE
POLTICA DE GESTIN DE INCIDENTES DE SEGURIDAD

90
CDIGO POL_UGTI_INCIDENTES_V1.0
VERSIN 1.0
PGINAS 132
POLTICA: GESTIN DE INCIDENTES DE SEGURIDAD
RUBRO
APROBADO POR:
REVISADO POR: ING. CARLOS CRDOVA OFICIAL DE SEGURIDAD Y CAMBIOS REALIZADO POR: ING. REBECA PILCO SEGURIDAD DE LA INFORMACIN
CONTENIDO 1. 2. 3. 4. GENERALIDADES .......................................................................................................93 OBJETIVO ....................................................................................................................93 ALCANCE ....................................................................................................................93 DESCRIPCIN DE LA POLTICA ................................................................................94
CONSIDERACIONES GENERALES........................................................................................................... 94 CATEGORIZACIN DE INCIDENTES ........................................................................................................ 95 COMUNICACIN DE INCIDENTES Y EVENTOS EN LA SEGURIDAD DE LA INFORMACIN................................ 96 Reporte de Incidentes de Seguridad ............................................................................................ 96 Reporte de vulnerabilidades de Seguridad .................................................................................. 96 Responsabilidades del rea de Calidad, Riesgos y Seguridad / CSIRT-UTPL .......................... 97 Escaneos de Vulnerabilidades a los Sistemas ............................................................................. 97 Responsabilidades del Administrador de Servidores .................................................................. 98 GESTIN DE INCIDENTES Y MEJORAS EN LA SEGURIDAD DE LA INFORMACIN ......................................... 99 Respuesta de Incidentes .............................................................................................................. 99
5.
PRO1N07 REPORTE DE INCIDENTES DE SEGURIDAD INFORMTICA .......................100 PRO2N07 RESPUESTA DE INCIDENTES DE SEGURIDAD INFORMTICA ...................101 ET1N07 FORMULARIO DE REPORTE DE INCIDENTES .................................................103 ET2N07 FORMULARIO PARA SOLICITAR EL ESCANEO DE VULNERABILIDADES .....105 ET3N07 FORMULARIO PARA EL REPORTE DE VULNERABILIDADES..........................107 ET4N07 FORMULARIO DE RESPUESTA A INCIDENTES ...............................................110
42. GENERALIDADES Proceso al cual pertenece: Frecuencia de ejecucin: Tipo de Documento: Documento Padre: Fecha de elaboracin: SEGURIDAD DE LA INFORMACIN CONTNUA POLTICA POLTICA DE GESTIN DE TECNOLOGA DE LA INFORMACIN (POL_UGTI_GTI) Versin del Julio-2010 1.0 documento:
REGISTRO DE CAMBIOS DEL DOCUMENTO Versin Motivo Realizado Por Creacin del 1.0 Rebeca Pilco Vivanco Documento
Fecha Julio-2010
43. OBJETIVO Establecer procedimientos para el reporte de incidentes, para garantizar que los incidentes, eventos y debilidades en la seguridad de los sistemas informticos se comuniquen oportunamente y sean atendidos de la mejor manera. Garantizar que se aplica un enfoque consistente y eficaz para la gestin de los incidentes de seguridad. Establecer responsabilidades y procedimientos para el manejo de incidentes de seguridad informtica de manera efectiva.
44. ALCANCE La presente poltica regir para todo el ambiente de tecnologa de la informacin y sus actores, tanto operadores, administradores y beneficiarios de la UTPL.
45. DESCRIPCIN DE LA POLTICA
NORMAS Y DISPOSICIONES GENERALES Consideraciones Generales
El rea de Calidad, Riesgos y Seguridad, debe hacer conocer al personal de la UTPL los contactos a los que puede comunicarse para el reporte de incidentes de seguridad informtica.
Es responsabilidad del rea de Calidad, Riesgos y Seguridad, hacer conocer al personal de la Universidad, sobre la existencia del Equipo de respuesta a incidentes de seguridad informtica (CSIRT).
El rea de Calidad, Riesgos y Seguridad / CSIRT-UTPL debe elaborar y publicar los datos estadsticos acerca de los incidentes de seguridad que se producen en la UTPL.
El rea de Soporte Tcnico escala al CSIRT-UTPL todos los incidentes de los usuarios que coincidan con la categorizacin de incidentes del CSIRT-UTPL y que no consten en el catlogo de servicios de Soporte Tcnico.
Todas las actividades concernientes al manejo de incidentes se realizan en base a los procedimientos definidos para el manejo de incidentes.
Por ningn motivo se debe utilizar mtodos ilegales para la resolucin de un incidente, se debe tomar en cuenta que estos mtodos no ocasionen acciones legales posteriores en contra de la UTPL.
Es importante tomar en cuenta la asesora legal para las acciones a realizar en incidentes relacionados a: suplantacin de identidad, acceso a informacin confidencial e incidentes relacionados con ingeniera social.
Toda la informacin relativa a los incidentes reportados, deben ser manejada con total confidencialidad, la clasificacin de la informacin se realiza de acuerdo a la Poltica de Gestin de Activos.
Se debe tomar en cuenta mecanismos para la recoleccin de evidencia durante el proceso de respuesta a incidentes, lo que servir de recurso necesario, en el caso de instancias legales.
Categorizacin de Incidentes En el rea de Calidad, Riesgos y Seguridad / CSIRT-UTPL se ha catalogado como incidente a cualquier evento que est directamente relacionado con los sistemas y servicios UTPL de acuerdo a las siguientes categoras:
Tabla1: Categorizacin de Incidentes CSIRT-UTPL
Severidad Clase de Incidente (Gravedad) Grave - Medio -Leve Cdigo Malicioso Denegacin de Servicios Medio - Leve (Disponibilidad) Virus Worm Trojan Ataques DOS (denegacin de servicios) Ataques Dsos (denegacin de servicios distribuidos) Acoso Ingeniera Social Recopilacin de Informacin Suplantacin de Identidad Scanning (Escaneo) Deteccin de Vulnerabilidades Explotacin de Vulnerabilidades Medio - Leve Intentos de Intrusin conocidas Intentos de acceso a un sistema Ataques de Autenticacin Grave - Medio -Leve (Intrusiones) Mal uso de Recursos Tecnolgicos Exploits Ataques por fuerza bruta Tipo de Incidente
Leve
Contenido Abusivo
Grave - Medio -Leve
Grave - Medio -Leve
Violacin de Polticas
Accesos no autorizados Robo de Informacin Grave - Medio -Leve Acceso no Autorizado Borrado de Informacin Alteracin de la Informacin
Comunicacin de incidentes y eventos en la seguridad de la Informacin Reporte de Incidentes de Seguridad Todo el personal UTPL debe conocer los procedimientos para realizar el reporte de incidentes, eventos y vulnerabilidades de seguridad de la informacin que puedan tener impacto en la seguridad de los sistemas que administra (Ver Procedimiento: Reporte de Incidentes).
Todo el personal UTPL debe informar de cualquier incidente o evento de seguridad informtica al rea de Soporte Tcnico de acuerdo al proceso establecido. (Ver Procedimiento: Reporte de Incidentes Seccin: Usuarios que reportan a Soporte Tcnico).
Los Administradores de Servidores deben realizar el reporte de incidentes y eventos de seguridad informtica directamente al rea de Calidad, Riesgos y Seguridad / CSIRT-UTPL de acuerdo a los procedimientos definidos. (Ver Procedimiento: PRO1N07 Reporte de Incidentes Seccin: Administradores de Servidores que reportan al CSIRT-UTPL). Reporte de vulnerabilidades de Seguridad
El reporte de vulnerabilidades es responsabilidad del rea de Calidad, Riesgos y Seguridad / CSIRT-UTPL, en el que a travs de escaneos de vulnerabilidades y test de penetracin se hace conocer al administrador de servidores el estado de seguridad de los equipos que administra.
Todos los administradores de servidores y usuarios de sistemas deben notificar cualquier debilidad observada en los sistemas que administra. El rea de Calidad, Riesgos y Seguridad / CSIRT-UTPL previo acuerdo con los administradores de servidores deber establecer un cronograma para realizar el
escaneo de vulnerabilidades y test de penetracin a los servidores de la UTPL, de acuerdo a servidores crticos y no crticos.
Los administradores pueden solicitar que se realice el escaneo al equipo que administran en base al formato establecido. (Ver Estndar: Formulario para solicitar el Escaneo de Vulnerabilidades). Responsabilidades del rea de Calidad, Riesgos y Seguridad / CSIRTUTPL
Es responsabilidad del rea de Calidad, Riesgos y Seguridad / CSIRT-UTPL de: Realizar el envo de reportes y escaneos de vulnerabilidades de los servidores de la UTPL de acuerdo al cronograma previamente establecido con los administradores. El monitoreo de IDS e IPS se lo realizar de forma diaria, en el caso de que se registren alertas crticas, se enviar al Administrador del equipo, un reporte en el que se indique, vulnerabilidades crticas, puertos abiertos, y las alternativas de solucin. Esto se realizar utilizando el formato de reporte correspondiente. (Ver Estndar: Formulario para el Reporte de Vulnerabilidades y Formulario de Reporte de Incidentes). Reportar los incidentes de seguridad que sean notificados al rea por entes internos o externo a los respectivos implicados con el incidente. Coordinar el plan de accin para mitigar el incidente con el administrador del servicio afectado y/o los involucrados. Dar seguimiento a la ejecucin del plan de accin establecido para los incidentes de seguridad y reportar su avance semanalmente al Oficial de Seguridad. Escaneos de Vulnerabilidades a los Sistemas Los escaneos de vulnerabilidades a los sistemas, deben ser realizados de acuerdo a: o Sistemas Crticos Se realizar el escaneo de vulnerabilidades a los sistemas crticos cada tres (3) meses y cuando el administrador lo solicite. o Sistemas no Crticos Se realizar el escaneo de vulnerabilidades a los sistemas no crticos cada seis (6) meses, y cuando el administrador lo solicite.
La criticidad de los sistemas es definida por los lderes de cada rea. Responsabilidades del Administrador de Servidores
Los administradores de servidores, al momento de recibir el reporte de vulnerabilidades enviado, tienen un plazo mximo de cinco das para comunicar al rea de Calidad, Riesgos y Seguridad / CSIRT-UTPL que recibieron el reporte y que el mismo ser atendido en el plazo sealado por los administradores.
Los administradores de servidores deben notificar al rea de Calidad, Riesgos y Seguridad / CSIRT-UTPL sobre el avance del plan de accin para remediar y corregir los incidentes o vulnerabilidades reportadas.
Por ninguna circunstancia los administradores pueden proceder a realizar pruebas de las posibles vulnerabilidades encontradas en los sistemas de produccin, si se requiere estas pruebas, se deben ser hechas en un ambiente de pruebas.
El administrador en base a la informacin recibida con el apoyo del rea de Calidad, Riesgos y Seguridad / CSIRT-UTPL debe descartar las vulnerabilidades que se considere como falsos positivos. Para las dems vulnerabilidades se deber dar solucin en base a las sugerencias descriptas en el reporte enviado.
El administrador de servidores puede solicitar la colaboracin del rea de Calidad, Riesgos y Seguridad / CSIRT-UTPL, para la revisin e indicaciones de los reportes de vulnerabilidades y cualquier otra informacin, concerniente al tema de Seguridad.
Si el Administrador no enva los reportes en el tiempo indicado se proceder con las siguientes acciones: o Informe Enviado al Lder de Grupo Si en los treinta (30) das siguientes a la emisin de los reportes, no se emite la respuesta al informe enviado, se enviar nuevamente el reporte, adjuntando un oficio dirigido al Lder del rea. Luego del informe emitido al lder de grupo, el administrador tiene un plazo de veinte (20) das laborables para enviar el informe con las correcciones realizadas. o Notificacin enviada por parte de Direccin UGTI o Si luego de enviar la notificacin al lder de rea no se ha recibido respuesta a los reportes enviados, se enviar un oficio firmado por la Direccin de UGTI, en la que se deslinda la responsabilidad del rea de Calidad, Riesgos y Seguridad / CSIRT-UTPL y en la que el nico responsable de cualquier incidente de seguridad con los equipos es el administrador del mismo.
Gestin de Incidentes y Mejoras en la Seguridad de la Informacin Respuesta de Incidentes Una vez que se reciba un reporte de incidente de seguridad en al rea de Calidad, Riesgo y Seguridad / CSIRT-UTPL, el afectado recibir un acuse de recibo indicando que el reporte ha sido recibido y ser resuelto en el menor tiempo posible. La respuesta a Incidentes por parte de Soporte Tcnico y rea de Calidad, Riesgos y Seguridad / CSIRT-UTPL debe realizarse en base a los procedimientos establecidos. (Ver Procedimiento: Respuesta de Incidentes de Seguridad Informtica) Una vez resuelto el incidente, se enviar un informe ejecutivo al personal que inform del incidente y a la Direccin UGTI, o jefes de reas que requieran la informacin del incidente. Se debe realizar un informe tcnico, el mismo que ser realizado en base al formato establecido, este informe queda archivado en el rea de Calidad, Riesgos y Seguridad / CSIRT-UTPL, y es entregado en el caso de que sea requerido por la parte afectada (Ver Estndar: Formulario de Respuesta a Incidentes). Se debe informar constantemente acerca de la resolucin del incidente a las personas que reportaron el mismo. Si la persona lo solicita se enva el reporte tcnico de la resolucin del incidente, caso contrario, solamente se enva el informe ejecutivo de resolucin del incidente reportado. Los reportes de incidentes y vulnerabilidades, y los informes ejecutivos son de carcter confidencial. Se deber enviar mensualmente al Oficial de Seguridad y al Gerente de Aseguramiento de la Calidad y Riegos las estadsticas de lo incidentes y vulnerabilidades atendidas por el CSIRT-UTPL.

PRO1N07 Reporte de Incidentes de Seguridad Informtica
Usuarios que reportan a Soporte Tcnico
El usuario debe ponerse en contacto con los agentes del rea de Soporte Tcnico para reportar los incidentes de seguridad. Soporte Tcnico atender los reportes de incidentes de seguridad que se encuentran en su base de conocimiento, caso contrario, el reporte se escala al rea de Seguridad / CSIRT-UTPL.
Administradores de Servidores que reportan al rea de Seguridad / CSIRT-UTPL
Los incidentes de seguridad informtica pueden ser reportados por los siguientes medios: o Correo Electrnico: El formulario debe ser enviado al Equipo CSIRT-UTPL por e-mail (csirtutpl@utpl.edu.ec). (Ver Estndar Tcnico: Reporte de Incidentes ET01N07) o o Personalmente Via Web: www.utpl.edu.ec/csrit-utpl (Seccin: Reporta tu Incidente)
Una vez que se ha recibido el reporte de incidente en el rea de Seguridad / CSIRTUTPL, se enva al usuario un acuse de recibo de que el informe se recibi y ser atendido en el menor tiempo posible.
PRO2N07 Respuesta de Incidentes de Seguridad Informtica
Luego de recibir el reporte de incidente por parte del usuario, el agente de mesa de servicios revisar si el incidente reportado est en la base de conocimientos y brindar la solucin al incidente reportado.
Si el incidente no est en la base de conocimiento de Soporte Tcnico escala al rea de Seguridad / CSIRT-UTPL.
Fig. 1: Proceso de Respuesta Soporte Tcnico
Respuesta al Incidente - rea de Seguridad / CSIRT-UTPL
Cuando se reciba el reporte de incidentes en el rea de Seguridad / CSIRT-UTPL, se debe realizar el procedimiento definido en para la Gestin de Incidentes, el primer proceso a realizar es triage de la informacin recibida.
En el proceso de triage se determina si el reporte recibido corresponde a un incidente, vulnerabilidad o informacin general. Si se determina que es un incidente, se asigna el tiempo y recursos para su atencin y respuesta.
Fig. 2: Proceso de Respuesta a incidentes
Si el reporte corresponde a una vulnerabilidad, se brinda informacin y colaboracin para mitigar el problema, (bsqueda de parches, e informacin general). Los procesos que se realizan durante la respuesta al incidente deben ser realizados en base al procedimiento para la Gestin de Incidentes realizada.
ET1N07 Formulario de Reporte de incidentes
Formulario de Notificacin de Incidentes

Reporte: CSIRT #
Fecha: Informacin de Contacto
Nombre: Dependencia: Correo Electrnico: Extensin:
Nombre de quin reporta el incidente
Equipos o Servicios Afectados Indique los equipos, servicios o personas afectadas por el incidente
Explique brevemente el Trabajo que desarrolla en el Equipo que usted maneja, (indique: Sistema Operativo, Programas Instalados, etc.):
Origen del Incidente
Realice una breve descripcin de la forma en la que descubri el incidente
Antecedentes
Indique un resumen de cmo descubri el incidente Si es necesario incluya una seccin de anexos.
NOTA: Toda la informacin que usted reporte ser manejada de manera confidencial, la informacin recibida solamente ser publicada bajo su consentimiento. Informacin de Contacto CSIRT-UTPL Email: csirtutpl@utpl.edu.ec Telfono: 2570275 ext. 2543
ET2N07 Formulario para solicitar el Escaneo de Vulnerabi lidades
PLANTILLA DE SOLICITUD DE ESCANEO DE VULNERABILIDADES Este formulario, es utilizado por los administradores, para solicitar el escaneo de vulnerabilidades a los equipos que administran. Este reporte debe ser enviado al rea de Seguridad / CSIRT-UTPL csirtutpl@utpl.edu.ec
Informacin de Contacto Nombre: Dependencia: Correo Electrnico: Extensin:
Informacin del Equipo a ser analizado

Tabla de registro de Equipo Servidor Direccin IP Sistema O. Observaciones Fecha
Informacin adicional:
En esta seccin indique los riesgos o vulnerabilidades que ha identificado.
Id
Vulnerabilidad
Seccin de Respuesta por parte del rea de Seguridad / CSIRT-UTPL
Esta seccin es utilizada por el rea de Seguridad / CSIRT-UTPL .
Tabla de registro de Vulnerabilidades

Servidor Direccin IP Sistema O. Puerto Protocolo Servicio Nombre de dominio Fecha Detalles del servicio
Id
Vulnerabilidad
Correctivo
Estado
ET3N07 Formulario para el Reporte de Vulnerabilidades
Este formulario, es utilizado por el rea de Seguridad / CSIRT-UTPL, para realizar el reporte de vulnerabilidades a los Administradores de Servidores.
PLANTILLA DE REPORTE DE VULNERABILIDADES
Reporte: VUL # Fecha:
Informacin de Contacto
Nombre: Dependencia: Correo Electrnico: Extensin:
El reporte adjunto tiene como finalidad, darle a conocer el estado de su equipo en cuanto a vulnerabilidades y puertos abiertos. Solicitamos su colaboracin, en cuanto a la revisin de la informacin adjunta. Cualquier informacin que usted requiera, no dude en contactarse con el rea de Seguridad / CSIRT-UTPL. Solicitamos revisar el estado de su equipo y cerrar los puertos que no utilice, luego de esto se realizar un nuevo escaneo para determinar el estado actual del equipo.
Nota: Se adjunta el reporte de vulnerabilidades.
Datos del Equipo y Puertos Escaneados

Observaciones: En esta seccin indique en forma resumida, los puertos abiertos que reportan vulnerabilidades ms crticas.
Tabla de registro de Vulnerabilidades Servidor Direccin IP Sistema O. Fecha
Puertos Escaneados
Protocolo
Servicio
Detalles del servicio
Informacin adicional:
En esta seccin indique en forma resumida, cualquier informacn adicional en cuanto a las alertas encontradas, si es necesario realice un mayor detalle de las mismas, indicando las posibles soluciones.
Seccin de Respuesta por parte del Administrador
La tabla que se indica a continuacin debe ser enviada al rea de Seguridad / CSIRTUTPL, indicando los correctivos tomados para cada una de las alertas reportadas.
Tabla de registro de Vulnerabilidades Servidor Direccin IP Sistema O. Fecha
Vulnerabilidad
Protocolo
Correctivo
EStado
IMPORTANTE El plazo para que usted responda este reporte es de cinco das laborables, si en este tiempo no se es enviado el reporte con los correctivos al rea de Seguridad, se enviar una notificacin al Lder de Grupo posteriormente, si no se recibe respuesta en un plazo de tres das, se enviar un aviso firmado por Direccin de UGTI
ET4N07 Formulario de Respuesta a Inci dentes
Formulario de Respuesta de Incidentes

Reporte: CSIRT #
Fecha Ingreso de Reporte: Fecha de Respuesta:
Informacin General
Nombre de las personas que envan este informe Correo Electrnico: Extensin: csirtutpl@utpl.edu.ec 2543
Resumen del Incidente:
Indique un breve resumen del incidente atendido Observaciones: Indique cualquier informacin referente al incidente atendido.
RESPUESTA AL INCIDENTE
Tipo de Incidente:
Escoja la opcin que considere aplicable:
Causas del Incidente:
1. Resolucin del Incidente

Detalle toda la informacin referente a los pasos seguidos para la resolucin del incidente.
2. Soluciones para el Incidente Reportado

(Indique si utiliz alguna metodologa o soluciones anteriores)
3. Medidas que se deben tomar para evitar que el incidente suceda nuevamente:
Indique las medidas de seguridad a implementar para que no ocurran incidentes similares.
____________________________
Ing. Julia Pineda rea de Calidad, Riesgos y Seguridad CSIRT - UTPL
____________________________
Ing. Rebeca Pilco rea de Calidad, Riesgos y Seguridad CSIRT-UTPL
____________________________
Firma de persona que facilite datos para resolver incidente (ejem, administrador de correo, etc.)
POLTICA DE CUMPLIMIENTO
11 3
CDIGO POL_UGTI_CUMPLIMIENTO_v1.0
VERSIN 1.0
PGINAS 132
POLTICA: CUMPLIMIENTO
RUBRO
NOMBRE - CARGO
APROBADO POR: ING. JULIA PINEDA LDER DE SEGURIDAD DE LA INFORMACIN ING. MARCO CEVALLOS GERENTE DE ASEGURAMIENTO DE CALIDAD Y RIESGOS REVISADO POR: ING. CARLOS CRDOVA OFICIAL DE SEGURIDAD DE LA INFORMACIN DR. JUAN CARLOS ROMN DEPARTAMENTO LEGAL ING. JULIA PINEDA LDER DE SEGURIDAD DE LA INFORMACIN REALIZADO POR: ING. MARITZA RUEDA SEGURIDAD DE LA INFORMACIN
CONTENIDO 1. 2. 3. 4. 5. GENERALIDADES .....................................................................................................116 OBJETIVO ..................................................................................................................116 ALCANCE ..................................................................................................................116 RESPONSABILIDAD ..................................................................................................116 DESCRIPCIN DE LA POLITICA ..............................................................................116
CUMPLIMIENTO DE REQUISITOS LEGALES ........................................................................................... 116 Identificacin de la Legislacin Aplicable ................................................................................... 117 Derechos de Propiedad Intelectual............................................................................................. 117
6.
CONSECUENCIAS Y SANCIONES ...........................................................................117
47. GENERALIDADES Proceso al cual pertenece: Frecuencia de ejecucin: Tipo de Documento: Documento Padre: Fecha de elaboracin: SEGURIDAD DE LA INFORMACIN CONTNUA POLITICA POLTICA DE SEGURIDAD DE LA INFORMACIN (POL_UGTI_SEGURIDAD) Versin del 11-ENE-2011 1.0 documento:
REGISTRO DE CAMBIOS DEL DOCUMENTO Versin Motivo Realizado Por Maritza Rueda Creacin del 1.0 Documento Julia Pineda
Fecha 11-Ene-2011
48. objetivo Cumplir con las disposiciones legales y contractuales establecidas en la constitucin de nuestro pas a fin de evitar sanciones administrativas a la UTPL y/o al empleado que incurran en responsabilidad civil o penal como resultado de su incumplimiento. 49. ALCANCE Esta Poltica se aplica a todos los sistemas informticos, normas, procedimientos, documentacin, as como al personal de la UTPL. 50. Responsabilidad El Oficial de Seguridad de la Informacin cumplir las siguientes funciones: o o o Definir normas y procedimientos para garantizar el cumplimiento de las restricciones legales al uso del material protegido por normas de propiedad intelectual y a la conservacin de registros. Realizar revisiones peridicas de todas las reas del UGTI a efectos de garantizar el cumplimiento de la poltica, normas y procedimientos de seguridad. Verificar peridicamente que los sistemas de informacin cumplan la poltica, normas y procedimientos de seguridad establecidos.
51. dESCRIPCIN DE LA POLITICA CUMPLIMIENTO DE REQUISITOS LEGALES
Identificacin de la Legislacin Aplicable La Universidad por ser una institucin educativa est sujeta al respeto y cumplimiento de las leyes sealadas en la Constitucin del Ecuador, Ley Orgnica de Educacin Superior (LOES) y dems normativas, en especial la relativa a: o o o o o Ley de Comercio electrnico Derechos de propiedad Intelectual Cdigo de Trabajo Nueva ley de Educacin Cdigo Tributario Derechos de Propiedad Intelectual Definir normas y procedimientos para el cumplimiento del derecho de propiedad intelectual de software y datos que defina el uso legal de productos de informacin y de software. Divulgar las polticas de adquisicin de software y las disposiciones de la Ley de Propiedad Intelectual, y notificar la determinacin de tomar acciones disciplinarias contra el personal que las infrinja. Todo software utilizado por la Universidad debe tener su respectivo registro de Licencia a excepcin del software libre. Se verificar que slo se instalen en los equipos de la UTPL productos con licencia y software autorizado. El rea de Soporte Tcnico deber mantener un registro de las licencias de software con las que cuenta la UTPL. Se deber conservar pruebas de evidencia de propiedad de licencias, discos maestros, manuales, etc. Se deber elaborar y divulgar un procedimiento relacionado con la eliminacin o transferencia de software a terceros. Implementar controles para evitar el exceso del nmero mximo permitido de usuarios al uso de las licencias.
POLTICA
LICENCIAMIENTO DE SOFTWARE
11 8
LICENCIAMIENTO DE SOFTWARE INSTITUCIONAL

53. GENERALIDADES Proceso al cual Gestin de Servicios pertenece: Frecuencia de Bajo demanda ejecucin: Fecha de 01/02/2010 elaboracin: 54. OBJETIVO Regularizar el uso y gestin de licencias de software en la Universidad 55. NIVELES DE RESPONSABILIDAD ROL O CARGO DEL RESPONSABLE Gestin de Servicios NIVEL DE RESPONSABILIDADO FUNCIONES
Versin del documento:
1.0
Mantener inventarios actualizados de: o Licencias existentes en la Universidad. o Licencias entregadas a usuarios. o Licencias disponibles. Generar reportes peridicos de gestin de licencias Definir lineamientos y perfiles para la asignacin de licencias. Ejecutar procesos de: o Relevamiento de informacin. o Regularizacin de licencias. o Concienciacin e informacin a usuarios finales. Brindar soporte al software base1 de los equipos asignados por la Universidad. Implementar un sistema automatizado de gestin de licencias mediante las herramientas existentes. Gestionar los convenios de software existentes con proveedores e informar sobre los mismos a los interesados en solicitar la adquisicin de licencias.
Anexo1 Estndar de perfiles para licenciamiento: Sistema Operativo Programas Bsicos.
Control Interno, Calidad, Seguridad y Riesgos de TI.
Departamento solicitante de licencias Usuario final

Monitorear peridicamente el uso, instalacin y gestin de licencias de software en los computadores institucionales. Presentar trimestralmente a la Direccin de TI informes sobre el estado de licenciamiento y las brechas existentes. Es responsable de la correcta gestin de licencias en la Universidad. Ejecutar revisiones anuales de cumplimiento de polticas y normas de licenciamiento. Informar a la direccin de TI cualquier brecha existente que se detecte como resultado de los exmenes de auditora. La unidad o departamento solicitante de licencias deber gestionar de de su presupuesto, el pago de los costos implicados en licencias de software. Cumplir con la poltica de licenciamiento. Es responsable del software instalado en el computador que utilice. Gestionar el soporte y capacitacin de las aplicaciones que utilice y no formen parte del software base.
56. DESCRIPCIN DE LA POLTICA 56.1. NORMAS Y DISPOSICIONES GENERALES Con el objetivo de cumplir con la regulacin existente en el mbito de software, la universidad extiende la presente poltica de licenciamiento dirigida a todos los CITTES, Departamentos, Unidades y Escuelas.
Los CITTES, Departamentos, Unidades y Escuelas con ayuda de la Unidad de Gestin de TI Gestin de servicios, debern identificar los perfiles de software necesarios para soportar la operacin de la Universidad. La Unidad de Gestin de TI Soporte Tcnico implementar un estndar de software base para el usuario final, el mismo que se considera la plataforma (sistema operativo) y programas bsicos para desarrollar labores generales de cada usuario. En caso de existir la necesidad de instalar software en los equipos de la Universidad, el usuario final o custodio deber solicitar a la Unidad de Gestin de TI Soporte Tcnico la instalacin del mismo previa autorizacin de su CITTES, Departamento, Unidad o Escuela.
Cada vez que sea necesario adquirir, renovar o cambiar un software el usuario final debe llenar la plantilla de Solicitud de Adquisicin de Licencias de Software2 la misma que tiene que estar firmada por el Usuario Solicitante / Jefe inmediato / Director de CITTES, Departamento, Unidad o Escuela y presentar este requerimiento en el departamento de Soporte Tcnico para su validacin y gestin tcnica. El solicitante de la adquisicin, renovacin o cambio de software ser responsable de la gestin de compra3 que esto implique. En caso de existir programas de software no licenciados, no regularizados o no pertenecientes al perfil aprobado por la direccin de su dependencia en un computador de la Institucin, la responsabilidad final y el derecho de repeticin recaern sobre el custodio del equipo.
La asignacin de licencias de software a un empleado de la Universidad se realizar en base a las funciones que ste desempee, para lo cual se realizar una validacin de dos elementos: Verificacin del perfil de software al que pertenece4. Autorizacin de la jefatura inmediata y de la Direccin de CITTE/Escuela. La Unidad de Gestin de TI Soporte Tcnico proveer nicamente software que ha sido adquirido legalmente, con el fin de satisfacer todas sus necesidades, en un tiempo determinado y en cantidades suficientes. El uso de los programas que se obtienen a partir de otras fuentes, puede implicar amenazas en la seguridad de la informacin de la Universidad, por lo que dicho uso est estrictamente prohibido. La Unidad de Gestin de TI Soporte Tcnico no estar autorizada para realizar instalaciones de software adquiridos por UTPL a equipos no pertenecientes al inventario de Activos Fijos-UTPL. La Unidad de Gestin de TI Soporte Tcnico ejecutar procesos de revisin del software instalado en los equipos institucionales y en caso de detectar software no regularizado, se informar a las autoridades sobre este incumplimiento.
2 3
Anexo3 Solicitud de Adquisicin de Licencias de Software Gestin de Compra: Autorizaciones financieras internas de la Universidad. 4 Anexo2 Software Autorizado por Perfil
Unidad de Gestin de TI Soporte Tcnico, se encargar de comunicar con la debida anticipacin la caducidad de las licencias inventariadas a los lderes de cada rea. El departamento de Soporte Tcnico de la Unidad de Gestin de TI no es responsable del soporte o capacitacin de software especializado y/o software no bsico. Los equipos computacionales de la Universidad deben mantener instalado nicamente software regularizado por su CITTES, Departamento, Unidad o Escuela y la Unidad de Gestin de TI, en base a su perfil. Todo equipo computacional asignado a los empleados de la universidad o cualquiera de sus empresas relacionadas, debe ser utilizado por el usuario final o custodio cumpliendo las normas y polticas de Licenciamiento UTPL. La Universidad Tcnica Particular de Loja no se hace responsable bajo ningn concepto del software no licenciado o regularizado que se encuentre instalado en los equipos institucionales, considerando que la existencia de este tipo de software en un equipo institucional representa una violacin a la presente poltica.
56.2. RESTRICCIONES Y PROHIBICIONES

Instalar software sin licencia en los equipos de la Universidad. Instalar software legalizado por UTPL en equipos que no son propiedad de la Universidad. Utilizar programas de generacin de cdigos de licenciamiento, ya que son ilegales y contravienen la Poltica Institucional de Seguridad de la Informacin Control de cumplimiento y acciones5.
57. ANEXOS 1.2.3.4.Estndar de perfiles para licenciamiento. Software Autorizado por Perfil. Solicitud de Adquisicin de Licencias de Software. Extracto de Poltica Institucional de Seguridad de la Informacin.
58. GLOSARIO DE TRMINOS
Anexo4 Extracto de Poltica Institucional de Seguridad de la Informacin
Licencia de software: es un contrato entre el titular del derecho de autor (propietario) y el usuario del programa informtico (Universidad), el cual se definen con precisin los derechos y deberes de ambas partes. Una licencia de software otorga al usuario derecho legal a utilizar un software. Custodio o usuario de un equipo computacional: Empleado de la Universidad que tiene el control fsico o tenencia del equipo computacional y es el responsable de vigilar o proteger el activo tecnolgico en mencin. Sistema Operativo: Es un conjunto de programas encargados de controlar y coordinar el uso del hardware entre diferentes programas de aplicacin y los diferentes usuarios. Por lo que constituye la interfaz para interactuar entre el HW y usuario; gestionando procesos bsicos de un sistema informtico. Derecho de Repeticin: Es el derecho que tiene el prestador del servicio para reclamar la Indemnizacin o resarcimiento del pago ante terceros a causa de la inobservancia al presente instructivo.
POLTICA
Gestin del Servicio
Gestin del Servicio
Gestin del Servicio

1. GENERALIDADES Proceso al cual pertenece: Frecuencia de ejecucin: Tipo de Documento: Documento Padre: Soporte Tcnico. Contnua.
Poltica. Poltica de Seguridad de la Informacin (POLITICA-UGTISEGURIDAD) Fecha de elaboracin: 22 junio de 2011 Versin del documento: 1.0
2.
CONTROL DE CAMBIOS Elaborado por: Fecha de 22 junio de 2011 elaboracin:
Versin del documento: Modificaciones
1.0
Actualizado por: Fecha Observaciones: Versin del documento:
3.
OBJETIVOS Establecer los lineamientos necesarios que permitan el manejo eficiente de la gestin y soporte de los servicios de tecnologa hacia el usuario.
4.
ALCANCE La poltica regir para todo el ambiente de tecnologa de informacin y sus actores operadores de los servicios, as como los usuarios y clientes de UTPL.
5.
NIVELES DE RESPONSABILIDAD ROL O CARGO DEL RESPONSABLE NIVEL DE RESPONSABILIDADO FUNCIONES
Mesa de Servicios
Control Interno, Calidad, Seguridad y Riesgos de TI.
Direccin de UGTI
Usuario
Registrar, dar seguimiento y solucin a todas las solitudes e incidentes reportados a la mesa de servicios. Clasificar y priorizar las solicitudes de servicio en incidentes reportados a la mesa de servicios. Entregar un ticket al usuario para el seguimiento de su solicitud. Comunicar a los usuarios los medios por lo que se puede reportar las solicitudes e incidentes referentes. Realizar la gestin de incidentes, problemas y niveles de servicio. Monitorear la solucin de solicitudes, incidentes y problemas y proponer la mejora contnua de los servicios. Gestin y monitoreo de los niveles de servicio acordados con el cliente. Cumplir con los niveles de servicios comprometidos y acordados con los clientes. Renovar los acuerdos de nivel de servicio con el cliente, aplicando los alcances que se llegaren acordar con el mismo. Reportar a los clientes y a la Direccin de UGTI el desempeo del servicio segn los niveles de servicio acordados. Realizar peridicamente encuestas para medir el nivel de satisfaccin del usuario. Proponer las mejoras correspondientes para incrementar el nivel de satisfaccin. Ejecutar revisiones anuales de cumplimiento de polticas y normas de la gestin del servicio. Informar a la direccin de TI cualquier brecha existente que se detecte como resultado de los exmenes de auditora. Aprobacin de mejoras en los servicios. Anlisis y apoyo en la estrategia de la gestin de niveles de servicios, incidentes y problemas. Cumplir con la poltica de gestin del servicio. Comunicarse a la mesa de servicios tecnolgica por los medios indicados. Reportar a la mesa de servicio tecnolgica la solicitud o incidencia del servicio afectado, as como confirmar el cierre del ticket en cuanto se tenga la solucin. Apoyar a la mesa de servicios tecnolgica proporcionando informacin necesaria para el registro y solucin de su solicitud o incidencia. Solicitar el nmero de ticket de la solicitud o
Cliente
incidente reportado. Responder a las encuestas que realice la mesa de servicios tecnolgica referente al soporte de los servicios. Cumplir con la poltica de gestin del servicio. Es responsable de acordar conjuntamente con el dueo del servicio tecnolgico, los niveles de servicio y condiciones que regirn en el acuerdo de nivel de servicio.
6.
DESCRIPCIN DE LA POLTICA
La Universidad orientada a mejorar el soporte de los servicios tecnolgicos, advierte la necesidad crear un nico punto de contacto hacia los servicios de TI, con ello se implementa la Mesa de Servicios Tecnolgicos basada en las mejores prcticas de la gestin del servicio ITIL.
NORMAS Y DISPOSICIONES GENERALES / PROCEDIMIENTO El nico punto de contacto entre el usuario y el rea de tecnologa para reportar solicitudes e incidentes referentes a los servicios que se oferten en el catlogo de servicios de TI6, es la mesa de servicios tecnolgicos. Los medios de comunicacin7 hacia la mesa de servicios tecnolgicos son mail, telefnica o personalmente. La mesa de servicios tecnolgicos atender en los horarios habituales de la universidad, cualquier extensin en cuanto al mismo ser gestionado con la Direccin de UGTI segn las clausulas establecidas en los acuerdos de nivel de servicio pactados con el cliente. Toda solicitud de servicio o incidente de soporte de los servicios tecnolgicos debern ser registrados en el Sistema Tivoli TSRM para monitoreo, control y gestin de su solucin. La mesa de servicios tecnolgicos, a travs del Sistema Tivoli TSRM, entrega un nmero de ticket al usuario que le permita realizar el seguimiento de su solicitud o incidente. El ticket registrado o cerrado en el Sistema Tivoli TSRM es enviado va mail al correo institucional del usuario. El usuario es responsable de colaborar con la mesa de servicios tecnolgicos en la realizacin de un checklist o lista de verificacin y proporcionar toda la informacin requerida ya sea verbal, fsica o digital, dependiendo del requerimiento, para realizar la documentacin de su solicitud o incidente y gestionar la solucin de su ticket. Toda solicitud de servicio o incidente reportado es categorizado y priorizado segn el acuerdo de nivel de servicio pactado con el cliente.
6 7
Anexo1: Catlogo de Servicios de TI Anexo2: Medios de comunicacin Mesa de Servicios Tecnolgicos.
Todo ticket reportado a la mesa de servicios tecnolgicos ser resuelto segn priorizacin. Los tcnicos que conforman la mesa de servicios realizarn la gestin de incidentes, problemas y niveles de servicio segn los procedimientos aprobados por la Direccin de UGTI y conforme a los acuerdos de niveles de servicio pactados con el cliente. La gestin que realiza la mesa de servicio, as como el proceder de los tcnicos que la conforman, se ajustarn al marco de referencia ITIL de las mejores prcticas de gestin de servicios de TI. La mesa de servicios tecnolgicos se contacta telefnicamente con el usuario para realizar el cierre del ticket reportado. Mesa de servicios tecnolgicos intentar contactar al usuario un da para confirmar el cierre de solicitud o incidente, luego de ste lapso se considerar el ticket cerrado a menos que el usuario reporte lo contrario. En caso que la mesa de servicios tecnolgicos no pueda contactar al usuario en un da, se proceder al cierre del ticket dando por aceptado la satisfaccin del mismo. La mesa de servicios tecnolgicos es responsable de brindar un servicio de calidad para ello realiza la gestin de incidentes, problemas y niveles de servicio. El analista de mesa de servicios reporta a la Direccin de UGTI y al cliente el desempeo del servicio segn los niveles de servicio pactados. La mesa de servicios tecnolgicos mediante la gestin de incidentes y problemas, propone la mejora del servicio con el fin de mejorar el nivel de servicio acordado con el cliente. La mesa de servicios tecnolgicos medir peridicamente la satisfaccin del usuario a travs de encuestas peridicas. 7. RESTRICCIONES Y PROHIBICIONES No se receptarn, ni se resolvern solicitudes e incidentes que no se ajusten a la presente poltica. Ninguna solicitud o incidente ser resuelta sino est registrada en el Sistema Tivoli TSRM. 8. ANEXOS
Anexo 1: Catlogo de Servicios TI
Catlogo de Servicios de TI La Unidad de Gestin de las Tecnologas de la Informacin ofrece el soporte a incidentes y problemas, administracin, mantenimiento e innovacin de los siguientes servicios:
o o o o o o o Redes e Internet Equipos Computacionales Software de Oficina Antivirus Licenciamiento de Software Sistema Acadmico Actual Syllabus Sistema Financiero Baan
o o
Correo Electrnico UTPL Sistema Acadmico Syllabus Plus
Anexo 2: Medios de comunicacin Mesa de Servicios Tecnolgicos
Medios de comunicacin Mesa de Servicios Tecnologicos Los medios por los que un usuario puede reportar sus solicitudes o incidentes referentes al catlogo de servicios tecnolgicos son: o Va correo electrnico: mst@utpl.edu.ec
o Va telefnica: 1800 8875 8875 ext. 3333
9.
GLORARIO DE TRMINOS UGTI: Unidad de Gestin de Tecnologas de Informacin. Cliente: Es la empresa o persona responsable de las decisiones y trminos que se lleguen a pactar en el acuerdo de nivel de servicio o contrato del servicio de tecnologa. Usuario: Es la persona que utiliza el servicio de tecnologa contratado. Mesa de servicios tecnolgicos: Es el punto nico de contacto para que la comunidad UTPL reporte las solicitudes o incidentes referentes a los servicios del catlogo de servicios de TI. ITIL: La Biblioteca de Infraestructura de Tecnologas de Informacin, es un conjunto de conceptos y prcticas para la gestin de servicios de tecnologas de la informacin, el desarrollo de tecnologas de la informacin y las operaciones relacionadas con la misma en general. Solicitud de servicio: Son consultas estndares de los usuarios o cambios menores que un usuario requiere sobre los servicios ofertados en el catlogo. Incidente: Una interrupcin no planificada de un Servicio de TI o una reduccin de la Calidad de un Servicio de TI. Problema: Causa subyacente, an no identificada, de una serie de incidentes o un incidente aislado de importancia significativa. Gestin de Incidentes: Tiene el deber de detectar cualquier alteracin en los servicios de TI ofertados en el catlogo, registrar y clasificar las alteraciones y asignar al personal adecuado para restaurar el servicio, lo ms rpido, segn los niveles de servicio acordado con el cliente. Gestin de Problemas: Est a su cargo investigar las subyacentes a toda alteracin, real o potencial, del servicio TI, determinar posibles soluciones, proponer las peticiones de cambio para restablecer la calidad del servicio y realizar las revisiones post implementacin para asegurar que los cambios se han realizado eficazmente. Gestin de Niveles de Servicio: Es responsable de buscar un compromiso realista entre las necesidades y expectativas del cliente y los costes de los servicios asociados, de forma que estos sean asumibles tanto por el cliente como por la organizacin TI. Catlogo de servicios de TI: Contiene todos los servicios de UGTTI soportados por la Mesa de Servicios Tecnolgicos; as como los que estn por incluirse en un corto plazo.
Acuerdo de nivel de servicio: Es un contrato o acuerdo escrito entre un proveedor de servicio y su cliente con objeto de fijar el nivel acordado para la calidad de dicho servicio. Analista de mesa de servicios: La persona encargada que la mesa de servicios cumpla con los niveles de servicio acordados con el cliente. Monitorea, da seguimiento y coordina el cumplimento de la gestin de incidentes, problemas y niveles de servicio con el fin asegurar un servicio de calidad. Ticket: Un nmero generado automticamente por el servidor de registro de solicitudes o incidentes y que es enviado por al mail del usuario para el seguimiento de su requerimiento. Checklist: o lista de verificacin, es un documento que detalla uno por uno distintos aspectos que se deben analizar, comprobar y verificar acerca la solicitud o incidente reportado y que son necesarios para la documentacin y/o solucin del caso.

Politica Ejemplo

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Politica Ejemplo

Uploaded by

Copyright:

Available Formats

UNIDAD DE GESTIN DE TECNOLOGAS DE LA INFORMACIN

Manual de Polticas Institucionales de Seguridad de la Informacin

UNIDAD DE GESTIN DE TECNOLOGAS DE LA INFORMACIN

Manual de Polticas Institucionales de Seguridad de la Informacin

POLTICA DE GESTIN DE RIESGOS

POLTICA DE GESTIN DE RIESGOS

CDIGO POL-GR 1.0

FECHA DE VIGENCIA DESDE SU APROBACIN

APROBADO POR: COMITE DE SEGURIDAD UTPL

MARA PAULA ESPINOZA DIRECTORA UGTI

MARCO CEVALLOS GERENTE DE RIESGO

GESTIN DE RIESGOS E IMPLEMENTACIN DE CONTROLES

BAJO DEMANDA 07/06/2011 Versin del documento: 1.0

DESCRIPCIN DE LA POLTICA 4.1. NORMAS Y DISPOSICIONES GENERALES

Prdida financiera <=$1000

Prdida financiera > $1000 <= $10.000

El evento es de conocimiento general de la organizacin

Escalas de probabilidad de que un riesgo se materialice

Escalas de impacto de un riesgo sobre algunos factores de cumplimiento del proyecto

La disponibilidad del sistema detiene casi por completo el negocio

La divulgacin no autorizada de informacin Confidencialidad no produce ningn inconveniente

La divulgacin no autorizada de informacin puede afectar al proyecto mnimamente

Fallas de integridad en la informacin no afectan en absoluto al proyecto.

Fallas de integridad en la informacin no afectan mnimamente al proyecto

Fallas de integridad en la informacin no afectan considerableme nte al proyecto

Escalas de probabilidad de que un riesgo se materialice

POLTICA DE SEGURIDAD DE LA INFORMACIN

FECHA DE VIGENCIA DESDE SU APROBACIN

POLTICA: POLTICA DE SEGURIDAD DE LA INFORMACIN

NOMBRE - CARGO DR. JOS BARBOSA

RECTOR CANCILLER ING. PAL SNCHEZ DIRECTOR DE UGTI (E)

En caso de existir incumplimiento de la presente Poltica de Seguridad de la

ANEXOS TERMINOS Y DEFINICIONES

POLTICA DE DE RESPONSABILIDAD DE LA SEGURIDAD DE LA INFORMACIN

FECHA DE VIGENCIA DESDE SU APROBACIN

POLTICA: RESPONSABILIDAD DE LA SEGURIDAD DE LA INFORMACIN

ACUERDO DE CONFIDENCIALIDAD .................................................................................................. 31

TABLA 1 FUNCIONES REALACIONADAS CON SEGURIDAD DE LA INFORMACIN

Control de la Poltica de Seguridad

Calidad, Riesgos y Seguridad

Definicin del Dueo de Datos

Firma de usuario C.I:.

POLTICA DE GESTIN DE ACTIVOS

FECHA DE VIGENCIA DESDE SU APROBACIN

POLTICA: GESTIN DE ACTIVOS

CONTROL DE CUMPLIMIENTO Y SANCIONES .........................................................38

18. CONTROL DE CUMPLIMIENTO Y SANCIONES

En caso de existir incumplimiento de la presente Poltica de Seguridad de la

ET1N02 Inventari o de equi po computaciones e impresoras Equipos computaci onales

Hostname Ubicacin Modelo Versin Serie

Criticidad Garanta Observacin

ET3N02 Inventari o de Informacin

Clasificacin (0-3) N Informacin Confidencialidad Integridad Disponibilidad Categora Propietario Localizacin

Medio o formato de almacenamiento

ET4N02 Inventari o de Servi cios

POLTICA DE LA SEGURIDAD FSICA EN LAS INSTALACIONES

FECHA DE VIGENCIA DESDE SU APROBACIN

POLTICA: SEGURIDAD FSICA EN LAS INSTALACIONES

NOMBRE - CARGO ING. MARA PAULA ESPINOZA DIRECTORA DE UGTI

NORMAS Y DISPOSICIONES GENERALES .......................................................................47

CONTROL DE CUMPLIMIENTO Y SANCIONES .........................................................49

Generador elctrico del edificio de UGTI. Servidores

Se deber prohibir el ingreso de alimentos y bebidas en la sala de servidores. Instalaciones elctricas

24. CONTROL DE CUMPLIMIENTO Y SANCIONES

Fecha: _____