norma iso nte 17799_2005 uleam chone

“NORMA ISO NTE 17799:2005 APLICADA EN LA UNIVERSIDAD LAICA ELOY

ALFARO DE MANABI EXTENSION CHONE”

Dirección y Gestión en Seguridad y Comunicaciones

Ing. Arteaga Paz Leonardo

Chone – Ecuador2013

LA NORMA TÉCNICA ISO NTE 17799:2005 APLICADA EN LA

UNIVERSIDAD LAICA ELOY ALFARO DE MANABI EXTENSION

CHONE.

1. LA ORGANIZACIÓN1.1. DATOS ORGANIZACIONALES.

Razón social.

UNIVERSIDAD LAICA ELOY ALFARO DE MANABI EXTENSION CHONE.

Nombre comercial.

UNIVERSIDAD LAICA ELOY ALFARO DE MANABI EXTENSION CHONE.

RUC.

1310147593003.

Tipo de entidad.

UNIVERSIDAD.

Dirección y ubicación geográfica.

Oficina Principal.

Av. Universitaria KM 2 ½ vía Portoviejo,– Cantón Chone – Provincia de Manabí.

Teléfono

052699317 - 052696301

Página Web

http://chone.uleam.edu.ec

1.2. RESEÑA HISTÓRICA.

1.2.1. Toda Institución de Educación Superior debe estar integrada al avance tecnológico y

científico generado por las necesidades que van apareciendo conforme avanza el

tiempo, para esto se deben asumir criterios de renovación constante, que derivan en

la implementación de sistemas apropiados para agilizar y efectivizar los procesos

llevados a cabo al interior de cada entidad.

1.2.2. El mejoramiento constituye un elemento fundamental en las Universidades, por ello

nos encontramos en la obligación de promover el uso de nuevas tecnologías para

brindar soluciones flexibles y funcionales, capaces de satisfacer las necesidades

internas de la universidad y de la sociedad en general, para esto la Universidad como

tal puede beneficiarse de lo que ella misma produce, “Sus estudiantes y

profesionales”.

1.2.3. En el presente proyecto se plasma la intención de crear un sistema informático

computarizado que permita gestionar la información correspondiente al control de

asistencia de profesores y empleado / docente / estudiantes / docentes, que sirva de

herramienta fundamental para que departamentos como secretaría, coordinación de

escuelas, decanato, comisión académica y los mismos profesores y estudiantes,

puedan tener a su disposición la información correspondiente al registro de asistencias

diarias a través de un moderno sistema, que brinde las facilidades necesarias para

que la información esté lista en todo momento y por qué no, en todo lugar.

1.2.4. La realización de este proyecto es relevante, porque le permite a los egresados de la

carrera de Licenciatura en Informática aportar de manera significativa a una mejor

gestión del proceso académico llevado a cabo en la Universidad, promoviendo el

orden y el ahorro de recursos.

1.3. ACTIVIDAD ECONÓMICA.

La UNIVERSIDAD LAICA ELOY ALFARO DE MANABI EXTENSION CHONE es una

Institución educativa, dedicada a brindar servicios de educación profesional.

Esta entidad está brindando capacitación y educación permanente y constante a la ciudad

de Chone y sus sectores aledaños, también tiene convenios entre instituciones. Es del

Estado Ecuatoriano y su categoría es de nivel superior, con una producción de

profesionales para obtener títulos de tercer nivel.

Las exigencias del mundo moderno obligan a las instituciones a estar a la par con los

continuos avances tecnológicos y científicos, ya que de alguna manera éstos contribuyen

al desarrollo integral de la entidad y brindan mayores posibilidades a las personas para

desempeñarse mejor en la función que están ejerciendo.

Tomando en consideración el criterio anterior, las Instituciones de Educación Superior o

Universidades a nivel mundial, se preocupan constantemente en mejorar sus estructuras,

tanto orgánicas como funcionales, a fin de garantizar a sus clientes un servicio de calidad

en todo aspecto, un fiel ejemplo es la implementación de sistemas que controlan el tiempo

de trabajo que cumplen los docentes que están al frente de determinadas cátedras,

muchas universidades lo hacen a través de controles manuales y otras por el contrario

están utilizando la tecnología para dicho cometido, estas últimas aprovechando las

ventajas en el uso de dispositivos electrónicos para registrar la información.

1.4. ORGANIZACIÓN INSTITUCIONAL.1.4.1. ORGANIGRAMA SINTÉTICO DE LA UNIVERSIDAD LAICA ELOY ALFARO DE MANABI EXTENSION CHONE

1.5. DIRECCIONAMIENTO ORGANIZACIONAL.1.5.1. VISIÓN.

La Universidad Laica Eloy Alfaro de Manabí Extensión Chone es una institución de educación superior moderna y líder en el ámbito de su actividad académica-científica y formativa de ciudadanos profesionales, quienes participan, colaboran, promueven y se comprometen con el desarrollo sustentable y el mejoramiento de las condiciones de vida de los y las habitantes de Chone y Manabí.

1.5.2. MISIÓN.La Universidad Laica “Eloy Alfaro” de Manabí Extensión Chone es una institución de educación superior cuyo compromiso es formar ciudadanos y ciudadanas profesionales responsables, éticos y solidarios con la sociedad; capaces de generar y aplicar sus conocimientos y estrategias que contribuyan al desarrollo sustentable y al mejoramiento de las condiciones de vida de los y las habitantes de Chone y Manabí.

1.5.3. OBJETIVOS ESTRATÉGICOS. Mantener actualizada la Infraestructura tecnológica de la Universidad convirtiéndo-la en un campus con los recursos didácticos necesarios para la excelencia académi-ca.

Tener una comunidad académica formada en el uso y aprovechamiento de las TIC para innovar en los procesos de enseñanza y de aprendizaje a través del uso de he-rramientas tecnológicas articuladas a los procesos pedagógicos.

Tener lineamientos pedagógicos, tecnológicos y comunicativos que orienten la in-corporación de las TIC en los procesos de enseñanza-aprendizaje y de investigación.

Consolidar la participación de grupos de investigación de excelencia en el Parque Tecnológico generando una dinámica de vinculación entre los estudiantes y docentes-investigadores con la región y el sector productivo del país.

Alcanzar el reconocimiento institucional a través de la apropiación de las TIC en sus labores académico-investigativas.

2. CHECKLIST DE LA NORMA ISO 27002:2005 (o su adaptación en Ecuador como NTE 17799:2005)

2.1. Política de SeguridadPolítica de SeguridadSUBCOMPONENTE Política de Seguridad de la Información

CUMPLEItem DETALLE SI NO NA

1La gerencia aprueba, publica y comunica a todos los empleado / docente / estudiantes / docentes en la forma adecuada, un documento de política de seguridad de la información.

X

2Se revisa la política de seguridad en intervalos planificados o si hay cambios significantes que ocurren con el fin de asegurar su uso continuo, adecuación y efectividad.

X

2.2. Organizando la Seguridad de InformaciónOrganizando la Seguridad de InformaciónSUBCOMPONENTE Organización Interna


1

La gerencia apoya activamente en la seguridad dentro de la organización a través de direcciones claras demostrando compromiso, asignaciones explicitas y reconocimiento de las responsabilidad de la seguridad de la información.

X

2La información de las actividades de seguridad deben ser coordinadas por representantes de diferentes partes de la organización con roles relevantes y funciones de trabajo.

X

3 Se definen claramente las responsabilidades. X

4 Se establecen procesos de autorización para la gestión de cada nuevo recurso de tratamiento de la información. X

5Se dan requerimientos de confidencialidad o acuerdos de no divulgación que reflejen las necesidades de la organización para la protección de información que deben ser identificadas y revisadas regularmente.

X

6 Se mantienen contactos apropiados con autoridades relevantes. X

7 Se mantienen contactos apropiados con grupos de interés especial u otros especialistas en foros de seguridad y asociaciones profesionales. X

8

Se da el alcance de la organización para gestionar la seguridad de información y su implementación (objetivos de control, controles, políticas, procesos y procedimientos para seguridad de información) que son revisados independientemente en intervalos planificados o cuando existan cambios significativos a la puesta en marcha de la seguridad que ocurran.

X

Organizando la Seguridad de InformaciónSUBCOMPONENTE Seguridad en los Accesos de Terceras Partes


1

Los riesgos a la información de la organización y a las instalaciones del procesamiento de información desde los procesos del negocio que impliquen a terceros son identificados y se implementan controles apropiados antes de conceder el acceso.

X

2Los requisitos identificados de seguridad son anexados antes de dar a los clientes acceso a la información o a los activos de la organización. X

2.3. Gestión de Activos

Gestión de ActivosSUBCOMPONENTE Responsabilidad de los Activos


1 Los activos son claramente identificados y se elabora y mantiene un inventario de todos los activos importantes.

X

2La información y los activos asociados con el proceso de información son poseídos por una parte asignada de la organización X

3Las reglas para un uso aceptable de la información y de los activos asociados con las instalaciones del procesamiento de la información son identificadas, documentadas y implementadas.

X

Gestión de ActivosSUBCOMPONENTE Clasificación de la Información


1La información es clasificada en función de su valor, requisitos legales, sensibilidad y criticidad para la organización. X

2Se define un conjunto adecuado de procedimientos para marcar y tratar la información de acuerdo con el esquema de clasificación adoptado por la organización.

X

2.4. Seguridad en Recursos HumanosSeguridad en Recursos HumanosSUBCOMPONENTE Seguridad antes del Empleo


1Las funciones y responsabilidades de los empleado / docente / estudiantes / docentes, contratistas y terceros son definidas y documentadas con la política de seguridad de la organización.

X

2

Se llevan listas de verificación anteriores de todos los candidatos para empleo, contratistas y terceros en concordancia con las leyes, regulaciones y la ética, al igual que proporcionalmente a los requerimientos del negocio, la clasificación de la información ha sido acezada y los riesgos percibidos.

X

3

Como parte de su obligación contractual, empleado / docente / estudiantes / docentes, contratistas y terceros son aceptados y firmados los términos y condiciones del contrato de empleo el cual establecen sus obligaciones y las obligaciones de la organización para la seguridad de información.

X

Seguridad en Recursos HumanosSUBCOMPONENTE Durante el Empleo


1La gerencia ha requerido empleado / docente / estudiantes / docentes, contratistas y usuarios de terceros para aplicar la seguridad en concordancia con las políticas y los procedimientos establecidos de la organización.

X

2

Todos los empleado / docente / estudiantes / docentes de la organización y donde son relevantes, contratistas y usuarios de terceros han recibido entrenamiento apropiado de conocimiento y actualizaciones regulares en políticas y procedimiento organizacionales como son relevantes para la función de su trabajo.

X

3 Existe un proceso formal disciplinario para empleado / docente / estudiantes / docentes que han cometido una apertura en la seguridad.

X

Seguridad en Recursos Humanos

SUBCOMPONENTE Finalización o Cambio de EmpleoCUMPLE

Item DETALLE SI NO NA

1 Las responsabilidades para realizarla finalización de un empleo o el cambio de este son claramente definidas y asignadas.

X

2Todos los empleado / docente / estudiantes / docentes, contratistas y terceros deben retomar todos los activos de la organización que este en su posesión hasta la finalización de su empleo, contrato o acuerdo.

X

3

Los derechos de acceso para todos los empleado / docente / estudiantes / docentes, contratistas o usuarios de terceros a la información y a las instalaciones del procesamiento de información han sido removidos hasta la culminación del empleo, contrato o acuerdo, son ajustados en caso de cambio.

X

2.5. Seguridad Física y AmbientalSeguridad Física y AmbientalSUBCOMPONENTE Áreas Seguras


1Los perímetros de seguridad (como paredes, tarjetas de control de entrada a puertas o un puesto manual de recepción) son usados para proteger áreas que contengan información y recursos de procesamiento de información.

X

2 Las áreas de seguridad son protegidas por controles de entradas adecuadas que aseguran el permiso de acceso solo al personal autorizado. X

3 La seguridad física para oficinas, despachos y recursos son asignadas y aplicadas. X

4 Se designan y aplican protección física del fuego, inundación, terremoto, explosión, malestar civil y otras formas de desastre natural o humano. X

5 Se diseñan y aplican protección física y pautas para trabajar en áreas seguras. X

6 Se controlan las áreas de carga y descarga, y si es posible, aislarse de los recursos de tratamiento de información para evitar accesos no autorizados. X

Seguridad Física y AmbientalSUBCOMPONENTE Seguridad de los Equipos


1 El equipo es situados y protegido para reducir el riesgo de amenazas del entorno, así como las oportunidades de acceso no autorizados. X

2Se protegen los equipos contra fallos de energía u otras anomalías eléctricas en los equipos de apoyo. X

3Se protegen contra interceptaciones o daño el cableado de energía y telecomunicaciones que transporten datos o soporten servicios de información.

X

4Los equipos se mantienen adecuadamente para asegurar su continua disponibilidad e integridad. X

5Se aplica seguridad a los equipos que se encuentran fuera de los locales de la organización tomando en cuenta los diversos riesgos a los que se está expuesto.

X

6

Todos los elementos del equipo que contengan dispositivos de almacenamiento son revisados con el fin de asegurar que cualquier dato sensible y software con licencia a sido removido o sobrescrito con seguridad antes de la eliminación.

X

7El equipo, información o software no debe ser sacado fuera del local sin autorización. X

2.6. Gestión de Comunicaciones y OperacionesGESTIÓN DE COMUNICACIONES Y OPERACIONES

SUBCOMPONENTE Procedimientos y responsabilidades de operaciónCUMPLE


1Se documentan y mantienen los procedimientos de operación y se ponen a disposición de todos los usuarios que lo requieran. X

2 Se controlan los cambios en los sistemas y recursos de tratamiento de información

X

3Se segregar las tareas y las áreas de responsabilidad con el fin de reducir las oportunidades de una modificación no autorizada o no intencional, o el de un mal uso de los activos de la organización

X

4Se separan los recursos para desarrollo, prueba y producción y además para reducir los riesgos de un acceso no autorizado o de cambios al sistema operacional

X

GESTIÓN DE COMUNICACIONES Y OPERACIONESSUBCOMPONENTE Gestión de servicios externos


1Se asegura que todos los controles de seguridad, definiciones de servicio y niveles de entrega incluidas en el acuerdo de entrega de servicio externo sean implementados, operados y mantenidos por la parte externa

X

2Los servicios, reportes y registros provistos por terceros deben ser monitoreados y revisados regularmente, y las auditorias deben ser llevadas a cabo regularmente

X

3 Se asegura cambios en la provisión del servicio, incluyendo mantenimiento y mejoras en las políticas de seguridad de información existentes. X

GESTIÓN DE COMUNICACIONES Y OPERACIONESSUBCOMPONENTE Planificación y aceptación del sistema


1Se asegura que el uso de recursos debe ser monitoreado y las proyecciones hechas de requisitos de capacidades adecuadas futuras para asegurar el sistema de funcionamiento requerido.

X

2Se establecen criterios de aceptación para nuevos sistemas de información y versiones nuevas o mejoradas y se deberían desarrollar con ellos las pruebas adecuadas antes de su aceptación.

X

GESTIÓN DE COMUNICACIONES Y OPERACIONESSUBCOMPONENTE Protección contra software malicioso


1 Se implementan controles para detectar el software malicioso y prevenirse contra él, junto a procedimientos adecuados para concientizar a los usuarios. X

2Donde el uso de código móvil es autorizado, la configuración debe asegurar que dicho código móvil opera de acuerdo a una política de seguridad definida y que se debe prevenir que este sea ejecutado.

X

GESTIÓN DE COMUNICACIONES Y OPERACIONESSUBCOMPONENTE Gestión de respaldo y recuperación


1Se hacen regularmente copias de seguridad de toda la información esencial del negocio y del software, en concordancia con la política acordada de recuperación.

X

GESTIÓN DE COMUNICACIONES Y OPERACIONESSUBCOMPONENTE Gestión de seguridad en redes


1Las redes deben ser manejadas y controladas adecuadamente para protegerse de amenazas y para mantener la seguridad en los sistemas y aplicaciones usando las redes, incluyendo información en tránsito.

X

2

Las características de seguridad, niveles de servicio y los requisitos de gestión de todos los servicios de red deben ser identificadas e incluidos en cualquier acuerdo de servicio de red, así estos servicios sean provistos dentro o fuera de la organización.

X

GESTIÓN DE COMUNICACIONES Y OPERACIONESSUBCOMPONENTE Utilización de los medios de información


1 Existen procedimientos para la gestión de los medios informáticos removibles. X

2 Se eliminan los medios de forma segura y sin peligro cuando no se necesiten más, utilizando procedimientos formales. X

3Los procedimientos para la manipulación y almacenamiento de la información deben ser establecidos para proteger esta información de divulgaciones o usos no autorizados.

X

4 La documentación de sistemas debe ser protegida contra acceso no autorizado. X

GESTIÓN DE COMUNICACIONES Y OPERACIONESSUBCOMPONENTE Intercambio de información


1Se establecen políticas, procedimientos y controles formales de intercambio con el fin de proteger la información a través de todos los tipos de instalaciones de comunicación.

X

2Los acuerdos deben ser establecidos para el intercambio de información y software entre la organización y terceros. X

3Los medios conteniendo información deben ser protegidos contra acceso no autorizado, mal uso o corrupción durante el transporte fuera de los límites físicos de la organización.

X

4La información implicada con la mensajería electrónica debe ser protegida apropiadamente. X

5Se desarrollan e implementan políticas y procedimientos con el fin de proteger la información asociada con la interconexión de sistemas de información de negocios.

X

GESTIÓN DE COMUNICACIONES Y OPERACIONESSUBCOMPONENTE Servicios de correo electrónico


1La información envuelta en el comercio electrónico pasando a través de redes públicas, debe ser protegida de actividad fraudulenta, disputas de contratos y de acceso y modificación no autorizada.

X

2

La información implicada en las transacciones en línea debe ser protegida para prevenir la transmisión incompleta, ruta equivocada, alteración no autorizada de mensajes, acceso no autorizado, duplicado no autorizado del mensaje o reproducción.

X

3 La integridad de la información que se ha hecho disponible en un sistema público debe ser protegido para prevenir modificaciones no autorizadas.

X

GESTIÓN DE COMUNICACIONES Y OPERACIONESSUBCOMPONENTE Monitoreo


1

Los registros de auditoría grabando actividades de los usuarios, excepciones y eventos de la seguridad de información deben ser producidos y guardados para un periodo acordado con el fin de que asistan en investigaciones futuras y en el monitoreo de los controles de acceso.

X

2Los procedimientos para el uso del monitoreo de las instalación de procesamiento de información deben ser establecidos y los resultados de las actividades de monitoreo deben ser revisadas regularmente.

X

3 Las instalaciones de información de registro deben ser protegidas contra acciones forzosas u acceso no autorizado. X

4 Las actividades del administrador y de los operadores del sistema deben ser registradas. X

Las averías deben ser registradas, analizadas y se debe tomar acciones apropiadas. X

5Los relojes de todos los sistemas de procesamiento de información dentro de la organización o en el dominio de seguridad deben ser sincronizados con una fuente acordada y exacta de tiempo.

X

2.7. Control de AccesoControl de AccesoSUBCOMPONENTE Requisitos de Negocio para el Control de Accesos


1 Una política de control de acceso es establecida, documentada y revisada y debe estar basada en los requerimientos de seguridad y del negocio. X

Control de AccesoSUBCOMPONENTE Gestión de Acceso de Usuarios


1Se formaliza un procedimiento de registro de altas y bajas de usuarios para garantizar el acceso a los sistemas y servicios de información multiusuario. X

2 Se restringe y controla el uso y asignación de privilegios. X

3 Se controla la asignación de contraseñas por medio de un proceso de gestión formal. X

4 La gerencia establece un proceso formal de revisión periódica de los derechos de acceso de los usuarios.

X

Control de AccesoSUBCOMPONENTE Responsabilidades de los Usuarios


1 Los usuarios siguen buenas prácticas de seguridad para la selección y uso de sus contraseñas. X

2Los usuarios aseguran que los equipos informáticos desatendidos estén debidamente protegidos. X

3Se adopta una política de escritorio limpio para papeles y medios removibles de almacenamiento así como una política de pantalla limpia para instalaciones de procesamiento de información.

X

Control de AccesoSUBCOMPONENTE Control de Acceso a la Red


1 Los usuarios tienen acceso directo a los servicios para los que estén autorizados de una forma específica.

X

2 Se utilizan métodos apropiados de autentificación para controlar el acceso de usuarios remotos. X

3Las identificaciones automáticas de equipo son consideradas como medios para autentificar conexiones desde locales y equipos específicos. X

4 Se controla el acceso físico y logístico para diagnosticar y configurar puertos. X

5 Los grupos de servicios de información, usuarios y sistemas de información son segregados en las redes. X

6Los requisitos de la política de control de accesos para redes compartidas, sobre todo para las que atraviesan las fronteras de la organización, se basan en los requisitos de las aplicaciones del negocio.

X

7 Los controles de enrutamiento se basan en mecanismos positivos de verificación de las direcciones de origen y destino de los mensajes. X

Control de AccesoSUBCOMPONENTE Control de Acceso al Sistema Operativo


1 El acceso a los servicios de información está disponible mediante un proceso de conexión seguro. X

2Todos los usuarios disponen de un identificador único para su uso personal y deben ser escogida una técnica de autentificación adecuada para verificar la identificad de estos.

X

3Los sistemas de gestión de contraseñas deben proporcionar un medio eficaz e interactivo para asegurar la calidad de las mismas. X

4

La mayoría de las instalaciones informáticas han dispuesto de programas del sistema capaces de eludir las medidas de control del sistema o de las aplicaciones. Es fundamental que su uso se restrinja y se mantenga fuertemente controlado.

X

5 Las sesiones se desactivan tas un periodo definido de inactividad. X

6Las restricciones en los tiempos de conexión ofrecen seguridad adicional para aplicaciones de alto riesgo.

X

Control de AccesoSUBCOMPONENTE Control de Acceso a las Aplicaciones y la Información


1Se dan accesos a la información y a las funciones del sistema de aplicaciones solo a los usuarios de este, incluido el personal de apoyo, de acuerdo con una política de control de accesos definida.

X

2 Los sistemas sensibles necesitan entornos informáticos definidos (aislados). X

Control de AccesoSUBCOMPONENTE Informática Móvil y Teletrabajo


1Se deben adoptar una política formal y medidas de seguridad apropiadas con el fin de protegernos contra los riesgos cuando se usan dispositivos de informática.

X

2Se deben desarrollar e implementar una política, planes operacionales y procedimientos para las actividades de teletrabajo. X

2.8. Adquisición, Desarrollo y Mantenimiento de Sistemas de InformaciónAdquisición, Desarrollo y Mantenimiento de Sistemas de InformaciónSUBCOMPONENTE Requisitos de Seguridad de los Sistemas


1 Los enunciados de los requisitos de negocio para sistemas nuevos o mejoras a sistemas existentes deben especificar los requisitos de control. x

Adquisición, Desarrollo y Mantenimiento de Sistemas de InformaciónSUBCOMPONENTE Seguridad de las Aplicaciones del Sistema


1 Se validan los datos de entrada a las aplicaciones del sistema para garantizar que son correctas y apropiadas. X

2Se incorporan a los sistemas comprobaciones de validación para detectar cualquier tipo de corrupción de información a través de los errores del proceso o por actos deliberados.

X

3Se identifican los requerimientos para asegurar la autentificación y protección de la integridad de los mensajes en aplicaciones y se deberían e implementar controles apropiados.

X

4Se validan los datos de salida de un sistema de aplicación para garantizar que el proceso de la información ha sido correcto y apropiado a las circunstancias.

X

Adquisición, Desarrollo y Mantenimiento de Sistemas de InformaciónSUBCOMPONENTE Controles Criptográficos


1La organización desarrolla e implementa una política de uso de las medidas criptográficas para proteger la información. X

2 La gestión de claves criptográfica apoya el uso de las técnicas criptográficas en la organización.

X

Adquisición, Desarrollo y Mantenimiento de Sistemas de Información

SUBCOMPONENTE Seguridad de los Archivos del SistemaCUMPLE


1 Existen procedimientos para controlar la instalación del software en sistemas operacionales.

X

2 Los datos de prueba son seleccionados cuidadosamente, así como protegidos y controlados. X

3 El acceso a los códigos de programas fuente debe ser restringido. X

Adquisición, Desarrollo y Mantenimiento de Sistemas de InformaciónSUBCOMPONENTE Seguridad en los Procesos de Desarrollo y Soporte


1 La implementación de cambios es controlada usando procedimientos formales de cambio.

X

2Se revisan y prueban las aplicaciones del sistema cuando se efectúen cambios, para asegurar que no impactan adversamente en el funcionamiento o en la seguridad.

X

3No se recomiendan modificaciones a los paquetes de software. Se deberían limitar a cambios necesarios y todos estos deben ser estrictamente controlados.

X

4 Las oportunidades de fuga de información son prevenidas. X

5 El desarrollo externo del software es supervisado y monitoreado por la organización. X

Adquisición, Desarrollo y Mantenimiento de Sistemas de InformaciónSUBCOMPONENTE Gestión de la Vulnerabilidad Técnica


1

Se obtiene a tiempo la información sobre las vulnerabilidades técnicas del sistema de información utilizado. Igualmente, se evalúa la exposición de la organización a tales vulnerabilidades y las medidas apropiadas para tratar a los riegos asociados.

X

2.9. Gestión de Incidentes de los Sistemas de InformaciónGestión de Incidentes de los Sistemas de InformaciónSUBCOMPONENTE Reportando Eventos y Debilidades de la Seguridad de Información


1Los eventos en la seguridad de información son ser reportados lo más rápido posible a través de una gestión de canales apropiados.

X

2

Todos los empleado / docente / estudiantes / docentes, contratistas y terceros que son usuarios de los sistemas y servicios de información anotan y reportan cualquier debilidad observada o sospechada en la seguridad de estos.

X

Gestión de Incidentes de los Sistemas de InformaciónSUBCOMPONENTE Gestión de las Mejoras e Incidentes en la Seguridad de Información


1Las responsabilidades y procedimientos de el Decanato son establecidos para asegurar una rápida, efectiva y ordenada respuesta a los incidentes en la seguridad de información.

X

2Existe un mecanismo que permite que los tipos, volúmenes y costos de los incidentes en la seguridad de información sean cuantificados y monitoreados.

X

3 Cuando una acción de seguimiento contra una persona u organización, después de un incidente en la seguridad de información, implique acción

X

legal (civil o criminal), la evidencia es recolectada, retenida y presentada para ser conforme con las reglas para la colocación de evidencia en la jurisdicción existente.

2.10. Gestión de la Continuidad del NegocioGestión de la Continuidad del NegocioSUBCOMPONENTE Aspectos de la Gestión de Continuidad del Negocio


1

Se instala en toda la organización un proceso de gestión para el desarrollo y el mantenimiento de la continuidad del negocio a través de la organización que trate los requerimientos en la seguridad de información necesarios para la continuidad del negocio.

X

2Los eventos que pueden causar interrupciones a los procesos de negocio son identificados, junto con la probabilidad e impacto de dichas interrupciones y sus consecuencias para la seguridad de información.

X

3Se desarrollan planes de mantenimiento y recuperación de las operaciones del negocio, para el aseguramiento de información al nivel y en las escalas de tiempo requeridas, tras la interrupción o la falla de sus procesos críticos.

X

4Se mantiene un esquema único de planes de continuidad del negocio para asegurar dichos planes son consistentes, para tratar los requisitos de seguridad y para identificar las prioridades de prueba y mantenimiento.

X

5 Los planes de continuidad del negocio se prueban regularmente para asegurarse de su actualización y eficacia. X

2.11. CumplimientoCumplimientoSUBCOMPONENTE Cumplimiento de los Requisitos Legales


1Se definen, documentan y mantienen actualizados de forma explícita todos los requisitos legales, regulatorios y contractuales que sean importantes para cada sistema de información.

X

2

Se implementan los procedimientos apropiados para asegurar el cumplimiento de las restricciones legales, reguladoras y contractuales sobre el uso del material protegido por derechos de propiedad intelectual y sobre el uso de productos de software propietario.

X

3Se protegen los registros importantes de la organización frente a su perdida, destrucción y falsificación en concordancia con los requisitos regulatorios, contractuales y de negocio.

X

4 La protección de datos y la privacidad es asegurada como se requiere en la legislación, las regulaciones y, si es aplicable, en las cláusulas contractuales. X

5El personal es disuadido de utilizar los recursos de tratamiento de la información para propósitos no autorizados. X

6Los controles criptográficos es utilizado en conformidad con todos los acuerdos, leyes y regulaciones.

X

CumplimientoSUBCOMPONENTE Revisiones de la Política de Seguridad y de la Conformidad Técnica


1Los gerentes se aseguraran que se cumplan correctamente todos los procedimientos de seguridad dentro de su área de responsabilidad cumpliendo las políticas y estándares de seguridad.

X

2Se comprueban regularmente la conformidad con las normas de implantación de la seguridad en los sistemas de información. X

CumplimientoSUBCOMPONENTE Controles de Auditoria de Sistemas


1Se planifica cuidadosamente y acuerdan los requisitos y actividades de auditoria que impliquen comprobaciones en los sistemas operativos, para minimizar el riesgo de interrupción de los procesos de negocio.

X

2Se protegen los accesos a las herramientas de auditoria de sistemas con el fin de prever cualquier posible mal uso o daño. X

2.11.1. 1er. ÍtemEn la actualidad no existe un manual de políticas para la seguridad de la información, y no cumple con las NTE, por lo tanto se tiene que elaborar un documento, con el fin de que exista una normativa común que regule a toda la organización.

Mediante este documento definiremos políticas y planes de tecnologías de la información que deben ser implementados en esta empresa.

2.11.1.1. INTRODUCCIONLa institución define como elemento importante, contar con políticas para la Seguridad de la Información.

2.11.1.2. POLITICAS PARA RIESGOS ASOCIADOS A TECNOLOGÍAS DE LA INFORMACIÓN

2.11.1.2.1. ObjetivosGarantizar el correcto uso y cuidado de los equipos, el correcto uso de passwords asignados, el uso de software libre y legal, la correcta realización de los respectivos backups de la institución.

Garantizar la seguridad de la información en todos los niveles de la organización, desarrollando normas de seguridad integrales que alcancen a todas las áreas de la Institución.

2.11.1.2.2. AlcanceA toda la Organización.

2.11.1.2.3. DefinicionesSeguridad de la información: es el conjunto de medidas preventivas y reactivas de la organización y de los sistemas tecnológicos que permitan resguardar y proteger la información buscando mantener la confidencialidad, la disponibilidad e integridad de la misma.

http://es.wikipedia.org/wiki/Organizaci%C3%B3n

http://es.wikipedia.org/wiki/Integridad_de_datos

http://es.wikipedia.org/wiki/Disponibilidad

http://es.wikipedia.org/wiki/Confidencialidad

http://es.wikipedia.org/wiki/Informaci%C3%B3n

http://es.wikipedia.org/wiki/Tecnolog%C3%ADa

Estudiantes: personal estudiantil que va a las instalaciones a utilizar los laboratorios de computación para sus capacitaciones, y acceder a la red internet por medio de puntos de accesos inalámbricos.

Usuario: Se refiere a cualquier persona contratada por la entidad, que haya sido autorizada para hacer uso de las herramientas tecnológicas.

Equipo: Aquel equipo (computadoras de escritorio, portátiles, servidores, equipos de comunicación y otros equipos electrónicos) propiedad de la Institución y de estudiantes particulares. Software: Aquel software que la oficina de sistemas de la Institución ha definido como "Software de Uso Legal", del cual la Institución ha adquirido e inscrito a su nombre todas las licencias respectivas.

2.11.1.2.4. Integrantes del comité de seguridada. Preside un miembro del Decano.

b. Decano.

c. Jefe de Sistemas.

d. Administrativos.

e. Docentes.

f. Estudiantes.

Para las revisiones sobre la política de seguridad de la información, actualmente la Institución cuenta con el “Manual de políticas y procedimientos de cumplimiento normativo”, en etapa de elaboración, solo indica que las revisiones son informadas anualmente al Decano y Rector.

Se modificó las política y se agregó un punto donde se define al propietario de la políticas de seguridad, el cual tiene como responsabilidad el mantenimiento y revisión de la misma.

2.11.1.2.5. OBJETIVO La función de cumplimiento normativo tiene como objetivo velar por el adecuado cumplimiento de la normativa que le sea aplicable a la institución, tanto interna como externa.

2.11.1.2.6. DESARROLLO

2.11.1.2.6.1. Políticas La Universidad realizará la vigilancia y evaluación de la función para el cumplimiento normativo de acuerdo a sus propias necesidades y organización interna, asegurando que dicha función cuente con recursos asignados suficientes para realizar una labor efectiva.

También estará en permanente custodia para que los encargados cumplan con la función de encargada y deban ser independientes respecto de las actividades a realizar y contar con conocimientos sólidos de la normativa aplicable a la Institución así como de su impacto en las operaciones de ésta.

La función de cumplimiento normativo incorpora la evaluación y monitoreo del cumplimiento de toda la normativa aplicable a la institución supervisada. Sin embargo, la evaluación y monitoreo de lo dispuesto en materia de prevención bifurcación de la información, corrupción y financiamiento del terrorismo así como del sistema de atención al usuario será responsabilidad del Oficial de Cumplimiento y del Oficial de Atención al

Usuario, respectivamente, los cuales deben ser diferentes del encargado de la función de cumplimiento normativo.

2.11.1.2.6.2. Funciones del oficial de cumplimiento normativo

Las funciones de cumplimiento normativo son: Asesorar al Decano en el manejo efectivo del cumplimiento de la normativa aplicable a la

institución. En el Organigrama Funcional el área de Sistemas como nivel de Apoyo cumple funciones en

todas las áreas que lo requieran en total confidencialidad y armonía en el trabajo. Informar de manera continua y oportuna al consejo institucional y al decanato respecto a las

acciones necesarias para un buen cumplimiento normativo y las posibles brechas existentes, así como de los principales cambios en el ambiente normativo que puedan producir un impacto en las operaciones de la Institución.

Vigilar el cumplimiento normativo aplicable a la entidad. Informar semestralmente al Decano y al consejo institucional, Consejo Estudiantil sobre el

progreso de la implementación de las medidas de adecuación normativa. Orientar al personal de la institución respecto a la importancia del cumplimiento normativo, y

de las responsabilidades que se derivan en caso de incumplimiento. Asegurar la existencia de procedimientos y controles para garantizar que el personal cumple

las decisiones adoptadas y las funciones encomendadas. Brindar seguridad razonable al Decano y al Consejo institucional de que las políticas y

procedimientos relacionados con el cumplimiento normativo logran que la Institución cumpla con los requerimientos regulatorios.

Proponer para aprobación del Decano antes del 31 de diciembre de cada año, un programa de cumplimiento anual que exponga las actividades programadas y la implementación de éstas y sus recomendaciones; dicho programa deberá estar a disposición a todo el personal de la Universidad Laica Eloy Alfaro.

Proponer al Decano medidas correctivas en caso de presentarse fallas en la aplicación de la Función de Cumplimiento Normativo.

Las políticas de seguridad definidas deberán tener un propietario que sea responsable del mantenimiento y revisión de las mismas.

Política de seguridad- Manual de políticas y procedimientos de cumplimiento normativo. (Auditor Interno)- Manual de políticas para la seguridad de la información. (Jefe de Sistemas)

Gestión de activos- Manual de procedimientos para la elaboración del inventario de activos de la información. (Decano)

Seguridad en recursos humanos- Manual de procedimientos de atención de requerimientos de información de entidades gubernamentales. (Coordinadores)- Manual de procedimientos de recursos humanos. (Jefe de RR.HH)- Manual de procedimientos para los contratos con los aliados comerciales. (Coordinadores)

Gestión de comunicaciones y Operaciones- Manual de procedimientos de backups y medios de almacenamiento. (Administrador de BD)- Manual de procedimientos operativos de la oficina de informática. (Jefe de Sistemas)- Manual de procedimientos para pruebas de copias de respaldo. (Administrador de BD)

Control de accesos- Manual de políticas de escritorio limpio. (Coordinador de Soporte Técnico)- Manual de procedimientos para la gestión de perfiles y usuarios a los sistemas. (Jefe de Sistemas)- Manual de procedimientos para seguimiento de accesos y uso de los sistemas. (Jefe de Sistemas)

2.12. POLÍTICAS PARA LA ORGANIZAR LA SEGURIDAD DE LA INFORMACIÓNMediante este documento definiremos políticas y planes de tecnologías de la información que deben ser implementados en esta empresa.

2.12.1. POLÍTICAS PARA LA ORGANIZACIÓN INTERNA

2.12.1.1. 1er. ÍtemLos requisitos identificados de seguridad son anexados antes de dar a los Estudiantes acceso a la información o a los activos de la organización.

2.12.1.2. Introducción

a. El propósito de esta política es que exista un documento en el cual se anexe y se entregue a terceras personas cuando se les conceda accesos.

2.12.1.3. Políticas

2.12.1.4. Objetivos

a. Contar con un documento que se indique los deberes y derechos que tiene una tercera persona cuando se le conceda accesos a nuestros sistemas.

2.12.1.5. Alcance

a. - Todo el personal de la Universidad Laica Eloy Alfaro De Manabí Extensión Chone.

b. - Se prepara un documento de derechos y deberes de las terceras personas.

2.13. POLÍTICAS PARA LA GESTIÓN DE ACTIVOSMediante este documento definiremos políticas y planes de tecnologías de la información que deben ser implementados en esta empresa.

a. Los activos son claramente identificados y se elabora y mantiene un inventario de todos los activos importantes.b. En la actualidad existe un manual de inventario de activos de la información, pero existe sólo en procedimiento y no ha sido desarrollado.

2.13.1. DEFINICIÓN DE ACTIVOS DE TI/SI:

2.13.1.1. 1er. Ítem

a. Los activos de TI/SI son muy amplios, por ello es fundamental estar conceptualmente claros qué es un activo de TI/SI y conocer sus distintas posibles modalidades.

2.13.1.1.1. Políticas2.13.1.1.1.1.Objetivosa. Definir claramente los activos.

2.13.1.1.1.2.Alcance1) Identificar y determinar activos para Universidad Laica Eloy Alfaro de Manabí Extensión Chone, teniendo en cuenta las diferentes áreas de la organización (Ejm. Área de Operaciones, Área de Administrativa, Área de Secretariado, Laboratorios, etc).

2) Realizar un listado, descripción y ubicación de activos a la fecha y estructurar un formato con la siguiente información:a. Nombre Activo: Es un campo que define la manera como se va a reconocer el activo en la organización con un nombre particular y diferenciable.b. Clasificación: El tipo al cual pertenece el activo.c. Ubicación Física: Es la información acerca de donde se encuentra específicamente ubicado el activo.d. Jefe de Área Responsable: Encargado de cada área dónde se encuentre físicamente el activo.e. Medio: Es la ubicación física o electrónica donde se encuentra disponible el activo.

2.13.1.2. 2do. ÍtemLa información y los activos asociados con el proceso de información son poseídos por una parte asignada de la organización.

2.13.1.2.1. INTRODUCCIÓNa. Cada activo de la información tiene que tener un propietario que se encarte de la gestión.

2.13.1.2.1.1.Políticas2.13.1.2.1.2.Objetivosa. Definir claramente el propietario del activo de la información.

2.13.1.2.1.3.Alcancea. - Cada activo inventariado se le asignará un propietario.

b. - Cada propietario se encargar de la gestión del activo (custodia, clasificación, etc).

c. - Anualmente por el comité del SGSI revisa la asignación de propiedades.

2.13.1.3. 3er. ÍtemLa información es clasificada en función de su valor, requisitos legales, sensibilidad y criticidad para la organización.

2.13.1.3.1. INTRODUCCIÓNCada activo de la información tiene ser clasificada en función de su valor, requisitos legales, sensibilidad y criticidad para la organización.

2.13.1.3.2. Políticas2.13.1.3.2.1.ObjetivosClasificar el activo de información

2.13.1.3.2.2.Alcance- Se clasifica los activos de la Universidad Laica Eloy Alfaro De Manabí Extensión Chone en función de categorías:

Categoría según NTE

17799:2005Subcategoría

Activos a proteger

Activos de información Documentos

Datos de usuario

Documentación de: programas, hardware,

sistemas, procedimientos administrativos,

locales, manuales, etc.

Activos Físicos

Edificios y

Equipamiento

Estaciones de trabajo

Locales

Mobiliario

Equipamiento

Informático

Antenas

Cableados

Hardware (teclado, monitor, unidades de

disco, medios removibles, etc.)

Hubs

Modems

Servidores

Switch Central

InsumosCintas, cartuchos de tinta, toner, papel,

formularios, etc.

Recursos Humanos Recursos Humanos

Administrador de sistema (Departamento de

Sistema)

Personal Interno

Personal Subcontratado

Responsable Planificación

Usuarios

Servicios ServiciosAcceso telefónico remoto

Mensajería instantánea, otros

Activos de Software Software

Backups

Base de datos

Configuración de redes

Datos en tránsito, datos de configuración,

datos en medios externos

Herramientas de auditoria

Programas fuentes

Sistemas de control

Sistemas operativos

Software de aplicación

Imagen y Reputación Imagen y Reputación

2.13.1.4. 4to. ÍtemSe define un conjunto adecuado de procedimientos para marcar y tratar la información de acuerdo con el esquema de clasificación adoptado por la organización.

2.13.1.4.1. INTRODUCCIÓNEl propósito de esta política tiene definir el procesamiento para el marcado de la información.

2.13.1.4.2. Políticas2.13.1.4.2.1.ObjetivosDefinir el procesamiento para el marcado de la información.

2.13.1.4.2.2.Alcance Procedimiento para el marcado de la información:Toda información impresa o almacenada en medios físicos transportables (cintas de backup, cd´s, etc.) que sean confidenciales o restringidas, deben estar claramente etiquetadas como tal, con letras grandes que sean legibles sin la necesidad de un lector especial.

La Institución debe definir el tratamiento de cada uno de los tipos de información, incluyendo el personal autorizado, soportes en los que se puede almacenar y usuarios o destinatarios autorizados de dicha información.Todo documento o contenedor de información debe ser etiquetado como “Restringida”, “Confidencial”, de “Uso interno” o de Acceso “General”, dependiendo de la clasificación asignada.

2.14. POLÍTICAS PARA LASEGURIDAD DE RECURSOS HUMANOSMediante este documento definiremos políticas y planes de tecnologías de la información que deben ser implementados en esta empresa.

2.14.1. Objetivo:

Asegurar que los empleado / docente / estudiantes / docentes, contratistas y terceros entiendan sus responsabilidades, y que sean adecuados para los roles para los que han sido considerados, reduciendo el riesgo de robo, fraude o mal uso de las instalaciones.

2.14.2. Alcance:

a. A todo tipo de personal que lleva alguna relación laboral con ULEAM CHONE (Ej. Personal contratado y proveedores).

2.14.3. Políticas:

a) La seguridad es responsabilidad de todos los empleado / docente / estudiantes / docentes y personas involucradas con la ULEAM CHONE . Por ende, todos los empleado / docente / estudiantes / docentes, contratistas, proveedores y personas con acceso a las instalaciones e información de la ULEAM CHONE deben de acatar los estándares documentados en la política de seguridad de la ULEAM CHONE e incluir la seguridad como una de sus responsabilidades principales.b) Promover el uso de Sistemas Libre (Open Source).c) Cuando se contrate a un empleado / docente / estudiante nuevo y/o el servicio de algún tercero, se debe de entregar la política de seguridad así como las normas y procedimientos para el uso de las aplicaciones y los sistemas de información de la ULEAM CHONE . Asimismo se debe entregar un resumen escrito de las medidas básicas de seguridad de la información.

d) El personal debe de ser comunicado de las implicancias de seguridad en relación a las responsabilidades de su trabajo.e) Una copia firmada de la política de seguridad de información debe de ser guardada en el archivo del empleado / docente / estudiante.f) Todos los dispositivos personales de información, como por ejemplo computadoras de propiedad de los empleado / docente / estudiantes / docentes o asistentes digitales personales (PDA – Personal Digital Assistant), que interactúen con los sistemas de la ULEAM CHONE , deben ser revisados, aprobados y autorizados por el Decanato de la ULEAM CHONE . Esto debe hacerse casi inmediato de firmarse el contrato con la Institución.g) El personal a contratar debe estar enterado de:a. Cada usuario es responsable del equipamiento que ULEAM CHONE le ha confiado para el desarrollo de sus funciones laborales. Por ello, sólo podrá extraer de los locales de la organización aquellos equipos y dispositivos autorizados por la dirección.b. Cualquier desperfecto ocasionado por el uso o traslado inadecuado de los recursos, será atribuible al usuario.c. El usuario es responsable de proteger y mantener la confidencialidad de la información perteneciente o confiada a ULEAM CHONE , y deberá contribuir de manera activa al secreto de la misma.d. El usuario se hace responsable de sus contraseñas y bajo ninguna circunstancia debe divulgarlas o cederlas al resto de usuarios. Las contraseñas de usuario deben ser robustas y difícilmente adivinables por terceros no autorizados.e. En caso de detectar algún incidente de seguridad, el usuario deberá comunicarlo inmediatamente al personal oportuno siguiendo el procedimiento establecido.

h) El personal a contratar debe saber que está estrictamente prohibido:a. Hacer uso de del equipamiento con fines no relacionados con la actividad exclusivamente laboral. b. Modificar, alterar o dañar la configuración de los dispositivos de hardware, software y comunicaciones habilitados por la organización para el desempeño de las funciones propias de cada usuario.c. En caso de que algún usuario precise la instalación de componentes adicionales, deberá comunicarlo a su responsable directo, el cual, tras valorar la petición, remitirá una solicitud formal a la Dirección de la organización. No se permitirá bajo ningún concepto la instalación de software que no vaya acompañado de su correspondiente licencia. d. Conectarse a la red corporativa por medios distintos a los establecidos por la organización. e. Emplear Internet con fines que no guarden en modo alguna relación con las tareas y obligaciones estipuladas en el ámbito laboral. Esta premisa se hace extensible al uso del correo electrónico y aplicaciones informáticas. f. Intentar acceder sin autorización a los elementos y contenidos restringidos de los sistemas; así como leer, modificar o eliminar el correo personal de otros usuarios. g. Introducir intencionadamente en los Sistemas de Información de la organización componentes potencialmente dañinos (malware), o con contenido amenazante, ofensivo u obsceno. h. Intentar destruir, alterar, inutilizar o divulgar los datos e información que son propiedad de la organización. Este acto, además, puede constituir un delito. i. No se podrá realizar reenvíos automáticos a direcciones que no pertenecen a la organización. No olvidar que este control es mientras se está bajo la red de ULEAM CHONE .i) Es responsabilidad del área de seguridad informática promover constantemente la importancia de la seguridad a todos los usuarios de los sistemas de información. (Se habla de capacitaciones continuas).j) La capacitación en seguridad debe de incluir, pero no estar limitado, a los siguientes aspectos:a. Requerimientos de identificador de usuario y contraseña.b. Seguridad de PC, incluyendo protección de virus.c. Responsabilidades de la organización de seguridad de información.

d. Concientización de las técnicas utilizadas por “hackers”, “Jackers”.e. Programas de cumplimiento.f. Guías de acceso a Internet.g. Guías de uso del correo electrónico.h. Procesos de monitoreo de seguridad de la información utilizados.i. Persona de contacto para información adicional.

2.14.4. Sanciones por Incumplimiento:

a. El incumplimiento de alguna de estas pautas generales de conducta, podría propiciar la apertura del correspondiente proceso disciplinario.b. En caso de identificar a algún usuario que incumpla alguna de las normas anteriores, procederá a comunicarle esta circunstancia como primer aviso en forma verbal.c. Si se llegase a apreciar mala fe o reiteración en sus acciones, como segundo aviso se le enviará un Memorándum al usuario involucrado.d. Si por tercera vez el usuario reitera, ULEAM CHONE adoptará las medidas que legalmente le amparen para la protección de sus derechos. Esto podría llegar hasta la terminación de la relación laboral entre el usuario y la Institución.

2.15. POLÍTICAS PARA LA SEGURIDAD FÍSICA Y AMBIENTALMediante este documento definiremos políticas y planes de tecnologías de la información que deben ser implementados en esta empresa.

2.15.1. Política para la revisión de Dispositivos de Almacenamiento:

2.15.1.1. Objetivo:

a. Asegurar la integridad del valor de la información que se encuentra procesada y almacenada en los dispositivos de la ULEAM CHONE .

2.15.1.2. Alcance:

a. A todo tipo de personal que lleva alguna relación laboral con ULEAM CHONE y que se le haya asignado algún equipo de cómputo o algún dispositivo de almacenamiento externo. (Ej. Personal contratado y proveedores).

2.15.1.3. Políticas:El responsable del área de Sistemas para la Seguridad de la Información deberá tener en cuenta las siguientes medidas de protección:a) Almacenar los equipos redundantes y la información de resguardo (back up) en un sitio seguro y distante del lugar de procesamiento, se debe indicar el lugar, nombre y teléfono en el Plan de Contingencias.b) El responsable del área de Sistemas para la Seguridad de la Información deberá realizar un cronograma para la revisión de los equipos y de todos los dispositivos de almacenamientos que maneja el personal.c) El usuario será notificado 5 días hábiles de anterioridad a la revisión de los equipos o dispositivos que tenga a custodia.d) La información a revisar debe considerar:a. Documentación que se maneja en la Institución.b. Correo electrónico de la Institución.c. Programas instalados y / o modificados y/o eliminados de la computadora sin autorización. (Sea con o sin licencia)d. Copias de seguridad almacenadas.e. Historial y temporales de los navegadores.f. Historial de Acceso Remoto.g. Revisar si el sistema ha sido restaurado y/o formateado sin autorización.h. Si los archivos existentes contienen usuario y clave del equipo y del usuario; entre otros.

e) El personal que realice la revisión debe de documentar todo lo que realiza, revisó y encontró en el equipo, así como también los datos del usuario a quien le pertenece (o tiene la custodia del equipo).f) La gerencia de Sistemas tiene la obligación de hacer un informe final de las estadísticas de las anomalías encontradas en los equipos, así como hacer llegar a cada gerencia quienes son los usuarios que no cumplen con las políticas de seguridad de la Institución.

2.15.1.4. Sanciones de Incumplimiento:a) Si el usuario no permite realizar la revisión de los equipos a su custodia, se le realizará un llamado de atención mediante un memorándum para luego realizar la reprogramación de la revisión. (Debido a que se le ha sido notificado con anticipación).b) Si el usuario reitera con su actitud este puede tener una sanción mayor según el Decanato general lo decida, llegando a la sanción mayor que sería el término de la relación laboral.c) Si el encargado de realizar la revisión no notificara con tiempo a los usuarios también recibirá un memorándum como llamado de atención.d) Si se reitera con la acción de no notificar a los usuarios este personal sería removido de sus responsabilidades, y se le reubicaría en un área diferente, tomando en cuenta que si no cumpliera con las nuevas responsabilidades obligaría a que ULEAM CHONE termine con la relación laboral con dicho personal.

2.16. POLÍTICAS PARA LA GESTIÓN DE COMUNICACIONES Y OPERACIONESMediante este documento definiremos políticas y planes de tecnologías de la información que deben ser implementados en esta empresa.

2.16.1.MANUAL DE PROCEDIMIENTO PARA COPIAS DE RESPALDO

2.16.1.1. DEFINICIÓNDefinir el procedimiento operativo para realizar los backups de la base de datos de los aplicativos y programas fuentes.

2.16.1.2. ALCANCE Áreas de Operaciones, Sistemas y Métodos, Jefatura de Sistemas, Administrador de Base de Datos.

2.16.1.3. PROCEDIMIENTO PARA BACKUP DE BASE DE DATOS DE APLICATIVOSa) El backup de base de datos se realiza a partir de las 4:00am, a través de un proceso automático diario que copia toda la BD a otro Directorio del disco duro del servidor.b) El Administrador de Base de Datos a las 8:40 a.m. verifica que el proceso de backup haya terminado correctamente y copia de forma manual el backup de base de datos a disco local del Administrador de Base de Datos y semanalmente a disco duro externo. c) Luego el Administrador de base de Datos envía diariamente una copia del backup de base de datos a la oficina de ULEAM Manta a través de nuestro FTP para su descargo y almacenamiento respectivo. d) Se mantienen 4 copias de la base de datos: servidor de base de datos, disco local del Administrador de Base de Datos, disco duro externo y servidor en Manta, lo que nos permite asegurar la información en pueda ser recuperada en caso de algún desastre en la centro principal de procesamiento e) El Administrador de Base de datos registra el backup en forma diaria, en el formato FOR036 - Formatos del SGSI Respaldos, que será archivado en el file “Acta de Backup y Restore”. f) Adicionalmente mediante el proceso automático diario se realiza un backup de la base de datos principal “ por horas”, que se almacenan en el mismo servidor a las siguientes horas : 10:00, 12:00, 13:00,14:00, 18:00, 19:00, 20:00 y 21:00 horas.g) La copia de la base de datos en el disco duro externo se almacena en la caja fuerte que se encuentra en el área de Sistemas. La infraestructura del área de Sistemas cuenta con dispositivos

contraincendios y aire acondicionado, lo que permite mantener en condiciones ambientales óptimas los backups de la base de datos.

2.16.1.4. PROCEDIMIENTO PARA BACKUP DE PROGRAMAS FUENTES

a. El backup de los programas fuentes se realiza a partir de las 10:00 pm, a través de un proceso automático semanal que copia todo el código fuente a un Directorio del disco duro de un equipo de backup de fuentes a cargo del DBA .b. El Administrador de Base de Datos al día siguiente las 9.00 am verifica que el proceso de backup haya terminado correctamente.c. El DBA copia de forma manual el backup de programas fuentes al disco externo.

2.16.2.MANUAL DE PROCEDIMIENTO PARA PRUEBAS DE COPIAS DE SEGURIDADMediante este documento definiremos políticas y planes de tecnologías de la información que deben ser implementados en esta empresa.

2.16.2.1. DEFINICIÓN Definir el procedimiento para realizar las pruebas de las copias de respaldo.

2.16.2.2. ALCANCEÁreas de Operaciones, Sistemas y Métodos, Administrador de Base de Datos.

2.16.2.3. PROCEDIMIENTO

a. El Administrador de Base de Datos selecciona el backup de base de datos a restaurar desde el medio externo (disco duro externo).b. El Administrador de Base de Datos crea una base de datos en el SQLServer local.

c. El Administrador de Base de Datos restaura el backup de base de datos en la base de datos creada localmente.d. El Administrador de Base de Datos direcciona el aplicativo del sistema de registro de matrículas y notas a la base de datos restaurada, en el cual se verifica la integridad de la información.e. El Administrador de Base de Datos realiza un cierre crediticio a una fecha de corte (Fin de Mes).f. Los siguientes indicadores nos indica que la data de nuestra base de datos restaurada esta íntegra:a. Realizar un cuadre de transacciones.b. Reportar indicadores de calidad de procesos desde nuestra base de datos restaurada y compararlo con un reporte de indicadores de calidad de cartera de la base de datos en producción.c. Reportar Balance General de procesos suscitados diariamente como registro de asistencia de estudiantes desde nuestra base de datos restaurada y compararlo con un reporte de Balance General de la base de datos en producción.g. Se registra en la bitácora de restauración de backup la prueba realizada.

h. Este procedimiento se realiza con frecuencia mensual.

2.17. POLITICAS PARA CONTROL DE ACCESOSMediante este documento definiremos políticas y planes de tecnologías de la información que deben ser implementados en esta empresa.

2.17.1.POLÍTICAS DE REVISIÓN DE LOS DERECHOS DE ACCESO DE LOS USUARIOS

2.17.1.1. Objetivosa. Asegurar el acceso autorizado de cada usuario y prevenir accesos no autorizados a los sistemas de información.b. La gerencia debería establecer un proceso formal de revisión periódica de los derechos de

acceso de los usuarios.

2.17.1.2. Alcancea. Áreas de Sistemas, Administrador de Base de Datos, y Jefatura de Recursos Humanos.

2.17.1.3. PolíticasLa revisión de los derechos de acceso de usuario debería considerar las siguientes pautas:

a. Revisar los derechos de acceso de los usuarios a intervalos de tiempo regulares (se recomienda cada seis meses) y después de cualquier cambio como promoción, degradación o termino del empleo. b. Los derechos de acceso de los usuarios deben ser revisados y reasignados cuando se traslade desde un empleo a otro dentro de la misma organización.

Modelos de formularios recomendados de ejemplos a implementar en la ULEAM CHONE.FORMULARIO 1:

REVISIÓN DE DERECHOS DE ACCESO DE USUARIOS Y REASIGNACIÓN DE DERECHOS DE ACCESOÁrea o departamento encargado de la revisión de los derechos de acceso de los usuarios:Responsable del área:

Revisión de derechos de accesoIndicar en motivo por el cual se está llevando a cabo una revisión :

Cambio de promoción Degradación de un empleado / docente / estudiante Ascensión de un empleado / docente / estudiante Retiro de la organización de un empleado / docente / estudian-

te Está Programado la revisión Otros

Documento de registro de los derechos accesos: (nombre, tipo y numero)Documento de reporte de los accesos y observaciones halladas (nombre, tipo y numero )Responsable de emitir los reportes después de la revisión (nombres apellidos y área de trabajo)

Reasignación de derechos de accesoNombre y apellidos:Cargo actual que ocupa:Documento de reasignación de derechos de accesoResponsable de autorizar reasignación de derechos. (nombre, apellidos área de trabajo)Motivo de reasignación de derechos de acceso

Cambio de promoción Degradación Ascensión Retiro de la organización Otros

Documento de aprobación de reasignación de derecho de accesos

c. Revisar más frecuentemente (se recomienda cada tres meses) las autorizaciones de derechos de acceso con privilegios especiales.


Área o departamento encargado de la revisión de los derechos de acceso de los usuarios:

Responsable del área:

Revisión de derechos de acceso con privilegios

Frecuencia con la cual revisan los derechos de acceso con privilegios:

Diaria Semanal Mensual Periódicamente ¿cuándo? ________________ Nunca

Documento de registro de los derechos accesos con privilegios: (nombre, tipo y numero)

Documento de reporte de los accesos y observaciones halladas (nombre, tipo y numero )

Responsable de emitir los reportes después de la revisión (nombres apellidos y área de trabajo)

d. Comprobar las asignaciones de privilegios a intervalos de tiempo regulares para asegurar que no se han obtenido privilegios no autorizados.


Nombre y Apellidos:

Cargo que ocupaba:

Cargo que ocupa actualmente:

Responsable de reasignar los derechos de acceso con privilegios (nombres, apellidos y área de trabajo)

Documento de reasignación de privilegios de derechos de acceso

Fecha de ultima asignación de privilegios

Fecha de la reasignación de privilegios

Fecha de caducidad de los privilegios

e. Los cambios en las cuentas privilegiadas deben ser registradas para una revisión periódica.


Responsable de la revisión de cuentas privilegiadas:

Documento de registro de los cambios en las cuentas privilegiadas: (nombre, tipo y numero)

Frecuencia con la que se realiza la revisión de las cuentas privilegiadas:

Diaria Semanal Mensual Periódicamente ¿cuándo? ________________ Nunca

Documento de reporte de los cambios en las cuentas con privilegios y observaciones halladas (nombre, tipo y numero )

2.17.1.4. Otra InformaciónEs necesario revisar regularmente los derechos de los accesos de los usuarios para mantener un control efectivo del acceso a los datos y los sistemas de información.

2.17.2. POLÍTICAS DE PANTALLA Y ESCRITORIO LIMPIO

2.17.2.1. ObjetivosContar con una Política de Responsabilidad de Escritorio Limpio compartida para mantener y proteger la Seguridad de la información (se en documentos, dispositivos de almacenamiento internos o externos, entre otros) con el fin de reducir los riesgos de acceso no autorizado, pérdida y daño de la información, tanto durante la jornada laboral, en horas de almuerzo, y/o terminando la jornada laboral (entre otras actividades fuera de la estación de trabajo del empleado / docente / estudiante).

2.17.2.2. Alcancea. En primer lugar se hace saber que esta Política llega a Todo el Personal de la ULEAM CHONE , por lo tanto se debe hacer conocer.b. En segundo lugar, saber que llega para los largos períodos de tiempo fuera del escritorio (o estación de trabajo), conocido como un descanso para almorzar, se espera que los documentos sensibles del trabajo sean colocados en cajones cerrados con llave.c. Y en tercer lugar, para el final de la jornada de trabajo se espera que el empleado / docente / estudiante ponga en orden su escritorio y guarde todos los papeles de oficina.

2.17.2.3. Ubicación De Escritorios Y Equiposa. Los Lugares de trabajo de los colaboradores de la institución deben localizarse se preferentemente en ubicaciones que no queden expuestas al acceso de personas externas. De

esta forma se protege tanto el equipamiento tecnológico como los documentos que pudiera estar utilizando el trabajador.b. Los equipos que queden ubicados cerca de zonas de atención o tránsito de público, deben situarse de forma que las pantallas no puedan ser visualizadas por personas externas.

2.17.2.4. POLÍTICAS PARA ESCRITORIO LIMPIO2.17.2.4.1. Datos de Propiedad

VIOLACIONES (Ej.) RIESGOS POLÍTICA SUGERIDA

Agenda y calendario organizador dejados en el escritorio.

Información personal y profesional (incluyendo números de teléfono, contraseñas, o notas de horarios de reuniones, lugares y asuntos) es vulnerable.

Guardar agendas, organi-zadores y notebooks en un ca-jón bajo llave, o quitarlos del escritorio durante períodos de tiempo extendidos, incluyendo la noche.

2.17.2.4.2. Datos Personales


Efectos personales incluyendo resúmenes de cuentas bancarias, chequera y correo dejados en el escritorio.

Los resúmenes de cuentas bancarias incluyen números de cuentas y otros identificadores personales; el correo incluye direcciones y puede revelar información confidencial.

Cerrar maletines y gabi-netes cuando se aleja del es-critorio por periodos extendi-dos de tiempo.

Maletín abierto dejado cerca del escritorio.

Las chequeras contienen un historial de transacciones bancarias. Un maletín abierto puede sufrir el robo de elementos.

Mantener todos los efec-tos personales en un maletín o gabinete cerrado dedicado a los mismos.

2.17.2.4.3. Elementos de Acceso


Llaves, teléfono celular, PDA y tarjeta de acceso a las instalaciones dejadas en el escritorio.

Los celulares pueden robarse o puede resultar comprometido el historial de sus llamadas. Las llaves robadas dan a los intrusos acceso a áreas restringidas de la oficina.

Llevar consigo los disposi-tivos, y bloquear con clave los teléfonos y PDAs.

Las PDAs contienen datos personales y profesionales sensibles. Las tarjetas de control de acceso robadas pueden utilizarse para lograr un continuo acceso al edificio.

Nunca se debe dejar las tarjetas de control de acceso ni llaves; siempre llevarlas consi-go.

Notificar inmediatamente al personal de seguridad si se pierden tarjetas de control de acceso o llaves.

2.17.2.4.4. Herramientas de Tecnologías de la Información


Si se han dejado aplicaciones abiertas en la computadora, un CD en la lectora, contraseñas en notas autoadhesivas pegadas al monitor, trabajos de impresión en la impresora.

El acceso a correo corporativo o personal, o contraseñas, puede permitir acceso e intrusión a futuro.

Cerrar aplicaciones y bloquear la pantalla cuan-do se aleje de su escrito-rio. No dejar medios por-tátiles como CDs y pen drives conectados.

Un CD dejado en la lectora y documentos impresos en la impresora pueden ser robados.

Apagar la computa-dora al alejarse por perío-dos prolongados de tiem-po. Nunca escribir las contraseñas en notas au-toadhesivas ni tratar de esconderlas en la oficina.

Archivos en memoria e impresoras pueden dar acceso a datos sensibles.

Quitar impresiones antes de dejar el lugar. Triturar impresiones con datos sensibles una vez utilizados.

Borrar archivos de memorias caché e impre-soras.

2.17.2.4.5. Configuración Espacial


La posición del escritorio lo expone a la vista desde la ventana y el pasillo.

La exposición a la ventana permite espiar desde el exterior.

Los escritorios deben posi-cionarse de forma que el mate-rial sensible no sea visible des-de ventanas o pasillos.

El pizarrón con información sensible es visible desde la ventana y el pasillo.

La exposición al pasillo puede permitir accesos no autorizados si datos, como contraseñas, se escriben en el pizarrón.

Cerrar persianas. Utilizar un filtro en la panta-lla del monitor para minimizar el ángulo de visión.

Borrar pizarrones; si se ne-cesita guardar datos, utilizar medios electrónicos.

2.17.2.4.6. Fuera del Escritorio


Cajón del gabinete Las carpetas pueden ser No usar estanterías para

abierto y llaves en la cerradura. La papelera contiene hojas sueltas.

fácilmente robadas. Las llaves permiten lograr un acceso continuo y la posibilidad de retornar archivos, lo que dificulta la detección del robo de información.

guardar carpetas con informa-ción sensible. Etiquetar estas carpetas con nombres clave y cerrar con llave.

La biblioteca contiene carpetas con información sensible.

Correos u otros papeles con información sensible en la papelera pueden ser robados en horarios nocturnos o encontrados en contenedores externos. Las carpetas en la biblioteca, claramente marcadas como sensibles, son también victimas de "préstamos" dificultando la detección del robo de información.

Ordenar carpetas en gabinetes para que las menos sensibles que-den al frente y las más sensibles detrás.

Mantener los gabinetes de archivos cerrados con llave. No dejar las laves en sus cerradu-ras.

Triturar el papel antes de arrojarlo. Participar en un programa a nivel corporativo de triturado de papel.

Cerrar con llave la ofici-na al alejarse por perío-dos prolongados de tiempo.

2.17.2.5. Otras acciones para cumplir con el escritorio limpio

1) Asignar el tiempo en su calendario para eliminar el papeleo.2) Siempre limpie su área de trabajo antes de salir durante periodos más largos de tiempo.3) En caso de duda - tírelo a la basura. Si no está seguro si una pieza de duplicado de la documentación confidencial debe mantenerse - probablemente será mejor colocarlo en la bandeja de la trituradora.4) Considere la posibilidad de leer artículos de papel y su presentación por vía electrónica en su estación de trabajo.5) Utilizar los contenedores de reciclaje para los documentos sensibles cuando ya no son necesarios.6) Cierre con llave su escritorio y archivadores en la final de la jornada.7) Guarde bajo llave los dispositivos informáticos portátiles, como ordenadores portátiles o dispositivos PDA.8) Tratar a los dispositivos de almacenamiento masivo como CD-ROM, DVD o unidades USB como sensibles y fijarlos en un cajón cerrado con llave. (Establecido Anteriormente).9) Reportar inmediatamente cualquier anomalía o riesgo que vulnere la integridad y Seguridad de y de sus Colaboradores.

2.17.2.6. Políticas para Pantalla Limpia

1) El servidor de dominio deberá bloquear cualquier estación de trabajo con un protector de pantalla, que tenga un tiempo de inactividad mayor a un minuto.2) Las estaciones de trabajo y equipos portátiles deben tener aplicado el estándar relativo a protector de pantalla, de forma que se active ante un tiempo sin uso, el protector definido por la

ULEAM CHONE .3) La práctica de guardar las contraseñas en papel adherido al monitor o áreas cercanas al equipo de trabajo, es una falta grave y sancionable.4) El gestor de seguridad debe desactivar cualquier característica de los sistemas o aplicaciones que les permita a los usuarios, almacenar localmente sus contraseñas.5) La pantalla de autenticación a la red de la institución debe requerir solamente la identificación de la cuenta y una clave, no se debe entregar otra información si lo solicita.6) Toda vez que el colaborador se ausente de su lugar de trabajo debe bloquear su estación de trabajo de forma que se protegerá el acceso a las aplicaciones y servicios de la institución.

2.17.2.7. Responsabilidades del Personal de Seguridad

1) Realizar recorridos por las instalaciones para detectar cualquier anomalía que ponga en riesgo la Integridad y Seguridad de y de sus Colaboradores.2) Asegurar cualquier objeto, valor o pertenencia personal olvidada y dar trámite para que sea devuelto a su propietario.

2.17.2.8. Ejecución

Cualquier empleado / docente / estudiante que haya violado esta política puede ser sujeto a medidas disciplinarias, y hasta incluyendo la terminación del empleo.

2.17.2.9. Recomendaciones Generales

a) Es importante estar conscientes que nuestra estación de trabajo es vulnerable ante personas ajenas a ella, esto ocurre con mayor frecuencia cuando la persona se retira del lugar de trabajo, ya que muchas personas pudieran tener acceso a información privilegiada o a objetos o pertenencias de valor que dejemos olvidadas o que no estén aseguradas.b) Frecuentemente las oficinas son visitadas por proveedores, clientes, personal externo y compañeros de trabajo, por eso es necesario llevar a cabo medidas preventivas.c) Es una excelente práctica y medida de Seguridad mantener la estación de trabajo con el mayor orden y limpieza posibles, ya que si esta desordenada lo más probable es que no se dé cuenta cuando algo le falte.d) Cuando se retire de su lugar de trabajo momentánea o definitivamente, invariablemente asegúrese que su PC quede bloqueada para no permitir la entrada de personal no autorizado. (para bloquear su PC, sólo presione CTRL+ALT+SUPR y para desbloquear coloque su contraseña).e) Solicite a Sistemas le instale un Password de arranque para evitar que alguna persona ajena ingrese a su equipo indebidamente.f) Cuando se retire de su lugar de trabajo momentánea o definitivamente no deje información importante o confidencial a la mano, así como tampoco objetos de valor a la vista, ya que con esta acción estamos dejando vulnerable nuestro espacio de trabajo.g) Si usted está en una Oficina privada, siempre manténgala cerrada cuando se retire momentánea, temporal o definitivamente de ella.h) Cuando termine su horario de trabajo tómese unos minutos para:a. Juntar y asegurar material importante, así como pertenencias personales.b. Cerrar bajo llave cajoneras, gavetas y oficinas.c. Asegurar equipo costoso como Laptops, memorias, palms, etc.d. Asegurar las llaves con las que cerró.i) Para evitar accidentes en su estación de trabajo, deberá llevar a cabo las siguientes medidas:a. No mantenga abiertas o semiabiertas cajoneras o gavetas, ya que pudiera golpearse con ellas.b. Al cerrar un cajón, tomarlo por la manija y no por la parte superior, ya que sus dedos pudieran

quedar atrapados.c. Mantenga el orden y limpieza de su lugar de trabajo, así evitará tropezones, golpes y riesgos de incendio.d. No recargue los circuitos eléctricos, conectando varios equipos en el mismo contacto, ya que pudiera haber riesgo de sobrecalentamiento de cables o corto circuito; solicite apoyo de Seguridad Interna y Mantenimiento.e. Si mantiene el orden en su lugar de trabajo, podrá darse cuenta cuando algo le falte o si algo inesperado aparece en su lugar (recuerde que una estación de trabajo refleja la personalidad de quién la ocupa).

Con las anteriores medidas preventivas, se reducirá en gran medida cualquier problema de pérdida de valores, información y frecuencia de accidentes.

2.17.2.10. Recomendaciones en Caso de Ocurrir un Problema con las Estaciones de Trabajo

1) Si después de haber llevado a cabo las medidas preventivas descritas en esta Política sucede un problema con su estación de trabajo, procederá de la siguiente manera.2) De aviso inmediato a Seguridad de lo sucedido.3) Recuerde que las pertenencias personales son responsabilidad del propietario y le apoyará en el análisis de responsabilidades correspondiente, aunque no es corresponsable de artículos personales.4) Si Seguridad recupera algún objeto o valor olvidado, lo asegurará y dará seguimiento para entregarlo a su propietario.5) En caso de un riesgo o Accidente repórtelo de inmediato a Seguridad y al Servicio Médico Recuerde que todos somos responsables de la Seguridad y en la medida en que colaboremos, nuestras instalaciones serán más seguras y agradables.

2.17.3. POLÍTICAS PARA PROTECCIÓN DE LOS PUERTOS DE DIAGNOSTICO REMOTO

2.17.3.1. Objetivosa. Controlar la accesibilidad y / o ingreso por parte del personal de soporte de hardware y software.2.17.3.2. Políticasa. El encargo de seguridad dentro del área del Directorio de sistemas debe realizar un mecanismo de seguridad apropiado y un procedimiento que garantice que sólo son accesibles mediante un acuerdo formal y documentado que justifique el ingreso por parte del personal de soporte de hardware y software.b. Se deben implementar controles mediante equipos o software de red que filtren el tráfico por medio de reglas o tablas previamente definidas.c. Las restricciones aplicadas deben basarse en la política y los requerimientos de acceso de las aplicaciones del Ente supervisado y deben mantenerse y actualizarse.d. Se debe recordar que para la protección de los puertos en acceso remoto el usuario siempre debe tener que autenticarse, para ello debe usar su usuario y clave el cual no debe ser revelado a otros usuarios.e. Se debe considerar restricciones para:a. Correo electrónico.b. Transferencia unidireccional de archivos.c. Transferencia de archivos en ambas direcciones.d. Acceso interactivo.e. Acceso de red vinculado a hora o fecha.

2.17.4. POLÍTICAS PARA CONTROL DE ACCESO A REDES COMPARTIDAS

2.17.4.1. Objetivosa. Control la transferencia y compartimiento de los archivos dentro de las redes que maneje ULEAM CHONE .

2.17.4.2. Políticasa. Es responsabilidad del área de sistemas determinar lo siguiente:

a. Elementos de la red que pueden ser accedidos.b. El procedimiento de autorización para la obtención de acceso.c. Controles para la protección de la red.

b. Los usuarios que deseen entrar a otros equipos deben realizar una petición la cual debe ser aprobada por el gerente del área adjunto al gerente de sistemas.

c. Los usuarios deben estar identificados de manera única, y el acceso del usuario así como su actividad en los sistemas debe de ser controlado, monitoreado y revisado.

d. Todos los consultores, contratistas, proveedores y personal temporal deben tener los derechos de acceso cuidadosamente controlados. El acceso solo debe ser válido hasta el final del trimestre o incluso antes, dependiendo de la terminación del contrato.

e. Todas las conexiones realizadas entre la red interna de la ULEAM CHONE e Internet. deben ser controladas por un firewall para prevenir accesos no autorizados.

f. El esquema de direccionamiento interno de la red no debe ser visible dese redes o equipos externos.

2.17.5. POLÍTICAS PARA INFORMÁTICA MÓVIL Y TELETRABAJOLa protección requerida debería ser proporcional a los riesgos que causan estas formas específicas de trabajo.

a. Se debería considerar los riesgos al trabajar en un entorno desprotegido cuando se usa informática móvil y aplicar la protección adecuada.

b. En el caso de teletrabajo la organización debería implantar protección en el lugar del teletrabajo y asegurar que existan los acuerdos adecuados para este tipo de trabajo.

2.17.5.1. Objetivosa. Garantizar la seguridad de la información cuando se usan dispositivos de informática

móvil y teletrabajo.

2.17.5.2. Alcancea. Ésta Política llega a Todo el Personal de la ULEAM CHONE , por lo tanto se hace

conocer.

2.17.5.3. Políticas de Informática Móvil y Comunicacionesa. Se debería tener un especial cuidado para asegurar que la información de negocio no

se comprometa cuando se usan dispositivos de informática móvil como portátiles, agendas, calculadoras y teléfonos móviles.

b. Se debería formalizar una política que tenga en cuenta los riesgos de trabajar con

dispositivos de informática móvil, especialmente en entornos desprotegidos.c. Cuando estos dispositivos se usen en lugares públicos, es importante tener cuidado

para evitar el riesgo de que se enteren personas no autorizadas.

2.17.5.4. Políticas de Teletrabajo1) Las organizaciones sólo deberían autorizar las actividades de teletrabajo si se han

satisfecho las disposiciones y controles de seguridad apropiados y se cumple la política de seguridad de la organización.

2) Se debe proteger debidamente el lugar de teletrabajo por ejemplo, el robo del equipo o información. La distribución no autorizada de información, el acceso remoto no autorizado a los sistemas internos de la organización o el mal uso de los dispositivos.

3) Se debe considerar lo siguiente:a. La seguridad física real del lugar de teletrabajo, teniendo en cuenta la del

edificio y la de su entorno local.b. El entorno de teletrabajo propuesto.c. los requisitos de seguridad de las comunicaciones, teniendo en cuenta la

necesidad de acceso remoto a los sistemas internos de la organización, la criticidad de la información a acceder y el paso por alto del enlace de comunicación y de la criticidad del sistema interno, la amenaza de acceso no autorizado a información y recursos por otras personas próximas, por ejemplo, la familia o amigos.

2.17.5.5. Políticas de Acceso RemotoMedidas de seguridad adicionales deben ser implementadas para proteger la información almacenada en dispositivos móviles. Entre las medidas a tomarse se deben incluir:

a. Encriptación de los datosb. Contraseñas de encendidoc. Concientización de usuariosd. Protección de la data transmitida hacia y desde dispositivos móviles. Ej. VPN, SSL o

PGP.e. Medidas de autenticación adicionales para obtener acceso a la red de datos.

2.18. POLITICAS PARA LA ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIÓN

2.18.1. Objetivosa. Complementar las políticas ya establecidas por la ULEAM CHONE para la

adquisición, mantenimiento y desarrollo de SI, para así tener un mejor manejo de los Sistemas de Información.

2.18.2. Alcancea. Áreas de Sistemas y Decanato.

2.18.3. Políticas

2.18.3.1. POLÍTICAS PARA LA SEGURIDAD DE LOS SISTEMASEl diseño de la infraestructura de la ULEAM CHONE , las aplicaciones de negocio y las aplicaciones del usuario final deben soportar los requerimientos generales de seguridad documentados en la política de seguridad de la ULEAM CHONE . Estos requerimientos deben ser incorporados en cada paso del ciclo de desarrollo de los sistemas, incluyendo todas las fases de diseño, desarrollo, mantenimiento y producción.

Los requerimientos de seguridad y control deben estar:

Determinados durante cualquier diseño de sistemas. Desarrollados dentro de la arquitectura del sistema. Implementados en la instalación final del sistema.

Adicionalmente, todos los procesos de desarrollo y soporte a estos sistemas deben seguir los requerimientos de seguridad incluidos en esta política de seguridad.

2.18.3.1.1. Control de cambiosEl área responsable de la administración de cambios debe retener todos los formularios de solicitud de cambio, planes de cambio de programa y resultados de pruebas de acuerdo con los estándares de retención de registros del ULEAM CHONE . El Jefe de sistemas y de las áreas comprometidas es responsable de retener una copia de la documentación de solicitud de cambio pertinente a su respectiva área.

Los procedimientos de prueba deben estar documentados en los formularios de solicitud de cambio. Si se notara problemas durante el proceso de prueba, el proveedor debe documentar el problema, realizar las modificaciones apropiadas en el ambiente de desarrollo y entregarlo para que se vuelva a probar.

2.18.3.1.1.1. Recepción de Requerimientos:a. Toda solicitud de modificación a las aplicaciones o sistemas existentes, así como

nuevos desarrollos debe presentarse a través de la Solicitud de Cambios o nuevos requerimientos de sistemas.

b. Las solicitudes de cambios o nuevos requerimientos de sistemas deben ser formalmente firmados por el Gerente del Área solicitante y contar con la aprobación de la Consejo Institucional, Decanato, Consejo Estudiantil Adjunta de la Jefatura de Sistemas, antes de realizar el análisis o cualquier diseño inicial.

c. Los nuevos proyectos o modificaciones autorizados deben adherirse a un procedimiento formal de iniciación del proyecto, cuando el impacto de los mismos lo amerite, ya sea por su importancia en la organización como lo es un sistema de misión crítica o bien, por el tiempo de desarrollo e implantación estimados (mayor a 6 meses).

2.18.3.1.1.2. Aprobación de nuevos proyectos o requerimientos de modificaciones a los sistemas ya existentes.

a. La Gerencia de Sistemas debe estudiar la justificación y evaluar la factibilidad para llevar la modificación del sistema o nuevo proyecto.

b. Las áreas de la organización facultadas para la aprobación formal de la realización y prioridad de los nuevos desarrollos o modificaciones son: Áreas de Consejo Directivo, Académica, Decanato adjunta de la Jefatura de Sistemas.

2.18.3.1.2. Análisis y especificación de los requerimientos de seguridadPara todos los sistemas desarrollados por o para la ULEAM CHONE , se debe determinar los requerimientos de seguridad y control antes de comenzar la fase de desarrollo de la aplicación. Durante la fase de diseño del sistema, los propietarios de la información y el área de sistemas deben determinar un control adecuado para el ambiente de la aplicación. Estos requerimientos deben incluir, pero no están limitadas a:

a. Control de accesob. Autorizaciónc. Criticidad del sistemad. Clasificación de la informacióne. Niveles de disponibilidad requeridosf. Confidencialidad e integridad de la información

2.18.3.1.2.1. Análisis de Requerimientos

1) Para todo requerimiento autorizado debe desarrollarse un análisis de requerimientos cuyo fin debe ser establecer las especificaciones formales que describan las necesidades de información que deben ser cubiertas por el nuevo sistema.

2) En la definición de los requerimientos deben participar los usuarios de todas las unidades a las que afecte el nuevo sistema o las modificaciones solicitadas.

3) Debe existir un antecedente (minuta de trabajo, correo electrónico, entre otros documentos) para cada una de las sesiones con los usuarios del proyecto y con los responsables de las unidades afectadas que permita conocer cómo valoran el sistema actual (en caso de que exista) y lo que esperan del nuevo sistema.

a. El plan revisado debe incluir para cada entrevista, la fecha, hora y lugar, tipo de entrevista (individual, en grupo, por escrito, etc.) y un guión de los aspectos relevantes que en dicha entrevista se tratarán. (Funciones que el entrevistado realiza y los problemas que necesita resolver).

b. Una vez presentados los requisitos del nuevo sistema o la modificación solicitada, se deben definir las diferentes alternativas de construcción con sus ventajas e inconvenientes.

c. Para la selección de la alternativa se debe contar con un documento en el que se describen las distintas alternativas.

2.18.4. POLÍTICAS PARA LA INSTALACIÓN DE SOFTWARE

2.18.4.1. Para Instalación de Sistemas Desarrolladosa. La Jefatura de Sistemas y los Jefes de Proyectos, deben cumplir con las políticas de

instalación del sistema o modificación a liberar en el ambiente de producción.b. Las políticas de Instalación debe ser consideradas desde las primeras etapas

(análisis), con el fin de considerar todos los factores que influirán luego para la implantación del sistema. Esto evitará que surjan situaciones no previstas que afecten las fechas y calidad de la implantación. La anticipación al considerar la instalación desde la primera etapa, ayudará a identificar necesidades de capacitación, depuración de información, conversión de datos, logística, etc.

c. Sólo se instalará software si se cuenta con licencia vigente ya sea por parte de ULEAM CHONE o por algún tercero. (Salvo el sistema haya sido desarrollado con Software libre.)

d. En el caso que el sistema sea desarrollado por un tercero, y el usuario tiene licencia de las herramientas a usar, deberá facilitar una copia del documento que avale al Tercero el cumplimiento del objetivo. Si el tercero es quien dará hasta la licencia del software éste deberá entregar una documentación dando las especificaciones completas del software.

e. Sea el personal de ULEAM CHONE o un Tercero que incurra en la instalación de algún software sin licencia, será el único responsable de las consecuencias.

f. Para realizar la instalación de los sistemas nuevos o modificaciones (además de la migración de la BD), se debe realizar en horas y días no laborales, y cuando los servidores no estén trabajando. Así se evitará alguna pérdida de información, interrupción de horario de trabajo de la Institución, o algún colapso de la Bd o de los sistemas.

g. El Jefe de Proyecto debe estar supervisando cuando se hagan las actividades de migración e instalación de los sistemas y Base de datos. Además todo evento adicional que ocurra debe ser también documento y firmado por todos aquellos que intervienen en dicha actividad.

2.18.4.2. Para Instalación de Cualquier Softwarea. Todo el software que se encuentra preinstalado en los equipos que se suministran en

la Institución, está licenciado y registrado a nombre de la ULEAM CHONE . (Salvo sea Software Libre).

b. Los empleado / docente / estudiantes / docentes no pueden instalar software en los dispositivos informáticos operados dentro de la red.

c. Queda prohibido instalar cualquier software fuera de los fines de la ULEAM CHONE , se encuentre éste licenciado o no. En este sentido, hay que prestar especial atención a los programas "Peer to peer" (P2P) utilizados para el intercambio de ficheros, y a los accesos a los chats.

d. Se realizarán Peticiones de Software y éstas deben ser aprobadas por el Área solicitante, luego se envía por escrito o por correo electrónico dicha petición a la Jefatura de Sistemas para su aceptación e instalación.

OTRA INFORMACIÓN: El Software debe ser seleccionado de una lista de software autorizado, mantenida por

el Decanato de Sistemas, a menos que ninguna selección en la lista satisface la necesidad del solicitante.

La gerencia de Sistemas deberá realizar un seguimiento de las licencias. (Ej. Al probar un nuevo software para el conflicto y la compatibilidad, hasta realizar la instalación)

2.18.5. POLÍTICAS PARA LA PRUEBA DEL SOFTWARE

2.18.5.1. Selección de los Datos de Pruebaa. Siempre una muestra de datos se selecciona de una base de datos existente.b. Los datos de prueba pueden ser generados:

a. A manob. Por copia de los datos de producción al ambiente de pruebas.c. Por copia de los datos de prueba de los sistemas ya existentes.d. Herramienta Automatizada para la generación de datos de Prueba.

c. Los datos de prueba se deben generar antes de comenzar la ejecución de pruebas. Ya que al realizarlo mientras se está en la fase de ejecución de pruebas se puede exceder el plazo de Prueba.

d. Los datos de prueba puede ser seleccionados teniendo en cuenta las siguientes cosas:

a. Es deseable cubrir todas ramas como posible; los datos de prueba se pueden generar de tal manera que todas las sucursales en el código fuente del programa se pruebe al menos una vez.

b. Las rutas de pruebas; todos los caminos en el código fuente del programa se prueba al menos una vez. Los datos de prueba pueden estar diseñados para abarcar casos como número posible.

c. Pueden contener tipos válidos de los parámetros utilizados para llamar a métodos diferentes.

d. Datos sobre los exámenes pueden consistir una inválida combinación de argumentos que se utilizan para llamar a los métodos del programa.

e. El conjunto de los datos de prueba utilizados debes estar muy cerca con la realidad, es decir con los datos reales que se utiliza en la producción.

f. Se puede diseñar un conjunto de datos de pruebas que verifique que los datos cifrados (encriptados) estén correctamente.

g. Escoger diferentes combinaciones de nombres y contraseñas para comprobar que sólo las personas autorizadas puedan acceder al sistema de software. (Según su perfil también, si lo hubiese).

2.18.5.2. Desarrollo y prueba de aplicacionese. Los procedimientos de prueba deben estar adecuadamente documentados en los

formularios de solicitud de cambio.f. El jefe del proyecto debe efectuar una revisión independiente de los resultados de la

unidad de prueba. Como resultado, se debe evidenciar una aprobación formal por parte del jefe del proyecto en el formulario de solicitud de cambio.

g. Durante la prueba de integración, restricciones de acceso lógico deben asegurar que los desarrolladores no tengan accesos de actualización y que el código siendo

probado no sea modificado sin consentimiento del usuario. Copias de los datos de producción o conjuntos prediseñados de datos de prueba deben ser usados para propósitos de prueba.

h. Todas las modificaciones significativas, mejoras grandes y sistemas nuevos deben ser probados por los usuarios del sistema antes de la instalación del software en el ambiente de producción. El plan de aceptación del usuario debe incluir pruebas de todas las funciones principales, procesos y sistemas de interfaces. Los procedimientos de prueba deben ser adecuadamente documentados en los formularios de solicitud de cambio.

i. Durante las pruebas de aceptación, restricciones lógicas de acceso deben asegurar que los desarrolladores no tengan acceso de actualización y que el código fuente siendo probado no pueda ser modificado sin consentimiento escrito por el usuario. Si se notara problemas, el usuario debe documentar el problema, el desarrollador debe realizar las modificaciones apropiadas en el ambiente de desarrollo y lo entregará para volver a probarlo.

2.18.6. POLÍTICAS PARA EL ACCESO AL CÓDIGO FUENTESegún acuerdo entre las partes interesadas, las políticas se aplicarán de la siguiente manera:

a. Una sola copia electrónica del código fuente o código ejecutable se pondrán a disposición para su inspección en un ordenador independiente (más seguro se puede disponer el código en un servidor).

b. El equipo independiente debe ser protegido por contraseña y suministrado por el proveedor de código fuente hasta que termine su contrato; si fuera el caso que el código lo haya proporcionado un tercero. Si fuera creado por personal de la misma Institución, deberían tener un encargado de dicho equipo.

c. El acceso al equipo independiente, estará autorizado, después de notificación al gerente de Sistemas.

d. Ningún integrante del proveedor debe tener un mayor acceso a la computadora durante el periodo de desarrollo e implantación. Su acceso debe terminar junto con la fecha de término de su contrato.

e. El código fuente no puede ser impreso o copiado sin el acuerdo de la parte que produce o nueva orden de la Jefatura.

f. Se debe tener un manifiesto del contenido del equipo independiente. Este manifiesto, que se suministra debe estar tanto impreso como en formato electrónico; se debe indicar el nombre, la ubicación y toda la información de los archivos (scripts de creación, compiladores, ensambladores, y otras utilidades necesarias) que se tengan custodiados en el equipo.

g. El equipo independiente debe tener herramientas de software que permitirá ver, buscar y analizar el código fuente.

h. Si el Administrador de los Servidores determina que existen archivos faltantes, el proveedor (sea de la Institución o externo) del código fuente debe proporcionar de nuevo todos los scripts de creación, compiladores, ensambladores, y otras utilidades necesarias para reconstruir la aplicación del código fuente, junto con instrucciones para su uso.

2.18.7. POLÍTICAS PARA CONTROL DE FUGAS DE INFORMACIÓNEl avance tecnológico de las comunicaciones y la voracidad por conocer cada vez más hacen que las Institución deban tomar mayores procesos para proteger uno de sus principales activos: la confidencialidad de la información.

a. Se debe exigir una clave (password) para acceder a los documentos que contienen la información confidencial.

b. Se obligar al cambio periódico de las claves.c. Fragmentar la información de acuerdo a las necesidades de producción de cada área.

(Ej. Que ninguno de los empleado / docente / estudiantes / docentes tenga acceso al

código fuente, sólo del área de desarrollo del Decanato de sistemas)d. Inclusión de leyendas que dispongan que la información contenida en un documento

es confidencial.e. Restricciones en cuanto al uso de Internet durante la jornada laboral.f. Remover los discos de las PCs y sus archivos en lugares cerrados.g. Celebrar acuerdos de confidencialidad.

2.18.8. POLÍTICAS PARA MONITOREAR EL DESARROLLO DE SOFTWARE POR TERCEROS

h. El monitoreo del proceso de desarrollo del producto es un componente central del proceso de gestión de proyectos para verificar los avances que se está obteniendo de acuerdo a los entregables realizados por el proveedor del software.

i. La Jefatura de Sistemas y el proveedor tendrán una reunión formal semanal, la cual debe quedar documentada.

j. El proveedor del software debe realizar entregables semanales con los siguientes datos:

a. Progresos realizados, b. Cuestiones que hay que abordar.c. Los riesgos que se están manejando.d. Problemas del durante el proceso.e. Responsables por cada actividad que comprometa el desarrollo del sistema.

k. En caso que el proveedor se conecte remotamente a algún servidor (con accesos restringidos), éste servidor debe guardar registros de todos los accesos remotos que se realicen en él, luego se debe sacar un impreso semanal de todos los accesos realizados por el proveedor.

l. La Jefatura de Sistemas debe encargar a alguien de su área para realizar la verificación de los avances realizados de por el proveedor del software, así se realiza la confirmación de los datos receptados en los entregables del proveedor.

m. La Jefatura de Sistemas debe supervisar el trabajo realizado, certificándolo antes del pago.

2.18.9. SANCIONES POR INCUMPLIMIENTOa. Sanciones de las Autoridades.Económicas y administrativas que emitan la alta directiva de ULEAM CHONE , al no cumplir con los requerimientos de desarrollo exigidos para proporcionar un determinado servicio o un producto nuevo.

b. Falta de cooperación por parte de los usuarios.Cuando se solicita la cooperación por parte de áreas usuarias y no haya respuesta, se acude al jefe inmediato y hasta llegar al Jefe de Área.

c. Falta de atención de las Solicitudes de Cambios o Nuevos Requerimientos de Sistemas.

Si en la etapa de análisis se identifica que no se cubre con las expectativas que marca la Solicitud de Cambios o Nuevos Requerimientos de Sistemas o se muestra renuencia injustificada para la realización del proyecto por parte del analista, se debe recurrir a jefe inmediato de este o en su caso al Jefe de Sistemas.

d. Para el personal de la Institución:El personal que incurra en incumplimiento o mal ejercicio de sus funciones y responsabilidades, estará sujeto a lo estipulado dentro del Reglamento Interno de Trabajo y la Publicación del Código de Conducta.

2.19. POLÍTICAS PARA LA GESTIÓN DE INCIDENTES DE LOS SISTEMAS DE INFORMACIÓN

Reportando Eventos y Debilidades de la Seguridad de Informacióna. Los eventos en la seguridad de información son reportados lo más rápido posible a

través de una gestión de canales apropiados.

2.19.1. IntroducciónEl propósito de esta política es establecer una cultura de registro de eventos que acontecen dentro de “Universidad Laica Eloy Alfaro De Manabí Extensión Chone”.Un esfuerzo eficaz del monitorio de los eventos, con la participación y el apoyo de todos los empleado / docente / estudiantes / docentes de Universidad Laica Eloy Alfaro De Manabí Extensión Chone en gran medida puede proteger la fiabilidad de las operaciones enfocados en nuestros clientes y proveedores.Y además es importante recordar que todo acontecimiento (evento), por más mínimo que sea, debe ser registrado.

2.19.2. Políticas

2.19.2.1. ObjetivosAl no contar con políticas se ha medido un estudio y realizado políticas, normas, procedimientos acorde a la necesidad de la ULEAM CHONE, con una Política de Gestión de Eventos de Seguridad para mantener y proteger la fiabilidad de la Seguridad de la Información (en toda área existente de “Universidad Laica Eloy Alfaro De Manabí Extensión Chone”

2.19.2.2. Alcancea. En primer lugar se hace saber que esta política llega a todo el personal de la ULEAM

CHONE , por lo tanto se debe hacer conocer.b. En segundo lugar, los eventos según la norma ITIL es considerado como un cambio

significativo, que pueden tener un consecuencia positiva, negativa o neutral por lo cual es necesario poder administrarlos

c. Finalmente los eventos debe estar clasificados y ser considerados dentro de los indicadores de gestión.

2.19.2.3. Políticas de Gestión de EventosLos procedimientos de reporte deben incluir:

a. Procesos de retroalimentación adecuados para asegurar que dichos eventos reportados de la seguridad de información sean notificados de los resultados después de que el tema haya sido repartido y cerrado.

b. Formularios de reporte de eventos en la seguridad de información, con el fin de apoyar la acción de reporte y para ayudar a la persona que reporta recordar todas las acciones necesarias en caso de un evento.

c. El comportamiento correcto a ser emprendido en caso de un evento en la seguridad de información, por ejemplo:

a. Notar todos los detalles importantes (tipos de no conformidad, mal funcionamiento, aberturas, mensajes en la pantalla, conducta extraña) inmediatamente;

b. No llevar a cabo ninguna acción por sí mismo, pero reportar inmediatamente al punto de contacto;

d. Referencias a un proceso formal disciplinario establecido para tratar con empelados, contratistas o terceros que cometan una abertura en la seguridad.

2.19.2.4. Gestión de las Mejoras e Incidentes en la Seguridad de Información2.19.2.4.1. 1er. Ítem:Las responsabilidades y procedimientos del Decanato son establecidos para asegurar una rápida, efectiva y ordenada respuesta a los incidentes en la seguridad de información.

2.19.2.4.1.1. IntroducciónEl propósito de esta política es establecer una cultura de una apropiada gestión a los incidentes que acontezcan dentro de “Universidad Laica Eloy Alfaro De Manabí Extensión Chone”Un esfuerzo eficaz de la gestión de los incidentes, conllevara a que no se conviertan en problemas lo que ocasionarían gastos en tiempo y costo.

2.19.2.4.1.2. Política2.19.2.4.1.2.1. ObjetivosContar con una Política de Gestión de Incidentes para proteger la fiabilidad de la Seguridad de la Información (en toda área existente de “Universidad Laica Eloy Alfaro De Manabí Extensión Chone”

2.19.2.4.1.2.2. AlcanceLas siguientes pautas deben ser consideradas para los procedimientos en la gestión de incidentes en la seguridad de información:

a. Los procedimientos deben ser establecidos para maniobrar diferentes tipos de incidentes en la seguridad de información como por ejemplo:

a. Fallas y pérdidas de servicio en los sistemas de información;b. Código malicioso;c. Negación de servicio;d. Errores resultantes de datos incompletos o no actualizados;e. Aperturas en la confidencialidad e integridad;f. Mal uso de los sistemas de información.

b. En adición a los planes de contingencias normales, los procedimientos también deben cubrir:

a. Análisis e identificación de la causa del incidente;b. Contención;c. Si es necesario, planeamiento e implementación de acciones correctivas para

prevenir la re ocurrencia;d. Comunicaciones con los afectados o implicados en recuperarse del incidente;e. Reportar acciones a la autoridad apropiada.

c. Un registro de auditorías y se debe recolectar evidencia similar y resguardada como sea apropiado para:

a. Análisis de problemas internos;b. El uso de evidencia forense en relación con una apertura potencial del

contrato, requisitos regulados o en el caso de procedimientos civiles o criminales, como por ejemplo el mal uso del computador o la legislación de protección de datos;

c. Negociaciones para compensaciones por parte de los proveedores de software o del servicio.

d. Acción para recuperarse de aperturas de seguridad y controlar formal y cuidadosamente las fallas del sistema que han sido corregidas; los procedimientos deben asegurar que:

a. Solo el personal claramente identificado y autorizado están permitidos de acceder a los sistemas y datos vivos;

b. Todas las acciones de emergencia que se realizaron sean documentadas a detalle;

c. Las acciones de emergencia sean reportadas al Decanato y revisados de una manera ordenada;

d. La integridad de los sistemas y controles de negocio son confirmados con un mínimo de retraso.

2.19.2.4.2. 2do. Ítem:Existe un mecanismo que permite que los tipos, volúmenes y costos de los incidentes en la seguridad de información sean cuantificados y monitoreados.

2.19.2.4.2.1. IntroducciónEl propósito de esta política es establecer un monitoreo correcto de los incidentes que acontecen dentro de “Universidad Laica Eloy Alfaro De Manabí Extensión Chone” y a la vez determinar los costos que ocasionan los mismos.

2.19.2.4.2.2. Política2.19.2.4.2.2.1. ObjetivosContar con una política que determine los costos que ocasionan los incidentes dentro de “Universidad Laica Eloy Alfaro De Manabí Extensión Chone”

2.19.2.4.2.2.2. AlcanceLa información ganada de la evaluación de los incidentes en la seguridad de información deben ser utilizados para identificar incidentes que se repiten o de gran impacto.

MANUAL DE POLÍTICAS

3. POLÍTICAS PARA CUMPLIMIENTOCumplimiento de los Requisitos Legales

3.1. 1er. Ítem:Se definen, documentan y mantienen actualizados de forma explícita todos los requisitos legales, regulatorios y contractuales que sean importantes para cada sistema de información.

3.1.1. IntroducciónEl propósito de esta política es establecer una adecuada documentación sobre aspectos legales, regulatorios y contractuales que sean de importancia para “Universidad Laica Eloy Alfaro De Manabí Extensión Chone”

3.1.2. Política

3.1.2.1. ObjetivosContar con una política de gestión documentaria: legal, regulatorio y contractual.

3.1.2.2. AlcanceLos controles, medidas y responsabilidades específicos deben ser similarmente definidos y documentados para cumplir dichos requerimientos.

3.2. 2do. Ítem:La protección de datos y la privacidad es asegurada como se requiere en la legislación, las regulaciones y, si es aplicable, en las cláusulas contractuales.

3.2.1. IntroducciónEl propósito de esta política es la protección de los datos y asegurar la privacidad en base a la legislación y regulaciones existentes dentro de “Universidad Laica Eloy Alfaro De Manabí Extensión Chone”

3.2.2. Política

3.2.3. ObjetivosContar con una política de protección de datos y asegurar la privacidad.

3.2.4. AlcanceSe debería implementar y desarrollar una política organizacional de privacidad y de protección de datos. Esta política debe ser comunicada a todo el personal implicado en el procesamiento de información personal.

El cumplimiento de la legislación de protección de datos personales requiere una estructura y controles de gestión apropiados. Este objetivo suele alcanzarse con mayor facilidad, designando un encargado de dicha protección que oriente a los directivos, usuarios y proveedores de servicios sobre sus responsabilidades individuales y sobre los procedimientos específicos a seguir. La responsabilidad para maniobrar información personal y asegurar el conocimiento de los principios de protección de datos debe ser confrontado con la legislación y regulaciones actuales. Se debería implementar medidas técnicas y organizacionales apropiadas para proteger la información personal.

3.3. 3er. Ítem:El personal es disuadido de utilizar los recursos de tratamiento de la información para propósitos no autorizados.

3.3.1. Introducción


El propósito de esta política es establecer una serie de normativa que prohíba utilizar los recursos para propósitos no autorizados dentro de “Universidad Laica Eloy Alfaro De Manabí Extensión Chone”

3.3.2. Política

3.3.2.1. ObjetivosContar con una política que establezca una serie de normativa que prohíba utilizar los recursos para propósitos no autorizados.

3.3.2.2. AlcanceLa organización debería proporcionar recursos informáticos para los fines del negocio. La gerencia debería autorizar su uso. Se debería considerar como impropio todo uso de estos recursos para fines no autorizados o ajenos al negocio. Si dicha actividad se identifica mediante supervisión y control u otros medios, se debería poner en conocimiento del gerente responsable de adoptar la acción disciplinaria y/o legal apropiada.

Es esencial que todos los usuarios sean conscientes del alcance preciso del acceso que se les permite y del monitoreo que se lleva acabo para detecta un uso no autorizado. Esto puede conseguirse, por ejemplo, con una autorización escrita cuya copia debería firmar el usuario y ser almacenada por la organización. Se debería informar a los empleado / docente / estudiantes / docentes de la organización y a usuarios de terceros que no se permitirá otro acceso que no sea el autorizado.

Al registrarse un usuario, un mensaje de advertencia debería indicar en la pantalla que el sistema al que se entra es privado y que no se permite el acceso no autorizado. El usuario tiene que darse por enterado y reaccionar de forma apropiada al mensaje para poder continuar el proceso de registro.

3.4. Revisiones de la Política de Seguridad y de la Conformidad TécnicaLos gerentes se aseguraran que se cumplan correctamente todos los procedimientos de seguridad dentro de su área de responsabilidad cumpliendo las políticas y estándares de seguridad.

3.4.1. IntroducciónEl propósito de esta política es asegurar que se cumplan correctamente todos los procedimientos de seguridad dentro de “Universidad Laica Eloy Alfaro De Manabí Extensión Chone”.

3.4.2. Política

3.4.2.1. ObjetivosContar con una política que asegure que se cumplan correctamente todos los procedimientos de seguridad.

3.4.2.2. AlcanceSi se encuentra una no conformidad como resultado de la revisión, los gerentes deben de:

a. Determinar las causas de la no conformidad;b. Evaluar la necesidad de acciones para asegurar que la no conformidad no vuelva a

ocurrir;c. Determinar e implementar una acción correctiva apropiada;d. Revisar la acción correctiva que se realizó;


CONCLUSIONES y RECOMENDACIONES:

Se concluye que la Institución llegara a cumplir el 76% de los controles establecidos por la Norma Técnica ISO NTE 17799:2005, teniendo un 24% que no se cumple, para los cuales se están proponiendo las políticas faltantes.

Se recomienda a la Institución tomar las políticas definidas dentro de este documento ya que son con las cuales en la actualidad no está cumpliendo según la norma Técnica ISO NTE 17799:2005.

norma iso nte 17799_2005 uleam chone

Documents