NORMATIVA INTERNA DE - registrosocial.gob.ec

GESTIÓN DE PLANIFICACIÓN Y GESTIÓN ESTRATÉGICA

Formato de esquema para la construcción de documentos emitidos por la Unidad del Registro Social y su codificación

Versión: 2.0

Código: URS-GPGE-10-FO-02

Página 0 de 5

Dirección: Av. Atahualpa Oe1-109 y Av. 10 de Agosto. Código Postal: 170508 / Quito - Ecuador Teléfono: 593-2-3834023 www.registrosocial.gob.ec

NORMATIVA INTERNA DE

SEGURIDAD DE LA INFORMACIÓN

EGSI V2.0

URS-GPGE-05-02-NI-01

Versión 3.0 18/06/2021


Normativa Interna de Seguridad de la Información de la Unidad del Registro Social

Versión: 2.0

Código: URS-GPGE-05-02-NI-01

Página 1 de 130


Contenido

1 INTRODUCCIÓN..................................................................................................................................... 8

1.1 MARCO LEGAL ............................................................................................................................... 8

1.1.1 Normas de Control Interno para las entidades, organismos del sector público y de las

personas jurídicas de derecho privado que dispongan de recursos públicos .......................................... 8

1.1.2 Ley Orgánica del Sistema Nacional de Registro de Datos Públicos .......................................... 9

1.1.3 Ley Orgánica de Protección de Datos Personales ..................................................................... 9

1.1.4 Acuerdo Ministerial No. 025-2019 del Ministerio de Telecomunicaciones y de la Sociedad de

la Información ........................................................................................................................................... 9

1.1.5 Resolución Nro.URS-DEJ-2020-0002-R ................................................................................... 11

2 OBJETIVO, ALCANCE Y USUARIOS ....................................................................................................... 12

2.1 Objetivo General ......................................................................................................................... 12

2.2 Objetivos Específicos .................................................................................................................. 12

3 GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ............................................................................ 13

3.1 Objetivos de control y cumplimiento ......................................................................................... 13

3.2 Responsabilidad institucional ..................................................................................................... 15

3.3 Comunicación de la política ........................................................................................................ 16

4 VALIDEZ ............................................................................................................................................... 16

5 NORMAS GENERALES .......................................................................................................................... 17

5.1 Referencias técnicas ................................................................................................................... 17

5.2 Responsabilidad de la ejecución ................................................................................................. 17

5.3 Responsabilidad del control previo y concurrente ..................................................................... 17

5.4 Responsabilidad de la evaluación de control interno ................................................................. 17

5.5 Distribución ................................................................................................................................. 18

6 CONTENIDO TÉCNICO DEL DOCUMENTO ........................................................................................... 18

6.1 SEGURIDAD DE LA INFORMACIÓN .............................................................................................. 18

6.1.1 Políticas de Seguridad de la Información ................................................................................ 18

6.1.2 Revisión de las políticas para la seguridad de la información, actualizada. ........................... 18

6.2 ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ......................................................... 19

6.2.1 Organización interna ............................................................................................................... 19



Versión: 2.0


Página 2 de 130


6.2.1.1 Compromiso de la máxima autoridad de la institución con la seguridad de la información . 19

6.2.1.2 Separación de funciones ......................................................................................................... 20

6.2.1.3 Contacto con las autoridades ................................................................................................. 20

6.2.1.4 Contacto con los grupos de interés especial .......................................................................... 21

6.2.1.5 Seguridad de la Información en la gestión de proyectos ....................................................... 22

6.2.1.6 Consideraciones de la seguridad cuando se trata con ciudadanos o clientes ........................ 23

6.2.2 Dispositivos móviles y teletrabajo .......................................................................................... 24

6.2.2.1 Política de dispositivos móviles .............................................................................................. 24

6.2.2.2 Política de Teletrabajo y medidas de seguridad ..................................................................... 25

6.3 SEGURIDAD DE LOS RECURSOS HUMANOS ................................................................................ 26

6.3.1 Antes del empleo .................................................................................................................... 26

6.3.1.1 Procedimiento para verificar antecedentes ........................................................................... 26

6.3.1.2 Términos y condiciones laborales ........................................................................................... 27

6.3.2 Durante el empleo .................................................................................................................. 28

6.3.2.1 Responsabilidades de la Máxima Autoridad o su delegado ................................................... 28

6.3.2.2 Plan de Concienciación, educación y formación en seguridad de la información.................. 29

6.3.2.3 Proceso disciplinario, garantizado y socializado. .................................................................... 29

6.3.3 Terminación y/o cambio de empleo ....................................................................................... 29

6.3.3.1 Responsabilidades ante la finalización o cambio de empleo, definidas y comunicadas. ....... 29

6.4 GESTIÓN DE ACTIVOS.................................................................................................................. 30

6.4.1 Responsabilidad por los activos .............................................................................................. 30

6.4.1.1 Inventario de activos, actualizado. ......................................................................................... 30

6.4.1.2 Propiedad de los activos, asignado. ........................................................................................ 30

6.4.1.3 Uso aceptable de los activos ................................................................................................... 31

6.4.1.4 Devolución de activos ............................................................................................................. 33

6.4.2 Clasificación de la información ............................................................................................... 34

6.4.2.1 Clasificación de la información ............................................................................................... 34

6.4.2.2 Etiquetado de la información ................................................................................................. 35

6.4.2.3 Manejo de los activos ............................................................................................................. 35

6.4.3 Manejo de medios .................................................................................................................. 37



Versión: 2.0


Página 3 de 130


6.4.3.1 Gestión de medios extraíbles ................................................................................................. 37

6.4.3.2 Procedimiento de eliminación de los medios ......................................................................... 38

6.4.3.3 Transferencia de medios físicos .............................................................................................. 39

6.5 CONTROL DE ACCESO ................................................................................................................. 39

6.5.1 Requisitos institucionales para el control de acceso .............................................................. 40

6.5.1.1 Política de control de acceso .................................................................................................. 40

6.5.1.2 Acceso a redes y servicios de red ........................................................................................... 41

6.5.2 Gestión de acceso de los usuarios .......................................................................................... 43

6.5.2.1 Registro y retiro de usuarios ................................................................................................... 43

6.5.2.2 Provisión de accesos a usuarios .............................................................................................. 44

6.5.2.3 Gestión de los derechos de acceso con privilegios especiales ............................................... 44

6.5.2.4 Gestión de la información confidencial de autenticación de los usuarios ............................. 45

6.5.2.5 Derechos de acceso de usuario .............................................................................................. 47

6.5.2.6 Retiro o adaptación de los derechos de acceso ..................................................................... 47

6.5.3 Responsabilidades del usuario ................................................................................................ 48

6.5.3.1 Uso de la información confidencial para la autenticación...................................................... 48

6.5.4 Control de acceso a Sistemas y aplicaciones .......................................................................... 49

6.5.4.1 Restricción del acceso a la información .................................................................................. 49

6.5.4.2 Procedimientos seguros de inicio de sesión ........................................................................... 50

6.5.4.3 Política para la gestión de contraseñas .................................................................................. 51

6.5.4.4 Uso de herramientas de administración de sistemas ............................................................. 52

6.5.4.5 Control de acceso al código fuente del programa .................................................................. 53

6.6 CRIPTOGRAFÍA ............................................................................................................................ 54

6.6.1 Controles criptográficos .......................................................................................................... 54

6.6.1.1 Política de uso de los controles criptográficos ....................................................................... 54

6.6.1.2 Política para la Gestión de Claves ........................................................................................... 55

6.7 SEGURIDAD FÍSICA Y DEL ENTORNO ........................................................................................... 56

6.7.1 Áreas seguras .......................................................................................................................... 56

6.7.1.1 Perímetro de seguridad física, definido .................................................................................. 56

6.7.1.2 Controles físicos de entrada ................................................................................................... 56



Versión: 2.0


Página 4 de 130


6.7.1.3 Seguridad de oficinas, despachos e instalaciones .................................................................. 57

6.7.1.4 Protección contra las amenazas externas y ambientales ....................................................... 57

6.7.1.5 Procedimiento para trabajo en áreas seguras ........................................................................ 58

6.7.1.6 Áreas de carga y entrega ........................................................................................................ 58

6.7.2 Seguridad de los equipos ........................................................................................................ 58

6.7.2.1 Ubicación y protección de equipos ......................................................................................... 58

6.7.2.2 Instalaciones de suministro de energía sin interrupción ........................................................ 59

6.7.2.3 Seguridad del cableado (eléctrico y telecomunicaciones ....................................................... 59

6.7.2.4 Plan de Mantenimiento de los equipos .................................................................................. 60

6.7.2.5 Salida de los activos fuera de las instalaciones de la institución ............................................ 61

6.7.2.6 Seguridad de los equipos y activos fuera de las instalaciones ............................................... 61

6.7.2.7 Seguridad en la reutilización o eliminación segura de dispositivos de almacenamiento....... 62

6.7.2.8 Equipo informático de usuario desatendido .......................................................................... 63

6.7.2.9 Política de puesto de trabajo despejado y pantalla limpia ..................................................... 64

6.8 SEGURIDAD DE LAS OPERACIONES ............................................................................................. 64

6.8.1 Procedimientos y responsabilidades operacionales ............................................................... 65

6.8.1.1 Procedimientos de operación ................................................................................................. 65

6.8.1.2 Procedimiento para la Gestión de cambios ............................................................................ 66

6.8.1.3 Monitoreo y ajuste de capacidades ........................................................................................ 67

6.8.1.4 Separación de ambientes de desarrollo, pruebas y producción ............................................ 69

6.8.2 Protección contra malware..................................................................................................... 70

6.8.2.1 Controles contra malware ...................................................................................................... 70

6.8.3 Copia de respaldos .................................................................................................................. 71

6.8.3.1 Política de respaldos y copias de seguridad de la información .............................................. 71

6.8.4 Registro y Monitoreo .............................................................................................................. 73

6.8.4.1 Registro de eventos ................................................................................................................ 73

6.8.4.2 Procedimiento para la protección de los registros de información ....................................... 74

6.8.4.3 Registros de administración y operación ................................................................................ 74

6.8.4.4 Sincronización de relojes ........................................................................................................ 75

6.8.5 Control del software operacional ........................................................................................... 76



Versión: 2.0


Página 5 de 130


6.8.5.1 Procedimiento para la instalación de software en sistemas en producción .......................... 76

6.8.6 Gestión de vulnerabilidad técnica .......................................................................................... 77

6.8.6.1 Política de monitoreo continuo, gestión de las vulnerabilidades técnicas ............................ 77

6.8.6.2 Política para la restricción en la instalación de software ....................................................... 78

6.8.7 Consideraciones de auditoría de sistemas de información .................................................... 79

6.8.7.1 Controles de auditoría de sistemas de información ............................................................... 79

6.9 SEGURIDAD EN LAS COMUNICACIONES ..................................................................................... 80

6.9.1 Gestión de seguridad de redes ............................................................................................... 80

6.9.1.1 Administración y control de las redes para proteger la información ..................................... 80

6.9.1.2 Seguridad de los servicios de red ............................................................................................ 81

6.9.1.3 Separación en las redes .......................................................................................................... 82

6.9.2 Transferencia de información ................................................................................................. 83

6.9.2.1 Políticas y procedimientos de transferencia de información ................................................. 83

6.9.2.2 Acuerdos de transferencia de información ............................................................................ 84

6.9.2.3 Políticas y Procedimientos para mensajería electrónica ........................................................ 85

6.9.2.4 Acuerdos de confidencialidad o no revelación ....................................................................... 86

6.10 ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS ........................................ 86

6.10.1 Requisitos de seguridad de los sistemas de información ....................................................... 86

6.10.1.1 Análisis de requisitos y especificaciones de seguridad de la información ......................... 86

6.10.1.2 Servicios de aplicaciones en redes públicas ....................................................................... 87

6.10.1.3 Controles de transacciones en línea, implementados. ....................................................... 88

6.10.2 Seguridad en los procesos de desarrollo y soporte ................................................................ 89

6.10.2.1 Política de desarrollo seguro .............................................................................................. 89

6.10.2.2 Procedimientos de control de cambios en sistemas .......................................................... 90

6.10.2.3 Revisión técnica de las aplicaciones tras efectuar cambios en el sistema operativo ......... 92

6.10.2.4 Restricciones a los cambios en los paquetes de software .................................................. 93

6.10.2.5 Principios de ingeniería de sistemas seguros ..................................................................... 94

6.10.2.6 Ambiente de desarrollo seguro .......................................................................................... 95

6.10.2.7 Desarrollo externalizado, supervisado y monitoreado ....................................................... 96

6.10.2.8 Pruebas de seguridad del sistema ...................................................................................... 97



Versión: 2.0


Página 6 de 130


6.10.2.9 Pruebas de aceptación de sistemas .................................................................................... 97

6.10.3 Datos de prueba ...................................................................................................................... 98

6.10.3.1 Protección de los datos de prueba, .................................................................................... 98

6.11 RELACIONES CON PROVEEDOORES ............................................................................................ 99

6.11.1 Seguridad de la información en las relaciones con proveedores ......................................... 100

6.11.1.1 Política de seguridad de la información en las relaciones con los proveedores .............. 100

6.11.1.2 Requisitos de seguridad en contratos con terceros ......................................................... 101

6.11.1.3 Requisitos de Seguridad en la cadena de suministro de tecnologías de la información y de

las comunicaciones ............................................................................................................................... 101

6.11.2 Gestión de entrega de servicios del proveedor .................................................................... 102

6.11.2.1 Monitoreo y revisión de los servicios de proveedores ..................................................... 102

6.11.2.2 Proceso de Gestión de cambios en los servicios de proveedores .................................... 103

6.12 GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN ............................................. 104

6.12.1 Gestión de incidentes y mejoras de seguridad de la información ........................................ 104

6.12.1.1 Responsabilidades y procedimientos en la Gestión de Incidentes de Seguridad de la

Información 104

6.12.1.2 Reporte de los eventos de seguridad de la información .................................................. 105

6.12.1.3 Reporte de debilidades de seguridad de la información .................................................. 106

6.12.1.4 Apreciación y decisión sobre los eventos de seguridad de la información ...................... 107

6.12.1.5 Procedimiento de respuesta a incidentes de seguridad de la información ..................... 107

6.12.1.6 Aprendizaje de los incidentes de seguridad de la información ........................................ 108

6.12.1.7 Procedimiento para la recopilación de evidencias ........................................................... 108

6.13 ASPECTOS DE SEGURIDAD DE LA INFORMACIÓN PARA LA GESTIÓN DE LA CONTINUIDAD DEL

NEGOCIO ............................................................................................................................................... 109

6.13.1 Continuidad de seguridad de la información ........................................................................ 109

6.13.1.1 Planificación de la continuidad de seguridad de la información ...................................... 109

6.13.1.2 Continuidad de seguridad de la información .................................................................... 110

6.13.1.3 Verificar, revisar y evaluar la continuidad de seguridad de la información ..................... 111

6.13.2 Redundancias ........................................................................................................................ 112

6.13.2.1 Disponibilidad de las instalaciones de procesamiento de la información ........................ 112

6.14 CUMPLIMIENTO ........................................................................................................................ 113



Versión: 2.0


Página 7 de 130


6.14.1 Cumplimiento de requisitos legales y contractuales ............................................................ 113

6.14.1.1 Identificación de la legislación aplicable y de los requisitos contractuales ...................... 113

6.14.1.2 Procedimiento para el cumplimiento de derechos de propiedad intelectual .................. 114

6.14.1.3 Procedimiento para la protección de los registros ........................................................... 116

6.14.1.4 Política de protección y privacidad de la información de carácter personal.................... 118

6.14.1.5 Reglamento de controles criptográficos ........................................................................... 120

6.14.2 Revisiones de seguridad de información .............................................................................. 121

6.14.2.1 14.2.1 Revisión independiente de seguridad de la información ...................................... 121

6.14.2.2 14.2.2 Cumplimiento de las políticas y normas de seguridad .......................................... 121

6.14.2.3 14.2.3 Procedimiento de comprobación del cumplimiento técnico ................................ 122

7 GLOSARIO DE TÉRMINOS .................................................................................................................. 122



Versión: 2.0


Página 8 de 130


1 INTRODUCCIÓN

Para la Unidad del Registro Social “la información” es un componente indispensable para la consecución

de sus objetivos institucionales sustentados en su base legal y direccionamiento estratégico

institucional, para lo cual se establecen políticas internas a fin de garantizar la calidad, pertinencia y

disponibilidad de la información del Registro Social.

La información que es procesada, almacenada y distribuida por la Unidad del Registro Social ya sea

electrónicamente o físicamente, debe ser protegida cumpliendo con los principios de confidencialidad,

integridad y disponibilidad de los activos de información, promoviendo una gestión eficaz de riesgos y

promoviendo una cultura de seguridad dada la importancia de la misma.

Los servidores, personal externo, proveedores y todos aquellos que tengan responsabilidades sobre los

activos de información de la Unidad del Registro Social, deberán adoptar los lineamientos contenidos en

el presente documento con el fin de incorporar normas y procedimientos orientados al resguardo de la

información.

1.1 MARCO LEGAL

1.1.1 Normas de Control Interno para las entidades, organismos del sector público y de las personas jurídicas de derecho privado que dispongan de recursos públicos

410-10 Seguridad de tecnología de información

La Dirección de Sistemas de Información, establecerá mecanismos que protejan y salvaguarden contra

pérdidas y fugas los medios físicos y la información que se procesa mediante sistemas informáticos, para

ello se aplicarán al menos las siguientes medidas:

1. Ubicación adecuada y control de acceso físico a la Dirección de Sistemas de Información y en especial a las áreas de: servidores, desarrollo y bibliotecas;

2. Definición de procedimientos de obtención periódica de respaldos en función a un cronograma definido y aprobado;

3. En los casos de actualización de tecnologías de soporte se migrará la información a los medios físicos adecuados y con estándares abiertos para garantizar la perpetuidad de los datos y su recuperación;

4. Almacenamiento de respaldos con información crítica y/o sensible en lugares externos a la organización;



Versión: 2.0


Página 9 de 130


5. Implementación y administración de seguridades a nivel de software y hardware, que se realizará con monitoreo de seguridad, pruebas periódicas y acciones correctivas sobre las vulnerabilidades o incidentes de seguridad identificados.

6. Instalaciones físicas adecuadas que incluyan mecanismos, dispositivos y equipo especializado para monitorear y controlar fuego, mantener ambiente con temperatura y humedad relativa del aire contralado, disponer de energía acondicionada, esto es estabilizada y polarizada, entre otros;

7. Consideración y disposición de sitios de procesamiento alternativos. 8. Definición de procedimientos de seguridad a observarse por parte del personal que trabaja en

turnos por la noche o en fin de semana.

1.1.2 Ley Orgánica del Sistema Nacional de Registro de Datos Públicos

Publicada en el Registro Oficial Suplemento 162 de 31 de marzo de 2010 y su última modificación

vigente publicada el 12 de septiembre de 2014, la cual señala: “Articulo 4.- Responsabilidad de la

información. - Las instituciones del sector público y privado y las personas naturales que actualmente o

en el futuro administren bases o registros de datos públicos, son responsables de la integridad,

protección y control de los registros y bases de datos a su cargo. Dichas instituciones responderán por la

veracidad, autenticidad, custodia y debida conservación de los registros. La responsabilidad sobre la

veracidad y autenticidad de los datos registrados, es exclusiva de la o el declarante cuando esta o este

provee toda la información.”

1.1.3 Ley Orgánica de Protección de Datos Personales

Publicada en el Registro Oficial, Quinto Suplemento Nro. 459, de 26 de mayo de 2021, la cual señala:

“Artículo 1.- Objeto y finalidad.- El objeto y finalidad de la presente ley es garantizar el ejercicio del

derecho de la protección de datos personales, que incluye acceso y decisión sobre información y datos de

este carácter, así como su correspondiente protección. Para dicho efecto regula, prevé y desarrolla

principios, derechos, obligaciones y mecanismos de tutela.”

1.1.4 Acuerdo Ministerial No. 025-2019 del Ministerio de Telecomunicaciones y de la Sociedad de la Información

El Acuerdo Ministerial establece en su artículo 1, la expedición del Esquema Gubernamental de

Seguridad de la Información -EGSI-, el cual es de implementación obligatoria en las Instituciones de la



Versión: 2.0


Página 10 de 130


Administración Pública Central, Institucional y que dependan de la Función Ejecutiva, y que se encuentra

como Anexo al citado Acuerdo.

El Acuerdo Ministerial establece en su artículo 3 recomienda a las Instituciones de la Administración

Pública Central, Institucional y que dependen de la Función Ejecutiva, utilicen como guía las Normas

Técnicas Ecuatorianas NTE INEN-ISO/IEC 27000 para la Gestión de Seguridad de la información.

El Acuerdo Ministerial establece en su artículo 4 que, las Instituciones de la Administración Pública

Central, Institucional y que dependen de la Función Ejecutiva, actualizarán o implementarán el Esquema

Gubernamental de Seguridad de la Información EGSI en un plazo de doce (12) meses contados a partir

de la publicación del citado Acuerdo Ministerial en el Registro Oficial.

El mismo artículo 4 establece que, la Evaluación de Riesgos y el plan para el tratamiento de los riesgos

de cada institución se realizarán un plazo de cinco (5) meses y la actualización o implementación de los

controles del Esquema Gubernamental de Seguridad de la Información (EGSI) se realizarán en un plazo

siete (7) meses.

Mediante Oficio MINTEL-DII-2020-0137-O, de 28 de agosto de 2020, el Ministerio de

Telecomunicaciones y de la Sociedad de la Información, consciente de que las actividades a realizarse en

la implementación del Esquema Gubernamental de Seguridad de la Información (EGSI versión 2.0),

durante su primera etapa requieren del trabajo en conjunto del Comité de Seguridad de la Información

y Oficial de Seguridad de la Información de manera presencial; consideró conveniente AMPLIAR EL

PLAZO para la implementación en las instituciones de la APC, cuyo último plazo de entrega del informe

de cierre es el 15 de julio de 2021.

El Acuerdo Ministerial establece en su artículo 6 que, el Comité de Seguridad de la Información, tendrá

las siguientes responsabilidades: a) Gestionar la aprobación de la política y normas institucionales en

materia de seguridad de la información, por parte de la máxima autoridad de la Institución.

Por otro lado, en el ANEXO ESQUEMA GUBERNAMENTAL DE SEGURIDAD DE LA INFORMACIÓN, versión

2.0, dominio 1. “POLITICAS DE SEGURIDAD DE LA INFORMACIÓN”, numeral 1.1.1.2 “Difundir la siguiente

política de seguridad de la información como referencia:

“Las instituciones de la Administración Pública Central, Dependiente e Institucional que generan, utilizan,

procesan, comparten y almacenan información en medio electrónico o escrito, clasificada como pública,

confidencial, reservada y no reservada, deberán aplicar el Esquema Gubernamental de Seguridad de la

Información para definir los procesos, procedimientos y tecnologías a fin de garantizar la

confidencialidad, integridad y disponibilidad de esa información, en los medios y el tiempo que su

legitimidad lo requiera”.



Versión: 2.0


Página 11 de 130


1.1.5 Resolución Nro.URS-DEJ-2020-0002-R

Mediante Resolución Nro. URS-DEJ-2020-0002-R de 07 de febrero de 2020 se crea el COMITÉ DE

SEGURIDAD DE LA INFORMACIÓN (CSI) DE LA UNIDAD DEL REGISTRO SOCIAL, como instancia que se

incorpora en la gestión institucional, a efecto de garantizar y facilitar la implementación de políticas y

normativas relativas a la seguridad de la información, utilizando como guía las Normas Técnicas

Ecuatorianas NTE INEN-ISO/IEC 27000.



Versión: 2.0


Página 12 de 130


2 OBJETIVO, ALCANCE Y USUARIOS

2.1 Objetivo General

Establecer los lineamientos y políticas internas adecuados para la gestión de la seguridad de la

información en la Unidad del Registro Social, con el fin de alcanzar los niveles necesarios de integridad,

confidencialidad y disponibilidad para toda la información procesada y almacenada en la Unidad de

Registro Social, mediante el resguardo de todos los activos de información asociados a los procesos

estratégicos, de apoyo y de asesoría.

2.2 Objetivos Específicos

● Identificar, clasificar y categorizar los activos de información de la Unidad del Registro Social, bajo criterios de integridad, confidencialidad y disponibilidad.

● Determinar los roles, responsabilidades y competencias de los servidores públicos de la Unidad del Registro Social, que tengan relación con los activos de información.

● Establecer, actualizar y difundir normas y procedimientos para la manipulación, uso y resguardo adecuado de los activos de información de la institución.

● Institucionalizar las políticas, procedimientos y controles de Seguridad de la Información en los procesos estratégicos, de apoyo y asesoría de la Unidad del Registro Social, con el enfoque de gestión de riesgos y el cumplimiento de la normativa legal vigente.

● Aplicar el Esquema Gubernamental de Seguridad de la Información (EGSI) para definir los procesos, procedimientos y tecnologías a fin de garantizar la confidencialidad, integridad y disponibilidad de la información, en los medios y en el tiempo que su legitimidad lo requiera.

● Establecer un proceso de mejora continua para todos los procesos y procedimientos que se deriven del EGSI.

La presente normativa de seguridad de la información se aplica a todo el personal de la Unidad del

Registro Social, es de difusión pública y busca dar a conocer a todos los servidores públicos de la

institución la correcta implementación de los lineamientos establecidos en la misma a fin de que el

resguardo de información se realice mediante procesos basados en la gestión del riesgo y metodologías

de mejoramiento continuo.

Del mismo modo esta normativa se aplica a todo activo de información que la Unidad del Registro Social

posea en la actualidad o en el futuro. Cubre toda la información, entre otros la impresa, escrita,

almacenada en archivos físicos o digitales o en tránsito, así como la generada en los sistemas de

información y los servidores/as.



Versión: 2.0


Página 13 de 130


Toda política interna que se derive de esta normativa interna, estará especificada de acuerdo a las

directrices priorizadas en el Esquema Gubernamental de Seguridad de la Información (EGSI), versión 2.0.

3 GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

3.1 Objetivos de control y cumplimiento

El Anexo del Acuerdo Ministerial No. 025-2019, denominado ESQUEMA GUBERNAMENTAL DE

SEGURIDAD DE LA INFORMACIÓN EGSI, versión 2.0, está basado en las normas técnicas NTE INEN-

ISO/IEC 27000 y establece un conjunto de recomendaciones para la Gestión de la Seguridad de la

Información y ejecuta un proceso de mejora continua en las instituciones de la Administración Pública.

El Esquema Gubernamental de Seguridad de la información preserva la confidencialidad, integridad y

disponibilidad de la información mediante la aplicación de un proceso de gestión de riesgos de

seguridad de la información y la selección de controles para el tratamiento de los riesgos identificados.

El Anexo del Acuerdo Ministerial No. 025-2019, denominado ESQUEMA GUBERNAMENTAL DE

SEGURIDAD DE LA INFORMACIÓN EGSI, versión 2.0, propone una GUÍA PARA LA IMPLEMENTACIÓN DE

CONTROLES DE SEGURIDAD DE LA INFORMACION (NTE-INEN ISO/IEC 27002:2017), que contiene 14

capítulos (dominios) de controles de seguridad que en conjunto contienen un total de 35 categorías

(objetivos de control) principales de seguridad y 115 controles (hitos).

Los dominios de controles que la Unidad del Registro Social implementará, de acuerdo al análisis de

riesgo de seguridad de la información, son:

1. POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN: Implementar los procesos, procedimientos, controles, descritos en el EGSI para: - Dirección de Gestión de Seguridad de la Información.

2. ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN Implementar los procesos, procedimientos, controles, descritos en el EGSI para: - Organización interna - Dispositivos móviles y teletrabajo

3. SEGURIDAD DE LOS RECURSOS HUMANOS Implementar los procesos, procedimientos, controles, descritos en el EGSI para: - Antes del empleo - Durante el empleo - Finalización o cambio de empleo

4. GESTIÓN DE ACTIVOS Implementar los procesos, procedimientos, controles, descritos en el EGSI para: - Responsabilidad de los activos - Clasificación de la información - Manejo de los soportes de almacenamiento – Medios



Versión: 2.0


Página 14 de 130


5. CONTROL DE ACCESO Implementar los procesos, procedimientos, controles, descritos en el EGSI para: - Requisitos institucionales para el control de acceso - Gestión de acceso de los usuarios - Responsabilidades del usuario - Control de acceso a sistemas y aplicaciones

6. CRIPTOGRAFÍA Implementar los procesos, procedimientos, controles, descritos en el EGSI para: - Controles criptográficos

7. SEGURIDAD FÍSICA Y DEL ENTORNO Implementar los procesos, procedimientos, controles, descritos en el EGSI para: - Áreas seguras - Seguridad de los equipos

8. SEGURIDAD DE LAS OPERACIONES Implementar los procesos, procedimientos, controles, descritos en el EGSI para: - Procedimientos y responsabilidades operacionales - Protección contra un malware - Copias de seguridad - Registro y monitoreo - Control del software en producción - Gestión de la vulnerabilidad técnica - Consideraciones sobre la auditoría de sistemas de información

9. SEGURIDAD EN LAS COMUNICACIONES Implementar los procesos, procedimientos, controles, descritos en el EGSI para: - Gestión de la seguridad de redes - Transferencia de información

10. ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS Implementar los procesos, procedimientos, controles, descritos en el EGSI para: - Requisitos de seguridad de los sistemas de información - Seguridad en el desarrollo y en los procesos de soporte - Datos de prueba

11. RELACIONES CON PROVEEDORES Implementar los procesos, procedimientos, controles, descritos en el EGSI para: - Seguridad de la información en relación con los proveedores - Gestión de la provisión de servicios del proveedor

12. GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN Implementar los procesos, procedimientos, controles, descritos en el EGSI para: - Gestión de los incidentes de seguridad de la información y mejoras.

13. ASPECTOS DE SEGURIDAD DE LA INFORMACIÓN PARA LA GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO Implementar los procesos, procedimientos, controles, descritos en el EGSI para: - Continuidad de seguridad de la información - Redundancias

14. CUMPLIMIENTO Implementar los procesos, procedimientos, controles, descritos en el EGSI para: - Cumplimiento de los requisitos legales y contractuales - Revisiones de seguridad de la información.



Versión: 2.0


Página 15 de 130


3.2 Responsabilidad institucional

La máxima autoridad de la Institución, con la finalidad de dar cumplimiento a los objetivos planteados

en el presente documento, dispondrá:

- La aprobación de la Normativa Interna de Seguridad de la Información para la Unidad del Registro Social.

- La implementación del Esquema Gubernamental de Seguridad de la Información (EGSI) en la Institución.

- La participación de Coordinadores Generales, directores y demás autoridades del Nivel Jerárquico Superior de la Institución, en el cumplimiento de las políticas relativas a la materia y el compromiso para la implementación del EGSI.

- La difusión, capacitación y sensibilización de los temas relacionados a Seguridad de la Información.

La coordinación de la gestión de la Seguridad de la Información estará a cargo del Comité de Seguridad

de la Información, que tendrá las siguientes responsabilidades:

- Gestionar la aprobación de la política y normas institucionales en materia de seguridad de la información, por parte de la máxima autoridad de la Institución.

- Realizar el seguimiento de los cambios significativos de los riesgos que afectan a los recursos de información frente a las amenazas más importantes.

- Tomar conocimiento y supervisar la investigación y monitoreo de los incidentes relativos a la seguridad de la información, con nivel de impacto alto.

- Coordinar la implementación de controles específicos de seguridad de la información para nuevos sistemas o servicios, en base al EGSI.

- Promover la difusión de la seguridad de la información dentro de la institución. - Coordinar el proceso de gestión de la continuidad de la operación de los servicios y sistemas

de información de la institución frente a incidentes de seguridad imprevistos. - El comité deberá convocarse bimensualmente o cuando las circunstancias lo ameriten, se

deberá llevar registros y actas de las reuniones. - Informar a la máxima autoridad los avances de la implementación del Esquema

Gubernamental de Seguridad de la Información (EGSI). - Reportar a la máxima autoridad las alertas que impidan la implementación del Esquema

Gubernamental de Seguridad de la Información (EGSI). - Recomendar a la máxima autoridad mecanismos que viabilicen la implementación del

Esquema Gubernamental de Seguridad de la Información (EGSI).

El personal de la Institución es responsable de:



Versión: 2.0


Página 16 de 130


- Cumplir con la Política de Seguridad de la Información y las normativas internas de seguridad de la información que se desprendan de ésta, así como las directrices y lineamientos establecidos por el Comité de Seguridad de la Información, en materia de Seguridad de la Información.

- Brindar la protección de los activos de información que almacena, custodia, genera, procesa o comparte, en cualquiera de sus formas o medios, garantizando la Confidencialidad, Integridad y Disponibilidad de la misma.

- Registrar y reportar los eventos o incidentes de seguridad de la información al Oficial de Seguridad de la Información o al jefe inmediato, confirmados o sospechosos de acuerdo a los procedimientos que para el efecto sean establecidos.

- No compartir ningún tipo de contraseña o claves de acceso a los sistemas como por ejemplo correo electrónico, computador, Quipux, sistemas de información, bases de datos, servidores, etc.

- No compartir con personal no autorizado para dicho efecto, cualquier tipo de información sensible como aquella que sea calificada como Confidencial o información que pueda impactar cuantitativa o cualitativamente a la Unidad del Registro Social.

- Mantener bajo llave la información sensible (cajas fuertes o gabinetes), en especial cuando ésta no se encuentre en uso o cuando el usuario de ésta la deje sin custodia.

- Retirar información sensible, como las claves de acceso a los sistemas, de escritorios, pantallas o lugares de fácil acceso por terceros.

- Retirar del computador los dispositivos removibles como por ejemplo memorias USB o dispositivos de Firma Electrónica, una vez que se hayan dejado de utilizar.

- Reportar inmediatamente al área de Tecnologías de la Información si el antivirus o firewall se encuentren desactivados/desactualizados o si encontró algún tipo de virus en su computador o en equipos asignados.

- Evitar la instalación o descarga de software, música, películas, etc., que sea ajeno a las funciones y responsabilidades del colaborador de la Unidad del Registro Social o que no hayan sido autorizados por la Institución a través de la Dirección de Sistemas de Información.

3.3 Comunicación de la política

Con referencia en los antecedentes antes mencionados, se define que el Comité de Seguridad de la

Información y la Unidad de Comunicación, serán los encargados de comunicar esta normativa interna y

sus futuras modificaciones.

4 VALIDEZ

La presente normativa entrará en vigencia en la Unidad del Registro Social, una vez que sea aprobada

por la máxima autoridad de la Institución; y, para garantizar su vigencia esta deberá ser revisada

anualmente o cuando se produzcan cambios significativos a nivel operativo, legal, tecnológico,

económico, entre otros.



Versión: 2.0


Página 17 de 130


5 NORMAS GENERALES

Establecer las normas para la administración de la seguridad de la información, que permitan garantizar

la confidencialidad, integridad y disponibilidad de la información de la Unidad del Registro Social.

5.1 Referencias técnicas

• Normas técnicas ecuatorianas NTE INEN -ISO/IEC 27001 TECNOLOGÍAS DE LA INFORMACIÓN — TÉCNICAS DE SEGURIDAD — SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN – REQUISITOS

• Norma técnica ecuatoriana NTE INEN ISO/IEC 27002 TECNOLOGÍAS DE LA INFORMACIÓN ─ TÉCNICAS DE SEGURIDAD ─ CÓDIGO DE PRÁCTICA PARA LOS CONTROLES DE SEGURIDAD DE LA INFORMACIÓN

5.2 Responsabilidad de la ejecución

Servidores, servidores y trabajadores de la Unidad del Registro Social, en el estricto

cumplimiento de la aplicación de la política de la seguridad de la información.

5.3 Responsabilidad del control previo y concurrente

o Comité de Seguridad de la Información. o Oficial de Seguridad de la Información. o Dirección de Registro Interconectado de Programas Sociales. o Dirección Administrativa. o Dirección de Talento Humano. o Dirección de Operaciones. o Dirección de Investigación y Análisis de la Información. o Dirección de Asesoría Jurídica. o Dirección de Planificación y Gestión Estratégica. o Unidad de Comunicación Social. o Dirección de Sistemas de Información.

5.4 Responsabilidad de la evaluación de control interno

Mesa técnica conformada por la URS, debidamente aprobada por el Comité de Seguridad de la

Información, puesto que la Unidad del Registro Social no cuenta con dirección de auditoría interna.



Versión: 2.0


Página 18 de 130


5.5 Distribución

El presente documento normativo será distribuido y difundido a los servidores, servidores y

trabajadores públicos de la URS.

6 CONTENIDO TÉCNICO DEL DOCUMENTO

A continuación, se detallan por cada uno de los controles establecidos para la URS, las políticas internas

de seguridad de la información a ser cumplidas:

6.1 SEGURIDAD DE LA INFORMACIÓN

Este dominio pretende generar, implementar y socializar las políticas de seguridad de la información,

definidas para la institución, debidamente aprobada por la Máxima Autoridad.

6.1.1 Políticas de Seguridad de la Información

Para el cumplimiento de esta política, mediante Resolución Nro. URS-CGT-2020-0019-R de 09 de junio

de 2020, la máxima autoridad de la URS resolvió: “Artículo Único. - Aprobar la “POLÍTICA GENERAL DE

SEGURIDAD DE LA INFORMACIÓN DE LA UNIDAD DEL REGISTRO SOCIAL” de conformidad a lo

recomendado en los Informes Técnicos Nro. URS-CGT-DSI-2020-048 emitido por la Dirección de

Sistemas de Información y Nro. URS-DPGE-2020-053 emitido por la Dirección de Planificación y Gestión

Estratégica de la Unidad de Registro Social.

6.1.2 Revisión de las políticas para la seguridad de la información, actualizada.

Para garantizar la vigencia de la política de seguridad de la información, la Unidad del Registro Social

realizará revisiones de las Políticas de Seguridad de la Información a intervalos planificados o de

producirse cambios significativos, a fin de garantizar su idoneidad, adecuación y eficacia, en

concordancia con el numeral 4 Vigencia del presente documento.

Responsabilidad del Oficial de Seguridad de la Información

• Revisar la Política de Seguridad de la Información anualmente o cuando se produzcan cambios significativos.

• Revisar el cumplimiento de las políticas para verificar el éxito de su implantación en la institución.

• Definir indicadores para saber si se cumple o no la política.

• Identificar que direcciones de la Unidad del Registro Social están relacionadas con las políticas para que ejecuten las gestiones respectivas para su implementación y cumplimiento.



Versión: 2.0


Página 19 de 130


• Definir un delegado de cada política que tendrá la responsabilidad de su desarrollo, revisión y evaluación.

• Cada revisión a las políticas de seguridad de la información deberá incluir oportunidades de mejora continua.

6.2 ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

Este dominio de seguridad de la información, consiste en implementar los procesos, procedimientos,

controles, descritos en el EGSI para la Organización interna, Dispositivos móviles y teletrabajo.

6.2.1 Organización interna

6.2.1.1 Compromiso de la máxima autoridad de la institución con la seguridad de la información

Responsabilidades de la máxima autoridad de la Unidad del Registro Social

• La máxima autoridad de la Unidad del Registro Social promueve las Políticas de Seguridad de la Información, reafirmando su compromiso a través de:

a) El cumplimiento de la normatividad vigente y requisitos aplicables a Seguridad de la Información.

b) La promoción activa de una cultura de seguridad de la información. c) El aseguramiento de los recursos adecuados para implementar y mantener las políticas de

Seguridad de la Información. d) La mejora continua de la gestión de Seguridad de la Información aplicando mejores

prácticas para proteger la confidencialidad, integridad y disponibilidad de la información.

• Además, será la máxima autoridad de la Unidad del Registro Social, quien tiene la responsabilidad de aprobar la normativa/política, sus modificaciones y/o actualizaciones.

Responsabilidades del Comité de Seguridad de la Información

• Gestionar la aprobación de la política y normativas institucionales en materia de seguridad de la información, por parte de la máxima autoridad de la Institución.

• Realizar el seguimiento de los cambios significativos de los riesgos que afectan a los recursos de información frente a las amenazas más importantes.

• Tomar conocimiento y supervisar la investigación y monitoreo de los incidentes relativos a la seguridad de la información, con nivel de impacto alto.

• Coordinar la implementación de controles específicos de seguridad de la información para nuevos sistemas o servicios, en base al EGSI.



Versión: 2.0


Página 20 de 130


• Promover la difusión de la seguridad de la información dentro de la institución.

• Coordinar el proceso de gestión de la continuidad de la operación de los servicios y sistemas de información de la institución frente a incidentes de seguridad imprevistos.

6.2.1.2 Separación de funciones

Esta política va dirigida a todas las unidades administrativas que intervienen en el presente documento y

que son generadoras o poseedoras de información; las cuales deberán estar sujetas sin excepción a las

atribuciones y responsabilidades descritas en la “REFORMA INTEGRAL AL ESTATUTO ORGÁNICO DE

GESTIÓN ORGANIZACIONAL POR PROCESOS DE LA UNIDAD DEL REGISTRO SOCIAL”, emitido mediante

Resolución Nro. 002-URS-DEJ-2020 de 11 de agosto de 2020. Con la finalidad de reducir la oportunidad

del mal uso de la información o modificaciones no autorizadas.

6.2.1.3 Contacto con las autoridades

Las presentes políticas específicas permiten garantizar el adecuado procedimiento con la finalidad de

mantener contactos apropiados con la máxima autoridad y demás autoridades de la institución.

Responsabilidad de Comité de Seguridad de Información

• Proponer el procedimiento para reportar los incidentes derivados del incumplimiento de la política de seguridad o por acciones de seguridad para la máxima autoridad.

• Establecer los grados de incidentes de seguridad de la información o vulnerabilidad de información que se considere críticos.

• Aprobar los procedimientos adecuados para compartir la información con la finalidad de mejorar la cooperación y la coordinación en temas de seguridad.

• Aprobar los parámetros de los requisitos para la protección de datos de la información sensible.

Responsabilidad de Oficial de Seguridad de Información

• Informar de manera técnica los incidentes derivados del incumplimiento de la política al comité de seguridad y la máxima autoridad.

Responsabilidad de Dirección de Sistemas de Información.

• Apoyar al Oficial de Seguridad de Información en la generación de los procedimientos para reportar los incidentes derivados de incumplimiento de la política de seguridad de la información como en los criterios para estableces los grados de incidentes.



Versión: 2.0


Página 21 de 130


• Informar de manera inmediata al Oficial de Seguridad de Información sobre los incidentes en el incumplimiento de la política de seguridad de la información, el cual debe incluir informe indicando cual es incidente y que efecto causó en nuestra institución.

• Mantener actualizado los datos de los proveedores de bienes o servicios de telecomunicaciones o de accesos o internet.

• Implementar el procedimiento para gestionar potenciales incidentes con los proveedores de telecomunicaciones o de accesos o internet.

• Establecer los parámetros de los requisitos para la protección de datos de la información sensible.

Responsabilidad de la Máxima Autoridad de Unidad del Registro Social.

• Realizar las gestiones pertinentes con las entidades de control para denunciar los incidentes derivados de incumplimiento de la política de seguridad de la información.

6.2.1.4 Contacto con los grupos de interés especial

Con el objetivo de mejorar el conocimiento en el ámbito de la seguridad de la información es prioritario

mantener contacto con instituciones u organizaciones claves, especializadas en el tema, con las cuales

se comparta e intercambie información actualizada y relevante sobre seguridad de la información; como

parte de esta retroalimentación interinstitucional, es fundamental establecer mecanismos de difusión

que permitan mantener informado al personal, sobre la implementación del esquema de seguridad de

la información, y acerca de los mecanismos de control, dispuestos por la institución para contrarrestar

los incidentes de seguridad de la información.

Responsabilidad de la Unidad de Comunicación

• Socializar a todos los servidores de la institución sobre la seguridad de la información como instrumento de protección de la información institucional, para motivar e involucrar al personal de la Unidad del Registro Social sobre la importancia de trabajar activamente en el proceso de implementación del Esquema Gubernamental de Seguridad de la Información EGSI, propiciando su compromiso, responsabilidad, participación y toma de conciencia del buen uso y protección de la información.

• La Unidad de Comunicación será la encargada de dar a conocer al personal, que todo incidente relacionado a la seguridad de la información deberá ser reportado oportunamente al Oficial de Seguridad de Información de la Institución, quien es el único canal oficial y punto de contacto entre la Unidad y las instituciones definidas para el control y gestión de la seguridad de la información. A su vez el Oficial de Seguridad remitirá oportunamente a la UCOM, el documento con el registro de incidencias de seguridad de la información, suscitadas en la institución, a fin de que la Unidad de Comunicación elaboré recordatorios periódicos para ser socializados internamente con el personal, a través de los diferentes medios de difusión.



Versión: 2.0


Página 22 de 130


Responsabilidad del Comité de Seguridad de la Información

• Es responsabilidad de cada jefe de área dar a conocer de manera bimensual, a través de sesiones ordinarias o extraordinarias, convocadas para el efecto por el Comité de Seguridad de la Información, los avances de socialización de la implementación del EGSI en el entorno laboral, actividad gestionada por la Unidad de Comunicación, para verificar de esta manera si el flujo y los canales de información propician la participación y el compromiso del buen uso y protección de la información dentro de la institución.

Responsabilidades del Oficial de Seguridad de la Información

• El Oficial de Seguridad de la Información OSI, será el responsable directo de informar de manera oportuna a la Unidad de Comunicación, los avisos, alertas y disposiciones emitidas en cuanto a la implementación del EGSI, por las instituciones competentes; y a su vez la Unidad de Comunicación será la encargada de socializar al personal interno de la institución, a través de los diferentes mecanismos de difusión, la información remitida por el OSI.

• El Oficial de Seguridad de la Información, será el responsable directo de informar de manera oportuna a la Unidad de Comunicación, sobre temas de asesoramiento especializado en Seguridad de la Información, quien a su vez se encargará de socializar dicha información, a las diferentes áreas técnicas de la Unidad, involucradas en la ejecución del EGSI.

6.2.1.5 Seguridad de la Información en la gestión de proyectos

La Unidad de Registro Social al gestionar sus proyectos asegurará que se consideren y se cumplan con

los requisitos de seguridad de la información establecidos.

Responsabilidad de los Directores/as y/o responsables de las unidades de la Unidad del Registro

Social

• Asegurar la protección de los activos de información de la URS que intervengan en la gestión de proyectos.

• Asegurar que los objetivos de seguridad de la información estén incluidos en los objetivos del proyecto.

• Determinar los riesgos de seguridad de la información de los proyectos a implementarse en una fase temprana, para identificar e implementar los controles necesarios, a fin de salvaguardar la



Versión: 2.0


Página 23 de 130


integridad, confidencialidad y disponibilidad de los activos de información que intervengan en la ejecución del proyecto.

6.2.1.6 Consideraciones de la seguridad cuando se trata con ciudadanos o clientes

La Unidad del Registro Social determinará requisitos de seguridad necesarios que se deben cumplir

antes de facilitar servicios a ciudadanos o clientes de instituciones gubernamentales, quienes utilicen o

procesen información de sistemas y/o aplicativos de la institución.

Responsabilidad de la Dirección de Sistemas de Información

• Proveer los mecanismos necesarios para proteger los activos de información que se encuentran alojados en el sistema de almacenamiento de la Unidad del Registro Social y que vayan a ser compartidos a ciudadanos o clientes.

• Definir y solicitar requisitos necesarios a cumplir, los cuales permitan aprobar el requerimiento de acceso a sistemas y/o aplicativos requeridos por la ciudadanía o clientes.

• Definir políticas de control de acceso a los diferentes sistemas y/o aplicativos que proveen información del Registro Social.

• Realizar un análisis de la información y datos que se haya expuesto en sistemas y/o aplicativos, a fin de verificar puntos críticos y vulnerabilidades en los mismos, conforme reportes generados relacionados a incidentes de la Seguridad de la Información, así como violaciones a la seguridad; lo cual permita corregir errores y aumentar la seguridad sin afectar el rendimiento de los mismos.

• Describir cada uno de los servicios que van a estar disponibles y publicados para su uso y/o consumo por parte de la ciudadanía.

• Analizar el nivel de servicio que se encuentre comprometido, así como los niveles inaceptables de un servicio, lo cual permita realizar una revisión exhaustiva del servicio comprometido, a fin de realizar las respectivas correcciones y posteriormente sea evaluado, antes de su publicación.

• Monitorear y revocar cualquier permiso que estuviere causando uso inadecuado del acceso brindado a la información y/o activos de la institución.

• Establecer y gestionar los derechos de propiedad intelectual de los sistemas y/o aplicativos que sean generados inhouse, asignando derechos de copia, protegiendo cualquier trabajo colaborativo que se haya recibido en el desarrollo del aplicativo.

• Brindar la debida garantía de mantener la protección de datos conforme lo estipulado en la Constitución y leyes nacionales, haciendo énfasis en el resguardo de datos personales de los ciudadanos, llamados también información sensible



Versión: 2.0


Página 24 de 130


6.2.2 Dispositivos móviles y teletrabajo

6.2.2.1 Política de dispositivos móviles

La Unidad de Registro Social proveerá las condiciones para el manejo de los dispositivos móviles

(teléfonos, inteligentes y tabletas, entre otros) institucionales y personales que hagan uso de servicios

de la URS. Así mismo, velará porque los servidores hagan un uso responsable de los servicios y equipos

proporcionados por la institución.


• Investigar y probar las opciones de protección de los dispositivos móviles institucionales y personales que hagan uso de los servicios provistos por la URS.

• Establecer las configuraciones aceptables para los dispositivos móviles institucionales o personales que hagan uso de los servicios provistos por la URS.

• Establecer un método de bloqueo (por ejemplo, contraseñas, biométricos, patrones, reconocimiento de voz) para los dispositivos móviles institucionales que serán entregados a los usuarios. Se debe configurar estos dispositivos para que pasado un tiempo de inactividad pasen automáticamente a modo de suspensión y, en consecuencia, se active el bloqueo de la pantalla el cual requerirá el método de desbloqueo configurado.

• Activar la opción de cifrado de la memoria de almacenamiento de los dispositivos móviles institucionales haciendo imposible la copia o extracción de datos si no se conoce el método de desbloqueo.

• Instalar software de antivirus tanto en los dispositivos móviles institucionales, como en los personales que hagan uso de los servicios provistos por la URS.

• Controlar el uso de dispositivos de almacenamiento removibles, como pendrives, reproductores de medios, teléfonos móviles, Tablets, PDA´s y todo dispositivo que no sea provisto y/o autorizado por la Unidad de Registro Social.

• El software o sistemas de la información que se instale en los dispositivos móviles debe ser autorizado por la Dirección de Sistemas de información y el responsable del activo de información.

• El Oficial de Seguridad de la Información deberá autorizar el acceso a internet a través de los computadores de escritorio, computadores portátiles y otros dispositivos móviles, que accedan a los servicios provistos por la URS.

• Monitorear todos los dispositivos móviles que se conectan a la red de datos a través de medios inalámbricos.



Versión: 2.0


Página 25 de 130


Responsabilidad de los Servidores públicos de la Unidad de Registro Social

• Los servidores públicos de la URS que utilicen dispositivos móviles, puertos USB habilitados y lectores de cd dotados por la institución o propios, deberán contar con la justificación y autorización respectiva de el/la director/a del área requirente y del Oficial de Seguridad de la Información.

• Previa utilización de los dispositivos móviles en las estaciones de trabajo de la URS o personales se debe ejecutar el antivirus institucional o personal.

• Todo dispositivo móvil que utilicen los servidores públicos de la URS deberá ser estrictamente por temas laborales.

• Los servidores públicos de la URS deben evitar usar los dispositivos móviles institucionales en lugares que no les ofrezcan las garantías de seguridad física necesarias para evitar pérdida o robo.

• Los servidores públicos de la URS deben evitar la instalación de programas desde fuentes desconocidas; se deben instalar aplicaciones únicamente desde los repositorios oficiales de la institución.

• Los servidores públicos de la URS deben evitar hacer uso de redes inalámbricas de uso público, así como deben desactivar las redes inalámbricas como WIFI, Bluetooth, o infrarrojos en los dispositivos móviles institucionales asignados.

• Los servidores públicos deben evitar conectar los dispositivos móviles institucionales asignados por puerto USB a cualquier computador público, de hoteles, cafés internet, entre otros.

6.2.2.2 Política de Teletrabajo y medidas de seguridad

Garantizar la seguridad de toda la información y los recursos gestionados cuando se teletrabaja y

concienciar a los empleados de la importancia de cumplir las medidas de seguridad tanto dentro como

fuera de la oficina.

Responsabilidades de la Dirección de Talento Humano

• Relación de usuarios que disponen de la opción de trabajar en remoto. Llevar un control de las personas que, por su perfil dentro de la institución o las características de su trabajo, tienen la opción de teletrabajar.

Responsabilidades de la Dirección de Sistemas de Información

• Realizar pruebas de carga en escenarios simulados. Si existe un volumen considerable de empleados que van a teletrabajar al mismo tiempo, valoras la carga que esto ocasiona en los sistemas internos de la institución.



Versión: 2.0


Página 26 de 130


• Aplicaciones y recursos a los que tiene acceso cada usuario. Dar acceso a cada empleado solo a las aplicaciones y recursos necesarios para llevar a cabo su trabajo, dependiendo de su perfil dentro de la organización. Detallar las aplicaciones permitidas, así como sus condiciones de uso.

• Configuración de los dispositivos de teletrabajo. Configurar los dispositivos utilizados por el empleado para teletrabajar (sistema operativo, antivirus, control de actualizaciones, etc.), tanto si son corporativos como si son aportados por el trabajador.

• Definición de la política de almacenamiento en los equipos de trabajo y en la red corporativa. Elaborar las políticas que detallan a los empleados dónde deben guardar la información con la que trabajan en remoto.

• Planificación de las copias de seguridad de todos los soportes. Comprobar regularmente que se realizan periódicamente y que pueden restaurarse.

• Aplicaciones de escritorio remoto siempre a través de una VPN. Para ofrecer un extra de seguridad y privacidad a las comunicaciones, solo permitir el uso de las aplicaciones de escritorio remoto bajo una VPN.

Responsabilidades de los Servidores Públicos de la Unidad del Registro Social

• Disponer de una conexión a Internet. Cuando no es posible utilizar la red doméstica para teletrabajar o cualquier otra red considerada segura como alternativa, utilizar la red de datos móvil 4G o 5G siempre evitando la conexión a redes wifi públicas.

• Utilizar las configuraciones y conexiones permitidas y seguras al teletrabajar desde sus dispositivos personales.

• Registrar y reportar los eventos o incidentes de seguridad de la información al Oficial de Seguridad de la Información o al jefe inmediato, confirmados o sospechosos de acuerdo a los procedimientos que para el efecto sean establecidos.

6.3 SEGURIDAD DE LOS RECURSOS HUMANOS

6.3.1 Antes del empleo

6.3.1.1 Procedimiento para verificar antecedentes

Verificar antecedentes laborales de los mejores cinco posibles candidatos (interno o externos) a ser

contratados bajo contratos de servicios ocasionales siendo proporcionales a la naturaleza y actividades

de la Unidad del Registro Social y según normativa legal aplicable. Verificando el manejo a la

clasificación de la información a la cual va a tener acceso y los riesgos a los que ha estado expuesto.

Entendiéndose que su control no será por ningún motivo discriminatorio.


• Para la definición de criterios y limitaciones para la verificación del personal actual en cuanto a designación o promoción se procederá en base a la evaluación del desempeño del funcionario dentro de lo que establece la Norma Técnica de Evaluación del desempeño del sector público.



Versión: 2.0


Página 27 de 130


• Para informar el procedimiento de revisión se procederá a aplicar la Norma Técnica de Evaluación del Desempeño donde se pone en conocimiento la aplicación y cumplimiento a la norma mencionada.

• Las referencias laborales serán satisfactorias cuando cumplan con el nivel o puntaje establecido dentro del parámetro de verificación.

• En base a la hoja de vida proporcionada por el candidato se verificará a través de la documentación habilitante entregada por el aspirante la acreditación de lo estipulado (certificados laborales, instrucción formal e informal, historial laboral, etc), del análisis que realice la Dirección de Talento Humano, se dejará constancia en un informe que se incorporará al expediente de la persona que va a vincularse a la institución.

• Confirmación de calificaciones y/o puntajes adicionales del candidato según la Norma del Subsistema de Selección de Personal.

• Se verificará la cédula de ciudadanía, en la plataforma tecnológica que la Dirección General de Registro Civil, Identificación y Cedulación determine para el efecto.

• Además de lo ya descrito se verificarán más detalles como: Declaración patrimonial juramentada de inicio de gestión, declaración jurada de no encontrarse incurso en la prohibición de ocupación y desempeño de cargos en el sector público y certificado de no tener impedimento para ejercer un cargo público.

• EL proceso de selección de personal se basa en el fiel cumplimiento de la Norma Técnica de Selección de Personal y los procedimientos establecidos por el Ministerio del Trabajo.

6.3.1.2 Términos y condiciones laborales

Los servidores públicos de la Unidad del Registro Social aceptan a través de la suscripción de su contrato

de trabajo el cual establece las responsabilidades y obligaciones según la normativa legal vigente.


• Firmar el acuerdo de confidencialidad desde el primer día de labores del funcionario. Dicho acuerdo establece los parámetros tanto de vigencia, información confidencial referida, formas de acceso, responsabilidades y funciones.

• A través de la inducción de persona y en cumplimiento a la Norma del Subsistema de Capacitación se socializan los derechos y responsabilidades legales de los servidores, sobre la protección de datos y derechos de la propiedad intelectual, dejando constancia de lo actuado a través del reporte de inducción.

• A través de la suscripción del contrato de trabajo se responsabiliza al funcionario por la clasificación de la información y la gestión de la información de la institución y de otros activos relacionados con la información



Versión: 2.0


Página 28 de 130


6.3.2 Durante el empleo

6.3.2.1 Responsabilidades de la Máxima Autoridad o su delegado

La Unidad del Registro Social a través de su Máxima Autoridad o su delegado exigirá a los servidores

aplicar la seguridad de la información de conformidad con las políticas y procedimientos establecida por

la institución.

Responsabilidad de la máxima autoridad de la Unidad del Registro Social

• Emitir la resolución de disposición a los servidores que tengan relación con la política de seguridad de la información en el estricto cumplimiento de la Esquema Gubernamental de Seguridad de Información de la URS.

Responsabilidad de Comité de Seguridad de Información.

• Solicitar a la máxima autoridad o su delegado la disposición a los servidores que tengan relación con la política de seguridad de la información en el estricto cumplimiento de la Esquema Gubernamental de Seguridad de Información de la URS.

Responsabilidad de Oficial de Seguridad de Información

• Aprobar las funciones y las responsabilidades con respecto al acceso a la información al momento de asignar un usuario y clave para el mismo.

• Solicitar a las Unidades Administrativas un reporte de cumplimiento de los controles en relación a las funciones y responsabilidades respecto a la política de seguridad de la información de manera semestral.

• Revisar los reportes cumplimiento de los controles en relación a las funciones y responsabilidades respecto a la política de seguridad de la información y comunicar las novedades encontradas al comité de seguridad para la generación de acciones correctivas.

• Informa a la máxima autoridad alertas posibles violaciones de política, normativa de seguridad de información de manera inmediata.


• Crear usuario y clave en función a lo solicitado por la unidad administrativa requirente.

• Emitir usuario y clave, por medio de correo electrónico al custodio de la misma. Disponer de un canal reservado para reportar las aletas posibles violaciones de política, normativa de seguridad de información.



Versión: 2.0


Página 29 de 130


• Informar al Oficial de Seguridad de Información los reportes de alertas posibles violaciones de política, normativa de seguridad de información de manera inmediata.

Responsabilidad de la Dirección de Registro Interconectado de Programas Sociales

• Establecer las funciones y las responsabilidades con respecto al acceso a la información al momento de asignar un usuario y clave para el mismo.

• Solicitar la creación usuario y clave a la Dirección de Sistemas de Información para otorgar el acceso a los sistemas de información sensibles.

Responsabilidad de la Dirección de Talento Humano

• Generar un instrumento legal en donde conste los términos y las condiciones laborales donde conste el cumplimiento de la política de seguridad implementado por URS.

Responsabilidad de la Unidad de Comunicación Social

• Realizar, de acuerdo al Plan de Concienciación, campañas comunicativas respecto a la seguridad de información con énfasis en sus funciones y responsabilidades dentro de la URS.

6.3.2.2 Plan de Concienciación, educación y formación en seguridad de la información

En este hito se desarrolló el “PLAN DE CONCIENCIACIÓN, EDUCACIÓN Y FORMACIÓN EN SEGURIDAD DE

LA INFORMACIÓN”, código URS - GCOMS - 04 - PL - 01. Versión 1.0 de 24 de febrero de 2021.

6.3.2.3 Proceso disciplinario, garantizado y socializado.

En este punto se aplicará el “REGLAMENTO INTERNO DE ADMINISTRACIÓN DEL TALENTO HUMANO DE

LA UNIDAD DEL REGISTRO SOCIAL”.

6.3.3 Terminación y/o cambio de empleo

6.3.3.1 Responsabilidades ante la finalización o cambio de empleo, definidas y comunicadas.



Versión: 2.0


Página 30 de 130


En este hito se aplicará el proceso denominado “DESVINCULACIÓN DE PERSONAL”, código URS-CGAF-

DTH.03.02. Versión 1.0 de 18 de abril de 2020. (Anexo 5)

6.4 GESTIÓN DE ACTIVOS

Este dominio pretende generar políticas para inventariar, identificar y actualizar todos los activos

asociados con la información, y las instalaciones para el procesamiento de la información.

6.4.1 Responsabilidad por los activos

6.4.1.1 Inventario de activos, actualizado.

La Unidad del Registro Social mantendrán inventario de los activos de la información que comprende:

hardware, software, archivos físicos, archivos digitales, personas e instalaciones de procesamiento de

información.


• Identificar los tipos de activos de la información.

• Elaborar la Guía Metodológica para el inventario y clasificación de los activos de la información

• Socializar la Guía Metodológica, para la elaboración de los inventarios de cada unidad administrativa

• Identificar los responsables y custodios de cada activo de los activos de la información.

Responsabilidades de los Directores/as y/o responsables de las unidades de la Unidad del Registro

Social

• Elaborar y mantener actualizado el inventario de los activos de la información.

6.4.1.2 Propiedad de los activos, asignado.

El Comité de Seguridad de la Información, dispondrá por escrito, al responsable de los activos de la

información de las unidades administrativas.


• Designar formalmente a cada responsable, los activos de la información correspondiente.



Versión: 2.0


Página 31 de 130


Responsabilidades de los responsables de los activos de la información

• Identificar y solicitar los controles adecuados que se deberán implementar en sus activos de la información.

• Asegurar que los activos sean inventariados, se clasifiquen y protejan debidamente.

• Definir y revisar periódicamente las restricciones de acceso y clasificación de los activos importantes, teniendo en cuenta las políticas aplicables de control de acceso.

• Asegurar el manejo adecuado para el borrado o destrucción del activo.

6.4.1.3 Uso aceptable de los activos

La Unidad del Registro Social, identificará, documentará e implementará las reglas sobre el uso aceptable de los activos. Responsabilidades de los responsables de los activos de la información

• Identificar los controles que se deben aplicar para el intercambio de información y los accesos de sus activos de la información.


• Determinar lineamientos de seguridad de la información para el uso de los recursos tecnológicos:

▪ Acceso a Internet

El servicio de internet estará disponible las 24 horas del día, los 365 días del año, con excepción de los tiempos destinados a trabajos de mantenimientos planificados, o suspensión del servicio de internet por caso fortuito o fuerza mayor.

o Responsabilidades de los servidores públicos Se utilizará el servicio de Internet para consultar y verificar información únicamente en sitios considerados de apoyo al desempeño de actividades propias del cargo que desempeñan. Es responsabilidad de cada usuario verificar la validez del sitio web, la página web, la URL, o la información encontrada en el internet. Es responsabilidad de cada usuario asumir las consecuencias que se puedan derivar del uso de la información obtenida de Internet, así como de difundir información confidencial o reservada a través de Internet Los usuarios no estén autorizados para usar, descargar, instalar o distribuir programas (software} de Internet, no autorizados a que pongan en riesgo la seguridad de la red. Se deberán respetar las protecciones legales de las datos y software proporcionados por sus derechos de autor y licencias. Esto incluye copiar o



Versión: 2.0


Página 32 de 130


editar información, imágenes, música o videos protegidos por los derechos de autor. Todo incidente de seguridad de la información que suceda en el uso del servicio de internet debe ser reportado al Oficial de Seguridad de la Información, de acuerdo al procedimiento de administración de incidentes de seguridad de la información. Se considera uso inadecuado del internet acceder para atender asuntos personales, actividades políticas, negocios privados o cualquier otra actividad no relacionada con las funciones del puesto. Se considera uso inadecuado del internet manipular el servicio de Internet para realizar actividades crimínales de acuerdo a lo definido para la legislación vigente del Ecuador. Los servidores públicos, terceras partes y temporales de la Unidad del Registro Social tendrán por defecto acceso a la navegación básica.

o Responsabilidades de la DSI

Se bloqueará el acceso a uso de servicios en la nube para almacenamiento a procesamiento de información de la URS. Es responsabilidad del área monitorear y reportar al Oficial de Seguridad de la Información el uso inadecuado del internet y las novedades encontradas por parte de los servidores públicos, terceras partes y temporales. Revisará la navegación en el internet a los servidores públicos, terceros partes y temporales, para análisis y medidas correctivas necesarias. Se deberá limitar el acceso a aquellos sitios web, que se consideren censurables, para evitar afectaciones a los intereses y reputación de la URS. Se deberá bloquear en todos los perfiles de navegación en internet, el acceso a los sitios web, relacionados con: pornografía, racismo, violencia, delincuencia, entretenimiento, contenidas ofensivos, acceso y uso de servicios de correo electrónico de libre uso como GMaiI, Yahoo Mail, Hotmail o Outlook, entre otros. De requerir acceso a estos sitios web se deberá solicitar aprobación del Oficial de Seguridad de la información.

o Responsabilidad del Oficial de seguridad de la información

Los perfiles de navegación para el acceso a internet, serán establecidos y aprobados por el Comité de Seguridad de la Información. Deberá actualizar y aprobar las categorías de los perfiles de navegación para el acceso a internet, de acuerdo a las necesidades y requerimientos de los responsables de los activos de información de la URS. Establecer y aprobar un tiempo de cuota de navegación diaria para acceder a sitios web permitidos bajo esta modalidad. Para los demás sitios permitidos el



Versión: 2.0


Página 33 de 130


acceso será permanente. Promover el uso adecuado de internet, así como vigilar el cumplimiento de las disposiciones que sean emitidas sobre este recurso informático.

o Responsabilidad de la Dirección de Talento Humano

Los servidores públicos, terceras partes y temporales deberán firmar un acuerdo de confidencialidad o no divulgación, cuando se acceda a los activos de información de la URS, en el cual se compromete a guardar la integridad y confidencialidad de la información que utilice, genere y solo usará para fines laborales. Previa firma del acuerdo, se les deberá informar las sanciones que aplican en caso de incumplimiento.

Responsabilidades de los servidores públicos de la Unidad del Registro Social

• Los servidores públicos, terceras partes y temporales son responsables sobre el manejo y creación de la información resultante durante el contrato laboral.

• Los servidores públicos, terceras partes y temporales deberán realizar el proceso de traspaso de conocimientos, luego de la terminación de su contrato, para la continuación de las operaciones importantes dentro de la URS.

• El proceso de desvinculación entre otros temas legales, deberá contemplar la entrega de bienes, credenciales de acceso, informe de actividades, entrega de los activos de información y deshabilitación de los diferentes accesos que mantenga el servidor público.

• Poner lo de la información en la carpeta compartida.

6.4.1.4 Devolución de activos

Consiste en Realizar el procedimiento respectivo para la entrega de los activos a cargo del funcionario

saliente antes de salir de la institución, asegurándose por parte del Nivel jerárquico Superior el

cumplimiento en la entrega, tanto en activos físicos como de gestión de la información.

Responsabilidad de los servidores públicos de la Unidad del Registro Social

• Devolver todos los activos de la institución entre los cuales están: dispositivos de cómputo móviles, tarjetas de crédito, las tarjetas de acceso, tokens USB con certificados electrónicos, certificados electrónicos en archivo, memorias flash, teléfonos celulares, cámaras, manuales, información almacenada en medios electrónicos y otros estipulados en las políticas internas de



Versión: 2.0


Página 34 de 130


cada institución.


• Socializar el proceso de desvinculaciones del personal, el cual incluya la devolución de software, documentos institucionales y los equipos.

Responsabilidad de la Dirección de Sistemas de la Información

• Aplicar los debidos procesos para garantizar que toda la información generada por el empleado, contratista dentro de la institución, sea transferida, archivada o eliminada con seguridad.

Responsabilidades de la Dirección Administrativa

• Mantener el detalle de los bienes y sus custodios actualizados.

• Implementar formulario para descargo de bienes.

• Realizar una constatación física de los bienes que fueron asignados al servidor y será objeto de devolución por concepto de desvinculación.

• Elaborará Actas de entrega recepción de bienes y activos de la información que serán devueltos.

6.4.2 Clasificación de la información

6.4.2.1 Clasificación de la información

Clasificar la información generada y custodiada por las unidades administrativas, como pública,

confidencial y reservada, tomando en cuenta factores como su valor, sensibilidad, criticidad y requisitos

legales.


• Implementar el instructivo de clasificación de los activos de información en la institución.

• Clasificar la documentación generada y custodiada como pública, confidencial y reservada de acuerdo a la LOTAIP, y normativa interna.

• Clasificar la documentación generada y custodiada en términos de su valor, requisitos legales, sensibilidad y la importancia para la Unidad del Registro Social.

• Catalogar los activos de información de acuerdo a lo levantado por las unidades administrativas

• Implementar los controles de seguridad desarrollados en el hito 7.1.2 para asegurar la integridad, confidencialidad y disponibilidad de los activos de información

• Revisar el catálogo aprobado de forma anual con el fin de mantener actualizado de acuerdo a la normativa vigente.



Versión: 2.0


Página 35 de 130


• Catalogar la información generada y custodiada de acuerdo a los parámetros indicados por las unidades administrativas.

Responsabilidades de la Dirección de Asesoría Jurídica

• Asesorar a las unidades administrativas para la clasificación de los activos de información y el tiempo de permanencia de la información de acuerdo a la legislación vigente.

Responsabilidades de la máxima autoridad de la Unidad del Registro Social

• Aprobar el catálogo de la información institucional.

6.4.2.2 Etiquetado de la información

La Unidad del Registro Social, identificará y socializará la nomenclatura para el etiquetado de los activos

de la información.


• Emitir instructivo de etiquetado donde se estandaricen los códigos por unidad administrativa.

Responsabilidades de los responsables de los activos de la información

• Implementar el instructivo de etiquetado en el inventario de activos de la información.

6.4.2.3 Manejo de los activos

La Unidad del Registro Social definirá los niveles más adecuados para la clasificar y manipulación de la su

información de acuerdo con su sensibilidad, y generará una guía de Clasificación de la Información para

que los propietarios de la misma la cataloguen y determinen los controles requeridos para su uso y

protección.

Toda la información de la Unidad del Registro Social debe ser identificada, clasificada y documentada de

acuerdo con las guías de Clasificación de la Información establecidas por la Dirección de Sistemas de

Información.

Una vez clasificada la información, el Unidad del Registro Social proporcionará los recursos necesarios

para la aplicación de controles en busca de preservar la confidencialidad, integridad y disponibilidad de

la misma, con el fin de promover el uso adecuado por parte de los servidores y personal provisto por

terceras partes que se encuentre autorizado y requiera de ella para la ejecución de sus actividades.




Versión: 2.0


Página 36 de 130


• El Comité de Seguridad de la Información debe recomendar los niveles de clasificación y acceso de la información propuestos por el Oficial de Seguridad de la Información y la guía de clasificación y manipulación de la Información de la Unidad del Registro Social para que sean aprobados por la máxima autoridad.

Responsabilidades de la Dirección de Sistemas de la Información

• Restringir el acceso a la información de acuerdo a su clasificación, definiendo usuarios autorizados a los activos.

• Definir los controles necesarios para proteger las copias sean temporales o permanentes, a un nivel consistente con la protección de la información original, marcando claramente el contenido

• Realizar el almacenamiento de activos de TI conforme a las especificaciones de sus fabricantes

• La Dirección de Sistemas de la Información debe proveer los métodos de cifrado de la información, así como debe administrar el software o herramienta utilizado para tal fin.

• La Dirección de Sistemas de la Información debe efectuar la eliminación segura de la información, a través de los mecanismos necesarios en la plataforma tecnológica, ya sea cuando son dados de baja o cambian de usuario.

Responsabilidades de la Dirección Administrativa (Gestión de Documentación y Archivo)

• La Dirección Administrativa debe utilizar los medios de los cuales está dotada para destruir o desechar correctamente la documentación física, con el fin de evitar la reconstrucción de la misma, acogiéndose a procedimiento establecido para tal fin.

• La Dirección Administrativa debe realizar la destrucción de información cuando se ha cumplido su ciclo de almacenamiento.

• La Dirección Administrativa debe administrar el contrato de almacenamiento y resguardo de las cintas de back-up, otros medios de almacenamiento y documentos físicos de la Unidad del Registro Social con el proveedor del servicio.

• La Dirección Administrativa debe verificar el cumplimiento de los Acuerdos de Niveles de Servicio y Acuerdos de intercambio con el proveedor de custodia externo de los medios de almacenamiento y documentos de la Unidad del Registro Social.

Responsabilidades de los Direcciones Administrativas poseedoras/generadoras de los activos de

información

• Los propietarios de los activos de información deben clasificar su información de acuerdo con las guías de clasificación de la información establecida. Son responsables de monitorear periódicamente la clasificación de sus activos de información y de ser necesario realizar su re-clasificación.



Versión: 2.0


Página 37 de 130



• Los servidores deben acatar los lineamientos guía de clasificación de la Información para el acceso, divulgación, almacenamiento, copia, transmisión, etiquetado y eliminación de la información contenida en los recursos tecnológicos, así como de la información física.

• La información física y digital de la Unidad del Registro Social debe tener un periodo de almacenamiento que puede ser dictaminado por requerimientos legales o misionales; este período debe ser indicado en las tablas de retención documental y cuando se cumpla el periodo de expiración, toda la información debe ser eliminada adecuadamente.

• Los servidores deben tener en cuenta estas consideraciones cuando impriman, escaneen, saquen copias y envíen e-mails: verificar las áreas adyacentes a impresoras, escáneres, fotocopiadoras para asegurarse que no quedaron documentos relacionados o adicionales; asimismo, recoger de las impresoras, escáneres, fotocopiadoras y máquinas de fax, inmediatamente los documentos confidenciales para evitar su divulgación no autorizada.

• Tanto los servidores como el personal provisto por terceras partes deben asegurarse que, en el momento de ausentarse de su puesto de trabajo, sus escritorios se encuentren libres de documentos y medios de almacenamiento, utilizados para el desempeño de sus labores; estos deben contar con las protecciones de seguridad necesarias de acuerdo con su nivel de clasificación.

• La información que se encuentra en documentos físicos debe ser protegida, a través de controles de acceso físico y las condiciones adecuadas de almacenamiento y resguardo.

6.4.3 Manejo de medios

6.4.3.1 Gestión de medios extraíbles

El uso de medios de almacenamiento extraíbles en los recursos de la plataforma tecnológica de la

Unidad de Registro Social será reglamentado por la Dirección de Sistemas de Información, junto con el

Oficial de Seguridad de la Información, considerando las labores realizadas por los servidores y su

necesidad de uso.

Responsabilidad de los Directores/as y/o responsables de las unidades de la Unidad del Registro

Social

• Solicitar y justificar la habilitación de puertos USB y CD para los servidores públicos que se encuentren bajo su responsabilidad, utilizando el formulario de solicitud vigente. Solo deberían solicitar la habilitación para el uso de medios extraíbles cuando exista una necesidad institucional.


• El uso de medios extraíbles es un requerimiento que debe ser evaluado y autorizado por el Oficial de Seguridad de la Información, considerando que exista una necesidad institucional.



Versión: 2.0


Página 38 de 130



• Elaborar, implementar y socializar un formulario para solicitar la habilitación de puertos USB y CD.

• Previa autorización del Oficial de Seguridad de la Información, habilitar el uso de medios extraíbles a los servidores públicos de la URS.

• Mantener un registro actualizado de los servidores públicos que han tenido y tienen acceso a medios extraíbles.

• Utilizar técnicas criptográficas para proteger los datos que se almacenan en medios extraíble.

• Los medios extraíbles que concluyeron su vida útil, que sufrieron daño o requieren actualizaciones, antes de desecharlos, o antes de retirarlos del usuario, se deberá evaluar y revisar la información y software que contienen, generar un respaldo de la información debidamente etiquetado en caso de requerirse y realizar un borrado lógico seguro.

• Utilizar técnicas de borrado o eliminación de la información que no permita la recuperación de la información original, antes de su retirada o reutilización.

• Monitorear la transferencia de información a los medios extraíbles.

Responsabilidad de los Servidores públicos de la Unidad del Registro Social

• La solicitud del requerimiento debe realizarse de acuerdo al procedimiento de atención de requerimientos de soporte establecido.

• Tomar las medidas de resguardo necesarias sobre estos activos de información, con el fin de evitar accesos no autorizados, daños, perdida de información o del dispositivo extraíble.

• Los medios extraíbles dotados por la URS deberán mantenerse en un entorno seguro y protegido, a fin de salvaguardar la información que almacenan y garantizar la vida útil del dispositivo.

• A fin de mitigar el riesgo de degradación o daño del dispositivo se debe generar respaldos de la información.

• Todo medio de almacenamiento extraíble utilizado en las estaciones de trabajo de la URS debe ser escaneado mediante el software antimalware suministrado por la entidad.

• En caso de ocurrir un evento de seguridad de la información respecto a los medios extraíbles se debe reportar de manera oportuna al Oficial de Seguridad de la Información.

6.4.3.2 Procedimiento de eliminación de los medios

La Unidad de Registro Social ejecutará las acciones necesarias para la eliminación segura de medios

cuando ya no sean necesarios, mediante procedimientos formales.


Previa a destruir los medios de almacenamiento que contienen información sensible se deberá

considerar lo siguiente:



Versión: 2.0


Página 39 de 130


• Previo a la eliminación de medios, de ser pertinente se deberá realizar un análisis de riesgos a

fin de determinar si el medio puede ser destruido o recuperado.

• Respaldar la información (Documentos y Archivos) existente en el medio de almacenamiento,

antes de su eliminación

• Verificación del estado de funcionamiento del medio de almacenamiento.

• Es necesario realizar el proceso de eliminación lógica de la información antes del proceso de

eliminación físico en medios de almacenamiento.

• Establecer un procedimiento formal para la eliminación segura de los medios o soportes.

• Previa la notificación al área de Bienes de un medio para su eliminación, deberán existir

registros a fin de mantener trazabilidad por temas de auditoría.

• La dirección de tecnología determina que el medio almacenamiento no es apto para la

reutilización y solicita a la dirección administrativa la baja de Bienes Institucionales (destrucción

física e integral) de la URS.

6.4.3.3 Transferencia de medios físicos

La Unidad de Registro Social ejecutará las acciones necesarias para que toda la información que sea

transportada fuera de la institución tenga las seguridades necesarias para evitar el acceso y uso

inadecuado de la información.


• Para el transporte de medios físicos se debe generar una bitácora, donde se registre quien

entrega y quien recibe el medio.

• Usar vehículos de la institución para el traslado de equipo (Hardware), en medida de lo posible

evitar uso de servicios de paquetería.

• En caso de enviar un dispositivo de almacenamiento, este deberá enviarse de preferencia sin

información; caso contrario, se deberá utilizar algoritmos para encriptar la información crítica.

• Se deberá tomar evidencia fotográfica de equipo empaquetado.

6.5 CONTROL DE ACCESO

Este dominio pretende implementar y socializar la política de control de acceso a los sistemas de

información, de acuerdo a la necesidad institucional y considerando la seguridad de la información.

Implementar los procesos, procedimientos, controles, descritos en el EGSI para: - Requisitos

institucionales para el control de acceso - Gestión de acceso de los usuarios - Responsabilidades del

usuario - Control de acceso a sistemas y aplicaciones



Versión: 2.0


Página 40 de 130


6.5.1 Requisitos institucionales para el control de acceso

6.5.1.1 Política de control de acceso

La Dirección de Sistemas de Información de la Unidad del Registro Social, velará por la seguridad de la

información institucional y el control de acceso a servicios, bases de datos y sistemas de información, a

fin de garantizar que los usuarios habilitados son los autorizados.

Responsabilidad de la Dirección de Sistemas de Información.

• Definir un procedimiento que contemple la creación, actualización, activación e inactivación de cuentas de usuario.

• Entregará a los servidores de la URS, las credenciales de accesos a los sistemas de información solicitados.

• Establecer métodos para controlar y solicitar cambios de contraseña de acceso a los servicios de la URS, cada vez que sea requerido.

• Controlar el acceso remoto a servicios institucionales como aplicaciones, sistemas de información o servidores, haciendo uso de un tipo de conexión por VPN.

• Mantener un listado actualizado de los usuarios responsables de la administración de los recursos tecnológicos.

• La Dirección de Sistemas de Información en conjunto con el responsable del activo de información, deben elaborar la matriz de roles y perfiles para cada sistema de información de la Unidad del Registro Social.

• Suministrar software de protección (antivirus) contra acceso no autorizado a los sistemas y servicios institucionales, a fin de evitar que software malicioso pueda evadir los controles de seguridad del sistema.

• La Dirección de Sistemas de Información debe establecer el uso de diferentes cuentas de usuario para acceso a los servidores en los ambientes de pruebas y producción.

• El área de desarrollo de la DSI, a nivel de aplicativo debe restringir el acceso a archivos u otros recursos, a direcciones URL protegidas, a funciones protegidas, a servicios e información relevante de configuración de los sistemas.

• Gestionar los accesos de los usuarios a los sistemas de información asegurando el acceso de usuarios autorizados y previniendo los accesos no autorizados.

• Definir los niveles de seguridad, considerando la clasificación de la información.

• Considerar la norma legal vigente para otorgar el acceso a datos o servicios de la institución.


• Si un servidor público requiriere acceso a un sistema o servicio institucional, el director de cada área debe realizar la solicitud debidamente justificada y autorizada por el responsable del activo de información.



Versión: 2.0


Página 41 de 130


• El usuario y la contraseña asignados para el acceso a los diferentes servicios tecnológicos, es personal e intransferible. Cualquier actividad que se realice con el usuario y clave será responsabilidad del funcionario al cual le fue asignado.

• El usuario debe modificar la contraseña asignada, cuando el sistema o servicio le solicite, cumpliendo con estándares de seguridad como el tamaño mínimo de la contraseña, uso de letras mayúsculas, minúsculas, números y caracteres especiales.

• Los usuarios administradores de servicios tecnológicos o sistemas de información deben cumplir con los lineamientos de contraseñas seguras.

Responsabilidad de los responsables de los activos de información

• Realizar revisiones periódicas de los usuarios que tiene acceso a sus activos de información y generar reportes de las revisiones realizadas. Entregar los reportes de las revisiones a la Oficial de Seguridad de la Información

• Otorgar o solicitar se deshabiliten los accesos a los servicios o funcionalidades de los sistemas de información, bases de datos y demás recursos tecnológicos.


• Analizar los reportes de las revisiones periódicas emitidas por el responsable de los activos de información y de ser el caso, tomar acciones correctivas de las novedades presentadas.

6.5.1.2 Acceso a redes y servicios de red

La Unidad de Registro Social proveerá el acceso a las redes y a los servicios de red únicamente a los

servidores públicos autorizados; los niveles o permisos de acceso otorgados serán los mínimos

necesarios para desempeñar sus funciones laborales.

Responsabilidad del Directores/as y/o responsables de las unidades de la Unidad del Registro Social


• Solicitar y justificar la habilitación de acceso para los servidores públicos que se encuentren bajo su responsabilidad, utilizando el formulario de solicitud vigente.


• El acceso de navegación a internet deberá utilizarse para temas y asuntos relacionados con las funciones y labores que desempeñan los servidores de la URS.



Versión: 2.0


Página 42 de 130


• Se prohíbe utilizar el servicio de Internet de la Unidad del Registro Social para establecer conexiones no autorizadas.

• Se prohíbe el uso de cualquier tipo de software que vulnere las seguridades del sistema de firewall de la Unidad del Registro Social para recibir contenido no autorizado a través del internet.

• Hacer buen uso de las credenciales de acceso a los servicios de red.

• Las contraseñas de acceso a los servicios de red institucional son personales e intransferibles, cada acción que se realice con las credenciales asignadas es responsabilidad del servidor.

• Está prohibido conectar equipos de cómputo que no sean de la Unidad del Registro Social a la red local, que pretendan acceder a información no autorizada o manipular archivos o bases de datos que contengan información confidencial o reservada.

• No descargar, instalar o distribuir programas (software) de Internet, no autorizados o que pongan en riesgo la seguridad de la red de la URS.


• Elaborar e implementar procedimientos de autorización que determinen quién tiene permitido el acceso a la red y servicios de red.

• Implementar los controles necesarios para el ingreso a la red y los procedimientos respectivos para proteger el acceso a las conexiones de red y a los servicios de la red.

• Los equipos conectados a la red institucional deberán estar previamente identificados, autenticados y autorizados.

• Aprobar el acceso a redes de datos inalámbricas a servidores públicos, terceras partes y temporales de la URS a través de otros dispositivos móviles y computadores portátiles que pertenezcan o no a la institución.

• Se creará contraseñas de acceso a la red para garantizar que únicamente los servidores públicos de la Unidad del Registro Social, de acuerdo con el perfil y funciones, tengan acceso a la red institucional.

• El acceso a la red de la Entidad debe ser otorgado solo a usuarios autorizados, previa definición, verificación y control de los perfiles y roles para el acceso en los diferentes sistemas de información, en coordinación con la Dirección de Talento Humano.

• Restringir las páginas no relacionadas con las actividades de la Unidad del Registro Social y se generarán niveles de acceso a internet.

• Se restringirá totalmente el uso de internet para aquellos sitios que contengan: pornografía, violencia y otros contenidos que sean dañinos o considerados ofensivos.

• Se restringirá el uso de internet para: redes sociales, armas, servicios de video y audio; estos servicios estarán sujetos a la aprobación o autorización por parte de la Dirección de Sistemas de Información.

• Monitorear continuamente el uso de los servicios de la red, con alertas sobre aquellos recursos que se considere críticos.

• Asegurar que las redes inalámbricas de la URS cuenten con métodos de autenticación que evite accesos no autorizados.

• Establecer controles para la identificación y autenticación de los usuarios que no pertenecen a la institución en las redes o recursos de red de la URS, así como velar por la aceptación de las



Versión: 2.0


Página 43 de 130


responsabilidades de mencionados usuarios. Además, se debe formalizar la aceptación de las Políticas de Seguridad de la Información por parte de estos.

6.5.2 Gestión de acceso de los usuarios

6.5.2.1 Registro y retiro de usuarios

La Unidad del Registro Social a través de la Dirección de Sistemas de Información y la Dirección de

Registros Interconectados de Programas Sociales son los responsables de los activos de la información

para el registro y retiro de usuarios implementarán procedimientos formales para la administración de

usuarios en función de sus atribuciones.

Responsabilidad de la Dirección de Planificación y Gestión Estratégica

• Formular, implementar los procesos relacionados al registro y retito de usuarios con las áreas de los procesos sustantivos.

Responsabilidad de los responsables de los activos de la información

• Designar un administrador de usuarios para que registre o retire a los usuarios de los activos de información.

• La solicitud para el registro y retiro de usuarios se realizará de acuerdo la normativa respectiva.

• En los casos de desvinculación de personal, los permisos y accesos a los activos de información serán retirados.

• El administrador de usuarios podrá registrar y/o retirar usuarios, previa solicitud del director, responsable o delegado.

• Se contará con un procedimiento de validación de datos previo registro y retiro de usuarios.

Responsabilidad de la Dirección del Registro Interconectado de Programas Sociales

• El administrador de usuarios deberá gestionar los usuarios de los aplicativos y/o sistemas relacionados al RS y RIPS a través del Sistema de Seguridades de la URS.

• El administrador de usuarios podrá retirar el acceso a los aplicativos y/o sistemas relacionados al RS y RIPS, de los usuarios que no registren actividad en un período de 3 meses, previa notificación a la institución.

Responsabilidad de los responsables de los activos de la información

• Gestionar las solicitudes de registro y retiro de usuarios para los activos de la información.



Versión: 2.0


Página 44 de 130


• Notificar oportunamente la desvinculación de los servidores a los cuales se les haya asignado claves de acceso para los activos de información.

6.5.2.2 Provisión de accesos a usuarios

Implementar un procedimiento formal para asignar o revocar las credenciales de acceso para todos los

tipos de usuarios de los sistemas y servicios.

Para la provisión de acceso se debe establecer quién, cómo y cuándo los usuarios pueden acceder a los

activos de la información, y se considerará lo siguiente:

• En función del área o unidad a la que pertenezca el usuario.

• En función del tipo de información que accederá.

• En función de las operaciones permitidas sobre la información a la que tiene acceso.

Responsabilidad de los responsables de activos de la información

• La provisión de acceso a los usuarios será ejecutada por cada uno de los responsables de los activos de información.

• Para otorgar la provisión de acceso al usuario al activo de la información, el mismo deberá contar con una cuenta de correo electrónico.

• Los responsables de los activos de la información otorgaran la provisión de acceso en función de la solicitud del director o responsable o delegado y verificará que el acceso corresponda a las personas autorizadas.

• Asignar los permisos necesarios para que el usuario solo pueda realizar las acciones sobre la información a la que tienen acceso.

• Identificar y definir es los roles de usuarios en función del tipo de información al que podrán acceder.

• Revisar periódicamente que los permisos concedidos a los usuarios sean los correspondientes.

• Establecer mecanismos necesarios para registrar todos los cambios en la provisión de acceso a los activos de información.

6.5.2.3 Gestión de los derechos de acceso con privilegios especiales

La asignación de credenciales de acceso con privilegios especiales, serán restringidos y controlados. Los

usuarios con derecho de acceso con privilegios especiales que permiten realizar cualquier acción sobre

los activos de la información deben gestionar con la máxima precaución; además, deberá tener cuenta

los siguientes aspectos:

• Implementar un control de acceso con doble factor de autentificación.

• Las claves de acceso deben ser lo más robustas posibles y ser cambiadas con frecuencia.



Versión: 2.0


Página 45 de 130


• Las cuentas de administrador pueden ser sometidas a procesos de auditoria periódicas.


• Levantar una matriz de clasificación de usuarios privilegiados con sus respectivos roles y permisos.

• Designar la administración de un sistema o aplicativo como una de las responsabilidades que el personal debe desempeñar de acuerdo a su área de pertenencia dentro de la institución.

• Definir las tareas de administración que debe cumplir un usuario administrador conforme el sistema o aplicativo que haya sido designado.

• Establecer dentro de las tareas de administrador se contemple la revisión periódicamente de los usuarios, roles y permisos otorgados.

• Definir la clasificación de los activos de la información.

• Los equipos de procesamiento de información crítica serán protegidos instalándolos en áreas de acceso limitado o restringido.

• Definir una adecuada gestión de las cuentas de acceso con privilegios especiales, como forma de prevenir los riesgos ocasionados por el uso de permisos privilegiados.

• Eliminar el riesgo de inicios de sesión anónimos a cuentas privilegiadas.

6.5.2.4 Gestión de la información confidencial de autenticación de los usuarios

Las Direcciones de la URS que sean responsables de gestionar la información confidencial serán las

encargadas de administrar el acceso a la información, aplicaciones, sistemas y equipos informáticos; y,

velaran que solo las personas autorizadas tengan el debido acceso con el propósito de verificar la

identidad de los usuarios internos y/o externos.



Versión: 2.0


Página 46 de 130



• Elaborar acuerdos de uso y confidencialidad para el personal de la institución.

• Solicitar la firma de un acuerdo de confidencialidad a los servidores de la institución con la finalidad de proteger la información.

Responsabilidad de la Dirección de Asesoría Jurídica

• Elaborar acuerdos de uso y confidencialidad para los delegados de las instituciones usuarias del RS antes de entregar la información solicitada.

Responsabilidad de la Coordinación General Técnica

• Solicitar la firma de un acuerdo de uso y confidencialidad a los delegados de las instituciones usuarias del RS antes de entregar la información solicitada.


• Proporcionar a los usuarios internos y externos contraseñas seguras de forma confidencial mediante correos electrónicos protegidos que mantengan el texto cifrado.

• Entregar a los usuarios contraseñas temporales a ser cambiadas de forma obligatoria en el primer uso de las aplicaciones. Las contraseñas temporales deben apegarse a la complejidad y estándares de seguridad de la institución.

• Proporcionar asistencia técnica a los usuarios que lo requieran, en caso de existir inconvenientes con el acceso a los aplicativos de la institución.

• Cada usuario de los sistemas de información de URS contará con: o Identificador o Nombre de usuario: que corresponde a la identidad de la persona y es

único dentro de la red y de la aplicación. o Password o contraseña: que será conocido sólo por el usuario.

• El identificador de un usuario en la base de datos que sea eliminado no se volverá a asignar a otra persona en el futuro.

• Los sistemas de información, según su criticidad y uso, desconectarán automáticamente las sesiones de conexión tras un periodo definido de inactividad que sea configurable por cada sistema.

• Se implementará mecanismos de identificación de un usuario que se conecta remotamente a la red de la organización, así como la identificación del punto de conexión remota.

• Se identificará qué redes o segmentos de red se pueden contar los equipos remotos.

• Los sistemas de información críticos estarán conectados en ambientes, entornos informáticos y/o segmentos de red aislados.



Versión: 2.0


Página 47 de 130



• Firmar el acuerdo de uso y confidencialidad de la información y cumplir con las obligaciones establecidas: o El usuario al que se le ha asignado acceso a la información, aplicaciones, sistemas y equipos

informáticos, preservará la confidencialidad de la contraseña asociada. Ningún usuario utilizará las credenciales de otro usuario.

o El usuario al terminar la jornada de trabajo o ausentarse de la oficina por un periodo prolongado de tiempo, cancelará las sesiones de usuario dentro de las aplicaciones, además de bloquear la pantalla.

6.5.2.5 Derechos de acceso de usuario

Los propietarios de los activos de la información de la Unidad del Registro Social deberán revisar los

derechos de acceso otorgados a los usuarios a intervalos regulares, a fin de garantizar que los servidores

que acceden a los activos de la información sean los autorizados.

Responsabilidad de los responsables de los Activos de la Información

• Revisar los derechos de acceso de los usuarios registrados una vez al mes y después de cualquier cambio, para garantizar que se encuentren habilitados solo usuarios autorizados.

• Remitir reportes trimestrales al oficial de seguridades sobre los derechos de acceso concedidos a los usuarios.

• Identificar los activos de información críticos y los custodios a su cargo.


• En los sistemas y aplicaciones en los cuales se procese y/o conserve información crítica de ser necesario, se deberá contar con logs de auditoria a fin de que exista la trazabilidad de las transacciones.

• Todo cambio de perfil de usuario de acceso deberá se registrar logs de auditoria.

6.5.2.6 Retiro o adaptación de los derechos de acceso

Para retirar y adaptar los derechos de acceso de los usuarios que acceden a los sistemas, aplicativos y

servicios de la URS se debe considerar lo siguiente:

• Al finalizar una relación laboral de un funcionario es necesario revocar los permisos de acceso, a los sistemas, aplicativos, servicios e instalaciones.



Versión: 2.0


Página 48 de 130


• Se eliminará las cuentas de correo, acceso a repositorios, servicios, sistemas y aplicaciones.

• Se deberá exigir la devolución de cualquier activo de información que se le hubiese asignado. Responsabilidad de la Dirección de Talento Humano.

• Solicitar la habilitación, adaptación y deshabilitación de usuarios en función de las actividades que requiere el puesto de trabajo.


• Una vez que la Dirección de Talento Humano informe el personal que se desvincula de la institución se procederá a retirar los derechos de acceso de usuario a los sistemas, y accesos físicos a las instalaciones de procesamiento de información

• Previa notificación de la Dirección de Talento Humano, actualizar los derechos de acceso de usuario a los sistemas y servicios de información cuando el funcionario solicita cambio de área en la institución.

• Toda creación, modificación o eliminación de accesos a sistemas y/o aplicativos será registrado en el log de auditoría.

Responsabilidad de la Dirección del Registro Interconectado de Programas Sociales

• El administrador de usuarios de la DRIPS deberá retirar los derechos de acceso de los usuarios internos y externos que acceden a los sistemas y/o aplicativos relacionados al RS y RIPS, una vez que el delegado institucional haya solicitado la deshabilitación del usuario, sea por desvinculación o cambio de funciones en la institución.

• Para los casos que se modifiquen las relaciones laborales el delegado institucional debe informar al administrador de usuarios de la DRIPS la adaptación de los derechos de acceso.

• Realizar revisiones periódicas sobre los derechos de acceso concedidos a los usuarios que acceden a los sistemas y/o aplicativos relacionados al RS y RIPS.


• Informar la desvinculación de los usuarios o cambio de relación laboral de la institución y solicitar su cancelación o cambio de derechos de acceso.

6.5.3 Responsabilidades del usuario

6.5.3.1 Uso de la información confidencial para la autenticación

Los servidores públicos deberán hacer buen uso de las credenciales de acceso a la información y los

equipos que la Unidad de registro social les provea para realizar sus actividades.



Versión: 2.0


Página 49 de 130


Responsabilidad de la Unidad de Comunicación

• Socializar y recordar de forma regular las buenas prácticas de seguridad en el uso de la información confidencial para la autenticación que se ha establecido en la institución.


• Mantener el tipo de autenticación por sistema operativo, para que los usuarios inicien sesión, en el equipo de trabajo, correo institucional y el aplicativo de VPN con la misma contraseña.

• Las credenciales de acceso a los sistemas y/o aplicativos de información deberán encontrarse cifradas.

Responsabilidad de los Servidores públicos de la Unidad del Registro Social y usuarios externos que

acceden a la información del Registro Social

• Tomar en cuenta que únicamente para inicio de sesión del equipo de trabajo, correo institucional y aplicativo de conexión de la VPN se mantiene la misma contraseña ya que el tipo de autenticación que se mantiene es por sistema operativo.

• No utilizar información personal como contraseña, como son fechas de cumpleaños, números de cédula o números de teléfono.

• A fin de mantener la confidencialidad, no se debe compartir las credenciales de acceso con otras personas.

• No guardar información de autenticación en los ficheros de los navegadores web, en papeles que estén visibles o en documentos de texto de dispositivos tecnológicos.

• Seguir las buenas prácticas de seguridad que la URS establezca para el adecuado uso de contraseñas.

• Se recomienda cambiar las contraseñas de acceso cada 45 días, o cuando exista indicios de su posible divulgación.

• Se recomienda cambiar la clave de acceso suministrada por la URS luego del primer logueo.

• Crear contraseñas seguras difíciles de descifrar.

6.5.4 Control de acceso a Sistemas y aplicaciones

6.5.4.1 Restricción del acceso a la información

Las Direcciones de la Unidad del Registro Social como propietarias de los sistemas de información y

aplicativos que apoyan los procesos, velarán por la asignación, modificación y revocación de privilegios

de accesos a sus sistemas o aplicativos de manera controlada.



Versión: 2.0


Página 50 de 130


La Dirección de Sistemas de Información y la Dirección de Registros Interconectados de Programas

Sociales como responsables de la administración de los sistemas o aplicativos, propenderán para que los

sistemas o aplicativos sean debidamente protegidos contra accesos no autorizados a través de

mecanismos de control de acceso lógico. Así mismo, velará porque los desarrolladores, tanto internos

como externos, acojan buenas prácticas de desarrollo en los productos generado para controlar el

acceso lógico y evitar accesos no autorizados a los sistemas administrados.


• Definir y mantener actualizada la matriz de roles y perfiles de los aplicativos o sistemas.

• Autorizar los accesos a sus sistemas de información o aplicativos, de acuerdo a los roles y perfiles establecidos y las necesidades de uso, acogiendo los procedimientos establecidos.

• Monitorear periódicamente la validez de los usuarios y sus perfiles de acceso a la información.

• Definir los perfiles de usuario y autorizar, las solicitudes de acceso a dichos recursos de acuerdo con los perfiles establecidos.

• Verificar periódicamente todas las autorizaciones de acceso sobre sus sistemas o aplicativos de información.

Responsabilidad de la Dirección de Sistemas de Información y Dirección de Registros interconectados

de Programas Sociales

• Establecer controles de acceso a los ambientes de producción de los sistemas de información; así mismo, debe asegurar que los desarrolladores internos o externos, posean acceso limitado y controlado a los datos y archivos que se encuentren en los ambientes de producción.

• Asegurar que los sistemas de información construidos requieran identificación y autenticación para todos los recursos y páginas, excepto aquellas específicamente clasificadas como públicas.

6.5.4.2 Procedimientos seguros de inicio de sesión

La Unidad del Registro Social a fin de salvaguardar la información sensible que maneja, garantizará que

los accesos a equipos informáticos, se cumplan con el nivel requerido y se apliquen de manera

consistente. Así, se protegerá la información de riesgos asociados a la perdida de confidencialidad,

integridad y disponibilidad de la información.



Versión: 2.0


Página 51 de 130


Responsabilidades de la Dirección de Sistemas de Información y Dirección de Registro Interconectado

de Programas Sociales

• El procedimiento de inicio de sesión no debe mostrar los identificadores del sistema o de la aplicación hasta que el inicio de sesión haya tenido éxito.

• Los sistemas deberían mostrar advertencias evitando proporcionar mensajes de ayuda que podrían dar pistas a los usuarios no deseados.

• Los formularios de acceso deben validarse solo cuando se han completado evitando mensajes de error con información y tener algún sistema para proteger múltiples intentos de acceso mediante "fuerza bruta".

• Cuando la clasificación de la información lo requiera por política, se debe considerar la autenticación sólida por encima y más allá de la simple identificación de usuario y contraseña. (Controles adicionales físicos o lógicos). El inicio de sesión seguro debe ser capaz de corroborar la identidad del usuario.

• Después del inicio de sesión con éxito, debería mostrarse un mensaje de intentos fallidos que le permiten al usuario detectar cualquier inicio de sesión inusual.

• Las contraseñas no se deben transmitir en un formato no encriptado por razones obvias. De lo contrario le estamos dando facilidades extra a los hackers.

• Las sesiones inactivas deben ser dependientes del tiempo, cerradas después de un cierto tiempo o un cierto tiempo inactivo, lo que mejor se adapte a la política de la compañía.

• Bloquear el usuario de los aplicativos o sistemas de información al tercer intento fallido.

6.5.4.3 Política para la gestión de contraseñas

La Unidad del Registro Social proveerá de un sistema para la gestión de contraseñas que garantizará que

sean de calidad, cumplan con el nivel requerido y se apliquen de manera consistente, a fin de proteger

la información de riesgos asociados a la perdida de confidencialidad, integridad y disponibilidad de la

información.


• Asegurar que, si se utiliza la reasignación de contraseñas, únicamente se envíe un enlace o contraseñas temporales a cuentas de correo electrónico previamente registradas en los aplicativos, los cuales deben tener un periodo de validez establecido; se deben forzar el cambio de las contraseñas temporales después de su utilización y por seguridad cada 30 días.

• La Dirección de Sistemas de Información en conjunto con la Oficial de Seguridad de la Información, deberán definir lineamientos para la configuración de contraseñas que aplicaran sobre la plataforma tecnológica, los servicios de red y los sistemas de información de la Unidad del Registro Social; dichos lineamientos deben considerar aspectos como longitud, complejidad, cambio periódico, control histórico, bloqueo por número de intentos fallidos en la autenticación.

• Certificar que no se almacenen contraseñas, cadenas de conexión u otra información sensible en texto claro y que se implementen controles de integridad de dichas contraseñas.



Versión: 2.0


Página 52 de 130


• Generar contraseñas seguras para las cuentas de usuario final, éstas deberán cumplir los siguientes parámetros:

o Tener una longitud mínima de 8 caracteres. o Contener letras mayúsculas y minúsculas. o Contener números y caracteres especiales (: “#*?)

• Configurar los sistemas o aplicativos de manera que los usuarios finales, al cambiar de contraseña, no puedan utilizar ninguna de las 3 contraseñas anteriores ingresadas.

• Todos los equipos de la institución deben tener un usuario de administrador local cuya contraseña será gestionada únicamente por personal de la Dirección de Sistemas de Información.

Responsabilidad de la Oficial de Seguridad de la Información

• Validar que las políticas y lineamientos de contraseñas definidos se encuentren aplicadas.

Responsabilidad de los servidores públicos de la Unidad del Registro Social

• Los servidores y personal provisto por terceras partes que posean acceso a la plataforma tecnológica, los servicios de red y los sistemas de información de la Unidad de Registro Social deben acogerse a lineamientos para la configuración de contraseñas implantados por la institución.

• Es responsabilidad de cada usuario realizar cambios periódicos de sus contraseñas.

• Las credenciales de acceso (usuario y contraseña) son exclusivas, secretas e intransferibles, cada transacción que se realice con las credenciales es responsabilidad del servidor asignado.

• Siempre que un funcionario sospeche que la confidencialidad de su contraseña este comprometida, deberá cambiarla inmediatamente e informar a la Oficial de Seguridad de la Información.

• La inobservancia a las responsabilidades anteriormente mencionadas, así como el mal uso que se haga de las credenciales de acceso entregadas, dará lugar a la correspondiente aplicación del Régimen Disciplinario de conformidad a la normativa legal vigente.

6.5.4.4 Uso de herramientas de administración de sistemas

La Dirección de Sistemas de Información identificará los utilitarios, programas y/o aplicativos que

puedan ser capaces de invalidar los controles de seguridad, a fin de restringir o reforzar los controles y

ejecutará las acciones necesarias para controlar el correcto funcionamiento y disponibilidad de los

sistemas y aplicaciones



Versión: 2.0


Página 53 de 130



• Autorización de uso de programas utilitarios institucionales.

• Mantener el listado actualizado de programas utilitarios y operativos necesarios en la institución.

• Control de acceso desde Internet e Intranet de sistemas web de acuerdo a las necesidades de la Institución.

• Controlar la identificación y la autentificación para establecer la identidad del usuario.

• Control de tiempo de inactividad de la sesión iniciada en sistemas y aplicaciones.

• Control mediante perfiles y permisos de acceso en sistemas y aplicaciones al usuario o administrador.

• Control mediante registro de transacciones (Auditoría interna) por usuario en los sistemas y aplicaciones.

• Realizar la eliminación o inhabilitación de todos los usuarios innecesarios de sistemas y aplicaciones.

• Proteger la integridad y la privacidad de la información almacenada en un sistema o aplicaciones.

6.5.4.5 Control de acceso al código fuente del programa

La Unidad del Registro Social controlará y restringirá el acceso al código fuente de las aplicaciones

implementadas, de la misma manera verificará la administración adecuada de los cambios realizados al

mismo.


• Elaborar e implementar un procedimiento

• Las fuentes y ejecutables productivos de la URS deben versionarse.

• Administrar el acceso al código fuente de programas y aplicaciones, de manera que accederán a ellos sólo las personas autorizadas del área de Desarrollo

• Se contará con un formato para la solicitud y entrega de fuentes de programas.

• La Unidad del Registro Social contará con un repositorio de código fuente donde se registrará los accesos y modificaciones realizadas e implementará controles para el ingreso, acceso, actualización, así como auditoría detallada de la información.

• Asignar un administrador al repositorio de código fuente, cuya responsabilidad será manejar las versiones del código fuente, proveer a los desarrolladores autorizados los programas fuentes, registrar cada solicitud aprobada, asegurar que un mismo programa fuente no sea modificado simultáneamente por más de un desarrollador y solicitar se realicen copias de respaldos de los programas fuentes.

• Mantener un registro de todos los cambios realizados en las fuentes de los sistemas y su autorización correspondiente.

• Almacenar las versiones de los sistemas anteriores a un cambio hasta que se compruebe que el cambio ha sido exitoso.



Versión: 2.0


Página 54 de 130


• Incorporar en el contrato de terceros que desarrollan software o aplicaciones para la URS, una cláusula que la URS tendrá acceso a los datos fuentes (para los casos que aplique) y la documentación de respaldo del desarrollo del Software adquirido a dicho proveedor.

• Los desarrolladores deberán proteger el código fuente de los aplicativos construidos, de tal forma de que no pueda ser descargado ni modificado por los usuarios.

• Garantizar la integridad del código fuente del ambiente de producción.

• En cada nuevo versionamiento realizado al código fuente se deberá agregar los comentarios con mensajes detallados y que expliquen el cambio realizado (Un mensaje de commit debería ser conciso, pero al mismo tiempo informativo), que justifique la necesidad de una nueva versión del código.

6.6 CRIPTOGRAFÍA

6.6.1 Controles criptográficos

6.6.1.1 Política de uso de los controles criptográficos

Las presentes políticas específicas permiten garantizar un uso adecuado y eficaz de la criptografía para

proteger la confidencialidad, autenticidad e integridad de la información digital.


• Definir la política institucional con respecto al uso de los algoritmos de cifrado, que se utilizarán en toda la institución, dependiendo del tipo de control a aplicar, el propósito y el proceso del negocio. Esta política debe ser periódicamente revisada y actualizada.

• Definir las normas de controles de cifrado (criptográficos) que se adoptarán.

• Determinar el impacto del uso de información cifrada en los controles que se basan en la inspección del contenido


• Generar controles de cifrado para: o La protección de la información sensible transportada a través de medios extraíbles,

móviles, removibles, por dispositivos especiales, o a través de las líneas de comunicación.

o Para el resguardo de información, cuando así surja la evaluación de riesgos. o Para la transmisión de información clasificada, fuera del ámbito de la institución o Para la protección de claves de acceso a: sistemas, datos y servicios. Las claves deberán

ser almacenadas de manera codificada, cifrada (encriptada) en la base de datos y/o en archivos de parámetros.



Versión: 2.0


Página 55 de 130


• Establecer los algoritmos de cifrado a utilizar para los distintos escenarios, así como la longitud de la clave.

• Desarrollar procedimientos de administración de claves, de recuperación de información cifrada en caso de pérdida, vulneración, de compromiso o daño de las claves.

• Implementación de la Política de Controles.

• Administración de claves: gestión de claves, incluyendo su generación

6.6.1.2 Política para la Gestión de Claves


Política sobre el uso de claves:

• Toda contraseña correspondiente a cuentas de usuario final es personal e intransferible, por lo tanto, no debe compartirse por ningún motivo.

• Las contraseñas establecidas por cada uno de los servidores para los diferentes sistemas informáticos serán administradas y gestionadas bajo su única responsabilidad.

• Se prohíbe solicitar y/o entregar contraseñas vía telefónica o por escrito en medios como correo electrónico o papeles.

• Siempre que un funcionario sospeche que la confidencialidad de su contraseña este comprometida, deberá cambiarla inmediatamente o deberá forzar el cambio de clave.


Políticas sobre la protección de claves:

• Configurará los sistemas informáticos para que el límite de intentos fallidos al ingresar una contraseña, sea de 3 intentos, luego de lo cual se bloqueará la cuenta de usuario.

• Configurará el sistema operativo, de forma que éste se bloquee indefinidamente hasta que, por pedido del usuario, solicite el desbloqueo.

• Para generar contraseñas seguras para las cuentas de usuario final, éstas deberán cumplir los parámetros establecidos de manera conjunta con el Oficial de Seguridad de la Información.

Políticas sobre el tiempo de vida de las claves criptográficas:

• Los sistemas se configurarán de manera que los usuarios finales, al cambiar de contraseña, no puedan utilizar ninguna de las 3 contraseñas anteriores ingresadas

• Todos los equipos de la institución deben tener un usuario de administrador local cuya contraseña será gestionada únicamente por personal de la DSI.

• En el caso de que se requiera obtener información del computador de escritorio o portátil, de un funcionario que se encuentre ausente de forma temporal o definitiva, únicamente podrá ser



Versión: 2.0


Página 56 de 130


solicitado por el jefe inmediato a la DSI, a través del formulario de obtención de información.

• La contraseña tendrá una validez máxima de 1 año.

6.7 SEGURIDAD FÍSICA Y DEL ENTORNO

6.7.1 Áreas seguras

6.7.1.1 Perímetro de seguridad física, definido

Determinar cuáles son las áreas que manejan documentación con información restringida y sensible, y

así delimitar perímetros de seguridad física o digital y las instalaciones de procesamiento.


• Gestionar los recursos para la implementación del perímetro de seguridad.

• Gestión interna de Servicios Institucionales y Transporte: Implementar el perímetro de seguridad en las áreas restringidas.

• Implementar el instructivo para definir las unidades administrativas que generan y custodian información confidencial, reservada y sensible.

• Suscribir con las diferentes unidades, informes para la determinación del perímetro de seguridad en las áreas que manejan información confidencial.

• Determinar responsabilidades a los directores o responsables de las áreas restringidas sobre el buen uso de las seguridades.

• Gestionar el proceso de implementación de seguridad en las áreas restringidas.

• Los servidores y autoridades acatarán la restricción a las diferentes áreas que sean consideradas restringidas.

Responsabilidades de la Coordinación General Administrativa Financiera

• Aprobar el perímetro y determinación de áreas restringidas.

6.7.1.2 Controles físicos de entrada

Ejecutar el control de acceso y distribución de tarjetas magnéticas en las diferentes áreas seguras de la

Unidad del Registro Social.


• Difundir el instructivo para el ingreso y egreso de los servidores a las áreas restringidas.



Versión: 2.0


Página 57 de 130


• Socializar el uso adecuado de tarjetas magnéticas de ingreso.

• Determinar responsabilidades a los servidores custodios de cada tarjeta magnética de seguridad.

• Asignar funciones al administrador del proceso, con la finalidad de realizar mantenimientos respectivos, así como velar por el control y registro de las tarjetas magnéticas

• Los servidores y autoridades acatarán el nuevo uso de tarjetas magnéticas de seguridad para el ingreso a las diferentes áreas de la Unidad del Registro Social.

• Gestionar recursos para la implementación de las tarjetas magnéticas para control de ingreso del personal de la Unidad del Registro Social.

• Gestión interna de Servicios Institucionales y Transporte: Establecer el plan de ejecución, operación, implementación y distribución de las tarjetas magnéticas a cada uno de los servidores del Registro Social.

• Las y los servidores serán los custodios de sus tarjetas magnéticas de ingreso.

6.7.1.3 Seguridad de oficinas, despachos e instalaciones

Diseñar e implementar seguridad física para las oficinas, despachos e instalaciones de La institución.


• Implementar el área a utilizar para recepción del personal que no forma parte de la Unidad del Registro Social.

• Implementar seguridades en el área seleccionada para restringir el acceso mediante el uso de tarjeta magnética de seguridad.

• Los servidores y autoridades velarán por el buen uso del área destinada, y de las tarjetas magnéticas de seguridad para el ingreso a las diferentes áreas de la Unidad del Registro Social.

• Determinar un área de recepción para el personal que no forma parte de la institución.

• Gestión interna de Servicios Institucionales y Transporte: Establecer el instructivo para el uso del área de recepción para personal que no forma parte de la institución.

• Los servidores utilizarán de forma exclusiva el espacio físico destinado para la recepción de personal ajeno a la institución.

6.7.1.4 Protección contra las amenazas externas y ambientales

En este punto se aplicarán las “POLÍTICAS DE SEGURIDAD Y SALUD OCUPACIONAL DE LA UNIDAD DEL

REGISTRO SOCIAL”, las cuales se encuentran en proceso de elaboración y posterior aprobación.



Versión: 2.0


Página 58 de 130


6.7.1.5 Procedimiento para trabajo en áreas seguras

En este punto se aplicarán las “POLÍTICAS DE SEGURIDAD Y SALUD OCUPACIONAL DE LA UNIDAD DEL

REGISTRO SOCIAL”, las cuales se encuentran en proceso de elaboración y posterior aprobación.

6.7.1.6 Áreas de carga y entrega

Determinar el área de despacho y carga de bienes, e insumos, para evitar el ingreso de personas no

autorizadas.


• Implementar el instructivo para el uso obligatorio y adecuado del área destinada a la carga y descarga de bienes, suministros y otros.

• Los servidores y autoridades velarán por el buen uso del área despacho y carga de bienes e insumos.

• Designar un área específica de despacho y carga de bienes e insumos, tomando en consideración la ubicación dentro del inmueble.

• Los servidores de la institución usarán de forma exclusiva el espacio físico de despacho y carga, para recibir cualquier tipo de mercadería, insumo o bien.

6.7.2 Seguridad de los equipos

6.7.2.1 Ubicación y protección de equipos

La Dirección Administrativa, a través de la Gestión Interna de Servicios Institucionales y Transporte,

determinará con las diferentes unidades del Registro Social, las áreas cuyo manejo de la información es

restringida y sensible, para delimitar perímetros de ingreso, así como la implementación de seguridad

física o digital.


• La Coordinación General Administrativa Financiera será la encargada de la aprobación del perímetro y determinación de cuáles son las áreas restringidas



Versión: 2.0


Página 59 de 130


• Dirección Administrativa será la encargada de gestionar recursos para la implementación de seguridades para el ingreso del personal de la Unidad del Registro Social, a las áreas determinadas como sensibles o restringidas.

• Determinar cuáles son las que manejan información confidencial, para implementar seguridades.

• Suscribir con las diferentes unidades, informes para la determinación del perímetro de seguridad en las áreas que manejan información confidencial,

• Difundir el instructivo para el ingreso y egreso de los servidores a las áreas restringidas.

• Determinar responsabilidades a los directores o responsables de las áreas restringidas sobre el buen uso de las seguridades, así como el correcto uso ambiental de los equipos que se encuentran dentro de las áreas.

• Socializar el uso adecuado de las medidas de seguridad.

• Los servidores y autoridades acatarán el nuevo uso seguridades para el ingreso a las diferentes áreas de la Unidad del Registro Social.

6.7.2.2 Instalaciones de suministro de energía sin interrupción

Los equipos que contienen información crítica de áreas sustantivas de operación de la Unidad del

Registro Social, deberán estar situados en un área segura, de forma que se reduzcan los riesgos

derivados de las amenazas y peligro de origen ambiental y social. Todos los equipos deberán contar con

controles para evitar accesos no autorizados.

Responsabilidades de la Dirección Administrativa y Dirección de Sistemas de Información

• La Unidad del Registro Social deberá contar con un sistema de emergencia de suministro de energía interrumpible (UPS) para asegurar el apagado regulado y sistemático o la ejecución continua del equipamiento que sustenta las operaciones críticas.

• Se deberán contemplar las acciones que han de emprenderse ante una falla de la UPS.

• La UPS será inspeccionada y probados periódicamente para asegurar que funciona correctamente y que tienen la autonomía requerida.

• La Dirección de Sistemas de Información deberá estar atenta de que funcionen adecuadamente los sistemas de prevención y supresión de incendios, aire acondicionado, control de humedad y otros sistemas de protección de ambientes computarizados, debiendo informar oportunamente cualquier situación que los ponga en riesgo.

6.7.2.3 Seguridad del cableado (eléctrico y telecomunicaciones



Versión: 2.0


Página 60 de 130


Garantizar que los equipos cuenten con las medidas de seguridad física adecuadas, promoviendo la

consciencia entre el personal para conservar, mantener dichas medidas.


• El cableado de energía eléctrica y de comunicaciones que transporta datos o brinda apoyo a los servicios de información deberá estar protegido contra intercepción o daño.

• Deberán estar separados los cables de energía de los cables de comunicaciones para evitar interferencias y lograr una adecuada identificación de estos.

• La instalación y el mantenimiento de los cables de electricidad y de comunicaciones deben ser efectuados por especialistas en el ramo, cumpliendo las normas establecidas de seguridad para tal fin.

6.7.2.4 Plan de Mantenimiento de los equipos

Programar y gestionar los mantenimientos preventivos y correctivos de los equipos de la Unidad del

Registro Social, garantizando su disponibilidad e integridad para el correcto uso de los servidores de la

institución.


• Los equipos deberán mantenerse de acuerdo a las recomendaciones y especificaciones del proveedor.

• Para el correcto funcionamiento de los equipos se deberá realizar como mínimo un mantenimiento preventivo anual, de acuerdo al contrato estipulado entre el administrador y el proveedor.

• Asignar y distribuir de manera equitativa el equipo de cómputo.

• Verificar que el personal técnico provisto por los proveedores que realicen el mantenimiento preventivo o correctivo sea autorizado, calificado y que cumplan con todos los pasos estipulados en el contrato y los requisitos de mantenimiento que exigen las pólizas de seguro.

• Previa a colocar el equipo en funcionamiento después de un mantenimiento, se deberá validar que los equipos no han sido manipulados y su correcto funcionamiento.

• Gestionar correctamente los mantenimientos planificados con fecha de inicio y fin.

• Mantener un registro de todos los fallos, reales o sospechosos que se presenten en los equipos.

• Elaborar informe técnico con su respectivo check list de todo lo realizado en el mantenimiento.

• Adoptar los controles adecuados en los equipos, considerando si el mantenimiento realiza personal técnico de la URS o personal externo fuera de las instalaciones de la institución; en estos casos, de ser necesario la información crítica deberá ser eliminada de manera segura del equipo.



Versión: 2.0


Página 61 de 130



• Previo la ejecución de los mantenimientos, los servidores públicos de requerir la generación de respaldos de la información contenida en sus equipos deberán solicitar a la DSI.

• Cuidar y hacer buen uso del equipo que les ha sido asignado.

• Los servidores públicos de la URS deben comunicar a soporte en caso que el equipo presente alguna anomalía.

6.7.2.5 Salida de los activos fuera de las instalaciones de la institución

Dar cumplimiento al Art. 165 del Reglamento Administración y Control De Bienes Del Sector Publico

respecto a salida de bienes de la institución, así como también la salida de información que contiene el

equipo tecnológico.


• Reglamentar la salida de los bienes de la URS.

• Implementar formularios para la autorización de salida de los bienes de la URS.

• Reglamentar la salida de información sensible fuera de la institución.

• Implementar formularios para la autorización de salida de los bienes de la URS.

• Los servidores públicos de la URS deberán revisar y acatar las disposiciones del Reglamento para la salida de los bienes y la información sensible fuera de la institución de la URS.

1. Gestión Administrativa:

• Supervisará la elaboración del Reglamento para la salida de los bienes de la URS.

• Supervisará la elaboración del Reglamento para la salida de información sensible fuera de la institución.

• Gestionará la aprobación del Reglamento

• Socializará el Reglamento a los servidores de la URS. 2. Gestión interna de Control de Bienes, Existencias y Gestión de Almacén.

• Elaborará el Reglamento para la salida de los bienes de la URS.

• Elaborará el Reglamento para la salida de información sensible fuera de la institución.

• Controlará las solicitudes de salida de bienes e información de sensible fuera de la institución

6.7.2.6 Seguridad de los equipos y activos fuera de las instalaciones



Versión: 2.0


Página 62 de 130


Establecer una cobertura adecuada del seguro, para proteger los equipos que se encuentran fuera de la

institución por comisiones de servicios o teletrabajo.


• Dar cumplimiento a lo establecido en el Artículo Nro. 50 del Reglamento Administración y Control de Bienes del Sector Publico.

• Mantener el inventario relacionado a equipos informáticos vigentes con pólizas.

• Notificar a la empresa aseguradora inclusiones o exclusiones requeridas, referente a equipos informáticos.

• Los servidores públicos de la URS deberán custodiar, manipular los equipos informáticos evitando daños, y en caso de ocurrir algún siniestro reportar de manera inmediata.

1. Gestión Administrativa

• Supervisará el proceso de elaboración de instructivo

• Supervisará el proceso de contratación de pólizas de seguros

• Supervisará las inclusiones y exclusiones relacionadas a equipos informáticos 2. Gestión interna de Control de Bienes, Existencias y Gestión de Almacén.

• Elaborar instructivo para los servidores con la inclusión y exclusión de bienes, activos fijos y vehículos de acuerdo a cobertura del seguro.

• Realizar el proceso de contratación de seguros anualmente.

6.7.2.7 Seguridad en la reutilización o eliminación segura de dispositivos de almacenamiento

La Unidad de Registro Social ejecutará las acciones necesarias para la reutilización o eliminación segura

de dispositivos de almacenamiento (Disco Duro, Disco Externos y USB). Así mismo, velará porque los

servidores hagan un uso responsable de equipos proporcionados por la institución.


Previa a destruir, borrar o sobrescribir los dispositivos que contienen información sensible se deberá

considerar lo siguiente:

• Previa autorización del responsable del activo de información proceder a borrar la información.

• A los equipos que concluyeron su vida útil, los equipos que sufrieron daño o requieren actualización, y cualquier dispositivo de almacenamiento incluidos los dispositivos móviles antes de desecharlos, o antes de retirarlos del usuario, se deberá evaluar y revisar la información y software que contienen, generar un respaldo de la información debidamente etiquetado en



Versión: 2.0


Página 63 de 130


caso de requerirse y realizar un borrado lógico de las unidades de almacenamiento de los equipos.

• De acuerdo a la criticidad de la información los respaldos generados deberán almacenarse utilizando técnicas de cifrado.

• Utilizar técnicas de borrado o eliminación de la información que no permita la recuperación de la información original, antes de ser retirados o reutilizados.

• Verificar que la técnica empleada para la eliminación de la información de los dispositivos de almacenamiento garantiza la imposibilidad de reconstrucción de la información y su posterior utilización, así como la recuperación de cualquier información contenida en los dispositivos.

• Dependiendo del tipo de información que contiene el dispositivo de almacenamiento es necesario dejar constancia de los procedimientos de borrado realizados (por ejemplo, eliminar la información de los servidores de producción para reutilizarlos en otros procesos).

• En el caso de que los dispositivos de almacenamiento no puedan reutilizarse, aunque ello sea posible, se recomienda pedir la baja de bienes (destrucción física e integral del dispositivo donde se almacena información) de la URS, a fin de que los datos sean irrecuperables.



• Todo equipo informático que utilicen los servidores públicos de la URS deberá ser estrictamente por temas laborales.

• La información que se almacene en las estaciones de trabajo, dispositivos de almacenamiento externos, etc. debe ser estrictamente de temas laborales.

• Los recursos informanticos de hardware y software asignados a los servidores deben ser cuidados para garantizar su integridad y su correcto funcionamiento.

• Los servidores públicos de la URS deben evitar conectar USB que no sean analizados con el antivirus o de dudosa procedencia que puedan afectar la integridad de la información.

Responsabilidad de los responsables de activos de la información

• Una vez tomadas las medidas necesarias de respaldos de la información, autorizar la eliminación de la información.

6.7.2.8 Equipo informático de usuario desatendido


• Los usuarios deberán garantizar que los equipos desatendidos sean protegidos adecuadamente.

• Los equipos instalados en áreas de usuarios, por ejemplo, estaciones de trabajo o servidores de archivos, requieren una protección específica contra accesos no autorizados cuando se encuentran desatendidos.



Versión: 2.0


Página 64 de 130


• Bloquear el equipo de cómputo tras abandonar el puesto de trabajo.

• Bloqueo automático de la sesión en el equipo de cómputo tras inactividad superior a 5 minutos, si el usuario no está realizando ningún trabajo y se desbloquea si el usuario ingresa nuevamente su clave.

• Apagar los equipos de cómputo al finalizar la jornada laboral.

6.7.2.9 Política de puesto de trabajo despejado y pantalla limpia


Políticas de puesto de trabajo despejado

• Los usuarios deben mantener su puesto de trabajo despejado sin documentación confidencial ni dispositivos extraíbles al alcance de otras personas.

• Los usuarios deben mantener bajo llave la información sensible cuando no esté en uso o no se encuentre personal en la oficina.

• Los usuarios no deberán apuntar usuarios ni contraseñas en post-it o similares.

• Los usuarios no deberán abandonar documentación sensible en impresoras o escáneres. Para evitar que la información acabe en manos no deseadas el usuario debe: o Recoger inmediatamente aquellos documentos enviados a imprimir; o Guardar la documentación una vez escaneada; o Utilizar los mecanismos de impresión segura si los hubiera.

● Los usuarios deberán proteger y verificar la seguridad de los puntos de recepción de correos o fax cuando se encuentren desatendidos.

Políticas de pantalla limpia

• El Oficial de seguridad de la Información periódicamente realizará la verificación y revisión del contenido de las pantallas de los equipos, a fin de no encontrarse con íconos, accesos directos, carpetas, que deban estar en los documentos del usuario.

• Los usuarios deberán retirar la información sensible como las claves, de sus escritorios y pantallas.

6.8 SEGURIDAD DE LAS OPERACIONES

Este dominio pretende, implementar y socializar los procedimientos de operación y poner a disposición

de los usuarios del área respectiva.

Implementar los procesos, procedimientos, controles, descritos en el EGSI para: - Procedimientos y

responsabilidades operacionales - Protección contra un malware - Copias de seguridad - Registro y



Versión: 2.0


Página 65 de 130


monitoreo - Control del software en producción - Gestión de la vulnerabilidad técnica - Consideraciones

sobre la auditoría de sistemas de información

6.8.1 Procedimientos y responsabilidades operacionales

6.8.1.1 Procedimientos de operación

La Dirección de Sistemas de Información encargada de la operación y administración de los recursos

tecnológicos, identificará, documentará y mantendrá actualizados los documentos de los procesos

operativos tecnológicos, documentos que estarán a disposición de los usuarios para la ejecución de sus

funciones.

Responsabilidad de la máxima autoridad de la Unidad de Registro Social

• Demostrar compromiso y asegurar que los procesos operativos tecnológicos cuenten con los recursos adecuados y apropiados, necesarios para el funcionamiento eficaz de los sistemas de información de la Institución.


• Velar por la eficiencia de los controles implantados en los procesos operativos asociados a los recursos tecnológicos con el objeto de proteger la confidencialidad, la integridad y la disponibilidad de la información manejada y asegurará que los cambios efectuados sobre los recursos tecnológicos, serán adecuadamente controlados y debidamente autorizados.

• Proveer la capacidad de procesamiento, almacenamiento y manejo de la información de la institución.

• Asignar funciones específicas a sus servidores.

• Documentar y actualizar los procesos operativos tecnológicos para la ejecución de sus funciones.

• Identificar los riesgos que se pueden presentar en la ejecución de sus tareas e implementar controles en los procesos operativos a fin de salvaguardar la confidencialidad, integridad y disponibilidad de la información.

• Conocer los procesos definidos para garantizar resultados eficaces.


• Los servidores públicos de la URS deberán revisar y acatar las disposiciones para el procesamiento, almacenamiento y manejo de la información para garantizar un correcto uso de la misma.



Versión: 2.0


Página 66 de 130


6.8.1.2 Procedimiento para la Gestión de cambios

La Unidad del Registro Social garantizará que los cambios que se implementen en los sistemas

informáticos o aplicativos, las instalaciones de procesamiento de la información serán documentados y

controlados de acuerdo al procedimiento de gestión de cambios establecido.

Responsabilidades de los Servidores públicos de la Unidad de Registro Social

• Generar la solicitud de cambio.

• Establecer los requerimientos funcionales del cambio.

• Dar de baja una solicitud de cambio mediante solicitud.

• Aprobar los cambios solicitados en la fase de pruebas, previo el paso a producción.


• Receptar y clasificar las solicitudes de cambio.

• Previo a una solicitud de cambio debe reunirse con los involucrados para definir los cambios requeridos.

• Analizar la factibilidad del cambio.

• Identificar claramente los procesos a seguir y la documentación que aplica para un control de cambio normal y emergente (entendiéndose como emergente cuando los servicios de la Unidad del Registro Social están suspendidos).

• Asignar responsabilidades dentro del procedimiento de gestión de cambios.

• Controlar los cambios solicitados desde el inicio de los proyectos y mantener su seguimiento hasta que cada uno de ellos finalice.

• Considerar a todas las áreas involucradas previo a la aplicación del cambio en el ambiente de producción, con la finalidad de evitar un impacto negativo que pueda influir tanto en las tareas cotidianas como en la continuidad de las actividades de la Unidad del Registro Social.

• Garantizar y validar que la documentación utilizada dentro del proceso de cambio este actualizada y aprobada de acuerdo a lo que corresponda.

• En cambios emergentes, se debe contar con el documento de solicitud de cambio y

documentación técnica del cambio, los demás documentos deben ser completados y

presentados máximo tres días después de la ejecución en producción.

• Especificar los procedimientos que se deben seguir para pasar los cambios entre los diferentes

ambientes.

• Mantener actualizada la documentación con la información de los cambios realizados en el

ambiente de producción.

• En caso de ser requerido informar el avance de los procesos del cambio a las direcciones

involucradas o áreas que requieran.

• Comunicar de manera detallada los cambios realizados.

• Gestionar de manera transversal el ciclo del cambio.

• Versionar las fuentes y ejecutables productivos del software de la Unidad del Registro Social.



Versión: 2.0


Página 67 de 130


• Evaluar el impacto del cambio a nivel de sistemas ya existentes en producción y equipamiento tecnológico, adicional verificar su correcta implementación.

• Ejecutar el cambio en producción en base a la documentación definida.

• Realizar pruebas de los cambios realizados previo al paso a producción con la finalidad de garantizar la calidad de los productos tecnológicos, documentación, disponibilidad e integridad de la información de la Unidad del Registro Social.

• Verificar e informar a los involucrados las novedades presentadas en la ejecución del cambio en el ambiente de producción, en caso de fallas comunicar y ejecutar proceso de recuperación a una versión estable anterior al cambio (rollback).

Responsabilidades de la Dirección de Sistemas de la Información (Comité de Gestión de Cambios)

• Autorizar la ejecución de las ordenes de cambio en el ambiente de producción.

Responsabilidades del Oficial de seguridad de la información

• Si el activo de información que interviene en el cambio es crítico, deberá evaluar el impacto del cambio e identificar riesgos.

• Verificar el cumplimiento de las políticas de seguridad de la información.

• El Oficial de Seguridad de la Información en conjunto con el responsable del activo de información y el director de la DSI aprobarán o rechazarán los cambios emergentes que se presente dentro de la Unidad del Registro Social, con la finalidad de garantizar el correcto funcionamiento de los sistemas involucrados en dichos cambios.

6.8.1.3 Monitoreo y ajuste de capacidades

La Unidad de Registro Social asegurará la disponibilidad de recursos tecnológicos mediante la

supervisión, monitoreo y ajuste en la utilización de los mismos, para proyectar y proveer

adecuadamente las capacidades futuras, a fin de garantizar un óptimo rendimiento en aplicativos,

sistemas y bases de datos.


• Realizar el monitoreo de uso de recursos tecnológicos de servidores físicos, sistemas de almacenamiento, así como los asignados a servidores virtuales, asegurando la disponibilidad de los servicios y sistemas informáticos.

• Registrar en la Plataforma de Monitoreo los cambios realizados en la Infraestructura Tecnológica de la Unidad del Registro Social, a fin de contar con todos los servidores tanto físicos como virtuales monitoreados.



Versión: 2.0


Página 68 de 130


• Utilizar la información del monitoreo para la adquisición, asignación y reasignación de recursos tecnológicos para evitar saturación de los mismos.

• Alertar de manera oportuna a las áreas de la Unidad del Registro Social, las advertencias que se visualizaren en la Plataforma de Monitoreo, en relación al porcentaje de uso de recursos tecnológicos (memoria y procesamiento) y la capacidad de almacenamiento en los servidores virtuales.

• Proveer y aprovisionar de ser necesario, los recursos tecnológicos que sean requeridos en servidores virtuales, asegurando la disponibilidad de los servicios y sistemas informáticos.

• Verificar mediante consolas de virtualización y consolas tipo Shell, de ser el caso, cuando exista alertas de alto consumo de recursos tecnológicos y almacenamiento, la posible causa que ocasione este comportamiento inusual en los servidores virtuales.

• Revisar periódicamente el espacio asignado en repositorios institucionales, tales como FILESERVER, para asegurar que los servidores públicos cuentan con el espacio necesario para almacenar información de la URS.

• Eliminar datos obsoletos de servidores virtuales y repositorios para optimizar el espacio en disco y en el sistema de almacenamiento.

• Dar de baja conforme la normativa legal vigente a servidores virtuales y/o aplicaciones, sistemas, bases de datos o entornos que ya no sean necesarios o que hayan cumplido el tiempo de vigencia para su uso.

• Identificar los requisitos de capacidad, considerando la criticidad del recurso tecnológico para la institución.

• Utilizar la información del monitoreo, para realizar proyecciones de los requerimientos de capacidad futura de recursos y proveer de estos recursos, para asegurar el desempeño de los servicios y sistemas informáticos.

• Analizar y optimizar tareas automáticas y programadas, la lógica de las aplicaciones o las consultas de base de datos.


• Los servidores públicos de la Unidad del Registro Social que hagan uso de recursos tecnológicos, y tengan acceso a servidores virtuales, deberán notificar a la Dirección de Sistemas de Información mediante correo electrónico, cualquier inconveniente o novedad que se presente en el uso de recursos y evite el normal funcionamiento de aplicativos, sistemas y bases de datos.

• Los servidores públicos de la URS deben evitar utilizar el espacio de almacenamiento tanto en servidores virtuales como en equipos de escritorio y portátiles, para copiar o almacenar información que no pertenezca a temas que sean estrictamente de la institución.

• Los servidores públicos de la URS que requieran la asignación de recursos tecnológicos adicionales a los ya implementados en servidores virtuales, deberán solicitar a la DSI mediante correo electrónico (OTRS) la ampliación de los mismos, indicando para el efecto, el motivo al que se debe dicha solicitud.



Versión: 2.0


Página 69 de 130


6.8.1.4 Separación de ambientes de desarrollo, pruebas y producción

La Unidad de Registro Social proveerá, siempre que sea posible, los recursos necesarios para la implantación de controles que permitan establecer ambientes separados en forma física y lógica de desarrollo, pruebas y producción, evitando que las actividades de ambientes no productivos puedan poner en riesgo la integridad, disponibilidad y confidencialidad de la información del ambiente de producción.


• Implementar ambientes separados que identifiquen las etapas de implementación de un sistema en el ambiente de producción de la URS.

• Las aplicaciones que se encuentren en ambiente de desarrollo y pruebas, no podrán contener bajo ninguna circunstancia, datos reales existentes en el ambiente de producción, la misma deberá tener un control de enmascarado o codificado. De requerir datos de producción se deberá contar con la respectiva autorización del responsable del activo de información que corresponda.

• Definir y documentar los lineamientos para la transferencia de software desde el estado de desarrollo hacia el estado operativo del ambiente de producción.

• Debe implantar los controles necesarios para asegurar que las migraciones entre los ambientes de desarrollo, pruebas y producción han sido aprobadas, de acuerdo con el procedimiento de control de cambios.

• Controlar que ninguna aplicación o sistema que se encuentre en el ambiente de desarrollo o pruebas, tenga enlaces o pueda realizar consultas a bases de datos, aplicaciones, archivos, etc. que se encuentren en el ambiente de producción.

• Generar un entorno o ambiente de producción adecuado para el uso periódico de las aplicaciones por parte de los servidores públicos de la URS, el cual sea estable, seguro y contenga los datos y/o herramientas necesarias para el desarrollo normal de las actividades de cada uno de ellos.

• En el ambiente de producción se deberán realizar exclusivamente las tareas relacionadas con uso de las aplicaciones y bajo ninguna circunstancia, se podrán realizar modificaciones a la lógica de las mismas o a los datos de manera directa sin haber pasado por las etapas de desarrollo y pruebas

• No podrán existir usuarios habilitados con privilegios de cambios sobre la programación de las aplicaciones en el ambiente de producción. En caso de ser necesario, se implementará algún mecanismo de control para detectar los intentos de modificaciones en este ambiente.

• Prohibir sobre el Ambiente de Producción el acceso a los compiladores, editores y/o cualquier herramienta de desarrollo.

• Ningún cambio se aplicará en ambientes de producción sin la certificación del área de pruebas y la conformidad del usuario solicitante.

• Cada ambiente deberá implementar los requerimientos mínimos de seguridad de la información, a fin de proteger tanto las aplicaciones como: la estabilidad de los sistemas, la



Versión: 2.0


Página 70 de 130


privacidad de los usuarios, y los atributos de la seguridad de la Información confidencialidad, integridad y disponibilidad de la información de la URS.

• La infraestructura donde se encuentre instalado el ambiente de producción bajo ningún concepto se debe utilizar para otros fines.

• Implementar estándares de seguridad de la información, respecto a logs de auditoría en cada uno de los ambientes definidos, a fin de poder verificar e identificar las acciones realizadas.

• Mantener una biblioteca de control de fuentes, ejecutables que permita la utilización de determinados mecanismos de registro para la correcta publicación o transferencia a los ambientes de producción de las versiones de programas ejecutables que han sido desarrollados o modificados y la transferencia de las versiones de los programas en código fuente a las bibliotecas de programas fuentes. Esta biblioteca permitirá mantener un control sobre las versiones fuentes en desarrollo o mantenimiento, evitando que varios programadores trabajen simultáneamente sobre el mismo programa y asegurar el acceso autorizado a los programas fuentes para su modificación.

• Definir perfiles de acceso para los diferentes ambientes.

6.8.2 Protección contra malware

6.8.2.1 Controles contra malware

Gestionar los controles contra malware, para garantizar la integridad, confidencialidad y disponibilidad

de la información que se encuentra en los equipos de la Unidad del Registro Social.


• Elaborar y socializar a los servidores un listado del software autorizado y permitido para su uso en las estaciones de trabajo.

• Todos los equipos de cómputo de la entidad sin excepción alguna deben tener un programa de antivirus instalado, licenciado y actualizado con la versión más reciente de las bases de datos del fabricante.

• El programa de antivirus debe ejecutarse automáticamente cuando se conecte un dispositivo de almacenamiento externo, como memorias externas USB, CD (Discos Compactos) y DVD.

• Todos los equipos de cómputo de la entidad deben tener habilitado la solicitud de clave de administrador cuando se intente realizar la instalación de un programa ejecutable.

• Certificar que todo el software, archivos o ejecutables, se encuentran libres de virus antes de su uso.

• Las credenciales del usuario de administrador para la instalación de programas deben ser cambiada periódicamente, estas credenciales no deben ser conocidas por los usuarios estándar de la entidad.

• La plataforma de correo electrónico debe contar con el servicio de anti-SPAM habilitado y funcionando, y a su vez generar reportes mensuales sobre las acciones de prevención realizadas.



Versión: 2.0


Página 71 de 130


• Mantener los sistemas operativos y sistemas de procesamiento de información actualizados con las últimas versiones de seguridad disponibles.

• Realizar revisiones periódicas del contenido de software y datos de los equipos de procesamiento que sustentan procesos críticos de la institución, a fin de identificar archivos extraños o modificaciones no autorizadas.

• Socializar a los servidores información y recomendaciones a realizar frente a las amenazas por malware.

• Analizar la informa del firewall respecto a ciertas aplicaciones que intentan conectarse a diferentes direcciones de internet sin que el usuario haya ejecutado ninguna de las mismas.

• Socializar a los servidores acerca del problema de los virus y cómo proceder frente a los mismos.


• Los usuarios no deben intencionalmente escribir, generar, compilar, copiar, almacenar, propagar, ejecutar o intentar introducir cualquier código de computador diseñado para auto replicarse, deteriorar o que obstaculice el desempeño de cualquier sistema de la institución.

• Si un usuario sospecha de una infección por un virus en el computador, debe desconectar el cable de red, llamar al personal de soporte para que sea revisado inmediatamente.

• Los usuarios no deben utilizar software obtenido externamente desde Internet o de una persona u organización diferente a la institución.

• Cuando se reciba un correo sospechoso por el nombre, la extensión de este, el remitente o con otras características anormales, se recomienda no hacer la apertura o descarga de los archivos adjuntos y mucho menos la ejecución de estos, en estos casos solicitar la revisión inmediata del personal de soporte técnico de la institución.

Responsabilidades de los Directores/as y/o responsables de las unidades de la Unidad del Registro

Social

• Analizar la posibilidad de implementar en los planes de continuidad del negocio la recuperación ante ataques de malware.

6.8.3 Copia de respaldos

6.8.3.1 Política de respaldos y copias de seguridad de la información

La Unidad del Registro Social asegurará que la información generada sea respaldada de forma adecuada

y que no sea vulnerable a pérdidas, a fin de ser utilizada en escenarios de contingencia.



Versión: 2.0


Página 72 de 130



• Establecer y actualizar un documento en el que se identifiquen los servicios o activos de información críticos que son respaldados, con frecuencias, formato de etiquetado, y los responsables de la ejecución.

• Se deberán mantener copias de respaldo de toda la información y software de la URS que sea considerada crítica y de toda aquella información que el responsable del Activo de Información requiera conservar con el fin de asegurar el desarrollo habitual de sus funciones.

• Realizar una clasificación de la información contenida en los servidores, con la finalidad de determinar la información crítica que debe ser respaldada.

• En conjunto con la Oficial de Seguridad de la Información definir un proceso de respaldo y restauración de la información.

• El especialista responsable de la información debe verificar semanalmente la integridad de los respaldos, con el fin de garantizar la integridad y disponibilidad de la información.

• Almacenar en sitios alejados del centro de procesamiento de la información las copias de respaldo y sus procedimientos de restauración y garantizar que sean custodiadas utilizando las mejores prácticas de seguridad.

• Definir un esquema de rotulado para los respaldos, con información necesaria para ser identificados.

• Cada vez que se realice un cambio significativo en los sistemas operativos o configuraciones de los servidores, se debe realizar una copia de estos.

• Las copias de respaldo se deben realizar en horario no laboral

• Llevar registro de los respaldos de información.

• Realizar pruebas de restauración de la información como mínimo dos veces al año, para asegurar que la información es confiable y que pueda ser utilizada en los tiempos establecidos o casos de emergencia.

• Realizar un respaldo diferencial semanalmente de los Servidores de Base de Datos, servidores web, sistemas de información, aplicaciones, desarrollo y configuraciones de dispositivos de red.

• Realizar un respaldo completo mensual de los servidores de base de datos, servidores web, sistemas de información, aplicaciones, desarrollos y configuraciones dispositivos de red.

• Realizar un respaldo completo anual de los servidores de base de datos, servidores web, sistemas de información, aplicaciones, desarrollos y configuraciones dispositivos de red.

• Los respaldos que contiene información crítica deben ser generados en dispositivos magnéticos los cuales deben ser almacenados en otra ubicación.

• La generación de respaldos (snapshot) de cada uno de los servidores, debe realizarse en forma automática, definiendo la periodicidad y lo días para la obtención de respaldos.

• Definir los repositorios de almacenamiento de los respaldos de información.

• Los soportes físicos deberán ser resguardados en lugares destinados a tal fin, preferentemente en cajas fuertes, con cerradura con claves de combinación múltiple conocida sólo por las personas autorizadas.

• Los soportes físicos con las copias de respaldo deberán situarse fuera del edificio en el que se encuentra la información original.

• Los respaldos de la información confidencial deben ser protegidos mediante cifrado. Responsabilidad de los Servidores públicos de la Unidad de Registro Social



Versión: 2.0


Página 73 de 130


• Cada usuario de la URS es responsable de realizar los respaldos de la información personal que mantiene en su computador institucional, o a su vez solicitar ayuda al área de soporte tecnológico para generar los respaldos de información.

• Ningún usuario puede realizar copias de respaldo en sus dispositivos de almacenamiento removibles personales, ya que esto puede ser denominado fuga de información.

• Es responsabilidad de todos los servidores públicos almacenar la información relevante asociada a su labor en el servidor de archivos (File server) de la Unidad del Registro Social, para garantizar que la información está siendo respaldada.

• Todos los servidores públicos de la URS deben dar cumplimiento a esta política, de no hacerlo puede ser sujeto de sanciones.

• Sin previa autorización del Director de Sistemas de Información, se prohíbe la copia de respaldo de información en dispositivos móviles personales.

Responsabilidad del responsable de los activos de información.

• Definir y solicitar la frecuencia para generar los respaldos y el periodo de retención de respaldos.

6.8.4 Registro y Monitoreo

6.8.4.1 Registro de eventos

La Unidad del Registro Social definirá un procedimiento para registrar, proteger y revisar las actividades

de los usuarios, fallos y eventos de seguridad de la información que se presenten.


• Establecer un procedimiento o lineamientos para identificar los aplicativos o sistemas que

deberán contener registros de eventos.

• Revisar y verificar logs de auditoría, de los activos de información críticos, respecto a eventos de

seguridad, problemas de operación, y fallas relacionadas.

• Registrar los accesos autorizados incluyendo: identificación del ID de usuario, fecha y hora de

eventos clave, tipo de evento, archivos a los que se ha tenido acceso, programas y utilitarios

utilizados.

• Monitorear intentos de acceso no autorizados, como: Acciones de usuario fallidos o rechazadas,

violación de políticas de acceso y notificación de firewalls y gateways; alertas de los sistemas de

detección de intrusos.

• Revisar alertas o fallas del sistema, como: alertas y/o mensajes de consola, excepciones de

registro del sistema, alarmas de gestión de red, alarmas del sistema de control de acceso.

• Instaurar un procedimiento formal para el reporte de los eventos de seguridad de la información

junto con un procedimiento de escala y respuesta ante el incidente, que establezca la acción

que se ha de tomar al recibir el reporte sobre un evento que amenace la seguridad de la

información.



Versión: 2.0


Página 74 de 130


• Realizar un diagnóstico inicial, determinando mensajes de error producidos, identificando los

eventos ejecutados antes de que el incidente ocurra, recreando el incidente para identificar sus

posibles causas.

• Establecer un procedimiento formal para el reporte de los eventos de seguridad de la

información junto con un procedimiento de escala y respuesta ante el incidente, que establezca

la acción que se ha de tomar al recibir el reporte sobre un evento que amenace la seguridad de

la información.

• El/la Oficial de Seguridad de la Información es la responsable de coordinar todos los eventos

relacionados con incidentes de seguridad de la información, reportados por la Dirección de

Sistemas de Información.

• Clasificar como críticos a los incidentes relacionados a eventos de seguridad de la información.

6.8.4.2 Procedimiento para la protección de los registros de información

La Unidad del Registro Social garantizará que los registros que se generan al realizar instalaciones,

actividades de los usuarios y fallos se protejan contra manipulación y acceso no autorizado.


• Garantizar la integridad de los registros.

• Identificar la capacidad de los medios donde se almacenan los registros, a fin de evitar fallos al grabar los registros de eventos o sobreescritura de registros pasados.

• En conjunto con la Oficial de Seguridad de la información identificar los registros de auditoría que requieran ser respaldados y definir con base a las leyes vigentes la permanencia.

• Monitorear los registros correspondientes a los activos de información críticos a fin de identificar anomalías en los registros que normalmente de almacenan.

• Implementar mecanismos de protección de la información, contra cualquier acceso no autorizado.

• Todos los eventos que tengan relación con la seguridad de la información, reales como supuestos, se comunicarán al Oficial de Seguridades de la Información de la institución, para ser investigados.

6.8.4.3 Registros de administración y operación

La Unidad del Registro Social registrará, protegerá y revisará las actividades de los usuarios que realizan

en los sistemas y/o aplicativos.




Versión: 2.0


Página 75 de 130


• Todos los sistemas serán monitoreados y registrarán eventos para suministrar evidencia en caso de producirse incidentes relativos a la seguridad de la información.

• Los registros de las transacciones y/u operaciones que realizan los usuarios en los aplicativos o sistemas de la institución deberán contener por lo menos con la siguiente información:

o Nombre del usuario involucrado

o Fecha y hora de ejecución

o Identificador de la transacción y/u operación

o Identificación del equipo (IP)

o Sistema utilizado

o Registro de intentos fallidos a los sistemas de información y base de datos.

• Registrar todos los eventos relacionados con las configuraciones y parametrizaciones de seguridad de los sistemas considerados críticos.

• Los registros de monitoreo, logs de auditoría y eventos de seguridad de la información deben permanecer almacenados durante un período que determine la normativa legal vigente, siendo la Dirección de Asesoría Jurídica, la encargada de establecer estos lineamientos.

• Garantizar la integridad de los registros.

• Monitorear los registros correspondientes a los activos de información críticos a fin de identificar anomalías en los registros que se almacenan.

• Implementar mecanismos de protección para los registros a fin de salvaguardar la confidencialidad, integridad y disponibilidad.

• Evaluar y coordinar la implementación de controles específicos de seguridad en los registros de la información para nuevos sistemas o servicios.

• Asesorar a la institución en lo que se refiere a seguridad de la información en los registros de administración y operación.

6.8.4.4 Sincronización de relojes

La Dirección de Sistemas de Información de la Unidad del Registro Social se encargará de la

configuración y sincronización del reloj en equipos tecnológicos que conforman la infraestructura

tecnológica institucional, así como en servidores físicos y virtuales, garantizando la precisión de los

registros de auditoría, mediante la ejecución de procesos en forma cronológica, respetando el orden de

los eventos dentro de un sistema informático.


• Configurar un servidor NTP que sea la única fuente de referencia de tiempo, el cual permita centralizar la sincronización del reloj de servidores físicos y virtuales, y de equipos tecnológicos que forman parte de la Infraestructura Tecnológica de la Unidad del Registro Social.

• Verificar y corregir cualquier variación significativa de los relojes sobre todo en sistemas de procesamiento donde el tiempo es un factor clave.

• Garantizar que la marca de tiempo refleja la fecha/hora real considerando especificaciones locales de la zona horaria perteneciente a Ecuador Continental.



Versión: 2.0


Página 76 de 130


• Garantizar la correcta configuración de los relojes de servidores físicos y virtuales, así como equipos tecnológicos, para la exactitud de los registros de auditoría o control de transacciones y log de errores, evitando repudio de las mismas debido a aspectos del tiempo.


• Los servidores públicos de la Unidad del Registro Social deberán notificar a la Dirección de

Sistemas de Información mediante correo electrónico, errores en la hora actual del servidor

virtual al cual tienen acceso para la ejecución de procesos, evitando un registro erróneo de

transacciones por cuestiones de tiempo.

• Los servidores públicos de la Unidad del Registro Social, al detectar que existe un error en la

hora del servidor al cual accedieron, no deben ejecutar tareas en los sistemas informáticos, a fin

de evitar registros erróneos en el mismo.

6.8.5 Control del software operacional

6.8.5.1 Procedimiento para la instalación de software en sistemas en producción

Mediante el procedimiento de control de cambios definido por la Unidad del Registro Social se

controlará la instalación del software en el ambiente de producción.


● Controlar la instalación y uso de herramientas de desarrollo de software y/o acceso a bases de datos y redes en los equipos informáticos, salvo que sean parte de las herramientas de uso estándar o su instalación sea autorizada de acuerdo a un procedimiento expresamente definido.

● Asegurar que la instalación del nuevo sistema no afecte negativamente los sistemas existentes, especialmente en períodos pico de procesamiento.

● Para nuevos desarrollos, se debe involucrar a los usuarios y a todas las áreas relacionadas, para garantizar la eficacia operativa del sistema propuesto.

● Realizar pruebas antes de la instalación con la finalidad de evitar incidentes o problemas en la puesta en producción.

● Probar y evaluar los parches antes de su instalación para garantizar que son eficaces y no producen efectos secundarios intolerables. Estas pruebas se realizarán en un ambiente similar al de producción.

● Establecer criterios de seguridad para nuevos sistemas de información, actualizaciones y nuevas versiones, contemplando la realización de las pruebas antes de su aprobación definitiva.



Versión: 2.0


Página 77 de 130


● Definir y documentar controles para la detección y prevención del acceso no autorizado, la protección contra software malicioso, garantizar la seguridad de los datos y los servicios conectados a las redes de la institución.

● Gestionar el expediente de los sistemas informáticos referente a instalación, guía de usuario, operación, administración, mantenimiento, entre otros.

● La actualización del software operacional, de las aplicaciones y de las bibliotecas de programas solo deberá llevar a cabo por personal autorizado.

● En el ambiente de producción se deberá manejar ejecutables aprobados, no códigos de desarrollo.

● El software deberá implementarse en producción tras haber superado exhaustivas pruebas de certificación, como de seguridad, usabilidad y efectos en otros sistemas.

● Implementar un sistema de control de la configuración para supervisar todo el software implantado, así como la documentación del sistema.

● Cada desarrollo interno o externo debe contener una estrategia de vuelta atrás antes de implementar los cambios.

● Mantener un registro de auditoría de todas las actualizaciones de las bibliotecas de los programas en producción.

● Conservar versiones anteriores del software de las aplicaciones como medida de contingencia.

● Considerar el software adquirido a proveedores que se utilice en el ambiente de producción para mantener la asistencia técnica del proveedor, Adicionalmente, considerar que con el pasar del tiempo los proveedores ya no ofrecen asistencia técnica a las versiones antiguas.

● Previa a ejecutar un software en el ambiente de producción, se deberá realizar un análisis de vulnerabilidades, a fin de identificar los riesgos asociados y las medidas o controles que se adoptaran para mitigar los riesgos.

● Monitorear las actividades de soporte realizadas sobre el ambiente de producción.

6.8.6 Gestión de vulnerabilidad técnica

6.8.6.1 Política de monitoreo continuo, gestión de las vulnerabilidades técnicas

La Unidad de Registro Social, deberá realizar el monitoreo continuo sobre los sistemas en producción,

detectando las vulnerabilidades técnicas, adoptando las medidas necesarias para afrontar los riesgos

asociados.


● Definirá el alcance para realizar el procedimiento para la gestión de vulnerabilidades técnicas, sobre los sistemas de información y equipos informáticos de la Unidad del Registro Social y conocerá los resultados de dicho análisis.



Versión: 2.0


Página 78 de 130


● Definirá e instaurará las funciones y responsabilidades asociadas con la gestión de la vulnerabilidad técnica, incluyendo el monitoreo de la vulnerabilidad, la evaluación de riesgos de la vulnerabilidad, el uso de los parches, el rastreo de activos y todas las responsabilidades de coordinación requeridas.

● En materia de seguridad de la información; monitoreará cambios significativos en los riesgos que afectan a los recursos de información frente a las amenazas más importantes; tomará conocimiento y supervisará la investigación y monitoreo de los incidentes relativos a la seguridad; aprobará los principales controles para mitigar los riesgos de Seguridad de la Información, de acuerdo a las competencias y responsabilidades asignadas a cada área, así como revisará y aceptará metodologías y procesos específicos relativos a Seguridad de la Información; garantizará que la seguridad sea parte del proceso de planificación de la información; evaluará y coordinará la implementación de controles específicos de seguridad de la información para nuevos sistemas o servicios.


● Previa la puesta en producción de los aplicativos o sistemas de información, se debe realizar un análisis de vulnerabilidades técnicas, y, establecer el plan de remediación y seguimiento de vulnerabilidades identificadas. De acuerdo al riesgo expuesto por la vulnerabilidad, el responsable del activo de información, gestionará la remediación y aceptará o no la puesta en producción.

● El análisis de vulnerabilidades técnicas para los sistemas de información y equipos informáticos, tendrá una periodicidad trimestral en base al alcance que determine el Oficial de Seguridad de la Información, y, cada vez que se produzcan cambios significativos en los sistemas de información y equipos informáticos de la Unidad del Registro Social.

● Probar y evaluar los parches antes de su instalación para garantizar que son eficaces y no producen efectos secundarios intolerables. Estas pruebas se realizarán en un ambiente similar al de producción.

● Crear conciencia en los desarrolladores y usuarios sobre las vulnerabilidades ● Conservar un registro para auditoría de todos los procedimientos efectuados. ● Monitorear y evaluar a intervalos regulares las vulnerabilidades técnicas para garantizar

eficacia y eficiencia.

6.8.6.2 Política para la restricción en la instalación de software

La Dirección de Sistemas de la Información de la Unidad del Registro Social establecerá y aplicará reglas

que rijan la instalación de software en la institución, de esta manera, se evitará que la información que

se encuentra en las computadoras de unidad se vea afectadas por algún software malicioso.




Versión: 2.0


Página 79 de 130


• Mantener un listado del software autorizado que se instalará en las estaciones de trabajo de la Unidad del Registro Social.

• Cualquier software solicitado por los servidores públicos de la Unidad del Registro Social, deberá constar en la lista de software autorizada por la DSI.

• Previa autorización del director del área solicitante se procederá a instalar el software.

• Bloquear los permisos de navegación a internet para descargar ejecutables.

• Instalar el software de acuerdo a la disponibilidad de licencias.

• Garantizar que el software autorizado contenga los parches actualizados.

Responsabilidad de los Servidores públicos de la Unidad del Registro Social

• Harán un correcto uso del software instalado en los equipos de la unidad.

• Los usuarios no deben utilizar software obtenido externamente desde Internet o de una persona u organización diferente al área de TIC´S.

6.8.7 Consideraciones de auditoría de sistemas de información

6.8.7.1 Controles de auditoría de sistemas de información

La Unidad de Registro Social, al no disponer de una Dirección de Auditoría Interna, deberá delegar con

aprobación del Comité de Seguridad a tres servidores o servidores que sean independientes de las

actividades auditadas, para que conforme el equipo de auditoría, este equipo deberá planificar, acordar

los requisitos y las actividades de auditoría que involucran la verificación de los sistemas en producción

con el objetivo de minimizar las interrupciones en los procesos relacionados con la institución.

Responsabilidad del Oficial de Seguridad

● Acordar los requisitos; así como, el alcance de las auditorías con las direcciones correspondientes.

● Realizará revisiones independientes sobre la vigencia e implementación del Sistema de Gestión de Seguridad de la Información.

Responsabilidad de la mesa técnica de auditoría al EGSI

● El equipo de auditoría tendrá únicamente acceso de lectura a la información. ● Las comprobaciones deberán limitarse al acceso sólo lectura al software y a los datos. ● Los accesos diferentes al de solo lectura debería permitirse únicamente en copias aisladas

de los archivos del sistema, que deberían borrarse cuando finalice la auditoría, o a las que debería protegerse adecuadamente si es obligatorio mantener dichos archivos de acuerdo con los requisitos de documentación de la auditoría.

● Las pruebas de auditoría que puedan afectar la disponibilidad de los sistemas deberán realizarse fuera del horario laboral.



Versión: 2.0


Página 80 de 130


● Se deberá salvaguardar los servicios de procesamiento de información y las herramientas de auditoría durante las auditorías de los sistemas de información.

● Deberá documentar todos los procedimientos, requisitos y responsabilidades de la auditoría.

6.9 SEGURIDAD EN LAS COMUNICACIONES

Implementar los procesos, procedimientos, controles, descritos en el EGSI para: - Gestión de la

seguridad de redes - Transferencia de información

6.9.1 Gestión de seguridad de redes

6.9.1.1 Administración y control de las redes para proteger la información

La Dirección de Sistemas de información de la Unidad del Registro Social, como responsables de las

redes de datos y los recursos de red de la institución, deberán gestionar y controlar la seguridad de la

información en redes para proteger a la información en los sistemas y aplicaciones.


• Diseñar y configurar las redes institucionales para cumplir con las necesidades operativas y

administrativas de la URS.

• Las redes deberán estar separadas en segmentos físicos y/o lógicos permitiendo el intercambio

de datos entre las mismas.

• Las redes deberán poseer dispositivos o sistemas lógicos como un firewall que las protejan

contra el acceso no autorizado a recursos, información sensitiva y ataques informáticos.

• El acceso remoto se llevará a cabo mediante conexiones y herramientas seguras.

• Cuando se vayan a realizar cambios o actualizaciones de seguridad en las redes, deberán llevarse

a cabo de manera planificada y organizada de forma que se evite impactos negativos en su

funcionamiento.

• Se deberá realizar registro, monitoreo y supervisión periódica del funcionamiento de las redes,

en caso de presentarse incidentes el administrador deberá comunicar al Director de Sistemas de

Información sobre el incidente y las acciones tomadas, de ser el caso deberá comunicarse con el

equipo de soporte de la URS para enviar un comunicado institucional.

• Los equipos de red deberán estar físicamente localizados en un lugar que cuente con un

mecanismo de seguridad.

• Previo a implementar un segmento de red se deberá realizar un análisis de riesgos.

• Separa las redes físicas y/o lógicas del ambiente de producción de los ambientes no productivos.



Versión: 2.0


Página 81 de 130


• Establecer controles para salvaguardar la confidencialidad e integridad de los datos que pasan a

través de redes públicas o de redes inalámbricas y proteger los sistemas conectados y sus

aplicaciones.

• Disponer de los esquemas de red de los enlaces de datos, Internet y redes locales, así como la

documentación respectiva.

• Monitorear el comportamiento, disponibilidad y tráfico de las redes institucionales.

• Controlar los accesos a las redes estableciendo mecanismos de autenticación, de modo que se

disponga de un nivel apropiado de seguridad de los recursos.

• Administrar los componentes de las redes como las direcciones IP, el enrutamiento de tráfico.

• Realizar cambios periódicos de las contraseñas de administración de los equipos que conforman

la red institucional.

6.9.1.2 Seguridad de los servicios de red

La Dirección de Sistemas de Información de la Unidad del Registro Social, como responsable de

suministrar los servicios de red de la institución, deberá gestionar y controlar la seguridad de los

mismos.

Responsabilidad de los Usuarios de los Servicios de Red

• El acceso a las redes inalámbricas se realizará mediante el uso de la contraseña establecida para la red correspondiente, provista por la Dirección de Sistemas de Información, la cual permite al administrador de la red controlar las conexiones.

• Para el acceso a las carpetas compartidas, los usuarios deberán estar conectados a la red institucional físicamente o mediante VPN, y deberán ingresar a los repositorios usando sus respectivas credenciales del dominio URS.

• Es responsabilidad del usuario con credenciales VPN, asegurarse que ninguna otra persona utilice su cuenta de acceso, entendiendo que es de uso exclusivo para quienes se les ha asignado dichos privilegios.

• Los cambios de claves de acceso de los usuarios de VPN deberán ser gestionadas por la Dirección de Sistemas de la Información, en caso de pérdida/olvido de la clave el usuario deberá solicitar el cambio a través del correo de [email protected]

• Para el uso de la tecnología VPN, los usuarios declaran conocer que sus computadores, ya sea institucionales o personales son una extensión de las redes de la URS y como tales, están sujetos a las mismas normas y reglamentos que se aplican a los equipos dentro de la institución, únicamente respecto al uso de la red interna.


• Proveer a los usuarios las contraseñas para el acceso a las redes inalámbricas

• Manejar un control de acceso a la red mediante autenticación, cifrada.

mailto:[email protected]



Versión: 2.0


Página 82 de 130


• Implementar y administrar las soluciones de firewall y antivirus a fin de proteger la red evitando accesos no autorizados.

• La multiplicación paralela de conexiones VPN no está permitida, sólo una conexión VPN está permitida por usuario.

• Los usuarios de la red VPN serán automáticamente desconectados de la sesión, una vez que hayan transcurrido 30 minutos de inactividad. El usuario deberá ingresar nuevamente para volver a conectarse a la red.

• El concentrador VPN está limitado para un tiempo de conexión de 8 horas diarias.

6.9.1.3 Separación en las redes

La Dirección de Sistemas de Información de la Unidad del Registro Social, velará por la seguridad de la

información institucional y el control de acceso restringido a la red aplicando la segregación o

separación de redes de forma lógica o física, a fin de brindar mayor protección a los activos de

información críticos en función del riesgo que estos podrían presentar.


• Identificar los segmentos de red, tipo de servicios, sistemas y aplicaciones críticas que se

encuentra funcionando.

• Identificar y documentar las direcciones IP que se encuentran en cada segmento de red.

• Establecer mecanismos de autenticación para el acceso a la red institucional.

• Realizar una separación de las redes inalámbricas de las redes internas.

• Identificar aquellas redes que permiten intercambiar datos entre instituciones.

• Elaborar un esquema de red, identificando los enlaces de datos e internet.

• Definir un procedimiento para la utilización de servicios de la red institucional.

• Identificar los servicios de red institucional y que grupos de usuarios que deben acceder.

• Controlar el flujo de datos de la red institucional, haciendo uso de protocolos de enrutamiento.

• Realizar pruebas de penetración, escaneo de vulnerabilidades a la infraestructura de la red y aplicaciones al menos una vez al año o después de actualizar o mejorar significativamente la infraestructura o cualquier aplicación.

• Evaluar los riesgos de los segmentos de red donde se encuentran los activos de información críticos de la institución.


• Sin previa autorización del Director de Sistemas de Información, no está permitido conectar a las

estaciones de trabajo o punto de acceso a la red institucional, equipos como (switches,

enrutadores, módems, etc.).

• Para el uso de un servicio de red se debe solicitar autorización del Director de Sistemas de

Información de la URS, previa justificación de los directores de las áreas requirentes.



Versión: 2.0


Página 83 de 130


• Para conexiones remotas a la red institucional debe solicitar autorización al Director de Sistemas

de Información, describiendo que servicio requiere usar y previa justificación de los directores

de las áreas requirentes.

6.9.2 Transferencia de información

6.9.2.1 Políticas y procedimientos de transferencia de información

Esta política pretende generar acciones, procedimientos y controles formales que protejan la

transferencia de información que viaja a través del uso de todo tipo de recursos de comunicación.


● Se deberá mantener la seguridad en el intercambio de información y software dentro de la Unidad del Registro Social y con cualquier entidad o ciudadanos externos.

● Se deberá establecer procedimientos y estándares para proteger la información y los medios físicos que contiene la información transmitida.

● Se deberá establecer procedimientos y controles de intercambios formales para proteger el intercambio de información a través del uso de todos los tipos de medios de comunicación

● Implementar procedimientos de cifrado de la información con componentes compartidos ● El contenido de seguridad de cualquier acuerdo deberá reflejar la sensibilidad de la información

involucrada ● Se deberá establecer procedimientos para proteger la información intercambiada contra la

intercepción, copiado, modificación, errores de enrutamiento y destrucción. ● Deberán tener control sobre el no dejar información sensible en copiadoras, impresoras, fax,

contestadores ya que podría ser reproducido por personas no autorizadas.


● Deberá realizar procedimientos para la detección y protección contra malware que puede ser transmitido a través de comunicaciones electrónicas.

● Definir lineamientos para proteger la información electrónica sensible que se encuentre en forma de adjunto.

● Generar directrices para el uso de los servicios de comunicación. ● Deberá establecer controles por medio de técnicas criptográficas para proteger la

confidencialidad, integridad y autenticidad de la información. ● Establecer controles y reglas asociadas con el uso de los recursos de comunicación. ● Definir una configuración segura en los equipos institucionales, copiadoras, servicios de fax, con

perfiles autorizados. ● Definir procedimientos para el uso de las redes inalámbricas en base a los riesgos involucrados.



Versión: 2.0


Página 84 de 130



● Al momento de la inducción del personal se deberá instruir al personal para no revelar información sensible al momento de tener una conversación telefónica, o reuniones, sin tomar en cuenta los controles necesarios.

● Asesorar al personal en el uso adecuado de los equipos institucionales o servicios de fax.

6.9.2.2 Acuerdos de transferencia de información

Esta política norma la elaboración e implementación de acuerdos de transferencia de información,

software seguro a nivel interno y externo.


● Definir procedimientos y responsabilidades para el control y notificación de transmisiones, envíos y recepciones.

● Definir las responsabilidades y obligaciones en caso de incidentes de seguridad de información, como la pérdida de datos.


● Conocer sobre la propiedad de la información y las condiciones de uso. ● Gestionar los acuerdos de confidencialidad y no divulgación de la información conforme la

normativa legal vigente, y a las necesidades de protección de la información de la Unidad del Registro Social y el EGSI.

● Controlar que los acuerdos de transferencia de información, documento físico o electrónico sean firmados por todo el personal de la institución sin excepciones.

● Gestionar la custodia de los acuerdos firmados, en los expedientes, físicos o electrónico de cada funcionario.


● Definir normas técnicas para el empaquetado y transmisión. ● Conocer los términos y condiciones de las licencias de software privativo o suscripciones de

software de código abierto bajo las cuales se utiliza el software ● Definir lineamientos para la grabación y lectura de la información y del software en el

intercambio de información. ● Implementar los controles necesarios para proteger elementos sensibles como la criptografía.




Versión: 2.0


Página 85 de 130


● Al momento de la inducción del personal se deberá instruir al personal para no revelar información sensible al momento de tener una conversación telefónica, o reuniones, sin tomar en cuenta los controles necesarios.

● Asesorar al personal en el uso adecuado de los equipos institucionales o servicios de fax.

6.9.2.3 Políticas y Procedimientos para mensajería electrónica

Esta política pretende generar acciones necesarias de seguridad de la información en la información de

mensajería electrónica, reglamentada de acuerdo a la norma legal vigente.

Toda información enviada desde la URS a través de correos electrónicos deberá incluir en su pie de

página la siguiente advertencia:

“Este mensaje y cualquier archivo que se adjunte al mismo es confidencial y podría contener

información clasificada y reservada de la URS, para el uso exclusivo de su destinatario. Si usted no es el

receptor autorizado, cualquier retención, difusión, distribución o copia de este mensaje es prohibida y

sancionada por la ley. Si por error recibe este mensaje, por favor reenviarlo al remitente y borrar el

mensaje recibido inmediatamente”.


● Establecer lineamientos para proteger los mensajes contra los accesos no autorizados, modificación o denegación de los servicios.

● Monitorear los mensajes de acuerdo al procedimiento que establezca la institución.


● Establecer directrices para el uso de los servicios de comunicación electrónica ● Supervisar que la dirección y el transporte de mensajes sean correctos. ● Tener en cuenta la fiabilidad y disponibilidad del servicio. ● Tomar en cuenta consideraciones legales como la de firmas electrónicas. ● Encriptar los contenidos y/o informaciones sensibles que puedan enviarse por mensajería

electrónica; utilizando firmas electrónicas reconocidas por el Estado Ecuatoriano u otras tecnologías evaluadas y aprobadas por la entidad o el Gobierno Nacional.

Responsabilidades del responsable de los activos de información

• Determinar la criticidad de la información y de acuerdo a su necesidad solicitar el tratamiento adecuado para la información que viajara en los mensajes electrónicos.



Versión: 2.0


Página 86 de 130


6.9.2.4 Acuerdos de confidencialidad o no revelación

Esta política contiene dos documentos oficiales que cada servidor/a al ingresar a la institución o asumir

un nuevo puesto de trabajo, deberá suscribir.

“PLANTILLA DE ACUERDO DE CONFIDENCIALIDAD PARA EL PERSONAL DE LA UNIDAD DEL REGISTRO

SOCIAL” y “PLANTILLA DE ACUERDO DE CONFIDENCIALIDAD Y RESPONSABILIDAD DE LA INFORMACIÓN

TÉCNICA SOBRE EL CÁLCULO DEL ÍNDICE DE LA MÉTRICA DEL REGISTRO SOCIAL DE LA URS”.

6.10 ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS

Las directrices de seguridad de la información, deben incluirse entre los requisitos para los nuevos

sistemas de gestión de información o mejoras a los sistemas existentes.

Implementar los procesos, procedimientos, controles, descritos en el EGSI para: - Requisitos de

seguridad de los sistemas de información - Seguridad en el desarrollo y en los procesos de soporte -

Datos de prueba

6.10.1 Requisitos de seguridad de los sistemas de información

6.10.1.1 Análisis de requisitos y especificaciones de seguridad de la información

La Unidad del Registro Social definirá lineamientos de seguridad de la información, que deberán ser

requisitos para los nuevos aplicativos o sistemas de información y las mejoras que se implementen en

los sistemas existentes.


● Mantener un registro y control de todos los mantenimientos o nuevos desarrollos que sean realizados en los sistemas o aplicativos de información.

● Llevar un registro y control de todos los incidentes de los sistemas de información. ● Definir control de sesiones, en donde se debe contemplar los siguientes parámetros:

1. Número de intentos fallidos permitidos.



Versión: 2.0


Página 87 de 130


2. Facilidades para activar y desactivar estaciones de trabajo por intentos fallidos o por tiempo de inactividad.

3. La periodicidad de cambio de contraseña. 4. Bloquear las sesiones habilitadas en los aplicativos una vez que se identifique

inactividad. ● Definir controles apropiados, tanto automatizados como manuales. ● Garantizar la seguridad de las aplicaciones y sistemas informáticos de la Unidad del Registro

Social, vigilando la debida privacidad y confidencialidad de los datos registrados en los sistemas de información y en general en la plataforma e infraestructura tecnológica y solo permitiendo el acceso a la información a usuarios autorizados, cuando sea solicitado de manera formal por una autoridad competente y con la respectiva justificación.

● Validar y liderar los proyectos que involucren el uso de recursos tecnológicos. ● Asignar prioridad de atención de acuerdo a la criticidad del activo de información, en el caso de

presentarse incidentes. ● Las contraseñas de los usuarios de los sistemas o aplicativos deben almacenarse encriptados. ● Reportar al Oficial de Seguridad de la Información en el caso de presentar incidentes en los

sistemas de información. ● Los desarrollos de aplicativos internos o externos tienen que cumplir con los requisitos de

seguridad definidos. ● Al registrar la contraseña para ingresar a los sistemas o aplicativos no se deberá visualizar los

caracteres ingresados. ● Los sistemas o aplicativos deberán registrar logs de auditorías, para mantener una trazabilidad

de las transacciones y operaciones realizadas por los usuarios. ● El diseño, operación, uso y administración de los sistemas de información, deben estar sujeto a

requisitos de seguridades legales, normativas y contractuales. ● Implementar procedimientos apropiados para asegurar el cumplimiento de los requerimientos

legales, reguladores y contractuales sobre el uso de los aplicativos respecto a los cuales puedan existir derechos de propiedad intelectual y sobre el uso de productos de software legal.

● Evitar el uso de usuarios concurrentes en las aplicaciones de la institución, se permite un solo acceso de usuario a la vez en las aplicaciones.

● De ser procedente se recomienda implementar dos factores de autenticación en las aplicaciones web.

● Para realizar transacciones en línea se deberá cifrar el canal de comunicación y la información a transmitir.

6.10.1.2 Servicios de aplicaciones en redes públicas

La Dirección de Sistemas de Información de la Unidad de Registro Social implementará los controles y

reglas necesarias a fin de proteger la información que pasa a través de redes públicas.


● Todo tipo de acceso que se realice a los sistemas institucionales y que se utilicen por redes públicas, deberán implementar por lo menos dos factores de autenticación.



Versión: 2.0


Página 88 de 130


● Definir niveles de autorización adecuados sobre el contenido, problemas o firmas de documentos transaccionales clave.

● Establecer y acordar los requisitos de confidencialidad, integridad y prueba de envío y recepción de documentos clave y de no repudio de la información con las partes involucradas que prestan y consumen el servicio.

● De acuerdo a la criticidad de la información se deberá definir algoritmos criptográficos para la transmisión de información.

● Establecer métodos para brindar confidencialidad, integridad y no repudio de los datos suministrados con respecto a trámites y presentaciones ante la URS y confirmación de recepción.

● Establecer la forma de interacción más adecuada para evitar fraudes. ● Asegurar que una transacción sólo se realiza una vez. ● Buscar la manera de evitar que una entidad que haya enviado o recibido información alegue que

no la envió o recibió. ● Garantizar que las partes en comunicación están plenamente informadas de sus autorizaciones

para la prestación o uso del servicio.

6.10.1.3 Controles de transacciones en línea, implementados.

La Unidad del Registro Social establecerá y contará con mecanismos para proteger la información involucrada en las transacciones en línea para evitar una transmisión incompleta, routing equivocado, alteración no autorizada, divulgación no autorizada, duplicación o repetición no autorizada de los mensajes y/o transacciones. Responsabilidad de la Dirección de Sistemas de Información

● Elaborar y mantener los procedimientos y las guías de usuarios finales, de configuración, de sistemas de información y recursos de comunicación.

● Establecer ambientes informáticos separados para desarrollo y producción de manera que la funcionalidad de un ambiente no afecte al otro.

● Controlar que las funciones del personal no permitan realizar un mal uso, intencional o accidental, de los sistemas de información.

● Implementar un protocolo de comunicación seguro SSL para lograr que: o La identidad del servidor participante en la comunicación.

o La información transmitida en la comunicación entre el cliente y el servidor sólo sea

legible por estas dos entidades.

o La información transmitida en la comunicación entre el cliente y el servidor no haya sido

alterada en su viaje por la red.

● Monitorear y revisar periódicamente los registros y reportes emitidos, para verificar el cumplimiento de los parámetros de seguridad de información establecidos.

● Establecer cláusulas o acuerdos de Nivel de Servicio con el proveedor de servicio de red, que asegure la disponibilidad de la misma.

● Contar con mecanismos de detección de intrusos y de intercepción de información.



Versión: 2.0


Página 89 de 130


● Implementar las aplicaciones y servicios web de acuerdo a los estándares proporcionados por los entes reguladores del estado.

● Previo un análisis de riesgos, de ser procedente considerar planes de continuidad para las transacciones en línea que se realiza en la institución y garantizar que estos planes cumplan con los requerimientos de seguridad mínimos para este tipo de transacciones.

● Cifrar o encriptar el canal de comunicaciones entre las partes involucradas.

6.10.2 Seguridad en los procesos de desarrollo y soporte

6.10.2.1 Política de desarrollo seguro

La Dirección de Sistemas de Información de la Unidad de Registro Social definirá y socializará los

controles y reglas para el desarrollo de aplicaciones y sistemas en la institución.


● Definir los requerimientos y controles de seguridad que deben ser cubiertos por el sistema y aplicación a desarrollarse.

● Toda modificación de sistema y aplicación crítica ya sea por actualizaciones o modificaciones, deberá ser analizada previamente en ambientes independientes de desarrollo y prueba, con el objetivo de identificar y analizar los riesgos de seguridad que acarrea dicha modificación.

● La información confidencial debe almacenarse de forma cifrada y verificar que la comunicación se lleve a cabo utilizando canales protegidos.

● Todos los sistemas y aplicaciones deberán incluir la generación de registros de auditoría y los mismos deben ser protegidos contra la manipulación no autorizada.

● No está permitido modificar sistemas y aplicaciones sin que quede registrado o documentado el cambio. En caso de requerirse la implementación de un cambio, este deberá ceñirse a los lineamientos descritos en el procedimiento de control de cambios.

● No está permitido escribir código malicioso (virus y gusanos), así como funciones u operaciones no documentadas o no autorizadas en los sistemas y aplicaciones.

● Si el desarrollador incluye comentarios en el código fuente, estos no deben divulgar información de configuración innecesaria.

● Los sistemas y aplicaciones deben validar los datos de entrada y generar los datos de salida de manera confiable, utilizando rutinas de validación centralizadas y estandarizadas.

● Establecer controles para la autenticación en los sistemas y aplicaciones. ● Realizar una gestión de las sesiones en los sistemas, por ejemplo, asegurar que la sesión expire

después de cierto tiempo. ● Manejar de forma adecuada los errores presentados en los sistemas y aplicativos. ● Remover todas las funcionalidades y archivos que no sean necesarios para los sistemas y

aplicativos previo a la puesta en producción.



Versión: 2.0


Página 90 de 130


● No incluir cadenas de conexión a las bases de datos en el código de los sistemas y aplicativos, además es obligatorio cerrar la conexión a las bases de datos tan pronto como estas nos sean requeridas.

● Se deberán desarrollar los controles necesarios para la transferencia de archivos. ● No se deberá incluir en parámetros, nombres de directorios o rutas de archivos. ● Se deberá garantizar la protección del código fuente de los aplicativos construidos, de tal forma

de que no pueda ser descargado ni modificado por los usuarios. ● No se deberá permitir que los sistemas y aplicativos desarrollados ejecuten comandos

directamente en el sistema operativo. ● En lo posible, las pruebas de los sistemas y aplicativos deberán ser de instalación, stress,

rendimiento, almacenamiento, configuración, funcionalidad, seguridad, entre otros. ● Los sistemas y aplicaciones deberán contar con un módulo de autenticación de usuario, que

mínimo exija nombre de usuario y contraseña. Además, en los casos que el sistema y aplicación estén expuesta a internet, se deberá utilizar doble factor de autenticación.

● Los sistemas y aplicaciones deberán contar con manejo de diferentes roles con permisos de acceso y operaciones asociados a estos.

● Asegurarse que los usuarios finales tengan las últimas versiones y parches instalados, con el fin de evitar que alguna vulnerabilidad sea explotada.

● Planificar detalladamente las etapas de paso a producción, incluyendo respaldos, recursos, conjunto de pruebas pre y post-instalación, y criterios de aceptación del cambio.

● Revisar y auditar la existencia de los requerimientos y controles de seguridad definidos en el ciclo de vida de desarrollo de software.

● Los desarrolladores y terceros, no deberán tener acceso a los ambientes de producción. ● Todo desarrollador deberá solicitar el código fuente a la persona responsable para su

modificación, manteniendo en todo momento la correlación programa fuente / ejecutable. ● La documentación debe generarse durante el ciclo de vida de desarrollo de software y no

postergarla hasta el final y en el caso de que el sistema o aplicación cambia alguna de sus funcionalidades esta deberá ser actualizada.

● Toda documentación y ejecutables de los sistemas y aplicaciones generadas deberán almacenarse en un sitio centralizado (Servidor) y administrado mediante claves de acceso.

● Investigar y documentar los problemas de seguridad (vulnerabilidades) que surgen en los productos de software, que son publicadas por fundaciones especializadas (OWASP) o detectados por cualquier usuario y proponer las medidas de mitigación al riesgo definido.

● Al menos una vez cada año, se debe realizar un escaneo de los sistemas y aplicaciones más recientes puestas en producción, en busca de vulnerabilidades, manteniendo un registro de los resultados y las acciones correctivas tomadas.

6.10.2.2 Procedimientos de control de cambios en sistemas

La Unidad del Registro Social garantizará que los cambios que se implementen en los sistemas

informáticos o aplicativos, en las instalaciones de procesamiento de la información serán documentados

y controlados de acuerdo al procedimiento de control de cambios establecido.



Versión: 2.0


Página 91 de 130


Responsabilidades de los Servidores públicos de la Unidad del Registro Social

• Generar la solicitud de cambio mediante el procedimiento definido.

• Establecer los requerimientos funcionales del cambio.

• Dar de baja una solicitud de cambio mediante solicitud.

• Elaborar pruebas funcionales en los aplicativos o sistemas de información.

• Certificar y aprobar los cambios solicitados en la fase de pruebas, previo el paso a producción.

• Realizar un seguimiento post producción del cambio, a fin de identificar novedades.


• Establecer responsabilidades y procedimientos para controlar los cambios que se implementen en la plataforma tecnológica de la institución.

• Implantar los controles necesarios para asegurar que los pasos entre ambientes de desarrollo, pruebas y producción han sido aprobados, de acuerdo con el procedimiento de control de cambios.

• Receptar y clasificar las solicitudes de cambio.

• Previo a una solicitud de cambio debe reunirse con los involucrados para definir los cambios requeridos.

• En conjunto con los especialistas de la Dirección de Sistemas de Información, analizar la factibilidad del cambio.

• Identificar claramente los procesos a seguir y la documentación que aplica para un control de cambio normal y emergente (entendiéndose como emergente cuando los servicios críticos de la Unidad del Registro Social están suspendidos).

• Controlar los cambios solicitados desde el inicio de los proyectos y mantener su seguimiento hasta que cada uno de ellos finalice.

• Considerar a todas las áreas involucradas previo a la aplicación del cambio en el ambiente de producción, con la finalidad de evitar un impacto negativo que pueda influir tanto en las tareas cotidianas como en la continuidad de las actividades de la Unidad del Registro Social.

• Validar que la documentación utilizada dentro del proceso de cambio este actualizada y aprobada de acuerdo a lo que corresponda.

• En cambios emergentes, se debe contar con el documento de solicitud de cambio, aprobarlas si aplica o rechazarlas si aplica los mismos que deberán ser completados y presentados máximo tres días después de la ejecución en producción.

• Mantener actualizada la documentación con la información de los cambios realizados en el ambiente de producción.

• En caso de ser requerido informar el avance de los procesos del cambio a las direcciones involucradas o áreas que requieran.

• Comunicar de manera detallada los cambios realizados.

• Gestionar de manera transversal el ciclo del cambio.

• Versionar las fuentes y ejecutables productivos del software de la Unidad del Registro Social.

• Para la evaluación del impacto se deberá conocer previamente el plan de proyecto, informe sobre el rendimiento de los trabajos realizados y las solicitudes de cambio realizadas a nivel de



Versión: 2.0


Página 92 de 130


sistemas ya existentes en producción y equipamiento tecnológico, adicional verificar su correcta implementación.

• Ejecutar el cambio en producción en base a la documentación definida.

• Realizar pruebas de los cambios realizados previo al paso a producción con la finalidad de garantizar la calidad de los productos tecnológicos, documentación, disponibilidad e integridad de la información de la Unidad del Registro Social.

• Verificar e informar a los involucrados las novedades presentadas en la ejecución del cambio en el ambiente de producción, en caso de fallas comunicar y ejecutar proceso de recuperación a una versión estable anterior al cambio (rollback).

Responsabilidades de la Dirección de Sistemas de Información (Comité de Gestión de Cambios)

• Analizar los posibles eventos de riesgos que se puedan derivar de la aplicación y autorizar la ejecución de las ordenes de cambio en el ambiente de producción.

Responsabilidades del Oficial de seguridad de la información



• El Oficial de Seguridad de la Información en conjunto con el responsable del activo de información y el Director de la DSI aprobarán o rechazarán los cambios emergentes que se presente dentro de la Unidad del Registro Social, con la finalidad de garantizar el correcto funcionamiento de los sistemas involucrados en dichos cambios.

6.10.2.3 Revisión técnica de las aplicaciones tras efectuar cambios en el sistema operativo

Cada vez que sea necesario realizar un cambio en el Sistema Operativo, los sistemas informáticos y

aplicaciones que se usan en la Unidad del Registro Social serán revisados para asegurar que no se

produzca un impacto en su funcionamiento o seguridad.


• Todo cambio que se realice al sistema operativo deberá cumplir con el proceso de Gestión de cambios.

• Garantizar mediante la ejecución de pruebas que las aplicaciones o sistemas informáticos por los cambios efectuados en el sistema operativo continúan con la funcionalidad esperada.

• Todo cambio que se aplique en producción debe contemplar procesos de retorno al estado anterior del cambio.

• Dar a conocer a las áreas involucradas los cambios que se encuentren relacionados o afecten a los planes de continuidad, a fin de que las áreas procedan con la actualización respectiva.



Versión: 2.0


Página 93 de 130


• Garantizar que los cambios en el sistema operativo sean informados con antelación a la implementación a los responsables de las aplicaciones que se ejecutaran dentro de dicho sistema operativo para realizar pruebas de funcionalidad y rendimiento de las aplicaciones.

• Revisar los procedimientos de integridad y control de aplicaciones para garantizar que no hayan sido comprometidas por el cambio.

• Leer la documentación de los cambios de la nueva versión del sistema operativo o nuevo sistema operativo implementado para identificar posibles afectaciones a aplicaciones que se ejecutarán en esta nueva versión.

• Verificar y garantizar la compatibilidad de las aplicaciones que se ejecutaran en el nuevo sistema operativo.

• Verificar los cambios en paquetes y módulos del sistema operativo actual con respecto al anterior para identificar que aplicaciones hacen uso de los mismos y detectar posibles afectaciones.

• Mantener un listado actualizado de las aplicaciones que se ejecutan en cada uno de los sistemas operativos que existen en la Unidad del Registro Social, con la versión tanto de sistema operativo como de aplicaciones.

• Garantizar la correcta instalación y despliegue de aplicaciones.

• Realizar pruebas con cada una de las aplicaciones para verificar procesamiento, consumo de memoria y gestión de archivos.

• Disponibilidad y asignación de recursos al ejecutar las diferentes aplicaciones cargadas en el sistema operativo.

• Evaluar la memoria principal, memoria virtual, paginación, segmentación al ejecutar las aplicaciones que van a correr sobre el sistema operativo.

• Realizar pruebas de funcionalidad para la verificación del correcto funcionamiento de las aplicaciones que vayan a ser gestionadas por el Sistema Operativo.

Responsabilidad de las áreas que conforman la Unidad del Registro Social

• Una vez informados de los cambios realizados analizar la pertinencia para actualizar los planes de contingencia del negocio.

6.10.2.4 Restricciones a los cambios en los paquetes de software

La Unidad del Registro Social garantizará que los paquetes de software suministrados o adquiridos a

terceros no estén en frecuentes modificaciones o cambios de versiones, serán considerados los cambios

estrictamente necesarios con su respectiva documentación y controles de acuerdo al procedimiento de

gestión de cambios establecido por la institución.




Versión: 2.0


Página 94 de 130


• Garantizar que todo cambio que se realice a un sistema o aplicativo desarrollado por terceros se realice mediante el proceso de gestión de cambios.

• Realizar un análisis exhaustivo para que los controles y los procesos de integridad incorporados se vean comprometidos y garantizar la compatibilidad con otro aplicativos.

• De ser pertinente gestionar con el proveedor la autorización respectiva para el cambio.

• Analizar los términos y condiciones en cada contratación de actualizaciones o nuevos paquetes de software con el fin de determinar si las modificaciones e instalaciones se encuentran autorizadas.

• Evaluar el impacto que se produce al realizar el cambio para definir la viabilidad y alcance del cambio y adicional quien es el responsable del mantenimiento de dicha actualización.

• Realizar los respectivos respaldos del paquete de software original, realizar los cambios sobre una copia perfectamente identificada.

• Documentar de manera detallada el cambio que se realiza y adicionalmente cómo regresar a un estado anterior en caso de fallos.

• Definir acuerdos de licencias, propiedad de código y derechos de propiedad intelectual de los paquetes de software.

• Analizar los requerimientos contractuales, entre otros temas la calidad del código y la existencia de garantías para la institución.

• Solicitar la ejecución de procedimientos de certificación de la calidad y precisión del trabajo llevado a cabo por el proveedor, que incluyan auditorías, revisión de código para detectar código malicioso, verificación del cumplimiento de los requerimientos de seguridad del software establecidos.

• Identificar métodos y procedimientos nuevos y obsoletos en caso de librerías o paquetes necesarios o complementarios para un determinado desarrollo.

6.10.2.5 Principios de ingeniería de sistemas seguros

La Unidad de Registro Social establecerá y documentará los principios y reglas de ingeniería para

sistemas seguros que deben aplicarse en los sistemas de información y aplicaciones desarrollados

dentro de la Dirección de Sistemas de Información.


● Establecer y documentar procedimientos de ingeniería de sistemas de información seguros en base a los principios de ingeniería de seguridad y aplicarse en las actividades de ingeniería de sistemas internos y externos.

● Analizar los riesgos de seguridad de la tecnología utilizada y de las nuevas y revisar el diseño contra los patrones de ataques conocidos.

● Revisar periódicamente los procedimientos de ingeniería establecidos para asegurarse de que están contribuyendo de manera efectiva a la mejora de las normas de seguridad en los procesos de ingeniería.



Versión: 2.0


Página 95 de 130


● Al utilizar lenguajes que no sean compilados, asegurarse de limpiar el código que se pone en producción, para que no contenga rutinas de pruebas, comentarios o cualquier tipo de mecanismo que pueda dar lugar a un acceso indebido.

● Tomar medidas de control sobre el tipo de dato que se ingresa en un sistema y aplicación para evitar inyecciones de código SQL y JavaScript.

● Todo tipo de acceso que se realice a los sistemas y aplicaciones deben ser validados con las credenciales respectivas.

● Al intercambiar información sensible utilizar protocolos para cifrar las comunicaciones. ● La información confidencial almacenada deberá encontrarse cifrada utilizando algoritmos

fuertes y claves robustas. ● Documentar todo cambio que se realice en los sistemas de información y aplicaciones. ● Utilizar doble factor de autenticación para aplicativos o sistemas utilizados desde la web.

6.10.2.6 Ambiente de desarrollo seguro

La Unidad de Registro Social establecerá y protegerá adecuadamente los ambientes de desarrollo

seguro para el desarrollo del sistema y los esfuerzos de integración que cubren todo el ciclo de vida de

desarrollo del sistema.


● Evaluar los riesgos asociados con los proyectos de desarrollo de sistemas y establecer entornos de desarrollo seguros considerando:

o La sensibilidad de los datos a ser procesados, almacenados y transmitidos por el sistema.

o Los reglamentos o políticas internas o externas vigentes. o Establecer requisitos que permitan determinar la seguridad mínima de la aplicación,

así como de umbrales de calidad y límites de errores. o Necesidad de separación entre diferentes ambientes de desarrollo. o Monitorizar los cambios en el ambiente y el código almacenado en el mismo.

● Dar a conocer la ideología de la seguridad a todos los implicados en el proceso de desarrollo de software.

● Capacitar al personal implicado en materia de seguridad informática y seguridad de la información en la que se aborden temas como:

o Diseño seguro en el que se vea reflejada la reducción de ataques. o Modelos de riesgos, Codificación segura que impidan saturaciones, inyección de

código SQL y criptografía débil. o Pruebas de seguridad y sus diferencias con las pruebas funcionales. o Privacidad

● Prohibir funciones no seguras o componentes de terceros no probadas, en el desarrollo de las soluciones informáticas que puedan comprometer la seguridad de la información.



Versión: 2.0


Página 96 de 130


● Fomentar el uso herramientas de análisis de código para comprobar las fuentes con las que fueron creadas las soluciones informáticas implementadas en la gestión de la base del Registro Social.

● Implementar modelos de riesgos y de la superficie de ataques de los que son víctimas las soluciones informáticas.

● Definir equipos de ingenieros, personal con capacidad para toma decisiones para planes de código heredado y planes para código de terceros.

● Certificar que el proyecto ha cumplido los requisitos de privacidad y seguridad para que se pueda enviar el software requerido.

● Monitorear el uso del sistema y de instalaciones de procesamiento de información, y sus resultados. Considerando el acuerdo del nivel de clasificación de la información.

● Definir y autorizar perfiles de usuarios a las aplicaciones ● Establecer un adecuado cifrado de las contraseñas, su administración y entrega al usuario final. ● Realizar revisiones periódicas sobre los derechos de acceso concedidos a los usuarios, acorde

con el movimiento de personal y los cambios en la organización. ● Utilizar herramientas aprobadas, la versión más reciente de compiladores, framework en

general para aprovechar las nuevas protecciones y funciones de análisis de seguridad.

6.10.2.7 Desarrollo externalizado, supervisado y monitoreado


tecnológicos, supervisará y monitoreará las actividades de contratación de desarrollo de sistemas

estableciendo los controles técnicos que deben cumplir.


● Especificar y definir las licencias requeridas para los contratos de desarrollo de software, su temporalidad, propiedad del código fuente, compromisos de confidencialidad, así como derechos de propiedad intelectual

● Definir el procedimiento para presentación de requerimientos contractuales, así como los parámetros de diseño, calidad, pruebas a implementar y auditoría del sistema.

● Definir los requerimientos de calidad y seguridad como gestión de usuarios, autenticación y autorización, confidencialidad de los datos, integridad, gestión de sesiones, seguridad en el canal de comunicación y privacidad de la información, además asegurar que existen métodos de verificación para el software y las garantías para su cumplimiento.

● Establecer los lineamientos para auditar el proceso y el producto de la contratación de desarrollo de sistemas, así como la información registrada en el mismo.

● Definir las pruebas que se deben realizar para garantizar la calidad, seguridad y funcionalidad del sistema a entregar.

● Asegurar la eficacia de los controles aplicados para la contratación de desarrollo de sistemas. ● El software desarrollado por terceros sólo se deberá implementar en producción después de

una prueba extensa y satisfactoria por el personal de la Unidad de Registro Social; las pruebas



Versión: 2.0


Página 97 de 130


deberán incluir evaluaciones de utilidad, seguridad, efectos sobre los sistemas y facilidad para el usuario; y se deberán llevar a cabo en ambientes separados. Adicionalmente, se deberá asegurar que se hayan actualizado todas las bibliotecas fuente, correspondientes del programa.

● Los contratos con el proveedor deberán establecer los requerimientos de seguridad necesarios por la Unidad de Registro Social de acuerdo a los riesgos identificados.

● Se deberán implementar metodologías de desarrollo seguro para todas aquellas aplicaciones que sean desarrolladas internamente o por terceros.

● Implementar revisiones de código que permitan identificar debilidades en los mecanismos de autenticación, administración de sesiones, cookies, etc. Y se deberá asegurar a todas las aplicaciones Web contra los ataques y vulnerabilidades web más conocidos.

● En los casos en que los resultados de la prueba de seguridad del sistema nuevo no sean satisfactorios, la Dirección de Sistemas de Información en conjunto con la Oficial de Seguridad de la Información y las áreas involucradas analizarán los riesgos y tomarán una decisión de acuerdo al resultado de dicho análisis.

6.10.2.8 Pruebas de seguridad del sistema


tecnológicos, identificará, ejecutará y documentará las pruebas de funcionalidad que han de ser

definidas y que son necesarias en aspectos de seguridad durante las etapas de desarrollo.


● Definir los lineamientos necesarios para la identificación, definición y ejecución de pruebas a los desarrollos de software realizados internamente y desarrollados por terceros, mismos que permitan garantizar la calidad y funcionalidad de los sistemas tanto nuevos como sus actualizaciones.

● De proceder realizar pruebas integrales y de convivencia con otros aplicativos.

6.10.2.9 Pruebas de aceptación de sistemas

La Unidad del Registro Social establecerá un conjunto de normas y estándares que permitan la

aceptación de las pruebas de los sistemas, previo a la ejecución en el ambiente de producción, con el

objetivo de garantizar la correcta aplicación de los controles de seguridad, calidad y cumplimiento de

requerimientos funcionales de las aplicaciones.


● Llevar un registro de incidencias de falla de software. ● El proceso por el cual se evalué un programa o sistema informático deberá ser planeado,

ejecutados y documentado para garantizar la integridad de la Información en producción.



Versión: 2.0


Página 98 de 130


● Realizar las pruebas en un ambiente distinto al de producción con las mismas configuraciones y características similares, pero no debe contener los mismos datos.

● Mantener un registro de todos los cambios realizados en el sistema. ● Ejecutar los mismos controles de acceso de los sistemas en producción, a los sistemas en

prueba. ● Asegurar que los cambios a aplicar no comprometen los controles de seguridad de información

ya implementados ● Revisar y probar los módulos o programas que han sido materia de cambios, para asegurar que

no afectan al funcionamiento o seguridad. ● Ejecutar pruebas integrales a fin de evidenciar que los cambios implementados no afecten la

correcta funcionalidad de los sistemas involucrados. ● Ejecutar todas las pruebas, bajo los mismos procedimientos establecidos tanto para los

desarrollos externos como internos a fin de certificar la calidad, seguridad y exactitud del trabajo realizado.

● En las pruebas de certificación de los cambios, incluir la ejecución de pruebas de los procedimientos de rollback.

● Establecer un formato de informe para la aceptación y aprobación de soluciones informáticas en el que conste:

a. Autorización para los cambios del sistema, según el proceso al que impacta.

b. Registro de todos los cambios y su autorización

c. Pruebas y evidencias del cambio por parte del solicitante y del funcionario de

QA asignado

d. Aceptación de los cambios por parte del solicitante

e. Actualización de la documentación del sistema

6.10.3 Datos de prueba

6.10.3.1 Protección de los datos de prueba,

La Unidad del Registro Social garantizará la protección de datos contra accesos no autorizados y para

protegerlos de una posible corrupción durante en proceso de control de calidad.


• Ejecutar pruebas funcionales y de seguridad para determinar la validad de los sistemas o

aplicativos utilizando datos lo suficientemente correctos para cada prueba.

• Utilizar los datos de prueba exclusivamente para ejecutar las pruebas.

• Aprobar informe de pruebas ejecutadas con QA


• Enmascarar datos de prueba a fin de no incurrir en problemas de seguridad o faltas a la privacidad.



Versión: 2.0


Página 99 de 130


• Controlar el manejo inadecuado de datos de producción que pudieran propiciar problemas legales (privacidad, seguridad).

• Cuidar la integridad referencial de la información manejada, dadas las relaciones de ciertos registros que se requiere sean utilizados en diversos módulos de la aplicación a probar.

• Ejecutar pruebas funcionales con las áreas requirentes en un ambiente estable y seguro utilizando datos adecuados

• Detener o retrasar la etapa de ejecución de pruebas debido a datos inadecuados o insuficientes.

• Manejar distintas versiones de datos que permitan dar un seguimiento del cambio de un elemento o archivo o quien lo cambio, esta información permitirá llevar un control para futuras auditorias.

• Reportar defectos inválidos a causa de una incorrecta configuración/preparación de datos (errores humanos).

• Reportar defectos potencialmente graves, importantes y/o urgentes.

• Generan de forma escalable sub-conjuntos de datos de BDs acorde a las necesidades.

• Reportar existencia de datos ya procesados (y no administrados correctamente) en fases de prueba previas, que dificultan o entorpecen la ejecución actual.

• Permitir la extracción de un subconjunto de datos de pruebas desde varias tablas de diversas

Bases de Datos cifradas o enmascaradas.

• Proporcionar seguridad de datos y controles de privacidad para prevenir el acceso no autorizado

y la divulgación de información sensible, privada y confidencial.

• Proporcionar inteligencia de seguridad de datos para que las organizaciones puedan

comprender los riesgos y vulnerabilidades de los datos confidenciales.

• Proporcionar el aprovisionamiento seguro y automatizado de datasets que no son de

producción para satisfacer necesidades de desarrollo.

• Una vez finalizadas las pruebas, la información de producción utilizada debe eliminarse.

• Solicitar al responsable del activo de información la autorización formal para realizar una copia

de la base de datos de producción como base de datos de prueba.

• Controlar que ninguna aplicación o sistema que se encuentre en el ambiente de desarrollo o

control de calidad, podrá tener enlaces o realizar consultas a bases de datos, aplicaciones,

archivos, etc. que se encuentren en el ambiente de producción, a fin de salvaguardar la

integridad de la información.

Responsabilidad de los responsables de los Activos de Información

• Autorizar formalmente el uso de los datos de producción en los ambientes de pruebas.

6.11 RELACIONES CON PROVEEDOORES

Implementar los procesos, procedimientos, controles, descritos en el EGSI para: - Seguridad de la

información en relación con los proveedores - Gestión de la provisión de servicios del proveedor



Versión: 2.0


Página 100 de 130


6.11.1 Seguridad de la información en las relaciones con proveedores

6.11.1.1 Política de seguridad de la información en las relaciones con los proveedores

Esta política pretende implementar y socializar las acciones relacionadas con el acceso del proveedor y

terceras personas, a los activos de la institución, con la finalidad de mitigar riesgos asociados.

Responsabilidad de la Dirección Administrativa

• Identificar y documentar los tipos de proveedores, a los cuales la institución permitirá acceder a su información.

• Definir los tipos de acceso a la información que se le permitirá a los diferentes tipos de proveedores, son su supervisión y su control del acceso.

• Establecer el procedimiento necesario para el manejo de incidencias y contingencias asociadas al acceso de los proveedores, incluyendo proveedores, incluyendo responsabilidades, tanto de la institución como de los proveedores.

• Socializar y concientizar a los servidores de la institución que se relaciona con proveedores, sobre el cumplimiento legal, técnico y administrativo de las actuaciones, según el tipo de proveedor y el nivel de acceso a los activos de gestión de información según su clasificación.


• Implementar requisitos mínimos de seguridad de la información por cada tipo de acceso a la información, para servir de base en los acuerdos con cada uno de los proveedores de conformidad con las necesidades, requisitos institucionales.

• Supervisar el cumplimiento de los requisitos de seguridad de la información, establecidos para cada tipo de proveedor y cada tipo de acceso, incluyendo la revisión por terceros y la validación de los productos.

• Documentación formal entre las partes, sobre los controles de seguridad de la información analizados e implementados.


• Establecer lineamientos para ejecutar migraciones necesarias de información, instalaciones de procesamiento de la información y todo aquello que necesite ser mirado, garantizando que la seguridad de la información se mantenga en todo el proceso.



Versión: 2.0


Página 101 de 130


6.11.1.2 Requisitos de seguridad en contratos con terceros

Implica el tratamiento de la seguridad dentro de los acuerdos con proveedores. Se deben establecer y

acordar todos los requisitos de seguridad de la información pertinentes con cada proveedor que puedan

tener acceso, procesar, almacenar, comunicar o suministrar componentes de infraestructura de TI para

la información de la organización.


• En todos los contratos cuyo objetivo sea la prestación de servicios o adquisición de bienes los

contratistas o proveedores, deben suscribir convenios de confidencialidad y controles aplicables

al caso, restringiendo al mínimo necesario, los permisos a otorgar, según sea el caso.

• Para otorgar acceso a personas ajenas a la institución que requieren hacer uso de información

institucional, el Oficial de Seguridad de la Información y el propietario de la información,

verificarán los siguientes aspectos:

a. El tipo de acceso requerido (físico/lógico y a qué recurso).

b. Los motivos para los cuales se solicita el acceso.

c. Los controles empleados por la tercera parte.

d. La incidencia de este acceso en la Seguridad de la Información de la URS.

• No sé otorgará acceso a terceros, a la información institucional, a las instalaciones de

procesamiento u otras áreas de servicios críticos, hasta que se haya suscrito un contrato o

acuerdo en donde se definan las condiciones para la conexión o el acceso.

• Tendrá autoridad para implementar, actualizar y vigilar el cumplimiento de las políticas de

Seguridad de la Información establecidas en la institución.

• Deberá dar cumplimiento con las disposiciones emitidas por los organismos de control y

regulación en materia de seguridad de la información.

6.11.1.3 Requisitos de Seguridad en la cadena de suministro de tecnologías de la información y de las comunicaciones

Los acuerdos con proveedores deben incluir requisitos para tratar los riesgos de seguridad de la

información asociados con la cadena de suministro de productos y servicios de tecnología de

información y comunicación.


• La revisión y verificación de los registrar y pruebas de auditoria efectuados de terceros, con respecto a eventos de seguridad, problemas de operación, fallas relacionadas con el servicio prestado, se deberá notificar al Oficial de Seguridad de la información, quien, a su vez



Versión: 2.0


Página 102 de 130


documentará dichos eventos.

• Administrar los riesgos, identificar posibles riesgos a la seguridad de la información que se derivan del establecimiento de la relación con el proveedor, identificar y definir medidas para mitigar los riesgos relacionados con la prestación de los servicios contratados de forma segura y sobre la premisa de mantener la continuidad de los mismos.


• El servidor público asignado o el equipo de servidores públicos de la URS serán quienes monitorearán y validarán los productos y servicios de TI entregados, para lo cual desarrollarán un formulario y alimentarán de manera periódica la información relevante con características de relevancia/criticidad determinada previamente.

• La administración del riesgo de proveedores debe considerar a incluir en el contrato, elementos tales como: garantías, análisis de viabilidad de la continuidad del proveedor, conformidad con los requerimientos de seguridad, existencia de proveedores alternativos, y definición de un esquema de penalizaciones e incentivos.

• Monitorear los niveles de desempeño del servicio para verificar el cumplimiento de los acuerdos de niveles de servicio definidos contractualmente, revisar los reportes periódicos de los productos o servicios entregados por el tercero y llevar a cabo reuniones periódicas para analizar el avance del contrato.

Responsabilidades de la Coordinación General Técnica o Coordinación General Administrativa

Financiera

• Asignar a un servidor público o un equipo de servidores públicos de la URS que serán los responsables de la gestión de la relación con cada proveedor.

6.11.2 Gestión de entrega de servicios del proveedor

6.11.2.1 Monitoreo y revisión de los servicios de proveedores

Conlleva dar seguimiento y revisión de los servicios de los proveedores. Auditar con regularidad la

prestación de servicios de los proveedores.


• Administrar y coordinar la relación con los proveedores y asegurar la calidad de la misma con base a los términos de referencia, contrato y asegurar de igual forma la obtención de garantías.

• Se realizará un seguimiento quincenal al cumplimiento / avance de los productos / servicios que constan en los contratos de proveedores, en conjunto con la Dirección de Asesoría Jurídica y por



Versión: 2.0


Página 103 de 130


supuesto el/la administrador/a. En este espacio, se levantarán alertas y se sugerirán acciones a tomar en cado de presentarse eventos inusuales.

• Articulará la adecuada relación con el área pertinente, a fin de solventar posibles incumplimientos, alertas, eventos, etc.

6.11.2.2 Proceso de Gestión de cambios en los servicios de proveedores

La Unidad del Registro Social se encargará de gestionar los cambios en la provisión de productos y/o

servicios, considerando la criticidad y revaloración de riesgos de los procesos y sistemas afectados.


• Garantizar que cada actualización, mejora o nuevas implementaciones en los servicios provistos por terceros, cumplan el proceso de control de cambios definido por la institución.

• Seleccionar nuevos proveedores de acuerdo a las necesidades de los servicios requeridos.

• Definir y negociar mejoras en los nuevos contratos y pedidos, garantizando que exista constancia de los cambios realizados, acuerdos financieros y de calidad alcanzados, así como la continuidad de los sistemas involucrados.

• Gestionar la relación con los proveedores, lo que incluye velar por el cumplimiento de los contratos y pedidos o actualizarlos si éstos pierden vigencia.

• Evaluar la necesidad de modificar o ampliar los acuerdos de prestación de servicios para cubrir las nuevas necesidades de seguridad si así se estima oportuno.

• Controlar que toda la información relacionada con los proveedores y los servicios que prestan esté disponible y permanentemente actualizada.

• Revisar el cumplimiento de los acuerdos conforme las necesidades establecidas.

Responsabilidad de la Oficial de Seguridad de la Información



Responsabilidades de los Servidores Públicos de la Unidad del Registro Social

• Generar la solicitud de cambio.

• Establecer los requerimientos de cambio.



Versión: 2.0


Página 104 de 130


6.12 GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN

Implementar los procesos, procedimientos, controles, descritos en el EGSI para: - Gestión de los

incidentes de seguridad de la información y mejoras.

6.12.1 Gestión de incidentes y mejoras de seguridad de la información

6.12.1.1 Responsabilidades y procedimientos en la Gestión de Incidentes de Seguridad de la Información

En este ámbito, los usuarios, la Dirección de Sistemas de la Información y la Dirección del Registro Interconectado de Programas Sociales, observarán lo siguiente: Controles en la Administración de incidentes de Seguridad de la Información

• Se deberá establecer un procedimiento para la administración de incidentes de seguridad de la información de la URS.

• Cualquier debilidad, falla o incidente de seguridad de la información detectado en los activos de información o servicios de la URS deberá ser reportado siguiendo el procedimiento establecido para tal efecto, al momento de su detección o en su defecto, en el menor tiempo posible para evitar que derive en un evento o incidente.

• Los incidentes de seguridad de la información se reportarán al Oficial de Seguridad de la información a través de los siguientes medios: herramientas de monitoreo y registro implementadas por la Dirección de Sistemas de la Información, formularios de materialización de eventos de riesgo o el correo electrónico institucional, cuando estas ocurran.

• Las actividades del ciclo de vida del incidente de seguridad de la información deberán estar definidas en el procedimiento a fin de dar tratamiento y mitigar los riesgos de seguridad de la información.

• Este procedimiento permitirá reportar, registrar, priorizar, escalar, investigar, solucionar, cerrar y monitorear los incidentes de seguridad de la información de la URS.

• Se deberá documentar y llevar un registro detallado del historial de incidentes acontecidos (resueltos o no).

• Los incidentes de seguridad de la información en la URS, serán gestionados y asignados por las áreas competentes de la URS, en función del evento reportado y de acuerdo a las definiciones del Comité de Seguridad de la Información.

• En el caso de eventos a incidentes ya acontecidos, estos deberán reportarse bajo iguales condiciones para lograr su pronta solución.

• El oficial de Seguridad de la información determinará el nivel de prioridad de los incidentes recibidos, tomando en cuenta el activo de información y el servicio involucrado.

• Se deberá realizar el monitoreo y seguimiento de los incidentes de seguridad de la información, a fin de mejorar la atención y resolución.




Versión: 2.0


Página 105 de 130


• Todos los usuarios y terceras partes que tienen acceso a los activos de información de la URS están en la obligación de reportar los incidentes de seguridad de la información, cuando estos ocurran o exista presunción, al Oficial de Seguridad de la Información.

• Se deberé estipular la responsabilidad de los usuarios respecto de aquellas situaciones que pudieran derivar en un incidente.

• El personal que reporta el incidente de seguridad de la información deberá proporcionar al menos la siguiente información: fecha y hora, breve descripción del mismo, activo de información afectado y otros detalles que serán solicitados de acuerdo al procedimiento establecido.

• Los incidentes deberán recurrir al proceso de escalamiento, éste puede ser un escalamiento del tipo funcional en el caso en que se requiera la ayuda de un especialista de mayor nivel de capacitación, o escalamiento jerárquico cuando sea necesario acudir a un responsable con mayor autoridad en la URS para la toma de decisiones.

• De acuerdo al escalamiento establecido, el especialista asignado en el proceso de investigación deberá diagnosticar e investigar el incidente con el fin de determinar su origen, activos de información afectados, vulnerabilidades explotadas para su acaecimiento, el impacto que ha causado a los servicios y a la institución. La recopilación de esta información, así como la resolución deberá ser informada al Oficial de Seguridad de la Información y será almacenada como fuente de futuras consultas, y a su vez puede servir como evidencia ante posibles acciones legales.

• Luego de la contención del incidente, se procede a su erradicación y volver al estado definido como objetivo de recuperación.

• El Comité de Seguridad de la Información deberá supervisar la administración de incidentes de seguridad de la información de la URS.

6.12.1.2 Reporte de los eventos de seguridad de la información

En este ámbito, el Oficial de Seguridad de la Información, realizará lo siguiente:


• Todo incidente de seguridad de la información deberá ser reportado al Oficial de Seguridad de la Información y de catalogarse con impacto alto, se informará al Comité de Seguridad de la Información y a la máxima autoridad según el caso.

• La comunicación deberá establecerse en el procedimiento para llevar a cabo de manera ordenada; y un punto de contacto siempre disponible que será el Oficial de Seguridad de la Información, el cual deberá ser conocido en toda la Unidad del Registro Social.

• El Oficial de Seguridad de la Información deberá reportar oportunamente los incidentes identificados de seguridad de la información a la STPE – MINTEL o al organismo que asuma su rol, si provocan indisponibilidad o continuidad de los servicios críticos.

• El Oficial de Seguridad de la información deberá establecer programas de sensibilización al personal de la URS para reconocer amenazas, evitar que derives en incidentes; y en el caso de



Versión: 2.0


Página 106 de 130


ocurrencia, para que todos los involucrados sean capaces de reportarlos en tiempo y forma.

• Se implementarán sistemas de detección y registro para recibir advertencias en caso de posible: incidentes o señales de alarma para cuando suceda afectación a los activos de información críticos de la URS.

• El Oficial de Seguridad de la Información deberá supervisar que el cierre del incidente de seguridad de la información realice el usuario que reporto la novedad verificando el registro de la solución implementada previa a la validación del responsable a custodio del activo de información afectado.

Responsabilidades de la Unidad de Comunicación

• Deberá notificar al personal involucrado en el incidente de seguridad de la información acerca del estado del incidente y como se deberá proceder en caso de reincidencia a efecto de minimizar su impacto y los tiempos de resolución, previa la información proporcionada por el Oficial de Seguridad de la Información.

6.12.1.3 Reporte de debilidades de seguridad de la información

Los servidores públicos, contratistas o terceras partes, deben obligatoriamente registrar o reportar

cualquier debilidad probable en la seguridad de la información de la Unidad del Registro social.


• Todos los sistemas de la URS serán monitoreados y registrarán eventos para suministrar evidencia en caso de producirse incidentes relativos a la seguridad de la información.

• Se deberán registrar todos los eventos relacionados con las configuraciones y parametrizaciones de seguridad de los sistemas consideradas críticos.

• Todo software utilizado deberá permitir el registro automático y posterior aprovechamiento de la información de los eventos de seguridad de información.

• Los servidores deberán cumplir con los estándares internacionales de seguridad de la información definidos por el software base correspondiente.

• Los servidores deberán tener activos según los estándares correspondientes.

• El área de Tecnología, como responsable de la gestión del servicio habilitado en cada servidor deberá mantener la actualización del software base y la activación de los sistemas de protección {antivirus, firewall, IDS, etc.).

• Generar periódicamente un análisis de riesgos para reconocer debilidades en redes y sistemas de información.

• Implementar procedimientos que permitan contar con pistas de auditoría a nivel de aplicativos y bases de datos que registren los cambios realizados a la información crítica. Los administradores no deben tener permiso para borrar o desactivar has pistas de auditoria.

• Los registros de monitoreo, logs de auditoría y eventos de seguridad de la información deben



Versión: 2.0


Página 107 de 130


permanecer almacenados durante un periodo de 10 años. o Los registrar de auditoria para la infraestructura tecnológica de la URS deberán incluir

como mínimo: o Registros de intentos de acceso fallidos a los sistemas de información, base de datos y

otros. o Cambios en la configuración del sistema. o Direcciones y protocolas de red. o Alarmas activadas por el sistema de control de acceso. o Activación y desactivación de los sistemas de protección, como sistemas antivirus y

sistemas de detección de intrusiones. o Alertas de los sistemas de detección de intrusiones.

6.12.1.4 Apreciación y decisión sobre los eventos de seguridad de la información

Se deberían evaluar los eventos de seguridad de la información y se debería decidir si se clasificarán

como incidentes de seguridad de la información.


• Deberá definirse previamente un contacto oficial donde se recepten los eventos, posteriormente, el punto de contacto debería evaluar cada evento de seguridad de la información utilizando la escala de clasificación de eventos e incidentes de seguridad de la información y decidir si el evento se debería clasificar como un incidente de seguridad de la información.

• Para ello se debe clasificar y priorizar los incidentes pueden ayudar a identificar el impacto y el alcance de un incidente.

• El Oficial de Seguridad de la Información será el responsable de conformar un equipo de respuesta ante incidentes de seguridad quienes procederán a la evaluación y la decisión se enviará al Oficial de Seguridad de la Información para su confirmación o reevaluación.

• El oficial de seguridad de la Información, deberá registrar los resultados de la evaluación y la decisión en detalle con fines de referencia y verificación futura.

6.12.1.5 Procedimiento de respuesta a incidentes de seguridad de la información

Respuesta a incidentes de seguridad de la información. Se debe dar respuesta a los incidentes de

seguridad de la información de acuerdo con procedimientos documentados.



Versión: 2.0


Página 108 de 130



• El Oficial de Seguridad de la Información, difundirá entre los servidores, con el apoyo de la

Unidad de Comunicación, el reporte de incidentes relacionados con la seguridad de la

información y sus medios de procesamiento, incluyendo cualquier tipo de medio de

almacenamiento de información, como la plataforma tecnológica, los sistemas de información,

los medios físicos de almacenamiento y las personas.

• De igual manera, asignará responsables para el tratamiento de los incidentes de seguridad de la

información, quienes tendrán el compromiso de investigar y solucionar los incidentes

reportados, tomando las medidas necesarias para evitar su reincidencia y escalando los

incidentes de acuerdo con su criticidad.

6.12.1.6 Aprendizaje de los incidentes de seguridad de la información

La Unidad del Registro Social, a través del Oficial de Seguridad de la Información, utilizará el

conocimiento adquirido para analizar y resolver incidentes de seguridad de la información, para así,

reducir la probabilidad e impacto de incidente a futuro.


• El Oficial de Seguridad de la Información debe, con el apoyo con la Dirección de Sistemas de Información, crear bases de conocimiento para los incidentes de seguridad presentados con sus respectivas soluciones, con el fin de reducir el tiempo de respuesta para los incidentes futuros, partiendo de dichas bases de conocimiento.

• En dicha base de incidentes, deberán constar los siguientes campos: tipo de incidente, número de incidentes graves, tiempo de resolución, área que reportó y fecha de reporte del incidente. Así mismo, se determinará número de incidentes recurrentes y frecuencia de incidentes recurrentes.

6.12.1.7 Procedimiento para la recopilación de evidencias

Esta política lo que pretender es identificar, recolectar, adquirir y conservar la información, que pueden

servir de evidencia, conservando la misma de acuerdo a la norma legal vigente.




Versión: 2.0


Página 109 de 130


• Desarrollar procedimientos internos cuando se recolecta y se presenta evidencia con propósitos

de acción disciplinaria dentro de la institución.


• Asegurar que los sistemas de información cumplan con las normas legales definidas y

socializadas por la Dirección de Asesoría Jurídica, para la producción de evidencia, para lograr la

admisibilidad, calidad y cabalidad de la misma.

• Para lograr el peso de la evidencia, se debe demostrar la calidad y cabalidad de los controles

empleados para proteger correcta y consistentemente la evidencia, para lo cual:

a. Se debe tomar duplicados o copias de todos los medios removibles, la información en

los discos duros o la memoria para garantizar la disponibilidad, es conveniente

conservar el registro de todas las acciones durante el proceso de copiado y dicho

proceso debería tener testigos, y el medio y registro originales se deberán conservar

intactos y de forma segura.

b. Se debe proteger la integridad de todo el material de evidencia, el proceso de copia del

material de evidencia debe estar supervisado por el personal de confianza y se debe

registrar la información sobre cuándo y cómo se realizó dicho proceso, quien ejecutó las

actividades de copiado y qué herramientas o programas se utilizaron.

Responsabilidades de los responsables de los activos de información

• Aplicar los procedimientos para mantener la cadena de custodia, de acuerdo a lo que dispone la

norma legal vigente.

• Cambiar funciones o responsabilidades del personal implicado mientras se aclara el incidente.

• Definir la competencia del personal en las tareas y las ejecutadas en los sistemas de gestión de

información

6.13 ASPECTOS DE SEGURIDAD DE LA INFORMACIÓN PARA LA GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO

Implementar los procesos, procedimientos, controles, descritos en el EGSI para: - Continuidad de

seguridad de la información - Redundancias

6.13.1 Continuidad de seguridad de la información

6.13.1.1 Planificación de la continuidad de seguridad de la información



Versión: 2.0


Página 110 de 130


La Unidad del Registro Social determinará las necesidades de seguridad de la información y la

continuidad de su gestión de seguridad de la información, en situaciones adversas como una crisis o un

desastre.


• Será designado como coordinador de continuidad de los servicios informáticos, que se encargará de supervisar el proceso de elaboración e implantación del plan de continuidad de seguridad de la información.

• Deberá identificar los activos involucrados en los procesos críticos de los servicios informáticos, así como de las actividades que se deben realizar.

• Deberá elaborar la política de continuidad de los servicios informáticos en coordinación con el Oficial de Seguridad de la Información, determinando los objetivos y el alcance del plan, así como las funciones y responsabilidades

6.13.1.2 Continuidad de seguridad de la información

Establecer los aspectos en la gestión de continuidad operativa, minimizando los efectos de las posibles

interrupciones de las actividades y servicios de los sistemas informáticos e infraestructura de TI,

asegurando su reanudación oportuna.


• Deberá elaborar el plan de continuidad de seguridad de la información debe detallar claramente la estructura de gestión adecuada y preparada para mitigar y responder a un evento disruptivo, usando el personal con la autoridad, experiencia y competencia necesarias.

• Deberá designar personal de respuesta al incidente y éste cuenta con la responsabilidad, autoridad y competencia necesarias para gestionar el incidente y mantener la seguridad de la información

• Generará procedimientos de respuesta y recuperación, que detallen como la institución tratará una interrupción brusca y mantendrá la seguridad de la información, basados en los objetivos de continuidad del de la seguridad de la información aprobados por la máxima autoridad. Este puede contener:

o Procedimientos de evacuación. o Procedimientos para declarar desastres. o Circunstancias en que se debe declarar desastre. o Identificación de responsabilidades en el plan. o Identificación de personas y funciones en el plan. o Identificación de información de los contratos. o Explicación paso a paso de la recuperación. o Identificación de recursos necesarios. o Aplicación paso por paso de la etapa de recuperación.



Versión: 2.0


Página 111 de 130


• El plan de recuperación debe contar con las siguientes etapas:

o Activación del plan: notificación del plan, detección y determinación del posible daño. o Reanudación: restauración temporal de las operaciones y recuperación del daño

producido al sistema original. o Recuperación: restauración de las capacidades de proceso del sistema a las condiciones

de operación normales.

• La Dirección General o la Dirección de Sistemas de Información, deberán tomar la decisión de activar el plan de recuperación, coordinando las actividades de recuperación y las acciones para regresar a la operación normal una vez que hayan sido restablecidas las actividades críticas.

• Dentro del plan de recuperación, tanto los propietarios de la información como la Dirección de Sistema de Información deberán:

o Identificar las amenazas que puedan ocasionar interrupciones de los procesos críticos. o Evaluar los riesgos para determinar el impacto de dichas interrupciones. o Identificar los controles preventivos. o Elaborar los planes de contingencia necesarios para garantizar la continuidad de las

actividades de la Unidad del Registro Social. o Analizar las consecuencias de la interrupción del servicio y tomar las medidas necesarias

para prevenir situaciones similares.

6.13.1.3 Verificar, revisar y evaluar la continuidad de seguridad de la información

La Unidad del Registro Social, debe verificar permanentemente los controles de continuidad de la

seguridad de la información establecidos e implementados para garantizar su efectividad ante eventos

adversos.


• Evaluar la capacidad de respuesta ante desastres verificando los tiempos de respuesta, validez de los procedimientos y capacidad de los responsables. Los resultados obtenidos permitirán actualizar y mantener los planes establecidos.

• Ejecutar autoevaluaciones del plan de continuidad, estrategias y procesos generados.

• Ejecutar y probar la funcionalidad de los procesos, procedimientos y controles para la continuidad de la seguridad de la información asegurando la consistencia con los objetivos planteados.



Versión: 2.0


Página 112 de 130


Responsabilidades de la Mesa Técnica de Auditoría al EGSI

• Realizar auditorías tanto internas como externas, identificando el tipo y alcance de la auditoría a realizar, se entregará un plan de medidas correctivas para llevar a cabo las recomendaciones acordadas.

6.13.2 Redundancias

6.13.2.1 Disponibilidad de las instalaciones de procesamiento de la información

La Unidad de Registro Social proveerá de equipamiento tecnológico, para garantizar la disponibilidad de

las instalaciones de procesamiento de la información.


• Disponer de una plataforma tecnológica redundante para el procesamiento de información, que satisfaga los requerimientos de disponibilidad.

• Realizar la instalación y mantenimiento y monitoreo de las plataformas de procesamiento de información.

• Proveer de recursos suficientes (memoria, procesador y disco) para las tareas de procesamiento de información.

• Analizar y establecer requerimientos de redundancia para el procesamiento de información de los sistemas críticos.

• Evaluar y probar soluciones de redundancia tecnológica y seleccionar la solución que mejor cumple con las necesidades de la URS para el procesamiento de la información.

• Realizar pruebas de las soluciones de redundancia, para asegurar el cumplimiento de requerimientos de disponibilidad de instalaciones de procesamiento de la información.

• Programar fuera de horario laboral, la ejecución de tareas de procesamiento de información que puedan afectar la disponibilidad de los servicios o sistemas de la URS.

Responsabilidades de los servidores públicos de la Unidad de Registro Social.

• Realizar un adecuado uso de los recursos de la plataforma tecnológica para el procesamiento de la información.

Responsabilidades de los responsables del activo de información.

• Establecer un horario de inicio y terminación para la ejecución de tareas de procesamiento de la información que puedan afectar la disponibilidad de los servicios o sistemas de la Unidad del Registro Social.



Versión: 2.0


Página 113 de 130


6.14 CUMPLIMIENTO

Implementar los procesos, procedimientos, controles, descritos en el EGSI para: - Cumplimiento de los

requisitos legales y contractuales - Revisiones de seguridad de la información.

6.14.1 Cumplimiento de requisitos legales y contractuales

6.14.1.1 Identificación de la legislación aplicable y de los requisitos contractuales

La presente política permite identificar, documentar y mantener actualizados explícitamente todos los

requisitos legislativos estatutarios, de reglamentación y contractuales pertinentes, y el enfoque de la

organización para cada sistema de información y para la organización.

Responsabilidades de Comité de Seguridad de la Información

• Solicitar a la Unidad de Comunicación, se cree un link en la biblioteca de la página web

institucional que contenga la normativa interna y nacional relacionada a seguridad de la

información, así como la que se relacione a los programas de software, servicios informáticos y

todo activo de información. La normativa a ser considerada principalmente es:

o Constitución de la República del Ecuador. o Código Orgánico de la Economía Social de los Conocimientos, creatividad e

innovación. o Código Orgánico Administrativo. o Ley de Comercio Electrónico, Firmas electrónicas y Mensajes de Datos. o Ley Orgánica de Transparencia y Acceso a la Información Pública. o Ley del Sistema Nacional de Registro de Datos Públicos. o Ley Orgánica y Normas de Control de la Contraloría General del Estado. o Ley de Sistema Nacional de Archivos. o Leyes y normas de control del sistema financiero. o Leyes y normas de control de empresas públicas. o Estatuto de Régimen Jurídico Administrativo de la Función Ejecutiva. o Otras normas cuya materia trate sobre gestión de los activos de información en las

instituciones de la Administración Pública.

Responsabilidades de Oficial de Seguridad de la Información

• Compilar y organizar la normativa legal interna y nacional que se relacione con seguridad de la

información, así como la que se relacione a los programas de software, servicios informáticos y



Versión: 2.0


Página 114 de 130


todo activo de información, que se haya emitido y se actualizará de manera oportuna conforme

a las circulares de expedición de normativa remitidas por la Dirección de Asesoría Jurídica.

• Solicitar a la Dirección de Sistemas de Información la apertura de una carpeta compartida

institucional en la que se almacenará la normativa interna y nacional vigente relacionada con

seguridad de la información, así como la que se relacione a los programas de software, servicios

informáticos y todo activo de información, que contendrá en un inventario actualizado.


• Realizar la creación de una carpeta compartida institucional con la finalidad de almacenar la

normativa interna y nacional vigente relacionada con seguridad de la información, así como la

que se relacione a los programas de software, servicios informáticos y todo activo de

información, que contendrá en un inventario actualizado.


• Revisar e identificar a través de las plataformas legales disponibles dará seguimiento a la

expedición de normativa nacional vigente referente a seguridad de la información.

• Informar de manera oportuna mediante circulares a todas las áreas de la Unidad del Registro

Social, en especial a los miembros del Comité de Seguridad de la Información Unidad del

Registro Social, para su aplicación de conformidad a sus atribuciones y responsabilidades.

• Mantener de forma organizada por cada activo de información la normativa legal, la cual deberá

estar sujeta conforme lo determinado en la Ley Orgánica del Sistema Nacional de Contratación

Pública, su Reglamento General y demás normas establecidas por el Servicio Nacional de

Contratación Pública (SERCOP).

6.14.1.2 Procedimiento para el cumplimiento de derechos de propiedad intelectual

Para la ejecución de la presente política se deben implementar procedimientos apropiados para

asegurar el cumplimiento de los requisitos legislativos, de reglamentación y contractuales relacionados

con los derechos de propiedad intelectual y el uso de productos de software licenciados.

Responsabilidades de la máxima autoridad de Unidad del Registro Social

• Emitir la resolución de aprobación de la política relacionada al cumplimiento de derechos de

propiedad intelectual y dispondrá su aplicación obligatoria




Versión: 2.0


Página 115 de 130


• Revisar y aprobar el proyecto del procedimiento relacionada al cumplimiento de derechos de

propiedad intelectual para ser aplicado en la Unidad del Registro Social y remitirá el respectivo

expediente a la máxima autoridad para su consideración.

• Solicitar a la Dirección de Asesoría Jurídica la elaboración del proyecto de resolución aprobación

del procedimiento relacionada al cumplimiento de derechos de propiedad intelectual para ser

aplicados en Unidad del Registro Social.

• Solicitar a la Dirección de Sistema de Información y a la Unidad de Comunicación, la creación en

conjunto de un programa o campaña para concienciar a las funcionarias y servidores públicos de

la Unidad para la aplicación de la política relacionada al cumplimiento de derechos de propiedad

intelectual


• Remitir al Comité de Seguridad de Información el proyecto del procedimiento y documentación

habilitante de Propiedad Intelectual de la Unidad del Registro Social al Oficial de Seguridad de la

Información, junto al informe de validación de la misma.


• Definir lineamientos para el cumplimiento de los derechos de propiedad intelectual del software

en el que se definirá como mínimo lo siguiente:

o Uso legal de aplicativos y del software institucional.

o Procedimiento de adquisición de software únicamente a proveedores reconocidos

para garantizar que no se violen derechos de propiedad intelectual. Si el software es

Libre Opensource se considerarán los términos de las licencias públicas generales.

o Registros apropiados de los activos de información para proteger los derechos de

propiedad intelectual, que se aplique para software libre como al privativo.

o Custodia de elementos que evidencien la propiedad de licencias o suscripciones,

contratos, discos maestros, manuales y toda la información relevante del software

que se utiliza.

o Parámetros de control de designación de usuarios para el uso de programa de

softwares, para el caso de software libre como al privativo.

o Control y verificación de instalación de software autorizados, que cuenten con

licencias en el caso de software privativo.

o Cumplimiento de términos y condiciones de uso para el software y la información,

obtenidos de la internet o proveedores.

o Medios de control de copia total, parcial de software privativo, código fuente y la

documentación de programas de software con derechos de propiedad intelectual.

o Medios de control para evitar la duplicación, cambio de formato, extracción de

contenidos de grabaciones de audio y video, si no está expresamente permitido por

su autor o la persona que tenga los derechos sobre el material.



Versión: 2.0


Página 116 de 130


o Definición para la aplicación de licencias públicas generales al software desarrollado

por la institución o contratado a terceros como desarrollo, para proteger la

propiedad intelectual.

• Presentar los lineamientos respecto al tratamiento que se deberá considerar por la propiedad

intelectual del software al Oficial de Seguridad de la Información, para su revisión o validación.


• Elaborar del proyecto de resolución aprobación del procedimiento relacionada al cumplimiento

de derechos de propiedad intelectual.

• Emitir una circular de socialización de la emisión de resolución de aprobación del procedimiento

relacionada al cumplimiento de derechos de propiedad intelectual a todas las áreas de la Unidad

del Registro Social, en especial a los miembros del Comité de Seguridad de la Información de la

Unidad del Registro Social.

• Condiciones para ceder o transferir el software de propiedad institucional a un tercero.

6.14.1.3 Procedimiento para la protección de los registros

La presente política tiene la finalidad de generar el procedimiento adecuado para proteger los registros

contra pérdida, destrucción, falsificación, acceso no autorizado y liberación no autorizada, de acuerdo

con los requisitos legislativos.


• Conocer y aprobar el procedimiento adecuado para proteger los registros contra pérdida,

destrucción, falsificación, acceso no autorizado y liberación no autorizada, de acuerdo con los

requisitos legislativos.

• Conocer y aprobar las directrices sobre retención, almacenamiento, manipulación y eliminación

de registros e información para la aprobación del Comité de Seguridad de Información.

• Solicitar la implementación de los controles apropiados para proteger los registros contra la

pérdida, destrucción y falsificación de la información, a la Dirección de Sistema de Información.


• Revisar y emitir el informe de validación del procedimiento adecuado para proteger los registros

contra pérdida, destrucción, falsificación, acceso no autorizado y liberación no autorizada, de

acuerdo con los requisitos legislativos.

• Solicitar la aprobación del procedimiento adecuado para proteger los registros contra pérdida,


requisitos legislativos, comité de seguridad de información.



Versión: 2.0


Página 117 de 130


• Revisar y emitir el informe de validación de las directrices sobre retención, almacenamiento,

manipulación y eliminación de registros e información para la aprobación del Comité de

Seguridad de Información.

• Solicitar a la Dirección de Sistemas de Información Establecer a la Unidad de Comunicación

Social la difusión de las directrices sobre retención, almacenamiento, manipulación y

eliminación de registros e información.

Responsabilidades de los responsables de los activos de información

• Clasificar de manera oportuna los registros electrónicos y físicos por tipo, especificando los

periodos de retención y los medios de almacenamiento, como discos, cintas entre otros, el cual

debe ser informada de manera trimestral en el caso que existiese alguna actualización de los

mismo, al oficial de seguridad de información una realizada la clasificación inicial.


• Generar y mantener la documentación y especificaciones técnicas de los algoritmos y programas

utilizados para el cifrado y descifrado de archivos de toda la información relevante relacionado

con claves, archivos criptográficos o firmas electrónicas. Se debe remitir un informe de manera

trimestral del mismo al Oficial de Seguridad de Información.

• Elaborar el proyecto del procedimiento adecuado para proteger los registros contra pérdida,


requisitos legislativos, en cual se debe considerar como parte del procedimiento lo siguiente:

o Niveles de deterioro de los medios que se utiliza para almacenar los registros

electrónicos

o Almacenamiento y manipulación de acuerdo a recomendaciones del fabricante.

o Almacenamiento por largo plazo considerando el uso cintas y discos digitales

utilizando formatos de datos abiertos.

o Acceso a los datos de información registrada, tonto en el medio el formato, durante

el período de retención.

o Cambio o actualización de la tecnología del medio donde se almacena los activos de

la información y registros en concordancia con las innovaciones tecnológicas

disponibles en el mercado.

• Una vez culminado el proyecto del procedimiento adecuado para proteger los registros contra

pérdida, destrucción, falsificación, acceso no autorizado y liberación no autorizada, de acuerdo

con los requisitos legislativos, debe remitirse al oficial de seguridad de información para su

validación previa aprobación del comité de seguridad de información.

• Seleccionar de manera técnica los sistemas de almacenamiento de datos con el objetivo de

recuperar en un periodo de tiempo los datos en formato legibles dependiendo los requisitos

que se deben cumplir.



Versión: 2.0


Página 118 de 130


• Generar lineamientos o sistema en donde se identifiqué los registros, periodos de retención de

los mismo en concordancia con la normativa legal vigente, este sistema debe permitir la

destrucción adecuada de los registros en el caso que la institución no lo va necesitar más.

• Elaborar las directrices sobre retención, almacenamiento, manipulación y eliminación de

registros e información para la validación del Oficial de Seguridad de la Información.

• Genera y mantener un inventario de las fuentes de la información clave de la Unidad del

Registro Social, el cual se debe informar de manera mensual al oficial de seguridad de

información.

6.14.1.4 Política de protección y privacidad de la información de carácter personal

Esta política tiene como finalidad de asegurar la privacidad y la protección de la información

identificable personalmente, como se exige en la legislación y la reglamentación pertinentes, cuando sea

aplicable.

Responsabilidades de la máxima autoridad de Unidad del Registro Social

• Posterior a su revisión, autorizará y solicitará a la Dirección de Asesoría Jurídica la elaboración

del proyecto de resolución aprobación de la política de protección de datos y privacidad de la

información personal.

• Emitir la resolución de aprobación de la política de protección de datos y privacidad de la

información personal.



Versión: 2.0


Página 119 de 130



• Conocer y aprobar el proyecto de la política de protección y privacidad de la información de

carácter personal.

• Remitir una vez aprobado el proyecto de política de protección de datos y privacidad de la

información personal, remitirá el respectivo expediente a la máxima autoridad para su

consideración.



la Unidad para la aplicación de la de protección de datos y privacidad de la información

personal.


• Revisar y validar el proyecto de la política de protección y privacidad de la información de

carácter personal.

Responsabilidades de las Direcciones Administrativas poseedoras/generadoras de los activos de

información.

• Elaborar y presentar los insumos que sean necesarios para la creación de una política cuyo

objeto sea la protección de datos y privacidad de la información personal, en el que se definirá

como mínimo lo siguiente:

o Medidas técnicas y organizacionales apropiadas para gestionar de manera

responsable la información personal de acuerdo con la legislación correspondiente.

o Mecanismos de carácter organizacional y tecnológico para autorización al acceso,

uso e intercambio de datos personales de las personas o ciudadanos en custodia de

las instituciones públicas.


• Proveer de infraestructura tecnológica para que la información se almacene de manera óptima y

segura.

Responsabilidades de Dirección de Asesoría Jurídica

• Elaborar el proyecto de resolución aprobación de la política de protección de datos y privacidad

de la información personal.

• Informar mediante circular la socialización de la emisión de resolución de aprobación de política

relacionada al cumplimiento de protección de datos y privacidad de la información personal a

todas las áreas de la Unidad del Registro Social, en especial a los miembros del Comité de

Seguridad de la Información de la Unidad del Registro Social.



Versión: 2.0


Página 120 de 130


6.14.1.5 Reglamento de controles criptográficos

La presente política tiene como finalidad la reglamentación de los controles de cifrado en cumplimiento

con de todos los acuerdos, leyes reglamentos de la normativa vigente.

Responsabilidad de la máxima autoridad de la Unidad del Registro Social

• Posterior a su revisión, autorizará y solicitará a la Dirección de Asesoría Jurídica la elaboración

del proyecto de resolución aprobación del reglamento de los controles criptográficos.

• Emitir la resolución de aprobación del reglamento de los controles criptográficos.

Responsabilidad de Comité de Seguridad de Información

• Conocer y aprobar el proyecto del reglamento de los controles criptográficos.

• Remitir una vez aprobado el proyecto del reglamento de controles criptográficos y remitirá el

respectivo expediente a la máxima autoridad para su consideración.



la Unidad para la aplicación del reglamento de los controles criptográficos.


• Revisar y validar el proyecto de reglamento de controles criptográficos y solicitar la aprobación

al Comité de Seguridad de Información.


• Elaborar y presentar los insumos que sean necesarios para la creación de un reglamento de

controles criptográficos, en el que se definirá como mínimo lo siguiente:

o Restringir importaciones y/o exportaciones de hardware y software de

computadores para la ejecución de funciones criptográficas; o diseñados para

adicionarles funciones criptográficas. (En lo que aplique).

o Restringir el uso de encriptación, y especificar y documentar los ámbitos de

aplicación.

o Restringir métodos obligatorios o discrecionales de acceso por parte de las

autoridades del país a la información encriptada mediante hardware o software

para brindar confidencialidad al contenido. (En lo que aplique).

o Garantizar el cumplimiento con las leyes y los reglamentos nacionales antes de

desplazar información encriptada o controles criptográficos a otros países.

• El reglamento además deberá elaborarse a la normativa legal interna vigente.



Versión: 2.0


Página 121 de 130


Responsabilidad de Dirección de Asesoría Jurídica

• Elaborar el proyecto de resolución aprobación del reglamento de los controles criptográficos.

• Informar mediante circular la socialización de la emisión de resolución de aprobación del

reglamento de los controles criptográficos a todas las áreas de la Unidad del Registro Social, en

especial a los miembros del Comité de Seguridad de la Información de la Unidad del Registro

Social.

• NOTA: Dirección de Asesoría Jurídica, manifiesta que el proceso presentado estará sujeto a

modificaciones en caso de que la normativa relacionada con el mismo se reforme, derogue o en

su defecto se establezca un procedimiento especifico.

6.14.2 Revisiones de seguridad de información

6.14.2.1 14.2.1 Revisión independiente de seguridad de la información

La gestión de seguridad de la información deberá ser revisada al menos una vez al año o cuando se

produzcan cambios significativos en la institución.

6.14.2.2 14.2.2 Cumplimiento de las políticas y normas de seguridad

En este control, se deberán llevar a cabo auditorías realizadas por personal que no haya participado en

la implementación de ninguna de las normativas mencionadas en este documento. Esto podrá aportar

beneficios como:

• Garantizar la independencia de las revisiones o auditorias

• Aportar un punto de vista imparcial

• Aportar la experiencia de profesionales de la seguridad de la información que conocen otras

organizaciones y pueden aportar mejoras.

Responsabilidades de los

• Revisar periódicamente reporte e informes emitidos por el Oficial de Seguridad de la

Información.

• Evaluar acciones necesarias a fin de dar cumplimiento a las políticas y normas de seguridad.

• Auditar las plataformas técnicas y los sistemas de información para determinar el cumplimiento

de las normas y sus controles.

• Revisar con regularidad en el área bajo su responsabilidad, el cumplimiento del procesamiento

de la información de acuerdo con la política, normas, controles, establecidos y de ser necesario

otros requisitos de seguridad. En caso de incumplimiento se deberá determinar su causa,



Versión: 2.0


Página 122 de 130


evaluar la necesidad de acciones para evitar que se repitan incumplimientos, determinar e

implementar acciones correctivas necesarias y revisar la acción correctiva ejecutada.

• Registra y conservar los resultados de las revisiones y acciones correctivas realizadas por el área

e informar a los servidores delegados de la revisión independiente.

NOTA: Se deben mantener registros documentados de los resultados de las revisiones y de las

acciones correctivas realizadas para poder realizar informes con los resultados.

6.14.2.3 14.2.3 Procedimiento de comprobación del cumplimiento técnico

Implementar el procedimiento adecuado, para comprobar regularmente que los sistemas de

información cumplen con las políticas y normas de seguridad de la Unidad del Registro Social. Los

objetivos de este control son: identificar fallos en las actualizaciones de los sistemas y establecer

medidas correctivas antes de que estos fallos puedan suponer una amenaza real para el sistema.


• Para la evaluación de los sistemas de información debe revisarse periódicamente si están configurados correctamente de acuerdo a las reglas y políticas definidas.

• Planificar evaluaciones de vulnerabilidad o pruebas de penetración, considerando siempre el riesgo de que dichas actividades pueden poner en peligro la seguridad del sistema. Estas pruebas se deberán planificar y documentar.

• Controlar que la verificación del cumplimiento técnico sea realizada por personas autorizadas y competentes.

7 GLOSARIO DE TÉRMINOS

▪ Acceso privilegiado: Cuenta con permisos elevados, que se emplean tanto en los sistemas como en aplicaciones.

▪ Acceso remoto: Es una forma de conexión a un ordenador para controlarlo a distancia desde otro dispositivo como si estuviera sentado frente a él.

▪ Activo de información: Es todo recurso que genera, procesa, transporta y/o resguarda información necesaria para la operación y el cumplimiento de los objetivos del URS, por lo tanto, se requiere proteger su confidencialidad, integridad y disponibilidad de las amenazas propias de su naturaleza y características.

▪ Acuerdo de Nivel de Servicio: es un contrato escrito entre un proveedor de servicio y su cliente con objeto de fijar el nivel acordado mediante indicadores y métricas asociadas para la calidad de dicho servicio.

▪ Acuerdo de uso y confidencialidad: Es un contrato o acuerdo legal, suscrito entre dos o más partes, por medio de este documento las partes comparten voluntariamente información confidencial, sea una de las partes o todas las partes intervinientes y al mismo tiempo la



Versión: 2.0


Página 123 de 130


protegen. Imponen restricción al uso de la información compartida a través de este documento. Este acuerdo o contrato plasma por escrito la voluntad de las partes.

▪ Administrador: Un administrador es una persona con visión, que es capaz de aplicar y desarrollar todos los conocimientos acerca de la planeación, organización, dirección y control empresarial, donde sus objetivos están en la misma dirección de las metas y propósitos de la empresa o institución.

▪ Algoritmos criptográficos: es un algoritmo que modifica los datos de un documento con el objetivo de alcanzar algunas características de seguridad como autenticación, integridad y confidencialidad.

▪ Análisis de código estático: Se define como el proceso de evaluar software sin ejecutarlo, entendiendo el concepto de evaluar como la ejecución de cualquier tipo de mecanismo que se pueda aplicar para que tomando el código fuente que haya escrito un desarrollador.

▪ Antivirus: En un software que se utiliza para evitar, buscar, detectar y eliminar virus de una computadora. Se ejecutan automáticamente en segundo plano para brindar protección en tiempo real contra ataques de virus.

▪ Aplicaciones: Entendido como los sistemas de información. Que integran procedimientos manuales y sistematizados.

▪ Áreas funcionales: Grupo de personas que hacen uso de una información determinada para realizar sus actividades diarias.

▪ Ataques Informáticos: Acción deliberada cuyo propósito es interrumpir la operación habitual de los sistemas de información o alteración de la información.

▪ Auditoría: Una auditoría de seguridad informática o auditoría de seguridad de sistemas de información (SI) es el estudio que comprende el análisis y gestión de sistemas llevado a cabo por profesionales para identificar, enumerar y posteriormente describir las diversas vulnerabilidades que pudieran presentarse en una revisión exhaustiva de las estaciones de trabajo, redes de comunicaciones o servidores.

▪ Autenticación: Es el acto o proceso de confirmar que algo (o alguien) es quien dice ser. A la parte que se identifica se le llama probador. A la parte que verifica la identidad se la llama verificador.

▪ Autorización: Es el proceso que determina (luego de su autenticación) a qué recursos de un sistema o aplicación tiene acceso una identidad.

▪ Bases de datos: Es una colección organizada de información estructurada, o datos, típicamente almacenados electrónicamente en un sistema de computadora. Una base de datos es usualmente controlada por un sistema de gestión de base de datos.

▪ Bitácora: Documento físico o electrónico con una estructura cronológica que se actualiza regularmente.

▪ Borrado: referido a documentos electrónicos, procedimiento de eliminación de los datos o ficheros de un dispositivo de almacenamiento, permitiendo su reutilización o destrucción.

▪ Carpetas compartidas: La carpeta de un equipo a la cual otros equipos de su red local puedan acceder.

▪ Cerraduras de seguridad: Son dispositivos que se instalan para mejorar para aumentar la seguridad de las áreas y de los espacios comunes que no están abiertas al público general y son de acceso limitado al personal.

▪ Check list: hoja de verificación, para controlar un listado de requerimientos de una determinada actividad y constatar el cumplimiento de los mismos.



Versión: 2.0


Página 124 de 130


▪ Ciclo de vida del desarrollo de software: Contempla las fases necesarias para validar el desarrollo del software y así garantizar que este cumpla los requisitos para la aplicación y verificación de los procedimientos de desarrollo, asegurándose de que los métodos usados son apropiados.

▪ Código fuente: Se define como el conjunto de líneas de textos, que son las directrices que debe seguir la computadora, son la estructura básica de los programas y páginas web con las instrucciones a realizar por la aplicación o sistema.

▪ Código malicioso: es un tipo de código informático o script web dañino diseñado para crear vulnerabilidades en el sistema o aplicativo que permiten la generación de puertas traseras, brechas de seguridad, robo de información y datos.

▪ Commit: Acción que se utiliza para confirmar en envió de información a los repositorios o bases de la institución

▪ Compilador: Programa informático que traduce todo el código fuente de un proyecto de software a código máquina antes de ejecutarlo.

▪ Componentes de las redes: Equipos y herramientas que permiten que la red se encuentre operativa.

▪ Concentrador VPN: Un concentrador de VPN es un tipo de dispositivo de red que provee la creación segura de conexiones VPN y en el que se configuran las condiciones de la conexión.

▪ Conexiones no autorizadas: Conexiones sospechosas entre un sistema informático o computador, e Internet usadas entre usuarios malintencionados y el sistema local, o entre piezas de malware instaladas furtivamente en el sistema y el exterior del mismo.

▪ Confidencialidad: La confidencialidad es la garantía de que la información, será protegida. Dicha garantía se lleva a cabo por medio de un grupo de reglas que limitan el acceso a esta información.

▪ Consolas gráficas de virtualización y tipo shell: Aplicación que utiliza software para poder administrar de manera gráfica y por comandos, la creación y asignación de recursos tecnológicos en servidores virtuales.

▪ Continuidad: Término que se refiere al vínculo de impedir que una interrupción de servicios imprevista y grave, tenga grandes consecuencias para la institución.

▪ Contraseña: conjunto de caracteres secreto que se ingresa para poder accionar un mecanismo o para acceder a ciertas funciones informáticas.

▪ Control de Calidad: El control de calidad consiste en la implantación de programas, mecanismos, herramientas y/o técnicas en una empresa para la mejora de la calidad de sus productos, servicios y productividad. El control de la calidad es una estrategia para asegurar el cuidado y mejora continua en la calidad ofrecida del producto.

▪ Criptografía: Se ocupa de las técnicas de cifrado o codificado destinadas a alterar las representaciones lingüísticas de ciertos mensajes con el fin de hacerlos ininteligibles a receptores no autorizados.

▪ Criptográfico: Dentro del ámbito de la criptología que se ocupa de las técnicas de cifrado o codificado destinadas a alterar las representaciones lingüísticas de ciertos mensajes con el fin de hacerlos ininteligibles a receptores no autorizados.

▪ Dataset: Corresponde a los contenidos de una única tabla de base de datos o una única matriz de datos de estadística, donde cada columna de la tabla representa una variable en particular, y cada fila representa a un miembro determinado del conjunto de datos que estamos tratando.

▪ Datos: Todos los objetos de información. Considera información interna y externa, estructurada o no, gráficas, sonidos, entre otros.



Versión: 2.0


Página 125 de 130


▪ Defectos: Un defecto es cualquier estado de incapacidad para el uso o no conformidad con la especificación, es un problema, que debe prevenirse, evitarse y si aparece, debe ser corregido.

▪ Delegado institucional: funcionario con delegación de la autoridad para la gestión de usuarios. ▪ Derechos de propiedad intelectual: Aquellos que se confieren a las personas sobre las

creaciones de su mente. Suelen dar al creador derechos exclusivos sobre la utilización de su obra por un plazo determinado.

▪ Disponibilidad: Es el atributo de que los usuarios autorizados tienen acceso a la información cada vez que lo requieran a través de los medios adecuados que satisfagan sus necesidades. La información debe estar siempre accesible para aquellos que estén autorizados.

▪ Dispositivo móvil: es un pequeño dispositivo de computación portátil que generalmente incluye una pantalla y un método de entrada (ya sea táctil o teclado en miniatura). Muchos dispositivos móviles tienen sistemas operativos que pueden ejecutar aplicaciones. Las aplicaciones hacen posible para los dispositivos móviles y teléfonos celulares se utilicen como dispositivos para juegos, reproductores multimedia, calculadoras, navegadores y más. Entre ellos tenemos tabletas, equipos portátiles, reproductores digitales, asistente digital personal (PDA), etc.

▪ Dispositivo removible: es un dispositivo de almacenamiento que permite transportar o almacenar datos en soportes que se pueden extraer de la computadora, como son: Discos ópticos CD, DVD, memorias USB, discos duros externos, tarjeta de memoria, entre otros.

▪ Dispositivos de almacenamiento de datos: Es un conjunto de componentes electrónicos habilitados para leer o grabar datos en el soporte de almacenamiento de datos de forma temporal o permanente.

▪ Dominio: Un dominio de Internet es una red de identificación asociada a un grupo de dispositivos o equipos conectados a la red Internet.

▪ Encriptar: Ocultar datos mediante una clave para que no puedan ser interpretados por usuarios no autorizados.

▪ Enmascarar: Enmascaramiento de datos es el proceso mediante el cual se cambian ciertos elementos de los datos de un almacén de datos, cambiando su información, pero consiguiendo que la estructura permanezca similar, de forma que la información sensible quede protegida.

▪ Enrutamiento: Proceso para seleccionar la mejor ruta disponible para enviar datos a través de una red de información.

▪ Equipos informáticos: Son equipos que permiten almacenar y procesar información, estar disponibles en el momento en que así sea requerido por los procesos de negocio.

▪ FILESERVER: Repositorio digital, en el cual se asigna espacio de almacenamiento para guardar información institucional, el mismo que valida el acceso de usuarios de acuerdo a usuarios del Directorio Activo.

▪ Firewall: En las telecomunicaciones, se entiende por firewall o cortafuegos a un sistema o dispositivo capaz de permitir, limitar, cifrar o decodificar el tráfico de comunicaciones entre un computador (o una red local) y el resto de la Internet, impidiendo que usuarios o sistemas no autorizados tengan acceso.

▪ Flujo de datos: Son los datos que viajan entre redes. ▪ Framework: Es un entorno de trabajo, es un conjunto estandarizado de conceptos, prácticas y

criterios para enfocar un tipo de problemática particular que sirve como referencia, para enfrentar y resolver nuevos problemas.

▪ Gateway: Puerta de enlace es el dispositivo que actúa de interfaz de conexión entre aparatos o dispositivos, y también posibilita compartir recursos entre dos o más ordenadores.



Versión: 2.0


Página 126 de 130


▪ Gestión de proyectos: conjunto de metodologías para planificar y dirigir los procesos de un proyecto.

▪ Gestión de usuarios: Conjunto de actividades o acciones que permite crear, actualizar, deshabilitar usuarios, ampliar operativos/fases y/o registrar dispositivos móviles, con el objetivo de controlar el acceso a los diferentes sistemas y/o aplicativos administrados por la DRIPS.

▪ Identificación: es la capacidad de identificar de forma exclusiva a un usuario de un sistema o una aplicación que se está ejecutando en el sistema.

▪ In house: Hace referencia a actividades o productos que se realizan en la institución, sin uso de terceros.

▪ Incidente: Cualquier evento que no forma parte del desarrollo habitual del servicio y que causa, o puede causar una interrupción del mismo o una reducción de la calidad de dicho servicio.

▪ Indicador: Dato o información que sirve para conocer o valorar las características y la intensidad de un hecho o para determinar su evolución futura.

▪ Infraestructura Tecnológica: Conjunto de equipos tecnológicos con características específicas que permiten el uso y ejecución de servidores, mismos que alojan sistemas, aplicativos y bases de datos.

▪ Ingeniería de software: está formada por un conjunto de métodos, herramientas y técnicas que se utilizan en el desarrollo y mantenimiento de software.

▪ Instalación de Software: La instalación de programas computacionales (software) es el proceso por el cual nuevos programas son transferidos a una computadora y, eventualmente, configurados para ser usados con el fin para el cual fueron desarrollados.

▪ Instalaciones: Incluye los recursos necesarios para alojar y dar soporte a los sistemas de información.

▪ Integridad: Cualidad de la información para ser correcta y no haber sido modificada, manteniendo sus datos exactamente tal cual fueron generados, sin manipulaciones ni alteraciones por parte de terceros.

▪ Intercambio electrónico de datos (IED): Es la transmisión estructurada de datos entre organizaciones por medios electrónicos. Se usa para transferir datos de negocios de un sistema computacional a otro.

▪ Internet: Es un conjunto descentralizado de redes de comunicación interconectadas que utilizan la familia de protocolos TCP/IP, lo cual garantiza que las redes físicas heterogéneas que la componen constituyen una red lógica única de alcance mundial.

▪ Inyección de código JavaScript: son procesos en los cuales puedes insertar y usar tus propios códigos JavaScript en una página, ya sea introduciendo el código en la barra de direcciones, o encontrando la vulnerabilidad XSS de un sitio web.

▪ Inyección de código SQL: es un exploit común en el cual un atacante altera los parámetros de la página (tales como datos de GET/POST o URLs) para insertar fragmentos arbitrarios de SQL que una aplicación Web ingenua ejecuta directamente en su base de datos.

▪ Log de auditoría: es un registro de auditoría que permite informar y monitorear la historia de la información.

▪ Log: Es la grabación secuencial en un archivo o en una base de datos de todos los acontecimientos (eventos o acciones) que afectan a un proceso particular (aplicación, actividad de una red informática, etc.).

▪ Logueo: Proceso que controla el acceso individual a un sistema informático mediante la identificación del usuario utilizando credenciales provistas.



Versión: 2.0


Página 127 de 130


▪ Malware: es un término general para referirse a cualquier tipo de software malicioso diseñado para infiltrarse en su dispositivo sin su conocimiento.

▪ Mantenimiento correctivo: corrige los defectos observados en los equipamientos o instalaciones, es la forma más básica de mantenimiento y consiste en localizar averías o defectos para corregirlos o repararlos.

▪ Mantenimiento preventivo: destinado a la conservación de equipos o instalaciones mediante la realización de revisión y limpieza que garanticen su buen funcionamiento y fiabilidad.

▪ Matriz de roles y perfiles: es el detalle de accesos y funciones definidos por el responsable del activo de información, para asignar a un usuario que utilice un sistema o aplicativo.

▪ Mecanismos de autenticación: Son métodos para verificar la identidad de un usuario o una aplicación.

▪ Medios extraíbles: todo dispositivo de almacenamiento de información que sea extraíble de su gestor de información. Los medios extraíbles son: unidades USB, discos duros portables, tarjetas SD, CD, DVD, Bluray, e incluso las unidades de almacenamiento de Smartphone o tabletas, o todo lo que permita transportar información.

▪ Mensajería electrónica: Servicio de envío, recepción o consulta de mensajes que se lleva a cabo mediante una computadora conectada a una red.

▪ Monitorear: Estado de un sistema, para observar una situación de cambios que se pueda producir con el tiempo, para lo que se precisa un monitor o dispositivo de medición de algún tipo.

▪ Network Time Protocol (NTP): Protocolo que permite establecer una política de sincronización. ▪ No repudio: se refiere a evitar que una entidad que haya enviado o recibido información alegue

ante terceros que no la envió o recibió. ▪ Objetivos de seguridad de la información: hacen referencia a preservar la confidencialidad e

integridad de la información, evitando acciones no autorizadas, en particular, su uso, divulgación, distorsión, alteración, investigación y destrucción.

▪ Oficial de Seguridad de la Información: es el responsable de alinear las estrategias y actividades de seguridad de la información con los objetivos de la Entidad, asegurando que el riesgo de seguridad de la información se gestione apropiadamente y que los activos de información de la URS se encuentren adecuadamente protegidos y sean utilizados responsablemente.

▪ OWASP: es un proyecto de código abierto dedicado a determinar y combatir las causas que hacen que el software sea inseguro.

▪ Perfil: son los permisos y acciones que podrá realizar un usuario determinado en el sistema ▪ Periódica: Palabra que se emplea para nombrar un evento que debe ocurrir con una

determinada regularidad. ▪ Plataforma de Monitoreo: Herramienta con licencia libre, la cual permite realizar una revisión

en proceso batch de los recursos de memoria RAM, procesamiento y almacenamiento asignado a servidores virtuales.

▪ Plataforma tecnológica redundante: son respaldos de datos o hardware de carácter crítico, para asegurar su disponibilidad ante cualquier posible fallo ocasionado por su uso continuo.

▪ Política: Es el conjunto de actividades que se asocian con la toma de decisiones en grupo. ▪ Principios de ingeniería de software: confiabilidad, accesibilidad, verificabilidad,

mantenibilidad, reusabilidad, portabilidad, comprensibilidad e interoperabilidad. ▪ Problema: Cuando un incidente es considerado como grave, o se observan múltiples casos de

incidentes similares, puede crearse el registro de un problema. La gestión de un problema es



Versión: 2.0


Página 128 de 130


diferente a la gestión de incidentes, se desarrolla en otro equipo de trabajo y se controla mediante la gestión de problemas.

▪ Procedimiento de control de cambios: Es la identificación y descripción de una serie de actividades que se deben llevar a cabo para planificar y aprobar los cambios de software y de hardware para que se canalice adecuadamente su implementación.

▪ Procedimiento: Los procedimientos, definen específicamente como las políticas, estándares, mejores prácticas y guías serán implementadas en una situación dada.

▪ Proceso batch: También denominado proceso por lotes, es un método de ejecutar procesos de datos repetitivos de gran volumen, los cuales garantizan la integridad de los datos y la trazabilidad.

▪ Protocolo de comunicaciones: conjunto de normas que están obligadas a cumplir todas las máquinas y programas que intervienen en una comunicación de datos entre ordenadores

▪ Protocolo: Conjunto de normas que regulan el diálogo entre dos entidades de la misma capa o nivel.

▪ Protocolos de enrutamiento: Es un conjunto de reglas utilizadas para distribuir información entre routers.

▪ Proyecto: comprende un cúmulo específico de operaciones diseñadas para lograr un objetivo con un alcance, recursos, inicio y final establecidos.

▪ Pruebas de stress: consiste en probar los límites que un sistema y aplicación puede soportar. En este tipo de pruebas se suele enviar más peticiones de las que el software podría atender normalmente para saber el comportamiento del sistema y aplicación.

▪ QA (Quality Assurance o aseguramiento de la calidad): son los encargados de asegurarse de que un producto, software o app funciona correctamente antes de lanzarla al público o entregarla a los usuarios de dicho producto.

▪ Recursos tecnológicos: Hace referencia a memoria RAM, procesamiento (cores) y almacenamiento asignado a servidores virtuales.

▪ Red pública: permite el acceso a servidores que contienen información compartida libremente. ▪ Redes inalámbricas: Es la conexión de nodos que se da por medio de ondas electromagnéticas,

sin necesidad de una red cableada o alámbrica. ▪ Redundancia: Consiste en duplicar recursos (hardware o software) que se utilizan para la

ejecución de trabajos críticos, manteniendo la funcionalidad de un sistema de forma segura y continua frente a posibles fallos.

▪ Registro y Control: Documento en el que se enumeran los registros que proporcionan las evidencias del cumplimiento de un proceso o procedimiento y la forma de acceder a ellos según su localización, con el objetivo de facilitar su rápida y correcta recuperación.

▪ Registro: Es un tipo de dato estructurado formado por la unión de varios elementos bajo una misma estructura. Estos elementos pueden ser, datos elementales, o estructuras de datos. A cada uno de esos elementos se le llama campo.

▪ Registros de auditoría: Es una secuencia de tokens de auditoría. Cada token de auditoría contiene información del evento.

▪ Repositorio: Es un espacio centralizado donde se almacena, organiza, mantiene y difunde información digital, habitualmente archivos informáticos, que pueden contener trabajos científicos, conjuntos de datos o software

▪ Requerimientos: Los requerimientos/requisitos de un sistema describen los servicios que ha de ofrecer el sistema y las restricciones asociadas a su funcionamiento.



Versión: 2.0


Página 129 de 130


▪ Respaldo diferencial: Consiste en copiar solo los datos nuevos o modificados desde la última copia completa.

▪ Responsable de los activos de información: es la persona encargada de cuidar la integridad, confidencialidad y disponibilidad de los activos de información; tiene autoridad para especificar y exigir las medidas de seguridad necesarias a los custodios de los activos de información para cumplir con sus responsabilidades.

▪ Reutilizar: Es la acción que permite volver a utilizar los bienes o productos desechados, denominados residuo, y darles un uso igual o diferente a aquel para el que fueron concebidos. Esta acción permitirá reducir el volumen de basura electrónica que se produce en nuestro país

▪ Revaloración: Realizar un seguimiento y acompañamiento de los posibles riesgos a los que está expuesto el producto o servicio, con el fin de establecer una mejora y llevar control sobre la información generada.

▪ Riesgo de seguridad de la información: es la posibilidad de que una amenaza se produzca en contra de un activo de información, afectando la confidencialidad, integridad y disponibilidad de la información y los recursos relacionados con la misma generando un impacto adverso hacia la organización.

▪ Riesgos informáticos: Permite la identificación de activo, sus vulnerabilidades y amenazas a los que se encuentran expuestos, así como su probabilidad de ocurrencia.

▪ RIPS: Registro Interconectado de Programas Sociales. ▪ Rol: es el nombre que se le confiere al conjunto de permisos y acciones. ▪ Router: Es un dispositivo que se utiliza para distribuir señal de Internet entre todos los equipos

locales conectados en red. ▪ RS: Registro Social ▪ Saturaciones: Problema informático mediante el cual se pierde el enlace con los servidores por

demasiadas peticiones o flujo de información. ▪ Segmento físico: Agrupación de recursos de red que tengan una conexión en común en la

misma topología de red. ▪ Segmento lógico: Agrupación lógica de los recursos de los equipos ▪ Segmentos de red: Son las subredes producto de la división de una red, práctica ventajosa para

aumentar el rendimiento y mejorar la seguridad de la información. ▪ Seguridad de la información: Es el conjunto de medidas preventivas y reactivas de las

organizaciones y sistemas tecnológicos que permiten resguardar y proteger la información. ▪ Servicio web: es una tecnología que utiliza un conjunto de protocolos y estándares que sirven

para intercambiar datos entre aplicaciones. ▪ Servicios de aplicaciones: son procesos automatizados que una entidad ofrece a sus usuarios a

través de una red. ▪ Servicios de red: Un servicio de red es la creación de una red de trabajo en un ordenador. Los

servicios de red son configurados en redes locales corporativas para mantener la seguridad y la operación amigable de los recursos. También estos servicios ayudan a la red local a funcionar sin problemas y eficientemente.

▪ Servidor Físico: Se trata de una configuración de hardware y software, que puede tener forma de torre o ser de tipo rack.

▪ Servidor: Es un equipo informático que almacena, distribuye y suministra información. ▪ Servidores públicos: persona natural que labora en la URS y presta sus servicios a la entidad,

bajo una de las modalidades establecidas en la normativa vigente.



Versión: 2.0


Página 130 de 130


▪ Servidores virtuales: Nombre que se asigna a los recursos utilizados según el tipo de virtualización con la que cuenta la URS, diferenciándose como: MVs, los servidores virtuales en arquitectura Intel X86_64; y, LPARs, los servidores virtuales en arquitectura RISC.

▪ Sincronización: Actualizar el reloj de un servidor con respecto a una fuente de referencia, en este caso un servidor NTP.

▪ Sistema de Seguridades: Sistema a través del cual se gestiona los usuarios internos y externos que acceden a los aplicativos y sistemas relacionados al RS y RIPS.

▪ Sistema Informático: Sistema que permite almacenar y procesar información mediante el uso de partes y recursos tecnológicos que se interrelacionan entre sí.

▪ Sistema operativo: Conjunto de programas que soporta y maneja todos las aplicaciones y partes de un computador.

▪ Sistemas de información: Es un conjunto de elementos orientados al tratamiento y administración de datos e información, organizados y listos para su uso posterior, generados para cubrir una necesidad o un objetivo.

▪ Software Antimalware: software encargado de proteger los sistemas o aplicaciones de la URS de otro software o códigos de programas maliciosos que pueden generar daños o perdida en información.

▪ Software malicioso: programas maliciosos o malware, contiene virus, spyware y otros programas indeseados que se instalan en su computadora, teléfono o aparato móvil sin consentimiento.

▪ Software: Conjunto de programas y rutinas que permiten a la computadora realizar determinadas tareas.

▪ Soluciones Informáticas: Son un conjunto de software o aplicaciones informáticas que facilitan la gestión y administración de un negocio

▪ Spam: O información basura, hace referencia a aquellos mensajes, con remitente desconocido, que no son solicitados ni deseados por el usuario y que, además, por norma general, son enviados en grandes cantidades. Por consiguiente, el spam se caracteriza por ser anónimo, masivo y no demandado.

▪ SSL (Secure Sockets Layer): protocolo de comunicación segura. ▪ Tarjeta magnética: La tarjeta inteligente, que registra los datos del usuario en un chip (de

memoria o micro procesador). Éstas se usan en controles de acceso ▪ Tecnología: Incluye hardware y software básico, sistemas operativos, sistemas de

administración de bases de datos, de redes, telecomunicaciones, multimedia, entre otros. ▪ UPS: Unidad de Energía Interrumpible. ▪ Usuario: Es una persona que utiliza un sistema informático. Para que los usuarios puedan

obtener seguridad, acceso al sistema, administración de recursos, dichos usuarios deben identificarse.

▪ VPN (Virtual Private Network): es una tecnología de red que permite conectar uno o más ordenadores en una red privada virtual, a través de una red pública como Internet, sin necesidad de que los ordenadores estén conectados físicamente entre sí o de que estén en un mismo lugar.

▪ Vulnerabilidad: Es una debilidad o deficiencia de seguridad, que puede ser materializada por una amenaza.

▪ Zona horaria: Se refiere a la hora local de una región o un país.

NORMATIVA INTERNA DE - registrosocial.gob.ec

Documents

Transcript of NORMATIVA INTERNA DE - registrosocial.gob.ec