SGSI Tesis

UNIVERSIDAD POLITCNICA SALESIANA

SEDE GUAYAQUIL

FACULTAD DE INGENIERAS

CARRERA: INGENIERA EN SISTEMAS

Tesis previa a la obtencin del ttulo de: Ingeniero en Sistemas

TTULO

Planeacin y Diseo de un Sistema de Gestin de Seguridad de la

Informacin basado en la norma ISO/IEC 27001 - 27002

AUTORES:

Jos Luis Buenao Quintana

Marcelo Alfonso Granda Luces

DIRECTOR:

Ing. Ricardo Naranjo

Guayaquil Ecuador

Diciembre de 2009

II

Seores:

UNIVERSIDAD POLITCNICA SALESIANA

Consejo de Carrera Ingeniera en Sistemas

Ciudad.-

Tenemos el agrado de dirigirnos a ustedes con la finalidad de dejar constancia de la

presente declaracin de responsabilidad en el desarrollo del trabajo de tesis

Planeacin y Diseo de un SGSI basado en la norma ISO/IEC 27001 27002.

Es as que los conceptos desarrollados, anlisis realizados y las conclusiones del

presente trabajo, son de exclusiva responsabilidad de los autores.

Atentamente,

Guayaquil, 8 diciembre del 2009

_________________________

Jos Luis Buenao Quintana

_________________________

Marcelo Alfonso Granda Luces

III

Dedicatorias y agradecimientos

Deseamos expresar nuestra profunda gratitud a quienes directa o indirectamente

colaboraron con el desarrollo del presente trabajo, entre ellos:

A nuestras respectivas familias, por su constante comprensin y estimulo

junto con su continuo y afectuoso aliento.

Al Ing. Ricardo Naranjo, director de tesis, por la colaboracin y asistencia

constante durante el desarrollo de este trabajo de tesis

Al Ing. Javier Ortiz , cuya colaboracin fue crucial para el desarrollo de este

proyecto, por su permanente disposicin y desinteresada ayuda

A cada uno de los docentes que aport a travs de nuestros aos de estudio

valiosos conocimientos que fomentaron nuestra capacidad y experiencia.

IV

ndice General

CAPTULO 1 : DISEO DE LA INVESTIGACIN Pgina

1.1 Antecedentes de la investigacin 6

1.2 Problema de investigacin. 6

1.2.1 Formulacin del problema de investigacin. 7

1.2.2 Sistematizacin del problema de investigacin 7

1.3 Objetivos de la investigacin. 8

1.3.1 Objetivo general 8

1.3.2 Objetivos especficos 8

1.4 Justificacin de la investigacin 9

1.5 Marco de referencia de la investigacin 10

1.5.1 Marco terico 10

1.5.2 Marco conceptual (Glosario de trminos) 15

1.6 Formulacin de la Hiptesis y variables 17

1.6.1 Hiptesis general 17

1.6.2 Hiptesis particulares 17

1.7 Aspectos metodolgicos de la investigacin 18

1.7.1 Tipo de estudio 18

1.7.2 Mtodo de investigacin 19

1.7.3 Fuentes y tcnicas para la recoleccin de informacin 20

1.7.4 Tratamiento de la informacin 21

1.8 Resultados e impactos esperados 22

CAPTULO 2: ANLISIS, Y DIAGNSTICO

2.1 Anlisis de la situacin actual 24

2.2 Anlisis comparativo, evolucin, tendencias y perspectivas 25

2.2.1 Pregunta 1 25

2.2.2 Pregunta 2 26

2.2.3 Pregunta 3 27

2.2.4 Pregunta 4 28

2.2.5 Pregunta 5 28

2.2.6 Pregunta 6 29

V

2.3 Verificacin de hiptesis 30

CAPTULO 3: PROPUESTA DE CREACIN

3.1 Definicin 37

3.2 Alcance 37

3.3 Plan de implementacin 40

3.4 Alcances del SGSI 41

3.5 Poltica de seguridad de la informacin 43

3.5.1 Poltica de Seguridad -A.5 43

3.5.2 Organizacin de la seguridad de la informacin - A.6 47

3.5.3 Gestin de Activos - A.7 55

3.5.4 Seguridad de los recursos humanos - A.8 73

3.5.5 Seguridad fsica y ambiental - A.9... 79

3.5.6 Gestin de las comunicaciones y operaciones - A.10. 94

3.5.7Control de Accesos - A.11.. 122

3.5.8 Adquisicin, desarrollo y mantenimiento de los S.I- A.12 150

3.5.9 Gestin de incidente en la seguridad de informacin. 170

3.5.10 Gestin de la continuidad del negocio - A.14. 177

3.5.11 Cumplimiento - A15.... 180

3.6 Gestin de riesgos 183

3.7 Conclusiones. 186

3.8 Recomendaciones 187

3.9 Bibliografa 187

3.10 Anexo1: Plan de continuidad del negocio 189

3.11 Anexo2: Activos de Informacin

3.12 Anexo 3: Gestin de riesgo y Enunciado de aplicabilidad

5

CAPTULO I

DISEO DE LA INVESTIGACIN

6

1.1.1 Antecedentes de la investigacin

Durante el constante proceso de evolucin del uso de la tecnologa como soporte a

las operaciones en las organizaciones, siempre ha existido la preocupacin por evitar

incidentes que comprometan la seguridad de la informacin.

Diversas han sido las herramientas de orden tcnico que se han desarrollado, creado

o mejorado a fin de contrarrestar los riesgos asociados al uso de la tecnologa, sin

embargo, ha sido evidente que ningn mecanismo tcnico de seguridad, logra ser

completamente efectivo, e incluso deja de cumplir su propsito si no se controla al el

elemento ms sensible, el recurso humano.

Es por eso que la seguridad de la informacin consiste en combinar de manera

coherente las herramientas tcnicas de seguridad y a la vez gestionar el

comportamiento del factor humano tratando de reducir en la mayor medida posible

las vulnerabilidades o posibles atentados contra la seguridad de la informacin y

sistemas.

1.2 Problema de investigacin

Luego de analizar la infraestructura tecnolgica de la Sede Guayaquil de la

Universidad Politcnica Salesiana, es notable el crecimiento experimentado con el

paso de los aos, este hecho ha provocado que los controles a nivel de seguridad de

la informacin que se encuentran vigentes, no sean los adecuados para garantizar la

disponibilidad, integridad, y confidencialidad de la informacin, razn por la cual es

necesario sean revisados y mejorados.

En caso de no remediarse la situacin anteriormente expuesta, se eleva

exponencialmente el riesgo de ocurrencia de incidentes de seguridad, prdida de

informacin o disponibilidad de los servicios y sistemas que sustentan la operacin

de la sede, esto redundara en prdidas econmicas y podra generar desconfianza

tanto sobre la imagen que la institucin mantiene en el medio acadmico, as como

sobre los futuros profesionales que egresen de la Universidad.

7

Al encontrar un mecanismo que logre regular, gestionar y mitigar al mximo los

riesgos actuales por el uso de la informacin le ser posible a la institucin controlar

las amenazas actuales en los sistemas informticos

1.2.1 Formulacin del problema de investigacin

Cmo se podran mitigar los riegos asociados al uso de la informacin de los

sistemas y servicios informticos brindados dentro de la sede Guayaquil de la

Universidad Politcnica Salesiana?

1.2.2 Sistematizacin del problema de investigacin

De qu manera tendra que organizarse al personal encargado de la administracin

del los recursos informticos a fin de asegurar que la informacin se mantenga y

manipule de forma segura?

Cmo puede asegurarse el uso aceptable de los recursos y sistemas de informacin

por parte de los funcionarios de la sede a fin de mitigar los riesgos?

De qu manera debera controlarse al recurso humano a fin de que ste no se

convierta en un elemento que pueda vulnerar la seguridad de la informacin o de los

recursos entregados al personal?

Cmo pueden salvaguardarse los recursos informticos de catstrofes naturales,

robos, prdidas, daos intencionales o no intencionales que puedan afectar la

disponibilidad de los recursos?

Cmo gestionar de manera segura las comunicaciones y operaciones informticas?

Cmo evitar el acceso no autorizado a la informacin de los sistemas y servicios

utilizados por la Universidad?

Cmo mantener seguro el proceso de desarrollo de software y soluciones

tecnolgicas?

8

Cmo debera procederse en caso de ocurrir un incidente de seguridad en un

sistema o servicio informtico?

Cmo asegurar que se d fiel cumplimiento a la poltica de seguridad de la

informacin?

1.3 Objetivos de la investigacin

1.3.1 Objetivos generales

Establecer cules seran los mecanismos adecuados para mitigar los riesgos

asociados al uso de la informacin, de los sistemas y servicios informticos

utilizados por el personal de la sede Guayaquil de la Universidad Politcnica

Salesiana.

1.3.2 Objetivos especficos

Establecer la manera adecuada de organizar al personal encargado de la

administracin del los recursos informticos, a fin de asegurar que la informacin se

mantenga y manipule de forma segura.

Descubrir y plantear los controles necesarios para asegurar el uso aceptable de los

recursos y sistemas de informacin por parte de los funcionarios de la sede.

Tabular de forma detallada, qu tipo de controles deberan aplicarse sobre el recurso

humano a fin de que ste no se convierta en un elemento vulnerable, que ponga en

riesgo la seguridad de la informacin o de los recursos tecnolgicos.

Determinar la manera ms eficiente de salvaguardar los recursos informticos de

catstrofes naturales, robos, prdidas, y daos intencionales o no intencionales que

puedan afectar la disponibilidad del recurso.

Especificar mecanismos que permitan mantener seguras las comunicaciones y

operaciones informticas.

9

Establecer controles que permitan evitar el acceso no autorizado a la informacin de

los sistemas y servicios utilizados por la Universidad.

Proveer lineamientos de seguridad que mantengan a buen recaudo el proceso de

desarrollo de software y soluciones tecnolgicas.

Determinar la manera adecuada de proceder en caso de ocurrir un incidente de

seguridad en un sistema o servicio informtico.

Hallar los mecanismos adecuados a fin de garantizar la continuidad de las

operaciones de la sede Guayaquil de la Universidad Politcnica Salesiana.

Asegurar que se d fiel cumplimiento a la poltica de seguridad de la informacin a

travs de procedimientos y polticas.

1.4 Justificacin de la investigacin

Mediante la implementacin de un SGSI Sistema de Gestin de Seguridad de la

Informacin- la Universidad conseguira minimizar considerablemente el riesgo de

que su productividad se vea afectada debido a la ocurrencia de un evento que

comprometa la confidencialidad, disponibilidad e integridad de la informacin o de

alguno de los sistemas informticos.

Informacin financiera, nmina, cuentas por cobrar, y acadmica debera estar

siempre disponible, a fin de no afectar el normal flujo de operaciones de la

institucin.

Los sistemas informticos deben cumplir su objetivo, a saber, estar siempre

disponibles para servir de apoyo a las labores principalmente acadmicas que la

institucin lleva a cabo.

La no disponibilidad de alguno de estos sistemas, tal como el sistema general de

facturacin, acadmico y dems, dilatara los tiempos de atencin a los estudiantes o

funcionarios, lo cual incidira negativamente en la imagen de la institucin y en el

10

nivel de satisfaccin de los docentes como clientes internos, as como en los

estudiantes en su calidad de clientes externos.

El funcionario o rea encargada de la seguridad informtica, mediante la

implantacin de un SGSI lograr controlar y evitar eventos como los citados

anteriormente, que evidentemente comprometeran el rendimiento financiero y

organizacional de la Universidad.

1.5 Marco de referencia

1.5.1 Marco terico

Al encontrarnos actualmente en una era en que las operaciones son altamente

dependientes de la tecnologa, la informacin es el bien ms preciado que las

organizaciones poseen, tanto as que una prdida considerable o total de la misma, le

producira consecuencias catastrficas a una organizacin.

La evolucin de las comunicaciones, y la dependencia casi absoluta a Internet, pone

en un riesgo mayor a este preciado bien. A diario alrededor del mundo, millones de

computadores personales o equipos servidores son asechados y atacados por piratas

informticos quedando expuesta informacin confidencial, tales como datos

personales, nmeros de tarjetas de crdito, informacin sobre precios, productos,

planes estratgicos, y dems datos crticos que a travs de Internet son transmitidos a

menudo de forma insegura.

Los piratas informticos dirigen a diario millones de intentos de ataques en busca de

vulnerabilidades tcnicas o descuidos humanos los cuales forman la brecha de

seguridad ms comnmente presentada en los sistemas expuestos a Internet.

Estos ataques en ocasiones son realizados con fines fraudulentos, otros con el

objetivo especfico de sabotear las operaciones de una empresa o institucin,

buscando generar desconfianza sobre la organizacin, o simplemente el deseo de

probar o evaluar qu tan robusta pudiera ser la seguridad de algn sistema expuesto,

deseo alimentado generalmente por mera curiosidad.

11

Indistintamente del motivo, los riesgos y el impacto que se produce debido a estos

ataques son considerables y se traducen a la larga en costos y prdidas para la

institucin, empresa u organizacin.

CSI Computer Crime & Security Survey, organizacin que recopila informacin de

la comunidad informtica en los Estados Unidos de Amrica, sobre como han sido

afectados sus respectivos entornos tecnolgicos y de red por crmenes informticos,

present varios datos estadsticos en su informe anual los cuales se mencionan a

continuacin:

El la figura 1.1, se detalla el mbito de actividad en el que se desempeaban las

organizaciones consultadas.

Actividad desempeada por las organizaciones encuestadas

Figura 1.1

Fuente: CSI Computer Crime & Security Survey - 2008 CSI Computer Crime and

Security Survey - : Robert Richardson, CSI Director}

12

Entre los datos ms relevantes incluidos en ste reporte anual tenemos los datos:

En los casos en que existieron fraudes de ndole financiero las perdidas

llegaron a ascender a los USD. $500.000.

Casi el 50% de las organizaciones consultadas reconocieron haber tenido

incidentes relacionados con cdigo malicioso o virus.

Cerca del 10% de las organizaciones sufrieron incidentes relacionados con el

servicio de resolucin de nombres o DNS (Domain Name Service).

El 27% de las organizaciones mencionadas en el punto anterior reconocieron

que estos ataques haban sido especficamente apuntados a su organizacin y

no un ataque al azar.1

Ocurrencia de incidentes de seguridad en el ao 2008

Figura 1.2


Security Survey - : Robert Richardson, CSI Director

____________________

1RICHARDSON, Robert, CSI Computer Crime & Security Survey - 2008 CSI Computer Crime and

Security Survey, USA, p. 2

13

Organizaciones que reportaron prdidas debido a intrusiones en el ao 2008

Figura 1.3



Principales tipos de incidencias ocurridas por ao

Figura 1.4


Security Survey - : Robert Richardson, CSI Directo

Estos eventos ocurrieron inclusive organizaciones que contaban con herramientas de

seguridad, lo cual comprueba que no basta con estar a la vanguardia de las

soluciones de seguridad informtica disponibles en el mercado.

14

Herramientas de seguridad utilizadas

Figura 1.5



Como puede concluirse por los datos estadsticas anteriormente expuestos el afn de

preservar la integridad, confidencialidad y disponibilidad de la informacin, no

puede basarse nicamente en mecanismos tcnicos, que en algn momento pueden

tambin ser vulnerables, nombrando entre ellos firewalls, sistemas de prevencin de

intrusos, aplicaciones antivirus, y dems.

La gestin efectiva de la seguridad de la informacin va un paso ms adelante, en

ella se involucra a toda la organizacin y sus miembros, la direccin, inclusive los

proveedores y clientes, todos guindose por una poltica definida en la que se

establezca las directrices a seguir, existiendo procedimientos precisos para las

diferentes acciones tcnicas o no tcnicas en las que la informacin se vea

involucrada.

Mediante un SGSI - Sistema de Gestin de Seguridad de la Informacin- la

institucin como tal conoce los riesgos a los que su informacin se ve expuesta,

consiguiendo mantenerlos en un nivel mnimo y sobre todo controlarlos mediante

una lgica definida y documentada.

15

1.5.2 Marco conceptual

La Norma ISO/IEC 27001, la cual brinda directrices para la implementacin de un

Sistema de Gestin de Seguridad de la Informacin incluye una seccin denominada

Trminos y definiciones las cuales se detallan a continuacin:

Activo

Cualquier cosa que tenga valor para la organizacin.

Disponibilidad

La propiedad de estar disponible y utilizable cuando lo requiera una entidad

autorizada.

Confidencialidad

La propiedad que esa informacin est disponible y no sea divulgada a

personas, entidades o procesos no-autorizados 2

Seguridad de informacin

Preservacin de la confidencialidad, integridad y disponibilidad de la

informacin; adems, tambin pueden estar involucradas otras propiedades

como la autenticidad, responsabilidad, no-repudio y confiabilidad.

Evento de seguridad de la informacin

Una ocurrencia identificada del estado de un sistema, servicio o red indicando

una posible violacin de la poltica de seguridad de la informacin o falla en

las salvaguardas, o una situacin previamente desconocida que puede ser

relevante para la seguridad.

____________________

2El sistema gerencial incluye la estructura organizacional, polticas, actividades de

planeacin, responsabilidades, prcticas, procedimientos, procesos y recursos integridad la

propiedad de salvaguardar la exactitud e integridad de los activos. (ISO/IEC 13335-1:2004)

16

Sistema de gestin de seguridad de la informacin SGSI

Esa parte del sistema gerencial general, basado en un enfoque de riesgo

comercial; para establecer, implementar, operar, monitorear, revisar,

mantener y mejorar la seguridad de la informacin.

Riesgo residual

El riesgo remanente despus del tratamiento del riesgo.

Aceptacin de riesgo

Decisin de aceptar el riesgo.

Anlisis de riesgo

Uso sistemtico de la informacin para identificar fuentes y para estimar el

riesgo.

Valuacin del riesgo

Proceso general de anlisis del riesgo y evaluacin del riesgo.

Evaluacin del riesgo

Proceso de comparar el riesgo estimado con el criterio de riesgo dado para

determinar la importancia del riesgo.

Gestin del riesgo

Actividades coordinadas para dirigir y controlar una organizacin con

relacin al riesgo.

Tratamiento del riesgo

Proceso de tratamiento de la seleccin e implementacin de medidas para

modificar el riesgo.

17

Enunciado de aplicabilidad

Enunciado documentado que describe los objetivos de control y los controles

que son relevantes y aplicables al SGSI de la organizacin. 3

1.6 Formulacin de hiptesis y variables

1.6.1 Hiptesis General

A travs de un SGSI es posible establecer los mecanismos adecuados que mediante

su aplicacin permiten mitigar al mximo los riesgos asociados al uso de la

tecnologa, informacin y sistemas informticos, salvaguardando los recursos de la

sede.

1.6.2 Hiptesis Particulares

Se puede mantener un control adecuado sobre las actividades relacionadas con la

seguridad que el personal encargado realiza a travs de aplicar los controles

mencionados en el apartado Organizacin de la seguridad de la informacin de la

norma.

Al aplicar los controles que forman parte del apartado Gestin de Activos se puede

asegurar que se de un uso aceptable de los recursos y sistemas de informacin por

parte de los funcionarios de la sede a fin de mitigar los riesgos.

A travs de la aplicacin del apartado Seguridad de los recursos humanos, es posible

controlar al recurso humano a fin de que este no se convierta en un factor que pueda

vulnerar la seguridad de la informacin o de los recursos entregados a los mismos.

La poltica de Seguridad fsica y ambiental incluida en la norma permite mediante su

aplicacin salvaguardar eficientemente los recursos informticos de catstrofes

naturales robos, perdidas, y daos intencionales o no intencionales que puedan

afectar la disponibilidad del recurso

____________________

3 En este Estndar Internacional el trmino control se utiliza como sinnimo de medida.

18

El apartado Gestin de las comunicaciones y permitirn mantener seguras las

comunicaciones y operaciones informticas.

Como parte de la norma se incluye una seccin de Control de Accesos que mediante

su aplicacin en las operaciones informticas de la sede, evitar el acceso no

autorizado a la informacin de los sistemas y servicios utilizados por los

funcionarios, docentes, y estudiantes de la sede.

La seccin Adquisicin, desarrollo y mantenimiento de los sistemas de informacin

establece lineamientos de seguridad que permitan mantener seguro el proceso de

adquisicin y desarrollo de soluciones tecnolgicas.

Mediante la poltica de Gestin de un incidente en la seguridad de la informacin se

proveen directrices sobre cmo proceder en caso de ocurrir un incidente de seguridad

en un sistema o servicio informtico.

Como parte del SGSI se incluye la Gestin de la continuidad del negocio que

mediante su aplicacin ayudarn a mantener activos y disponibles los sistemas, datos

y servicios que sustentan las operaciones fundamentales de la institucin.

El apartado de Cumplimiento provee una gua que permite asegurar que se d fiel

cumplimiento a la poltica de seguridad de la informacin a travs de procedimientos

y polticas.

1.7 Aspectos metodolgicos de la investigacin

1.7.1 Tipos de estudio

En el desarrollo de un proyecto pueden utilizarse diferentes tipos de estudios o

investigacin, entre estos tenemos:

19

Tipo de investigacin descriptiva

Este proyecto utiliz investigacin descriptiva pues detalla en forma breve y

especifica los componentes de la investigacin permitiendo comprobar en forma

sistemtica y progresiva las necesidades de la entidad objeto de estudio.

Tipo de investigacin no experimental

La presente investigacin es no experimental pues las circunstancias implicadas o

caractersticas del objeto de estudio no son modificables, el investigador no posee

control sobre estas, ni tiene la capacidad de influir sobre ellas pues ya han ocurrido.

El investigador tampoco posee control sobre los efectos causados por las

circunstancias vigentes en la institucin.

Tipo de investigacin explicativa

Es explicativa pues a travs del proceso de investigacin, intenta establecer las

causas de los eventos objeto de este estudio, mediante el anlisis de la situacin

actual queda claramente explicita la necesidad de normalizar los controles en lo

referente a la seguridad de la informacin.

Tipo de investigacin de campo

Esta investigacin es de campo pues se apoya en informacin obtenida mediante

entrevistas, reuniones, observacin y asesoramiento tcnico.

1.7.2 Mtodos de investigacin

Durante el desarrollo de este proyecto se utilizaran los mtodos de investigacin

inductiva y deductiva.

Adems se aplicarn las siguientes tcnicas de investigacin:

20

Observacin directa

Cuestionarios

Podemos decir que se utilizar el mtodo inductivo deductivo, pues ayuda a la

identificacin o determinacin de que controles o aspectos de la poltica son

aplicables a la institucin, as como descartar aquellos que no sean necesarios.

Adicionalmente se utilizaran los siguientes procedimientos:

Analtico

Distincin y separacin de las partes. Obtencin de un cuerpo compuesto a partir de

la combinacin de cuerpos simples o de cuerpos compuestos ms sencillos que el

que se trata de obtener. Este procedimiento se utilizar para descomponer y disponer

de forma estructurada los diferentes aspectos a aplicar como parte de la poltica de

seguridad de la informacin de la sede.

Para obtener informacin relevante que permita la realizacin de este proyecto se

recurrir a la tcnica de investigacin descriptiva, la misma que mediante la

observacin y entrevistas se ocupa en descubrir y comprobar la relacin entre las

variables de la investigacin, permitiendo as descubrir y establecer las necesidades

reales y la relevancia de cada aspecto del proyecto.

Anlisis (analtico)

Deduccin (mtodo deductivo)

Anlisis datos histricos

Enfoque del sistema (experimental)

Estudio de estndar (descriptivo)

1.7.3 Fuentes y tcnicas de recoleccin de la informacin

Para el desarrollo de esta tesis los autores han utilizado los siguientes mecanismos de

recoleccin de informacin:

21

Observacin

Entrevistas

Datos estadsticos

Discusin con personal capacitado

Evaluacin en base a experiencia

1.7.4 Tratamiento de la informacin

Durante el desarrollo de este proyecto se recopil informacin relacionada con el uso

de tecnologas de informacin dentro de la sede Guayaquil de la UPS, se realiz un

estudio de la informacin recibida, topologa de red, herramientas y aplicativos

utilizados, para luego establecer las polticas y procedimientos aplicables a la

institucin.

Para este fin se utilizaron las siguientes tcnicas de tratamiento de informacin:

Experimentacin

La experimentacin, mtodo comn de las ciencias y las tecnologas,

consiste en el estudio de un fenmeno, reproducido generalmente en

condiciones particulares de estudio que interesan, eliminando o introduciendo

aquellas variables que puedan influir en l. Se entiende por variable todo

aquello que pueda causar cambios en los resultados de un experimento y se

distingue entre variable independiente, dependiente y controlada.4

Registro

Es comn que durante el proceso de recoleccin de informacin, parte de ella

no sea recordada o se pierda debido a no contar con un registro adecuado de

cada dato importante, al realizarse mayormente va Internet las entrevistas

realizadas al coordinador de sistemas, se registro en un archivo electrnico las

respuestas o toda informacin que pudiera ser relevante en el proceso de

anlisis.

____________________

4Wikipedia, Internet http://es.wikipedia.org/wiki/Experimentacin

22

Anlisis y categorizacin

La informacin recolectada permiti realizar una anlisis detallado a fin de

establecer que controles de la norma serian aplicables a la infraestructura de

la sede Guayaquil de la UPS, en este sentido fue necesario categorizar la

informacin en funcin del apartado de la norma analizado.

1.8 Resultados e impactos esperados

Con la implantacin de un SGSI se lograr minimizar considerablemente los riesgos

asociados al uso de la informacin y se mantendrn normalizados los procesos ya

existentes ajustndose a las necesidades de de la sede Guayaquil de la UPS. Es

importante tomar en cuenta que se requerir realizar cambios en los procedimientos

administrativos de la Universidad, y existir un impacto principalmente en el

recurso humano durante el proceso de concienciacin y adopcin de cultura de

seguridad informtica.

23

CAPTULO II

ANLISIS , PRESENTACIN DE

RESULTADOS Y DIAGNSTICOS

24

2.1 Anlisis de la situacin actual

Luego de realizar el anlisis en base a la informacin recopilada de la coordinacin

de sistemas, es posible establecer que la infraestructura tecnolgica tiende a volverse

ms compleja debido al crecimiento organizacional de la Universidad, en funcin de

eso los controles ya establecidos llegan a ser poco eficientes y deben ser mejorados,

y alineados a una normativa que haya sido previamente comprobada como exitosa tal

como lo es la norma ISO serie 27000.

De forma general puede concluirse que se mantienen actualmente ciertos controles

que permiten mantener la informacin relativamente segura, sin embargo estos

controles dejan de ser efectivos a medida que la infraestructura, y el volumen de la

informacin van en aumento, razn por la cual es prudente robustecer los controles y

alinearlos a la normativa ISO 2700 que permitir potenciar las polticas o controles

existentes.

A travs de la aplicacin de esta norma se podrn corregir o mejorar los controles

existentes que dan origen a los siguientes problemas encontrados durante el

desarrollo de este proyecto:

Falta robustecer los lineamientos de seguridad fsica que permitan mitigar

riesgos de causen daos intencionados o no intencionados por parte de usuarios

o terceros.

No existen polticas documentadas y difundidas con respecto al manejo o uso

aceptable de los activos de informacin, sean de hardware, software o

informacin.

No se estn aplicando por completo los controles necesarios a fin de minimizar

la propagacin de cdigo malicioso en los equipos de computo, que pudieran

incluso llegar a afectar servidores o repositorios de informacin.

Existe una elevada tasa de prdida de equipos o partes dentro de los

laboratorios de cmputo, al ser sensibles a hurto.

25

No existe un plan de contingencia documentado y difundido que permita

garantizar la continuidad de las operaciones fundamentales de la institucin.

Los recursos humanos, siendo generalmente el punto ms vulnerable en la

seguridad de la informacin, no se encuentra regulado mediante polticas

formales de comportamiento y uso de activos de informacin.

Existe informacin que no se encuentra viajando a travs de los medios de

forma segura, no existen al momento mecanismos de encriptacin, si a travs

de estos medios se transmitiera informacin crtica se corre un alto riesgo de

comprometer datos acadmicos calificaciones, registros, y dems informacin

sensible manejada por los funcionarios de la sede.

Los controles relacionados a los servicios internos brindados por la

Universidad tales como mensajera electrnica, no son lo suficientemente

robustos, lo cual puede originar perdida de informacin , consumos excesivos

de recursos debido a ser objeto de spamming ,perdida de servicio debido a ser

calificados como spammers en listas negras disponibles en Internet y dems.

2.2 Anlisis comparativo, evolutivo, tendencias y perspectivas

La gestin de riesgo asociada a cada uno de los servicios y sistemas brindados por la

Institucin se ha establecido de acuerdo al tipo de negocio, servicios brindados, el

equipamiento suministrado, servicios subcontratados para mantener la comunicacin

y las instalaciones fsicas que posee la institucin

De acuerdo a la situacin actual y a los factores de riesgos encontrados se pueden

realizar los siguientes cuestionamientos y cuadros comparativos mediante los cuales

se podr evaluar cada uno de los puntos citados en una escala del 1 al 5

2.2.1 Pregunta 1

Cul es el ndice de riesgo que actualmente maneja la universidad de acuerdo al tipo

de negocio que esta maneja y la informacin que es transmitida por los medios?

26

Activo de Informacin Importancia Ocurrencia Estimada Riesgo Actual

Informacin Acadmica 5 4 4,5

Informacin Financiera 5 4 4,5

Informacin de Inventario 5 4 4,5

Informacin de RRHH 5 4 4,5

Tabla 2.1

Fuente: Los Autores

Figura 2.1

Fuente: Los Autores

2.2.2 Pregunta 2

Cul es la situacin actual y riesgo estimado con relacin a los servicios brindados

por la institucin?

Activo de informacin Importancia Ocurrencia Estimada Riesgo Actual

Correo Electrnico 4 5 4,5

Informacin Almacenada 5 5 5

Acceso a Internet 5 4 4,5

Servicios de Directorio Active 5 4 4,5

Tabla 2.2

Fuente: Los Autores

0

1

2

3

4

5

Informacin Acadmica

Informacin Financiera

Informacin de Inventario

Informacin de recursos humanos

ndice de Riego de Acuerdo al tipo de Informacin

Importancia Ocurrencia Estimada Riesgo Actual

27

Figura 2.2

Fuente: Los Autores

2.2.3 Pregunta 3

Cul sera la valoracin y riesgo asociado a los activos de informacin y equipos

segn su uso?


Estaciones de Trabajo Criticas 5 4 4,5

Estaciones de Trabajo 3 4 3,5

Equipos en los Laboratorios 5 5 5

Servidores 5 4 4,5

Tabla 2.3

Fuente: Los Autores

Figura 2.3

Fuente: Los Autores

0

1

2

3

4

5

Estaciones de Trabajo

Criticas


Equipos en los

Laboratorios

Servidores

Aplicaciones De Acuerdo al tipo de informacin procesada en las Estaciones de Trabajo


0

1

2

3

4

5

Correo Electrnico

Informacin Almacenada

Acceso a Internet

Servicio de Directorio

Active

De acuerdo a los Servicios Brindados por la Institucin


28

2.2.4 Pregunta 4

Cul sera la valoracin del riesgo asociado al uso de aplicaciones o servicios a

travs de la infraestructura de networking de la sede?


Red Local 5 4 4,5

Firewall 5 3,5 4,25

Servicios de la Red 4 3,5 3,75

Telefona VoIp 5 3,5 4,25

Tabla 2.4

Fuente: Los Autores

Figura 2.4

Fuente: Los Autores

2.2.5 Pregunta 5

Qu tan expuestos estn los canales de comunicacin manejados por la sede y que

tan crticos son estos?


Enlace de Datos

Guayaquil - Cuenca

5 3,3 4,15

Enlace Video Conf.

Guayaquil Cuenca

5 3 4

Tabla 2.5

Fuente: Los Autores

0

1

2

3

4

5

Red Local Firewall Servicion de

la Red

Telefonia

VoIp

Riesgo de acuerdo Servicio brindado

Importancia

Ocurrencia Estimada

Riesgo Actual

29

Figura 2.5

Fuente: Los Autores

2.2.6 Pregunta 6

Al carecer con una poltica de seguridad y planes de contingencia. Cules podran

ser considerados con los puntos ms vulnerables dentro de la institucin?


Oficinas 5 3 4

Laboratorios 5 3,22 4,11

Sala de servidores 5 3 4

Tabla 2.6

Fuente: Los Autores

Figura 2.6

Fuente: Los Autores

0

1

2

3

4

5

oficinas laboratorios sala de servidores

Vulnerabilidad de acuerdo al nivel de riesgo dentro de cada uno de los servidores


0

1

2

3

4

5

Enlace de Datos Gye - Cue Enlace Video Conf Gye - Cue

Riegos asociados a los servicios subcontratados

Importancia

Ocurrencia Estimada Riesgo Actual

30

2.3 Verificacin de hiptesis

Segn lo analizado, la institucin estara en un nivel alto de exposicin en tema de

seguridad, tomando en cuenta la importancia de la calidad de los servicios brindados,

como el riego actual identificado al poder implementar mtodos y polticas de

control, estos mantendrn una tendencia a decrecer al menos en usa tasa del 50%.

Figura 2.7

Fuente: Los Autores

En la aplicacin de nuevos mtodos de control que mantengan segura la informacin

que es transmitida por los diferentes medios as como mantener una poltica de

encriptacin permitir mejorar el nivel de seguridad de la informacin que a travs

de los medios es transmitida.

Figura 2.8

Fuente: Los Autores

0

1

2

3

4

5

Correo Electrnico

Informacin Almacenada

Acceso a Internet

Servicio de Directorio

Active

De acuerdo a los Servicios Brindados por la Institucin despus de la Aplicacin del Control

Importancia Ocurrencia Estimada Riesgo Actual Riesgo luego del Control

0

1

2

3

4

5

Informacin Acadmica

Informacin Financier

Informacin de Inventario

Informacin de recursos humanos

ndice de Riego despus de Aplicar el Control de Seguridad


31

Entre los servicios brindados por la universidad se encuentra el de mensajera

electrnica, el cual es blanco de spammers, o correo basura, por otro lado el acceso

a Internet puede representar una vulnerabilidad que permita accesos no autorizados o

propagacin de cdigo malicioso si no existen los controles adecuados.

Figura 2.9

Fuente: Los Autores

Existen varias estaciones de trabajo que son consideradas crticas debido a la

informacin almacenada en las mismas y las funciones que estas desempean. Es

necesario aplicar controles sobre estos activos que permitan mitigar el riesgo de dao

por cdigo malicioso, uso indebido o por variaciones de corriente. Con la aplicacin

de una poltica de contingencia se podr evitar la prdida de la disponibilidad del

servicio que estos equipos prestan, y se evitar considerablemente incidencias como

las antes mencionadas.

Figura 2.10

Fuente: Los Autores

0

1

2

3

4

5

Red Local Firewall Servicio de la Red

Telefona VoIp

Riesgo de acuerdo Servicio brindado despus del Control

importancia ocurrencia estimada Riesgo Actual Riesgo luego de Control

0

1

2

3

4

5

Estaciones de Trabajo Crticas


Equipos en los Laboratorios

Servidores

Aplicaciones De Acuerdo al tipo de informacin procesada en las Estaciones de Trabajo despus de la Aplicaciones del Control


32

Podran potenciarse los controles existentes que permitan transmitir de manera mas

segura la informacin a travs de los diferentes canales de comunicacin disponibles.

Figura 2.11

Fuente: Los Autores

Unos de los principales objetivos es mantener los servicios, servidores y redes

interconectados entre las sedes, mediante la aplicacin de los controles sugeridos en

la norma, se podra monitorear y garantizar la calidad del servicio brindado por el

(los) proveedor (es).

Figura 2.12

Fuente: Los Autores

0

1

2

3

4

5

Oficinas Laboratorios Sala de servidores

Vulnerabilidad de acuerdo al nivel de riesgo dentro de cada uno de

los servidores despus de la poltica

Importancia

Ocurrencia estimada Riesgo Actual

Riesgo luego de Control

0

1

2

3

4

5

Enlace de Datos Gye - Cue

Enlace Video Conf Gye - Cue

Riegos al Mantener Servicios SubContratados con otros

Proveedores despus de la aplicacin del control

Importancia

Ocurrencia Estimada

Riesgo Actual

Riesgo luego de Control

33

A fin de cuantificar el cumplimiento actual y esperado con las mejores prcticas en

seguridad informtica, se ha realizado el anlisis GAP incluido a continuacin.

Un anlisis GAP examina las diferencias entre la gestin actual y la informacin

presupuestada. Los resultados obtenidos representan el grado en el que una

organizacin ha cumplido sus objetivos.

Aspecto Porcentaje

Proteccin

Actual

Gestin de Activos 5%

Seguridad fsica y ambiental 11,80%

Gestin de las comunicaciones y operaciones 12,80%

Control de Accesos 10%

Adquisicin, desarrollo y mantenimiento de los sistemas

de informacin

15%

Gestin de la continuidad del negocio 10%

Tabla 2.7

Fuente: Los Autores

Figura 2.13

Fuente: Los Autores

0%

20%

40%

60%

80%

100%Gestin de Activos

Seguridad fsica yambiental

Gestin de lascomunicaciones y

operaciones

Control de Accesos

Adquisicin,desarrollo y

mantenimiento de lossistemas deinformacin

Gestin de lacontinuidad del

negocio

Cumplimiento con mejores prcticas en seguridad informtica

Universidad Politcnica Salesiana Sede Guayaquil

CumplimientoCumplimiento ideal

34

Aspecto Porcentaje

Proteccin Inicial

esperado

Gestin de Activos 50%

Seguridad fsica y ambiental 64,20%

Gestin de las comunicaciones y operaciones 62,80%

Control de Accesos 60%

Adquisicin, desarrollo y mantenimiento de los

sistemas de informacin

60%

Gestin de la continuidad del negocio 60%

Tabla 2.8

Fuente: Los Autores

Figura 2.14

Fuente: Los Autores

Como puede apreciarse en la figura 2.14 el cumplimiento con las mejores prcticas

es limitado, debido a mantener controles de forma emprica, mas no existe un

0%10%20%30%40%50%60%70%80%90%

100%Gestin de Activos

Seguridad fsica yambiental

Gestin de lascomunicaciones y

operaciones

Control de Accesos

Adquisicin,desarrollo y

mantenimiento de lossistemas de

Gestin de lacontinuidad del

negocio

Cumplimiento mejores prcticas seguridad informtica

Cumplimiento actual

Cumplimiento ideal

35

cumplimiento formal de los controles aceptados como mejores prcticas en seguridad

informtica. Este hecho incrementa notablemente los riesgos de que la informacin o

sistemas se vean comprometidos en caso de una incidencia.

El establecimiento de un SGSI, lograra elevar los niveles de cumplimiento y a la vez

minimizar el riesgo asociado al uso de la informacin.

36

CAPTULO III

PROPUESTA DE CREACIN

DISEO - PLANEACIN DE UN SGSI

SEDE GUAYAQUIL UNIVERSIDAD

POLITCNICA SALESIANA

37

3.1 Definicin

Un Sistema de Gestin de Seguridad de la Informacin constituye una herramienta

de gestin para todo tipo de organizaciones en lo relacionado a la preservacin de la

informacin que esta maneja.

Los sistemas informticos almacenan gran cantidad de informacin fundamental para

las organizaciones, estos sistemas, como cualquier otro, son propensos a riesgos de

seguridad y pueden ser blanco de un sin nmero de amenazas internas y externas.

Los riesgos pueden categorizarse principalmente como:

Riesgos Fsicos Accesos no autorizados o controlados, catstrofes naturales,

vandalismo.

Riesgos Lgicos Ataques informticos, cdigos maliciosos, virus, troyanos, ataque

de denegacin de servicio.

El SGSI permite evaluar, reconocer, y aceptar controladamente los diferentes riesgos

a los que la informacin est sujeta, esto se lo consigue a travs de la definicin de

polticas, procedimientos y controles en relacin a los objetivos de negocio

consiguiendo con esto mantener el riesgo por debajo de los parmetros establecidos

por la organizacin gestionando estos de manera sistemtica, definida, documentada

y ampliamente difundida.5

3.2 Alcance

El proceso de implementacin de un Sistema de Gestin de Seguridad de la

Informacin se basa en lo estipulado en la norma ISO/IEC 27001.

La norma ISO 27001 es un estndar para la seguridad de la informacin el cual fue

aprobado y publicado como estndar internacional en Octubre de 2005 por la ISO

____________________

5Fuente: INTERNET - https://sgsi.inteco.es/index.php/es/conceptos-de-un-sgsi

International Organization for Standardization y por la IEC International

Electrotechnical Commission. 6

38

La norma ISO 27001 especifica los requisitos necesarios para establecer, implantar,

mantener y mejorar un Sistema de Gestin de la Seguridad de la Informacin

(SGSI) segn el conocido Ciclo PDCA - acrnimo de Plan, Do, Check, Act

(Planificar, Hacer, Verificar, Actuar).

Planificar (Plan)

Qu hacer y cmo para satisfacer poltica y objetivos para la seguridad de

la informacin?

Implementar (DO)

Poner en prctica lo planificado.

Verificar (Check)

Verificar si se ha hecho lo planificado y si lo que se ha hecho resulta

eficaz.

Mejora Continua (Act)

Cmo y qu mejorar?

Figura 3.1

Fuente: INTERNET - www.nexusasesores.com

____________________

6 Fuente: INTERNET Wikipedia http://es.wikipedia.org/wiki/ISO/IEC_27001

39

Este proyecto se encuentra definido como un DISEO orientado a cubrir los

requerimientos de la primera fase de implementacin de un SGSI, y el objeto de

estudio ser el Departamento de Sistemas de la Sede Guayaquil de la Universidad

Politcnica Salesiana.

Segn el estndar establecido, a saber, ISO/IEC 27001, en la fase de Planificacin se

incluir lo detallado a continuacin:

Anlisis detallado que permita establecer los lmites del sistema en funcin

de la estructura organizacional y recursos tecnolgicos disponibles,

incluyendo la debida justificacin.

Elaboracin y documentacin de una poltica de seguridad en trminos de las

caractersticas del negocio, organizacin, activos y tecnologa.

Definir el enfoque, y metodologas a utilizarse en la valoracin riesgos de la

organizacin.

Identificacin de riesgos , amenazas y vulnerabilidades a las que estn

expuestos los activos definidos dentro del alcance del Sistema de Gestin de

Seguridad de la Informacin (SGSI).

Anlisis y evaluacin de riesgos, que implica el clculo realista de la

posibilidad de que los riesgos identificados tengan una ocurrencia, valorar el

impacto comercial que estos acarrearan, y determinar si el riesgo es

aceptable en trminos del negocio.

Identificacin y evaluacin de las opciones o acciones para los riesgos

previamente evaluados.

Seleccionar los objetivos de control o controles a utilizarse en el tratamiento

de riesgos, existen diferentes controles recomendados en la norma ISO/IEC

40

27001, deber realizarse un anlisis de la organizacin a fin de definir cules

de ellos son aplicables al negocio.

Definicin de los riesgos residuales, es decir, los riegos que permanecen

incluso luego de realizar las acciones preventivas pertinentes, estos debern

clasificarse como aceptables o inaceptables para la organizacin y ser puestos

a consideracin de la direccin a fin de ser aprobados previo a continuar con

la fase de implantacin.

Preparar un Enunciado de Aplicabilidad

Obtener la autorizacin de la gerencia para implementar y operar el SGSI. 7

3.3 Plan de implementacin

Uno de los fundamentos del diseo del SGSI es la elaboracin de la poltica de

seguridad informtica a aplicarse en la sede Guayaquil de la Universidad

Politcnica Salesiana, los aspectos a tratarse, se detallan a continuacin:

Definir los alcances del Sistema de Gestin de Seguridad de la

Informacin.

Definir una poltica de seguridad de la informacin en trminos de la

lgica y poltica organizacional, la cual incluir:

o Poltica de Seguridad - A.5 8

o Organizacin de la seguridad de la informacin - A.6

o Gestin de Activos - A.7

o Seguridad de los recursos humanos - A.8

o Seguridad fsica y ambiental - A.9

____________________

7Aplicable en caso que la organizacin decida continuar con las tres fases de implementacin restantes

del Sistema de Gestin de Seguridad de la Informacin (SGSI), fases que no son parte del anlisis y

estudio de esta tesis.

8 Corresponde al nmero identificador del control segn la norma ISO/IEC 27001.

41

o Gestin de las comunicaciones y operaciones - A.10

o Control de Accesos - A.11

o Adquisicin, desarrollo y mantenimiento de los sistemas de

informacin - A.12

o Gestin de un incidente en la seguridad de la informacin - A.13

o Gestin de la continuidad del negocio - A.14

o Cumplimiento - A15

Definir el enfoque de evaluacin del riesgo de la organizacin

Analizar y evaluar el riesgo

Seleccionar los objetos de control y controles a fin de mitigar la posibilidad

de incidencia de los diferentes riesgos identificados

Enunciado de Aplicabilidad

3.4 Alcances del SGSI

Para la gestin financiera, administrativa y acadmica de la Universidad

Politcnica Salesiana sede Guayaquil, es necesario el uso de sistemas de

informacin, servicios informticos e informacin almacenada en servidores y

repositorios.

El SGSI pretende regularizar y controlar todo aspecto concerniente al uso de los

mismos a fin de mantener las operaciones lo ms seguras posibles sin impactar el

nivel de servicio y la continuidad de las operaciones.

El alcance del SGSI de la Universidad Politcnica Salesiana sede Guayaquil es

delimitado de la siguiente manera:

Servicios implicados

Procesos acadmicos tales como matriculacin estudiantes, registro y

42

gestin de informacin de estudiantes, docentes, registros acadmicos,

pensum acadmico, calificaciones, horarios de clases y dems procesos de

esta ndole.

Procesos financieros tales como registro de pagos, informacin financiera,

contable, informacin de cobros y dems procesos relacionados.

Procesos administrativos tales como nomina, talento humano, inventarios,

activos fijos y dems procesos relacionados.

Localizaciones fsicas

El SGSI objeto de esta planificacin est delimitado y es aplicable a la

sede Guayaquil de la Universidad Politcnica Salesiana Campus

Centenario ubicado en Chambers # 227 y Laura Vicua Guayaquil-

Ecuador.

Sistemas de Informacin

Los sistemas de informacin gestionados por este sistema son los

siguientes:

o Sistema Acadmico

o Sistema Financiero

o Sistema Administrativo

o Correo Electrnico

o Servicio Internet (Proxy, Firewall NAT)

o Sistemas de monitoreo y respaldos

o Sistemas y aplicativos residentes en equipos de computo de los

diferentes departamentos

43

3.5 Poltica de seguridad de la informacin

A.5 Poltica de seguridad

1.- ASPECTOS GENERALES

En la actual era de negocios electrnicos la informacin ha adquirido un nivel aun

ms crtico como activo dentro de las organizaciones, razn por la cual es de vital

importancia que esta sea debidamente resguardada.

Es conocido la gran diversidad de amenazas tanto internas como externas a las que la

informacin se puede ver sometida, es por eso que la poltica de seguridad intenta

minimizar al mximo los riesgos que asociados con la informacin, siendo posible

conseguir esto nicamente si la poltica de seguridad de la informacin se eleva al

mismo nivel de la poltica organizacional.

El xito de esta poltica radica en el compromiso por parte de las autoridades de la

institucin, una amplia difusin de la misma, y el serio compromiso de cumplimiento

por parte de los usuarios.

2.- Objetivos del control

Resguardar al mayor grado posible la informacin como bien preciado de la

organizacin, adems de los elementos tecnolgicos o sistemas que procesan la

misma a fin de minimizar al mximo el riesgo de incidentes que afecten la

confidencialidad, integridad o disponibilidad de la informacin.

Establecer un estndar que guiar las diversas operaciones a realizarse con la

informacin, estndar que deber mantenerse actualizado y difundido a fin de

asegurar que esta poltica cumpla con los objetivos antes mencionados.

3.- Alcance

La poltica es aplicable a todo mbito dentro de la Universidad Politcnica Salesiana

Sede Guayaquil en el que intervenga la informacin, principalmente al Departamento

de Sistemas, en el que se concentra la gestin de la seguridad , as como los

44

laboratorios de computo, siendo tambin extensible a entidades externas en caso de

trabajar colaborativamente o en outsourcing.

4.- Responsabilidad

Todos los docentes, directores de rea, jefes departamentales, personal tcnico,

personal administrativo y estudiantes son responsables de observar y cumplir la

Poltica de Seguridad de la Informacin dentro del rea a su responsabilidad y por

extensin hacer cumplir la misma al personal bajo su cargo si el caso lo amerita,

interviniendo como actores principales los mencionados a continuacin:

Oficial de Seguridad Informtica

Estar encargado de las diversas tareas relacionadas a la administracin de la

seguridad de los sistemas de informacin de la sede, y responsable de

supervisar todos los aspectos relacionados con la presente poltica de

seguridad.

Adicionalmente se encargara de cubrir o delegar tareas relacionadas a

satisfacer los requerimientos de seguridad de la informacin a nivel operativo

detallados en esta poltica.

Usuarios Propietarios de la Informacin

Los propietarios de la informacin, son responsables de clasificar y

catalogar la misma segn el nivel de criticidad y confidencialidad,

mantener documentada y actualizada esta informacin y definir

especficamente que usuarios necesitan acceder en funcin de sus

competencias y que nivel de acceso es requerido.

Coordinador / Jefe de Talento Humano Sede Guayaquil

Ser responsable de notificar a todo personal que ingresa su

responsabilidad de cumplir con la Poltica de Seguridad de la Informacin

y de todas las normas administrativas o tcnicas que se apliquen.

45

Tendr la responsabilidad de publicar o notificar al personal bajo su

direccin sobre la presente poltica de seguridad de la Informacin y

cualquier cambio que en esa se produzca.

Usuarios de la informacin y de los sistemas

Son responsables de conocer, difundir, cumplir y fomentar el

cumplimiento de la presente poltica, Es responsable adems de dar fiel

cumplimiento a la poltica de seguridad en toda accin, funcin, o tarea

relacionada directa o directamente con la informacin que accede o

maneja.

Auditor (es) Interno(s)

Es necesario que luego de la implementacin de un SGSI, se realicen

auditorias que permitan asegurar el cumplimiento de los lineamientos de

seguridad establecidos, el auditor tendr la obligacin de realizar

revisiones peridicas sobre el SGSI, constatando el fiel cumplimiento en

todo mbito relacionado al manejo de la informacin o recursos

tecnolgicos.

Una vez realizada esta auditora, ser responsable de presentar un informe

detallado con las novedades presentadas.

5.- Poltica de Seguridad de la Informacin

Generalidades

La poltica de Seguridad de la Informacin se encuentra conformada por normativas

y patrones a seguir para las diferentes instancias en las que la informacin y

patrones que se ve relacionada.

En conformidad con el estndar ISO/IEC 27001 la poltica de Seguridad de la

informacin incluir lo a continuacin detallado:

46

Organizacin de la Seguridad

Clasificacin y Control de Activos

Seguridad del Personal

Seguridad Fsica y Ambiental

Gestin de las Comunicaciones y las Operaciones

Control de Acceso

Desarrollo y Mantenimiento de los Sistemas

Administracin de la Continuidad de las Actividades del Organismo

Cumplimiento

El Oficial de Seguridad de la Informtica revisar peridicamente los lineamientos

de la presente poltica a fin de mantenerla actualizada, y adems realizar toda

modificacin necesaria debido a cambios en la infraestructura tecnolgica, variacin

en los procedimientos internos, o inclusin de nuevas tecnologas o sistemas,

asegurndose en lo posterior que esta sea difundida al personal de la sede en todos

los niveles que correspondan.

Sanciones

Se aplicarn sanciones administrativas a quien incumpla la Poltica de Seguridad de

la Informacin, estas sanciones sern definidas por la direccin, y sern establecidas

en funcin de la gravedad de la omisin o incumplimiento. Las sanciones debern ser

difundidas a todo el personal junto con la Poltica de Seguridad de la Informacin.

Objetivos de la Poltica de Seguridad

Asegurar que la informacin sea accedida nicamente por personas

autorizadas ya sean funcionarios de la institucin o personal externo.

Mantener la confidencialidad de la informacin

Garantizar que la integridad de la informacin sea mantenida durante todo el

ciclo de vida de la informacin.

47

Establecer un plan de continuidad de las operaciones y probarlo

regularmente.

Asegurar que todo el personal cuente con capacitacin en materia de

seguridad de la informacin, adems de conocer la obligatoriedad del

cumplimiento de la poltica de seguridad en todos los niveles

organizacionales.

Garantizar que todas las vulnerabilidades y debilidades en materia de

seguridad sean reportadas sistemticamente.

Garantizar que los requerimientos de disponibilidad de la informacin sean

cumplidos.

Establecer la necesidad de crear procedimientos tcnicos y administrativos

que sirvan de soporte a la poltica de seguridad de la informacin, debe

incluirse procedimientos para control de cdigo malicioso, gestin de

contraseas, y planes de contingencia.

El oficial de seguridad informtica es encargado de mantener y mejorar

progresivamente el sistema.

Las jefaturas departamentales son responsables de asegurar el cumplimiento

de la poltica de seguridad por parte del personal bajo su mando.

A.6 Organizacin de la seguridad de la informacin

1.- Aspectos Generales

La Poltica de Seguridad de la Informacin debe estar directamente relacionada a los

objetivos y polticas organizacionales que gobiernan el funcionamiento de la

institucin. Para esto es necesario establecer y definir un sujeto que gestione la

48

seguridad de la informacin y realice o establezca responsabilidad sobre tareas tales

como la aprobacin de nuevas polticas, cambios en la misma, y definicin de roles

dentro de este proceso.

Debe tomarse en consideracin que para dar cumplimiento a ciertas operaciones,

actividades, o funciones ser necesaria la interaccin con entidades externas, ya sean

de otra sede ,institucin, proveedores, o empresas que brindan servicio de outsorcing

, para estos casos debe tomarse en cuenta que la informacin puede verse en riesgo si

el acceso a la misma no se produce de manera adecuada y controlada , razn por la

cual es necesario establecer normativas y parmetros a seguir a fin de protegerla.

2.- Objetivos del Control

Implementar en la Universidad Politcnica Salesiana sede Guayaquil, la gestin

unificada de la seguridad de la informacin, especificando las instancias que

permitan implantar controles apropiados para garantizar su cumplimiento.

Establecer con claridad las funciones y responsabilidades dentro de la gestin de la

seguridad de la informacin.

Definir medidas de seguridad que permitan regular los accesos a activos de

informacin por parte de personal de organismos externos a la sede logrando

minimizar al mximo los riesgos en la misma.

Promover el uso de asesoramientos externos en materia de seguridad de la

informacin a fin de complementar la poltica detallada en este documento.

3.- Alcance del Control

El control ser aplicable a todos los recursos o personal que directa o indirectamente

interactan con los activos de informacin, y se hace extensible a los recursos

externos que requieran acceso a informacin interna servicios o sistemas

informticos.

49

4.- Responsabilidad sobre el Control

El funcionario encargado de la seguridad informtica dentro de la sede Guayaquil de

ser responsable de promover la implantacin de la poltica de seguridad, adems

ser el responsable de las actualizaciones en la poltica que en conformidad a

cambios sean necesarias, realizar o delegar a personal bajo su mando la realizacin

de monitoreos, pruebas de intrusiones , anlisis de riesgos , implementacin de

controles y realizacin de procedimientos de orden tcnico en lo relacionado a la

seguridad de la informacin.

Deber adems evaluar la necesidad de solicitar asesoramiento externo en caso de

existir la necesidad.

El personal a cargo de realizar la contratacin de servicios o adquisicin de bienes

relacionados a tecnologas de la informacin deber incluir en los contratos la

exigencia de cumplimiento de las normativas expuestas en la poltica de seguridad

implementada, adems de incluir una clusula de compromiso estricto de

confidencialidad.

5.- Poltica de Organizacin de la Seguridad de la Informacin

A.6.1.2 Coordinacin de la seguridad de informacin

En concordancia con la estructura organizacional y del departamento de sistemas, las

tareas de administrar la seguridad de Informacin estar a cargo del Oficial de

Seguridad Informtica , quien impulsar el cumplimiento de la presente poltica, se

encargar adems de solicitar apoyo de los jefes departamentales a fin de obtener

informacin relevante sobre sus respectivas reas en caso de requerirla.

La Coordinacin de la seguridad de la Informacin tendr la responsabilidad de:

Revisar y exponer ante la (las) autoridades de la Sede la poltica de seguridad

de la informacin y fomentar su aprobacin.

Descubrir y documentar nuevos riesgos a los que la informacin se pueda ver

sometida e incluir mecanismos para mitigarlos dentro de esta poltica.

50

Realizar los cambios necesarios a la Poltica de Seguridad, fomentar su

aprobacin, y delegar a quien corresponda la difusin en todos los niveles

organizacionales.

Mantenerse atento ante los incidentes de seguridad que se presenten, y

asegurarse que sean documentados.

Evaluar nuevas tecnologas a establecerse en la infraestructura tecnolgica de

la sede a fin de que la utilizacin de esta, no se contraponga a la poltica de

seguridad establecida, y en caso de ser aprobadas establecer los controles

necesarios para minimizar al mximo el riesgo de exposicin.

Fomentar la cultura de seguridad de la Informacin en todos los niveles.

Establecer planes de continuidad del negocio o planes de contingencia que

permitan mantener los sistemas y servicios disponibles.

Debe existir una constancia, o compromiso de aceptacin por escrito por

parte de la persona que la direccin de la Sede asigne para que realice las

funciones de coordinacin de la seguridad de la informacin, quien deber

cumplir las obligaciones anteriormente detalladas.

51

MODELO DECLARACIN DE ACEPTACIN CARGO

OFICAL DE SEGURIDA INFORMATICA

Fecha:__/__/__

El que suscribe (Nombre

del funcionario asignado a este cargo) con C.I#

...declara aceptar el nombramiento de OFICIAL

DE SEGURIDAD INFORMATICA de la Universidad Politcnica Salesiana

Sede Guayaquil , acepta conocer y aceptar todos los trminos ,condiciones

atribuciones y obligaciones que se encuentran detallados en la Poltica de

Seguridad de la Informacin seccin A.6.1 del SISTEMA DE GESTION DE

SEGURIDAD DE LA INFORMACION.

_________________________________________

NOMBRE DE FUNCIONARIO ASIGNADO

CARGO

Aclaraciones: _____________________________________________

Figura 3.2

Fuente: Los Autores

A.6.1.3 Asignacin de responsabilidades de la seguridad de la informacin.

El Oficial de Seguridad Informtica asignado por la direccin ser responsable de

establecer controles cooperativos con los dems departamentos si las circunstancias

lo ameritan y cumplir con las tareas especificadas a continuacin:

52

MATRIZ RESPONSABILIDADES

SGSI Universidad Politcnica Salesiana Sede Guayaquil

Tabla 3.1

Fuente: Los Autores

A.6.1 .4 Proceso de autorizacin para los medios de procesamiento de

informacin

Dentro del esquema organizacional puede presentarse la necesidad de aadir nuevos

medios o elementos destinados a procesamiento de la informacin.

La autorizacin de estos nuevos recursos ser responsabilidad conjunta de las

diferentes unidades o departamentos involucrados junto con el oficial de seguridad

de la informacin, tomando en cuenta el propsito de los mismos y considerando las

condiciones de uso recomendadas por el responsable de la seguridad de la

informacin.

Es necesario realizar una inspeccin y anlisis de los componentes de hardware,

software y conectividad a fin de verificar que se encuentren en congruencia con la

poltica de seguridad establecida, y determinar las posibles vulnerabilidades o

amenazas que este nuevo recurso podra implicar.

DETALLE RESPONSABLE

Seguridad en recursos humanos

Ing. Javier Ortiz -Direccin

Talento Humano

Seguridad Fsica y Ambiental

Ing. Javier Ortiz

Gestin de las comunicaciones y operaciones Ing. Javier Ortiz

Control de Accesos

Ing. Javier Ortiz

Adquisicin desarrollo y mantenimiento de los

sistemas de informacin

Ing. Javier Ortiz Martha Yanqui

Gestin de incidentes seguridad

Ing. Javier Ortiz

Gestin Continuidad Negocio

Ing. Javier Ortiz

53

A.6.1.8 Revisin independiente de la seguridad de la informacin.

Es recomendable que las autoridades de la Universidad Politcnica Salesiana

designen a personal calificado para efectuar auditorias y revisiones independientes

una vez establecido el Sistema de Gestin de Seguridad de la Informacin, esto

garantizar que las polticas que forman parte de este documento estn siendo

aplicadas en las diferentes labores cotidianas en las que la informacin se ve

involucrada.

A.6.2 Entidades Externas

A.6.2.1 Identificacin de riesgos relacionados con entidades externas

Al momento de requerir servicios o asesoras de terceros, sean personas naturales o

jurdicas, el responsable de la seguridad de la informacin deber en conjunto con el

titular del departamento al que se solicita acceso, desarrollar un anlisis que incluir

los diversos riesgos que implica la actuacin del recurso externo en cuestin.

En este anlisis debe incluirse , el nombre del recurso externo que acceder a

cualquier activo de informacin , el tipo de acceso que se autorizar , los motivos

para los cuales el acceso es solicitado , y un anlisis de cmo este acceso podra

poner en riesgo la disponibilidad , integridad o confidencialidad de la informacin.

Este anlisis debe presentarse por escrito y ser registrado en los archivos de tareas

administrativas relacionadas con la seguridad de la informacin.

Posterior a esto se definirn los controles necesarios a fin de mitigar los riesgos

analizados, no se autorizar el acceso antes que la fase de anlisis de riesgo, y

establecimiento de controles hayan sido concluidas.

A.6.2.3 Tratamiento de la seguridad en contratos con terceras personas

Todo contrato o convenio con entidades terceras, de ninguna manera deber vulnerar

el contenido de las polticas de seguridad informtica establecidas.

54

Cada solicitud de informacin por parte de la entidad externa deber ser analizada y

aprobada por el oficial de seguridad de la informacin fundamentndose en los

diferentes aspectos de la poltica de seguridad informtica institucional.

Al momento de compartir la informacin deber constar de los debidos controles que

permitan garantizar la confidencialidad, e integridad de la informacin.

Todo contrato de prestacin de servicios, asesora, o consultara deber contemplar

los siguientes controles:

Conocimiento de la poltica de seguridad organizacional y un compromiso

firmado de fiel cumplimiento.

Procedimientos que incluyan la forma en que el contratado proteger los

activos de informacin involucrados en su labor temporal en la institucin,

sean bienes de hardware, software, informacin, datos no procesados,

procedimientos de notificacin de la ocurrencia de un evento relacionado con

la seguridad, procedimientos que aseguren la no divulgacin de informacin

privada, entre otros aplicables.

Niveles de servicio esperado y obtenidos.

Establecer representante legal, y obligaciones del mismo.

Definir por escrito si existen derechos de autor o de propiedad intelectual en

alguno de los bienes de informacin, en caso de existirlos el personal externo

deber tomar las precauciones que se amerite.

Control de Acceso, acceso fsico, acceso a sistemas o servicios informticos a

travs de usuarios contraseas, tokens, y dems. Estos controles debern

caducar una vez terminada la participacin del personal externo en la

institucin.

55

Consentimiento por escrito que otorgar la facultad al oficial de seguridad

informtica o persona delegada por la mxima autoridad de la sede, para

auditar las tareas realizadas por el personal externo a fin de asegurarse que

los acuerdos y controles establecidos estn cumplindose.

Establecer un plan de contingencia en caso de verse afectados uno de los

bienes de informacin utilizados por el personal externo.

Documentar procesos que permitan conocer los cambios realizados y llevar

un control de los mismos.

Controles o procedimientos que eviten que los bienes de informacin sean

afectados por cdigo malicioso o malware.

Definir por escrito si el personal externo ha subcontratado a otra entidad para

realizar parte de las funciones adjudicadas, y establecer la relacin entre los

mismos.

Convenio firmado de confidencialidad.

A.7 Gestin de Activos

1.- Aspectos Generales

Como parte de la gestin de la seguridad de la informacin, la institucin, debe

mantener conocimiento sobre todo los activos que posee sean estos de hardware,

software, informacin, o datos no procesados y clasificarlos a fin de realizar un

riguroso control de riesgos asociados a cada uno de ellos.

Entre estos recursos tenemos: equipos informticos, hardware, equipos de

comunicaciones, software, bases de datos, medios de almacenamiento masivo y

backups ,archivos fsicos e informacin digital de las diferentes unidades

organizativas, equipos de acondicionamiento de aire, red suministro elctrico , UPS ,

entre otros.

56

Cada uno de los activos anteriormente citados deben estar clasificados por criterios

como, nivel de criticidad, sensibilidad, nivel de confidencialidad, unidad

organizativa que lo utiliza, etc.

Dado que la informacin puede residir en diversas formas, ya sea impresa,

almacenada en dispositivos removibles, pticos, magnticos, o informacin

transmitida por medios fsicos cableados o no cableados es necesario establecer

controles que permitan asegurar la confidencialidad de los mismos.

Todos los controles mencionados y dems controles aplicables nicamente podran

ser establecidos exitosamente con un conocimiento de los activos de la informacin

que se intenta proteger, teniendo en mente que la informacin es uno de los bienes

ms crticos de cualquier organizacin.

2.- Objetivos Del Control

Mantener la proteccin apropiada de los activos de la informacin

Lograr clasificar los activos en base a criterios previamente definidos.

Establecer niveles de proteccin y controles sobre los activos ya clasificados.

3.- Alcance Del Control

El control ser aplicable a toda la informacin manejada dentro de las actividades o

labores llevadas a cabo en la sede Guayaquil de la Universidad Politcnica Salesiana.

4.- Responsabilidad Sobre El Control

Cada uno de los propietarios de la informacin o activos es responsable de clasificar

y catalogarla segn su nivel de criticidad, mantener de forma documentada todo

cambio que en ella se realice y que esta informacin este actualizada.

57

El responsable departamental supervisar el proceso de documentacin y

clasificacin de la informacin que dentro de su departamento se esta administrando.

El Oficial de Seguridad Informtica ser el encargado de que los lineamientos de

seguridad orientados al control de activos se estn llevando a cabo en cada unidad

organizacional.

5.- Poltica De Organizacin de la Seguridad de la Informacin

A.7.1.1 Inventario de Activos

Como parte de la Poltica de Seguridad de la informacin, deben mantenerse

identificados los activos sobre todo los ms importantes y su relacin con los

sistemas de informacin, as como sus respectivos propietarios y la ubicacin fsica

de los mismos.

El inventario de activos de informacin debe mantenerse actualizado en caso de

existir alguna modificacin en alguno de los activos, la responsabilidad

administrativa de que estas tareas se estn realizando recaen sobre el responsable de

cada departamento.

Debe establecerse una revisin peridica, no superior a 6 meses, la misma que ser

supervisada por la jefatura departamental.

A.7.1.2 Propiedad de los activos.

Los activos de informacin pertenecen a la Universidad Politcnica Salesiana, a

menos que a travs de un mecanismo contractual, se establezca lo contrario, de tal

manera que la facultad de otorgar acceso a la informacin institucional ser el oficial

responsable de la seguridad de la informacin

.

Toda informacin residente en cualquier recurso informtico de la sede puede ser

sujeto de revisiones peridicas por parte del oficial de seguridad informtica o a

quien designe para esta funcin.

58

Al pertenecer la informacin a la Universidad, queda terminantemente prohibida la

comparticin con entidades externas a menos que sea previamente autorizado por las

autoridades pertinentes.

Cada uno de los activos utilizados por los diferentes departamentos de la sede

Guayaquil de la Universidad Politcnica Salesiana, hardware, software, equipos de

comunicaciones, as como la informacin y datos asociados deben estar bajo custodia

de una parte designada dentro de la organizacin, a saber una jefatura departamental,

o el funcionario a cargo de las actividades relacionadas con ese activo de

informacin.

Al existir una correspondencia del activo de informacin con el funcionario a su

cargo se crea la responsabilidad no repudiable sobre el uso que al activo en cuestin

se d, adems de la responsabilidad de cumplir con los lineamientos de seguridad.

PROPIETARIOS DE LA INFORMACIN

INFORMACIN PROPIETARIO PROCESOS INVOLUCRADOS

Financiera

Contable

Contabilidad

Controles Contables

Estrategias Financieras

Auditorias Contables y Financieras

Controles y Auditorias Tributarias

Control pago colegiaturas estudiantes

Acadmica

Secretaria

del Campus

Matriculas a estudiantes

Controles Acadmicos Estudiantes

Acadmica

Directores de Carrera

Asignacin de estudiantes a cursos

Diseo de horarios para Docentes

Nmina

Direccin

Talento Humano

Control sobre los docentes

Evaluaciones de desempeo

59

Acadmica

Secretaria del Campus

Asignacin de Paraacadmicos

Inventarios

Administrativo

Control de Inventarios

Activos Fijos

Tabla 3.2

Fuente: Los Autores

A.7.1.3 Uso aceptable de los activos

Los activos de informacin de la Universidad Politcnica Salesiana Sede Guayaquil,

incluyendo software, aplicaciones y archivos son propiedad de la misma y solo

pueden utilizarse para fines laborales y legales, por esto debern seguirse los

siguientes lineamientos:

Computadoras personales

Toda modificacin realizada sobre los equipos de cmputo de la sede deber

ser autorizada por el Oficial de Seguridad Informtica.

Toda modificacin, instalacin, desinstalacin, o cualquier mantenimiento

sobre los equipos ser realizado exclusivamente por el personal del

departamento de sistemas de la sede.

Deber mantenerse un inventario completo de software y hardware de cada

uno de los computadoras personales, debera inventariarse y mantenerse la

siguiente informacin:

1. Nombre del equipo

2. Direccin IP

3. Mascara Subred

4. Nombre de dominio

5. Ubicacin fsica

6. Modelo Procesador

7. Marca y Modelo del Equipo

60

8. Numero de procesadores

9. Velocidad Procesador

10. Versin Sistema Operativo

11. Service Pack instalado

12. Funcin del equipo

13. Memoria RAM

14. Almacenamiento en Disco

15. Nmeros seriales de componentes.

Se debern observar los siguientes lineamientos con relacin al uso de los

equipos informticos.

1. No ingerir alimentos o bebidas cerca de los equipos

2. No fumar cerca de los equipos

3. Mantener proteccin contra variaciones de voltaje

4. No insertar objetos en las ranuras de los equipos

5. No realizar cambios o actividades de mantenimiento sobre el

hardware

6. Conservar los equipos bajo las adecuadas condiciones ambientales

7. Nunca dejar los equipos encendidos, debern apagarse los equipos

cuando no estn en uso.

Computadoras porttiles

Los equipos porttiles de la sede se han adquirido especficamente con el fin

de facilitar el desarrollo actividades relacionadas con la institucin.

Su uso deber ser orientado al cumplimiento de las actividades relacionadas

con el rea o departamento asignado. El uso para propsito personal deber

ser ocasional, racional y bajo ninguna circunstancia deber obstaculizar las

actividades laborales de la institucin.

61

Deber mantenerse un inventario de los equipos porttiles que incluya las

caractersticas de los mismos as como su ubicacin.

Los equipos porttiles debern permanecer dentro de las instalaciones de la

sede durante horario laboral.

Los equipos porttiles pueden salir de las instalaciones de la sede bajo total

responsabilidad del usuario al que se le ha asignado el equipo, el cual tomara

todas las precauciones del caso en su uso y transporte.

En caso de ausencia por enfermedad, licencia, o vacaciones, el equipo porttil

deber permanecer en las instalaciones o a disposicin del departamento al

que el equipo ha sido asignado

Computadoras propiedad de terceros

Deben mantenerse deshabilitados los dispositivos de comunicacin o

MODEMS.

Utilizar nicamente las aplicaciones necesarias para el desarrollo de las

funciones asignadas.

Instalar nicamente software licenciado y autorizado por la sede.

Mantener actualizadas las aplicaciones con los ltimos hotfixes o parches

recomendados por el fabricante.

Mantener activo y actualizado el software antivirus.

Se deber controlar el acceso al equipo a fin de evitar el acceso a personas no

autorizadas a fin de preservar la informacin residente en el equipo.

Tomar las medidas necesarias para no vulnerar la seguridad informtica

institucional mediante el uso no responsable del equipo.

62

Conocer cumplir y difundir las polticas de seguridad de la informacin

adoptadas por la sede.

Sistemas de Informacin

Las herramientas tecnolgicas as como los sistemas de informacin y

servicios informticos, como el correo electrnico y la Internet, slo podrn

ser utilizados posterior a la autorizacin del Oficial de Seguridad Informtica

en respuesta a pedido de la jefatura del respectivo departamento.

Cada jefe departamental tiene la responsabilidad de definir las tareas que

conllevan acceso a tal herramienta. El uso de tales recursos constituye un

privilegio otorgado con el propsito de agilizar los trabajos de la institucin

gubernamental y NO es un derecho.

Toda informacin almacenada, creada o transmitida desde o hacia los

sistemas de informacin de la Universidad Politcnica Salesiana, es

propiedad de la institucin, por lo que le sern aplicadas todas las

disposiciones establecidas en la poltica de seguridad de la informacin. La

divulgacin de tal informacin sin autorizacin est estrictamente prohibida.

La alteracin fraudulenta de cualquier documento en formato electrnico

redundar en las sanciones que el consejo disciplinario considere aplicables.

Es responsabilidad de la Universidad, tomar todas las medidas aplicables a

fin de garantizar la confidencialidad de la informacin privada de los

estudiantes.

Los usuarios de los sistemas de informacin de la Universidad estn

obligados a respetar los derechos de propiedad intelectual de los autores de

las obras, programas, aplicaciones u otros, manejadas o accedidas a travs de

dicho sistema.

El software y utilitarios as como los sistemas de informacin de la

Universidad deben tener su respectiva licencia vigente o autorizacin de uso

63

para poder ser utilizadas los mismos que slo podrn ser instalados por

personal autorizado de la Universidad, a saber , personal tcnico del

departamento de sistemas. Adems, no podrn instalarse programas sin la

previa autorizacin de la Jefatura de Sistemas, inclusive si estos son

programas gratuitos o de cdigo abierto.

Queda terminantemente prohibido reproducir los medios de instalacin de las

aplicaciones, utilitarios, y sistemas de informacin utilizados en la sede

Guayaquil de la Universidad Politcnica Salesiana, adems queda prohibido

el uso de los mismos a no ser con fines institucionales.

La Universidad es responsable de establecer las pautas mediante las cuales se

crean y asignan las cuentas de usuario, incluyendo los mecanismos de

seguridad aplicables tales como contraseas, controles de acceso a los

servidores y sistemas para auditar y monitorear su uso, adems de

mecanismos que aseguren la integridad y seguridad de los datos y

comunicaciones que se envan a travs de medios cableados o no cableados.

Los usuarios de los sistemas debern cumplir con todas las normas de uso y

dando fiel cumplimiento a la poltica de seguridad de la informacin emitidas

por la sede Guayaquil de la Universidad Politcnica Salesiana.

Cada usuario es responsable por el uso adecuado de los cdigos de acceso o

contraseas asignadas.

El uso de los sistemas de informacin ser auditado por el personal

autorizado por el Oficial de seguridad de la Informacin, a fin de de

garantizar el uso apropiado de los recursos. Los usuarios no deben tener

expectativa de intimidad alguna con relacin a la informacin almacenada en

su computadora o buzn de correo electrnico.

Acceder a informacin o a un buzn de correo que no es el asignado,

mediante la modificacin de privilegios de acceso o la interceptacin de

64

informacin en cualquier otra manera est prohibido, por lo que tal accin se

sancionar conforme a lo dispuesto por las autoridades de la Universidad.

La Universidad es responsable de verificar que el servicio de Internet y el

correo electrnico estn funcionando adecuadamente adems de asegurar que

la informacin almacenada se encuentre protegida de acceso no autorizado.

El departamento de sistemas deber implementar controles tales como

Firewalls, antivirus, IPS/IDS, entre otros aplicables.

La Universidad se reserva el derecho de emprender los procesos

administrativos, pertinentes con relacin a los actos cometidos, aunque los

mismos no estn expresamente prohibidos en este documento, si dichos actos,

directa o indirectamente, ponen en riesgo la integridad, confiabilidad o

disponibilidad de la informacin, los equipos y los sistemas de informacin

de la Universidad. Cualquier violacin a las normas puede conllevar la

revocacin de privil

SGSI Tesis

Documents

Transcript of SGSI Tesis