Anexo1 AM 166

SEGUNDO SUPLEMENTO
AoIN88

Quito,mircoles25de
septiembrede2013

Valor:US$1.25+IVA
Pgs.

ACUERDO:
ING.HUGOENRIQUEDELPOZO
BARREZUETA SECRETARA NACIONAL DE LA
DIRECTOR ADMINISTRACIN PBLICA:

166 Dispnese a las entidades de la Administracin
Quito:Avenida12deOctubre Pblica Central, Institucional y que dependen de
N1690yPasajeNicolsJimnez la Funcin Ejecutiva el uso obligatorio de las
Normas Tcnicas Ecuatorianas NTE INEN-
Direccin:Telf.2901629 ISO/IEC 27000 para la Gestin de Seguridad de
la Informacin . 1
Oficinascentralesyventas:
Telf.2234540

Distribucin(Almacn):
No. 166
MaoscaN201yAv.10deAgosto
Telf.2430110
Cristian Castillo Peaherrera
SucursalGuayaquil: SECRETARIO NACIONAL DE LA ADMINISTRACIN
PBLICA
MalecnN1606yAv.10deAgosto
Telf.2527107 Considerando:

Que, la Constitucin de la Repblica determina en el artculo 227
Suscripcinanual:US$400+IVA que la Administracin Pblica constituye un servicio a la
paralaciudaddeQuito colectividad que se rige por principios de eficacia, calidad, jerarqua,
US$450+IVAparaelrestodelpas desconcentracin, descentralizacin, coordinacin, participacin,
planificacin, transparencia y evaluacin.
ImpresoenEditoraNacional
Que, el artculo 13 del Estatuto del Rgimen Jurdico Administrativo

de la Funcin Ejecutiva establece que la Secretara Nacional
40pginas
de la Administracin Pblica es una entidad de derecho pblico,

con personalidad jurdica y patrimonio propio, dotada de autonoma
www.registroficial.gob.ec presupuestaria, financiera, econmica y administrativa, encargada
de establecer las polticas, metodologas de gestin e innovacin
Alserviciodelpas institucional y herramientas necesarias para el mejoramiento de la
desdeel1dejuliode1895 eficiencia, calidad y transparencia de la gestin en las entidades y
organismos de la Funcin Ejecutiva, con quienes coordinar las
2 -- Segundo Suplemento -- Registro Oficial N 88 -- Mircoles 25 de septiembre de 2013
acciones que sean necesarias para la correcta ejecucin de Ecuatorianas NTE INEN-ISO/IEC 27000 para la Gestin de
dichos fines; as como tambin de realizar el control, Seguridad de la Informacin.
seguimiento y evaluacin de la gestin de los planes,
programas, proyectos y procesos de las entidades y Artculo 2.- Las entidades de la Administracin Pblica
organismos de la Funcin Ejecutiva que se encuentran en implementarn en un plazo de dieciocho (18) meses el
ejecucin; y, el control, seguimiento y evaluacin de la Esquema Gubernamental de Seguridad de la Informacin
calidad en la gestin de los mismos. (EGSI), que se adjunta a este acuerdo como Anexo 1, a
excepcin de las disposiciones o normas marcadas como
Que, mediante Acuerdos Ministeriales Nos. 804 y 837 de prioritarias en dicho esquema, las cuales se implementarn
29 de julio y 19 de agosto de 2011, respectivamente, la en (6) meses desde la emisin del presente Acuerdo.
Secretara Nacional de la Administracin Pblica cre la
Comisin para la Seguridad Informtica y de las La implementacin del EGSI se realizar en cada
Tecnologas de la Informacin y Comunicacin conformada institucin de acuerdo al mbito de accin, estructura
por delegados del Ministerio de Telecomunicaciones y de la orgnica, recursos y nivel de madurez en gestin de
Sociedad de la Informacin, la Secretara Nacional de Seguridad de la Informacin.
Inteligencia y la Secretara Nacional de la Administracin
Pblica y dentro de sus atribuciones tiene la de establecer Artculo 3.- Las entidades designarn, al interior de su
lineamientos de seguridad informtica, proteccin de institucin, un Comit de Seguridad de la Informacin
infraestructura computacional y todo lo relacionado con liderado con un Oficial de Seguridad de la Informacin,
sta, incluyendo la informacin contenida para las entidades conforme lo establece el EGSI y cuya designacin deber
de la Administracin Pblica Central e Institucional. ser comunicada a la Secretara Nacional de la
Administracin Pblica, en el transcurso de treinta (30) das
Que, es importante adoptar polticas, estrategias, normas, posteriores a la emisin del presente Acuerdo.
procesos, procedimientos, tecnologas y medios necesarios
para mantener la seguridad en la informacin que se genera
Artculo 4.- La Secretara Nacional de la Administracin
y custodia en diferentes medios y formatos de las entidades
Pblica coordinar y dar seguimiento a la implementacin
de la Administracin Pblica Central, Institucional y que
del EGSI en las entidades de la Administracin Pblica
dependen de la Funcin Ejecutiva.
Central, Institucional y que dependen de la Funcin
Ejecutiva. El seguimiento y control a la implementacin de
Que, la Administracin Pblica de forma integral y
la EGSI se realizar mediante el Sistema de Gestin por
coordinada debe propender a minimizar o anular riesgos en
Resultados (GPR) u otras herramientas que para el efecto
la informacin as como proteger la infraestructura
implemente la Secretara Nacional de la Administracin
gubernamental, ms an si es estratgica, de los
Pblica.
denominados ataques informticos o cibernticos.
Que, las Tecnologas de la Informacin y Comunicacin Artculo 5.- La Secretara Nacional de la Administracin
son herramientas imprescindibles para el cumplimiento de Pblica realizar de forma ordinaria una revisin anual del
la gestin institucional e inter-institucional de la EGSI en conformidad a las modificaciones de la norma
Administracin Pblica en tal virtud, deben cumplir con INEN ISO/IEC 27002 que se generen y de forma
estndares de seguridad que garanticen la confidencialidad, extraordinaria o peridica cuando las circunstancias as lo
integridad y disponibilidad de la informacin; ameriten, adems definir los procedimientos o
metodologas para su actualizacin, implementacin,
Que, la Comisin para la Seguridad Informtica y de las seguimiento y control.
Tecnologas de la Informacin y Comunicacin en
referencia ha desarrollado el Esquema Gubernamental de Artculo 6.- Es responsabilidad de la mxima autoridad de
Seguridad de la Informacin (EGSI), elaborado en base a la cada entidad mantener la documentacin de la
norma NTE INEN-ISO/IEC 27002 Cdigo de Prctica implementacin del EGSI debidamente organizada y
para la Gestin de la Seguridad de la Informacin. registrada de acuerdo al procedimiento especfico que para
estos efectos establezca la Secretara Nacional de la
Que, el artculo 15, letra i) del Estatuto del Rgimen Administracin Pblica.
Jurdico y Administrativo de la Funcin Ejecutiva establece
como atribucin del Secretario Nacional de la Artculo 7.- Las entidades realizarn una evaluacin de
Administracin Pblica, impulsar proyectos de riesgos y disearn e implementarn el plan de manejo de
estandarizacin en procesos, calidad y tecnologas de la riesgos de su institucin, en base a la norma INEN ISO/IEC
informacin y comunicacin; 27005 Gestin del Riesgo en la Seguridad de la
Informacin.
En uso de las facultades y atribuciones que le confiere el
artculo 15, letra n) del Estatuto del Rgimen Jurdico y DISPOSICIONES GENERALES
Administrativo de la Funcin Ejecutiva,
Primera.- El EGSI podr ser revisado peridicamente de
Acuerda: acuerdo a las sugerencias u observaciones realizadas por las
entidades de la Administracin Pblica Central,
Artculo 1.- Disponer a las entidades de la Administracin Institucional o que dependen de la Funcin Ejecutiva, las
Pblica Central, Institucional y que dependen de la Funcin cuales debern ser presentadas por escrito a la Secretara
Ejecutiva el uso obligatorio de las Normas Tcnicas Nacional de la Administracin Pblica.
Segundo Suplemento -- Registro Oficial N 88 -- Mircoles 25 de septiembre de 2013 -- 3
Segunda.- Cualquier propuesta de inclusin de controles o Segunda.- La Secretara Nacional de la Administracin

directrices adicionales a los ya establecidos en el EGSI Pblica emitir en el plazo de sesenta (60) das desde la
que se generen en la implementacin del mismo, emisin del presente Acuerdo los lineamientos especficos
debern ser comunicados a la Secretara Nacional de la de registro y documentacin de la implementacin
Administracin Pblica, previo a su aplicacin; de igual institucional del ESGI.
manera, en caso de existir alguna excepcin institucional
respecto a la implementacin del EGSI, sta deber ser Tercera.- La Secretara Nacional de la Administracin
justificada tcnicamente y comunicada a la Secretara Pblica, adems, en un plazo de noventa (90) das desde la
Nacional de la Administracin Pblica, para su anlisis y emisin del presente Acuerdo, definir las metodologas o
autorizacin. procedimientos para actualizacin, implementacin,
seguimiento y control del EGSI.
Tercera.- Los Oficiales de Seguridad de la Informacin de
los Comits de Gestin de Seguridad de la Informacin DISPOSICIN DEROGATORIA
designados por las instituciones, actuarn como contrapartes
de la Secretara Nacional de la Administracin Pblica en la Derguese los Acuerdo Ministeriales No. 804 de 29 de julio
implementacin del EGSI y en la gestin de incidentes de de 2011 y No. 837 de 19 de agosto de 2011.
seguridad de la informacin.
DISPOSICION FINAL.- Este Acuerdo entrar en vigencia
Cuarta.- Cualquier comunicacin respecto a las a partir de su publicacin en el Registro Oficial.
disposiciones realizadas en el presente Acuerdo deber ser
informada directamente a la Subsecretara de Gobierno Dado en el Palacio Nacional, a los 19 das del mes de
Electrnico de la Secretara Nacional de la Administracin septiembre de 2013.
Pblica.
f.) Cristian Castillo Peaherrera, Secretario Nacional de la
Administracin Pblica.
DISPOSICIONES TRANSITORIAS
Es fiel copia del original.- LO CERTIFICO.
Primera.- Para efectivizar el control y seguimiento del
EGSI institucional, la Secretara Nacional de la Quito, 20 de septiembre de 2013.
Administracin Pblica en un plazo de quince (15) das
crear un proyecto en el sistema GPR en el que se f.) Dra. Rafaela Hurtado Espinoza, Coordinadora General
homogenice los hitos que deben de cumplir las instituciones de Asesora Jurdica, Secretara Nacional de la
para implementar el EGSI. Administracin Pblica.
Anexo 1 del Acuerdo No. 166 del 19 de septiembre de 2013
SECRETARA NACIONAL DE LA ADMINISTRACIN

PBLICA
ESQUEMA GUBERNAMENTAL DE SEGURIDAD DE

LA INFORMACIN (EGSI)
Versin 1.0
Septiembre de 2013
Contenido
INTRODUCCIN
1. POLTICA DE SEGURIDAD DE LA INFORMACIN
2. ORGANIZACIN DE LA SEGURIDAD DE LA INFORMACIN
3. GESTIN DE LOS ACTIVOS
4. SEGURIDAD DE LOS RECURSOS HUMANOS
5. SEGURIDAD FISICA Y DEL ENTORNO
6. GESTIN DE COMUNICACIONES Y OPERACIONES
7. CONTROL DE ACCESO
8. ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIN
9. GESTIN DE LOS INCIDENTES DE LA SEGURIDAD DE LA INFORMACIN
10. GESTIN DE LA CONTINUIDAD DEL NEGOCIO
11. CUMPLIMIENTO
GLOSARIO DE TRMINOS
INTRODUCCIN El EGSI establece un conjunto de directrices prioritarias

para Gestin de la Seguridad de la Informacin e inicia un
Los avances de las Tecnologas de la Informacin y proceso de mejora continua en las instituciones de la
Comunicacin (TIC) han ocasionado que los gobiernos Administracin Pblica. El EGSI no reemplaza a la norma
otorguen mayor atencin a la proteccin de sus activos de INEN ISO/IEC 27002 sino que marca como prioridad la
informacin con el fin de generar confianza en la implementacin de algunas directrices.
ciudadana, en sus propias instituciones y minimizar riesgos
derivados de vulnerabilidades informticas. La implementacin del EGSI incrementar la seguridad de
la informacin en las entidades pblicas as como en la
La Secretara Nacional de Administracin Pblica, confianza de los ciudadanos en la Administracin Pblica.
considerando que las TIC son herramientas imprescindibles
para el desempeo de institucional e inter-institucional, y 1. POLTICA DE SEGURIDAD DE LA
como respuesta a la necesidad gestionar de forma eficiente INFORMACIN
y eficaz la seguridad de la informacin en las entidades
pblicas, emiti los Acuerdos Ministeriales No. 804 y No. 1.1. Documento de la Poltica de la Seguridad de la
837, de 29 de julio y 19 de agosto de 2011 respectivamente, Informacin
mediante los cuales cre la Comisin para la Seguridad
Informtica y de las Tecnologas de la Informacin y a) La mxima autoridad de la institucin dispondr la
Comunicacin. implementacin de este Esquema Gubernamental de
Seguridad de la Informacin (EGSI) en su entidad (*)1.
La comisin realiz un anlisis de la situacin respecto de
la gestin de la Seguridad de la Informacin en las b) Se difundir la siguiente poltica de seguridad de la
Instituciones de la Administracin Pblica Central, informacin como referencia (*):
Dependiente e Institucional, llegando a determinar la
necesidad de aplicar normas y procedimientos para Las entidades de la Administracin Pblica Central,
seguridad de la informacin, e incorporar a la cultura y Dependiente e Institucional que generan, utilizan,
procesos institucionales la gestin permanente de la misma. procesan, comparten y almacenan informacin en
medio electrnico o escrito, clasificada como pblica,
El presente documento, denominado Esquema confidencial, reservada y no reservada, debern aplicar
Gubernamental de Seguridad de la Informacin (EGSI), el Esquema Gubernamental de Seguridad de la
esta basado en la norma tcnica ecuatoriana INEN ISO/IEC Informacin para definir los procesos, procedimientos
27002 para Gestin de la Seguridad de la Informacin y
est dirigido a las Instituciones de la Administracin 1
(*) En todo este documento esta marca significa que se trata de
Pblica Central, Dependiente e Institucional. un control/directriz prioritario
y tecnologas a fin de garantizar la confidencialidad, Aprobar las principales iniciativas para

integridad y disponibilidad de esa informacin, en los incrementar la seguridad de la informacin, de
medios y el tiempo que su legitimidad lo requiera. acuerdo a las competencias y
responsabilidades asignadas a cada rea.
Las entidades pblicas podrn especificar una poltica
de seguridad ms amplia o especfica en armona con la Acordar y aprobar metodologas y procesos
Constitucin, leyes y dems normativa legal propia o especficos, en base al EGSI relativos a la
relacionada as como su misin y competencias. seguridad de la informacin.
1.2. Revisin de la Poltica Evaluar y coordinar la implementacin de

controles especficos de seguridad de la
a) Para garantizar la vigencia de la poltica de seguridad de informacin para nuevos sistemas o servicios,
la informacin en la institucin, esta deber ser revisada en base al EGSI.
anualmente o cuando se produzcan cambios
significativos a nivel operativo, legal, tecnolgica, Promover la difusin y apoyo a la seguridad
econmico, entre otros. de la informacin dentro de la institucin.
2. ORGANIZACIN DE LA SEGURIDAD DE LA Coordinar el proceso de gestin de la

INFORMACIN continuidad de la operacin de los servicios y
sistemas de informacin de la institucin
frente a incidentes de seguridad imprevistos.
2.1. Compromiso de la mxima autoridad de la
institucin con la seguridad de la informacin
Designar a los custodios o responsables de la
informacin de las diferentes reas de la
a) Realizar el seguimiento de la puesta en marcha de
entidad, que deber ser formalizada en un
las normas de este documento (*).
documento fsico o electrnico.
b) Disponer la difusin, capacitacin y Gestionar la provisin permanente de recursos

sensibilizacin del contenido de este documento econmicos, tecnolgicos y humanos para la
(*). gestin de la seguridad de la informacin.
c) Conformar oficialmente el Comit de Gestin de Velar por la aplicacin de la familia de

la Seguridad de la Informacin de la normas tcnicas ecuatorianas INEN ISO/IEC
institucin (CSI) y designar a los integrantes (*). 27000 en la institucin segn el mbito de
cada norma.
El comit de coordinacin de la seguridad de la informacin
involucrar la participacin y cooperacin de los cargos Designar formalmente a un funcionario como
directivos de la institucin. El comit deber convocarse de Oficial de Seguridad de la Informacin quien
forma peridica o cuando las circunstancias lo ameriten. Se actuar como coordinador del CSI. El Oficial
deber llevar registros y actas de las reuniones. de Seguridad no pertenecer al rea de
Tecnologas de la Informacin y reportar a la
2.2. Coordinacin de la Gestin de la Seguridad de la mxima autoridad de la institucin (*).
Informacin
Designar formalmente al responsable de
a) La coordinacin estar a cargo del Comit de seguridad del rea de Tecnologas de la
Gestin de Seguridad de la Informacin el cual Informacin en coordinacin con el director o
tendr las siguientes funciones: responsable del rea de Tecnologas de la
Informacin de la Institucin (*).
Definir y mantener la poltica y normas
institucionales particulares en materia de 2.3 Asignacin de responsabilidades para la seguridad
seguridad de la informacin y gestionar la de la informacin
aprobacin y puesta en vigencia por parte de
la mxima autoridad de la institucin as El Oficial de Seguridad de la Informacin tendr las
como el cumplimiento por parte de los siguientes responsabilidades:
funcionarios de la institucin.
a) Definir procedimientos para el control de cambios a los
Monitorear cambios significativos de los procesos operativos, los sistemas e instalaciones, y
riesgos que afectan a los recursos de verificar su cumplimiento, de manera que no afecten la
informacin frente a las amenazas ms seguridad de la informacin.
importantes.
b) Establecer criterios de seguridad para nuevos sistemas
Tomar conocimiento y supervisar la de informacin, actualizaciones y nuevas versiones,
investigacin y monitoreo de los incidentes contemplando la realizacin de las pruebas antes de su
relativos a la seguridad. aprobacin definitiva.
c) Definir procedimientos para el manejo de incidentes de h) Implementar los controles de seguridad definidos (ej.,
seguridad y para la administracin de los medios de evitar software malicioso, accesos no autorizados, etc.).
almacenamiento.
i) Definir e implementar procedimientos para la
d) Controlar los mecanismos de distribucin y difusin de administracin de medios informticos de
informacin dentro y fuera de la institucin. almacenamiento (ej., cintas, discos, etc.) e informes
impresos, y verificar la eliminacin o destruccin
e) Definir y documentar controles para la deteccin y segura de los mismos, cuando proceda.
prevencin del acceso no autorizado, la proteccin
contra software malicioso, garantizar la seguridad de los j) Gestionar los incidentes de seguridad de la informacin
datos y los servicios conectados a las redes de la de acuerdo a los procedimientos establecidos.
institucin.
k) Otras que por naturaleza de las actividades de gestin
f) Desarrollar procedimientos adecuados de de la seguridad de la informacin deban ser realizadas.
concienciacin de usuarios en materia de seguridad,
controles de acceso a los sistemas y administracin de 2.4 Proceso de autorizacin para nuevos servicios de
cambios. procesamiento de la informacin
g) Verificar el cumplimiento de las normas, a) Asignar un custodio o responsable para cualquier nuevo
procedimientos y controles de seguridad institucionales servicio a implementar, generalmente del rea
establecidos. peticionaria, incluyendo la definicin de las
caractersticas de la informacin y la definicin de los
h) Coordinar la gestin de eventos de seguridad con otras diferentes niveles de acceso por usuario.
entidades gubernamentales.
b) Autorizar explcitamente por parte del custodio el uso
i) Convocar regularmente o cuando la situacin lo amerite de un nuevo servicio segn las definiciones anteriores.
al Comit de Seguridad de la Informacin as como
llevar registros de asistencia y actas de las reuniones. c) Solicitar la autorizacin del oficial de seguridad de la
informacin el uso del nuevo servicio garantizando el
cumplimiento de la polticas de seguridad de la
El responsable de Seguridad del rea de Tecnologas de
informacin y normas definidas en este documento.
la Informacin tendr las siguientes responsabilidades:
d) Evaluar la compatibilidad a nivel de hardware y
a) Controlar la existencia de documentacin fsica o software con sistemas internos .
electrnica actualizada relacionada con los
procedimientos de comunicaciones, operaciones y e) Implementar los controles necesarios para el uso de
sistemas. nuevos servicios para procesar informacin de la
institucin sean personales o de terceros para evitar
b) Evaluar el posible impacto operativo a nivel de nuevas vulnerabilidades.
seguridad de los cambios previstos a sistemas y
equipamiento y verificar su correcta implementacin,
asignando responsabilidades. 2.5. Acuerdos sobre Confidencialidad (*)
c) Administrar los medios tcnicos necesarios para a) Elaborar y aprobar los acuerdos de confidencialidad y
permitir la segregacin de los ambientes de de no-divulgacin de informacin conforme la
procesamiento. Constitucin, las leyes, las necesidades de proteccin de
informacin de la institucin y el EGSI.
d) Monitorear las necesidades de capacidad de los sistemas
en operacin y proyectar las futuras demandas de b) Controlar que los acuerdos de confidencialidad de la
capacidad para soportar potenciales amenazas a la informacin, documento fsico o electrnico, sean
seguridad de la informacin que procesan. firmados de forma manuscrita o electrnica por todo el
personal de la institucin sin excepcin.
e) Controlar la obtencin de copias de resguardo de
informacin, as como la prueba peridica de su c) Gestionar la custodia de los acuerdos firmados, en los
restauracin. expedientes, fsicos o electrnicos, de cada funcionario,
por parte del rea de gestin de recursos humanos.
f) Asegurar el registro de las actividades realizadas por el
personal operativo de seguridad de la informacin, para d) Controlar que la firma de los acuerdos de
su posterior revisin. confidencialidad sean parte de los procedimientos de
incorporacin de nuevos funcionarios a la institucin,
g) Desarrollar y verificar el cumplimiento de sin excepcin.
procedimientos para comunicar las fallas en el
procesamiento de la informacin o los sistemas de e) Gestionar la aceptacin, entendimiento y firma de
comunicaciones, que permita tomar medidas acuerdos de confidencialidad y de no divulgacin de
correctivas. informacin por parte de terceros (ej., contratistas,
proveedores, pasantes, entre otros) que deban realizar contemplar las actuaciones de la alta direccin, del
labores dentro de la institucin sea por medios lgicos o comit de seguridad y del oficial de seguridad en
fsicos y que involucren el manejo de informacin. materia de gestin de la seguridad.
2.6 Contacto con las autoridades c) Registrar y documentar todas las revisiones
independientes de la gestin de la seguridad de la
a) Establecer un procedimiento que especifique cundo y a informacin que la institucin realice.
cuales autoridades se reportarn incidentes derivados
del infringimiento de la poltica de seguridad o por 2.9 Identificacin de los riesgos relacionados con las
acciones de seguridad de cualquier origen (ej., SNAP, partes externas
fiscala, polica, bomberos, 911, otros). Todo incidente
de seguridad de la informacin que sea considerado a) Identificar y evaluar los riesgos para la informacin y
crtico deber ser reportado al oficial de seguridad y los servicios de procesamiento de informacin de la
este a su vez al comit de seguridad y la mxima entidad en los procesos que involucran terceras partes e
autoridad segn los casos. implementar los controles apropiados antes de autorizar
el acceso.
b) Reportar oportunamente los incidentes identificados de
la seguridad de la informacin a la SNAP si se sospecha b) Bloquear el acceso de la tercera parte a la informacin
de incumplimiento de la ley o que provoquen de la organizacin hasta haber implementado los
indisponibilidad o continuidad. controles apropiados y, cuando es viable, haber firmado
un contrato que defina los trminos y las condiciones
c) Identificar y mantener actualizados los datos de del caso as como acuerdos de confidencialidad respecto
contacto de proveedores de bienes o servicios de de la informacin a la tendrn acceso.
telecomunicaciones o de acceso a la Internet para
gestionar potenciales incidentes.
c) Garantizar que la tercera parte es consciente de sus
obligaciones y acepta las responsabilidades y deberes
d) Establecer acuerdos para compartir informacin con el involucrados en el acceso, procesamiento,
objeto de mejorar la cooperacin y la coordinacin de comunicacin o gestin de la informacin y los
los temas de la seguridad. Tales acuerdos deberan servicios de procesamiento de informacin de la
identificar los requisitos para la proteccin de la organizacin.
informacin sensible.
d) Registrar y mantener las terceras partes vinculadas a la
2.7 Contactos con grupos de inters especiales entidad considerando los siguientes tipos:
a) Mantener contacto apropiados con organizaciones proveedores de servicios (ej., Internet, proveedores
pblicas y privadas, asociaciones profesionales y grupos de red, servicios telefnicos, servicios de
de inters especializados en seguridad de la informacin mantenimiento, energa elctrica, agua, entre otros);
para mejorar el conocimiento sobre mejores prcticas y
estar actualizado con informacin pertinente a gestin servicios de seguridad;
de la seguridad.
contratacin externa de proveedores de servicios y/u
b) Recibir reportes advertencias oportunas de alertas,
operaciones;
avisos y parches relacionados con ataques y
vulnerabilidades de organizaciones pblicas, privadas y
asesores y auditores externos;
acadmicas reconocidas por su aporte a la gestin de la
seguridad de la informacin .
limpieza, alimentacin y otros servicios de soporte
contratados externamente;
c) Establecer contactos entre oficiales y responsables de la
seguridad de la informacin para compartir e
personal temporal (estudiantes,
intercambiar informacin acerca de nuevas tecnologas,
pasantes,funcionarios pblicos externos);
productos, amenazas o vulnerabilidades;.
ciudadanos/clientes;
2.8 Revisin independiente de la seguridad de la
informacin Otros
a) Ejecutar revisiones independientes de la gestin de la 2.10 Consideraciones de la seguridad cuando se trata

seguridad a intervalos planificados o cuando ocurran con ciudadanos o clientes
cambios significativos en la implementacin
a) Identificar requisitos de seguridad antes de facilitar
b) Identificar oportunidades de mejora y la necesidad de servicios a ciudadanos o clientes de entidades
cambios en el enfoque de la seguridad, incluyendo la gubernamentales que utilicen o procesen informacin de
poltica y los objetivos de control a partir de las los mismos o de la entidad. Se podr utilizar los
revisiones independientes. La revisin deber siguientes criterios:
proteccin de activos de informacin; d) Los archivos generados por los servidores pblicos,
tanto de manera fsica como electrnica, razn de ser de
descripcin del producto o servicio; la funcin que desempean en la institucin.
las diversas razones, requisitos y beneficios del e) Los manuales e instructivos de sistemas informticos:
acceso del cliente; instalacin, gua de usuario, operacin, administracin,
mantenimiento, entre otros.
poltica de control del acceso;
f) De la operacin de los aplicativos informticos de los
servicios informticos: datos y meta-datos asociados,
convenios para gestin de inexactitudes de la
archivos de configuracin, cdigo fuente, respaldos,
informacin, incidentes de la seguridad de la
versiones, etc.
informacin y violaciones de la seguridad;
g) Del desarrollo de aplicativos de los servicios
descripcin de cada servicio que va a estar
informticos: actas de levantamiento de requerimientos,
disponible;
documento de anlisis de requerimientos, modelos
entidad relacin, diseo de componentes, casos de
nivel de servicio comprometido y los niveles uso, diagramas de flujo y estado, casos de prueba, etc.
inaceptables de servicio;
h) Del soporte de aplicativos de los servicios informticos:
el derecho a monitorear y revocar cualquier tickets de soporte, reportes fsicos y electrnicos,
actividad relacionada con los activos de la evaluaciones y encuestas, libros de trabajo para
organizacin; capacitacin, etc.
las respectivas responsabilidades civiles de la i) De la imagen corporativa de la institucin: manual

organizacin y del cliente; corporativo (que incluye manual de marca y fuentes en
formato electrnico de logos), archivos multimedia,
las responsabilidades relacionadas con asuntos tarjetas de presentacin, volantes, banners, trpticos, etc.
legales y la forma en que se garantiza el
cumplimiento de los requisitos legales Inventariar los activos de soporte de Hardware (*):
derechos de propiedad intelectual y asignacin de j) Equipos mviles: telfono inteligente (smartphone),

derechos de copia y la proteccin de cualquier telfono celular, tableta, computador porttil, asistente
trabajo colaborativos digital personal (PDA), etc.
proteccin de datos en base la Constitucin y leyes
k) Equipos fijos: servidor de torre, servidor de cuchilla,
nacionales, particularmente datos personales o
servidor de rack, computador de escritorio,
financieros de los ciudadanos
computadoras porttiles, etc.
2.11 Consideraciones de la seguridad en los acuerdos
l) Perifricos de entrada: teclado, ratn, micrfono,
con terceras partes
escner plano, escner de mano, cmara digital, cmara
web, lpiz ptico, pantalla de toque, etc.
a) Garantizar que exista un entendimiento adecuado en los
acuerdos que se firmen entre la organizacin y la tercera
parte con el objeto de cumplir los requisitos de la m) Perifricos de salida: monitor, proyector, audfonos,
seguridad de la entidad. Refirase a la norma INEN parlantes, impresora lser, impresora de inyeccin de
ISO/IEC para los aspectos claves a considerar en este tinta, impresora matricial, impresora trmica, plter,
control. mquina de fax, etc.
3. GESTIN DE LOS ACTIVOS n) Perifricos y dispositivos de almacenamiento: sistema

de almacenamiento (NAS, SAN), librera de cintas,
3.1. Inventario de activos cintas magnticas, disco duro porttil, disco flexible,
grabador de discos (CD, DVD, Blu-ray), CD, DVD,
Inventariar los activos primarios, en formatos fsicos y/o Blu-ray, memoria USB, etc.
electrnicos:
o) Perifricos de comunicaciones: tarjeta USB para redes
a) Los procesos estratgicos, claves y de apoyo de la inalmbricas (Wi-Fi, Bluetooth, GPRS, HSDPA),
institucin. tarjeta PCMCIA para redes inalmbricas (Wi-Fi,
Bluetooth, GPRS, HSDPA), tarjeta USB para redes
b) Las normas y reglamentos que son la razn de ser de la almbricas/inalmbricas de datos y de telefona, etc.
institucin.
p) Tableros: de transferencia (bypass) de la unidad
c) Planes estratgicos y operativos de la institucin y ininterrumpible de energa (UPS), de salidas de energa
reas especficas. elctrica, de transferencia automtica de energa, etc.
q) Sistemas: de control de accesos, de aire acondicionado, bb) Inventario referente a los sitios y edificaciones de la
automtico de extincin de incendios, de circuito institucin: planos arquitectnicos, estructurales,
cerrado de televisin, etc. elctricos, sanitarios, de datos, etc.
Inventariar los activos de soporte de Software (*): cc) Direccin fsica, direccin de correo electrnico,
telfonos y contactos de todo el personal de la
r) Sistemas operativos. institucin.
s) Software de servicio, mantenimiento o administracin dd) De los servicios esenciales: nmero de lneas
de: gabinetes de servidores de cuchilla, servidores telefnicas fijas y celulares, proveedor de servicios de
(estantera/rack, torre, virtuales), sistema de redes de Internet y transmisin de datos, proveedor del
datos, sistemas de almacenamiento (NAS, SAN), suministro de energa elctrica, proveedor del
telefona, sistemas (de UPS, grupo electrgeno, de aire suministro de agua potable, etc.
acondicionado, automtico de extincin de incendios,
de circuito cerrado de televisin), etc. Los activos debern ser actualizados ante cualquier
modificacin de la informacin registrada y revisados con
t) Paquetes de software o software base de: suite de una periodicidad no mayor a seis meses.
ofimtica, navegador de Internet, cliente de correo
electrnico, mensajera instantnea, edicin de 3.2. Responsable de los activos
imgenes, vdeo conferencia, servidor (proxy, de
archivos, de correo electrnico, de impresiones, de a) Asignar los activos asociados (o grupos de activos) a un
mensajera instantnea, de aplicaciones, de base de individuo que actuar como Responsable del Activo.
datos), etc. Por ejemplo, debe haber un responsable de los
computadores de escritorio, otro de los celulares, otro
u) Aplicativos informticos del negocio. de los servidores del centro de datos, etc. El trmino
"responsable" no implica que la persona tenga
Inventariar los activos de soporte de redes (*): realmente los derechos de propiedad de los activos. El
Responsable del Activo tendr las siguientes funciones:
v) Cables de comunicaciones (interfaces: RJ-45 o RJ-11,
SC, ST o MT-RJ,interfaz V35, RS232, USB, SCSI, Elaborar el inventario de los activos a su cargo y
LPT), panel de conexin (patch panel), tomas o puntos mantenerlo actualizado.
de red, racks (cerrado o abierto, de piso o pared), etc.
Delegar tareas rutinarias, tomando en cuenta que la
w) Switchs (de centros de datos, de acceso, de borde, de responsabilidad sigue siendo del responsable.
gabinete de servidores, access-ppoint, transceiver,
equipo terminal de datos, etc.). Administrar la informacin dentro de los procesos
de la institucin a los cuales ha sido asignado.
x) Ruteador (router), cortafuego (firewall), controlador de
red inalmbrica, etc. Elaborar las reglas para el uso aceptable del mismo
e implantarlas previa autorizacin de la autoridad
correspondiente.
y) Sistema de deteccin/prevencin de intrusos (IDS/IPS),
firewall de aplicaciones web, balanceador de carga,
switch de contenido, etc. Clasificar, documentar y mantener actualizada la
informacin y los activos, y definir los permisos de
acceso a la informacin.
Inventariar los activos referentes a la estructura
organizacional:
b) Consolidar los inventarios de los activos a cargo del
Responsable del Activo, por rea o unidad organizativa.
z) Estructura organizacional de la institucin, que incluya
todas las unidades administrativas con los cargos y 3.3. Uso aceptable de los activos
nombres de las autoridades: rea de la mxima
autoridad, rea administrativa, rea de recursos a) Identificar, documentar e implementar las reglas sobre
humanos, rea financiera, etc. el uso aceptable de los activos asociados con los
servicios de procesamiento de la informacin. Para la
aa) Estructura organizacional del rea de las TIC, con los elaboracin de las reglas, el Responsable del Activo
cargos y nombres del personal: administrador (de deber tomar en cuenta las actividades definidas en los
servidores, de redes de datos, de respaldos de la controles correspondientes a los mbitos de
informacin, de sistemas de almacenamiento, de bases Intercambio de Informacin y Control de Acceso,
de datos, de seguridades, de aplicaciones del negocio, donde sea aplicable.
de recursos informticos, etc.), lder de proyecto,
personal de capacitacin, personal de mesa de ayuda, b) El Oficial de Seguridad de la Informacin es el
personal de aseguramiento de calidad, programadores encargado de asegurar que los lineamientos para la
(PHP, Java, etc.). utilizacin de los recursos de las Tecnologas de la
Informacin contemplen los requerimientos de e) Reglamentar el acceso y uso de la Internet y sus

seguridad establecidos, segn la criticidad de la aplicaciones/servicios (*):
informacin que procesan.
Este servicio debe utilizarse exclusivamente para las
c) La informacin y documentos generados en la tareas propias de la funcin desarrollada en la
institucin y enviados por cualquier medio o institucin, y no debe utilizarse para ningn otro fin.
herramienta electrnica son propiedad de la misma
institucin.
Cada usuario es responsable de la informacin y
contenidos a los que accede y de aquella que
d) Reglamentar el uso de correo electrnico
copia para conservacin en los equipos de la
institucional (*):
institucin.
Este servicio debe utilizarse exclusivamente para las
tareas propias de las funciones que se desarrollan en Debe limitarse a los usuarios el acceso a portales,
la institucin y no debe utilizarse para ningn otro aplicaciones o servicios de la Internet y la Web que
fin. pudieren perjudicar los intereses y la reputacin de
la institucin. Especficamente, se debe bloquear el
Cada persona es responsable tanto del contenido del acceso por medio de dispositivos fijos y/o mviles a
mensaje enviado como de cualquier otra aquellos portales, aplicaciones o servicios de la
informacin que adjunte. Internet y la Web sobre pornografa, racismo,
violencia, delincuencia o de contenidos ofensivos y
Todos los mensajes deben poder ser monitoreados y contrarios a los intereses, entre otros, y valores de la
conservados permanentemente por parte de las institucin o que impacten negativamente en la
institucin. productividad y trabajo de la institucin (ej.,
mensajera instantnea-chats, redes sociales, video,
otros) y particularmente a los que atenten a la tica
Toda cuenta de correo electrnico debe estar
y moral.
asociada a una nica cuenta de usuario.
La conservacin de los mensajes se efectuar en El Oficial de Seguridad de la Informacin debe

carpetas personales, para archivar la informacin de elaborar, poner en marcha y controlar la aplicacin
acceso exclusivo del usuario y que no debe de un procedimiento institucional para acceso y uso
compartirse con otros usuarios. Debe definirse un de la Internet y la Web por parte de todo
lmite de espacio mximo. funcionario sin excepcin, y en el cual se acepten
las condiciones aqu especificadas y otras que la
Toda la informacin debe ser gestionado de forma institucin considere apropiadas.
centralizados y no en las estaciones de trabajo de
los usuarios. Todos los accesos deben poder ser sujetos de
monitoreo y conservacin permanente por parte de
Todo sistema debe contar con las facilidades la institucin.
automticas que notifiquen al usuario cuando un
mensaje enviado por l no es recibido correctamente El Oficial de Seguridad de la Informacin, puede
por el destinatario, describiendo detalladamente el acceder a los contenidos monitoreados, con el fin de
motivo del error. asegurar el cumplimiento de las medidas de
seguridad.
Deben utilizarse programas que monitoreen el
accionar de virus informticos tanto en mensajes La institucin podr en cualquier momento bloquear
como en archivos adjuntos, antes de su ejecucin. o limitar el acceso y uso de la Internet a los
funcionarios o a terceros que accedan tanto por
Todo usuario es responsable por la destruccin de medio almbrico como inalmbrico.
los mensajes con origen desconocido, y asume la
responsabilidad por las consecuencias que pueda
ocasionar la ejecucin de los archivos adjuntos. En Se debe bloquear y prohibir el acceso y uso de
estos casos, no deben contestar dichos mensajes y servicios de correo electrnico de libre uso tales
deben enviar una copia al Oficial de Seguridad de la como: Gmail, Hotmail, Yahoo, Facebook, entre
Informacin para que efecte el seguimiento y la otros.
investigacin necesaria.
Se prohbe expresamente a las entidades de la
Para el envo y la conservacin de la informacin, Administracin Pblica la contratacin, acceso y
debe implementarse el cifrado (criptografa) de uso de servicios de correo electrnico en la Internet
datos. (Nube), para uso institucional o de servidores
pblicos, con empresas privadas o pblicas cuyos
Todo usuario es responsable de la cantidad y centros de datos, redes (salvo la Internet), equipos,
tamao de mensajes que enve. Debe controlarse el software base y de gestin de correo electrnico y
envo no autorizado de correos masivos. cualquier elemento tecnolgico necesario, se
encuentren fuera del territorio nacional; y g) En caso de destruccin de un activo, la etiqueta

adicionalmente, si las condiciones de los servicios asociada a ste debe mantenerse en el inventario
que tales empresas prestaren no se someten a la respectivo con los registros de las acciones realizadas.
Constitucin y Leyes Ecuatorianas.
4. SEGURIDAD DE LOS RECURSOS HUMANOS
f) Reglamentar el uso de los sistemas de video-
conferencia (*): 4.1. Funciones y responsabilidades
Definir un responsable para administrar la video- a) Verificar a los candidatos, previa su contratacin,
conferencia. el certificado de antecedentes penales y revisar la
informacin entregada en su hoja de vida (*).
Definir y documentar el procedimiento de acceso a b) Entregar formalmente a los funcionarios sus
los ambiente de pruebas y produccin. funciones y responsabilidades (*).
Elaborar un documento tipo lista de chequeo c) Notificar al Oficial de Seguridad de la

(check-list) que contenga los parmetros de Informacin los permisos necesarios para
seguridad para el acceso a la red interministerial que activacin y acceso a los activos de informacin.
soporta el servicios de video-conferencia.
d) Informar al Oficial de Seguridad de la
Crear contraseas para el ingreso a la configuracin Informacin sobre los eventos potenciales,
de los equipos y para las salas virtuales de video- intentos de intrusin u otros riesgos que pueden
conferencia. afectar la seguridad de la informacin de la
institucin.
Deshabilitar la respuesta automtica de los equipos
4.2 Seleccin
de video-conferencia.
a) Verificar antecedentes de candidatos a ser
3.4. Directrices de clasificacin de la informacin empleados, contratistas o usuarios de terceras
partes, o designaciones y promociones de
a) Clasificar la informacin como pblica o confidencial. funcionarios de acuerdo con los reglamentos, la
(*) tica y las leyes pertinentes, y deben ser
proporcionales a la naturaleza y actividades de la
b) Elaborar y aprobar un catlogo de clasificacin de la entidad pblica, a la clasificacin de la
informacin. Se la deber clasificar en trminos de su informacin a la cual se va a tener acceso y los
valor, de los requisitos legales, de la sensibilidad y la riesgos percibidos. No debe entenderse este
importancia para la institucin. El nivel de proteccin se control como discriminatorio en ningn aspecto,.
puede evaluar analizando la confidencialidad, la
integridad y la disponibilidad b) Definir los criterios y las limitaciones para las
revisiones de verificacin de personal actual (por
3.5. Etiquetado y manejo de la informacin motivos de designacin o promocin), potenciales
empleados y de terceras partes.
a) Incluir datos mediante abreviaturas, acerca del tipo de
activo y su funcionalidad para la generacin de c) Informar del procedimiento de revisin y solicitar
etiquetas. el consentimiento al personal actual (por motivos
de designacin o promocin), potenciales
b) En caso de repetirse la etiqueta del activo, deber empleados y de terceras partes.
aadirse un nmero secuencial nico al final.
4.3. Trminos y condiciones laborales
c) En caso de documentos en formato electrnico, la
a) Realizar la firma de un acuerdo de
etiqueta deber asociarse a un metadato nico, pudiendo
confidencialidad o no-divulgacin, antes de que
ser ste un cdigo MD5.
los empleados, contratistas y usuarios de terceras
partes, tengan acceso a la informacin. Dicho
d) Las etiquetas generadas debern estar incluidas en el acuerdo debe establecer los parmetros tanto de
inventario, asociadas a su respectivo activo. vigencia del acuerdo, informacin confidencial
referida, formas de acceso, responsabilidades y
e) Los responsables de los activos supervisarn el funciones.
cumplimiento del proceso de generacin de etiquetas y
rotulacin de los activos. b) Socializar los derechos y responsabilidades
legales de los empleados, los contratistas y
f) Para el caso de etiquetas fsicas, los responsables de los cualquier otro usuario sobre la proteccin de
activos verificarn con una periodicidad no mayor a 6 datos; dejando constancia de lo actuado a travs
meses, que los activos se encuentren rotulados y con de hojas de registro, informes o similares, que
etiquetas legibles. evidencie la realizacin de la misma.
c) Responsabilizar al personal sobre el manejo y laboral respectivo, y la nueva responsabilidad o

creacin de la informacin resultante durante el contrato laboral se deber instaurar en el contrato
contrato laboral con la institucin. de confidencialidad respectivo.
4.4. Responsabilidades de la direccin a cargo del c) Previa la terminacin de un contrato se deber

funcionario realizar la transferencia de la documentacin e
informacin de la que fue responsable al nuevo
a) Explicar y definir las funciones y las funcionario a cargo, en caso de ausencia, al
responsabilidades respecto a la seguridad de la Oficial de Seguridad de la Informacin.
informacin, antes de otorgar el acceso a la
informacin, contraseas o sistemas de d) Los contratos del empleado, el contratista o el
informacin sensibles (*). usuario de terceras partes, deben incluir las
responsabilidades vlidas an despus de la
b) Lograr la concienciacin sobre la seguridad de la terminacin del contrato laboral.
informacin correspondiente a sus funciones y
responsabilidades dentro de la institucin. 4.8. Devolucin de activos
a) Formalizar el proceso de terminacin del contrato

c) Acordar los trminos y las condiciones laborales,
laboral, para incluir la devolucin de software,
las cuales incluyen la poltica de la seguridad de
documentos corporativos y los equipos. Tambin
la informacin de la institucin y los mtodos
es necesaria la devolucin de otros activos de la
apropiados de trabajo.
institucin tales como los dispositivos de cmputo
mviles, tarjetas de crdito, las tarjetas de acceso,
d) Verificar el cumplimiento de las funciones y
tokens USB con certificados de electrnicos,
responsabilidades respecto a la seguridad de la
certificados electrnicos en archivo, memorias
informacin mediante la utilizacin de reportes e
flash, telfonos celulares, cmaras, manuales,
informes.
informacin almacenada en medios electrnicos y
otros estipulados en las polticas internas de cada
4.5. Educacin, formacin y sensibilizacin en
entidad.
seguridad de la informacin
b) Aplicar los debidos procesos para garantizar que
a) Socializar y capacitar de forma peridica y
toda la informacin generada por el empleado,
oportuna sobre las normas y los procedimientos
contratista o usuario de terceras partes dentro de
para la seguridad, las responsabilidades legales y
la institucin, sea transferida, archivada o
los controles de la institucin, as como en la
eliminada con seguridad.
capacitacin del uso correcto de los servicios de
informacin. c) Realizar el proceso de traspaso de conocimientos
por parte del empleado, contratistas o terceras
4.6. Proceso disciplinario partes, luego de la terminacin de su contrato
laboral, para la continuacin de las operaciones
a) Garantizar el tratamiento imparcial y correcto importantes dentro de la institucin.
para los empleados que han cometido violaciones
comprobadas a la seguridad de la informacin. 4.9. Retiro de los privilegios de acceso
b) Considerar sanciones graduales, dependiendo de a) Retirar los privilegios de acceso a los activos de
factores tales como la naturaleza, cantidad y la informacin y a los servicios de procesamiento de
gravedad de la violacin, as como su impacto en informacin (ej., sistema de directorio, correo
el negocio, el nivel de capacitacin del personal, electrnico, accesos fsicos, aplicaciones de
la legislacin correspondiente (ej., Ley de software, etc.,) inmediatamente luego de que se
Comercio Electrnico, Firmas Electrnicas y comunique formalmente al Oficial de Seguridad
Mensajes de Datos, EGSI, etc., ) y otros factores de la Informacin formalmente la terminacin de
existentes en los procedimientos propios de la la relacin laboral por parte del rea
entidad. correspondiente.
4.7. Responsabilidades de terminacin del contrato 5. SEGURIDAD FSICA Y DEL ENTORNO
a) Comunicar oficialmente al personal las 5.1. Permetro de la seguridad fsica

responsabilidades para la terminacin de su
relacin laboral, lo cual debe incluir los requisitos a) Definir y documentar claramente los permetros
permanentes para la seguridad de la informacin y de seguridad (barreras, paredes, puertas de acceso
las responsabilidades legales o contenidas en controladas con tarjeta, etc.), con una ubicacin y
cualquier acuerdo de confidencialidad fortaleza adecuadas.
b) Los cambios en la responsabilidad o en el contrato b) Definir una rea de recepcin, con personal y
laboral debern ser gestionados como la otros medios para controlar el acceso fsico al
terminacin de la responsabilidad o el contrato lugar o edificio (*).
c) Extender las barreras fsicas necesarias desde el b) Ubicar los equipos de repuesto y soporte a una
piso hasta el techo a fin de impedir el ingreso distancia prudente para evitar daos en caso de
inapropiado y la contaminacin del medio desastre que afecte las instalaciones principales.
ambiente.
c) Suministrar el equipo apropiado contra incendios
d) Disponer de alarmas de incendio y puertas de y ubicarlo adecuadamente.
evacuacin debidamente monitoreadas que
cumplan normas nacionales e internacionales. d) Realizar mantenimientos de las instalaciones
elctricas y UPS.(*)
e) Disponer de un sistema de vigilancia mediante el
uso de circuitos cerrados de televisin. e) Realizar mantenimientos en los sistemas de
climatizacin y ductos de ventilacin (*).
f) Aislar los ambientes de procesamiento de
informacin de los ambientes proporcionados por f) Adoptar controles para minimizar el riesgo de
terceros. amenazas fsicas potenciales como robo, incendio,
explosin, humo, agua, polvo, vibracin, efectos
5.2. Controles de acceso fsico qumicos, interferencia del suministro elctrico e
interferencia a las comunicaciones.
a) Supervisar la permanencia de los visitantes en las
reas restringidas y registrar la hora y fecha de su 5.5. Trabajo en reas seguras
ingreso y salida (*).
a) Dar a conocer al personal, la existencia de un rea
b) Controlar y limitar el acceso, exclusivamente a segura.
personal autorizado, a la informacin clasificada y
a las instalaciones de procesamiento de b) Evitar el trabajo no supervisado para evitar
informacin. Se debe utilizar controles de actividades maliciosas.
autenticacin como tarjetas de control de acceso
ms el nmero de identificacin personal. c) Revisar peridicamente y disponer de un bloqueo
fsico de las reas seguras vacas.
c) Implementar el uso de una identificacin visible
para todo el personal y visitantes, quienes d) No permitir equipos de grabacin, cmaras,
debern ser escoltados por una persona autorizada equipos de vdeo y audio, dispositivos mviles,
para el trnsito en las reas restringidas (*). etc., a menos de que estn autorizados (*).
d) Revisar y actualizar peridicamente los derechos 5.6. reas de carga, despacho y acceso pblico
de accesos a las reas restringidas, mismos que
sern documentados y firmados por el a) Permitir el acceso al rea de despacho y carga,
responsable. nicamente a personal identificado y autorizado
(*).
5.3. Seguridad de oficinas, recintos e instalaciones
b) Descargar y despachar los suministros,
a) Aplicar los reglamentos y las normas en materia nicamente en el rea de descarga y despacho.
de sanidad y seguridad.
c) Asegurar las puertas externas e internas de
b) Proteger las instalaciones claves de tal manera despacho y carga.
que se evite el acceso al pblico (*).
d) Inspeccionar el material que llega para determinar
c) Establecer que los edificios o sitios de posibles amenazas.
procesamiento sean discretos y tengan un
sealamiento mnimo apropiado. e) Registrar el material que llega, de acuerdo a los
procedimientos de gestin de activos.
d) Ubicar las impresoras, copiadoras, etc., en un rea
protegida(*). 5.7. Ubicacin y proteccin de los equipos
e) Disponer que las puertas y ventanas permanezcan a) Ubicar los equipos de modo que se elimine el
cerradas, especialmente cuando no haya acceso innecesario a las reas de trabajo
vigilancia. restringidas.
5.4. Proteccin contra amenazas externas y ambientales. b) Aislar los servicios de procesamiento de
informacin con datos sensibles y elementos que
a) Almacenar los materiales combustibles o requieran proteccin especial, para reducir el
peligrosos a una distancia prudente de las reas riesgo de visualizacin de la informacin de
protegidas. personas no autorizadas.
c) Establecer directrices para no comer, beber y 5.10. Mantenimiento de los equipos

fumar en las cercanas de las reas de
procesamiento de informacin (*). a) Brindar mantenimientos peridicos a los equipos
y dispositivos, de acuerdo a las especificaciones y
d) Monitorear las condiciones ambientales de recomendaciones del proveedor.
temperatura y humedad.
b) Realizar el mantenimiento de los equipos
e) Tener proteccin contra descargas elctricas en nicamente con personal calificado y autorizado.
todas las edificaciones de la institucin y disponer
de filtros protectores en el suministro de energa y c) Conservar los registros de los mantenimientos
en las lneas de comunicacin. preventivos, correctivos y fallas relevantes o
sospechosas.
f) Disponer de mtodos especiales de proteccin d) Establecer controles apropiados para realizar
para equipos en ambientes industriales. mantenimientos programados y emergentes.
5.8. Servicios de suministro e) Gestionar mantenimientos planificados con hora

de inicio, fin, impacto y responsables y poner
a) Implementar y documentar los servicios de previamente en conocimiento de administradores
electricidad, agua, calefaccin, ventilacin y aire y usuarios finales.
acondicionado, suministrados a la institucin.
5.11. Seguridad de los equipos fuera de las instalaciones
b) Inspeccionar regularmente todos los sistemas de
suministro. a) Custodiar los equipos y medios que se encuentren
fuera de las instalaciones de la institucin. Tomar
c) Tener un sistema de suministro de energa sin en cuenta las instrucciones del fabricante para la
interrupcin (UPS) o al menos permitir el proteccin de los equipos que se encuentran fuera
cierre/apagado ordenado de los servicios y de estas instalaciones.
equipos que soportan las operaciones crticas de
los servicios informticos de la institucin (*). b) Disponer de controles para el trabajo que se
realiza en equipos fuera de las instalaciones,
mediante una evaluacin de riesgos.
d) Tener al alcance el suministro de combustible
para que el grupo electrgeno pueda funcionar
c) Establecer una cobertura adecuada del seguro,
mientras dure la suspensin del suministro
para proteger los equipos que se encuentran fuera
elctrico pblico.
de las instalaciones.
e) Disponer de los interruptores de emergencia cerca 5.12. Seguridad en la reutilizacin o eliminacin de los
de las salidas, para suspender el paso de energa equipos
elctrica, en caso de un incidente o problema.
a) Destruir, borrar o sobrescribir los dispositivos que
5.9. Seguridad del cableado contienen informacin sensible utilizando tcnicas
que permitan la no recuperacin de la informacin
a) Disponer de lneas de fuerza (energa) y de original.
telecomunicaciones subterrneas protegidas, en
cuanto sea posible. b) Evaluar los dispositivos deteriorados que
contengan informacin sensible antes de enviar a
b) Proteger el cableado de la red contra la reparacin, borrar la informacin o determinar si
interceptacin o dao. se debera eliminar fsicamente el dispositivo.
5.13. Retiro de activos de la propiedad

c) Separar los cables de energa de los cables de
comunicaciones.
a) Tener autorizacin previa para el retiro de
cualquier equipo, informacin o software.
d) Identificar y rotular los cables de acuerdo a
normas locales o internacionales para evitar b) Identificar a los empleados, contratistas y usuarios
errores en el manejo. de terceras partes, que tienen la autorizacin para
el retiro de activos de la institucin.
e) Disponer de documentacin, diseos/planos y la
distribucin de conexiones de: datos c) Establecer lmites de tiempo para el retiro de
almbricas/inalmbricas (locales y remotas), voz, equipos y verificar el cumplimiento en el
elctricas polarizadas, etc. (*). momento de la devolucin.
f) Controlar el acceso a los mdulos de cableado de d) Registrar cuando el equipo o activo sea retirado y
conexin (patch panel) y cuartos de cableado. cuando sea devuelto.
6. GESTIN DE COMUNICACIONES Y 6.3. Distribucin de funciones

OPERACIONES
a) Distribuir las funciones y las reas de
6.1. Documentacin de los procedimientos de responsabilidad, para reducir oportunidades de
Operacin modificaciones no autorizadas, no intencionales, o
el uso inadecuado de los activos de la institucin.
a) Documentar el procesamiento y manejo de la
informacin. b) Limitar el acceso a modificar o utilizar los
activos sin su respectiva autorizacin.
b) Documentar el proceso de respaldo y restauracin
de la informacin. c) Establecer controles de monitoreo de actividades,
registros de auditora y supervisin por parte de la
c) Documentar todos los procesos de los servicios de direccin.
procesamiento de datos, incluyendo la
interrelacin con otros sistemas. 6.4. Separacin de las instancias de Desarrollo,
Pruebas, Capacitacin y Produccin.
d) Documentar las instrucciones para el manejo de
errores y otras condiciones excepcionales que a) Definir y documentar diferentes entornos para
pueden surgir durante la ejecucin de las tareas. desarrollo, pruebas, capacitacin y produccin.
Para el caso que no se pueda definir diferentes
e) Documentar los contactos de soporte, necesarios entornos con recursos fsicos independientes, se
en caso de incidentes (*). debe mantener diferentes directorios con su
respectiva versin y delegacin de acceso.
f) Documentar las instrucciones para el manejo de
medios e informes especiales, incluyendo b) Aislar los ambientes de desarrollo, pruebas,
procedimientos para la eliminacin segura de capacitacin y produccin.
informes de tareas fallidas.
c) Controlar la instalacin y uso de herramientas de
g) Documentar los procedimientos para reinicio y desarrollo de software y/o acceso a bases de datos
recuperacin del sistema en caso de fallas. y redes en los equipos informticos, salvo que
sean parte de las herramientas de uso estndar o
h) Documentar los registros de auditora y de la su instalacin sea autorizada de acuerdo a un
informacin de registro del sistema. procedimiento expresamente definido.
d) Implantar ambientes de prueba, iguales en

6.2. Gestin del Cambio
capacidad, a los ambientes de produccin.
a) Identificar y registrar los cambios significativos. e) Utilizar sistemas de autenticacin y autorizacin

independientes para las diversas instancias o
b) Evaluar el impacto de dichos cambios. ambientes.
c) Aprobar de manera formal los cambios f) Definir perfiles de usuario para las diferentes
propuestos. instancias o ambientes.
d) Planificar el proceso de cambio. g) Aislar los datos sensibles de los ambientes de

desarrollo, pruebas y capacitacin
e) Realizar pruebas del cambio.
h) Permitir al personal de desarrollo de software el
acceso al entorno de produccin, nicamente en
f) Comunicar el detalle de cambios a todas las caso de extrema necesidad, con la autorizacin
personas involucradas. explcita correspondiente.
g) Identificar responsabilidades por la cancelacin de 6.5. Presentacin del Servicio.

los cambios fallidos y la recuperacin respecto de
los mismos. a) Establecer controles sobre definiciones del
servicio y niveles de prestacin del servicio, para
h) Establecer responsables y procedimientos que sean implementados, mantenidos y operados
formales del control de cambios en los equipos y por terceros.
software. Los cambios deben efectuarse
nicamente cuando haya razn vlida para el b) Establecer controles de cumplimiento de terceros,
negocio, como: cambio de versin, correccin de que garanticen la capacidad de servicio, planes
vulnerabilidades, costos, licenciamiento, nuevo ejecutables y diseos para la continuidad del
hardware, etc. negocio, en caso de desastres.
6.6. Monitoreo y revisin de los servicios, por terceros. e) Asegurar que la instalacin del nuevo sistema no
afecte negativamente los sistemas existentes,
a) Identificar los sistemas sensibles o crticos que especialmente en perodos pico de procesamiento.
convenga tener dentro o fuera de la institucin.
f) Considerar el efecto que tiene el nuevo sistema en
b) Monitorear los niveles de desempeo de los la seguridad global de la institucin.
servicios para verificar el cumplimiento de los
acuerdos (*). g) Capacitar sobre el funcionamiento y utilizacin
del nuevo sistema.
c) Analizar los reportes de servicios, reportes de
incidentes elaborados por terceros y acordar h) Para nuevos desarrollos, se debe involucrar a los
reuniones peridicas segn los acuerdos (*). usuarios y a todas las reas relacionadas, en todas
las fases del proceso, para garantizar la eficacia
operativa del sistema propuesto.
d) Revisar y verificar los registros y pruebas de
auditora de terceros, con respecto a eventos de 6.10. Controles contra cdigo malicioso.
seguridad, problemas de operacin, fallas
relacionados con el servicio prestado (*). a) Prohibir el uso de software no autorizado por la
institucin. Elaborar un listado del software
6.7. Gestin de los cambios en los servicios ofrecidos autorizado. (*).
por terceros.
b) Establecer procedimientos para evitar riesgos en
a) Establecer un proceso de gestin de cambios en la obtencin/descarga de archivos y software
los servicios ofrecidos por terceros, en el desde o a travs de redes externas o por cualquier
desarrollo de aplicaciones, provisin de servicios otro medio.
de hardware, software, redes, otros.
c) Instalar y actualizar peridicamente software de
b) Coordinar el proceso de cambio cuando se antivirus y contra cdigo malicioso (*).
necesita realizar cambios o mejoras a las redes y
uso de nuevas tecnologas en los servicios d) Mantener los sistemas operativos y sistemas de
ofrecidos por terceros. procesamiento de informacin actualizados con
las ltimas versiones de seguridad disponibles (*).
c) Coordinar el proceso de cambio cuando se realice
cambio de proveedores, cambio de ubicacin e) Revisar peridicamente el contenido de software
fsica en los servicios ofrecidos por terceros. y datos de los equipos de procesamiento que
sustentan procesos crticos de la institucin.
6.8. Gestin de la capacidad
f) Verificar antes de su uso, la presencia de virus en
a) Realizar proyecciones de los requerimientos de archivos de medios electrnicos o en archivos
capacidad futura de recursos para asegurar el recibidos a travs de redes no confiables.
desempeo de los servicios y sistemas
informticos (*). g) Redactar procedimientos para verificar toda la
informacin relativa a software malicioso.
b) Monitorear los recursos asignados para garantizar
la capacidad y rendimiento de los servicios y h) Emitir boletines informativos de alerta con
sistemas informticos. informacin precisa.
i) Concienciar al personal acerca del problema de

c) Utilizar la informacin del monitoreo para la
los virus y cmo proceder frente a los mismos.
adquisicin, asignacin de recursos y evitar
cuellos de botella.
j) Contratar con el proveedor de Internet o del canal
de datos los servicios de filtrado de: virus, spam,
6.9. Aceptacin del Sistema.
programas maliciosos (malware), en el permetro
externo.
a) Verificar el desempeo y los requerimientos de
cmputo necesarios para los nuevos sistemas.
6.11. Controles contra cdigos mviles
b) Considerar procedimientos de recuperacin y a) Aislar de forma lgica los dispositivos mviles en
planes de contingencia. forma similar a lo que ocurre con las VLANs.
c) Poner a prueba procedimientos operativos de b) Bloquear cdigos mviles no autorizados.

rutina segn normas definidas para el sistema.
c) Gestionar el cdigo mvil mediante
d) Garantizar la implementacin de un conjunto de procedimientos de auditora y medidas tcnicas
controles de seguridad acordados. disponibles.
d) Establecer controles criptogrficos para autenticar e) Disponer de un esquema de red de los enlaces de
de forma nica el cdigo mvil. datos, Internet y redes locales, as como la
documentacin respectiva.
6.12. Respaldo de la informacin.
6.14. Seguridad de los servicios de la red.
a) Los responsables del rea de Tecnologas de la
Informacin, Oficial de Seguridad de la a) Incorporar tecnologa para la seguridad de los
Informacin junto con el propietario de la servicios de red como la autenticacin,
informacin, determinarn los procedimientos encriptacin y controles de conexin de red (*).
para el resguardo y contencin de la informacin
(*).
b) Implementar soluciones que proporcionen valor
agregado a las conexiones y servicios de red,
b) Definir el procedimiento de etiquetado de las
como la implementacin de firewalls, antivirus,
copias de respaldo, identificando su contenido,
etc. (*)
periodicidad y retencin (*).
c) Definir la extensin (completo/diferencial) y la c) Definir procedimientos para la utilizacin de los

frecuencia de los respaldos, de acuerdo a los servicios de red para restringir el acceso a los
requisitos del negocio de la institucin (*). servicios de red cuando sea necesario.
d) Establecer procedimientos de los medios de 6.15. Gestin de los medios removibles.

respaldo, una vez concluida su vida til
recomendada por el proveedor y la destruccin de a) Establecer un procedimiento para la gestin de
estos medios. todos los medios removibles.
e) Guardar los respaldos en un sitio lejano, a una

b) Tener autorizacin para la conexin de los medios
distancia suficiente para evitar cualquier dao
removibles y registrar la conexin y retiro, para
debido a desastres en la sede principal de la
pruebas de auditora.
institucin.
f) Proporcionar un grado apropiado de proteccin c) Almacenar los medios removibles en un ambiente

fsica y ambiental. seguro, segn las especificaciones de los
fabricantes.
g) Establecer procedimientos regulares de
verificacin y restauracin de los medios de d) Evitar la prdida de informacin por deterioro de
respaldo para garantizar sean confiables para uso los medios.
de emergencia.
6.16. Eliminacin de los medios
h) Proteger la informacin confidencial por medio
de encriptacin. a) Identificar los medios que requieran eliminacin
segura.
i) Considerar los respaldos a discos y en el mismo
sitio si se tiene suficientes recursos, ya que en b) Almacenar y eliminar de forma segura los medios
caso de mantenimientos de los sistemas de que contienen informacin sensible, como la
informacin, es ms rpida su recuperacin. incineracin, trituracin o borrado de los datos.
6.13. Controles de las redes.
c) Establecer procedimientos para seleccin del
contratista que ofrece servicios de recoleccin y
a) Separar el rea de redes del rea de operaciones,
eliminacin del papel, equipos y medios.
cuando la capacidad y recursos lo permitan.
b) Designar procedimientos y responsabilidades para d) Registrar la eliminacin de los medios para

la gestin de equipos remotos como el caso de re- mantener pruebas de auditora.
direccionamiento de puertos y accesos por VPNs,
incluyendo el rea de operaciones y el rea de 6.17. Procedimientos para el manejo de la informacin
usuarios finales.
a) Establecer procedimientos para el manejo y
c) Establecer controles especiales para salvaguardar etiquetado de todos los medios de acuerdo a su
la confidencialidad y la integridad de los datos nivel de clasificacin.
que pasan por las redes pblicas, redes locales e
inalmbricas; as como la disponibilidad de las b) Establecer controles de acceso para evitar el
redes. acceso de personal no autorizado.
d) Garantizar la aplicacin de los controles mediante c) Tener un registro actualizado de los receptores de
actividades de supervisin. los medios.
d) Establecer controles de proteccin segn el nivel 6.20. Acuerdos para el intercambio

de sensibilidad de los datos que reside en la
memoria temporal. a) Definir procedimientos y responsabilidades para
el control y notificacin de transmisiones, envos
e) Almacenar los medios segn especificaciones del y recepciones.
fabricante.
b) Establecer procedimientos para garantizar la
6.18. Seguridad de la documentacin del sistema. trazabilidad y el no repudio.
a) Guardar con seguridad toda la documentacin de c) Definir normas tcnicas para el empaquetado y
los sistemas informticos. transmisin.
d) Definir pautas para la identificacin del prestador

b) Mantener una lista de acceso mnima a la
de servicio de correo.
documentacin del sistema y con su debida
autorizacin.
e) Establecer responsabilidades y obligaciones en
caso de prdida de datos.
c) Mantener una proteccin adecuada de la
documentacin del sistema expuesta en la red
f) Utilizar un sistema para rotulado de la
pblica.
informacin clasificada.
6.19. Polticas y procedimientos para el intercambio de g) Conocer los trminos y condiciones de las
informacin. licencias de software privativo o suscripciones de
software de cdigo abierto bajo las cuales se
a) Establecer procedimientos para proteger la utiliza el software.
informacin intercambiada contra la interpretacin,
copiado, modificacin, enrutamiento y destruccin. h) Conocer sobre la propiedad de la informacin y
las condiciones de uso.
b) Definir procedimientos para deteccin y proteccin
contra programas maliciosos, cuando se utilizan i) Definir procedimientos tcnicos para la grabacin
comunicaciones electrnicas. y lectura de la informacin y del software en el
intercambio de informacin.
c) Proteger la informacin sensible que se encuentra
en forma de adjunto. 6.21. Medios fsicos en trnsito
d) Establecer directrices para el uso de los servicios de a) Utilizar transporte confiable o servicios de
comunicacin electrnica. mensajera.
e) Definir procedimientos para el uso de las redes b) Establecer una lista de mensajera aprobada por la
inalmbricas en base a los riesgos involucrados. direccin
f) Establecer responsabilidades de empleados, c) Definir procedimientos para identificar los

contratistas y cualquier otro usuario de no servicios de mensajera.
comprometer a la institucin con un mal uso de la
informacin. d) Embalar de forma segura medios o informacin
enviada a travs de servicios de mensajera,
g) Establecer controles por medio de tcnicas siguiendo las especificaciones del proveedor o del
criptogrficas. fabricante.
h) Definir directrices de retencin y eliminacin de la e) Adoptar controles especiales cuando sea necesario
correspondencia incluyendo mensajes, segn la proteger informacin sensible, su divulgacin y
normativa legal local. modificacin.
i) No dejar informacin sensible en copiadoras, 6.22. Mensajera electrnica

impresoras, fax, contestadores, etc.
a) Establecer lineamientos para proteger los
j) No revelar informacin sensible al momento de mensajes contra los accesos no autorizados,
tener una conversacin telefnica o mantener modificacin o denegacin de los servicios.
conversaciones sin tomar los controles necesarios.
b) Supervisar que la direccin y el transporte de
k) No dejar datos demogrficos al alcance de cualquier mensajes sean correctos.
persona, como los correos electrnicos, ya que se
puede hacer uso de ingeniera social para obtener c) Tomar en cuenta consideraciones legales como la
ms informacin. de firmas electrnicas.
d) Encriptar los contenidos y/o informacin sensibles e) Establecer procedimientos para que las
que puedan enviarse por mensajera electrnica; transacciones se encuentren fuera del entorno de
utilizando firmas electrnicas reconocidas por el acceso pblico.
Estado Ecuatoriano u otras tecnologas evaluadas
y aprobadas por la entidad o el Gobierno f) Utilizar los servicios de una entidad certificadora
Nacional. confiable.
e) Monitorear los mensajes de acuerdo al 6.25. Informacin disponible al pblico.

procedimiento que establezca la institucin.
a) Establecer controles para que la informacin
disponible al pblico se encuentre conforme a la
6.23. Sistemas de informacin del negocio.
normativa vigente.
a) Proteger o tener en cuenta las vulnerabilidades
b) Definir controles para que la informacin de
conocidas en los sistemas administrativos,
entrada sea procesada completamente y de forma
financieros, y dems sistemas informticos donde
oportuna.
la informacin es compartida.
c) Establecer procedimientos para que la
b) Proteger y tener en cuenta las vulnerabilidades en
informacin sensible sea protegida durante la
los sistemas de comunicacin del negocio como la
recoleccin, procesamiento y almacenamiento.
grabacin de las llamadas telefnicas.
c) Establecer polticas y controles adecuados para 6.26. Registros de auditoras.

gestionar la forma en que se comparte la
informacin. a) Identificar el nombre de usuario.
b) Registrar la fecha, hora y detalles de los eventos

d) Categorizar la informacin sensible y documentos
clave, como registro de inicio y registro de cierre.
clasificados.
c) Registrar la terminal si es posible.
e) Implementar controles de acceso a la informacin
como acceso a proyectos confidenciales.
d) Registrar los intentos aceptados y rechazados de
acceso al sistema.
f) Categorizar al personal, contratistas y usuarios
que tengan acceso a los sistemas informticos y e) Registrar los cambios de la configuracin.
los sitios desde cuales pueden acceder.
f) Registrar el uso de privilegios.
g) Identificar el estado de las cuentas de usuario.
g) Registrar el uso de las aplicaciones y sistemas.
h) Verificar la retencin y copias de respaldo de la
informacin contenida en los sistemas h) Registrar los accesos y tipos de acceso (*).
informticos.
i) Registrar las direcciones y protocolos de red (*).
i) Establecer requisitos y disposiciones para los
recursos de emergencia. j) Definir alarmas originadas por el sistema de
control de acceso(*).
6.24. Transacciones en lnea.
k) Activacin y desactivacin de los sistemas de
proteccin como antivirus y los sistemas de
a) Definir procedimientos para el uso de certificados
deteccin de intrusos (IDS) (*).
de firmas electrnicas por las partes implicadas en
la transaccin.
6.27. Monitoreo de uso del sistema.
b) Establecer procedimientos para garantizar todos
los aspectos en la transaccin como credenciales a) Registrar los accesos autorizados, incluyendo(*):
de usuario, confidencialidad de la transaccin y
privacidad de las partes. Identificacin del ID de usuario;
c) Cifrar o encriptar el canal de comunicaciones Fecha y hora de eventos clave;

entre las partes involucradas (por ejemplo,
utilizando SSL/TLS). Tipos de evento;
d) Establecer protocolos seguros en la comunicacin Archivos a los que se han tenido acceso;
de las partes involucradas por ejemplo, utilizando
SSL/TLS). Programas y utilitarios utilizados;
b) Monitorear las operaciones privilegiadas, como 6.30. Registro de fallas

(*):
a) Revisar los registros de fallas o errores del
Uso de cuentas privilegiadas; sistema (*).
b) Revisar las medidas correctivas para garantizar

Encendido y deteccin del sistema;
que no se hayan vulnerado los controles (*).
Acople y desacople de dispositivos de c) Asegurar que el registro de fallas est habilitado
entrada; (*).
c) Monitorear intentos de acceso no autorizados, 6.31 Sincronizacin de relojes

como (*):
a) Sincronizar los relojes de los sistemas de
Acciones de usuario fallidas o rechazadas; procesamiento de informacin pertinentes con una
fuente de tiempo exacta (ejemplo el tiempo
Violacin de la poltica de acceso y coordinado universal o el tiempo estndar local).
notificaciones de firewalls y gateways; En lo posible, se deber sincronizar los relojes en
base a un protocolo o servicio de tiempo de red
para mantener todos los equipos sincronizados.
Alertas de los sistemas de deteccin de
intrusos; b) Verificar y corregir cualquier variacin
significativa de los relojes sobretodo en sistemas
d) Revisar alertas o fallas del sistema, como (*): de procesamiento donde el tiempo es un factor
clave.
Alertas y/o mensajes de consola;
c) Garantizar que la marca de tiempo refleja la
Excepciones de registro del sistema; fecha/hora real considerando especificaciones
locales (por ejemplo, el horario de Galpagos o de
Alarmas de gestin de red; pases en donde existen representacion
diplomticas del pas, turistas extranjeros, entre
otros).
Alarmas del sistema de control de acceso;
d) Garantizar la configuracin correcta de los relojes
e) Revisar cambios o intentos de cambio en la para la exactitud de los registros de auditora o
configuracin y los controles de la seguridad del control de transacciones y evitar repudio de las
sistema. mismas debido a aspectos del tiempo.
6.28. Proteccin del registro de la informacin. 7. CONTROL DE ACCESO
a) Proteger de alteraciones en todos los tipos de 7.1. Poltica de control de acceso

mensaje que se registren.
a) Gestionar los accesos de los usuarios a los
b) Proteger archivos de registro que se editen o se sistemas de informacin, asegurando el acceso de
eliminen. usuarios autorizados y previniendo los accesos no
autorizados.
c) Precautelar la capacidad de almacenamiento que
excede el archivo de registro. b) Definir responsabilidades para identificar,
gestionar y mantener perfiles de los custodios de
informacin.
d) Realizar respaldos peridicos del registro del
servicio.
c) Definir claramente los autorizadores de los
permisos de acceso a la informacin.
6.29. Registros del administrador y del operador.
7.2. Registro de usuarios
a) Incluir al registro, la hora en la que ocurri el
evento (*). a) Establecer un procedimiento formal, documentado
y difundido, en el cual se evidencie
b) Incluir al registro, informacin sobre el evento detalladamente los pasos y responsables para:
(*).
Definir el administrador de accesos que debe
c) Incluir al registro, la cuenta de administrador y controlar los perfiles y roles;
operador que estuvo involucrado (*).
Gestionar el documento de requerimiento de
d) Aadir al registro, los procesos que estuvieron accesos de los usuarios tanto internos como
implicados (*). externos, que contemple: el solicitante del
requerimiento o iniciador del proceso, estructurales, esta gestin deber hacerse

validacin del requerimiento, autorizador del inmediatamente que se ejecute el cambio
requerimiento, ejecutor del requerimiento, organizacional.
forma y medio de entrega del acceso al
usuario (manteniendo confidencialidad); b) Evidenciar los cambios sobre los derechos de
acceso en archivos de log o registro de los
Crear los accesos para los usuarios, para lo sistemas, los cuales deben estar disponibles en
cual la institucin debe generar convenios de caso que se requieran.
confidencialidad y responsabilidad con el
usuario solicitante; adems, validar que el 7.6. Uso de contraseas
usuario tenga los documentos de ingreso con
Recursos Humanos (o quien haga estas a) Documentar, en el procedimiento de accesos, las
funciones) en orden y completos. responsabilidades de los usuarios tanto internos
como externos, sobre el uso de la cuenta y la
contrasea asignados (*).
Modificar los accesos de los usuarios;
b) Recomendar la generacin de contraseas con
Eliminar los accesos de los usuarios; letras maysculas, minsculas, con caracteres
especiales, difciles de descifrar, es decir, que
Suspender temporalmente los accesos de los cumplen una complejidad media y alta (*).
usuarios en caso de vacaciones, comisiones,
licencias, es decir, permisos temporales; c) Evitar contraseas en blanco o que viene por
defecto segn el sistema el fabricante del
Proporcionar accesos temporales a usuarios producto, puesto que son fcilmente descifrables;
externos o terceros de acuerdo al tiempo de su por ejemplo: admin, administrador, administrador,
permanencia y limitados segn las actividades user, usuario, entre otros (*).
para las que fueron contratados y firmar un
convenio de confidencialidad; d) Controlar el cambio peridico de contraseas de
los usuarios (*).
Mantener un registro de la gestin de accesos e) Generar y documentar revisiones peridicas de la
a aplicaciones, redes, que evidencie, fecha de gestin de usuarios incluidos los administradores
creacin, eliminacin, suspensin, activacin de tecnologa, por parte del Oficial de Seguridad
o eliminacin del acceso; al igual que de cada de la Informacin (*).
usuario, disponer de los permisos de acceso
que han sido asignados. 7.7. Equipo de usuario desatendido
7.3. Gestin de privilegios a) Implementar medidas para que, en un
determinado tiempo (ej., no mayor a 10 minutos),
a) Controlar la asignacin de privilegios a travs de si el usuario no est realizando ningn trabajo en
un proceso formal de autorizacin. el equipo, este se bloquee, y se desbloquee
nicamente si el usuario ingresa nuevamente su
b) Mantener un cuadro de identificacin de los clave (*).
usuarios y sus privilegios asociados con cada
servicio o sistema operativo, sistema de gestin de 7.8. Poltica de puesto de trabajo despejado y pantalla
base de datos y aplicaciones. limpia
c) Evidenciar documentadamente que cada activo de a) El Oficial de Seguridad de la Informacin deber

informacin tecnolgico tenga definido los gestionar actividades peridicas (una vez cada
niveles de acceso basados en perfiles y permisos, mes como mnimo) para la revisin al contenido
a fin de determinar que privilegios se deben de las pantallas de los equipos, con el fin de que
asignar segn las actividades de los usuarios y la no se encuentren iconos y accesos innecesarios, y
necesidad de la institucin y su funcin. carpetas y archivos que deben ubicarse en la
carpeta de documentos del usuario.
7.4. Gestin de contraseas para usuarios
b) Mantener bajo llave la informacin sensible (cajas
fuertes o gabinetes), en especial cuando no estn
a) Establecer un proceso formal para la asignacin y
en uso y no se encuentre personal en la oficina
cambio de contraseas (*).
(*).
7.5. Revisin de los derechos de acceso de los usuarios c) Desconectar de la red, servicio o sistema, las
computadoras personales, terminales, impresoras
a) Realizar las depuraciones respectivas de los asignadas a funciones crticas, cuando se
accesos de los usuarios, determinando un perodo encuentren desatendidas. Por ejemplo, haciendo
mximo de 30 das; en casos de presentar cambios uso de protectores de pantalla con clave (*).
d) Proteger los puntos de recepcin de correo y fax 7.12. Proteccin de los puertos de configuracin y
cuando se encuentren desatendidas. diagnstico remoto
e) Bloquear las copiadoras y disponer de un control a) Establecer un procedimiento de soporte, en el cual

de acceso especial para horario fuera de oficinas se garantice que los puertos de diagnstico y
(*). configuracin sean slo accesibles mediante un
acuerdo entre el administrador del servicio de
f) Retirar informacin sensible una vez que ha sido computador y el personal de soporte de hardware/
impresa (*). software que requiere el acceso.
g) Retirar informacin sensible, como las claves, de b) Los puertos, servicios (ej., fftp) que no se
sus escritorios y pantallas (*). requieren por necesidades de la institucin,
debern ser eliminados o deshabilitados (*).
h) Retirar los dispositivos removibles una vez que se
hayan dejado de utilizar (*).
7.13. Separacin en las redes
i) Cifrar los discos duros de los computadores
personales (escritorio, porttiles, etc.) y otros a) Realizar una evaluacin de riesgos para identificar
dispositivos que se considere necesarios, de las los segmentos de red donde se encuentren los
mximas autoridades de la institucin. activos crticos para la institucin (*).
7.9. Poltica de uso de los servicios de red b) Dividir las redes en dominios lgicos de red,
dominios de red interna, dominios de red externa
a) Levantar un registro de los servicios de red la e inalmbrica.
institucin.
c) Documentar la segregacin de red, identificando
b) Identificar por cada servicio los grupos de las direcciones IP que se encuentran en cada
usuarios que deben acceder. segmento de red.
c) Definir los perfiles y roles para cada grupo de d) Configurar la puerta de enlace (gateway) para
usuarios que tenga acceso a la red y sus servicios. filtrar el trfico entre dominios y bloquear el
acceso no autorizado.
d) Definir mecanismos de bloqueos para que sea
restringido el acceso de equipos a la red. e) Controlar los flujos de datos de red usando las
capacidades de enrutamiento/conmutacin (ej.,
7.10. Autenticacin de usuarios para conexiones listas de control de acceso).
externas
f) La separacin de las redes debe ejecutarse en base
a) Generar mecanismos para asegurar la informacin a la clasificacin de la informacin almacenada o
transmitida por los canales de conexin remota, procesada en la red, considerando que el objetivo
utilizando tcnicas como encriptacin de datos, es dar mayor proteccin a los activos de
implementacin de redes privadas virtuales informacin crticos en funcin del riesgo que
(VPN) y Servicio de Acceso Remoto (SAR) (*). stos podran presentar.
b) Realizar un mecanismo diferenciado para la g) Separar redes inalmbricas procedentes de redes

autenticacin de los usuarios que requieren internas y privadas, para evitar el acceso a
conexiones remotas, que permita llevar control de terceros y de usuarios externos a las redes
registros (logs) y que tenga limitaciones de privadas internas.
accesos en los segmentos de red.
7.11. Identificacin de los equipos en las redes 7.14. Control de conexin a las redes
a) Identificar y documentar los equipos que se a) Restringir la capacidad de conexin de los

encuentran en las redes (*). usuarios, a travs de puertas de enlace de red
(gateway) que filtren el trfico por medio de
b) Controlar que la comunicacin solo sea permitida tablas o reglas predefinidas, conforme a los
desde un equipo o lugar especfico. requerimientos de la institucin.
c) Tener documentada la identificacin de los b) Aplicar restricciones considerando:

equipos que estn permitidos, segn la red que le
corresponda. Mensajera
d) Utilizar mtodos para que la identificacin del Transferencia de archivos

equipo est en relacin a la autenticacin del
usuario. Acceso interactivo
Acceso a las aplicaciones generara sentencias de error, el sistema no indique

qu parte de los datos es correcta o incorrecta o
Horas del da y fechas de mayor carga emita mensajes propios de las caractersticas del
sistema.
c) Incorporar controles para restringir la capacidad
de conexin de los usuarios a redes compartidas i) Limitar la cantidad de intentos permitidos de
especialmente de los usuarios externos a la registro de inicio de sesin; por ejemplo, tres
institucin. intentos (*).
j) Limitar el tiempo de dilacin antes de permitir o

7.15. Control del enrutamiento en la red
rechazar ms intentos adicionales del registro de
inicio sin autorizacin especfica (*).
a) Configurar polticas de control de acceso para el
enrutamiento en la red, basndose en los
requerimientos de la institucin (*). 7.17. Identificacin y autenticacin de usuarios
Las puertas de enlace de la seguridad (gateway) a) Rastrear utilizando los identificadores de usuario
se pueden usar para validar la direccin y evidenciar las actividades de las personas
fuente/destino en los puntos de control de las responsables de administraciones crticas de la
redes internas y externas, si se emplean institucin (*).
tecnologas proxy y/o de traduccin de
direcciones de red. b) Usar como excepcin, y solo por temas de
necesidad de la institucin, identificadores de
Las instituciones que utilizan proxys y quienes usuarios para un grupo de usuarios o de trabajo
definen las listas de control de acceso (LCA), especfico, el cual debe estar definido y
deben estar conscientes de los riesgos en los documentado (*).
mecanismos empleados, a fin de que no existan
usuarios o grupos de usuarios con salida libre y c) Las actividades de usuarios regulares no deben ser
sin control, en base a las polticas de la realizadas desde cuentas privilegiadas.
institucin.
d) Evitar el uso de usuarios genricos (*).
7.16. Procedimiento de registro de inicio seguro
e) Utilizar mtodos alternos a la contrasea, como
los medios criptogrficos, las tarjetas inteligentes,
a) Autenticar usuarios autorizados, de acuerdo a la
tokens o medios biomtricos de autenticacin (*).
poltica de control de acceso de la institucin, que
deber estar documentada, definida y socializada
f) La identificacin de usuario es nica e
(*).
intransferible, por lo que, debe estar registrado y
evidenciado en la poltica de accesos que no se
b) Llevar un registro de definicin para el uso de permite el uso de una identificacin de usuario de
privilegios especiales del sistema (*). otra persona, y el responsable de toda actividad
realizada con este identificador responder a
c) Llevar un proceso de monitoreo y registro de los cualquier accin realizada con ste.
intentos exitosos y fallidos de autenticacin del
sistema, registros de alarmas cuando se violan las
7.18. Sistema de gestin de contraseas
polticas de seguridad del sistema (*).
a) Evidenciar en la poltica de accesos, la
d) Utilizar mecanismos como: uso de dominios de
responsabilidad del buen uso de la contrasea y
autenticacin, servidores de control de acceso y
que debe ser secreta e intransferible (*).
directorios (*).
b) Controlar el cambio de contrasea de los usuarios
e) Restringir el tiempo de conexin de los usuarios,
y del personal de tecnologa y de los
considerando las necesidades de la institucin (*).
administradores de tecnologa, en rangos de
tiempo y complejidad (*).
f) Controlar que no se muestren identificadores de
aplicacin ni de sistema, hasta que el proceso de
c) Forzar el cambio de contrasea en el primer
registro de inicio se haya completado
registro de acceso o inicio de sesin (*).
exitosamente (*).
g) Evitar que se desplieguen mensajes de ayuda d) Generar un procedimiento formal para la

durante el procedimiento de registro de inicio de administracin y custodia de las contraseas de
sesin. acceso de administracin e informacin crtica de
la institucin.
h) Validar la informacin de registro de inicio
nicamente al terminar todos los datos de entrada, e) Documentar el control de acceso para los usuarios
y en el caso que se presentara un error o se temporales.
f) Almacenar y transmitir las contraseas en e) Proporcionar accesos temporales para ciertas

formatos protegidos (encriptados o codificados). operaciones (por ejemplo, mediante tickets o
tokens electrnicos temporales)
7.19. Uso de las utilidades del sistema
7.22. Control de acceso a las aplicaciones y a la
a) Restringir y controlar estrictamente el uso de informacin
programas utilitarios que pueden anular los
controles de un sistema en base a las siguientes a) Controlar el acceso de usuarios a la informacin y
directrices: a las funciones del sistema de aplicacin, de
acuerdo con una poltica definida de control de
uso de procedimientos de identificacin, acceso;
autenticacin y autorizacin para programas
utilitarios; b) Suministrar proteccin contra acceso no
autorizado por un programa utilitario, software
del sistema operativo, software malicioso o
separacin de los programas utilitarios del
cualquier otro software que pueda anular o
software de aplicaciones,
desviar los controles de seguridad del sistema;
limitacin del uso de programas utilitarios a la c) Evitar poner en riesgo otros sistemas con los que
cantidad mnima viable de usuarios de se comparten los recursos de informacin.
confianza autorizados;
7.23. Restriccin de acceso a la informacin
autorizacin del uso de programas utilitarios
no estandares de la entidad; a) Controlar el acceso a las funciones de los sistemas
y aplicaciones.
limitacin del tiempo de uso de programa
utilitarios; b) Definir mecanismos de control para los derechos
de acceso de los usuarios, para lectura, escritura,
registro de todo uso de programas utilitarios; eliminacin y ejecucin de informacin.
c) Definir y documentar mecanismos de control

retiro o inhabilitacin de todas los programas para los derechos de acceso de otras aplicaciones.
utilitarios innecesarios;
d) Generar mecanismos a fin de garantizar que los
7.20. Tiempo de inactividad de la sesin datos de salida de los sistemas de aplicacin que
manejan informacin sensible slo contengan la
a) Suspender las sesiones inactivas despus de un informacin pertinente y que se enve nicamente
periodo definido de inactividad sin consideracin a terminales o sitios autorizados.
de lugar dispositivo de acceso
e) Generar revisiones peridicas de las salidas de los
b) Parametrizar el tiempo de inactividad en los sistemas de aplicacin para garantizar el retiro de
sistemas de procesamiento de informacin para la informacin redundante.
suspender y cerrar sesiones
7.24. Aislamiento de sistemas sensibles
7.21. Limitacin del tiempo de conexin
a) Identificar y documentar los sistemas sensibles y
al responsable de la aplicacin.
a) Utilizar restricciones en los tiempos de conexin
para brindar seguridad adicional para las b) Identificar y registrar los riesgos, cuando una
aplicaciones de alto riesgo. Los siguientes son aplicacin se ejecuta en un entorno compartido.
algunos ejemplos de estas restricciones:
c) Identificar y registrar aplicaciones sensibles que
b) Configurar espacios de tiempo predeterminados se encuentra compartiendo recursos.
para procesos especiales (por ejemplo,
transmisiones de datos o archivos, obtencin de d) Las aplicaciones sensibles, por su criticidad para
respaldos, mantenimientos programados, entre la institucin, debern ejecutarse en un
otros.) computador dedicado, nicamente compartir
recursos con sistemas de aplicacin confiables, o
c) Restringir los tiempos de conexin a las horas utilizar mtodos fsicos o lgicos de aislamiento.
normales de oficina, si no se requiere tiempo extra
u operaciones de horario prolongado; 7.25. Computacin y comunicaciones mviles
d) Requerir la autenticacin a intervalos a) Evitar exposicin de equipos porttiles en sitios

determinados cuando lo amerite inseguros, pblicos y de alto riesgo. (*)
b) La informacin sensible, de alta criticidad o i) Determinar procesos de monitoreo y auditora de

confidencial, debe estar en una particin la seguridad del trabajo remoto que se realice.
especfica del disco del equipo porttil, y
resguardada bajo mtodos de cifrado. j) Permitir al personal realizar trabajo remoto
empleando tecnologas de comunicaciones
c) En la poltica para uso de equipos porttiles y cuando requiere hacerlo desde un lugar fijo fuera
comunicaciones mviles de la institucin, deber de su institucin.
definir rangos de tiempo mximo que el equipo
puede permanecer sin conexin a la red de la 8. ADQUISICIN, DESARROLLO Y
institucin, a fin de que este actualice el antivirus MANTENIMIENTO DE SISTEMAS DE
y las polticas aplicadas por la institucin. INFORMACIN
d) En el proceso de respaldos de la institucin, debe 8.1. Anlisis y especificaciones de los requerimientos de
estar considerado especficamente los documentos seguridad
definidos como crticos, sensibles o
confidenciales de las diferentes reas; adems, en a) Definir los requerimientos de seguridad. Por
el proceso de respaldo del equipo porttil deber ejemplo: criptografa, control de sesiones, etc. (*).
definirse el responsable y procedimiento de
acceso a esta informacin.
b) Definir los controles apropiados, tanto
automatizados como manuales. En esta definicin
e) Dentro de la institucin el equipo porttil deber
deben participar personal del requerimiento
estar asegurado con medios fsicos, mediante el
funcional y personal tcnico que trabajarn en el
uso de candados.
sistema. Evaluar los requerimientos de seguridad
y los controles requeridos, teniendo en cuenta que
f) El personal que utiliza computadores porttiles y
stos deben ser proporcionales en costo y esfuerzo
equipos mviles, deber estar alerta de los riesgos
al valor del bien que se quiere proteger y al dao
adicionales que se originan y los controles que se
potencial que pudiera ocasionar a las actividades
debern implementar.
realizadas por falla o falta de seguridad. (*).
7.26. Trabajo remoto
c) Si se adquieren productos, los contratos con el
proveedor deben contemplar los requisitos de la
a) Las instituciones podrn autorizar la modalidad de
seguridad identificados.
trabajo remoto en circunstancias especficas,
siempre que en la institucin se apliquen las
disposiciones de seguridad y los controles d) Cuando se proporciona funcionalidad adicional y
establecidos, cumpliendo con la poltica de ello causa un riesgo de la seguridad, tal
seguridad de la informacin. funcionalidad se debe inhabilitar o cambiar.
Informacin adicional sobre los criterios para los
b) El funcionario deber observar la seguridad fsica productos de la seguridad de la tecnologa de la
de la edificacin y del entorno local existente en informacin se puede encontrar en la norma
el sitio de trabajo remoto. ISO/IEC15408 o en otras normas sobre
evaluacin y certificacin, segn sea al caso. La
c) Deber evitarse la conexin a redes inalmbricas norma ISO/IEC TR 13335-3 proporciona
que no presten la seguridad de acceso y directrices sobre el uso de procesos de gestin de
autenticacin adecuadas. riesgos para identificar los requisitos de los
controles de la seguridad.
d) No se permite el uso de equipo de propiedad
privada que no est bajo el control y monitoreo de 8.2. Validacin de datos de entrada
la institucin (*).
a) Especificar y utilizar controles que aseguren la
e) Deber definirse el trabajo que se permite realizar, validez de los datos ingresados, en el punto de
las horas laborables, la confidencialidad de la entrada de los mismos, controlando tambin
informacin que se conserva y los sistemas y parmetros de los sistemas (ej., %IVA, direccin
servicios internos para los cuales el trabajador IP del servidor).
tiene acceso autorizado.
b) Verificar los datos de entrada con controles que
f) Deber considerarse la proteccin de antivirus y permitan la negacin de ingreso de datos: duales,
reglas del Firewall (*). valores fuera de rango, caracteres no vlidos,
datos incompletos o ausentes, datos de controles
g) Debern estar documentadas las reglas y inconsistentes o no autorizados, la secuencia de
directrices sobre el acceso de familiares y los datos, formatos incorrectos, inyeccin de
visitantes al equipo y a la informacin. cdigo, etc.
h) La institucin deber observar la disposicin de c) Definir el estndar de respuesta ante errores de

una pliza de seguros para esos equipos. validacin.
d) Definir convalidaciones para probar la 8.5. Validacin de datos de salidas

credibilidad de los datos de entrada.
a) Incorporar el control de conciliacin de datos,
e) Crear un registro de las actividades implicadas en para asegurar el procesamiento de todos los
el proceso de entrada de datos. datos.
8.3. Control de procesamiento interno b) Suministrar informacin para que el lector o

sistema de procesamiento subsiguiente determine
a) Incorporar controles de validacin a fin de la exactitud, totalidad, precisin y clasificacin de
eliminar o minimizar los riesgos de fallas de la informacin.
procesamiento y/o vicios por procesos de errores.
c) Desarrollar procedimientos para responder a las
b) Utilizar controles de sesin en los sistemas. pruebas de validacin de salidas.
c) Utilizar funciones de agregar, modificar y borrar d) Crear un registro de las actividades del proceso de
para implementar los cambios en los datos. El validacin de la salida de datos.
borrado a travs de los sistemas ser siempre un
borrado lgico de los datos. e) Generar protocolos de pruebas y los casos de
pruebas para la validacin de los datos de
d) Crear registros de auditora, al insertar y salida.
actualizar datos; y, si se requiere segn el
sistema, se mantendr el registro (logs) de
consultas de datos. 8.6. Poltica sobre el uso de controles criptogrficos.
a) Identificar el nivel requerido de proteccin de

e) Incorporar en los sistemas, validaciones
datos que se almacenar en el sistema,
necesarias para prevenir la ejecucin de
considerando: el tipo, fortaleza y calidad del
programas fuera de secuencia, en orden errneo o
algoritmo de cifrado (encriptacin) requerido.
de ejecucin despus de una falla.
f) Crear el procedimiento y/o herramientas para la b) Utilizar controles criptogrficos para la proteccin
revisin peridica de los registros de auditora de claves de acceso a: sistemas, datos y servicios.
para detectar cualquier anomala en la ejecucin Las claves debern ser almacenadas de manera
de las transacciones. codificada, cifrada (encriptada) en la base de
datos y/o en archivos de parmetros.
g) Identificar, crear y utilizar programas para la
recuperacin de datos despus de fallas, con el fin c) Desarrollar procedimientos de administracin de
de garantizar el procesamiento correcto de los claves, de recuperacin de informacin cifrada en
datos. caso de prdida, de compromiso o dao de las
claves y de reemplazo de claves de cifrado.
h) Utilizar controles para mantener integridad de
registros y archivos. d) Utilizar controles de cifrado (criptogrficos) para
la transmisin de informacin clasificada, fuera
i) Utilizar controles para proteccin contra ataques del mbito de la institucin.
por desbordamiento/exceso en el buffer.
e) Utilizar controles de cifrado (criptogrficos) para
j) Definir y ejecutar peridicamente, procedimientos la proteccin de la informacin sensible
de recuperacin de sistemas, que verifiquen la transportada por medios mviles o removibles,
ejecucin de los sistemas en caso de una falla o por dispositivos especiales, o a travs de los
desastre, esto estar a cargo del administrador medios de comunicacin.
tcnico de la aplicacin o sistema.
f) Definir las normas de controles de cifrado
k) Definir los procedimientos que aseguren el orden (criptogrficos) que se adoptarn, para la
correcto de ejecucin de los sistemas, la implementacin eficaz en toda la institucin;
finalizacin programada en caso de falla y la establecer la solucin a usar para cada proceso del
detencin de las actividades de procesamiento, negocio.
hasta que el problema sea resuelto.
g) Los responsables del rea de Tecnologas de la
8.4. Integridad del mensaje Informacin propondrn la siguiente asignacin
de funciones:
a) Cuando una aplicacin tenga previsto el envo de
mensajes que contengan informacin reservada o Implementacin de la Poltica de Controles
confidencial, se implementarn los controles
criptogrficos determinados en el punto 8.6 Administracin de claves: gestin de claves,
Poltica sobre uso de controles criptogrficos. incluyendo su generacin
h) Se debe garantizar: Proporcionar una proteccin adecuada al

equipamiento utilizado para generar,
Confidencialidad: uso de cifrado almacenar y archivar claves, considerndolo
(encriptacin) de la informacin para proteger crtico o de alto riesgo.
informacin sensible o crtica, bien sea
almacenada o transmitida Generar claves para diferentes sistemas
criptogrficos y diferentes aplicaciones.
Integridad / autenticidad: uso de firmas
electrnicas o cdigos de autenticacin de Habilitar en los sistemas, la generacin de
mensajes para proteger la autenticidad e claves en la creacin de usuarios. Se generar
integridad de informacin sensible o crtica la primera clave la cual deber
transmitida o almacenada obligatoriamente cambiar el propio usuario la
primera vez que ingresa al sistema.
No-repudio: uso de tcnicas de cifrado Generar y obtener certificados de claves
(criptogrficas) para obtener prueba de la pblicas.
ocurrencia o no ocurrencia de un evento o
accin.
Distribuir la primera clave a los usuarios,
incluyendo la forma de activar y confirmar la
i) Definir los algoritmos de cifrado (encriptacin) recepcin de la clave. Luego, a travs de un
que se utilizarn en toda la institucin, correo electrnico recibir un acceso al
dependiendo del tipo de control a aplicar, el sistema, el cual validar la entrega de la clave
propsito y el proceso del negocio. Esta y la obligatoriedad de cambiar dicha clave.
definicin debe ser peridicamente revisada y
actualizada. Almacenar las claves cifradas (encriptadas).
j) Uso de firma electrnica: Incorporar funcionalidad para cambiar o

actualizar las claves, incluyendo reglas sobre
Utilizar certificados electrnicos de Entidad cundo cambiarlas, cmo hacerlo y la forma
de Certificacin de Informacin reconocidas en que los usuarios autorizados tendrn acceso
por el Estado Ecuatoriano para la firma de a ellas.
cualquier tipo de documento, mensaje de dato,
transaccin que se procese electrnicamente o Incorporar funcionalidad para tratar las claves
para comunicaciones entre sistemas, perdidas. Bajo pedido del usuario que pierde
aplicaciones y medios fsicos. una clave se generar una nueva, la entrega
ser a travs del procedimiento definido para
Utilizar los certificados electrnicos emitidos la entrega de la primera clave.
bajo estndares por las Entidades de
Certificacin de Informacin, las cuales deben Permitir revocar las claves, incluyendo la
ser instituciones u organizaciones forma de retirarlas o desactivarlas cuando las
reconocidas, con controles y procedimientos claves se han puesto en peligro o cuando un
idneos establecidos para proporcionar el usuario se retira de la institucin.
grado requerido de confianza.
Incorporar funcionalidad para recuperar
Uso de los certificados electrnicos segn el claves prdidas o corruptas como parte de la
mbito para la cual fue generado. gestin de continuidad de los servicios
informticos.
8.7. Gestin de claves Permitir archivar claves para informacin
archivada o con copia de respaldo.
a) Proteccin de claves cifradas (criptogrficas):
Permitir la destruccin de claves que se dejen
Implementar un sistema de administracin de de utilizar.
claves cifradas (criptogrficas) para respaldar
la utilizacin por parte de la institucin, de los Registrar y auditar las actividades
dos tipos de tcnicas criptogrficas: tcnicas relacionadas con la gestin de claves.
de clave secreta (criptografa simtrica) y
tcnicas de clave pblica (criptografa b) Normas, Procedimientos y Mtodos:
asimtrica).
Redactar las normas y procedimientos
Proteger todas las claves contra modificacin necesarios para generar claves para diferentes
y destruccin, y las claves secretas y privadas sistemas criptogrficos y diferentes
sern protegidas contra copia o divulgacin no aplicaciones, incluyendo fechas de inicio y
autorizada. caducidad de vigencia de las claves.
Redactar las normas y procedimientos Instalar las modificaciones, controlando

necesarios para generar y obtener certificados previamente la recepcin de la prueba
de clave pblica de manera segura. aprobada por parte del Analista Responsable,
del rea encargada del testeo y del usuario
Redactar las normas y procedimientos para final.
distribuir las claves de forma segura a los
usuarios, incluyendo informacin sobre cmo Rechazar la implementacin en caso de
deben activarse cundo se reciban las mismas. encontrar defectos
Redactar las normas y procedimientos para e) Definir un procedimiento que establezca los pasos
almacenar claves, incluyendo la forma de a seguir para implementar las autorizaciones para
acceso a las mismas, por parte de los usuarios el paso a produccin, el informe de pruebas
autorizados. previas y el informe de paso a produccin.
Redactar las normas y procedimientos para f) Disponer del informe de paso a produccin, el
cambiar o actualizar claves, incluyendo reglas cual contendr informacin de todos los cambios
sobre cundo y cmo deben cambiarse las a realizar y el plan de contingencia.
claves.
g) Guardar o instalar nicamente los ejecutables y
Redactar las normas y procedimientos para cualquier elemento necesario para la ejecucin de
revocar claves, incluyendo cmo deben un software en el ambiente de produccin.
retirarse o desactivarse las mismas.
h) Implementar el ensayo en el ambiente de pruebas.
Redactar las normas y procedimientos para Este ambiente debe ser similar al ambiente de
archivar claves; por ejemplo, para la produccin. El ensayo ser en base al informe de
informacin archivada o resguardada. paso a produccin. Se ejecutarn todas las
acciones definidas y se realizarn pruebas sobre
capacidad de uso, seguridad, efectos en otros
Redactar las normas y procedimientos para
sistemas y facilidad para el usuario.
destruir claves.
i) Llevar un registro de auditora de las
Redactar las normas y procedimientos para actualizaciones realizadas.
registrar y auditar las actividades relativas a la
administracin de claves.
j) Retener las versiones previas del sistema, como
medida de contingencia.
8.8. Control del software operativo
k) Denegar permisos de modificacin a los
a) Definir y aplicar procesos de control de cambios desarrolladores, sobre los programas fuentes bajo
para la implementacin del software en su custodia.
produccin, a fin de minimizar el riesgo de
alteracin de los sistemas.
l) Usar un sistema de control de configuracin para
mantener el control del software instalado, as
b) Definir el proceso de paso a produccin para cada como de la documentacin del sistema.
sistema.
m) Entregar acceso fsico o lgico al ambiente
c) Ningn programador o analista de desarrollo y produccin nicamente para propsitos de
mantenimiento de aplicaciones podr acceder a soporte, cuando sea necesario y con aprobacin
los ambientes de produccin. del responsable del rea de Tecnologas de la
Informacin, esto se realizar tanto para usuarios
d) Asignar un responsable de la implantacin de internos de la direccin como para proveedores.
cambios por sistema (no podr ser personal que
pertenezca al rea de desarrollo o n) Monitorear las actividades de soporte realizadas
mantenimiento), quien tendr como funciones sobre el ambiente de produccin.
principales:
8.9. Proteccin de los datos de prueba del sistema
Coordinar la implementacin de
modificaciones o nuevos programas en el a) Identificar por cada sistema, los datos que pueden
ambiente de Produccin. ser copiados de un ambiente de produccin a un
ambiente de pruebas.
Asegurar que los aplicativos en uso, en el
ambiente de Produccin, sean los autorizados b) Efectuar pruebas de los sistemas en el ambiente
y aprobados de acuerdo a las normas y de pruebas, sobre datos extrados del ambiente de
procedimientos vigentes. produccin.
c) Solicitar autorizacin formal para realizar una 8.10. Control de acceso al cdigo fuente de los
copia de la base de datos de produccin como programas
base de datos de prueba.
a) Asignar a un Administrador de programas fuentes,
d) Personalizar los datos en el ambiente de pruebas, quien tendr en custodia los programas fuentes y
eliminando las contraseas de produccin y deber:
generando nuevas para pruebas.
Utilizar un manejador de versiones para los
e) Identificar los datos crticos que debern ser cdigo fuentes, proporcionar permisos de
modificados o eliminados del ambiente de acceso a los desarrolladores bajo
pruebas. autorizaciones.
f) Aplicar los mismos procedimientos de control de
acceso que existen en la base de produccin. Proveer al rea de Desarrollo los programas
fuentes solicitados para su modificacin,
g) Eliminar inmediatamente, una vez completadas manteniendo en todo momento la correlacin
las pruebas, la informacin de produccin programa fuente/ejecutable.
utilizada.
Llevar un registro actualizado de todos los
h) Registrar la copia y la utilizacin de la programas fuentes en uso, indicando nombre
informacin para futuras auditoras. del programa, programador, autorizador,
versin, fecha de ltima modificacin y
i) Controlar que la modificacin, actualizacin o fecha/hora de compilacin y estado (en
eliminacin de los datos operativos (de modificacin o en produccin).
produccin) sern realizados a travs de los
sistemas que procesan esos datos, y de acuerdo al
Verificar que el autorizador de la solicitud de
esquema de control de accesos implementado en
un programa fuente sea el designado para la
los mismos.
aplicacin, rechazando el pedido en caso
contrario.
j) Se considerarn como excepciones, los casos en
que se requiera realizar modificaciones
directamente sobre la base de datos. El Oficial de Registrar cada solicitud aprobada.
Seguridad de la Informacin definir los
procedimientos para la gestin de dichas Administrar las distintas versiones de una
excepciones que contemplarn lo siguiente: aplicacin.
Se generar una solicitud formal para la Asegurar que un mismo programa fuente no
realizacin de la modificacin o actualizacin sea modificado simultneamente por ms de
del dato. No se aceptar eliminacin de datos un desarrollador, sin un manejador de
bajo ninguna circunstancia. versiones.
El Propietario de la Informacin afectada y el
b) Establecer que todo programa objeto o ejecutable
Oficial de Seguridad de la Informacin
en produccin tenga un nico programa fuente
aprobarn la ejecucin del cambio evaluando
asociado que garantice su origen.
las razones por las cuales se solicita.
Se generarn cuentas de usuario de c) Establecer que el responsable de implantacin en

emergencia para ser utilizadas en la ejecucin produccin efectuar la generacin del programa
de excepciones. Las mismas sern protegidas objeto o ejecutable que estar en produccin
mediante contraseas, la cuales estarn sujetas (compilacin), a fin de garantizar tal
al procedimiento de administracin de correspondencia.
contraseas crticas y habilitadas slo ante un
requerimiento de emergencia y por el lapso d) Desarrollar un procedimiento que garantice que
que sta dure. cuando se migre a produccin el mdulo
fuente, de preferencia se cree el cdigo ejecu-
Se designar un encargado de implementar los table correspondiente de forma automtica de
cambios, el cual no ser personal del rea de preferencia.
Desarrollo. En el caso de que esta funcin no
pueda ser separada del rea de Desarrollo, se e) Evitar que la funcin de Administrador de
aplicarn controles adicionales de acuerdo a la programas fuentes, sea ejercida por personal que
separacin de funciones. pertenezca al rea de desarrollo y/o mante-
nimiento.
Se registrarn todas las actividades realizadas
con las cuentas de emergencia. Dicho registro f) Prohibir la guarda de programas fuentes histricos
ser revisado posteriormente por el Oficial de (que no sean los correspondientes a los programas
Seguridad. operativos) en el ambiente de produccin.
g) Prohibir el acceso a todo operador y/o usuario de Definir el punto de no retorno;

aplicaciones a los ambientes y a las herramientas
que permitan la generacin y/o manipulacin de Definir las condiciones para determinar la
los programas fuentes. restauracin al estado anterior.
h) Realizar las copias de respaldo de los programas c) Obtener aprobacin formal por parte del
fuentes cumpliendo los requisitos de seguridad responsable del rea de Tecnologas de la
establecidos como respaldos de informacin. Informacin para las tareas detalladas, antes de
comenzar las tareas.
i) Cuando sea posible, las bibliotecas fuente de
programas no se debern mantener en los sistemas d) Mantener un registro de los niveles de
operativos. autorizacin acordados.
e) Implementar funcionalidades para que se pueda

j) El cdigo fuente de programas y las bibliotecas
solicitar la autorizacin del propietario de la
fuente de programas se debern gestionar de
informacin (ej., informacin personal), cuando
acuerdo con los procedimientos establecidos.
se hagan cambios a sistemas de procesamiento de
la misma.
k) El personal de soporte no debe tener acceso al
cdigo fuente de programas. f) Notificar a los usuarios del sistema sobre el
cambio a realizar. Se enviar una notificacin
l) La actualizacin del cdigo fuente de programas y para informar sobre el tiempo que durar la
de los elementos asociados, as como la emisin ejecucin del cambio y para informar cuando se
de fuentes de programa a los programadores, haya terminado la ejecucin del cambio.
solamente se deber efectuar despus de recibir la
autorizacin apropiada. g) Abrir ventanas de mantenimiento con una
duracin definida, en la cual se contemple las
m) Conservar un registro para auditora de todos los acciones del cambio, pruebas y configuraciones.
accesos al cdigo fuente de programas.
h) Revisar los controles y los procedimientos de
n) El mantenimiento y el copiado del cdigo fuente integridad para garantizar que no sern
de programas debern estar sujetos a un comprometidos por los cambios.
procedimiento estricto de control de cambios.
i) Solicitar la revisin del Oficial de Seguridad de la
Informacin para garantizar que no se violen los
8.11. Procedimiento de control de cambios requerimientos de seguridad que debe cumplir el
software.
a) Verificar que los cambios sean propuestos por
usuarios autorizados y se respete los trminos y j) Efectuar las actividades relativas al cambio en el
condiciones que surjan de la licencia de uso, en ambiente de pruebas.
caso de existir.
k) Obtener la aprobacin por parte del usuario
b) Elaborar el informe de paso de pruebas a autorizado y del rea de pruebas mediante
produccin, que deber contener el detalle de los pruebas en el ambiente correspondiente.
cambios y acciones a ejecutar, tanto de software,
bases de datos y hardware: l) Actualizar la documentacin para cada cambio
implementado, tanto en los manuales de usuario
Archivos a modificar; como en la documentacin operativa.
m) Mantener un control de versiones para todas las

Script de base de datos a ejecutar en la actualizaciones de software.
secuencia correcta de ejecucin;
n) Garantizar que la implementacin se llevar a
Script de inicializacin de datos;
cabo minimizando la discontinuidad de las
actividades y sin alterar los procesos
Creacin de directorios; involucrados.
Script de creacin de tareas peridicas, en o) Definir si los cambios a realizar tienen impacto
caso de ser necesario; sobre la continuidad del servicio. Si un cambio
implica mucha funcionalidad o impacto al
Plan de contingencia; software base o infraestructura, se deber realizar
un procedimiento ms complejo de cambio, para
Protocolo de pruebas de verificacin el que se apruebe con un plan de contingencia y se
cambio; identifiquen los riesgos posibles.
8.12. Revisin tcnica de las aplicaciones despus de los b) Garantizar que un tercero no pueda deducir,
cambios en el sistema operativo extraer informacin de las comunicaciones,
sistemas de modulacin o de enmascaramiento, a
a) Revisar los procedimientos de integridad y control partir de un comportamiento especfico.
de aplicaciones para garantizar que no hayan sido
comprometidas por el cambio. c) Adquirir o desarrollar programas acreditados o
productos ya evaluados.
b) Garantizar que los cambios en el sistema
operativo sean informados con anterioridad a la d) Realizar un monitoreo regular de las actividades
implementacin. del personal y del sistema.
c) Probar que los cambios realizados retornen la e) Realizar un monitoreo del uso de los recursos en
funcionalidad esperada. los sistemas de computador y transmisin de
datos por la red.
d) Realizar las pruebas inmediatamente despus de
realizar el cambio y durante la ventana de
f) Restringir el envo de informacin a correos
mantenimiento definida para el cambio.
externos no institucionales.
e) Disponer de un protocolo de pruebas a realizar.
g) Prevenir y restringir el acceso no autorizado a la
red.
f) Entregar un informe de las pruebas realizadas.
g) Identificar si existen problemas con los cambios, h) Examinar los cdigos fuentes (cuando sea
para aplicar el plan de contingencia o realizar el posible) antes de utilizar los programas.
retorno al estado anterior al cambio.
i) Controlar el acceso y las modificaciones al cdigo
8.13. Restriccin del cambio de paquetes de software instalado.
a) Disponer de la autorizacin del Responsable del j) Utilizar herramientas para la proteccin contra la
rea de Tecnologas de la Informacin que infeccin del software con cdigo malicioso.
apruebe el cambio.
8.15. Desarrollo de software contratado externamente
b) Analizar los trminos y condiciones de la licencia,
si es del caso, a fin de determinar si las a) Definir acuerdos de licencias, acuerdos de uso,
modificaciones se encuentran autorizadas. propiedad de cdigo y derechos conferidos.
c) Determinar la conveniencia de que la b) Definir los requerimientos contractuales con

modificacin sea efectuada por la institucin, por respecto a la calidad del cdigo y la existencia de
el proveedor o por un tercero, y evaluar el garantas.
impacto.
c) Definir procedimientos de certificacin de la
d) Retener el software original realizando los calidad y precisin del trabajo llevado a cabo por
cambios sobre una copia perfectamente el proveedor, que incluyan auditoras, revisin de
identificada, documentando exhaustivamente por cdigo para detectar cdigo malicioso,
si fuera necesario aplicarlo a nuevas versiones. verificacin del cumplimiento de los
requerimientos de seguridad del software
e) Conservar el software original que se va ha establecidos, etc.
cambiar y los cambios se debern aplicar a una
copia claramente identificada. d) Verificar el cumplimiento de las condiciones de
seguridad requeridas.
f) Definir un proceso de gestin de las
actualizaciones del software para asegurarse de e) Definir acuerdos de custodia de los fuentes del
que los parches ms actualizados aprobados y las software o convenios de fideicomiso (y cualquier
actualizaciones de las aplicaciones estn otra informacin requerida) en caso de quiebra de
instalados en todo el software autorizado. la tercera parte.
g) Probar y documentar en su totalidad todos los f) Realizar pruebas antes de la instalacin para
cambios, de manera que se puedan volver a detectar cdigos troyanos o maliciosos.
aplicar, si es necesario, para mejoras futuras del
software. 8.16. Control de las vulnerabilidades tcnicas
8.14. Fuga de informacin a) Disponer de un inventario completo y actual de

los activos de software. El inventario servir para
a) Explorar los medios y comunicaciones de salida dar soporte a la gestin de la vulnerabilidad
para determinar la informacin oculta. tcnica e incluye los siguientes datos: vendedor
del software, nmeros de versin, estado actual de n) Conservar un registro para auditora de todos los
despliegue y las personas de la institucin procedimientos efectuados.
responsables del software.
o) Monitorear y evaluar a intervalos regulares las
b) Definir e instaurar las funciones y vulnerabilidades tcnicas, para garantizar eficacia
responsabilidades asociadas con la gestin de la y eficiencia.
vulnerabilidad tcnica, incluyendo el monitoreo
de la vulnerabilidad, la evaluacin de riesgos de p) Tratar primero los sistemas con alto riesgo.
la vulnerabilidad, el uso de parches, el rastreo de
activos y todas las responsabilidades de 9. GESTIN DE LOS INCIDENTES DE LA
coordinacin requeridas. SEGURIDAD DE LA INFORMACIN
c) Identificar los recursos de informacin que se van 9.1. Reporte sobre los eventos de seguridad de la
a utilizar para identificar las vulnerabilidades informacin
tcnicas pertinentes y para mantener la
concienciacin sobre ellas para el software y otras a) Instaurar un procedimiento formal para el reporte
tecnologas, con base en la lista de inventario de de los eventos de seguridad de la informacin
activos. junto con un procedimiento de escalada y
respuesta ante el incidente, que establezca la
d) Actualizar los recursos de informacin en funcin accin que se ha de tomar al recibir el reporte
de los cambios en el inventario o cuando se sobre un evento que amenace la seguridad de la
encuentren recursos nuevos o tiles. informacin (*).
e) Definir una lnea de tiempo para reaccionar ante b) Establecer un punto de contacto (Oficial de
la notificacin de vulnerabilidades tcnicas Seguridad de la Informacin) para el reporte de
potenciales pertinentes. los eventos de seguridad de la informacin. Es
conveniente garantizar que este punto de contacto
f) Identificar los riesgos asociados a una sea conocido en toda la institucin, siempre est
vulnerabilidad potencial y las acciones que se han disponible y puede suministrar respuesta oportuna
de tomar; tales acciones podran involucrar el uso y adecuada. Todos los empleados, contratistas y
de parches en los sistemas vulnerables y/o la usuarios contratados por los proveedores debern
aplicacin de otros controles. tener conciencia de su responsabilidad para
reportar todos los eventos de seguridad de la
g) Definir la urgencia y las acciones a tomar para informacin lo ms pronto posible.
tratar la vulnerabilidad tcnica identificada, se
realizar conforme a los controles relacionados c) Cuando un incidente se produzca, el funcionario
con la gestin de cambios o siguiendo los en turno responsable del equipo o sistema
procedimientos de respuesta ante incidentes de afectado, debe realizar las siguientes acciones en
seguridad de la informacin. su orden (*):
h) Evaluar los riesgos asociados con la instalacin de Identificar el incidente

un parche para cubrir vulnerabilidades. Los
riesgos impuestos por la vulnerabilidad se Registrar el incidente en una bitcora de
debern comparar con los riesgos de instalar el incidentes (reporte de eventos) incluyendo
parche. fecha, hora, nombres y apellidos del
funcionario en turno, departamento o rea
i) Probar y evaluar los parches antes de su afectada, equipo o sistema afectado y breve
instalacin para garantizar que son eficaces y no descripcin del incidente.
producen efectos secundarios intolerables. Estas
pruebas se realizarn en un ambiente similar al de Notificar al Oficial de Seguridad de la
produccin. Informacin de la institucin.
j) Apagar los servicios o capacidades relacionadas Clasificar el incidente de acuerdo al tipo de

con la vulnerabilidad. servicio afectado y al nivel de severidad.
k) Adaptar o agregar controles de acceso; por Asignar una prioridad de atencin al incidente
ejemplo, cortafuegos (firewalls), en las fronteras en el caso de que se produjeran varios en
de la red. forma simultanea.
l) Aumentar el monitoreo para detectar o prevenir Realizar un diagnstico inicial, determinando

los ataques reales. mensajes de error producidos, identificando
los eventos ejecutados antes de que el
m) Crear conciencia en los desarrolladores sobre la incidente ocurra, recreando el incidente para
vulnerabilidad. identificar sus posibles causas.
Escalar el incidente en el caso que el servicio y tambin podra causar dao al

funcionario en turno no pueda solucionarlo, el sistema o servicio de informacin y
escalamiento deber ser registrado en la eventualmente podra recaer en una
bitcora de escalamiento de incidentes. El responsabilidad legal.
funcionario en turno debe escalar el incidente
a su jefe inmediato, en el caso en el que el El Oficial de Seguridad de la Informacin
funcionario no tuviere un jefe al cual deber tomar las medidas pertinentes para
escalarlo, este debe solicitar soporte al prevenir o eliminar la vulnerabilidad o
proveedor del equipo o sistema afectado. debilidad detectada.
Investigar y diagnosticar en forma definitiva 9.3. Responsabilidades y procedimientos

las causas por las cuales se produjo el
incidente. a) Adems de la bitcora de registro de incidentes y
el reporte de vulnerabilidades de la seguridad de
la informacin, el monitoreo de los sistemas, las
Resolver y restaurar el servicio afectado por el
alertas y las vulnerabilidades, se debera
incidente debido a la para de un equipo o un
establecer y ejecutar un procedimiento para la
sistema, incluyendo un registro de la solucin
gestin de incidentes.
empleada en la bitcora de incidentes.
b) Identificar y clasificar los diferentes tipos de
Cerrar el incidente, actualizando el estado del incidentes de seguridad de la informacin.
registro del incidente en la bitcora de
incidentes a Resuelto. Confirmar con el c) Identificar y analizar las posibles causas de un
funcionario en turno, responsable del equipo o incidente producido.
del sistema de que el incidente ha sido
resuelto. d) Planificar e implementar acciones correctivas para
evitar la recurrencia del incidente
9.2. Reporte sobre las debilidades en la seguridad
e) Notificar a todos los funcionarios afectados por el
a) Todos los empleados, contratistas y usuarios de incidente de la restauracin del equipo, sistema o
terceras partes debern informar sobre estos servicio afectado, una vez est solucionado el
asuntos a su director o directamente a su incidente.
proveedor de servicio, tan pronto sea posible para
evitar los incidentes de seguridad de la f) El Oficial de Seguridad de la Informacin, emitir
informacin. Los mecanismos de reporte debern un reporte a los jefes de las reas afectadas por el
ser fciles, accesibles y disponibles. Se les debe incidente.
informar a ellos que, en ninguna circunstancia,
debern intentar probar una debilidad sospechada. g) Recolectar y asegurar pistas de auditora y toda la
evidencia relacionada con el incidente.
b) Cuando un empleado, contratista o usuario
contratado por un proveedor detecte una 9.4. Aprendizaje debido a los incidentes de seguridad
vulnerabilidad o debilidad en un equipo, sistema o de la informacin
servicio deber ejecutar las siguientes acciones:
a) La informacin que se obtiene de la evaluacin de
los incidentes de seguridad de la informacin se
Notificar a su jefe inmediato y este al Oficial debe utilizar para identificar los incidentes
de Seguridad de la Informacin de la recurrentes o de alto impacto.
debilidad o vulnerabilidad detectada.
b) Determinar el nmero de incidentes por tipo, el
Registrar la fecha, hora, apellidos y nombres nmero de incidentes graves, el tiempo medio de
del funcionario que detect la debilidad o resolucin de incidentes.
vulnerabilidad, descripcin de la debilidad,
descripcin de posibles incidentes de c) Determinar el costo promedio por incidente.
seguridad que pudieran ocurrir producto de
esta debilidad. El responsable de llevar este d) Determinar el nmero de incidentes recurrentes.
reporte denominado Reporte de
vulnerabilidades o debilidades de la seguridad e) Determinar la frecuencia de un incidente
de la informacin es el Oficial de Seguridad recurrente.
de la Informacin.
9.5. Recoleccin de evidencias
Nunca, por razn alguna, deber intentar
probar la debilidad o vulnerabilidad detectada a) Desarrollar y cumplir procedimientos internos
en la seguridad. El ensayo de las cuando se recolecta y se presenta evidencia con
vulnerabilidades se podra interpretar como un propsitos de accin disciplinaria dentro de la
posible uso inadecuado del sistema, equipo o institucin.
b) Asegurar que los sistemas de informacin OBJETIVOS: que se satisfacen con la

cumplan con las normas legales para la aplicacin de la poltica, como se garantizar
produccin de evidencia, para lograr la continuidad de las actividades y de los
admisibilidad, calidad y cabalidad de la misma. servicios, planes adicionales de contingencia.
c) Para lograr el peso de la evidencia, se debe ALCANCE: Procesos y operaciones que son
demostrar la calidad y cabalidad de los controles cubiertos y recursos que utilizan los procesos
empleados para proteger correcta y u operaciones
consistentemente la evidencia (es decir, evidencia
del control del proceso) en todo el periodo en el RESPONSABILIDADES: Diferentes respon-
cual la evidencia por recuperar se almacen y sables implicados en la gestin de la
proces, mediante un rastreo slido de la continuidad de los servicios informticos
evidencia. En general, dicho rastreo slido se
puede establecer en las siguientes condiciones: d) Garantizar la continuidad incorporando los
procesos generados en la estructura de la
Se debern tomar duplicados o copias de institucin.
todos los medios removibles, la informacin
en los discos duros o la memoria para
10.2. Continuidad del negocio y evaluacin de riesgos
garantizar la disponibilidad; es conveniente
conservar el registro de todas las acciones
a) Definir los procesos y actividades de los servicios
durante el proceso de copiado y dicho proceso
y aplicaciones,
debera tener testigos; y, el medio y el registro
originales se debern conservar intactos y de
b) Entender las complejidades e interrelaciones
forma segura;
existentes entre equipamiento, personas, tareas,
departamentos, mecanismos de comunicacin y
Se debe proteger la integridad de todo el relaciones con proveedores externos, los cuales
material de evidencia. El proceso de copia del pueden prestar servicios crticos que deben ser
material de evidencia debe estar supervisado considerados.
por personal de confianza y se debe registrar
la informacin sobre cundo y cmo se
c) Identificar y valorar el impacto de las
realiz dicho proceso, quin ejecut las
interrupciones de los procesos, aplicaciones y
actividades de copiado y qu herramientas o
servicios de los servicios informticos, para
programas se utilizaron.
cuantificar y calificar los impactos y saber sus
efectos.
10. GESTIN DE LA CONTINUIDAD DEL
NEGOCIO d) Identificar el tiempo mximo de interrupcin
permitida para cada servicio o aplicacin crtica;
10.1. Inclusin de la seguridad de la informacin en el por ejemplo, 30 minutos, una hora o un da.
proceso de gestin de la continuidad del negocio
e) Analizar los riesgos, identificando las amenazas
a) El Responsable del rea de Tecnologas de la sobre los activos y su probabilidad de ocurrencia.
Informacin o su similar ser designado como
coordinador de continuidad de los servicios f) Analizar las vulnerabilidades asociadas a cada
informticos, que se encargar de supervisar el activo y el impacto que puedan provocar sobre la
proceso de elaboracin e implantacin del plan de disponibilidad.
continuidad, as como de la seguridad del
personal. g) Obtener un mapa de riesgos que permita
identificar y priorizar aquellos que pueden
b) Identificar los activos involucrados en los provocar una paralizacin de las actividades de la
procesos crticos de los servicios informticos, as institucin.
como de las actividades que se deben realizar.
h) Crear una estrategia de gestin de control de
c) Elaborar la poltica de continuidad de los riesgos y el plan de accin.
servicios informticos determinando los objetivos
y el alcance del plan, as como las funciones y 10.3. Desarrollo e implementacin de planes de
responsabilidades; un documento que establezca a continuidad que incluyan la seguridad de la
alto nivel los objetivos, el alcance y las informacin
responsabilidades en la gestin de la continuidad.
Por ejemplo, la plantilla del documento debera a) Definir los equipos para ejecucin del plan, donde
contener: se destacan las funciones claves que sern
realizadas por los responsables:
INTRODUCCIN: Detallando de forma
resumida de que se trata, la estructura del Responsables de respuestas a incidentes:
documento y que se persigue. analizan el impacto del incidente;
Logstica: responsable de reunir todos los lugares temporales alternos, y para devolver la
medios para ayudar a la puesta en operacin operatividad de los procesos en los plazos
de las actividades; establecidos.
Recuperacin: puesta en servicio de la h) Describir los procedimientos de reanudacin con

infraestructura. las acciones a realizar para que las operaciones de
los equipos y servicios vuelvan a la normalidad.
b) Desarrollar los procedimientos indicando el
objetivo y el alcance, considerando las i) Definir los activos y recursos necesarios para
actividades y los tiempos de recuperacin. ejecutar los procedimientos de emergencia,
respaldo y reanudacin de los servicios.
c) Difundir y capacitar al personal responsable en
los conceptos que contemplan la continuidad de j) Distribuir la poltica, estrategias, procesos y
los servicios informticos. planes generados.
d) Definir las Estrategias: 10.5. Pruebas, mantenimiento y revisin de los planes de

continuidad del negocio
Seleccionar los sitios alternos y de
almacenamiento externo; a) Evaluar la capacidad de respuesta ante desastres
verificando los tiempos de respuesta, validez de
los procedimientos y capacidad de los
Duplicado de los registros tanto fsicos como responsables. Los resultados obtenidos permitir
electrnicos; actualizar y mantener los planes establecidos.
Incorporar RAID en los discos de los b) Realizar pruebas de:

servidores;
Validez: revisar y discutir el plan;
Duplicar el suministro elctrico;
Simulacin: escenario que permitir verificar
Estrategia de reinicio de las actividades; el plan de continuidad;
Contratos de mantenimiento preventivo y Actividades crticas: pruebas en un entorno

correctivo; controlado sin poner en peligro la operacin
de los servicios informticos;
Estrategia adecuada de respaldos;
Completa: interrupcin real y aplicacin del
Seguros para los activos: plan de continuidad.
Mtodos, procedimientos y procesos para la c) Realizar auditoras tanto internas como externas,
recuperacin de los servicios. identificando el tipo y alcance de la auditora a
realizar, se entregar un plan de medidas
10.4. Estructura para la planificacin de la continuidad correctivas para llevar a cabo las recomen-
del negocio daciones acordadas.
a) Mantener los documentos de los procesos d) Ejecutar auto-evaluaciones del plan de

actualizados, utilizando la Gestin de Cambios. continuidad, estrategias y procesos generados.
b) Crear planes de respuesta a los incidentes. 11. CUMPLIMIENTO
c) Definir los calendarios de pruebas e informes. 11.1. Identificacin de la legislacin aplicable
d) Definir los acuerdos de niveles de servicios a) Inventariar todas las normas legales, estatutarias,
internos y con proveedores. reglamentarias y contractuales pertinentes para
cada programa de software, servicio informtico y
e) Definir los contratos para servicios de en general todo activo de informacin que utiliza
recuperacin, si fuera el caso. la institucin.
f) Definir las condiciones para activar los planes que b) Organizar para cada activo de informacin las
describen el proceso a seguir antes de activar cada normas legales, estatutarias, reglamentarias y
plan, as como sus responsabilidades. contractuales pertinentes.
g) Describir los procedimientos de respaldo para c) Considerar la normas y leyes ms generales

desplazar las actividades esenciales de los relacionadas a la gestin de los datos e
servicios informticos o los servicios de soporte a informacin electrnica en el gobierno. A saber:
Constitucin de la Repblica del Ecuador f) Verificar que se instale nicamente software

autorizado y con las respectivas licencias en el
Ley de Comercio Electrnico, Firmas caso de utilizar software privativo.
Electrnicas y Mensajes de Datos
g) Cumplir los trminos y condiciones de uso para el
Ley Orgnica de Transparencia y Acceso a la software y la informacin, obtenidos de la
Informacin Pblica Internet o proveedores (programas freeware,
shareware, demostraciones o programas para
Ley del Sistema Nacional de Registro de pruebas).
Datos Pblicos
h) Controlar que no se duplique, convierta en otro
Estatuto del Rgimen Jurdico Administrativo formato, ni extraiga contenidos de grabaciones de
de la Funcin Ejecutiva audio y video, si no est expresamente permitido
por su autor o la persona que tenga los derechos
Ley Orgnica y Normas de Control de la sobre el material.
Contralora General del Estado
i) Controlar que no se copie total ni parcialmente
software privativo, cdigos fuente y la
Leyes y normas de control del sistema
documentacin de programas de software con
financiero
derechos de propiedad intelectual. Se excepta los
programas de software libre bajo los trminos de
Leyes y normas de control de empresas
sus licencias pblicas.
pblicas
j) Definir y aplicar una licencia pblica general al
Ley del Sistema Nacional de Archivos
software desarrollado por la institucin o
contratado a terceros como desarrollo, para
Decreto Ejecutivo No. 1014 sobre el uso de proteger la propiedad intelectual.
Software Libre en la Administracin Pblica
k) Exigir a los funcionarios que utilicen solo
Decreto Ejecutivo No. 1384 sobre software desarrollado, provisto o aprobado por la
Interoperabilidad Gubernamental en la institucin.
Administracin Pblica
11.3. Proteccin de registros en cada entidad
Otras normas cuya materia trate sobre la
gestin de los activos de informacin en las a) Clasificar los registros electrnicos y fsicos por
entidades de la Administracin Pblica tipos, especificando los periodos de retencin y
los medios de almacenamiento, como discos,
11.2. Derechos de Propiedad Intelectual cintas, entre otros.
a) Adquirir software nicamente a proveedores b) Mantener la documentacin y especificaciones

reconocidos para garantizar que no se violen tcnicas de los algoritmos y programas utilizados
derechos de propiedad intelectual. Si el Software para el cifrado y descifrado de archivos y toda la
es Libre Opensource se considerar los trminos informacin relevante relacionada con claves,
de las licencias pblicas generales. archivos criptogrficos o firmas electrnicas, para
permitir el descifrado de los registros durante el
b) Implementar mecanismos para concienciar sobre periodo de tiempo para el cual se retienen.
las polticas para proteger derechos de propiedad
intelectual y las acciones disciplinarias para el c) Establecer un procedimiento para revisar el nivel
personal que las viole. Se aplica tanto al software de deterioro de los medios utilizados para
libre como al privativo. almacenar los registros. Los procedimientos de
almacenamiento y manipulacin se debern
c) Mantener registros apropiados de los activos de implementar segn las recomendaciones del
informacin para proteger los derechos de fabricante. Para almacenamiento a largo plazo, se
propiedad intelectual. Se aplica tanto al software recomienda considerar el uso cintas y discos
libre como al privativo. digitales utilizando formatos de archivos y datos
abiertos.
d) Custodiar evidencia de la propiedad de licencias o
suscripciones, contratos, discos maestros, d) Establecer un procedimiento para garantizar el
manuales y toda la informacin relevante del acceso a los datos e informacin registrada, tanto
software que se utiliza. el medio como el formato, durante todo el periodo
de retencin.
e) Controlar y asegurar que no se exceda el nmero
mximo de usuarios permitidos para un programa e) Establecer un procedimiento para cambiar o
de software. Se aplica tanto al software libre actualizar la tecnologa del medio en el cul se
como al privativo, donde corresponda. almacenan los activos de informacin y registros
de acuerdo a las innovaciones tecnolgicas c) Implementar mecanismos para identificar el uso

disponibles en el mercado. inadecuado de los servicios por medio de
monitoreo u otros medios
f) Los sistemas de almacenamiento de datos se
debern seleccionar de manera que los datos d) Definir y especificar en las normas internas de la
requeridos se puedan recuperar en el periodo de entidad, las acciones legales o disciplinarias
tiempo y en formatos legibles, dependiendo de los cuando se compruebe el uso no adecuado de los
requisitos que se deben cumplir. servicios de procesamiento de informacin. Se
considerar tambin lo que establece la Ley de
g) Garantizar la identificacin de los registros y el Comercio Electrnico, Firmas Electrnicas y
periodo de retencin de los mismos tal como se Mensajes de Datos y su Reglamento.
defina en normas legales ecuatorianas. Este
sistema debe permitir la destruccin adecuada de e) Definir la poltica para autorizacin de uso de los
los registros despus de este periodo, si la entidad servicios de procesamiento de informacin
no los necesita y las normas as lo especifican. aprobados, misma que debe ser suscrita por cada
funcionario en relacin de trabajo permanente o
h) Establecer y difundir en la entidad las directrices temporal, as como contratistas, asesores,
sobre retencin, almacenamiento, manipulacin y proveedores y representantes de terceras partes.
eliminacin de registros e informacin.
f) Implementar en todos los servicios de
i) Inventariar las fuentes de informacin clave. procesamiento de informacin, el mensaje de
advertencia que indique que el servicio al cual se
j) Implementar controles apropiados para proteger est ingresando es propiedad de la entidad y que
los registros contra prdida, destruccin y no se permite el acceso no autorizado. El usuario
falsificacin de la informacin. Utilizar como debe reconocer y reaccionar apropiadamente al
referencia para la gestin de los registros de la mensaje de la pantalla para continuar con el
institucin la norma ISO 15489-1 o su homloga proceso de registro de inicio. El uso de los
ecuatoriana. servicios de procesamiento de informacin de la
entidad tendrn como fin principal o exclusivo los
11.4. Proteccin de los datos y privacidad de la asuntos de la institucin y no los personales o de
informacin personal otra ndole.
a) El Oficial de Seguridad de la Informacin deber g) Implementar mecanismos tecnolgicos y

controlar la aplicacin de la poltica de proteccin organizacionales para detectar la intrusin y evitar
de datos y privacidad de la informacin personal. el uso inadecuado de los servicios de
procesamiento de informacin. Se recomienda
b) Implementar medidas tcnicas y organizacionales advertir o informar a los usuarios sobre el
apropiadas para gestionar de manera responsable monitoreo y obtener su acuerdo cuando los
la informacin personal de acuerdo con la servicios de informacin estn abiertos a la
legislacin correspondiente. ciudadana o son pblicos.
c) Implementar mecanismos de carcter 11.6. Reglamentacin de controles criptogrficos

organizacional y tecnolgico para autorizacin al
acceso, uso e intercambio de datos personales de a) Restringir importaciones y/o exportaciones de
las personas o ciudadanos en custodia de las hardware y software de computadores para la
entidades pblicas. Prima el principio que los ejecucin de funciones criptogrficas; o diseados
datos personales pertenecen a las personas y no a para adicionarles funciones criptogrficas.
las instituciones, stas los custodian al ampara de
la normativa legal vigente. b) Restringir el uso de encriptacin, y especificar y
documentar los mbitos en dnde se aplicarn
11.5. Prevencin del uso inadecuado de servicios de tales procesos (ej., comunicaciones, firma de
procesamiento de informacin documentos, trasmisin de datos, entre otros).
a) Inventariar y aprobar el uso de los servicios de c) Restringir mtodos obligatorios o discrecionales

procesamiento de informacin por parte de la de acceso por parte de las autoridades del pas a la
direccin de la entidad o quien esta delegue. informacin encriptada mediante hardware o
software para brindar confidencialidad al
b) Definir y comunicar los servicios de contenido.
procesamiento de informacin aprobados, as
como los criterios para establecer el uso de estos d) Garantizar el cumplimiento con las leyes y los
servicios para propsitos no relacionados con la reglamentos nacionales antes de desplazar
entidad sin autorizacin de la direccin, o para informacin encriptada o controles criptogrficos
cualquier propsito no autorizado. a otros pases.
11.7. Cumplimiento con las polticas y las normas de la e) Ejecutar o contratar pruebas de penetracin y
seguridad evaluaciones de la vulnerabilidad, las cuales
pueden ser realizadas por expertos independientes
a) Revisar en intervalos regulares reportes e especialmente contratados para este propsito.
informes de seguridad de los sistemas de Ello puede ser til para detectar vulnerabilidades
informacin. en el sistema y verificar qu tan efectivos son los
controles evitando el acceso no autorizado debido
b) Auditar las plataformas tcnicas y los sistemas de a estas vulnerabilidades. Las pruebas de
informacin para determinar el cumplimiento de penetracin y las evaluaciones de vulnerabilidad
las normas aplicables sobre implementacin de la no deben substituir las evaluaciones de riesgos.
seguridad y sus controles.
11.9. Controles de auditora de los sistemas de
c) Revisar con regularidad en su rea de informacin
responsabilidad, el cumplimiento del
procesamiento de informacin de acuerdo con la a) Salvaguardar los servicios de procesamiento de
poltica de la seguridad, las normas y cualquier informacin y las herramientas de auditora
otro requisito de seguridad. Si se determina algn durante las auditoras de los sistemas de
incumplimiento o no conformidad como resultado informacin.
de la revisin, la direccin deber:
b) Proteger la integridad y evitar el uso inadecuado
Determinar la causa del incumplimiento de las herramientas de auditora.
Evaluar la necesidad de acciones para c) Acordar los requisitos as como el alcance de las
garantizar que no se repitan estos auditoras con la direccin correspondiente.
incumplimientos
d) nicamente se deber dar a los auditores acceso
Determinar e implementar la accin correctiva de lectura a la informacin.
apropiada
e) Identificar explcitamente y poner en disposicin
Revisar la accin correctiva que se ejecut los recursos correspondientes, para llevar a cabo
las auditoras.
d) Registrar y conservar los resultados de las
revisiones y las acciones correctivas llevadas a f) Identificar y acordar los requisitos para el
cabo por la direccin. Los directores debern procesamiento especial o adicional.
informar de los resultados a las personas que
realizan revisiones independientes, cuando la g) Monitorear y registrar todo acceso para crear un
revisin independiente tiene lugar en el rea de su rastreo para referencia. El uso de rastreos de
responsabilidad. referencia de tiempo se debe considerar para datos
o sistemas crticos.
11.8. Verificacin del cumplimiento tcnico
h) Documentar todos los procedimientos, requisitos
a) Verificar el cumplimiento tcnico bien sea y responsabilidades de la auditora.
manualmente (con soporte de las herramientas de
software apropiadas, si es necesario) por un i) Asegurar que la persona que realiza la auditora
ingeniero de sistemas con experiencia, y/o con la sea independiente de las actividades auditadas.
ayuda de herramientas automticas que generen
un informe tcnico para la interpretacin posterior 11.10. Proteccin de las herramientas de auditora de
por parte del especialista tcnico. los sistemas de informacin
b) Aplicar evaluaciones de vulnerabilidad o pruebas a) Instalar y administrar las herramientas de

de penetracin considerando siempre el riesgo de auditora por parte del personal que las utiliza.
que dichas actividades pueden poner en peligro la
seguridad del sistema. Tales pruebas se debern b) Los programas de software o archivos de datos de
planificar, documentar y ser repetibles. auditora se deben separar de los sistemas de
informacin y de desarrollo de la entidad.
c) Controlar que la verificacin del cumplimiento
tcnico sea realizado por personas autorizadas y c) Los archivos de seguridad y auditora que generan
competentes o bajo la supervisin de dichas los sistemas de procesamiento de informacin
personas. deben ser protegidos contra cualquier
manipulacin.
d) Analizar los sistemas operativos para asegurar que
los controles de hardware y software se han d) Mantener un estricto control de respaldos y
implementado correctamente. Este tipo de tiempo de retencin de los archivos de seguridad
verificacin del cumplimiento requiere y auditora de acuerdo al tipo de informacin y la
experiencia tcnica especializada. poltica que se defina.
e) Mantener archivos de seguridad y auditora en Ambiente de Capacitacin: tiene las siguientes

libreras de cinta, siempre que se les proporcione caractersticas:
un nivel adecuado de proteccin adicional.
Este ambiente es idntico al ambiente de produccin en
f) Bloquear el acceso a los archivos de seguridad y su estructura, versiones de sistema y software base.
auditora a los funcionarios no autorizados y de
acuerdo al procedimiento que se defina. Este ambiente ser utilizado para realizar las
capacitaciones respectivas a los usuarios de los
GLOSARIO DE TRMINOS sistemas.
Activo: Todo bien que tiene valor para la institucin. Este ambiente no se actualizar con la informacin de
produccin para realizar pruebas.
Ambiente de Desarrollo: tiene las siguientes
caractersticas: Este ambiente tambin debe ser considerado para los
respaldos de datos.
En este ambiente se desarrollan los programas fuentes
se almacena toda la informacin relacionada con el Ambiente de Produccin: tiene las siguientes
anlisis y diseo de los sistemas. caractersticas:
El analista o programador (desarrollador) tiene total Es donde se ejecutan los sistemas y se encuentran los
dominio sobre el ambiente, y puede instalar datos productivos.
componentes o actualizar versiones del software base.
Los programas fuentes certificados se guardan en un
Todos los cambios del cdigo, de software base y de repositorio de fuentes de produccin, almacenndolos
componentes deben ser debidamente documentados. mediante un sistema de control de versiones que maneja
el administrador de programas fuentes y donde se
registran los datos del programador que hizo la
Se registra en el sistema el control de versiones que
modificacin, fecha, hora y tamao de los programas
administra el Administrador de programas fuentes.
fuentes y objetos o ejecutables.
El desarrollador realiza las pruebas con los datos de la El implementador compila el programa fuente dentro
base de datos desarrollo. del ambiente de produccin, asegurando que hay una
correspondencia biunvoca con el ejecutable en
Cuando se considera que el programa est terminado, se produccin y luego (este fuente) se elimina, dejndolo
lo pasa al ambiente de pruebas junto con la en el repositorio de programas fuentes.
documentacin requerida que se le entregar al
implementador de ese ambiente. Procedimientos de la misma naturaleza que el anterior,
debern aplicarse para las modificaciones de cualquier
Ambiente de Pruebas: tiene las siguientes caractersticas: otro elemento que forme parte del sistema; por ejemplo:
modelo de datos de la base de datos o cambios en los
Este ambiente es utilizado para realizar pruebas previas parmetros, etc. Las modificaciones realizadas al
al paso a produccin. software de base (Sistemas Operativos, Motores de
bases de datos, software middleware) debern cumplir
idnticos pasos, slo que las implementaciones las
Deber disponer del mismo software base que el
realizarn los propios administradores.
ambiente produccin.
El personal de desarrollo, como el proveedor de los
El implementador de este ambiente recibe el programa aplicativos, no deben tener acceso al ambiente de
y la documentacin respectiva y realiza una prueba produccin, as como tampoco a los datos reales para la
general con un lote de datos para tal efecto. realizacin de las pruebas en el Ambiente de Prueba.
Para casos excepcionales, se debe documentar
El testeador realiza las pruebas con los datos de la base adecuadamente la autorizacin, los trabajos realizados y
de datos de pruebas. Si no se detectan errores de monitorearlos en todo momento.
ejecucin, los resultados de las rutinas de seguridad son
correctas de acuerdo a las especificaciones y se Comit de Gestin de Seguridad de la Informacin:
considera que la documentacin presentada es Estar integrado al menos por: el Director Administrativo,
completa, entonces se emite un informe favorable y se el Responsable del rea de Recursos Humanos, el
pasa el programa fuente al implementador de Responsable del rea de Tecnologas de la Informacin, el
produccin por medio del sistema de control de Responsable de Auditora Interna y el Oficial de Seguridad
versiones y se le entrega las instrucciones. Caso de la Informacin. Este ente contar con un Coordinador
contrario, vuelve atrs el ciclo devolviendo el programa (Oficial de Seguridad de la Informacin), quien cumplir la
al desarrollador, junto con un detalle de las funcin de impulsar la implementacin del Esquema
observaciones. Gubernamental de Seguridad de la Informacin.
Confidencialidad: Se garantiza que la informacin sea qu usuarios debern tener permisos de acceso a la
accesible slo a aquellas personas autorizadas a tener informacin de acuerdo a sus funciones y competencia.
acceso a la misma.
Responsable del rea de Recursos Humanos: Cumplir
Disponibilidad: Se garantiza que los usuarios autorizados la funcin de comunicar a todo el personal que ingresa, de
tengan acceso a la informacin y a los recursos relacionados sus obligaciones respecto del cumplimiento del Esquema
con la misma, toda vez que lo requieran. Gubernamental de Seguridad de la Informacin y de todas
las normas, procedimientos y prcticas que de l surjan.
Asimismo, tendr a su cargo, la difusin del presente
Informacin: Es uno de los activos ms importantes de las
documento a todo el personal, de los cambios que en ella se
instituciones, en las formas que esta se manifieste:
produzcan, de la implementacin de la suscripcin de los
textuales, numricas, grficas, cartogrficas, narrativas o
Compromisos de Confidencialidad (entre otros) y de las
audiovisuales, y en cualquier medio, magntico, papel,
tareas de capacitacin continua en materia de seguridad en
electrnico, computadoras, audiovisual y otros.
coordinacin con el Oficial de Seguridad de la Informacin.
Integridad: Se salvaguarda la exactitud y totalidad de la Responsable del rea de Tecnologas de la Informacin:
informacin y los mtodos de procesamiento. Cumplir la funcin de cubrir los requerimientos de
seguridad informtica establecidos para la operacin,
Oficial de Seguridad de la Informacin: Ser el administracin y comunicacin de los sistemas y recursos
responsable de coordinar las acciones del Comit de de tecnologa de la institucin. Por otra parte, tendr la
Seguridad de la Informacin y de impulsar la funcin de supervisar las tareas de desarrollo y
implementacin y cumplimiento del Esquema mantenimiento de sistemas, siguiendo una metodologa de
Gubernamental de Seguridad de la Informacin. El oficial ciclo de vida de sistemas apropiada, y que contemple la
de Seguridad de la Informacin deber ser un miembro inclusin de medidas de seguridad en los sistemas en todas
independiente de las reas de tecnologa o sistemas, puesto las fases.
que deber mantener su independencia para observar las
necesidades de seguridad entre la estrategia de la institucin Responsable del rea Legal: Verificar el cumplimiento
y tecnologa. del Esquema Gubernamental de Seguridad de la
Informacin en la gestin de todos los contratos, acuerdos u
Propietarios de la Informacin: Son los responsables de otra documentacin de la institucin con sus empleados y
clasificar la informacin de acuerdo con el grado de con terceros. Asimismo, asesorar en materia legal a la
sensibilidad y criticidad de la misma, de documentar y institucin, en lo que se refiere a la seguridad de la
mantener actualizada la clasificacin efectuada y de definir informacin.

Anexo1 AM 166

Caricato da

Informazioni sul documento

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Anexo1 AM 166

Caricato da

Copyright:

Formati disponibili

SEGUNDO SUPLEMENTO

Segunda.- Cualquier propuesta de inclusin de controles o Segunda.- La Secretara Nacional de la Administracin

Anexo 1 del Acuerdo No. 166 del 19 de septiembre de 2013

SECRETARA NACIONAL DE LA ADMINISTRACIN

ESQUEMA GUBERNAMENTAL DE SEGURIDAD DE

1. POLTICA DE SEGURIDAD DE LA INFORMACIN

2. ORGANIZACIN DE LA SEGURIDAD DE LA INFORMACIN

3. GESTIN DE LOS ACTIVOS

4. SEGURIDAD DE LOS RECURSOS HUMANOS

5. SEGURIDAD FISICA Y DEL ENTORNO

6. GESTIN DE COMUNICACIONES Y OPERACIONES

8. ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIN

9. GESTIN DE LOS INCIDENTES DE LA SEGURIDAD DE LA INFORMACIN

10. GESTIN DE LA CONTINUIDAD DEL NEGOCIO

INTRODUCCIN El EGSI establece un conjunto de directrices prioritarias

y tecnologas a fin de garantizar la confidencialidad, Aprobar las principales iniciativas para

1.2. Revisin de la Poltica Evaluar y coordinar la implementacin de

2. ORGANIZACIN DE LA SEGURIDAD DE LA Coordinar el proceso de gestin de la

b) Disponer la difusin, capacitacin y Gestionar la provisin permanente de recursos

c) Conformar oficialmente el Comit de Gestin de Velar por la aplicacin de la familia de

a) Ejecutar revisiones independientes de la gestin de la 2.10 Consideraciones de la seguridad cuando se trata

las respectivas responsabilidades civiles de la i) De la imagen corporativa de la institucin: manual

derechos de propiedad intelectual y asignacin de j) Equipos mviles: telfono inteligente (smartphone),

3. GESTIN DE LOS ACTIVOS n) Perifricos y dispositivos de almacenamiento: sistema

Informacin contemplen los requerimientos de e) Reglamentar el acceso y uso de la Internet y sus

La conservacin de los mensajes se efectuar en El Oficial de Seguridad de la Informacin debe

encuentren fuera del territorio nacional; y g) En caso de destruccin de un activo, la etiqueta

Elaborar un documento tipo lista de chequeo c) Notificar al Oficial de Seguridad de la

c) Responsabilizar al personal sobre el manejo y laboral respectivo, y la nueva responsabilidad o

4.4. Responsabilidades de la direccin a cargo del c) Previa la terminacin de un contrato se deber

a) Formalizar el proceso de terminacin del contrato

4.7. Responsabilidades de terminacin del contrato 5. SEGURIDAD FSICA Y DEL ENTORNO

a) Comunicar oficialmente al personal las 5.1. Permetro de la seguridad fsica

c) Establecer directrices para no comer, beber y 5.10. Mantenimiento de los equipos

5.8. Servicios de suministro e) Gestionar mantenimientos planificados con hora

5.13. Retiro de activos de la propiedad

6. GESTIN DE COMUNICACIONES Y 6.3. Distribucin de funciones

d) Implantar ambientes de prueba, iguales en

a) Identificar y registrar los cambios significativos. e) Utilizar sistemas de autenticacin y autorizacin

d) Planificar el proceso de cambio. g) Aislar los datos sensibles de los ambientes de

g) Identificar responsabilidades por la cancelacin de 6.5. Presentacin del Servicio.

i) Concienciar al personal acerca del problema de

c) Poner a prueba procedimientos operativos de b) Bloquear cdigos mviles no autorizados.

c) Definir la extensin (completo/diferencial) y la c) Definir procedimientos para la utilizacin de los

d) Establecer procedimientos de los medios de 6.15. Gestin de los medios removibles.

e) Guardar los respaldos en un sitio lejano, a una

f) Proporcionar un grado apropiado de proteccin c) Almacenar los medios removibles en un ambiente

b) Designar procedimientos y responsabilidades para d) Registrar la eliminacin de los medios para

d) Establecer controles de proteccin segn el nivel 6.20. Acuerdos para el intercambio

d) Definir pautas para la identificacin del prestador

f) Establecer responsabilidades de empleados, c) Definir procedimientos para identificar los

i) No dejar informacin sensible en copiadoras, 6.22. Mensajera electrnica

e) Monitorear los mensajes de acuerdo al 6.25. Informacin disponible al pblico.

c) Establecer polticas y controles adecuados para 6.26. Registros de auditoras.

b) Registrar la fecha, hora y detalles de los eventos

c) Cifrar o encriptar el canal de comunicaciones Fecha y hora de eventos clave;

b) Monitorear las operaciones privilegiadas, como 6.30. Registro de fallas

b) Revisar las medidas correctivas para garantizar

c) Monitorear intentos de acceso no autorizados, 6.31 Sincronizacin de relojes

6.28. Proteccin del registro de la informacin. 7. CONTROL DE ACCESO

a) Proteger de alteraciones en todos los tipos de 7.1. Poltica de control de acceso

requerimiento o iniciador del proceso, estructurales, esta gestin deber hacerse

c) Evidenciar documentadamente que cada activo de a) El Oficial de Seguridad de la Informacin deber

e) Bloquear las copiadoras y disponer de un control a) Establecer un procedimiento de soporte, en el cual