Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
AoIN88
Quito,mircoles25de
septiembrede2013
Valor:US$1.25+IVA
Pgs.
ACUERDO:
ING.HUGOENRIQUEDELPOZO
BARREZUETA SECRETARA NACIONAL DE LA
DIRECTOR ADMINISTRACIN PBLICA:
166 Dispnese a las entidades de la Administracin
Quito:Avenida12deOctubre Pblica Central, Institucional y que dependen de
N1690yPasajeNicolsJimnez la Funcin Ejecutiva el uso obligatorio de las
Normas Tcnicas Ecuatorianas NTE INEN-
Direccin:Telf.2901629 ISO/IEC 27000 para la Gestin de Seguridad de
la Informacin . 1
Oficinascentralesyventas:
Telf.2234540
Distribucin(Almacn):
No. 166
MaoscaN201yAv.10deAgosto
Telf.2430110
Cristian Castillo Peaherrera
SucursalGuayaquil: SECRETARIO NACIONAL DE LA ADMINISTRACIN
PBLICA
MalecnN1606yAv.10deAgosto
Telf.2527107 Considerando:
Que, la Constitucin de la Repblica determina en el artculo 227
Suscripcinanual:US$400+IVA que la Administracin Pblica constituye un servicio a la
paralaciudaddeQuito colectividad que se rige por principios de eficacia, calidad, jerarqua,
US$450+IVAparaelrestodelpas desconcentracin, descentralizacin, coordinacin, participacin,
planificacin, transparencia y evaluacin.
ImpresoenEditoraNacional
Que, el artculo 13 del Estatuto del Rgimen Jurdico Administrativo
de la Funcin Ejecutiva establece que la Secretara Nacional
40pginas
de la Administracin Pblica es una entidad de derecho pblico,
con personalidad jurdica y patrimonio propio, dotada de autonoma
www.registroficial.gob.ec presupuestaria, financiera, econmica y administrativa, encargada
de establecer las polticas, metodologas de gestin e innovacin
Alserviciodelpas institucional y herramientas necesarias para el mejoramiento de la
desdeel1dejuliode1895 eficiencia, calidad y transparencia de la gestin en las entidades y
organismos de la Funcin Ejecutiva, con quienes coordinar las
2 -- Segundo Suplemento -- Registro Oficial N 88 -- Mircoles 25 de septiembre de 2013
acciones que sean necesarias para la correcta ejecucin de Ecuatorianas NTE INEN-ISO/IEC 27000 para la Gestin de
dichos fines; as como tambin de realizar el control, Seguridad de la Informacin.
seguimiento y evaluacin de la gestin de los planes,
programas, proyectos y procesos de las entidades y Artculo 2.- Las entidades de la Administracin Pblica
organismos de la Funcin Ejecutiva que se encuentran en implementarn en un plazo de dieciocho (18) meses el
ejecucin; y, el control, seguimiento y evaluacin de la Esquema Gubernamental de Seguridad de la Informacin
calidad en la gestin de los mismos. (EGSI), que se adjunta a este acuerdo como Anexo 1, a
excepcin de las disposiciones o normas marcadas como
Que, mediante Acuerdos Ministeriales Nos. 804 y 837 de prioritarias en dicho esquema, las cuales se implementarn
29 de julio y 19 de agosto de 2011, respectivamente, la en (6) meses desde la emisin del presente Acuerdo.
Secretara Nacional de la Administracin Pblica cre la
Comisin para la Seguridad Informtica y de las La implementacin del EGSI se realizar en cada
Tecnologas de la Informacin y Comunicacin conformada institucin de acuerdo al mbito de accin, estructura
por delegados del Ministerio de Telecomunicaciones y de la orgnica, recursos y nivel de madurez en gestin de
Sociedad de la Informacin, la Secretara Nacional de Seguridad de la Informacin.
Inteligencia y la Secretara Nacional de la Administracin
Pblica y dentro de sus atribuciones tiene la de establecer Artculo 3.- Las entidades designarn, al interior de su
lineamientos de seguridad informtica, proteccin de institucin, un Comit de Seguridad de la Informacin
infraestructura computacional y todo lo relacionado con liderado con un Oficial de Seguridad de la Informacin,
sta, incluyendo la informacin contenida para las entidades conforme lo establece el EGSI y cuya designacin deber
de la Administracin Pblica Central e Institucional. ser comunicada a la Secretara Nacional de la
Administracin Pblica, en el transcurso de treinta (30) das
Que, es importante adoptar polticas, estrategias, normas, posteriores a la emisin del presente Acuerdo.
procesos, procedimientos, tecnologas y medios necesarios
para mantener la seguridad en la informacin que se genera
Artculo 4.- La Secretara Nacional de la Administracin
y custodia en diferentes medios y formatos de las entidades
Pblica coordinar y dar seguimiento a la implementacin
de la Administracin Pblica Central, Institucional y que
del EGSI en las entidades de la Administracin Pblica
dependen de la Funcin Ejecutiva.
Central, Institucional y que dependen de la Funcin
Ejecutiva. El seguimiento y control a la implementacin de
Que, la Administracin Pblica de forma integral y
la EGSI se realizar mediante el Sistema de Gestin por
coordinada debe propender a minimizar o anular riesgos en
Resultados (GPR) u otras herramientas que para el efecto
la informacin as como proteger la infraestructura
implemente la Secretara Nacional de la Administracin
gubernamental, ms an si es estratgica, de los
Pblica.
denominados ataques informticos o cibernticos.
Que, las Tecnologas de la Informacin y Comunicacin Artculo 5.- La Secretara Nacional de la Administracin
son herramientas imprescindibles para el cumplimiento de Pblica realizar de forma ordinaria una revisin anual del
la gestin institucional e inter-institucional de la EGSI en conformidad a las modificaciones de la norma
Administracin Pblica en tal virtud, deben cumplir con INEN ISO/IEC 27002 que se generen y de forma
estndares de seguridad que garanticen la confidencialidad, extraordinaria o peridica cuando las circunstancias as lo
integridad y disponibilidad de la informacin; ameriten, adems definir los procedimientos o
metodologas para su actualizacin, implementacin,
Que, la Comisin para la Seguridad Informtica y de las seguimiento y control.
Tecnologas de la Informacin y Comunicacin en
referencia ha desarrollado el Esquema Gubernamental de Artculo 6.- Es responsabilidad de la mxima autoridad de
Seguridad de la Informacin (EGSI), elaborado en base a la cada entidad mantener la documentacin de la
norma NTE INEN-ISO/IEC 27002 Cdigo de Prctica implementacin del EGSI debidamente organizada y
para la Gestin de la Seguridad de la Informacin. registrada de acuerdo al procedimiento especfico que para
estos efectos establezca la Secretara Nacional de la
Que, el artculo 15, letra i) del Estatuto del Rgimen Administracin Pblica.
Jurdico y Administrativo de la Funcin Ejecutiva establece
como atribucin del Secretario Nacional de la Artculo 7.- Las entidades realizarn una evaluacin de
Administracin Pblica, impulsar proyectos de riesgos y disearn e implementarn el plan de manejo de
estandarizacin en procesos, calidad y tecnologas de la riesgos de su institucin, en base a la norma INEN ISO/IEC
informacin y comunicacin; 27005 Gestin del Riesgo en la Seguridad de la
Informacin.
En uso de las facultades y atribuciones que le confiere el
artculo 15, letra n) del Estatuto del Rgimen Jurdico y DISPOSICIONES GENERALES
Administrativo de la Funcin Ejecutiva,
Primera.- El EGSI podr ser revisado peridicamente de
Acuerda: acuerdo a las sugerencias u observaciones realizadas por las
entidades de la Administracin Pblica Central,
Artculo 1.- Disponer a las entidades de la Administracin Institucional o que dependen de la Funcin Ejecutiva, las
Pblica Central, Institucional y que dependen de la Funcin cuales debern ser presentadas por escrito a la Secretara
Ejecutiva el uso obligatorio de las Normas Tcnicas Nacional de la Administracin Pblica.
Segundo Suplemento -- Registro Oficial N 88 -- Mircoles 25 de septiembre de 2013 -- 3
Versin 1.0
Septiembre de 2013
4 -- Segundo Suplemento -- Registro Oficial N 88 -- Mircoles 25 de septiembre de 2013
Contenido
INTRODUCCIN
7. CONTROL DE ACCESO
11. CUMPLIMIENTO
GLOSARIO DE TRMINOS
c) Definir procedimientos para el manejo de incidentes de h) Implementar los controles de seguridad definidos (ej.,
seguridad y para la administracin de los medios de evitar software malicioso, accesos no autorizados, etc.).
almacenamiento.
i) Definir e implementar procedimientos para la
d) Controlar los mecanismos de distribucin y difusin de administracin de medios informticos de
informacin dentro y fuera de la institucin. almacenamiento (ej., cintas, discos, etc.) e informes
impresos, y verificar la eliminacin o destruccin
e) Definir y documentar controles para la deteccin y segura de los mismos, cuando proceda.
prevencin del acceso no autorizado, la proteccin
contra software malicioso, garantizar la seguridad de los j) Gestionar los incidentes de seguridad de la informacin
datos y los servicios conectados a las redes de la de acuerdo a los procedimientos establecidos.
institucin.
k) Otras que por naturaleza de las actividades de gestin
f) Desarrollar procedimientos adecuados de de la seguridad de la informacin deban ser realizadas.
concienciacin de usuarios en materia de seguridad,
controles de acceso a los sistemas y administracin de 2.4 Proceso de autorizacin para nuevos servicios de
cambios. procesamiento de la informacin
g) Verificar el cumplimiento de las normas, a) Asignar un custodio o responsable para cualquier nuevo
procedimientos y controles de seguridad institucionales servicio a implementar, generalmente del rea
establecidos. peticionaria, incluyendo la definicin de las
caractersticas de la informacin y la definicin de los
h) Coordinar la gestin de eventos de seguridad con otras diferentes niveles de acceso por usuario.
entidades gubernamentales.
b) Autorizar explcitamente por parte del custodio el uso
i) Convocar regularmente o cuando la situacin lo amerite de un nuevo servicio segn las definiciones anteriores.
al Comit de Seguridad de la Informacin as como
llevar registros de asistencia y actas de las reuniones. c) Solicitar la autorizacin del oficial de seguridad de la
informacin el uso del nuevo servicio garantizando el
cumplimiento de la polticas de seguridad de la
El responsable de Seguridad del rea de Tecnologas de
informacin y normas definidas en este documento.
la Informacin tendr las siguientes responsabilidades:
d) Evaluar la compatibilidad a nivel de hardware y
a) Controlar la existencia de documentacin fsica o software con sistemas internos .
electrnica actualizada relacionada con los
procedimientos de comunicaciones, operaciones y e) Implementar los controles necesarios para el uso de
sistemas. nuevos servicios para procesar informacin de la
institucin sean personales o de terceros para evitar
b) Evaluar el posible impacto operativo a nivel de nuevas vulnerabilidades.
seguridad de los cambios previstos a sistemas y
equipamiento y verificar su correcta implementacin,
asignando responsabilidades. 2.5. Acuerdos sobre Confidencialidad (*)
c) Administrar los medios tcnicos necesarios para a) Elaborar y aprobar los acuerdos de confidencialidad y
permitir la segregacin de los ambientes de de no-divulgacin de informacin conforme la
procesamiento. Constitucin, las leyes, las necesidades de proteccin de
informacin de la institucin y el EGSI.
d) Monitorear las necesidades de capacidad de los sistemas
en operacin y proyectar las futuras demandas de b) Controlar que los acuerdos de confidencialidad de la
capacidad para soportar potenciales amenazas a la informacin, documento fsico o electrnico, sean
seguridad de la informacin que procesan. firmados de forma manuscrita o electrnica por todo el
personal de la institucin sin excepcin.
e) Controlar la obtencin de copias de resguardo de
informacin, as como la prueba peridica de su c) Gestionar la custodia de los acuerdos firmados, en los
restauracin. expedientes, fsicos o electrnicos, de cada funcionario,
por parte del rea de gestin de recursos humanos.
f) Asegurar el registro de las actividades realizadas por el
personal operativo de seguridad de la informacin, para d) Controlar que la firma de los acuerdos de
su posterior revisin. confidencialidad sean parte de los procedimientos de
incorporacin de nuevos funcionarios a la institucin,
g) Desarrollar y verificar el cumplimiento de sin excepcin.
procedimientos para comunicar las fallas en el
procesamiento de la informacin o los sistemas de e) Gestionar la aceptacin, entendimiento y firma de
comunicaciones, que permita tomar medidas acuerdos de confidencialidad y de no divulgacin de
correctivas. informacin por parte de terceros (ej., contratistas,
Segundo Suplemento -- Registro Oficial N 88 -- Mircoles 25 de septiembre de 2013 -- 7
proveedores, pasantes, entre otros) que deban realizar contemplar las actuaciones de la alta direccin, del
labores dentro de la institucin sea por medios lgicos o comit de seguridad y del oficial de seguridad en
fsicos y que involucren el manejo de informacin. materia de gestin de la seguridad.
2.6 Contacto con las autoridades c) Registrar y documentar todas las revisiones
independientes de la gestin de la seguridad de la
a) Establecer un procedimiento que especifique cundo y a informacin que la institucin realice.
cuales autoridades se reportarn incidentes derivados
del infringimiento de la poltica de seguridad o por 2.9 Identificacin de los riesgos relacionados con las
acciones de seguridad de cualquier origen (ej., SNAP, partes externas
fiscala, polica, bomberos, 911, otros). Todo incidente
de seguridad de la informacin que sea considerado a) Identificar y evaluar los riesgos para la informacin y
crtico deber ser reportado al oficial de seguridad y los servicios de procesamiento de informacin de la
este a su vez al comit de seguridad y la mxima entidad en los procesos que involucran terceras partes e
autoridad segn los casos. implementar los controles apropiados antes de autorizar
el acceso.
b) Reportar oportunamente los incidentes identificados de
la seguridad de la informacin a la SNAP si se sospecha b) Bloquear el acceso de la tercera parte a la informacin
de incumplimiento de la ley o que provoquen de la organizacin hasta haber implementado los
indisponibilidad o continuidad. controles apropiados y, cuando es viable, haber firmado
un contrato que defina los trminos y las condiciones
c) Identificar y mantener actualizados los datos de del caso as como acuerdos de confidencialidad respecto
contacto de proveedores de bienes o servicios de de la informacin a la tendrn acceso.
telecomunicaciones o de acceso a la Internet para
gestionar potenciales incidentes.
c) Garantizar que la tercera parte es consciente de sus
obligaciones y acepta las responsabilidades y deberes
d) Establecer acuerdos para compartir informacin con el involucrados en el acceso, procesamiento,
objeto de mejorar la cooperacin y la coordinacin de comunicacin o gestin de la informacin y los
los temas de la seguridad. Tales acuerdos deberan servicios de procesamiento de informacin de la
identificar los requisitos para la proteccin de la organizacin.
informacin sensible.
d) Registrar y mantener las terceras partes vinculadas a la
2.7 Contactos con grupos de inters especiales entidad considerando los siguientes tipos:
a) Mantener contacto apropiados con organizaciones proveedores de servicios (ej., Internet, proveedores
pblicas y privadas, asociaciones profesionales y grupos de red, servicios telefnicos, servicios de
de inters especializados en seguridad de la informacin mantenimiento, energa elctrica, agua, entre otros);
para mejorar el conocimiento sobre mejores prcticas y
estar actualizado con informacin pertinente a gestin servicios de seguridad;
de la seguridad.
contratacin externa de proveedores de servicios y/u
b) Recibir reportes advertencias oportunas de alertas,
operaciones;
avisos y parches relacionados con ataques y
vulnerabilidades de organizaciones pblicas, privadas y
asesores y auditores externos;
acadmicas reconocidas por su aporte a la gestin de la
seguridad de la informacin .
limpieza, alimentacin y otros servicios de soporte
contratados externamente;
c) Establecer contactos entre oficiales y responsables de la
seguridad de la informacin para compartir e
personal temporal (estudiantes,
intercambiar informacin acerca de nuevas tecnologas,
pasantes,funcionarios pblicos externos);
productos, amenazas o vulnerabilidades;.
ciudadanos/clientes;
2.8 Revisin independiente de la seguridad de la
informacin Otros
proteccin de activos de informacin; d) Los archivos generados por los servidores pblicos,
tanto de manera fsica como electrnica, razn de ser de
descripcin del producto o servicio; la funcin que desempean en la institucin.
las diversas razones, requisitos y beneficios del e) Los manuales e instructivos de sistemas informticos:
acceso del cliente; instalacin, gua de usuario, operacin, administracin,
mantenimiento, entre otros.
poltica de control del acceso;
f) De la operacin de los aplicativos informticos de los
servicios informticos: datos y meta-datos asociados,
convenios para gestin de inexactitudes de la
archivos de configuracin, cdigo fuente, respaldos,
informacin, incidentes de la seguridad de la
versiones, etc.
informacin y violaciones de la seguridad;
g) Del desarrollo de aplicativos de los servicios
descripcin de cada servicio que va a estar
informticos: actas de levantamiento de requerimientos,
disponible;
documento de anlisis de requerimientos, modelos
entidad relacin, diseo de componentes, casos de
nivel de servicio comprometido y los niveles uso, diagramas de flujo y estado, casos de prueba, etc.
inaceptables de servicio;
h) Del soporte de aplicativos de los servicios informticos:
el derecho a monitorear y revocar cualquier tickets de soporte, reportes fsicos y electrnicos,
actividad relacionada con los activos de la evaluaciones y encuestas, libros de trabajo para
organizacin; capacitacin, etc.
q) Sistemas: de control de accesos, de aire acondicionado, bb) Inventario referente a los sitios y edificaciones de la
automtico de extincin de incendios, de circuito institucin: planos arquitectnicos, estructurales,
cerrado de televisin, etc. elctricos, sanitarios, de datos, etc.
Inventariar los activos de soporte de Software (*): cc) Direccin fsica, direccin de correo electrnico,
telfonos y contactos de todo el personal de la
r) Sistemas operativos. institucin.
s) Software de servicio, mantenimiento o administracin dd) De los servicios esenciales: nmero de lneas
de: gabinetes de servidores de cuchilla, servidores telefnicas fijas y celulares, proveedor de servicios de
(estantera/rack, torre, virtuales), sistema de redes de Internet y transmisin de datos, proveedor del
datos, sistemas de almacenamiento (NAS, SAN), suministro de energa elctrica, proveedor del
telefona, sistemas (de UPS, grupo electrgeno, de aire suministro de agua potable, etc.
acondicionado, automtico de extincin de incendios,
de circuito cerrado de televisin), etc. Los activos debern ser actualizados ante cualquier
modificacin de la informacin registrada y revisados con
t) Paquetes de software o software base de: suite de una periodicidad no mayor a seis meses.
ofimtica, navegador de Internet, cliente de correo
electrnico, mensajera instantnea, edicin de 3.2. Responsable de los activos
imgenes, vdeo conferencia, servidor (proxy, de
archivos, de correo electrnico, de impresiones, de a) Asignar los activos asociados (o grupos de activos) a un
mensajera instantnea, de aplicaciones, de base de individuo que actuar como Responsable del Activo.
datos), etc. Por ejemplo, debe haber un responsable de los
computadores de escritorio, otro de los celulares, otro
u) Aplicativos informticos del negocio. de los servidores del centro de datos, etc. El trmino
"responsable" no implica que la persona tenga
Inventariar los activos de soporte de redes (*): realmente los derechos de propiedad de los activos. El
Responsable del Activo tendr las siguientes funciones:
v) Cables de comunicaciones (interfaces: RJ-45 o RJ-11,
SC, ST o MT-RJ,interfaz V35, RS232, USB, SCSI, Elaborar el inventario de los activos a su cargo y
LPT), panel de conexin (patch panel), tomas o puntos mantenerlo actualizado.
de red, racks (cerrado o abierto, de piso o pared), etc.
Delegar tareas rutinarias, tomando en cuenta que la
w) Switchs (de centros de datos, de acceso, de borde, de responsabilidad sigue siendo del responsable.
gabinete de servidores, access-ppoint, transceiver,
equipo terminal de datos, etc.). Administrar la informacin dentro de los procesos
de la institucin a los cuales ha sido asignado.
x) Ruteador (router), cortafuego (firewall), controlador de
red inalmbrica, etc. Elaborar las reglas para el uso aceptable del mismo
e implantarlas previa autorizacin de la autoridad
correspondiente.
y) Sistema de deteccin/prevencin de intrusos (IDS/IPS),
firewall de aplicaciones web, balanceador de carga,
switch de contenido, etc. Clasificar, documentar y mantener actualizada la
informacin y los activos, y definir los permisos de
acceso a la informacin.
Inventariar los activos referentes a la estructura
organizacional:
b) Consolidar los inventarios de los activos a cargo del
Responsable del Activo, por rea o unidad organizativa.
z) Estructura organizacional de la institucin, que incluya
todas las unidades administrativas con los cargos y 3.3. Uso aceptable de los activos
nombres de las autoridades: rea de la mxima
autoridad, rea administrativa, rea de recursos a) Identificar, documentar e implementar las reglas sobre
humanos, rea financiera, etc. el uso aceptable de los activos asociados con los
servicios de procesamiento de la informacin. Para la
aa) Estructura organizacional del rea de las TIC, con los elaboracin de las reglas, el Responsable del Activo
cargos y nombres del personal: administrador (de deber tomar en cuenta las actividades definidas en los
servidores, de redes de datos, de respaldos de la controles correspondientes a los mbitos de
informacin, de sistemas de almacenamiento, de bases Intercambio de Informacin y Control de Acceso,
de datos, de seguridades, de aplicaciones del negocio, donde sea aplicable.
de recursos informticos, etc.), lder de proyecto,
personal de capacitacin, personal de mesa de ayuda, b) El Oficial de Seguridad de la Informacin es el
personal de aseguramiento de calidad, programadores encargado de asegurar que los lineamientos para la
(PHP, Java, etc.). utilizacin de los recursos de las Tecnologas de la
10 -- Segundo Suplemento -- Registro Oficial N 88 -- Mircoles 25 de septiembre de 2013
Definir un responsable para administrar la video- a) Verificar a los candidatos, previa su contratacin,
conferencia. el certificado de antecedentes penales y revisar la
informacin entregada en su hoja de vida (*).
Definir y documentar el procedimiento de acceso a b) Entregar formalmente a los funcionarios sus
los ambiente de pruebas y produccin. funciones y responsabilidades (*).
b) Considerar sanciones graduales, dependiendo de a) Retirar los privilegios de acceso a los activos de
factores tales como la naturaleza, cantidad y la informacin y a los servicios de procesamiento de
gravedad de la violacin, as como su impacto en informacin (ej., sistema de directorio, correo
el negocio, el nivel de capacitacin del personal, electrnico, accesos fsicos, aplicaciones de
la legislacin correspondiente (ej., Ley de software, etc.,) inmediatamente luego de que se
Comercio Electrnico, Firmas Electrnicas y comunique formalmente al Oficial de Seguridad
Mensajes de Datos, EGSI, etc., ) y otros factores de la Informacin formalmente la terminacin de
existentes en los procedimientos propios de la la relacin laboral por parte del rea
entidad. correspondiente.
b) Los cambios en la responsabilidad o en el contrato b) Definir una rea de recepcin, con personal y
laboral debern ser gestionados como la otros medios para controlar el acceso fsico al
terminacin de la responsabilidad o el contrato lugar o edificio (*).
Segundo Suplemento -- Registro Oficial N 88 -- Mircoles 25 de septiembre de 2013 -- 13
c) Extender las barreras fsicas necesarias desde el b) Ubicar los equipos de repuesto y soporte a una
piso hasta el techo a fin de impedir el ingreso distancia prudente para evitar daos en caso de
inapropiado y la contaminacin del medio desastre que afecte las instalaciones principales.
ambiente.
c) Suministrar el equipo apropiado contra incendios
d) Disponer de alarmas de incendio y puertas de y ubicarlo adecuadamente.
evacuacin debidamente monitoreadas que
cumplan normas nacionales e internacionales. d) Realizar mantenimientos de las instalaciones
elctricas y UPS.(*)
e) Disponer de un sistema de vigilancia mediante el
uso de circuitos cerrados de televisin. e) Realizar mantenimientos en los sistemas de
climatizacin y ductos de ventilacin (*).
f) Aislar los ambientes de procesamiento de
informacin de los ambientes proporcionados por f) Adoptar controles para minimizar el riesgo de
terceros. amenazas fsicas potenciales como robo, incendio,
explosin, humo, agua, polvo, vibracin, efectos
5.2. Controles de acceso fsico qumicos, interferencia del suministro elctrico e
interferencia a las comunicaciones.
a) Supervisar la permanencia de los visitantes en las
reas restringidas y registrar la hora y fecha de su 5.5. Trabajo en reas seguras
ingreso y salida (*).
a) Dar a conocer al personal, la existencia de un rea
b) Controlar y limitar el acceso, exclusivamente a segura.
personal autorizado, a la informacin clasificada y
a las instalaciones de procesamiento de b) Evitar el trabajo no supervisado para evitar
informacin. Se debe utilizar controles de actividades maliciosas.
autenticacin como tarjetas de control de acceso
ms el nmero de identificacin personal. c) Revisar peridicamente y disponer de un bloqueo
fsico de las reas seguras vacas.
c) Implementar el uso de una identificacin visible
para todo el personal y visitantes, quienes d) No permitir equipos de grabacin, cmaras,
debern ser escoltados por una persona autorizada equipos de vdeo y audio, dispositivos mviles,
para el trnsito en las reas restringidas (*). etc., a menos de que estn autorizados (*).
d) Revisar y actualizar peridicamente los derechos 5.6. reas de carga, despacho y acceso pblico
de accesos a las reas restringidas, mismos que
sern documentados y firmados por el a) Permitir el acceso al rea de despacho y carga,
responsable. nicamente a personal identificado y autorizado
(*).
5.3. Seguridad de oficinas, recintos e instalaciones
b) Descargar y despachar los suministros,
a) Aplicar los reglamentos y las normas en materia nicamente en el rea de descarga y despacho.
de sanidad y seguridad.
c) Asegurar las puertas externas e internas de
b) Proteger las instalaciones claves de tal manera despacho y carga.
que se evite el acceso al pblico (*).
d) Inspeccionar el material que llega para determinar
c) Establecer que los edificios o sitios de posibles amenazas.
procesamiento sean discretos y tengan un
sealamiento mnimo apropiado. e) Registrar el material que llega, de acuerdo a los
procedimientos de gestin de activos.
d) Ubicar las impresoras, copiadoras, etc., en un rea
protegida(*). 5.7. Ubicacin y proteccin de los equipos
e) Disponer que las puertas y ventanas permanezcan a) Ubicar los equipos de modo que se elimine el
cerradas, especialmente cuando no haya acceso innecesario a las reas de trabajo
vigilancia. restringidas.
5.4. Proteccin contra amenazas externas y ambientales. b) Aislar los servicios de procesamiento de
informacin con datos sensibles y elementos que
a) Almacenar los materiales combustibles o requieran proteccin especial, para reducir el
peligrosos a una distancia prudente de las reas riesgo de visualizacin de la informacin de
protegidas. personas no autorizadas.
14 -- Segundo Suplemento -- Registro Oficial N 88 -- Mircoles 25 de septiembre de 2013
e) Disponer de los interruptores de emergencia cerca 5.12. Seguridad en la reutilizacin o eliminacin de los
de las salidas, para suspender el paso de energa equipos
elctrica, en caso de un incidente o problema.
a) Destruir, borrar o sobrescribir los dispositivos que
5.9. Seguridad del cableado contienen informacin sensible utilizando tcnicas
que permitan la no recuperacin de la informacin
a) Disponer de lneas de fuerza (energa) y de original.
telecomunicaciones subterrneas protegidas, en
cuanto sea posible. b) Evaluar los dispositivos deteriorados que
contengan informacin sensible antes de enviar a
b) Proteger el cableado de la red contra la reparacin, borrar la informacin o determinar si
interceptacin o dao. se debera eliminar fsicamente el dispositivo.
f) Controlar el acceso a los mdulos de cableado de d) Registrar cuando el equipo o activo sea retirado y
conexin (patch panel) y cuartos de cableado. cuando sea devuelto.
Segundo Suplemento -- Registro Oficial N 88 -- Mircoles 25 de septiembre de 2013 -- 15
c) Aprobar de manera formal los cambios f) Definir perfiles de usuario para las diferentes
propuestos. instancias o ambientes.
6.6. Monitoreo y revisin de los servicios, por terceros. e) Asegurar que la instalacin del nuevo sistema no
afecte negativamente los sistemas existentes,
a) Identificar los sistemas sensibles o crticos que especialmente en perodos pico de procesamiento.
convenga tener dentro o fuera de la institucin.
f) Considerar el efecto que tiene el nuevo sistema en
b) Monitorear los niveles de desempeo de los la seguridad global de la institucin.
servicios para verificar el cumplimiento de los
acuerdos (*). g) Capacitar sobre el funcionamiento y utilizacin
del nuevo sistema.
c) Analizar los reportes de servicios, reportes de
incidentes elaborados por terceros y acordar h) Para nuevos desarrollos, se debe involucrar a los
reuniones peridicas segn los acuerdos (*). usuarios y a todas las reas relacionadas, en todas
las fases del proceso, para garantizar la eficacia
operativa del sistema propuesto.
d) Revisar y verificar los registros y pruebas de
auditora de terceros, con respecto a eventos de 6.10. Controles contra cdigo malicioso.
seguridad, problemas de operacin, fallas
relacionados con el servicio prestado (*). a) Prohibir el uso de software no autorizado por la
institucin. Elaborar un listado del software
6.7. Gestin de los cambios en los servicios ofrecidos autorizado. (*).
por terceros.
b) Establecer procedimientos para evitar riesgos en
a) Establecer un proceso de gestin de cambios en la obtencin/descarga de archivos y software
los servicios ofrecidos por terceros, en el desde o a travs de redes externas o por cualquier
desarrollo de aplicaciones, provisin de servicios otro medio.
de hardware, software, redes, otros.
c) Instalar y actualizar peridicamente software de
b) Coordinar el proceso de cambio cuando se antivirus y contra cdigo malicioso (*).
necesita realizar cambios o mejoras a las redes y
uso de nuevas tecnologas en los servicios d) Mantener los sistemas operativos y sistemas de
ofrecidos por terceros. procesamiento de informacin actualizados con
las ltimas versiones de seguridad disponibles (*).
c) Coordinar el proceso de cambio cuando se realice
cambio de proveedores, cambio de ubicacin e) Revisar peridicamente el contenido de software
fsica en los servicios ofrecidos por terceros. y datos de los equipos de procesamiento que
sustentan procesos crticos de la institucin.
6.8. Gestin de la capacidad
f) Verificar antes de su uso, la presencia de virus en
a) Realizar proyecciones de los requerimientos de archivos de medios electrnicos o en archivos
capacidad futura de recursos para asegurar el recibidos a travs de redes no confiables.
desempeo de los servicios y sistemas
informticos (*). g) Redactar procedimientos para verificar toda la
informacin relativa a software malicioso.
b) Monitorear los recursos asignados para garantizar
la capacidad y rendimiento de los servicios y h) Emitir boletines informativos de alerta con
sistemas informticos. informacin precisa.
d) Establecer controles criptogrficos para autenticar e) Disponer de un esquema de red de los enlaces de
de forma nica el cdigo mvil. datos, Internet y redes locales, as como la
documentacin respectiva.
6.12. Respaldo de la informacin.
6.14. Seguridad de los servicios de la red.
a) Los responsables del rea de Tecnologas de la
Informacin, Oficial de Seguridad de la a) Incorporar tecnologa para la seguridad de los
Informacin junto con el propietario de la servicios de red como la autenticacin,
informacin, determinarn los procedimientos encriptacin y controles de conexin de red (*).
para el resguardo y contencin de la informacin
(*).
b) Implementar soluciones que proporcionen valor
agregado a las conexiones y servicios de red,
b) Definir el procedimiento de etiquetado de las
como la implementacin de firewalls, antivirus,
copias de respaldo, identificando su contenido,
etc. (*)
periodicidad y retencin (*).
d) Garantizar la aplicacin de los controles mediante c) Tener un registro actualizado de los receptores de
actividades de supervisin. los medios.
18 -- Segundo Suplemento -- Registro Oficial N 88 -- Mircoles 25 de septiembre de 2013
a) Guardar con seguridad toda la documentacin de c) Definir normas tcnicas para el empaquetado y
los sistemas informticos. transmisin.
6.19. Polticas y procedimientos para el intercambio de g) Conocer los trminos y condiciones de las
informacin. licencias de software privativo o suscripciones de
software de cdigo abierto bajo las cuales se
a) Establecer procedimientos para proteger la utiliza el software.
informacin intercambiada contra la interpretacin,
copiado, modificacin, enrutamiento y destruccin. h) Conocer sobre la propiedad de la informacin y
las condiciones de uso.
b) Definir procedimientos para deteccin y proteccin
contra programas maliciosos, cuando se utilizan i) Definir procedimientos tcnicos para la grabacin
comunicaciones electrnicas. y lectura de la informacin y del software en el
intercambio de informacin.
c) Proteger la informacin sensible que se encuentra
en forma de adjunto. 6.21. Medios fsicos en trnsito
d) Establecer directrices para el uso de los servicios de a) Utilizar transporte confiable o servicios de
comunicacin electrnica. mensajera.
e) Definir procedimientos para el uso de las redes b) Establecer una lista de mensajera aprobada por la
inalmbricas en base a los riesgos involucrados. direccin
h) Definir directrices de retencin y eliminacin de la e) Adoptar controles especiales cuando sea necesario
correspondencia incluyendo mensajes, segn la proteger informacin sensible, su divulgacin y
normativa legal local. modificacin.
d) Encriptar los contenidos y/o informacin sensibles e) Establecer procedimientos para que las
que puedan enviarse por mensajera electrnica; transacciones se encuentren fuera del entorno de
utilizando firmas electrnicas reconocidas por el acceso pblico.
Estado Ecuatoriano u otras tecnologas evaluadas
y aprobadas por la entidad o el Gobierno f) Utilizar los servicios de una entidad certificadora
Nacional. confiable.
d) Establecer protocolos seguros en la comunicacin Archivos a los que se han tenido acceso;
de las partes involucradas por ejemplo, utilizando
SSL/TLS). Programas y utilitarios utilizados;
20 -- Segundo Suplemento -- Registro Oficial N 88 -- Mircoles 25 de septiembre de 2013
7.5. Revisin de los derechos de acceso de los usuarios c) Desconectar de la red, servicio o sistema, las
computadoras personales, terminales, impresoras
a) Realizar las depuraciones respectivas de los asignadas a funciones crticas, cuando se
accesos de los usuarios, determinando un perodo encuentren desatendidas. Por ejemplo, haciendo
mximo de 30 das; en casos de presentar cambios uso de protectores de pantalla con clave (*).
22 -- Segundo Suplemento -- Registro Oficial N 88 -- Mircoles 25 de septiembre de 2013
d) Proteger los puntos de recepcin de correo y fax 7.12. Proteccin de los puertos de configuracin y
cuando se encuentren desatendidas. diagnstico remoto
g) Retirar informacin sensible, como las claves, de b) Los puertos, servicios (ej., fftp) que no se
sus escritorios y pantallas (*). requieren por necesidades de la institucin,
debern ser eliminados o deshabilitados (*).
h) Retirar los dispositivos removibles una vez que se
hayan dejado de utilizar (*).
7.13. Separacin en las redes
i) Cifrar los discos duros de los computadores
personales (escritorio, porttiles, etc.) y otros a) Realizar una evaluacin de riesgos para identificar
dispositivos que se considere necesarios, de las los segmentos de red donde se encuentren los
mximas autoridades de la institucin. activos crticos para la institucin (*).
7.9. Poltica de uso de los servicios de red b) Dividir las redes en dominios lgicos de red,
dominios de red interna, dominios de red externa
a) Levantar un registro de los servicios de red la e inalmbrica.
institucin.
c) Documentar la segregacin de red, identificando
b) Identificar por cada servicio los grupos de las direcciones IP que se encuentran en cada
usuarios que deben acceder. segmento de red.
c) Definir los perfiles y roles para cada grupo de d) Configurar la puerta de enlace (gateway) para
usuarios que tenga acceso a la red y sus servicios. filtrar el trfico entre dominios y bloquear el
acceso no autorizado.
d) Definir mecanismos de bloqueos para que sea
restringido el acceso de equipos a la red. e) Controlar los flujos de datos de red usando las
capacidades de enrutamiento/conmutacin (ej.,
7.10. Autenticacin de usuarios para conexiones listas de control de acceso).
externas
f) La separacin de las redes debe ejecutarse en base
a) Generar mecanismos para asegurar la informacin a la clasificacin de la informacin almacenada o
transmitida por los canales de conexin remota, procesada en la red, considerando que el objetivo
utilizando tcnicas como encriptacin de datos, es dar mayor proteccin a los activos de
implementacin de redes privadas virtuales informacin crticos en funcin del riesgo que
(VPN) y Servicio de Acceso Remoto (SAR) (*). stos podran presentar.
7.11. Identificacin de los equipos en las redes 7.14. Control de conexin a las redes
Las puertas de enlace de la seguridad (gateway) a) Rastrear utilizando los identificadores de usuario
se pueden usar para validar la direccin y evidenciar las actividades de las personas
fuente/destino en los puntos de control de las responsables de administraciones crticas de la
redes internas y externas, si se emplean institucin (*).
tecnologas proxy y/o de traduccin de
direcciones de red. b) Usar como excepcin, y solo por temas de
necesidad de la institucin, identificadores de
Las instituciones que utilizan proxys y quienes usuarios para un grupo de usuarios o de trabajo
definen las listas de control de acceso (LCA), especfico, el cual debe estar definido y
deben estar conscientes de los riesgos en los documentado (*).
mecanismos empleados, a fin de que no existan
usuarios o grupos de usuarios con salida libre y c) Las actividades de usuarios regulares no deben ser
sin control, en base a las polticas de la realizadas desde cuentas privilegiadas.
institucin.
d) Evitar el uso de usuarios genricos (*).
7.16. Procedimiento de registro de inicio seguro
e) Utilizar mtodos alternos a la contrasea, como
los medios criptogrficos, las tarjetas inteligentes,
a) Autenticar usuarios autorizados, de acuerdo a la
tokens o medios biomtricos de autenticacin (*).
poltica de control de acceso de la institucin, que
deber estar documentada, definida y socializada
f) La identificacin de usuario es nica e
(*).
intransferible, por lo que, debe estar registrado y
evidenciado en la poltica de accesos que no se
b) Llevar un registro de definicin para el uso de permite el uso de una identificacin de usuario de
privilegios especiales del sistema (*). otra persona, y el responsable de toda actividad
realizada con este identificador responder a
c) Llevar un proceso de monitoreo y registro de los cualquier accin realizada con ste.
intentos exitosos y fallidos de autenticacin del
sistema, registros de alarmas cuando se violan las
7.18. Sistema de gestin de contraseas
polticas de seguridad del sistema (*).
a) Evidenciar en la poltica de accesos, la
d) Utilizar mecanismos como: uso de dominios de
responsabilidad del buen uso de la contrasea y
autenticacin, servidores de control de acceso y
que debe ser secreta e intransferible (*).
directorios (*).
b) Controlar el cambio de contrasea de los usuarios
e) Restringir el tiempo de conexin de los usuarios,
y del personal de tecnologa y de los
considerando las necesidades de la institucin (*).
administradores de tecnologa, en rangos de
tiempo y complejidad (*).
f) Controlar que no se muestren identificadores de
aplicacin ni de sistema, hasta que el proceso de
c) Forzar el cambio de contrasea en el primer
registro de inicio se haya completado
registro de acceso o inicio de sesin (*).
exitosamente (*).
limitacin del uso de programas utilitarios a la c) Evitar poner en riesgo otros sistemas con los que
cantidad mnima viable de usuarios de se comparten los recursos de informacin.
confianza autorizados;
7.23. Restriccin de acceso a la informacin
autorizacin del uso de programas utilitarios
no estandares de la entidad; a) Controlar el acceso a las funciones de los sistemas
y aplicaciones.
limitacin del tiempo de uso de programa
utilitarios; b) Definir mecanismos de control para los derechos
de acceso de los usuarios, para lectura, escritura,
registro de todo uso de programas utilitarios; eliminacin y ejecucin de informacin.
c) Utilizar funciones de agregar, modificar y borrar d) Crear un registro de las actividades del proceso de
para implementar los cambios en los datos. El validacin de la salida de datos.
borrado a travs de los sistemas ser siempre un
borrado lgico de los datos. e) Generar protocolos de pruebas y los casos de
pruebas para la validacin de los datos de
d) Crear registros de auditora, al insertar y salida.
actualizar datos; y, si se requiere segn el
sistema, se mantendr el registro (logs) de
consultas de datos. 8.6. Poltica sobre el uso de controles criptogrficos.
f) Crear el procedimiento y/o herramientas para la b) Utilizar controles criptogrficos para la proteccin
revisin peridica de los registros de auditora de claves de acceso a: sistemas, datos y servicios.
para detectar cualquier anomala en la ejecucin Las claves debern ser almacenadas de manera
de las transacciones. codificada, cifrada (encriptada) en la base de
datos y/o en archivos de parmetros.
g) Identificar, crear y utilizar programas para la
recuperacin de datos despus de fallas, con el fin c) Desarrollar procedimientos de administracin de
de garantizar el procesamiento correcto de los claves, de recuperacin de informacin cifrada en
datos. caso de prdida, de compromiso o dao de las
claves y de reemplazo de claves de cifrado.
h) Utilizar controles para mantener integridad de
registros y archivos. d) Utilizar controles de cifrado (criptogrficos) para
la transmisin de informacin clasificada, fuera
i) Utilizar controles para proteccin contra ataques del mbito de la institucin.
por desbordamiento/exceso en el buffer.
e) Utilizar controles de cifrado (criptogrficos) para
j) Definir y ejecutar peridicamente, procedimientos la proteccin de la informacin sensible
de recuperacin de sistemas, que verifiquen la transportada por medios mviles o removibles,
ejecucin de los sistemas en caso de una falla o por dispositivos especiales, o a travs de los
desastre, esto estar a cargo del administrador medios de comunicacin.
tcnico de la aplicacin o sistema.
f) Definir las normas de controles de cifrado
k) Definir los procedimientos que aseguren el orden (criptogrficos) que se adoptarn, para la
correcto de ejecucin de los sistemas, la implementacin eficaz en toda la institucin;
finalizacin programada en caso de falla y la establecer la solucin a usar para cada proceso del
detencin de las actividades de procesamiento, negocio.
hasta que el problema sea resuelto.
g) Los responsables del rea de Tecnologas de la
8.4. Integridad del mensaje Informacin propondrn la siguiente asignacin
de funciones:
a) Cuando una aplicacin tenga previsto el envo de
mensajes que contengan informacin reservada o Implementacin de la Poltica de Controles
confidencial, se implementarn los controles
criptogrficos determinados en el punto 8.6 Administracin de claves: gestin de claves,
Poltica sobre uso de controles criptogrficos. incluyendo su generacin
Segundo Suplemento -- Registro Oficial N 88 -- Mircoles 25 de septiembre de 2013 -- 27
Redactar las normas y procedimientos para e) Definir un procedimiento que establezca los pasos
almacenar claves, incluyendo la forma de a seguir para implementar las autorizaciones para
acceso a las mismas, por parte de los usuarios el paso a produccin, el informe de pruebas
autorizados. previas y el informe de paso a produccin.
Redactar las normas y procedimientos para f) Disponer del informe de paso a produccin, el
cambiar o actualizar claves, incluyendo reglas cual contendr informacin de todos los cambios
sobre cundo y cmo deben cambiarse las a realizar y el plan de contingencia.
claves.
g) Guardar o instalar nicamente los ejecutables y
Redactar las normas y procedimientos para cualquier elemento necesario para la ejecucin de
revocar claves, incluyendo cmo deben un software en el ambiente de produccin.
retirarse o desactivarse las mismas.
h) Implementar el ensayo en el ambiente de pruebas.
Redactar las normas y procedimientos para Este ambiente debe ser similar al ambiente de
archivar claves; por ejemplo, para la produccin. El ensayo ser en base al informe de
informacin archivada o resguardada. paso a produccin. Se ejecutarn todas las
acciones definidas y se realizarn pruebas sobre
capacidad de uso, seguridad, efectos en otros
Redactar las normas y procedimientos para
sistemas y facilidad para el usuario.
destruir claves.
i) Llevar un registro de auditora de las
Redactar las normas y procedimientos para actualizaciones realizadas.
registrar y auditar las actividades relativas a la
administracin de claves.
j) Retener las versiones previas del sistema, como
medida de contingencia.
8.8. Control del software operativo
k) Denegar permisos de modificacin a los
a) Definir y aplicar procesos de control de cambios desarrolladores, sobre los programas fuentes bajo
para la implementacin del software en su custodia.
produccin, a fin de minimizar el riesgo de
alteracin de los sistemas.
l) Usar un sistema de control de configuracin para
mantener el control del software instalado, as
b) Definir el proceso de paso a produccin para cada como de la documentacin del sistema.
sistema.
m) Entregar acceso fsico o lgico al ambiente
c) Ningn programador o analista de desarrollo y produccin nicamente para propsitos de
mantenimiento de aplicaciones podr acceder a soporte, cuando sea necesario y con aprobacin
los ambientes de produccin. del responsable del rea de Tecnologas de la
Informacin, esto se realizar tanto para usuarios
d) Asignar un responsable de la implantacin de internos de la direccin como para proveedores.
cambios por sistema (no podr ser personal que
pertenezca al rea de desarrollo o n) Monitorear las actividades de soporte realizadas
mantenimiento), quien tendr como funciones sobre el ambiente de produccin.
principales:
8.9. Proteccin de los datos de prueba del sistema
Coordinar la implementacin de
modificaciones o nuevos programas en el a) Identificar por cada sistema, los datos que pueden
ambiente de Produccin. ser copiados de un ambiente de produccin a un
ambiente de pruebas.
Asegurar que los aplicativos en uso, en el
ambiente de Produccin, sean los autorizados b) Efectuar pruebas de los sistemas en el ambiente
y aprobados de acuerdo a las normas y de pruebas, sobre datos extrados del ambiente de
procedimientos vigentes. produccin.
Segundo Suplemento -- Registro Oficial N 88 -- Mircoles 25 de septiembre de 2013 -- 29
c) Solicitar autorizacin formal para realizar una 8.10. Control de acceso al cdigo fuente de los
copia de la base de datos de produccin como programas
base de datos de prueba.
a) Asignar a un Administrador de programas fuentes,
d) Personalizar los datos en el ambiente de pruebas, quien tendr en custodia los programas fuentes y
eliminando las contraseas de produccin y deber:
generando nuevas para pruebas.
Utilizar un manejador de versiones para los
e) Identificar los datos crticos que debern ser cdigo fuentes, proporcionar permisos de
modificados o eliminados del ambiente de acceso a los desarrolladores bajo
pruebas. autorizaciones.
f) Aplicar los mismos procedimientos de control de
acceso que existen en la base de produccin. Proveer al rea de Desarrollo los programas
fuentes solicitados para su modificacin,
g) Eliminar inmediatamente, una vez completadas manteniendo en todo momento la correlacin
las pruebas, la informacin de produccin programa fuente/ejecutable.
utilizada.
Llevar un registro actualizado de todos los
h) Registrar la copia y la utilizacin de la programas fuentes en uso, indicando nombre
informacin para futuras auditoras. del programa, programador, autorizador,
versin, fecha de ltima modificacin y
i) Controlar que la modificacin, actualizacin o fecha/hora de compilacin y estado (en
eliminacin de los datos operativos (de modificacin o en produccin).
produccin) sern realizados a travs de los
sistemas que procesan esos datos, y de acuerdo al
Verificar que el autorizador de la solicitud de
esquema de control de accesos implementado en
un programa fuente sea el designado para la
los mismos.
aplicacin, rechazando el pedido en caso
contrario.
j) Se considerarn como excepciones, los casos en
que se requiera realizar modificaciones
directamente sobre la base de datos. El Oficial de Registrar cada solicitud aprobada.
Seguridad de la Informacin definir los
procedimientos para la gestin de dichas Administrar las distintas versiones de una
excepciones que contemplarn lo siguiente: aplicacin.
Se generar una solicitud formal para la Asegurar que un mismo programa fuente no
realizacin de la modificacin o actualizacin sea modificado simultneamente por ms de
del dato. No se aceptar eliminacin de datos un desarrollador, sin un manejador de
bajo ninguna circunstancia. versiones.
El Propietario de la Informacin afectada y el
b) Establecer que todo programa objeto o ejecutable
Oficial de Seguridad de la Informacin
en produccin tenga un nico programa fuente
aprobarn la ejecucin del cambio evaluando
asociado que garantice su origen.
las razones por las cuales se solicita.
h) Realizar las copias de respaldo de los programas c) Obtener aprobacin formal por parte del
fuentes cumpliendo los requisitos de seguridad responsable del rea de Tecnologas de la
establecidos como respaldos de informacin. Informacin para las tareas detalladas, antes de
comenzar las tareas.
i) Cuando sea posible, las bibliotecas fuente de
programas no se debern mantener en los sistemas d) Mantener un registro de los niveles de
operativos. autorizacin acordados.
Script de creacin de tareas peridicas, en o) Definir si los cambios a realizar tienen impacto
caso de ser necesario; sobre la continuidad del servicio. Si un cambio
implica mucha funcionalidad o impacto al
Plan de contingencia; software base o infraestructura, se deber realizar
un procedimiento ms complejo de cambio, para
Protocolo de pruebas de verificacin el que se apruebe con un plan de contingencia y se
cambio; identifiquen los riesgos posibles.
Segundo Suplemento -- Registro Oficial N 88 -- Mircoles 25 de septiembre de 2013 -- 31
8.12. Revisin tcnica de las aplicaciones despus de los b) Garantizar que un tercero no pueda deducir,
cambios en el sistema operativo extraer informacin de las comunicaciones,
sistemas de modulacin o de enmascaramiento, a
a) Revisar los procedimientos de integridad y control partir de un comportamiento especfico.
de aplicaciones para garantizar que no hayan sido
comprometidas por el cambio. c) Adquirir o desarrollar programas acreditados o
productos ya evaluados.
b) Garantizar que los cambios en el sistema
operativo sean informados con anterioridad a la d) Realizar un monitoreo regular de las actividades
implementacin. del personal y del sistema.
c) Probar que los cambios realizados retornen la e) Realizar un monitoreo del uso de los recursos en
funcionalidad esperada. los sistemas de computador y transmisin de
datos por la red.
d) Realizar las pruebas inmediatamente despus de
realizar el cambio y durante la ventana de
f) Restringir el envo de informacin a correos
mantenimiento definida para el cambio.
externos no institucionales.
e) Disponer de un protocolo de pruebas a realizar.
g) Prevenir y restringir el acceso no autorizado a la
red.
f) Entregar un informe de las pruebas realizadas.
g) Identificar si existen problemas con los cambios, h) Examinar los cdigos fuentes (cuando sea
para aplicar el plan de contingencia o realizar el posible) antes de utilizar los programas.
retorno al estado anterior al cambio.
i) Controlar el acceso y las modificaciones al cdigo
8.13. Restriccin del cambio de paquetes de software instalado.
a) Disponer de la autorizacin del Responsable del j) Utilizar herramientas para la proteccin contra la
rea de Tecnologas de la Informacin que infeccin del software con cdigo malicioso.
apruebe el cambio.
8.15. Desarrollo de software contratado externamente
b) Analizar los trminos y condiciones de la licencia,
si es del caso, a fin de determinar si las a) Definir acuerdos de licencias, acuerdos de uso,
modificaciones se encuentran autorizadas. propiedad de cdigo y derechos conferidos.
g) Probar y documentar en su totalidad todos los f) Realizar pruebas antes de la instalacin para
cambios, de manera que se puedan volver a detectar cdigos troyanos o maliciosos.
aplicar, si es necesario, para mejoras futuras del
software. 8.16. Control de las vulnerabilidades tcnicas
del software, nmeros de versin, estado actual de n) Conservar un registro para auditora de todos los
despliegue y las personas de la institucin procedimientos efectuados.
responsables del software.
o) Monitorear y evaluar a intervalos regulares las
b) Definir e instaurar las funciones y vulnerabilidades tcnicas, para garantizar eficacia
responsabilidades asociadas con la gestin de la y eficiencia.
vulnerabilidad tcnica, incluyendo el monitoreo
de la vulnerabilidad, la evaluacin de riesgos de p) Tratar primero los sistemas con alto riesgo.
la vulnerabilidad, el uso de parches, el rastreo de
activos y todas las responsabilidades de 9. GESTIN DE LOS INCIDENTES DE LA
coordinacin requeridas. SEGURIDAD DE LA INFORMACIN
c) Identificar los recursos de informacin que se van 9.1. Reporte sobre los eventos de seguridad de la
a utilizar para identificar las vulnerabilidades informacin
tcnicas pertinentes y para mantener la
concienciacin sobre ellas para el software y otras a) Instaurar un procedimiento formal para el reporte
tecnologas, con base en la lista de inventario de de los eventos de seguridad de la informacin
activos. junto con un procedimiento de escalada y
respuesta ante el incidente, que establezca la
d) Actualizar los recursos de informacin en funcin accin que se ha de tomar al recibir el reporte
de los cambios en el inventario o cuando se sobre un evento que amenace la seguridad de la
encuentren recursos nuevos o tiles. informacin (*).
e) Definir una lnea de tiempo para reaccionar ante b) Establecer un punto de contacto (Oficial de
la notificacin de vulnerabilidades tcnicas Seguridad de la Informacin) para el reporte de
potenciales pertinentes. los eventos de seguridad de la informacin. Es
conveniente garantizar que este punto de contacto
f) Identificar los riesgos asociados a una sea conocido en toda la institucin, siempre est
vulnerabilidad potencial y las acciones que se han disponible y puede suministrar respuesta oportuna
de tomar; tales acciones podran involucrar el uso y adecuada. Todos los empleados, contratistas y
de parches en los sistemas vulnerables y/o la usuarios contratados por los proveedores debern
aplicacin de otros controles. tener conciencia de su responsabilidad para
reportar todos los eventos de seguridad de la
g) Definir la urgencia y las acciones a tomar para informacin lo ms pronto posible.
tratar la vulnerabilidad tcnica identificada, se
realizar conforme a los controles relacionados c) Cuando un incidente se produzca, el funcionario
con la gestin de cambios o siguiendo los en turno responsable del equipo o sistema
procedimientos de respuesta ante incidentes de afectado, debe realizar las siguientes acciones en
seguridad de la informacin. su orden (*):
k) Adaptar o agregar controles de acceso; por Asignar una prioridad de atencin al incidente
ejemplo, cortafuegos (firewalls), en las fronteras en el caso de que se produjeran varios en
de la red. forma simultanea.
c) Para lograr el peso de la evidencia, se debe ALCANCE: Procesos y operaciones que son
demostrar la calidad y cabalidad de los controles cubiertos y recursos que utilizan los procesos
empleados para proteger correcta y u operaciones
consistentemente la evidencia (es decir, evidencia
del control del proceso) en todo el periodo en el RESPONSABILIDADES: Diferentes respon-
cual la evidencia por recuperar se almacen y sables implicados en la gestin de la
proces, mediante un rastreo slido de la continuidad de los servicios informticos
evidencia. En general, dicho rastreo slido se
puede establecer en las siguientes condiciones: d) Garantizar la continuidad incorporando los
procesos generados en la estructura de la
Se debern tomar duplicados o copias de institucin.
todos los medios removibles, la informacin
en los discos duros o la memoria para
10.2. Continuidad del negocio y evaluacin de riesgos
garantizar la disponibilidad; es conveniente
conservar el registro de todas las acciones
a) Definir los procesos y actividades de los servicios
durante el proceso de copiado y dicho proceso
y aplicaciones,
debera tener testigos; y, el medio y el registro
originales se debern conservar intactos y de
b) Entender las complejidades e interrelaciones
forma segura;
existentes entre equipamiento, personas, tareas,
departamentos, mecanismos de comunicacin y
Se debe proteger la integridad de todo el relaciones con proveedores externos, los cuales
material de evidencia. El proceso de copia del pueden prestar servicios crticos que deben ser
material de evidencia debe estar supervisado considerados.
por personal de confianza y se debe registrar
la informacin sobre cundo y cmo se
c) Identificar y valorar el impacto de las
realiz dicho proceso, quin ejecut las
interrupciones de los procesos, aplicaciones y
actividades de copiado y qu herramientas o
servicios de los servicios informticos, para
programas se utilizaron.
cuantificar y calificar los impactos y saber sus
efectos.
10. GESTIN DE LA CONTINUIDAD DEL
NEGOCIO d) Identificar el tiempo mximo de interrupcin
permitida para cada servicio o aplicacin crtica;
10.1. Inclusin de la seguridad de la informacin en el por ejemplo, 30 minutos, una hora o un da.
proceso de gestin de la continuidad del negocio
e) Analizar los riesgos, identificando las amenazas
a) El Responsable del rea de Tecnologas de la sobre los activos y su probabilidad de ocurrencia.
Informacin o su similar ser designado como
coordinador de continuidad de los servicios f) Analizar las vulnerabilidades asociadas a cada
informticos, que se encargar de supervisar el activo y el impacto que puedan provocar sobre la
proceso de elaboracin e implantacin del plan de disponibilidad.
continuidad, as como de la seguridad del
personal. g) Obtener un mapa de riesgos que permita
identificar y priorizar aquellos que pueden
b) Identificar los activos involucrados en los provocar una paralizacin de las actividades de la
procesos crticos de los servicios informticos, as institucin.
como de las actividades que se deben realizar.
h) Crear una estrategia de gestin de control de
c) Elaborar la poltica de continuidad de los riesgos y el plan de accin.
servicios informticos determinando los objetivos
y el alcance del plan, as como las funciones y 10.3. Desarrollo e implementacin de planes de
responsabilidades; un documento que establezca a continuidad que incluyan la seguridad de la
alto nivel los objetivos, el alcance y las informacin
responsabilidades en la gestin de la continuidad.
Por ejemplo, la plantilla del documento debera a) Definir los equipos para ejecucin del plan, donde
contener: se destacan las funciones claves que sern
realizadas por los responsables:
INTRODUCCIN: Detallando de forma
resumida de que se trata, la estructura del Responsables de respuestas a incidentes:
documento y que se persigue. analizan el impacto del incidente;
Segundo Suplemento -- Registro Oficial N 88 -- Mircoles 25 de septiembre de 2013 -- 35
Logstica: responsable de reunir todos los lugares temporales alternos, y para devolver la
medios para ayudar a la puesta en operacin operatividad de los procesos en los plazos
de las actividades; establecidos.
Mtodos, procedimientos y procesos para la c) Realizar auditoras tanto internas como externas,
recuperacin de los servicios. identificando el tipo y alcance de la auditora a
realizar, se entregar un plan de medidas
10.4. Estructura para la planificacin de la continuidad correctivas para llevar a cabo las recomen-
del negocio daciones acordadas.
d) Definir los acuerdos de niveles de servicios a) Inventariar todas las normas legales, estatutarias,
internos y con proveedores. reglamentarias y contractuales pertinentes para
cada programa de software, servicio informtico y
e) Definir los contratos para servicios de en general todo activo de informacin que utiliza
recuperacin, si fuera el caso. la institucin.
f) Definir las condiciones para activar los planes que b) Organizar para cada activo de informacin las
describen el proceso a seguir antes de activar cada normas legales, estatutarias, reglamentarias y
plan, as como sus responsabilidades. contractuales pertinentes.
11.7. Cumplimiento con las polticas y las normas de la e) Ejecutar o contratar pruebas de penetracin y
seguridad evaluaciones de la vulnerabilidad, las cuales
pueden ser realizadas por expertos independientes
a) Revisar en intervalos regulares reportes e especialmente contratados para este propsito.
informes de seguridad de los sistemas de Ello puede ser til para detectar vulnerabilidades
informacin. en el sistema y verificar qu tan efectivos son los
controles evitando el acceso no autorizado debido
b) Auditar las plataformas tcnicas y los sistemas de a estas vulnerabilidades. Las pruebas de
informacin para determinar el cumplimiento de penetracin y las evaluaciones de vulnerabilidad
las normas aplicables sobre implementacin de la no deben substituir las evaluaciones de riesgos.
seguridad y sus controles.
11.9. Controles de auditora de los sistemas de
c) Revisar con regularidad en su rea de informacin
responsabilidad, el cumplimiento del
procesamiento de informacin de acuerdo con la a) Salvaguardar los servicios de procesamiento de
poltica de la seguridad, las normas y cualquier informacin y las herramientas de auditora
otro requisito de seguridad. Si se determina algn durante las auditoras de los sistemas de
incumplimiento o no conformidad como resultado informacin.
de la revisin, la direccin deber:
b) Proteger la integridad y evitar el uso inadecuado
Determinar la causa del incumplimiento de las herramientas de auditora.
Evaluar la necesidad de acciones para c) Acordar los requisitos as como el alcance de las
garantizar que no se repitan estos auditoras con la direccin correspondiente.
incumplimientos
d) nicamente se deber dar a los auditores acceso
Determinar e implementar la accin correctiva de lectura a la informacin.
apropiada
e) Identificar explcitamente y poner en disposicin
Revisar la accin correctiva que se ejecut los recursos correspondientes, para llevar a cabo
las auditoras.
d) Registrar y conservar los resultados de las
revisiones y las acciones correctivas llevadas a f) Identificar y acordar los requisitos para el
cabo por la direccin. Los directores debern procesamiento especial o adicional.
informar de los resultados a las personas que
realizan revisiones independientes, cuando la g) Monitorear y registrar todo acceso para crear un
revisin independiente tiene lugar en el rea de su rastreo para referencia. El uso de rastreos de
responsabilidad. referencia de tiempo se debe considerar para datos
o sistemas crticos.
11.8. Verificacin del cumplimiento tcnico
h) Documentar todos los procedimientos, requisitos
a) Verificar el cumplimiento tcnico bien sea y responsabilidades de la auditora.
manualmente (con soporte de las herramientas de
software apropiadas, si es necesario) por un i) Asegurar que la persona que realiza la auditora
ingeniero de sistemas con experiencia, y/o con la sea independiente de las actividades auditadas.
ayuda de herramientas automticas que generen
un informe tcnico para la interpretacin posterior 11.10. Proteccin de las herramientas de auditora de
por parte del especialista tcnico. los sistemas de informacin
Activo: Todo bien que tiene valor para la institucin. Este ambiente no se actualizar con la informacin de
produccin para realizar pruebas.
Ambiente de Desarrollo: tiene las siguientes
caractersticas: Este ambiente tambin debe ser considerado para los
respaldos de datos.
En este ambiente se desarrollan los programas fuentes
se almacena toda la informacin relacionada con el Ambiente de Produccin: tiene las siguientes
anlisis y diseo de los sistemas. caractersticas:
El analista o programador (desarrollador) tiene total Es donde se ejecutan los sistemas y se encuentran los
dominio sobre el ambiente, y puede instalar datos productivos.
componentes o actualizar versiones del software base.
Los programas fuentes certificados se guardan en un
Todos los cambios del cdigo, de software base y de repositorio de fuentes de produccin, almacenndolos
componentes deben ser debidamente documentados. mediante un sistema de control de versiones que maneja
el administrador de programas fuentes y donde se
registran los datos del programador que hizo la
Se registra en el sistema el control de versiones que
modificacin, fecha, hora y tamao de los programas
administra el Administrador de programas fuentes.
fuentes y objetos o ejecutables.
El desarrollador realiza las pruebas con los datos de la El implementador compila el programa fuente dentro
base de datos desarrollo. del ambiente de produccin, asegurando que hay una
correspondencia biunvoca con el ejecutable en
Cuando se considera que el programa est terminado, se produccin y luego (este fuente) se elimina, dejndolo
lo pasa al ambiente de pruebas junto con la en el repositorio de programas fuentes.
documentacin requerida que se le entregar al
implementador de ese ambiente. Procedimientos de la misma naturaleza que el anterior,
debern aplicarse para las modificaciones de cualquier
Ambiente de Pruebas: tiene las siguientes caractersticas: otro elemento que forme parte del sistema; por ejemplo:
modelo de datos de la base de datos o cambios en los
Este ambiente es utilizado para realizar pruebas previas parmetros, etc. Las modificaciones realizadas al
al paso a produccin. software de base (Sistemas Operativos, Motores de
bases de datos, software middleware) debern cumplir
idnticos pasos, slo que las implementaciones las
Deber disponer del mismo software base que el
realizarn los propios administradores.
ambiente produccin.
El personal de desarrollo, como el proveedor de los
El implementador de este ambiente recibe el programa aplicativos, no deben tener acceso al ambiente de
y la documentacin respectiva y realiza una prueba produccin, as como tampoco a los datos reales para la
general con un lote de datos para tal efecto. realizacin de las pruebas en el Ambiente de Prueba.
Para casos excepcionales, se debe documentar
El testeador realiza las pruebas con los datos de la base adecuadamente la autorizacin, los trabajos realizados y
de datos de pruebas. Si no se detectan errores de monitorearlos en todo momento.
ejecucin, los resultados de las rutinas de seguridad son
correctas de acuerdo a las especificaciones y se Comit de Gestin de Seguridad de la Informacin:
considera que la documentacin presentada es Estar integrado al menos por: el Director Administrativo,
completa, entonces se emite un informe favorable y se el Responsable del rea de Recursos Humanos, el
pasa el programa fuente al implementador de Responsable del rea de Tecnologas de la Informacin, el
produccin por medio del sistema de control de Responsable de Auditora Interna y el Oficial de Seguridad
versiones y se le entrega las instrucciones. Caso de la Informacin. Este ente contar con un Coordinador
contrario, vuelve atrs el ciclo devolviendo el programa (Oficial de Seguridad de la Informacin), quien cumplir la
al desarrollador, junto con un detalle de las funcin de impulsar la implementacin del Esquema
observaciones. Gubernamental de Seguridad de la Informacin.
40 -- Segundo Suplemento -- Registro Oficial N 88 -- Mircoles 25 de septiembre de 2013
Confidencialidad: Se garantiza que la informacin sea qu usuarios debern tener permisos de acceso a la
accesible slo a aquellas personas autorizadas a tener informacin de acuerdo a sus funciones y competencia.
acceso a la misma.
Responsable del rea de Recursos Humanos: Cumplir
Disponibilidad: Se garantiza que los usuarios autorizados la funcin de comunicar a todo el personal que ingresa, de
tengan acceso a la informacin y a los recursos relacionados sus obligaciones respecto del cumplimiento del Esquema
con la misma, toda vez que lo requieran. Gubernamental de Seguridad de la Informacin y de todas
las normas, procedimientos y prcticas que de l surjan.
Asimismo, tendr a su cargo, la difusin del presente
Informacin: Es uno de los activos ms importantes de las
documento a todo el personal, de los cambios que en ella se
instituciones, en las formas que esta se manifieste:
produzcan, de la implementacin de la suscripcin de los
textuales, numricas, grficas, cartogrficas, narrativas o
Compromisos de Confidencialidad (entre otros) y de las
audiovisuales, y en cualquier medio, magntico, papel,
tareas de capacitacin continua en materia de seguridad en
electrnico, computadoras, audiovisual y otros.
coordinacin con el Oficial de Seguridad de la Informacin.
Integridad: Se salvaguarda la exactitud y totalidad de la Responsable del rea de Tecnologas de la Informacin:
informacin y los mtodos de procesamiento. Cumplir la funcin de cubrir los requerimientos de
seguridad informtica establecidos para la operacin,
Oficial de Seguridad de la Informacin: Ser el administracin y comunicacin de los sistemas y recursos
responsable de coordinar las acciones del Comit de de tecnologa de la institucin. Por otra parte, tendr la
Seguridad de la Informacin y de impulsar la funcin de supervisar las tareas de desarrollo y
implementacin y cumplimiento del Esquema mantenimiento de sistemas, siguiendo una metodologa de
Gubernamental de Seguridad de la Informacin. El oficial ciclo de vida de sistemas apropiada, y que contemple la
de Seguridad de la Informacin deber ser un miembro inclusin de medidas de seguridad en los sistemas en todas
independiente de las reas de tecnologa o sistemas, puesto las fases.
que deber mantener su independencia para observar las
necesidades de seguridad entre la estrategia de la institucin Responsable del rea Legal: Verificar el cumplimiento
y tecnologa. del Esquema Gubernamental de Seguridad de la
Informacin en la gestin de todos los contratos, acuerdos u
Propietarios de la Informacin: Son los responsables de otra documentacin de la institucin con sus empleados y
clasificar la informacin de acuerdo con el grado de con terceros. Asimismo, asesorar en materia legal a la
sensibilidad y criticidad de la misma, de documentar y institucin, en lo que se refiere a la seguridad de la
mantener actualizada la clasificacin efectuada y de definir informacin.