POLITICA DE SEGURIDAD DE LA INFORMACION Ka rica Fecha. 24/03/2014 ; ly cs ut DOCUMENTO CONTROLADO Ge propsed dea Enorese Pubica CORREOS DEL ECUADOR COE EP. ‘rahbica su Repraducceny7o Detbvcon parca ofa sn avtozacin preva de rea Ge Ingenieria de ProcesosPOLITICA DE SEGURIDAD DE LA INFORMACION EMPRESA PUBLICA CORREOS DEL ECUADOR COE EP. Elsi: 7603-2008 arson: Oo INDICE I. OBJETIVO 1, ALCANCE.. TIT, REFERENCIAS. IV. TERMINOS Y DEFINICIONES V. _ RESPONSABILIDADES.. VIII.- CONTROL DE CAMBIOS IX.- REGISTRO DE FIRMAS. Ta os on DOCUMENTO CONTROLADO de propiedad cea ngresePubica CORRES DEL ECUADOR OEE: Pronbica 50 Reoreducr yo Ose ibn parca otal in tterzadicn previa el aes de Ingres de Procesos‘POLITICA DE SEGURIDAD DE LA INFORMACION EMPRESA PUBLICA CORREOS DEL ECUADOR CDE-EP [——enistoer rasa I. OBJETIVO La presente Politica de Seguridad de la Informacién se dicta en cumplimiento de las disposiciones legales vigentes, con el objeto de gestionar adecuadamente la seguridad de la informacién, los sistemas informaticos y el ambiente tecnoldgico de la Empresa Publica Correos del Ecuador CDE €.P; frente a las amenazas, internas 0 externas, deliberadas 0 accidentales, con el fin de asegurar el ‘cumplimiento de la confidencialidad, integridad, disponibilidad, legalidad y confiabilidad de ta informacién. Los objetivs que se desean alcanzar luego de implantar nuestro sistema de seguridad son los siguientes: + Comprometer a todo el personal de a empresa con el proceso de seguridad, agilizando la aplicacién de los controles con dinamismo y armonia. + Convertir a todos los empleados en interventores del sistema de seguridad. II. ALCANCE La presente politica debe ser conocida y seré de aplicacién general y obligatoria para por todos los servidores y obreros de la Empresa Publica Correos del Ecuador CDE EP, practicantes, consultores, prestadores de servicios; personal de seguridad; y cualquier persona natural o juridica en adelante "usuarios", que necesiten tener acceso a la informacién que es producida, tratada, almacenada o administrada por la Empresa, mientras desempefien sus labores en la misma y exista un vinculo laboral, civil, comercial 0 contractual, de acuerdo a convenios, contratos 0 normatividad especifica para cada caso, incluso cuando cesen sus funciones 0 su relacién con la Empresa. III. REFERENCIAS Articulo 277 de la Constitucién de la Reptiblica del Ecuador. ‘Acuerdo Ministerial 804 y 837 de 29 de julio y 19 de agosto 2011, respectivamente, se crea la Comision de la Seguridad Informatica y de las Tecnologias de la informacion y Comunicacion ‘+ Norma Técnica Ecuatoriana NTE INEN-ISO/IEC 27002/ “Cédigo de Practica para la Gestién de Seguridad de la Informacién” Norma Técnica Ecuatoriana NTE INEN-ISO/IEC 27000/ “Gestién de Seguridad de la Informacién” ‘Acuerdo Ministerial 166, Registro Oficial Suplemento 88 de 25-sep-2013 IV. TERMINOS Y DEFINICIONES Seguridad de la Informacién. La seguridad de la informacién se entiende como la preservacién de las siguientes caracteristicas: '* Confidencialidad: La informacién no se pone a disposicién ni se revela a individuos, entidades 0 procesos no autorizados. Se garantiza que esta accesible Unicamente a aA f] Es e un DOCUMENTO CONTROLADO de prpada de Eres Pica CORREOS DEL ECUADOR CDEE. Rvs No.00 | Punts pease fo cn pr otal sh area preva clare ce Ingnee de Pocens | pg. 1 get §POLITICA DE SEGURIDAD DE LA INFORMACION EMPRESA PUBLICA CORREOS DEL ECUADOR COE-EP Eision: TOOT Trees 06 autorizado a acceder a dicha informacién. Proteccién de datos y de informacién intercambiada entre un emisor y uno o mas destinatarios frente a terceros. + Integridad: Se salvaguarda la exactitud y totalidad de la informacién y los métodos de procesamiento, * Disponibilidad: Se garantiza que 10s usuarios autorizados tengan acceso a la informacién y a los recursos relacionados con la misma, toda vez que lo requieran. Adicionalmente, deberén considerarse los conceptos de: ‘+ Autenticidad: Busca asegurar la validez de la informacién en tiempo, forma y distribucion. Garantizar el origen de la informacién, validando con el emisor para evitar suplantacién de identidades. + Auditabilidad: Define que todos los eventos de un sistema deben ser registrados para su control posterior. + Proteccién a la duplicacién: Consiste en asegurar que una transaccién sdlo se realiza una vez, a menos que se especifique lo contrario. Impedir que se grabe una transaccién para luego reproducirla, con el objeto de simular miitiples peticiones del mismo remitente original. + No repudio: Se refiere a evitar que una entidad que haya enviado o recibido informacién alegue ante terceros que no la envid o recibi6. + Riesgo: Probabilidad de que una amenaza se materiale sobre una vulnerabilidad del sistema informatico y/o infraestructura, causando un impacto negativo en la organizacién. ‘+ Vulnerabilidad: Punto 0 aspecto del sistema y/o infraestructura, que es susceptible de ser atacado o de dafiar la seguridad de! mismo. Representan las debilidades o aspectos falibles o atacables en el sistema informatico. Califica el nivel de riesgo de un sistema. ‘+ Usuarios: Individuos que utilizan la estructura tecnolégica y de comunicaciones que manejan la informacién. + Confiabilidad de la Informacién: Es decir, que la informacién generada sea adecuada para sustentar la toma de decisiones y la ejecucién de las misiones y funciones, «| Informacién: Se refiere a toda comunicacién o representacién de conocimiento como datos, fen cualquier forma, con inclusién de formas textuales, numéricas, graficas, cartogréficas, narrativas 0 audiovisuales, y en cualquier medio, ya sea magnético, en papel, en pantallas de computadoras, audiovisual u otro. + Sistema de Informacién: Se refiere a un conjunto independiente de recursos de informacién organizados para la recopilacién, procesamiento, mantenimiento, transmisién y difusin de informacién segun determinados procedimientos, tanto automatizados como ‘manuales. + Propietarios de la Informacién: Son los servidores piiblicos u obreros, unidades administrativas, responsables de la generacién o recopilacién de la infogmacién, con / competencia juridica para administrar y disponer de su contenido. ro Execs un DOCUMENTO CONTROLADO Ge propiedad ce a EnpresaPobica CORREOS DEL ECUADOR COE EP, RVSEN ND, 00 Franti ss Reprod yo Danan prio lls autrencn pra desea de ingens ce Proesos” | pig, 2de 24,POLITICA DE SEGURIDAD DE LA INFORMACION, EMPRESA PUBLICA CORREOS DEL ECUADOR CDE-EP Ens: PEOSIO T Warsinz 0 ‘+ Activos de Informacién: Son los bienes relacionados a un sistema de informacién en cualquiera de sus etapas. Ejemplos de activos son: a) Informacién: Bases de datos y archivos, documentacién de sistemas, manuales de usuario, material de capacitacién, procedimientos operativos o de soporte, planes de continuidad, informadién archivada, resultados de informes técnicos, etc. b) Software: Software de aplicaciones, software de sistemas, herramientas de desarrollo, etc, ©) Activos fisicos: Computadoras, equipamiento de redes y comunicaciones, medios de almacenamiento, mobiliario, lugares de emplazamiento. d) Servicios: Servicios informaticos y de comunicacones. '* Control de acceso: En seguridad fisica, se refiere a la practica de acceso restringido a las, instaladones a personal no autorizado. V. RESPONSABILIDADES ‘+ La méxima autoridad dispondra la implementacién del Esquema Gubernamental de Seguridad de la Informacién EGSI en la empresa, asi como, la difusién, capacitadén y sensibilizacién det contenido de la Politica de Seguridad de la Informacién; conformar oficialmente el Comité de ‘Seguridad de la Informacién de la Empresa y designar a los integrantes; asi como, designar al Oficial de Seguridad de la Informacién y el Responsable de Seguridad del Area de Tecnologias de ia Informacion. ‘= Los funcionarios del Nivel Jerarquico Superior, son responsables de la implementacién de esta Politica de Seguridad de la Informacién, dentro del ambito de su competencia; asi como, del ‘cumplimiento de dicha Politica por parte de su equipo de trabajo. © La Politica de Seguridad de la Informacién es de aplicacién obligatoria para todos los servidores pablicos y/u obreros de la Empresa Publica Correos del Ecuador CDE E.P. VI. POL{TICAS Aspectos Generales. Esta Politica se conforma por una serie de pautas sobre aspectos especificas de la Seguridad de la Informacién, que incluyen los siguientes tépicos: + Organizacién de la Seguridad: COrientado a administrar la seguridad de la informacién dentro de la Empresa y establecer un marco gerencial para controlar su implementacion, ¢ Gestién de los Activos: Destinado a mantener una adecuada proteccién de los activos de la mee 0 b y i a evan Wo 00 Este es un DOCUMENTO CONTROLADO ce propiesa cea Eoress Pica CORREOS DEL ECUADOR CDE EP. | _Pronbca su Reneeuece yo Dstbucn parca o ttl sn aorzatn prea del re de Ingeiisde Precesos Pig. 30021POLITICA DE SEGURIDAD DE LA INFORMACION EMPRESA PUBLICA CORREOS DEL ECUADOR CDE-EP Enieibar PEOS2008 Version 6 a ‘+ Seguridad de los Recursos Humanos: COrientado a reducir los riesgos de error humano, comisién de ilcitos contra la Empresa 0 uso inadecuado de instalaciones. + Seguridad Fisica y del Entorn Destinado a impedir accesos no autorizados, dafios e interferencia a las sedes e informacién de la Empresa, « Gestién de las Comunicaciones y Operaciones. Dirigido a garantizar el funcionamiento correcto y seguro de las instalaciones de procesamiento de {a informacion y medios de comunicacién. + Control de Acceso: COrientado a controlar el acceso légico a la informacién.. ‘| Adquisicién, Desarrollo y Mantenimiento de Sistemas de Informaciér COrientado a garantizar la incorporacién de medidas de seguridad en los sistemas de informacién desde su desarrollo y/o implementacién y durante su mantenimiento, ‘« Gestién de los incidentes de la Seguridad de la informacién: COrientado a contrarrestar las interrupciones de las actividades y proteger los procesos criticos de los efectos de fallas significativas 0 desastres. © Gestién de la continuidad de! negocio: COrientado a contrarrestar las interrupciones de las actividades y proteger los procesos criticos de los efectos de fallas significativas 0 desastres, * Cumplimiento: Destinado a impedir ta violacién de normativa legal y violaciones de las leyes de! derecho civil y penal; de las obligaciones establecidas por leyes, estatutos, normas, reglamentos 0 contratos; y de los requisitos de seguridad. A fin de asegurar la implementacién de las medidas de seguridad comprendidas en esta Politica, la Empresa Publica Correos del Ecuador CDE E.P, a través del Comité de Seguridad de la Informacién revisaré anualmente o cuando la situadén lo amerite, a efectos de mantenerla actualizada. ‘Asi como también efectuaré toda modificacién que sea necesaria en funcién a posibles cambios que puedan afectar su definicién, tales como cambios tecnolégicos, variacién de los costos de los controles, impacto de los incidentes de seguridad, etc. - ORGANIZACION DE LA SEGURIDAD DE LA INFORMACION + El Comité de Seguridad de la Informacién, estaré integrado al menos por: el Director Nacional ‘Administrativo, ol responsable de la Direccién Nacional de Talento Humano, el responsable de la Direccién Nacional de Tecnologia, el responsable de Auditoria Interna (Responsabilidad que recae en la Direccién Nacional de Aseguramiento de la Calidad) y el Ofial de Seguridad de 1a Informacién, —destinado a gerantizar el apoyo manifesto de las autoridades a las iniciativas de seguridad de la informacion. \s r v wi ; _ ff ste es un DOCUMENTO CONTROLADO de pcpiedad deo Enores Publce CORREOS DEL ECUADOR CDEEP. —_ Revsén No, 00 | ronbus ss Repeaueasn yo Drouoin parca ool autorun prev del Jee e gene de Process raePOLITICA DE SEGURIDAD DE LA INFORMACION, EMPRESA PUBLICA CORREOS DEL ECUADOR CDE-EP Elda: FEOSRO I Versions 00 b) Establecer criterios de seguridad para nuevos sistemas de informacién, actualizaciones. y nuevas versiones, contemplando la realizacién de las pruebas antes ‘de su aprobacién definitiva, ©) _Definir procedimientos para el manejo de incidentes de seguridad y para la administracién de los, medios de almacenamiento, 1d) Controlar los mecanismos de distribucién y difusién de informacion dentro y fuera de fa institucién. ) Definir y documentar controles para la deteccién y prevencién del acceso no autorizado, la proteccién contra software malicioso, garantizar la seguridad de los datos y los servicios conectados a las redes de la institucién, f) Desarrollar procedimientos adecuados de concienciacién de usuarios en materia de seguridad, ccontroles de acceso a los sisternas y administraciin de cambios. 9) Verificar el cumplimiento de las normas, procedimientos y controles de seguridad institucionales establecidos. h) Coordinar la gestién de eventos de seguridad con otras entidades gubernamentales. i) Convocar regularmente 0 cuando la situacién lo amerite al Comité de Seguridad de la Informacién asi como llevar registros de asistencia y actas de las reuniones. El responsable de Seguridad del Area de Tecnologias de la Informacién tendré las siguientes responsabilidades: 2) Controlar la existencia de documentacién fisica 0 electrénica actualizada relacionada con los procedimientos de comunicaciones, operaciones y sistemas. b) _Evaluar el posible impacto operativo a nivel de seguridad de los cambios previstos a sistemas y ‘equipamiento y veriicar su correcta implementacion, asignando responsabiidades, ©) Administrar los medias técnicos necesarios para permitir la segregacién de los ambientes de procesamiento. d) Monitorear las necesidades de capacidad de los sistemas en operacién y_proyectar las futuras demandas de capacidad para soportar potenciales amenazas a la seguridad de la informacién que procesan, )_Controlar la obtencién de copias de resguardo de informacién, asi como la prueba periédica de su restauracién. ) Asegurar el registro de las actividades realizadas por el personal operative de seguridad de la informacion, para su posterior revision. 4) _Desarrollar y verificar el_cumplimiento de procedimientos para comunicar las falas en el procesamiento de la informacién los sisternas de comunicaciones, que permita tomar medidas correctvas. fh) Implementar los controles de seguridad definidos (ej,, evitar software malicioso, accesos no autorizados, etc.). j)_Definir_e implementar procedimientos para la administracién de medios informaticos de ‘almacenamiento (¢}., cintas, discos, etc.) e informes impresos, y verificar la eliminacién o destruccién segura de los mismios, cuando proceda. 1) Gestionar los incidentes de seguridad de la informacién de acuerdo a los procedimientos ae OW even No 00 Este 65 un DOCUMENTO CONTROLADO de proziedad de lo Empresa Piblc2 CORRES DEL. ECUADOR CDE EP. Prosi 'so Reproduccén yfo stun parca toll sin etorzancn preva 6 rea de Ingenieria de Procesos Pig. 64021POLITICA DE SEGURIDAD DE LA INFORMACION, EMPRESA PUBLICA CORREOS DEL ECUADOR CDE-EP Ensign: 9057014 I Versions Oo 2.2.- Coordinacién de la Gestién de la Seguridad de la Informacién La coordinacién estara a cargo de! Comité de Gestion de Seguridad de la Informacién el cual tendré las siguientes funciones: * Definir y mantener la politica y normas institucionales particulares en materia de seguridad de la informacion y_gestionar la aprobacién y puesta en vigencia por parte de la maxima autoridad de la institucién asi como el cumplimiento por parte de los funcionarios de la institucién. ‘+ Monitorear cambios significativos de los riesgos que afectan a los recursos de informacién frente a las amenazas mas importantes. © Tomar conocimiento y supervisar la investigacién y monitoreo de los incidentes relativos a la seguridad. «© Aprobar las principales iniciativas para incrementar la seguridad de la informacién, de acuerdo a las competencias y responsabilidades asignadas a cada area. = Acordar y aprobar metodologias y procesos especificos, en base al EGSI relativos a la seguridad de la informacion. + Evaluar y coordinar la implementacién de controles especificos de seguridad de la informacién para nuevos sistemas o servicios, en base al EGSI. * Promover la difusion y apoyo a la seguridad de la informacién dentro de la institucién. *Coordinar el proceso de gestién de la continuidad de la operacién de los servicios y sistemas de informacion de la institucion frente a incidentes de seguridad imprevistos. © Designar a los custodios 0 responsables de la informacién de las diferentes reas de la entidad, que deberd ser formalizada en un documento fisico 0 electrénico. © Gestionar la provisién permanente de recursos econémicos, tecnolégicos y humanos para la gestion de la seguridad de la informacion. * Velar por la aplicacién de la familia de normas técnicas ecuatorianas INEN ISO/IEC 27000 en la institucién segiin el émbito de cada norma. © Designar formalmente a un funcionario como Oficial de Seguridad de la Informacién quien actuara como coordinador de! CSI. El Oficial de Seguridad no pertenecera al area de ‘Tecnologias de la Informacién y reportard a la maxima autoridad de la institucién. © Designar formalmente al responsable de seguridad del drea de Tecnologias de la Informacién en coordinacién con el director o responsable del area de Tecnologias de la Informacion de la Instituci6n. 2.3.- Asignacién de responsabilidades para la seguridad de la informacién El Oficial de Seguridad de la Informacién tendra las siguientes responsabilidades: a) Definir procedimientos para el control de cambios a los procesos operatives, los sistemas € instalaciones, y verificar su cumplimiento, de manera que no afecten la seguridad de la informacion. ‘Eke es n DOCUMENTO CONTROLADO de propiedad de a EmorestPibic® CORREOS DEL ECUADOR CDE EP. Rvisn No. 00 Prohiica su Reseda yo Detrovcn paral ota sin autorzacin pew cel rea de Ingonea de Procesos Pla, $4021POLITICA DE SEGURIDAD DE LA INFORMACION, EMPRESA PUBLICA CORREOS DEL ECUADOR CDE-EP Enisibns 77037018 T arin: 00 Cada custodio debe notificar cualquier novedad en los bienes asignados a su cargo a la Direccién Nacional Administrativa y poner a conocimiento del Jefe inmediato, lo que permitira llevar un control adecuado. Se deberé realizar las actas de entrega-recepcién una vez que exista algin cambio de puesto © que un servidor deje de prestar sus servicios en la Empresa Correos de! Ecuador CDE E.P., validados por la Unidad de Activos Fijos. (Anexo 3.- Acta de entrega - Recepcién) Cuando el custodio no pueda comprobar la ubicacién de un activo y se presente una novedad en la toma fisica de Inventarios, la unidad de Activos Fijos levantaré un informe en el que se indique todas las novedades existentes; el custodio contard con tres dias habiles para corregir las inconsistencias, y presentar los justificativos necesarios. En caso que un activo se adquiera para uso general, se asignaré un encargado de monitorear la existencia y el estado del activo. Este serd responsable directo sobre el correcto uso, dafio 0 extravio del mismo. Todo colaborador estd obligado a reportar a la Unidad de Activos Fijos, por medio de memorando del traslado permanente o temporal de Activos Fijos, el traslado de un activo a otro colaborador quien sera el nuevo custodio por medio de un acta de entrega-recepcién. En caso de préstamo o salida temporal del activo fijo de su lugar asignado, se deberd hacer la solictud al custodio por medio de un memorando informando las razones del trasiado temporal de los Activos Fijos. Este movimiento no sera registrado por la Unidad de Activos Fijos y seguiré bajo entera responsabilidad de su custodio. El memorando solo seré un respaldo en caso de hacerse una toma fisica en el momento del préstamo. En caso de que un servidor, requiera sacar de las instalaciones de la empresa, un activo asignado, deberd contar con la aprobacién escrita, del Jefe inmediato y poner a conocimiento de la Direccién Nacional de Seguridad Postal. En caso de pérdida, sustraccién, hurto o robo del bien, el servidor debe reportar de manera inmediata de forma escrita a la Direccién Nacional Administrativa, a la Direccién Nacional de Seguridad Postal, a la Direccién de Talento Humano y al jefe inmediato, adjuntando la respectiva denuncia, dentro de las 48 (cuarenta y ocho) horas siguientes al conocimiento de! suceso y deser el caso se deberd coordinar con la Direccién Nacional Juridica. Todo servidor esté obligado a reportar los activos que se encuentren dafiados, de manera inmediata, de la siguiente forma: En caso de actives cuyo valor de compra supere el monto maximo para gastos 100 délares establecidos. Se debe notificar via memorando de! Traslado para reparacién de Activos Fijos; el seguimiento de la reparacién del activo estaré a cargo del Custodio del activo. En el caso de activos cuyo valor de compra no supere el monto maximo para gastos, se debera informar a la Unidad de Activos Fijos por escrito el dafio, quienes procederan a revisar el mal estado del Activo. Si se verifica y observa que el dafio es considerable y la reparacién no es factible por costo beneficio para la Empresa Piiblica Correos del Ecuador CDE E.P., el custodio del activo elaborara una acta de entrega recepcién de movilizacién temporal para trasladar a alguno de los colaboradores de la Unidad de Activos Fijos el activo dafiado, esto vy" Exe es un DOCUMENTO CONTROLADO de rocieded de a Empresa PUbica CORREOS DEL ECUADOR CDEE.P,_Rewe:ea No. OD Prohbida su Repeducon yfo suc parc o total sin earvacS previa dl dea de Ingenieria ce Procesos Pig. 8021POLITICA DE SEGURIDAD DE LA INFORMACION EMPRESA PUBLICA CORREOS DEL ECUADOR CDE-EP EmisiGn: 26072054 I Versions Oo % ‘tras que por naturaleza de las actividades de gestién de la seguridad de la informacién deban ser realzadas. 2.5.- Acuerdos sobre Confidencialidad ‘Acuerdos de confidencialidad y de no divulgacién de informa Los(as) servidores y los (as) obreros que ingresen a prestar sus servicios en la Empresa Piblica Correos del Ecuador CDE E.P. recibiran el Acuerdo de Confidencialidad conjuntamente ccon la Accién de Personal y/o Contrato, los cuales deberan ser firmados por cada servidor y remitir a la Direcci6n Nacional de Talento Humano para su archivo y control; esto con el fin de resguardar toda la informacion generada en la Empresa. El Acuerdo de Confidencialidad, es un requisito indispensable para la incorporacién a la Empresa, sin excepcion alguna. (Anexo 1.- Acuerdo de Confidencialidad) in por parte de terceros. La Empresa Piblica Correos del Ecuador CDE EP, elaboraré y suscribiré acuerdos de confidencialidad con proveedores, cuando la informacién cuya divulgacién pueda presentar riesgos de seguridad para la empresa, asi como la considerada por el Directorio de la Empresa Pablica Correos de! Ecuador CDE E,P. como estratégica y sensible a los intereses de ésta, desde el punto de vista tecnolégico, comercial y de mercado, asi como todo lo relativo al giro especifico de negocio, para lo cual el area requitente deberé analizar su aplicabilidad y establecerd esta obligacién en los respectivos pliegos de contratacién segin corresponda. (Anexo 2.- Declaracién de Uso y de Confidencialidad) 3.- GESTION DE LOS ACTIVOS ‘Este es un DOCUMENTO CONTROLADO ce propiedad de a Empresa Pca CORREOS DEL ECUADOR COE EP. Prohibida sy Reproduction yfo Detbvlen parcal oa sn autora prov del read Ingenieria de Proescs vig. 74021 Los usuarios son responsables de aplicar los controles para la proteccién de los activos segin ‘su nivel de clasificacién. Asi mismo deberan alertar al drea de Activos Fijos y la Divisién de Sistemas cuando un activo digital de informacién requiera medidas especiales de proteccién. Evitar riesgos potenciales a los activos asociados a su accionar cotidiano ya sean de manera accidental o intencionada, que puedan ocasionar la interrupcién total o parcial, de sus actividades. Los usuarios de cada activo son responsables, mientras tengan los mismos bajo su control, de mantener los niveles de proteccién y clasificacién establecidos para la misma en todo momento, haciendo uso adecuado de los recursos a su disposicién. Es responsabilidad de los usuarios el identificar riesgos asociados con los activos bajo su custodia. Es responsabilidad de cada usuario la proteccién de los sistemas de informacién a su cargo, por lo que debe asegurar fisicamente su computador portatil con cables de seguridad en todo momento para evitar robos. Es responsabilidad de cada usuario la proteccién de los activos a su cargo, por lo que debe mantener presente NO dejar a la vista, equipos 0 bienes sensibles de robo y/ hurto, como por ejemplo: Laptop ‘© Discos duros externos © Flash memory, dispositive de firma electrénica Token; eteyy=~ “9. ‘i y/ ; Revsan Wo 00POLITICA DE SEGURIDAD DE LA INFORMACION EMPRESA PUBLICA CORREOS DEL ECUADOR CDE-EP ee a ‘+ Todos los actives de informacién deben tener un duefio 0 propietario, el cual se haga responsable de asegurar su correcta clasificacién e implantacién de controles para su proteccién. ‘+ Para clasificar un Activo de Informacién, se evaluarén las tres caracteristicas de la informacién en las cuales se basa la seguridad: confidencialidad, integridad y disponibilidad. ‘+ Acontinuacién se establece el criterio de clasificacién de la informacién: DE LA INFORMACION, SU PUBLICIDAD Y PROTECCION + La Constitucién y la Ley Orgénica de Transparencia y Acceso a la Informacién Piblica, determinan que toda informacién es piblica, siempre y cuando se cumplan los procedimientos Y procesos establecidos para su publicidad y acceso, por tanto la informacion que no sea solitada de conformidad a la Ley o publicitada de conformidad con los mecanismos establecidos en ésta, es informacién protegida y no es objeto de divulgacién. + La informacién comercial, empresarial, y en general, aquella informacién, considerada por el Directorio de fa empresa publica como estratégica y sensible a los intereses de ésta, desde el punto de vista tecnolégico, comercial y de mercado, gozaré de la proteccién del régimen de propiedad intelectual e industrial de acuerdo a los instrumentos internacionales y la Ley de Propiedad Intelectual, con el fin de precautelar la posicién de la empresa en el mercado. + La informacién antes indicada es informacién piblica de carécter sensible y/o reservada a la cual solo se puede acceder, por mandato legal, con autorizacién del titular 0 por orden judicial, + La presente Politica, amparada en lo que determina la Constitucién y las Leyes vigentes, establece que son activos de informacién de la Empresa Plblica Correos del Ecuador CDE E.P., toda la informacién que se genera, recibe, trata, transmite y almacena en la Empresa, la misma que se clasifica en: Informacién Publica Informacién Pablica.- Es toda aquella generada por la Empresa Piblica en cualquier formato fisico 0 electrénico, sin embargo para su publicidad o acceso se debe cumplir con los preceptos establecidos en la normativa Legal vigente, estos son: a).- Para Publicitar la Informa .- La informacién generada por la Empresa Piiblica Correos del Ecuador CDE E.P., podré ser publicitada por la Empresa, a través de los distintos medios de comunicacién convencionales 0 tecnolégicos de acuerdo a las necesidades o requerimientos de ésta, b).- Para el Acceso a Informacién Publica. La normativa vigente dispone los mecanismos de acceso a la Informacién segiin su casificacin, los cuales deberan respetar en cada caso los principios de: Mandamiento legal; Peticién del titular de la informacién; ‘Autorizacién del titular de la informacion en favor de un tercero; Por orden de Autoridad Competente. ( | , . te es un DOCUMENTO CONTROLADO de propiedad dea Empresa Plbica CORREOS DEL ECUADOR CDEEP. _ Revsi6n No. OD | Prange Repoaiean ye Dstibucen para tal se Cuoco preva dl rea oe Ingen de Process Pg. 10 de 21POLITICA DE SEGURIDAD DE LA INFORMACION EMPRESA PUBLICA CORREOS DEL ECUADOR CDE-EP Teer para que el activo se conserve en la bodega destinada para tal fin, hasta concluir con el trémite de desecho 0 proceso de baja. «De aprobarse la exclusién del activo, deberé seguir el procedimiento estipulado por la Empresa para tal efecto. * En-caso que un servidor fuese cesado de sus funciones o renunciare, sera responsabilidad de! jefe inmediato, el realizar la toma fisica de los activos fijos el uitimo dia que labora. Los activos pasardn a ser responsabilidad del jefe, hasta que se designe un nuevo custodio. De igual forma, el jefe a cargo presentard a la Unidad de Activos Fijos el resultado de la toma fisica, para efectuar la actualizaciin en el sistema de Activos Fijos. Inventario de activos de soporte de hardware, software y redes «La actualizacién del inventario de software se lo deberd realizar por lo menos una vez al afio, y ser actualizada en cada proceso de adquisicién 0 desarrollo de nuevos productos. .- Uso Aceptable de activos «Se ha detallado en la Guia de Seguridad en el Uso de la Infraestructura Tecnolégica CDE-APY- "TMC-TEC-GU002, mediante la cual se norma y establece el uso adecuado y seguro de la Infraestructura Tecnolégica de la Empresa Publica Correos del Ecuador CDE-EP, a la cual acceden los usuarios para el buen desempefio de sus labores dentro de la Empresa, explicitamente se menciona: ‘+ Control de acceso a la informacién y los sistemas. ‘¢ Uso del correo institucional. ‘+ Uso de las redes e internet. *_ Infraestructura de la red. «Uso de los equipos de cémputo y el procesamiento de la informacién. * Uso de la telefonia IP. + Uso de Video Conferencia. 3.4.- Directrices de clasificacién de la informacion 3.4.1.- Clasificar la informacion como publica o confidencial ‘+ Las Unidades Administrativas y Operativas de la Empresa, deben clasificar su informacién de acuerdo a su valor y sensibilidad. Esta clasificacién debe realizarse de acuerdo a las ecesidades que tiene el drea de compartir 0 restringit la informacion, de sus requerimientos de seguridad en términos de confidencialidad, integridad y disponibiidad, y con base al impacto negativo que pudiera provocar a la empresa en términas financieros, operativos, legales 0 de imagen piblica y cualquier abuso en el manejo de la misma, + La responsabilidad de defini la categoria en la que cada activo de informacién se encuentra 5 del duefio 0 propietario del mismo, asi como determinar, si con el paso del tiempo, el activo de ee) requiere una redlasificacién y deberd ser validado por el Oficial de wa Seguridad yf) A {Este es un DOCUMENTO CONTROLADO de propiedad de a Empresa Pubes CORREOS DEL ECUADOR cocEP, Revision No. 00 | onto Rexeaszn yo Orban paral Tal sn aruacn preva dae de Inge ge Precses Pig. 940.21POLITICA DE SEGURIDAD DE LA INFORMACION EMPRESA PUBLICA CORREOS DEL ECUADOR CDE-EP [einisions 2552018 [Versi ‘© Sistema de Gestién Documental Quipux se los deberd canalizar a través de la Direccién Nacional de Talento Humano, quien seré el nico canal de comunicacién con Secretaria General, para proceder a ejecutar lo solicitado. ‘= En cuanto a vacaciones 0 Subrogaciones, se deberé tomar en cuenta quien seré la persona que se quedard a cargo del puesto del subrogado, con 2 dias de anticipacién para que los pendientes sean tramitados por e! subrogante 0 la persona que se le asigne como responsable. ‘= Se deberd comunicar a Secretaria General, sobre las salidas de personal, con el fin de inactivar el usuario en el Sistema de Gestién Documental Quipux. ‘= El proceso de revocatorias en el Banco Central, son responsabilidad de cada servidor a quien se le ha asignado el Dispositivo de Firma Electronica Token. ‘+ La entrega del Dispositive Token deberd ser oficializada con una Acta de Entrega Recepcién, la misma que serd elaborada en el formato establecido y se entregaré a la Direccién Nacional de Activos Fijos. 4.- SEGURIDAD DE LOS RECURSOS HUMANOS lades Funciones y responsal ‘+ Los servidores (as) y los obreros (as) que ingresen a prestar sus servicios en la Empresa Publica Correos del Ecuador CDE E.P. tendrén que entregar todos los documentos que la Direccién Nacional de Talento Humano considere pertinente. (Anexo 4) Lista de chequeo de informacién (Anexo 5. Registro y Control de Acuerdo de Confidencialidad). + Los (as) servidores y obreros (as) de la Empresa Piblica Correos del Ecuador CDE E.P. recibirdn una induccién general tanto del giro del negocio asi como de las responsabilidades respecto a la seguridad de la informacién y se les entregard el formulario asignado para tal efecto (Anexo 6.- Formulario para la Asignacién de Funciones). + La Direccién Nacional de Talento Humano seré responsable de explicar y definir las funciones las responsabilidades respecto a la seguridad de la informacién, antes de otorgar el acceso a la informacion, contrasefias 0 sistemas de informacién sensibles a los servidores que las Unidades Administrativas designen. 5.- SEGURIDAD FISICA Y DEL ENTORNO: 5.1. - Perimetro de Seguridad Fisica: ‘+ Toda drea sensible que disponga de equipo informatico, debe cumplir con todas las politicas funcionales y procedimientos del seguridad fisica, con el fin de evitar el acceso por personas no autorizadas, dafio e interferencia a los recursos e infraestructura de informacion", fst un DOCUMENTO CONTROLADO ce propedos cea Empresa Pibca CORREOS DEL ECUADOR COE EP. | __Menibua se pear taro puro el sn atten read se de Ingenieria de Pecos, ig. 24021 evan No 00POLITICA DE SEGURIDAD DE LA INFORMACION EMPRESA PUBLICA CORREOS DEL ECUADOR CDE-EP Enisions BFOETO r Versin: 00 Informacién Protegida y no Sujeta a Divulgacién.- Es toda la informacién cuya publicidad no es permitida por el Mandato Legal vigente, misma que seré establecida por el Directorio de la Empresa Piblica Correos del Ecuador CDE EP. El acceso a esta informacién, se limitaré a los requerimientos judiciales y a las excepciones establecidas en las normas vigentes. a. Informacién Protegida Sensible y/o Reservada.- Es la informacion cuya divulgaci6n pueda presentar riesgos de seguridad para los Servidores, Correos de! Ecuador CDE E.P. y terceros, asi como la considerada por el Directorio de la empresa publica como estratégica y sensible a los intereses de ésta, desde el punto de vista tecnolégico, comercial y de mercado, ‘asi como todo lo relativo al giro del negocio. b. Informacién Confidencial.- Es aquella informacién personal, que no esté sujeta al principio de publicidad tales como: la condicién médica, filiacién politica, preferencia sexual, reencias religiosas y condicién migratoria; y, comprenden derechos personalisimos y fundamentals. Sistema de Gestién Documental Quipux: ‘+ Por la importancia del Sistema de Gestién Documental Quipux, el mismo se lo debe manejar ‘con mucha responsabilidad y profesionalismo, debiendo ser de uso exclusivo para trémites de documentos internos as{ como externos; no se lo debe ocupar inadecuadamente como un chat o mail institucional. '* Toda documentacién que se elabore a través del Sistema Documental Quipux, deberd seguir el canal jerérquico; en tal virtud el servidor publico, con usuario Quipux, elaboraré el documento y reasignard a su. Jefe inmediato, para su revisién, aprobacién y firma digital. ‘+ La documentacién que se realice para la firma digital por parte de la maxima autoridad, deberd ser elaborada, revisada por la Gerencia Estratégica que intervenga en esta accién y reasignada al Asesor/a que le compete la documentacin a ser aprobada. Una vez que el Asesor/a revisa el document, si no hay que realizar ningin cambio, lo sumillara y reasignara aa la Gerencia General, para su aprobacién y firma digital correspondiente; en el caso de existir observaciones el Asesor/a, devolverd a la unidad administrativa correspondiente con los ‘comentarios pertinentes para que se realice los cambios solicitados. ‘+ Llevar un adecuado archive digital, no IMPRIMIR el documento recibido por Quipux, reasignar al servidor y/o servidores responsables del proceso, para su ejecucién y quien lo debe remitir €s el Jefe inmediato que tenga la firma digital ‘+ Es responsabilidad de cada servidor controlar diariamente que los documentos recibidos por Quipux sean atendidos y despachados oportunamente. © Cada Jefe del rea asignada deberd solicitar la creacién de usuarios Quipux para sus colaboradores, segin las necesidades del trabajo que desempefien; a través de la Direccién Nacional de Talento Humano. ‘© Todos los requerimientos de creacién de usuarios, subrogaciones, cambios internos, ingreso de nuevos servidores, asignacién de Dispositivo Digital para firma electrénica Token, para Fy 5 tif evan No 00 ‘Exe es un DOCUMENTO CONTROLADO de propdad dea Empresa Pibica CORREOS DEL ECUADOR CDE EP. Pronbida ss Reproduction y/o Disibuclon pari o taal in autorizaion previa del rea de Ingenta deProcesos pig. 11 6021POLITICA DE SEGURIDAD DE LA INFORMACION EMPRESA PUBLICA CORREOS DEL ECUADOR COE-EP Enllgn: POST I arin 00 e) Restringir el acceso piiblico a las guias telefénicas y listados de teléfonos internos que identifican las ubicaciones de las instalaciones de procesamiento de informacion sensible. f)Almacenar los materiales peligrosos 0 combustibles en los siguientes lugares seguros a una distancia prudencial de las areas protegidas de la Empresa de acuerdo a lo contemplado en el Reglamento de Salud y Seguridad de! trabajo de la Direccién Nacional de Talento Humano. (9) Los equipos redundantes y la informacién de respaldo (back up), deberdn estar en un sitio seguro y distante del lugar de procesamiento, para evitar dafios ocasionados ante eventuales contingencias. h) _Impedir el ingreso de equipos de computacién méwil, fotogréficos, de video, audio 0 cualquier otro tipo de equipamiento que registre informacién, a las areas sensibles, a menos que hayan sido formalmente autorizadas por el Responsable de dicha érea. 5.7.1 Restricciones en areas de procesamiento de la informacién. ‘+ La Direccién Nacional de Talento Humano, por medio del area de Capacitacién y de Seguridad Ocupacional, realizaré una campafia de socializacién a todo el personal de la Empresa, con el fin de que conozcan lo detallado en e! Regiamento Interno de Talento Humano, en el cual se norma el consumo de Alimentos Cocidos, Bebidas, Consumo de Sustancias Estupefacientes y Psicotrdpicas en las instalaciones de la Empresa. ‘= Se prohibe ingerir 0 permitir el consumo de bebidas alcohdlicas, drogas o sustancias estupefacientes 0 psicotrépicas, dentro de las dependencias de la empresa 0 en los eventos empresariales, o propiciar, sugerir, inducir 0 autorizar su uso. ‘© Se prohibe preparar, mantener o ingerir alimentos cocidos en cualquier area de la empresa, fuera de los sitios especificos que se destine para el efecto. * En caso de incumplir con lo establecido en la presente politica se procedera de acuerdo al Reglamento Interno de la Empresa Publica Correos del Ecuador CDE E.P. 6.- GESTION DI MUNI IES Y OPI Documentacién De Procedi jentos De Operacién ‘© Los usuarios de la Empresa asf como el personal de tecnologia deberdn seguir el manual de politicas establecido para la gestién de incidentes de servicios de TI y equipos informaticos CDE-APY-TMC-TEC-PLOO1. Monitoreo Y Revisi6n De Servicios Por Terceros ‘+ La direccién Nacional de Tecnologia deberd firmar acuerdo de nivel servicio en todos los procesos de contratacién que incluya la provisién de un servicio provisto por un tercero. ‘© Se deberd llevar un control del cumplimiento de los acuerdos de nivel de servicio en donde se incluyan informes de soluciones de caso e informes técnicos de solucién de incidentes 0. configuraciones realizadas. \ 0 v J ce Ese es un DOCUMENTO CONTROLADO ce roped dee Empresa Pita CORREOS DEL ECUADOR CDEP, REVS” 0.0 |, __Pahbwo s Repeaesn ssn coat sn atarcccn rea de ea Inge ge Proceso ig, 14021‘POLITICA DE SEGURIDAD DE LA INFORMACION [EMPRESA PUBLICA CORREOS DEL ECUADOR CDE-EP Erin: 16057048 Varin: Oo 5.2.- Controles de Acceso Fisico: Para visitantes; «Alas visitas autorizadas a ingresar a la Empresa Piiblica Correos del Ecuador, se les debe exigir su identificacién y firma en el registro de ingreso. Se les debe entregar una tarjeta de visita que sefiale el area a la que se le autoriza, la que se debe portar en un lugar visible. Para el Personal ‘+ El personal de la Empresa Piblica Correos del Ecuador CDE EP, y el personal de terceros autorizados, deben portar siempre su identificacién en un lugar visible al permanecer en las instalaciones. 5.3.- Seguridad de oficinas, recintos e instalaciones © Para la seleccién y el disefio de un drea protegida se tendré en cuenta la posibilidad de dafio producido por incendio, inundacién, explosién, agitacién civil, y otras formas de desastres naturales 0 provocados por el hombre. También se tomaran en cuenta las disposiciones y normas (esténdares) en materia de Seguridad y Salud Ocupacional. También se consideraran las amenazas a la seguridad que representan los edificios y zonas aledafias, por ejemplo, filtracién de agua desde otras instalaciones. ‘+ Se definen los siguientes sitios como reas protegidas de la Empresa: 5 Protes OPERACIONES: Direcciones de tratamiento postal TECNOLOGIA: Centro de Cémputo, Cuarto de Comunicaciones, Cuartos UPS, Aires Acondicionados de Precisién. ADMINISTRATIVA: Tableros de distribucién eléctrica. ‘+ Se establecen las siguientes medidas de proteccién para areas protegidas: a) Ubicar las instalaciones criticas en lugares a los cuales no pueda acceder personal no autorizado. b) Los equipos necesarios para que el personal cumpla sus funciones deberdn ser ubicados considerando {a funcionalidad y seguridad, segin la informacion que manejen. ©) Implementar los siguientes mecanismos de control para la deteccién de intrusos: d) Alarmas de Instruccién y Sistema de CCTV, los cuales serén instalados segun esténdares profesionales y probados periédicamente. Estos, mecanigmos de control comprenderén todas las puertas exteriores y ventanas accesible Y M4 te es un DOCUMENTO CONTROLADO de propad de a Empresa Pibice CORREOS DEL ECUADOR CDE EP. Resin No. 00 | Prentice st Remedsecs yo Detibucen parc o fot sn auorzctn preva cla de Ingen de Process ig. 13.de21POLITICA DE SEGURIDAD DE LA INFORMACION EMPRESA PUBLICA CORREOS DEL ECUADOR CDE-EP [Ennion 35053040. Gestién De La Capacidad ‘+ Realizar por lo menos una vez al afio un informe de gestién de la capacidad de los recursos computacionales del centro de cémputo de la empresa. 6.10.- Controls De Cédigo Malicioso ‘+ Los usuarios no podran realizar instalaciones de software NO AUTORIZADO por la Empresa Publica Correos del Ecuador. El listado se encuentra detallado en la Guia de Seguridad en el uso de infraestructura tecnolégica, documento CDE-APY-TMC-TEC-GU002. ‘+ Llevar un control periédico de que los equipos PC's y laptop tengan instalado y actualizado un software antivirus. ‘+ Se deberé cumplir a planificacién de implementacién del proceso de endurecimiento de servidores que incluye instalacién de actualizaciones de seguridad. 6.12. Respaldos De Informacién + Los usuarios de la Empresa asi como el personal de tecnologia deberdn seguir el procedimiento establecido para el respaldo y restauracién de informacién critica documento CDE-APY-TMC-TEC-PROO2. 6.14, Seguridad De Servicios En La Red ‘+ Incorporar tecnologia para la seguridad de los servicios de red como la autenticacién, encriptacién y controles de conexién de red. + Implementar soluciones que proporcionen valor agregado a las conexiones y servicios de red, ‘como la implementacién de firewalls, IPS, antivirus. 6.26.- Registros De Auditoria ‘+ Se deberé cumplir la planificacién de registros de auditoria segin priorizacién de sistemas y parémetros de configuracién establecidos por el Comité de Seguridad, el cual deberd por lo menos contemplar: registro y tipos de acceso, direcciones de red y definir alarmas ante incidentes en el acceso. ‘= Se deberd registrar y alertar ante incidentes como desactivacién de antivirus en servidores € indisponibitidad en los sistemas IPS y firewalls. ~ 6.27.- Monitoreo De Uso Del Sistema ‘Se deberé cumplir la planificacién de registros de auditoria segin priorizacién de sistemas y parémetros de configuracién establecidos por el Comité de Seguridad, el cual deberd por lo menos contemplar: registro y tipos de acceso, direcciones de red, monitorear las operaciones privilegiadas, intentos no autorizados y definir alarmas ante incidentes en el acceso, ma ) ff TRevson No, 00 Tre wn DOCUMENTO CONTROLADO erp Ga pra Ra CORREDS DEL ECUADOR COEEP Fara eee tases pemssacecetgmn sets” | ry 15402POLITICA DE SEGURIDAD DE LA INFORMACION, EMPRESA PUBLICA CORREOS DEL ECUADOR CDE-EP aiid: 2905200 T version: 0 ‘* Monitorear y alertar sobre fallos en los sistemas. 6.29.- Registros Del Administrador Y De! Operador + Monitorear eventos que ocurran en el sistema ‘+ Registrar la informacién del evento ‘+ Registrar los eventos que ocurrieron y los usuarios involucrados 6.30.- Registros de fallas del sistema + Revisar los registros de fallas 0 errores del sistema, incidentes que ocasiones una indisponibilidad o degradacién del sistema. ‘+ Elaborar reportes o informes que incluyan las medidas correctivas para garantizar que no se hayan vulnerado los controles de seguridad. 7.- CONTROL DE ACCESOS La politica de control de acceso debe permi ‘© Gestionar los accesos de los usuarios a los sistemas de la informacién, asegurando el acceso de usuarios autorizados y previniendo los accesos no autorizados. ‘© Definir responsabilidades para identificar, gestionar y mantener perfiles de los custodios de la informacién, ‘+ Definir claramente los autorizadores de los permisos de acceso a la informacién, '* Asi pues los usuarios custodios de los recursos informaticos tienen la responsabilidad de informarse y cumplir con los manuales de procedimiento y guias descritas en esta politica. 7.4. Administracién De Acceso A Los Usuarios ‘© Detallado en el Manual de Procedimiento para la Creacién de Usuarios y Asignacién o Modificacién de Accesos a los Sistemas CDE- APY-TMC-TEC-PROOL.- Mediante el que se norma y controla la creacién de usuarios, asignacién o modificacién de accesos y privilegios y gestion de contrasefias que se utlizan para los diferentes Sistemas y Plataformas Tecnolégicas que utiliza la Empresa Pablica Correos de! Ecuador CDE E.P, para el buen desarrollo de sus actividades administrativas, financieras y operativas. 7.6.- Administracién De Contrasefias Criticas '* Descrito en el Manual para el cambio de claves usuario administrador/root PR-O1.- A través del cual se norma la gestién de las claves del usuario Administrador y/o root de los equipos de ‘cémputo y servidores de la Empresa Publica Correos del Ecuador CDE EP. ‘+ El Oficial de Seguridad de la Informacién, generaré y documentaré revisiones periédicas de la creacién de usuarios y asignacién o modificacién de accesos y privilegios que se utilizan para los diferentes Sistemas y Plataformas Tecnoligicas que utiliza Ja Empresa Publica Correos de! Ecuador CDE-EP, para el buen desarrollo de sus actividades administrativas, financieras y. By Ww [Este es un DOCUMENTO CONTROLADO te propiedad dela Epes Piblica CORREOS DEL ECUADOR DEEP.) SVN NO. 00 Prolsidasu Reproduce 9Yo Dsibuclon pari o toa sn autora preva del rea ce Inger de Procesos Pip. 160021POLITICA DE SEGURIDAD DE LA INFORMACION EMPRESA PUBLICA CORREOS DEL ECUADOR CDE-EP Enis oS |___versono operativas, en todos los Sistemas y Plataformas Tecnolégicas, sean estas de usos internos 0 suministrados por un ente externo. Equipo de usuario desatendido + Cierre la sesién al ausentarse o dejar de utilizar un sistema informatico. = Si debe abandonar, aunque sea momenténeamente, su puesto de trabajo, bloquee su terminal con un protector de pantalla que solicite el ingreso de una clave. ‘© Si los equipos informaticos asignados a los servidores piblicos de la Empresa, se encuentran ‘en un periodo de inactividad mayor a 5 minutos, este se bloquea y se desbloquea dnicamente si el usuario ingresa nuevamente su clave; si alguna unidad administrativa, que maneja informacién sensible/ reserva o confidencial, requiere que el tiempo para el bloqueo sea diferente al establecido; deberd solicitar al Oficial de Seguridad, con la justificacién del caso. Politica de puesto de trabajo despejado y pantalla limpia + Guarde bajo llave la informacién critica, preferentemente en una caja fuerte o gabinete ignifugo. ‘+ Siutiliza una notebook, manténgala en un lugar seguro para evitar hurtos 0 robos. ‘+ Deje su lugar de trabajo en orden, apague los equipos y guarde los documentos al finalizar la Jornada laboral. ‘+ No deje accesibles documentos impresos que contengan datos confidenciales; en el caso de que un servidor de la empresa, encuentre informacién sensible que ha sido abandonada en los terminales de impresién, deberd entregar de manera urgente al responsable de la custodia de la informacién asignado en cada unidad administrativa, y guardard la confidencialidad del ‘so de la informacién conocida + Cada servidor de la Empresa, es el ‘nico custodio y responsable de las claves de acceso asignadas, por lo tanto no esta permitido que se coloque las claves en papeles, post-it, ni en archivos sin cifrar; ni colocar las mismas, en lugares visibles como son escritorios, pantallas, etc, con el fin de evitar el uso indebido de la misma. * No deje pendrives, CD's, diskettes, u otro elemento removible con informacién en lugares visibles y accesibles; los usuarios deben retirar los dispositivos removibles una vez que su uso haya concluido. 7.10.- Autenticacién De Los Usuarios Para Conexiones Externas ‘+ Detallado en el Manual de Procedimiento para el uso de una conexién remota a la red CDE.P CDE-APY-TMC-TEC-PROO3.- Mediante el cual se Norma y establece el proceso para la autorizacién del acceso remato y teletrabajo; asegurando la Infraestructura Tecnolégica y la informacién digital de la Empresa Publica Correos del Ecuador CDE-EP. Identificacién De Equipos De Red ‘+ Se deberé mantener actualizado, por lo menos una vez al afio todo el diagrama de red empresarial, en donde se pueda evidenciar la segregacién de las redes, contemplando las dg [ste es un DOCUMENTO CONTROLADO de propiedad del Empress Pibica CORREOS DELECUADOR CDEEP. Resin No. 00 |, onus epee ye Dsrocn ars otal Sn atncacn preva desea da gene dePreceos | rig. 74024‘POLITICA DE SEGURIDAD DE LA INFORMACION EMPRESA PUBLICA CORREOS DEL ECUADOR CDE-EP a es Em 7.42. 7.43. 7.5. redes en dominios légicos de red, dominios de red interna, dominios de red externa e inalémbrica: ~ Proteccién De Puerto De Red Y Diagnéstico Remoto Evitar la navegacién ilimitada por la red, mediante la utilizacién de mecanismos de control como proxys 0 listas de control de acceso. Se deshabiltaré 0 filtraré los acceso @ puerto no necesarios en los diferentes servidores y dispositive de red. Detallado en el Manual de Proceso para el endurecimiento de Servidores CDE.P CDE-APY-TMC-DNT-PROO4.- Con el que se norma el aseguramiento de los servidores de la Empresa Publica Correos del Ecuador CDE EP mediante la reduccién de los sistemas a su funcionalidad objetiva, minimizando de esta forma las vulnerabilidades y contrarrestando las interrupciones en las actividades del negocio. .- Separacién De Las Redes Se deberd elaborar periédicamente, por lo menos una vez al afio, un informe de evaluacién de riesgos detectado en los diferentes segmentos de la red de la Empresa. - Control De Enrutamiento De Red Evitar la navegacién ilimitada por la red, mediante la utiizacién de mecanismos de control como proxys 0 listas de control de acceso. Configurar las puertas de enlace de la seguridad con el fin de validar la direccién fuente/destino en los puntos de control de las redes internas y externas. 7.16.- Inicio Seguro A Aplicaciones 7.47. Se deber cumplir con la planificacién realizada para la implementacién del procedimiento de registro de inicio seguro, el mismo que estara disefiado para minimizar la oportunidad de acceso no autorizado a los sistemas y aplicaciones institucionales. .- Identificacién Y Autenticacién De Usuarios {A fin de garantizar la exactitud de los registros de auditoria, al menos los equipos que realicen estos registros, deberén tener una correcta configuracién de sus relojes para ello deberén ligarse al servidor NTP provisto para el efecto. Se deberd cumplir con la planificacién realizada con el fin de lograr que todos fos usuarios en los sistemas que manejan informacion sensible (incluido el personal de soporte técnico, como los operadores, administradores de red, programadores de sistemas y administradores de bases de datos) tendran un identificador Unico (ID de usuario) solamente para su uso personal exclusivo, de manera que las actividades puedan rastrearse con posterioridad hasta llegar al individuo responsable. Los identificadores de usuario no daran ningin indicio del nivel de privilegio otorgado. 7.18,- Sistema De Gestion De Contrasefi 18,- Sistema De Gestién De C asf \ [ste es un DOCUMENTO CONTROLADO 6e propiedad dei Empresa Piblca CORREOS DEL ECUADOR COEEP, _ Revsién No. 00 Prohide 52 Repocuccgn y/o Disravelén parca otal sn autorzaién preva de ree de Ingenieria de Proceso ig. 18 ¢e 21,POLITICA DE SEGURIDAD DE LA INFORMACTON EMPRESA PUBLICA CORREOS DEL ECUADOR CDE-EP Elsie: PEOSIOE I ersioni Oo Detallado en los manuales de procedimiento: + Para la Creacién de Usuarios y Asignacién o Modificacién de Accesos a los Sistemas CDE- APY- ‘TMC-TEC-PROOL.- Mediante el que se norma y controla la creacién de usuarios, asignacién 0 modificacion de accesos y privilegios, y gestin de contrasefias que se utiizan para los diferentes Sistemas y Plataformas Tecnol6gicas que utiliza la Empresa Publica Correos del Ecuador CDE-EP, para el buen desarrollo de sus actividades administrativas, financieras y operativas. = Para el cambio de claves usuario administrador/root PR-O1.- A través del cual se norma la gestion de las claves del usuario Administrador y/o root de los equipos de cémputo y servidores de la Empresa Publica Correos del Ecuador CDE EP. jones méviles 7.25.1.- Computacién y comuni © Cada servidor de la Empresa debe evitar la exposicién de equipos portatiles en sitios inseguros, ptiblicos y de alto riesgo, que pueden poner en riesgo la informacién que genera la empresa; en cuanto ocurra el evento el custodio, debera notficar a la Direccién Nacional de Tecnologia para deshabilitar los accesos. 7.2 1 Trabajo Remoto ‘+ Detallado en el Manual de Procedimiento para el uso de una conexién remota a la red CDE.P CDE-APY-TMC-DNT-PROO3.- Mediante el cual se Norma y establece el proceso para la autorizacién del acceso remoto y teletrabajo; asegurando la Infraestructura Tecnolégica y la informacién digital de la Empresa Pablica Correos del Ecuador CDE-EP. ADQUISICION, DESARROLLO Y_M IMIEN’ SISTEMAS _DE INFORMACION + Definido en la Guia para el Anédlsis y Especificaciones de los Requerimientos de Seguridad para Sistemas de Informacién, documento CDE-APY-TMC-DNT-GUO01 que norma el proceso a seguir durante las etapas de andlisis y disefio del sistema, con el fin de incorporar los correspondientes controles de seguridad y de esta manera proteger del dafio potencial que pudiera ocasionar el dejar vulnerabilidades en las aplicaciones desarrolas. 9.- ON DE Lt [DENTES DE LA SEGURIDAD DE LA INFO! ION © Definido en el manual de politicas para gestién de incidentes de seguridad de la informacién, documento CDE- APY-TMC-TEC-PLO02, norma que describe el proceso para detectar, registrar, monitorear y corregir los incidentes de seguridad de la informacion que puedan presentarse, usando adecuadamente los recursos disponibles para restaurar las seguridades vulneradas en fel menor tiempo posible, y de esta manera disminuir el impacto causado precautelando la informacién de la Empresa Publica Correos del Ecuador CDE EP. ae, Tse es un DOCUMENTO CONTROLADO ce propiedad de Empresa PCbIC® CORREOS DEL ECUADOR COE EP. Newstin NO. 00 | Proce Repoauecin yo Dameucen parca otal sn autrzaG preva dl rea de Ingenieria de Process ig, 19 de21POLITICA DE SEGURIDAD DE LA INFORMACION EMPRESA PUBLICA CORREOS DEL ECUADOR CD-EP Enelgn: 232014 I Versin: VII.- ANEXOS ‘Acta de entrega Formulario para ‘Acuerdo de Confidencialidad Recepcién Lista de chequeo de informacién. Registro y Control de Acuerdos de Confidencialidad. la Asignacién de Funciones VIII.- CONTROL DE CAMBIOS El presente documento es la primera version del Manual de Politicas de Seguridad de la Informacién, de la Empresa Piiblica Correos del Ecuador CDE-EP, por ende, no deberd registrar modificaciones hasta después de su primere ‘a revisién, posterior a su fecha de aprobacién. IX.- REGISTRO DE FIRMAS Dr. Willians Saud Reich Gerente General CDE EP. Ue Pt Ab. Tatiana Davila Ing, Esteban Rodriguez Gerente Estratégico de Tecnologia y Mejoramiento a Continuo Oficial de Seguridad de la fons Informacién LL : = 7), LS Be Ing. Viviana Apolo Responsable de Seguridad del Area de Tecnologias de la Informacién. Wry Ing. Juan Pablo Mantilla Director Nacional de Talento Humano Ing. Diego Cruz Director Nacional de Teta t ste es un DOCUMENTO CONTROLADO ce propiedad dea Empress Pica CORREOS DEL ECUADOR CDE EP. evan No 00 breioide so Reproduction yfo Dsttucion pac oll sa autoreacén previa dl des Ge Ingenieria de Procesos ig. 20021POLITICA DE SEGURIDAD DE LA INFORMACION EMPRESA PUBLICA CORREOS DEL ECUADOR CDE-EP Enis: 75052018 I Wersin: 00 Director Nacional de —_ Eco, Carolina Lozano Ponncon I Sr. Javier Vasconez Director Nacional Administrative Ab. Ivan Salgado Director Nacional Juridico pn FE Ing. Galo Pazmifio ——————— — Este es un DOCUMENTO CONTROLADO de propiedad de la Empresa Piblica CORREOS DEL ECUADOR CDE E-P. Rewsin No, 00 | PNSPRSINREE Sesame cto sn atincn ead de meets eects” | pip 2 de