SNTESIS LEGAL
ECONMICO
Quito, 30 de septiembre del 2013
SUMARIO
ACUERDO:
PBLICA:
No. 166
Considerando:
Que, el artculo 13 del Estatuto del Rgimen Jurdico Administrativo de la Funcin Ejecutiva
establece que la Secretara Nacional de la Administracin Pblica es una entidad de
derecho pblico, con personalidad jurdica y patrimonio propio, dotada de autonoma
presupuestaria, financiera, econmica y administrativa, encargada de establecer las
polticas, metodologas de gestin e innovacin institucional y herramientas
necesarias para el mejoramiento de la eficiencia, calidad y transparencia de la gestin
en las entidades y organismos de la Funcin Ejecutiva, con quienes coordinar las
acciones que sean necesarias para la correcta ejecucin de dichos fines; as como
CORREO LEGAL w w w. c o r r e o l e g a l . c o m . e c
Legislacin al da!
Correo legal / Lunes 05 de septiembre del 2013 2
tambin de realizar el control, seguimiento y evaluacin de la gestin de los planes,
programas, proyectos y procesos de las entidades y organismos de la Funcin
Ejecutiva que se encuentran en ejecucin; y, el control, seguimiento y evaluacin de la
calidad en la gestin de los mismos.
Que, mediante Acuerdos Ministeriales Nos. 804 y 837 de 29 de julio y 19 de agosto de 2011,
respectivamente, la Secretara Nacional de la Administracin Pblica cre la Comisin para la
Seguridad Informtica y de las Tecnologas de la Informacin y Comunicacin conformada por
delegados del Ministerio de Telecomunicaciones y de la Sociedad de la Informacin, la
Secretara Nacional de Inteligencia y la Secretara Nacional de la Administracin Pblica y
dentro de sus atribuciones tiene la de establecer lineamientos de seguridad informtica,
proteccin de infraestructura computacional y todo lo relacionado con sta, incluyendo la
informacin contenida para las entidades de la Administracin Pblica Central e Institucional.
Que, el artculo 15, letra i) del Estatuto del Rgimen Jurdico y Administrativo de la Funcin
Ejecutiva establece como atribucin del Secretario Nacional de la Administracin Pblica,
impulsar proyectos de estandarizacin en procesos, calidad y tecnologas de la informacin y
comunicacin;
En uso de las facultades y atribuciones que le confiere el artculo 15, letra n) del Estatuto del
Rgimen Jurdico y Administrativo de la Funcin Ejecutiva,
Acuerda:
Artculo 1.- Disponer a las entidades de la Administracin Pblica Central, Institucional y que
dependen de la Funcin Ejecutiva el uso obligatorio de las Normas Tcnicas Ecuatorianas NTE
INEN-ISO/IEC 27000 para la Gestin de Seguridad de la Informacin.
CORREO LEGAL w w w. c o r r e o l e g a l . c o m . e c
Legislacin al da!
Correo legal / Lunes 05 de septiembre del 2013 3
Artculo 4.- La Secretara Nacional de la Administracin Pblica coordinar y dar seguimiento
a la implementacin del EGSI en las entidades de la Administracin Pblica Central,
Institucional y que dependen de la Funcin Ejecutiva. El seguimiento y control a la
implementacin de la EGSI se realizar mediante el Sistema de Gestin por Resultados (GPR)
u otras herramientas que para el efecto implemente la Secretara Nacional de la Administracin
Pblica.
Artculo 5.- La Secretara Nacional de la Administracin Pblica realizar de forma ordinaria una
revisin anual del EGSI en conformidad a las modificaciones de la norma INEN ISO/IEC 27002
que se generen y de forma extraordinaria o peridica cuando las circunstancias as lo ameriten,
adems definir los procedimientos o metodologas para su actualizacin, implementacin,
seguimiento y control.
Artculo 7.- Las entidades realizarn una evaluacin de riesgos y disearn e implementarn el
plan de manejo de riesgos de su institucin, en base a la norma INEN ISO/IEC 27005 Gestin
del Riesgo en la Seguridad de la Informacin.
DISPOSICIONES GENERALES
DISPOSICIONES TRANSITORIAS
Primera.- Para efectivizar el control y seguimiento del EGSI institucional, la Secretara Nacional
de la Administracin Pblica en un plazo de quince (15) das crear un proyecto en el sistema
GPR en el que se homogenice los hitos que deben de cumplir las instituciones para
implementar el EGSI.
DISPOSICIN DEROGATORIA
CORREO LEGAL w w w. c o r r e o l e g a l . c o m . e c
Legislacin al da!
Correo legal / Lunes 05 de septiembre del 2013 4
Derguese los Acuerdo Ministeriales No. 804 de 29 de julio de 2011 y No. 837 de 19 de agosto
de 2011.
f.) Dra. Rafaela Hurtado Espinoza, Coordinadora General de Asesora Jurdica, Secretara
Nacional de la Administracin Pblica.
Versin 1.0
Septiembre de 2013
Contenido
INTRODUCCIN
7. CONTROL DE ACCESO
INTRODUCCIN
Los avances de las Tecnologas de la Informacin y Comunicacin (TIC) han ocasionado que
los gobiernos otorguen mayor atencin a la proteccin de sus activos de informacin con el fin
CORREO LEGAL w w w. c o r r e o l e g a l . c o m . e c
Legislacin al da!
Correo legal / Lunes 05 de septiembre del 2013 5
de generar confianza en la ciudadana, en sus propias instituciones y minimizar riesgos
derivados de vulnerabilidades informticas. La Secretara Nacional de Administracin Pblica,
considerando que las TIC son herramientas imprescindibles para el desempeo de institucional
e inter-institucional, y como respuesta a la necesidad gestionar de forma eficiente y eficaz la
seguridad de la informacin en las entidades pblicas, emiti los Acuerdos Ministeriales No.
804 y No. 837, de 29 de julio y 19 de agosto de 2011 respectivamente, mediante los cuales
cre la Comisin para la Seguridad Informtica y de las Tecnologas de la Informacin y
Comunicacin.
* (*) En todo este documento esta marca significa que se trata de un control/directriz
prioritario
Las entidades pblicas podrn especificar una poltica de seguridad ms amplia o especfica en
armona con la Constitucin, leyes y dems normativa legal propia o relacionada as como su
misin y competencias.
CORREO LEGAL w w w. c o r r e o l e g a l . c o m . e c
Legislacin al da!
Correo legal / Lunes 05 de septiembre del 2013 6
b) Disponer la difusin, capacitacin y sensibilizacin del contenido de este documento (*).
Monitorear cambios significativos de los riesgos que afectan a los recursos de informacin
frente a las amenazas ms importantes.
Velar por la aplicacin de la familia de normas tcnicas ecuatorianas INEN ISO/IEC 27000 en
la institucin segn el mbito de cada norma.
CORREO LEGAL w w w. c o r r e o l e g a l . c o m . e c
Legislacin al da!
Correo legal / Lunes 05 de septiembre del 2013 7
a) Definir procedimientos para el control de cambios a los procesos operativos, los sistemas e
instalaciones, y verificar su cumplimiento, de manera que no afecten la seguridad de la
informacin.
c) Administrar los medios tcnicos necesarios para permitir la segregacin de los ambientes de
procesamiento.
h) Implementar los controles de seguridad definidos (ej., evitar software malicioso, accesos no
autorizados, etc.).
CORREO LEGAL w w w. c o r r e o l e g a l . c o m . e c
Legislacin al da!
Correo legal / Lunes 05 de septiembre del 2013 8
j) Gestionar los incidentes de seguridad de la informacin de acuerdo a los procedimientos
establecidos.
b) Autorizar explcitamente por parte del custodio el uso de un nuevo servicio segn las
definiciones anteriores.
c) Solicitar la autorizacin del oficial de seguridad de la informacin el uso del nuevo servicio
garantizando el cumplimiento de la polticas de seguridad de la informacin y normas definidas
en este documento.
e) Implementar los controles necesarios para el uso de nuevos servicios para procesar
informacin de la institucin sean personales o de terceros para evitar nuevas vulnerabilidades.
d) Controlar que la firma de los acuerdos de confidencialidad sean parte de los procedimientos
de incorporacin de nuevos funcionarios a la institucin, sin excepcin.
CORREO LEGAL w w w. c o r r e o l e g a l . c o m . e c
Legislacin al da!
Correo legal / Lunes 05 de septiembre del 2013 9
d) Establecer acuerdos para compartir informacin con el objeto de mejorar la cooperacin y la
coordinacin de los temas de la seguridad. Tales acuerdos deberan identificar los requisitos
para la proteccin de la informacin sensible.
d) Registrar y mantener las terceras partes vinculadas a la entidad considerando los siguientes
tipos:
servicios de seguridad;
CORREO LEGAL w w w. c o r r e o l e g a l . c o m . e c
Legislacin al da!
Correo legal / Lunes 05 de septiembre del 2013 10
ciudadanos/clientes;
Otros
a) Garantizar que exista un entendimiento adecuado en los acuerdos que se firmen entre la
organizacin y la tercera parte con el objeto de cumplir los requisitos de la seguridad de la
entidad. Refirase a la norma INEN ISO/IEC para los aspectos claves a considerar en este
control.
3.1. Inventario de activos Inventariar los activos primarios, en formatos fsicos y/o electrnicos:
d) Los archivos generados por los servidores pblicos, tanto de manera fsica como electrnica,
razn de ser de la funcin que desempean en la institucin.
CORREO LEGAL w w w. c o r r e o l e g a l . c o m . e c
Legislacin al da!
Correo legal / Lunes 05 de septiembre del 2013 11
g) Del desarrollo de aplicativos de los servicios informticos: actas de levantamiento de
requerimientos, documento de anlisis de requerimientos, modelos entidad relacin, diseo
de componentes, casos de uso, diagramas de flujo y estado, casos de prueba, etc.
h) Del soporte de aplicativos de los servicios informticos: tickets de soporte, reportes fsicos y
electrnicos, evaluaciones y encuestas, libros de trabajo para capacitacin, etc.
l) Perifricos de entrada: teclado, ratn, micrfono, escner plano, escner de mano, cmara
digital, cmara web, lpiz ptico, pantalla de toque, etc.
r) Sistemas operativos.
t) Paquetes de software o software base de: suite de ofimtica, navegador de Internet, cliente
de correo electrnico, mensajera instantnea, edicin de imgenes, vdeo conferencia,
servidor (proxy, de archivos, de correo electrnico, de impresiones, de mensajera instantnea,
de aplicaciones, de base de datos), etc.
CORREO LEGAL w w w. c o r r e o l e g a l . c o m . e c
Legislacin al da!
Correo legal / Lunes 05 de septiembre del 2013 12
x) Ruteador (router), cortafuego (firewall), controlador de red inalmbrica, etc.
aa) Estructura organizacional del rea de las TIC, con los cargos y nombres del personal:
administrador (de servidores, de redes de datos, de respaldos de la informacin, de sistemas
de almacenamiento, de bases de datos, de seguridades, de aplicaciones del negocio, de
recursos informticos, etc.), lder de proyecto, personal de capacitacin, personal de mesa de
ayuda, personal de aseguramiento de calidad, programadores (PHP, Java, etc.).
cc) Direccin fsica, direccin de correo electrnico, telfonos y contactos de todo el personal
de la institucin.
dd) De los servicios esenciales: nmero de lneas telefnicas fijas y celulares, proveedor de
servicios de Internet y transmisin de datos, proveedor del suministro de energa elctrica,
proveedor del suministro de agua potable, etc.
Los activos debern ser actualizados ante cualquier modificacin de la informacin registrada y
revisados con una periodicidad no mayor a seis meses.
a) Asignar los activos asociados (o grupos de activos) a un individuo que actuar como
Responsable del Activo. Por ejemplo, debe haber un responsable de los computadores de
escritorio, otro de los celulares, otro de los servidores del centro de datos, etc. El trmino
"responsable" no implica que la persona tenga realmente los derechos de propiedad de los
activos. El Responsable del Activo tendr las siguientes funciones:
Delegar tareas rutinarias, tomando en cuenta que la responsabilidad sigue siendo del
responsable.
Elaborar las reglas para el uso aceptable del mismo e implantarlas previa autorizacin de la
autoridad correspondiente.
b) Consolidar los inventarios de los activos a cargo del Responsable del Activo, por rea o
unidad organizativa.
a) Identificar, documentar e implementar las reglas sobre el uso aceptable de los activos
asociados con los servicios de procesamiento de la informacin. Para la elaboracin de las
reglas, el Responsable del Activo deber tomar en cuenta las actividades definidas en los
controles correspondientes a los mbitos de Intercambio de Informacin y Control de
Acceso, donde sea aplicable.
CORREO LEGAL w w w. c o r r e o l e g a l . c o m . e c
Legislacin al da!
Correo legal / Lunes 05 de septiembre del 2013 13
b) El Oficial de Seguridad de la Informacin es el encargado de asegurar que los lineamientos
para la utilizacin de los recursos de las Tecnologas de la Informacin contemplen los
requerimientos de seguridad establecidos, segn la criticidad de la informacin que procesan.
Este servicio debe utilizarse exclusivamente para las tareas propias de las funciones que se
desarrollan en la institucin y no debe utilizarse para ningn otro fin.
Cada persona es responsable tanto del contenido del mensaje enviado como de cualquier
otra informacin que adjunte.
Todos los mensajes deben poder ser monitoreados y conservados permanentemente por
parte de las institucin.
Toda cuenta de correo electrnico debe estar asociada a una nica cuenta de usuario.
Todo sistema debe contar con las facilidades automticas que notifiquen al usuario cuando
un mensaje enviado por l no es recibido correctamente por el destinatario, describiendo
detalladamente el motivo del error.
Todo usuario es responsable por la destruccin de los mensajes con origen desconocido, y
asume la responsabilidad por las consecuencias que pueda ocasionar la ejecucin de los
archivos adjuntos. En estos casos, no deben contestar dichos mensajes y deben enviar una
copia al Oficial de Seguridad de la Informacin para que efecte el seguimiento y la
investigacin necesaria.
Este servicio debe utilizarse exclusivamente para las tareas propias de la funcin
desarrollada en la institucin, y no debe utilizarse para ningn otro fin.
CORREO LEGAL w w w. c o r r e o l e g a l . c o m . e c
Legislacin al da!
Correo legal / Lunes 05 de septiembre del 2013 14
El Oficial de Seguridad de la Informacin debe elaborar, poner en marcha y controlar la
aplicacin de un procedimiento institucional para acceso y uso de la Internet y la Web por parte
de todo funcionario sin excepcin, y en el cual se acepten las condiciones aqu especificadas y
otras que la institucin considere apropiadas.
Todos los accesos deben poder ser sujetos de monitoreo y conservacin permanente por
parte de la institucin.
Se debe bloquear y prohibir el acceso y uso de servicios de correo electrnico de libre uso
tales como: Gmail, Hotmail, Yahoo, Facebook, entre otros.
Elaborar un documento tipo lista de chequeo (check-list) que contenga los parmetros de
seguridad para el acceso a la red interministerial que soporta el servicios de video-conferencia.
Crear contraseas para el ingreso a la configuracin de los equipos y para las salas virtuales
de videoconferencia.
a) Incluir datos mediante abreviaturas, acerca del tipo de activo y su funcionalidad para la
generacin de etiquetas.
b) En caso de repetirse la etiqueta del activo, deber aadirse un nmero secuencial nico al
final.
CORREO LEGAL w w w. c o r r e o l e g a l . c o m . e c
Legislacin al da!
Correo legal / Lunes 05 de septiembre del 2013 15
e) Los responsables de los activos supervisarn el cumplimiento del proceso de generacin de
etiquetas y rotulacin de los activos.
f) Para el caso de etiquetas fsicas, los responsables de los activos verificarn con una
periodicidad no mayor a 6 meses, que los activos se encuentren rotulados y con etiquetas
legibles.
4.2 Seleccin
b) Definir los criterios y las limitaciones para las revisiones de verificacin de personal actual
(por motivos de designacin o promocin), potenciales empleados y de terceras partes.
CORREO LEGAL w w w. c o r r e o l e g a l . c o m . e c
Legislacin al da!
Correo legal / Lunes 05 de septiembre del 2013 16
c) Acordar los trminos y las condiciones laborales, las cuales incluyen la poltica de la
seguridad de la informacin de la institucin y los mtodos apropiados de trabajo.
a) Socializar y capacitar de forma peridica y oportuna sobre las normas y los procedimientos
para la seguridad, las responsabilidades legales y los controles de la institucin, as como en la
capacitacin del uso correcto de los servicios de informacin.
a) Garantizar el tratamiento imparcial y correcto para los empleados que han cometido
violaciones comprobadas a la seguridad de la informacin.
d) Los contratos del empleado, el contratista o el usuario de terceras partes, deben incluir las
responsabilidades vlidas an despus de la terminacin del contrato laboral.
b) Aplicar los debidos procesos para garantizar que toda la informacin generada por el
empleado, contratista o usuario de terceras partes dentro de la institucin, sea transferida,
archivada o eliminada con seguridad.
CORREO LEGAL w w w. c o r r e o l e g a l . c o m . e c
Legislacin al da!
Correo legal / Lunes 05 de septiembre del 2013 17
Oficial de Seguridad de la Informacin formalmente la terminacin de la relacin laboral por
parte del rea correspondiente.
b) Definir una rea de recepcin, con personal y otros medios para controlar el acceso fsico al
lugar o edificio (*).
c) Extender las barreras fsicas necesarias desde el piso hasta el techo a fin de impedir el
ingreso inapropiado y la contaminacin del medio ambiente.
c) Implementar el uso de una identificacin visible para todo el personal y visitantes, quienes
debern ser escoltados por una persona autorizada para el trnsito en las reas restringidas
(*).
b) Proteger las instalaciones claves de tal manera que se evite el acceso al pblico (*).
e) Disponer que las puertas y ventanas permanezcan cerradas, especialmente cuando no haya
vigilancia.
a) Almacenar los materiales combustibles o peligrosos a una distancia prudente de las reas
protegidas.
b) Ubicar los equipos de repuesto y soporte a una distancia prudente para evitar daos en caso
de desastre que afecte las instalaciones principales.
CORREO LEGAL w w w. c o r r e o l e g a l . c o m . e c
Legislacin al da!
Correo legal / Lunes 05 de septiembre del 2013 18
d) Realizar mantenimientos de las instalaciones elctricas y UPS.(*)
f) Adoptar controles para minimizar el riesgo de amenazas fsicas potenciales como robo,
incendio, explosin, humo, agua, polvo, vibracin, efectos qumicos, interferencia del suministro
elctrico e interferencia a las comunicaciones.
a) Ubicar los equipos de modo que se elimine el acceso innecesario a las reas de trabajo
restringidas.
b) Aislar los servicios de procesamiento de informacin con datos sensibles y elementos que
requieran proteccin especial, para reducir el riesgo de visualizacin de la informacin de
personas no autorizadas.
c) Establecer directrices para no comer, beber y fumar en las cercanas de las reas de
procesamiento de informacin (*).
d) Tener al alcance el suministro de combustible para que el grupo electrgeno pueda funcionar
mientras dure la suspensin del suministro elctrico pblico.
CORREO LEGAL w w w. c o r r e o l e g a l . c o m . e c
Legislacin al da!
Correo legal / Lunes 05 de septiembre del 2013 19
e) Disponer de los interruptores de emergencia cerca de las salidas, para suspender el paso
de energa elctrica, en caso de un incidente o problema.
d) Identificar y rotular los cables de acuerdo a normas locales o internacionales para evitar
errores en el manejo.
b) Disponer de controles para el trabajo que se realiza en equipos fuera de las instalaciones,
mediante una evaluacin de riesgos.
c) Establecer una cobertura adecuada del seguro, para proteger los equipos que se encuentran
fuera de las instalaciones.
a) Destruir, borrar o sobrescribir los dispositivos que contienen informacin sensible utilizando
tcnicas que permitan la no recuperacin de la informacin original.
b) Evaluar los dispositivos deteriorados que contengan informacin sensible antes de enviar a
reparacin, borrar la informacin o determinar si se debera eliminar fsicamente el dispositivo.
CORREO LEGAL w w w. c o r r e o l e g a l . c o m . e c
Legislacin al da!
Correo legal / Lunes 05 de septiembre del 2013 20
c) Establecer lmites de tiempo para el retiro de equipos y verificar el cumplimiento en el
momento de la devolucin.
g) Documentar los procedimientos para reinicio y recuperacin del sistema en caso de fallas.
CORREO LEGAL w w w. c o r r e o l e g a l . c o m . e c
Legislacin al da!
Correo legal / Lunes 05 de septiembre del 2013 21
a) Definir y documentar diferentes entornos para desarrollo, pruebas, capacitacin y
produccin. Para el caso que no se pueda definir diferentes entornos con recursos fsicos
independientes, se debe mantener diferentes directorios con su respectiva versin y delegacin
de acceso.
a) Establecer controles sobre definiciones del servicio y niveles de prestacin del servicio, para
que sean implementados, mantenidos y operados por terceros.
a) Identificar los sistemas sensibles o crticos que convenga tener dentro o fuera de la
institucin.
b) Monitorear los niveles de desempeo de los servicios para verificar el cumplimiento de los
acuerdos (*).
c) Analizar los reportes de servicios, reportes de incidentes elaborados por terceros y acordar
reuniones peridicas segn los acuerdos (*).
d) Revisar y verificar los registros y pruebas de auditora de terceros, con respecto a eventos
de seguridad, problemas de operacin, fallas relacionados con el servicio prestado (*).
b) Coordinar el proceso de cambio cuando se necesita realizar cambios o mejoras a las redes
y uso de nuevas tecnologas en los servicios ofrecidos por terceros.
CORREO LEGAL w w w. c o r r e o l e g a l . c o m . e c
Legislacin al da!
Correo legal / Lunes 05 de septiembre del 2013 22
b) Monitorear los recursos asignados para garantizar la capacidad y rendimiento de los
servicios y sistemas informticos.
c) Poner a prueba procedimientos operativos de rutina segn normas definidas para el sistema.
e) Asegurar que la instalacin del nuevo sistema no afecte negativamente los sistemas
existentes, especialmente en perodos pico de procesamiento.
h) Para nuevos desarrollos, se debe involucrar a los usuarios y a todas las reas relacionadas,
en todas las fases del proceso, para garantizar la eficacia operativa del sistema propuesto.
a) Prohibir el uso de software no autorizado por la institucin. Elaborar un listado del software
autorizado. (*).
i) Concienciar al personal acerca del problema de los virus y cmo proceder frente a los
mismos.
j) Contratar con el proveedor de Internet o del canal de datos los servicios de filtrado de: virus,
spam, programas maliciosos (malware), en el permetro externo.
a) Aislar de forma lgica los dispositivos mviles en forma similar a lo que ocurre con las
VLANs.
CORREO LEGAL w w w. c o r r e o l e g a l . c o m . e c
Legislacin al da!
Correo legal / Lunes 05 de septiembre del 2013 23
c) Gestionar el cdigo mvil mediante procedimientos de auditora y medidas tcnicas
disponibles.
d) Establecer procedimientos de los medios de respaldo, una vez concluida su vida til
recomendada por el proveedor y la destruccin de estos medios.
e) Guardar los respaldos en un sitio lejano, a una distancia suficiente para evitar cualquier dao
debido a desastres en la sede principal de la institucin.
i) Considerar los respaldos a discos y en el mismo sitio si se tiene suficientes recursos, ya que
en caso de mantenimientos de los sistemas de informacin, es ms rpida su recuperacin.
e) Disponer de un esquema de red de los enlaces de datos, Internet y redes locales, as como
la documentacin respectiva.
c) Definir procedimientos para la utilizacin de los servicios de red para restringir el acceso a
los servicios de red cuando sea necesario.
CORREO LEGAL w w w. c o r r e o l e g a l . c o m . e c
Legislacin al da!
Correo legal / Lunes 05 de septiembre del 2013 24
a) Establecer un procedimiento para la gestin de todos los medios removibles.
b) Tener autorizacin para la conexin de los medios removibles y registrar la conexin y retiro,
para pruebas de auditora.
c) Almacenar los medios removibles en un ambiente seguro, segn las especificaciones de los
fabricantes.
b) Almacenar y eliminar de forma segura los medios que contienen informacin sensible, como
la incineracin, trituracin o borrado de los datos.
c) Establecer procedimientos para seleccin del contratista que ofrece servicios de recoleccin
y eliminacin del papel, equipos y medios.
d) Establecer controles de proteccin segn el nivel de sensibilidad de los datos que reside en
la memoria temporal.
b) Mantener una lista de acceso mnima a la documentacin del sistema y con su debida
autorizacin.
e) Definir procedimientos para el uso de las redes inalmbricas en base a los riesgos
involucrados.
CORREO LEGAL w w w. c o r r e o l e g a l . c o m . e c
Legislacin al da!
Correo legal / Lunes 05 de septiembre del 2013 25
g) Establecer controles por medio de tcnicas criptogrficas.
k) No dejar datos demogrficos al alcance de cualquier persona, como los correos electrnicos,
ya que se puede hacer uso de ingeniera social para obtener ms informacin.
a) Establecer lineamientos para proteger los mensajes contra los accesos no autorizados,
modificacin o denegacin de los servicios.
d) Encriptar los contenidos y/o informacin sensibles que puedan enviarse por mensajera
electrnica; utilizando firmas electrnicas reconocidas por el Estado Ecuatoriano u otras
tecnologas evaluadas y aprobadas por la entidad o el Gobierno Nacional.
CORREO LEGAL w w w. c o r r e o l e g a l . c o m . e c
Legislacin al da!
Correo legal / Lunes 05 de septiembre del 2013 26
6.23. Sistemas de informacin del negocio.
b) Proteger y tener en cuenta las vulnerabilidades en los sistemas de comunicacin del negocio
como la grabacin de las llamadas telefnicas.
a) Definir procedimientos para el uso de certificados de firmas electrnicas por las partes
implicadas en la transaccin.
c) Cifrar o encriptar el canal de comunicaciones entre las partes involucradas (por ejemplo,
utilizando SSL/TLS).
e) Establecer procedimientos para que las transacciones se encuentren fuera del entorno de
acceso pblico.
b) Registrar la fecha, hora y detalles de los eventos clave, como registro de inicio y registro de
cierre.
CORREO LEGAL w w w. c o r r e o l e g a l . c o m . e c
Legislacin al da!
Correo legal / Lunes 05 de septiembre del 2013 27
d) Registrar los intentos aceptados y rechazados de acceso al sistema.
Tipos de evento;
CORREO LEGAL w w w. c o r r e o l e g a l . c o m . e c
Legislacin al da!
Correo legal / Lunes 05 de septiembre del 2013 28
b) Proteger archivos de registro que se editen o se eliminen.
b) Revisar las medidas correctivas para garantizar que no se hayan vulnerado los controles (*).
a) Sincronizar los relojes de los sistemas de procesamiento de informacin pertinentes con una
fuente de tiempo exacta (ejemplo el tiempo coordinado universal o el tiempo estndar local).
En lo posible, se deber sincronizar los relojes en base a un protocolo o servicio de tiempo de
red para mantener todos los equipos sincronizados.
7. CONTROL DE ACCESO
a) Gestionar los accesos de los usuarios a los sistemas de informacin, asegurando el acceso
de usuarios autorizados y previniendo los accesos no autorizados.
CORREO LEGAL w w w. c o r r e o l e g a l . c o m . e c
Legislacin al da!
Correo legal / Lunes 05 de septiembre del 2013 29
requerimiento, autorizador del requerimiento, ejecutor del requerimiento, forma y medio de
entrega del acceso al usuario (manteniendo confidencialidad);
Crear los accesos para los usuarios, para lo cual la institucin debe generar convenios de
confidencialidad y responsabilidad con el usuario solicitante; adems, validar que el usuario
tenga los documentos de ingreso con Recursos Humanos (o quien haga estas funciones) en
orden y completos.
b) Mantener un cuadro de identificacin de los usuarios y sus privilegios asociados con cada
servicio o sistema operativo, sistema de gestin de base de datos y aplicaciones.
b) Evidenciar los cambios sobre los derechos de acceso en archivos de log o registro de los
sistemas, los cuales deben estar disponibles en caso que se requieran.
c) Evitar contraseas en blanco o que viene por defecto segn el sistema el fabricante del
producto, puesto que son fcilmente descifrables; por ejemplo: admin, administrador,
administrador, user, usuario, entre otros (*).
CORREO LEGAL w w w. c o r r e o l e g a l . c o m . e c
Legislacin al da!
Correo legal / Lunes 05 de septiembre del 2013 30
e) Generar y documentar revisiones peridicas de la gestin de usuarios incluidos los
administradores de tecnologa, por parte del Oficial de Seguridad de la Informacin (*).
b) Mantener bajo llave la informacin sensible (cajas fuertes o gabinetes), en especial cuando
no estn en uso y no se encuentre personal en la oficina (*).
e) Bloquear las copiadoras y disponer de un control de acceso especial para horario fuera de
oficinas (*).
g) Retirar informacin sensible, como las claves, de sus escritorios y pantallas (*).
h) Retirar los dispositivos removibles una vez que se hayan dejado de utilizar (*).
i) Cifrar los discos duros de los computadores personales (escritorio, porttiles, etc.) y otros
dispositivos que se considere necesarios, de las mximas autoridades de la institucin.
b) Identificar por cada servicio los grupos de usuarios que deben acceder.
c) Definir los perfiles y roles para cada grupo de usuarios que tenga acceso a la red y sus
servicios.
d) Definir mecanismos de bloqueos para que sea restringido el acceso de equipos a la red.
a) Generar mecanismos para asegurar la informacin transmitida por los canales de conexin
remota, utilizando tcnicas como encriptacin de datos, implementacin de redes privadas
virtuales (VPN) y Servicio de Acceso Remoto (SAR) (*).
b) Controlar que la comunicacin solo sea permitida desde un equipo o lugar especfico.
CORREO LEGAL w w w. c o r r e o l e g a l . c o m . e c
Legislacin al da!
Correo legal / Lunes 05 de septiembre del 2013 31
c) Tener documentada la identificacin de los equipos que estn permitidos, segn la red que le
corresponda.
d) Utilizar mtodos para que la identificacin del equipo est en relacin a la autenticacin del
usuario.
b) Los puertos, servicios (ej., fftp) que no se requieren por necesidades de la institucin,
debern ser eliminados o deshabilitados (*).
a) Realizar una evaluacin de riesgos para identificar los segmentos de red donde se
encuentren los activos crticos para la institucin (*).
b) Dividir las redes en dominios lgicos de red, dominios de red interna, dominios de red
externa e inalmbrica.
d) Configurar la puerta de enlace (gateway) para filtrar el trfico entre dominios y bloquear el
acceso no autorizado.
g) Separar redes inalmbricas procedentes de redes internas y privadas, para evitar el acceso
a terceros y de usuarios externos a las redes privadas internas.
Mensajera
Transferencia de archivos
Acceso interactivo
CORREO LEGAL w w w. c o r r e o l e g a l . c o m . e c
Legislacin al da!
Correo legal / Lunes 05 de septiembre del 2013 32
a) Configurar polticas de control de acceso para el enrutamiento en la red, basndose en los
requerimientos de la institucin (*).
Las puertas de enlace de la seguridad (gateway) se pueden usar para validar la direccin
fuente/destino en los puntos de control de las redes internas y externas, si se emplean
tecnologas proxy y/o de traduccin de direcciones de red.
Las instituciones que utilizan proxys y quienes definen las listas de control de acceso (LCA),
deben estar conscientes de los riesgos en los mecanismos empleados, a fin de que no existan
usuarios o grupos de usuarios con salida libre y sin control, en base a las polticas de la
institucin.
b) Llevar un registro de definicin para el uso de privilegios especiales del sistema (*).
h) Validar la informacin de registro de inicio nicamente al terminar todos los datos de entrada,
y en el caso que se presentara un error o se generara sentencias de error, el sistema no
indique qu parte de los datos es correcta o incorrecta o emita mensajes propios de las
caractersticas del sistema.
i) Limitar la cantidad de intentos permitidos de registro de inicio de sesin; por ejemplo, tres
intentos (*).
j) Limitar el tiempo de dilacin antes de permitir o rechazar ms intentos adicionales del registro
de inicio sin autorizacin especfica (*).
a) Rastrear utilizando los identificadores de usuario y evidenciar las actividades de las personas
responsables de administraciones crticas de la institucin (*).
c) Las actividades de usuarios regulares no deben ser realizadas desde cuentas privilegiadas.
e) Utilizar mtodos alternos a la contrasea, como los medios criptogrficos, las tarjetas
inteligentes, tokens o medios biomtricos de autenticacin (*).
CORREO LEGAL w w w. c o r r e o l e g a l . c o m . e c
Legislacin al da!
Correo legal / Lunes 05 de septiembre del 2013 33
de otra persona, y el responsable de toda actividad realizada con este identificador responder
a cualquier accin realizada con ste.
a) Restringir y controlar estrictamente el uso de programas utilitarios que pueden anular los
controles de un sistema en base a las siguientes directrices:
a) Utilizar restricciones en los tiempos de conexin para brindar seguridad adicional para las
aplicaciones de alto riesgo. Los siguientes son algunos ejemplos de estas restricciones:
c) Restringir los tiempos de conexin a las horas normales de oficina, si no se requiere tiempo
extra u operaciones de horario prolongado;
CORREO LEGAL w w w. c o r r e o l e g a l . c o m . e c
Legislacin al da!
Correo legal / Lunes 05 de septiembre del 2013 34
e) Proporcionar accesos temporales para ciertas operaciones (por ejemplo, mediante tickets o
tokens electrnicos temporales)
b) Suministrar proteccin contra acceso no autorizado por un programa utilitario, software del
sistema operativo, software malicioso o cualquier otro software que pueda anular o desviar los
controles de seguridad del sistema;
c) Evitar poner en riesgo otros sistemas con los que se comparten los recursos de informacin.
b) Definir mecanismos de control para los derechos de acceso de los usuarios, para lectura,
escritura, eliminacin y ejecucin de informacin.
d) Generar mecanismos a fin de garantizar que los datos de salida de los sistemas de
aplicacin que manejan informacin sensible slo contengan la informacin pertinente y que se
enve nicamente a terminales o sitios autorizados.
e) Generar revisiones peridicas de las salidas de los sistemas de aplicacin para garantizar el
retiro de la informacin redundante.
Evitar exposicin de equipos porttiles en sitios inseguros, pblicos y de alto riesgo. (*)
e) Dentro de la institucin el equipo porttil deber estar asegurado con medios fsicos,
mediante el uso de candados.
CORREO LEGAL w w w. c o r r e o l e g a l . c o m . e c
Legislacin al da!
Correo legal / Lunes 05 de septiembre del 2013 35
f) El personal que utiliza computadores porttiles y equipos mviles, deber estar alerta de los
riesgos adicionales que se originan y los controles que se debern implementar.
d) No se permite el uso de equipo de propiedad privada que no est bajo el control y monitoreo
de la institucin (*).
e) Deber definirse el trabajo que se permite realizar, las horas laborables, la confidencialidad
de la informacin que se conserva y los sistemas y servicios internos para los cuales el
trabajador tiene acceso autorizado.
h) La institucin deber observar la disposicin de una pliza de seguros para esos equipos.
a) Definir los requerimientos de seguridad. Por ejemplo: criptografa, control de sesiones, etc.
(*).
b) Definir los controles apropiados, tanto automatizados como manuales. En esta definicin
deben participar personal del requerimiento funcional y personal tcnico que trabajarn en el
sistema. Evaluar los requerimientos de seguridad y los controles requeridos, teniendo en
cuenta que stos deben ser proporcionales en costo y esfuerzo al valor del bien que se quiere
proteger y al dao potencial que pudiera ocasionar a las actividades realizadas por falla o falta
de seguridad. (*).
c) Si se adquieren productos, los contratos con el proveedor deben contemplar los requisitos de
la seguridad identificados.
CORREO LEGAL w w w. c o r r e o l e g a l . c o m . e c
Legislacin al da!
Correo legal / Lunes 05 de septiembre del 2013 36
a) Especificar y utilizar controles que aseguren la validez de los datos ingresados, en el punto
de entrada de los mismos, controlando tambin parmetros de los sistemas (ej., %IVA,
direccin IP del servidor).
b) Verificar los datos de entrada con controles que permitan la negacin de ingreso de datos:
duales, valores fuera de rango, caracteres no vlidos, datos incompletos o ausentes, datos de
controles inconsistentes o no autorizados, la secuencia de los datos, formatos incorrectos,
inyeccin de cdigo, etc.
c) Utilizar funciones de agregar, modificar y borrar para implementar los cambios en los datos.
El borrado a travs de los sistemas ser siempre un borrado lgico de los datos.
g) Identificar, crear y utilizar programas para la recuperacin de datos despus de fallas, con el
fin de garantizar el procesamiento correcto de los datos.
k) Definir los procedimientos que aseguren el orden correcto de ejecucin de los sistemas, la
finalizacin programada en caso de falla y la detencin de las actividades de procesamiento,
hasta que el problema sea resuelto.
a) Cuando una aplicacin tenga previsto el envo de mensajes que contengan informacin
reservada o confidencial, se implementarn los controles criptogrficos determinados en el
punto 8.6 Poltica sobre uso de controles criptogrficos.
CORREO LEGAL w w w. c o r r e o l e g a l . c o m . e c
Legislacin al da!
Correo legal / Lunes 05 de septiembre del 2013 37
c) Desarrollar procedimientos para responder a las pruebas de validacin de salidas.
e) Generar protocolos de pruebas y los casos de pruebas para la validacin de los datos
de salida.
h) Se debe garantizar:
CORREO LEGAL w w w. c o r r e o l e g a l . c o m . e c
Legislacin al da!
Correo legal / Lunes 05 de septiembre del 2013 38
Utilizar los certificados electrnicos emitidos bajo estndares por las Entidades de
Certificacin de Informacin, las cuales deben ser instituciones u organizaciones reconocidas,
con controles y procedimientos idneos establecidos para proporcionar el grado requerido de
confianza.
Uso de los certificados electrnicos segn el mbito para la cual fue generado.
Proteger todas las claves contra modificacin y destruccin, y las claves secretas y privadas
sern protegidas contra copia o divulgacin no autorizada.
Incorporar funcionalidad para cambiar o actualizar las claves, incluyendo reglas sobre
cundo cambiarlas, cmo hacerlo y la forma en que los usuarios autorizados tendrn acceso a
ellas.
Incorporar funcionalidad para tratar las claves perdidas. Bajo pedido del usuario que pierde
una clave se generar una nueva, la entrega ser a travs del procedimiento definido para la
entrega de la primera clave.
Permitir revocar las claves, incluyendo la forma de retirarlas o desactivarlas cuando las
claves se han puesto en peligro o cuando un usuario se retira de la institucin.
Incorporar funcionalidad para recuperar claves prdidas o corruptas como parte de la gestin
de continuidad de los servicios informticos.
Redactar las normas y procedimientos necesarios para generar claves para diferentes
sistemas criptogrficos y diferentes aplicaciones, incluyendo fechas de inicio y caducidad de
vigencia de las claves.
CORREO LEGAL w w w. c o r r e o l e g a l . c o m . e c
Legislacin al da!
Correo legal / Lunes 05 de septiembre del 2013 39
Redactar las normas y procedimientos para distribuir las claves de forma segura a los
usuarios, incluyendo informacin sobre cmo deben activarse cundo se reciban las mismas.
Redactar las normas y procedimientos para almacenar claves, incluyendo la forma de acceso
a las mismas, por parte de los usuarios autorizados.
Redactar las normas y procedimientos para cambiar o actualizar claves, incluyendo reglas
sobre cundo y cmo deben cambiarse las claves.
Redactar las normas y procedimientos para revocar claves, incluyendo cmo deben retirarse
o desactivarse las mismas.
Redactar las normas y procedimientos para archivar claves; por ejemplo, para la informacin
archivada o resguardada.
Redactar las normas y procedimientos para registrar y auditar las actividades relativas a la
administracin de claves.
d) Asignar un responsable de la implantacin de cambios por sistema (no podr ser personal
que pertenezca al rea de desarrollo o mantenimiento), quien tendr como funciones
principales:
Asegurar que los aplicativos en uso, en el ambiente de Produccin, sean los autorizados y
aprobados de acuerdo a las normas y procedimientos vigentes.
e) Definir un procedimiento que establezca los pasos a seguir para implementar las
autorizaciones para el paso a produccin, el informe de pruebas previas y el informe de paso a
produccin.
f) Disponer del informe de paso a produccin, el cual contendr informacin de todos los
cambios a realizar y el plan de contingencia.
Este ambiente debe ser similar al ambiente de produccin. El ensayo ser en base al informe
de paso a produccin. Se ejecutarn todas las acciones definidas y se realizarn pruebas sobre
capacidad de uso, seguridad, efectos en otros sistemas y facilidad para el usuario.
CORREO LEGAL w w w. c o r r e o l e g a l . c o m . e c
Legislacin al da!
Correo legal / Lunes 05 de septiembre del 2013 40
i) Llevar un registro de auditora de las actualizaciones realizadas.
k) Denegar permisos de modificacin a los desarrolladores, sobre los programas fuentes bajo
su custodia.
l) Usar un sistema de control de configuracin para mantener el control del software instalado,
as como de la documentacin del sistema.
a) Identificar por cada sistema, los datos que pueden ser copiados de un ambiente de
produccin a un ambiente de pruebas.
b) Efectuar pruebas de los sistemas en el ambiente de pruebas, sobre datos extrados del
ambiente de produccin.
c) Solicitar autorizacin formal para realizar una copia de la base de datos de produccin como
base de datos de prueba.
e) Identificar los datos crticos que debern ser modificados o eliminados del ambiente de
pruebas.
CORREO LEGAL w w w. c o r r e o l e g a l . c o m . e c
Legislacin al da!
Correo legal / Lunes 05 de septiembre del 2013 41
Se designar un encargado de implementar los cambios, el cual no ser personal del rea de
Desarrollo. En el caso de que esta funcin no pueda ser separada del rea de Desarrollo, se
aplicarn controles adicionales de acuerdo a la separacin de funciones.
Se registrarn todas las actividades realizadas con las cuentas de emergencia. Dicho
registro ser revisado posteriormente por el Oficial de Seguridad.
Utilizar un manejador de versiones para los cdigo fuentes, proporcionar permisos de acceso
a los desarrolladores bajo autorizaciones.
Llevar un registro actualizado de todos los programas fuentes en uso, indicando nombre del
programa, programador, autorizador, versin, fecha de ltima modificacin y fecha/hora de
compilacin y estado (en modificacin o en produccin).
b) Establecer que todo programa objeto o ejecutable en produccin tenga un nico programa
fuente asociado que garantice su origen.
e) Evitar que la funcin de Administrador de programas fuentes, sea ejercida por personal que
pertenezca al rea de desarrollo y/o mantenimiento.
f) Prohibir la guarda de programas fuentes histricos (que no sean los correspondientes a los
programas operativos) en el ambiente de produccin.
g) Prohibir el acceso a todo operador y/o usuario de aplicaciones a los ambientes y a las
herramientas que permitan la generacin y/o manipulacin de los programas fuentes.
h) Realizar las copias de respaldo de los programas fuentes cumpliendo los requisitos de
seguridad establecidos como respaldos de informacin.
i) Cuando sea posible, las bibliotecas fuente de programas no se debern mantener en los
sistemas operativos.
CORREO LEGAL w w w. c o r r e o l e g a l . c o m . e c
Legislacin al da!
Correo legal / Lunes 05 de septiembre del 2013 42
l) La actualizacin del cdigo fuente de programas y de los elementos asociados, as como la
emisin de fuentes de programa a los programadores, solamente se deber efectuar despus
de recibir la autorizacin apropiada.
m) Conservar un registro para auditora de todos los accesos al cdigo fuente de programas.
a) Verificar que los cambios sean propuestos por usuarios autorizados y se respete los
trminos y condiciones que surjan de la licencia de uso, en caso de existir.
b) Elaborar el informe de paso de pruebas a produccin, que deber contener el detalle de los
cambios y acciones a ejecutar, tanto de software, bases de datos y hardware:
Archivos a modificar;
Creacin de directorios;
Plan de contingencia;
c) Obtener aprobacin formal por parte del responsable del rea de Tecnologas de la
Informacin para las tareas detalladas, antes de comenzar las tareas.
f) Notificar a los usuarios del sistema sobre el cambio a realizar. Se enviar una notificacin
para informar sobre el tiempo que durar la ejecucin del cambio y para informar cuando se
haya terminado la ejecucin del cambio.
g) Abrir ventanas de mantenimiento con una duracin definida, en la cual se contemple las
acciones del cambio, pruebas y configuraciones.
h) Revisar los controles y los procedimientos de integridad para garantizar que no sern
comprometidos por los cambios.
k) Obtener la aprobacin por parte del usuario autorizado y del rea de pruebas mediante
pruebas en el ambiente correspondiente.
CORREO LEGAL w w w. c o r r e o l e g a l . c o m . e c
Legislacin al da!
Correo legal / Lunes 05 de septiembre del 2013 43
m) Mantener un control de versiones para todas las actualizaciones de software.
o) Definir si los cambios a realizar tienen impacto sobre la continuidad del servicio. Si un
cambio implica mucha funcionalidad o impacto al software base o infraestructura, se deber
realizar un procedimiento ms complejo de cambio, para que se apruebe con un plan de
contingencia y se identifiquen los riesgos posibles.
8.12. Revisin tcnica de las aplicaciones despus de los cambios en el sistema operativo
b) Garantizar que los cambios en el sistema operativo sean informados con anterioridad a la
implementacin.
g) Identificar si existen problemas con los cambios, para aplicar el plan de contingencia o
realizar el retorno al estado anterior al cambio.
b) Analizar los trminos y condiciones de la licencia, si es del caso, a fin de determinar si las
modificaciones se encuentran autorizadas.
d) Retener el software original realizando los cambios sobre una copia perfectamente
identificada, documentando exhaustivamente por si fuera necesario aplicarlo a nuevas
versiones.
e) Conservar el software original que se va ha cambiar y los cambios se debern aplicar a una
copia claramente identificada.
f) Definir un proceso de gestin de las actualizaciones del software para asegurarse de que los
parches ms actualizados aprobados y las actualizaciones de las aplicaciones estn instalados
en todo el software autorizado.
g) Probar y documentar en su totalidad todos los cambios, de manera que se puedan volver a
aplicar, si es necesario, para mejoras futuras del software.
CORREO LEGAL w w w. c o r r e o l e g a l . c o m . e c
Legislacin al da!
Correo legal / Lunes 05 de septiembre del 2013 44
d) Realizar un monitoreo regular de las actividades del personal y del sistema.
e) Realizar un monitoreo del uso de los recursos en los sistemas de computador y transmisin
de datos por la red.
h) Examinar los cdigos fuentes (cuando sea posible) antes de utilizar los programas.
j) Utilizar herramientas para la proteccin contra la infeccin del software con cdigo malicioso.
b) Definir los requerimientos contractuales con respecto a la calidad del cdigo y la existencia
de garantas.
c) Definir procedimientos de certificacin de la calidad y precisin del trabajo llevado a cabo por
el proveedor, que incluyan auditoras, revisin de cdigo para detectar cdigo malicioso,
verificacin del cumplimiento de los requerimientos de seguridad del software establecidos, etc.
c) Identificar los recursos de informacin que se van a utilizar para identificar las
vulnerabilidades tcnicas pertinentes y para mantener la concienciacin sobre ellas para el
software y otras tecnologas, con base en la lista de inventario de activos.
e) Definir una lnea de tiempo para reaccionar ante la notificacin de vulnerabilidades tcnicas
potenciales pertinentes.
f) Identificar los riesgos asociados a una vulnerabilidad potencial y las acciones que se han de
tomar; tales acciones podran involucrar el uso de parches en los sistemas vulnerables y/o la
aplicacin de otros controles.
g) Definir la urgencia y las acciones a tomar para tratar la vulnerabilidad tcnica identificada, se
realizar conforme a los controles relacionados con la gestin de cambios o siguiendo los
procedimientos de respuesta ante incidentes de seguridad de la informacin.
CORREO LEGAL w w w. c o r r e o l e g a l . c o m . e c
Legislacin al da!
Correo legal / Lunes 05 de septiembre del 2013 45
h) Evaluar los riesgos asociados con la instalacin de un parche para cubrir vulnerabilidades.
Los riesgos impuestos por la vulnerabilidad se debern comparar con los riesgos de instalar el
parche.
i) Probar y evaluar los parches antes de su instalacin para garantizar que son eficaces y no
producen efectos secundarios intolerables. Estas pruebas se realizarn en un ambiente similar
al de produccin.
k) Adaptar o agregar controles de acceso; por ejemplo, cortafuegos (firewalls), en las fronteras
de la red.
Identificar el incidente
CORREO LEGAL w w w. c o r r e o l e g a l . c o m . e c
Legislacin al da!
Correo legal / Lunes 05 de septiembre del 2013 46
tuviere un jefe al cual escalarlo, este debe solicitar soporte al proveedor del equipo o sistema
afectado.
Investigar y diagnosticar en forma definitiva las causas por las cuales se produjo el incidente.
a) Todos los empleados, contratistas y usuarios de terceras partes debern informar sobre
estos asuntos a su director o directamente a su proveedor de servicio, tan pronto sea posible
para evitar los incidentes de seguridad de la informacin. Los mecanismos de reporte debern
ser fciles, accesibles y disponibles. Se les debe informar a ellos que, en ninguna
circunstancia, debern intentar probar una debilidad sospechada.
Registrar la fecha, hora, apellidos y nombres del funcionario que detect la debilidad o
vulnerabilidad, descripcin de la debilidad, descripcin de posibles incidentes de seguridad que
pudieran ocurrir producto de esta debilidad. El responsable de llevar este reporte denominado
Reporte de vulnerabilidades o debilidades de la seguridad de la informacin es el Oficial de
Seguridad de la Informacin.
Nunca, por razn alguna, deber intentar probar la debilidad o vulnerabilidad detectada en la
seguridad. El ensayo de las vulnerabilidades se podra interpretar como un posible uso
inadecuado del sistema, equipo o servicio y tambin podra causar dao al sistema o servicio
de informacin y eventualmente podra recaer en una responsabilidad legal.
El Oficial de Seguridad de la Informacin deber tomar las medidas pertinentes para prevenir
o eliminar la vulnerabilidad o debilidad detectada.
e) Notificar a todos los funcionarios afectados por el incidente de la restauracin del equipo,
sistema o servicio afectado, una vez est solucionado el incidente.
f) El Oficial de Seguridad de la Informacin, emitir un reporte a los jefes de las reas afectadas
por el incidente.
CORREO LEGAL w w w. c o r r e o l e g a l . c o m . e c
Legislacin al da!
Correo legal / Lunes 05 de septiembre del 2013 47
a) La informacin que se obtiene de la evaluacin de los incidentes de seguridad de la
informacin se debe utilizar para identificar los incidentes recurrentes o de alto impacto.
b) Asegurar que los sistemas de informacin cumplan con las normas legales para la
produccin de evidencia, para lograr la admisibilidad, calidad y cabalidad de la misma.
c) Para lograr el peso de la evidencia, se debe demostrar la calidad y cabalidad de los controles
empleados para proteger correcta y consistentemente la evidencia (es decir, evidencia del
control del proceso) en todo el periodo en el cual la evidencia por recuperar se almacen y
proces, mediante un rastreo slido de la evidencia. En general, dicho rastreo slido se puede
establecer en las siguientes condiciones:
Se debern tomar duplicados o copias de todos los medios removibles, la informacin en los
discos duros o la memoria para garantizar la disponibilidad; es conveniente conservar el
registro de todas las acciones durante el proceso de copiado y dicho proceso debera tener
testigos; y, el medio y el registro originales se debern conservar intactos y de forma segura;
b) Identificar los activos involucrados en los procesos crticos de los servicios informticos, as
como de las actividades que se deben realizar.
ALCANCE: Procesos y operaciones que son cubiertos y recursos que utilizan los procesos u
operaciones
CORREO LEGAL w w w. c o r r e o l e g a l . c o m . e c
Legislacin al da!
Correo legal / Lunes 05 de septiembre del 2013 48
RESPONSABILIDADES: Diferentes responsables implicados en la gestin de la continuidad
de los servicios informticos
d) Identificar el tiempo mximo de interrupcin permitida para cada servicio o aplicacin crtica;
por ejemplo, 30 minutos, una hora o un da.
e) Analizar los riesgos, identificando las amenazas sobre los activos y su probabilidad de
ocurrencia.
f) Analizar las vulnerabilidades asociadas a cada activo y el impacto que puedan provocar
sobre la disponibilidad.
g) Obtener un mapa de riesgos que permita identificar y priorizar aquellos que pueden provocar
una paralizacin de las actividades de la institucin.
a) Definir los equipos para ejecucin del plan, donde se destacan las funciones claves que
sern realizadas por los responsables:
Logstica: responsable de reunir todos los medios para ayudar a la puesta en operacin de
las actividades;
CORREO LEGAL w w w. c o r r e o l e g a l . c o m . e c
Legislacin al da!
Correo legal / Lunes 05 de septiembre del 2013 49
Estrategia adecuada de respaldos;
f) Definir las condiciones para activar los planes que describen el proceso a seguir antes de
activar cada plan, as como sus responsabilidades.
g) Describir los procedimientos de respaldo para desplazar las actividades esenciales de los
servicios informticos o los servicios de soporte a lugares temporales alternos, y para devolver
la operatividad de los procesos en los plazos establecidos.
h) Describir los procedimientos de reanudacin con las acciones a realizar para que las
operaciones de los equipos y servicios vuelvan a la normalidad.
i) Definir los activos y recursos necesarios para ejecutar los procedimientos de emergencia,
respaldo y reanudacin de los servicios.
11. CUMPLIMIENTO
CORREO LEGAL w w w. c o r r e o l e g a l . c o m . e c
Legislacin al da!
Correo legal / Lunes 05 de septiembre del 2013 50
b) Organizar para cada activo de informacin las normas legales, estatutarias, reglamentarias y
contractuales pertinentes.
Decreto Ejecutivo No. 1014 sobre el uso de Software Libre en la Administracin Pblica
Otras normas cuya materia trate sobre la gestin de los activos de informacin en las
entidades de la Administracin Pblica
b) Implementar mecanismos para concienciar sobre las polticas para proteger derechos de
propiedad intelectual y las acciones disciplinarias para el personal que las viole. Se aplica tanto
al software libre como al privativo.
c) Mantener registros apropiados de los activos de informacin para proteger los derechos de
propiedad intelectual. Se aplica tanto al software libre como al privativo.
f) Verificar que se instale nicamente software autorizado y con las respectivas licencias en el
caso de utilizar software privativo.
CORREO LEGAL w w w. c o r r e o l e g a l . c o m . e c
Legislacin al da!
Correo legal / Lunes 05 de septiembre del 2013 51
i) Controlar que no se copie total ni parcialmente software privativo, cdigos fuente y la
documentacin de programas de software con derechos de propiedad intelectual. Se excepta
los programas de software libre bajo los trminos de sus licencias pblicas.
j) Definir y aplicar una licencia pblica general al software desarrollado por la institucin o
contratado a terceros como desarrollo, para proteger la propiedad intelectual.
k) Exigir a los funcionarios que utilicen solo software desarrollado, provisto o aprobado por la
institucin.
a) Clasificar los registros electrnicos y fsicos por tipos, especificando los periodos de
retencin y los medios de almacenamiento, como discos, cintas, entre otros.
c) Establecer un procedimiento para revisar el nivel de deterioro de los medios utilizados para
almacenar los registros. Los procedimientos de almacenamiento y manipulacin se debern
implementar segn las recomendaciones del fabricante. Para almacenamiento a largo plazo, se
recomienda considerar el uso cintas y discos digitales utilizando formatos de archivos y datos
abiertos.
f) Los sistemas de almacenamiento de datos se debern seleccionar de manera que los datos
requeridos se puedan recuperar en el periodo de tiempo y en formatos legibles, dependiendo
de los requisitos que se deben cumplir.
g) Garantizar la identificacin de los registros y el periodo de retencin de los mismos tal como
se defina en normas legales ecuatorianas. Este sistema debe permitir la destruccin adecuada
de los registros despus de este periodo, si la entidad no los necesita y las normas as lo
especifican.
j) Implementar controles apropiados para proteger los registros contra prdida, destruccin y
falsificacin de la informacin. Utilizar como referencia para la gestin de los registros de la
institucin la norma ISO 15489-1 o su homloga ecuatoriana.
CORREO LEGAL w w w. c o r r e o l e g a l . c o m . e c
Legislacin al da!
Correo legal / Lunes 05 de septiembre del 2013 52
11.5. Prevencin del uso inadecuado de servicios de procesamiento de informacin
c) Implementar mecanismos para identificar el uso inadecuado de los servicios por medio de
monitoreo u otros medios
c) Restringir mtodos obligatorios o discrecionales de acceso por parte de las autoridades del
pas a la informacin encriptada mediante hardware o software para brindar confidencialidad al
contenido.
d) Garantizar el cumplimiento con las leyes y los reglamentos nacionales antes de desplazar
informacin encriptada o controles criptogrficos a otros pases.
CORREO LEGAL w w w. c o r r e o l e g a l . c o m . e c
Legislacin al da!
Correo legal / Lunes 05 de septiembre del 2013 53
Determinar la causa del incumplimiento
d) Registrar y conservar los resultados de las revisiones y las acciones correctivas llevadas a
cabo por la direccin. Los directores debern informar de los resultados a las personas que
realizan revisiones independientes, cuando la revisin independiente tiene lugar en el rea de
su responsabilidad.
a) Verificar el cumplimiento tcnico bien sea manualmente (con soporte de las herramientas de
software apropiadas, si es necesario) por un ingeniero de sistemas con experiencia, y/o con la
ayuda de herramientas automticas que generen un informe tcnico para la interpretacin
posterior por parte del especialista tcnico.
c) Controlar que la verificacin del cumplimiento tcnico sea realizado por personas autorizadas
y competentes o bajo la supervisin de dichas personas.
d) Analizar los sistemas operativos para asegurar que los controles de hardware y software se
han implementado correctamente. Este tipo de verificacin del cumplimiento requiere
experiencia tcnica especializada.
c) Acordar los requisitos as como el alcance de las auditoras con la direccin correspondiente.
g) Monitorear y registrar todo acceso para crear un rastreo para referencia. El uso de rastreos
de referencia de tiempo se debe considerar para datos o sistemas crticos.
i) Asegurar que la persona que realiza la auditora sea independiente de las actividades
auditadas.
CORREO LEGAL w w w. c o r r e o l e g a l . c o m . e c
Legislacin al da!
Correo legal / Lunes 05 de septiembre del 2013 54
a) Instalar y administrar las herramientas de auditora por parte del personal que las utiliza.
GLOSARIO DE TRMINOS
Todos los cambios del cdigo, de software base y de componentes deben ser debidamente
documentados.
El desarrollador realiza las pruebas con los datos de la base de datos desarrollo.
El testeador realiza las pruebas con los datos de la base de datos de pruebas. Si no se
detectan errores de ejecucin, los resultados de las rutinas de seguridad son correctas de
acuerdo a las especificaciones y se considera que la documentacin presentada es completa,
entonces se emite un informe favorable y se pasa el programa fuente al implementador de
produccin por medio del sistema de control de versiones y se le entrega las instrucciones.
Caso contrario, vuelve atrs el ciclo devolviendo el programa al desarrollador, junto con un
detalle de las observaciones.
CORREO LEGAL w w w. c o r r e o l e g a l . c o m . e c
Legislacin al da!
Correo legal / Lunes 05 de septiembre del 2013 55
Este ambiente ser utilizado para realizar las capacitaciones respectivas a los usuarios de
los sistemas.
Este ambiente tambin debe ser considerado para los respaldos de datos.
Estar integrado al menos por: el Director Administrativo, el Responsable del rea de Recursos
Humanos, el Responsable del rea de Tecnologas de la Informacin, el Responsable de
Auditora Interna y el Oficial de Seguridad de la Informacin.
Este ente contar con un Coordinador (Oficial de Seguridad de la Informacin), quien cumplir
la funcin de impulsar la implementacin del Esquema Gubernamental de Seguridad de la
Informacin.
Informacin: Es uno de los activos ms importantes de las instituciones, en las formas que esta
se manifieste: textuales, numricas, grficas, cartogrficas, narrativas o audiovisuales, y en
cualquier medio, magntico, papel, electrnico, computadoras, audiovisual y otros.
CORREO LEGAL w w w. c o r r e o l e g a l . c o m . e c
Legislacin al da!
Correo legal / Lunes 05 de septiembre del 2013 56
Propietarios de la Informacin: Son los responsables de clasificar la informacin de acuerdo
con el grado de sensibilidad y criticidad de la misma, de documentar y mantener actualizada la
clasificacin efectuada y de definir qu usuarios debern tener permisos de acceso a la
informacin de acuerdo a sus funciones y competencia.
Asimismo, tendr a su cargo, la difusin del presente documento a todo el personal, de los
cambios que en ella se produzcan, de la implementacin de la suscripcin de los Compromisos
de Confidencialidad (entre otros) y de las tareas de capacitacin continua en materia de
seguridad en coordinacin con el Oficial de Seguridad de la Informacin.
Por otra parte, tendr la funcin de supervisar las tareas de desarrollo y mantenimiento de
sistemas, siguiendo una metodologa de ciclo de vida de sistemas apropiada, y que contemple
la inclusin de medidas de seguridad en los sistemas en todas las fases.
CORREO LEGAL w w w. c o r r e o l e g a l . c o m . e c
Legislacin al da!