Registro Oficial No 88 – Miércoles 25 de Septiembre de 2013 Segundo Suplemento

septiembre 25, 2013

Administración del Señor Ec. Rafael Correa Delgado Presidente Constitucional de la República del Ecuador Miércoles 25 de Septiembre de 2013 – R. O. No. 88 SEGUNDO SUPLEMENTO SUMARIO Acuerdo Secretaría Nacional de la Administración Pública: Acuerdo 166 Dispónese a las entidades de la Administración Pública Central, Institucional y que dependen de la Función Ejecutiva el […]

Administración del Señor Ec. Rafael Correa Delgado

Presidente Constitucional de la República del Ecuador

Miércoles 25 de Septiembre de 2013 – R. O. No. 88

SEGUNDO SUPLEMENTO

SUMARIO

Acuerdo

Secretaría Nacional de la Administración Pública:

Acuerdo

166 Dispónese a las entidades de la Administración Pública
Central, Institucional y que dependen de la Función Ejecutiva el uso
obligatorio de las Normas Técnicas Ecuatorianas NTE INEN-ISO/IEC 27000 para la
Gestión de Seguridad de la Información

CONTENIDO

No. 166

Cristian
Castillo Peñaherrera

SECRETARIO NACIONAL
DE LA ADMINISTRACIÓN PÚBLICA

Considerando:

Que, la
Constitución de la República determina en el artículo 227 que la Administración
Pública constituye un servicio a la colectividad que se rige por principios de
eficacia, calidad, jerarquía, desconcentración, descentralización,
coordinación, participación, planificación, transparencia y evaluación.

Que, el
artículo 13 del Estatuto del Régimen Jurídico Administrativo de la Función
Ejecutiva establece que la Secretaría Nacional de la Administración Pública es
una entidad de derecho público, con personalidad jurídica y patrimonio propio,
dotada de autonomía presupuestaria, financiera, económica y administrativa,
encargada de establecer las políticas, metodologías de gestión e innovación institucional
y herramientas necesarias para el
mejoramiento de la eficiencia, calidad y transparencia de la gestión en las
entidades y organismos de la Función Ejecutiva, con quienes coordinará las acciones que sean necesarias para la
correcta ejecución de dichos fines; así como también de realizar el control, seguimiento
y evaluación de la gestión de los planes, programas, proyectos y procesos de
las entidades y organismos de la Función Ejecutiva que se encuentran en ejecución;
y, el control, seguimiento y evaluación de la calidad en la gestión de los
mismos.

Que, mediante
Acuerdos Ministeriales Nos. 804 y 837 de 29 de julio y 19 de agosto de 2011,
respectivamente, la Secretaría Nacional de la Administración Pública creó la Comisión
para la Seguridad Informática y de las Tecnologías de la Información y
Comunicación conformada por delegados del Ministerio de Telecomunicaciones y de
la Sociedad de la Información, la Secretaría Nacional de Inteligencia y la
Secretaría Nacional de la Administración Pública y dentro de sus atribuciones
tiene la de establecer lineamientos de seguridad informática, protección de infraestructura
computacional y todo lo relacionado con ésta, incluyendo la información contenida para las
entidades de la Administración Pública Central e Institucional.

Que, es
importante adoptar políticas, estrategias, normas, procesos, procedimientos,
tecnologías y medios necesarios para mantener la seguridad en la información
que se genera y custodia en diferentes medios y formatos de las entidades de la
Administración Pública Central, Institucional y que dependen de la Función
Ejecutiva.

Que, la
Administración Pública de forma integral y coordinada debe propender a
minimizar o anular riesgos en la información así como proteger la
infraestructura gubernamental, más aún si es estratégica, de los denominados
ataques informáticos o cibernéticos.

Que, las
Tecnologías de la Información y Comunicación son herramientas imprescindibles
para el cumplimiento de la gestión institucional e inter-institucional de la Administración
Pública en tal virtud, deben cumplir con estándares de seguridad que garanticen
la confidencialidad, integridad y disponibilidad de la información;

Que, la
Comisión para la Seguridad Informática y de las Tecnologías de la Información y
Comunicación en referencia ha desarrollado el Esquema Gubernamental de Seguridad
de la Información (EGSI), elaborado en base a la norma NTE INEN-ISO/IEC 27002
?Código de Práctica para la Gestión de la Seguridad de la Información?.

Que, el
artículo 15, letra i) del Estatuto del Régimen Jurídico y Administrativo de la
Función Ejecutiva establece como atribución del Secretario Nacional de la Administración
Pública, impulsar proyectos de estandarización en procesos, calidad y
tecnologías de la información y comunicación;

En uso de las
facultades y atribuciones que le confiere el artículo 15, letra n) del Estatuto
del Régimen Jurídico y Administrativo de la Función Ejecutiva,

Acuerda:

Artículo 1.- Disponer
a las entidades de la Administración Pública Central, Institucional y que
dependen de la Función Ejecutiva el uso obligatorio de las Normas Técnicas Ecuatorianas
NTE INEN-ISO/IEC 27000 para la Gestión de Seguridad de la Información.

Artículo 2.- Las
entidades de la Administración Pública implementarán en un plazo de dieciocho
(18) meses el Esquema Gubernamental de Seguridad de la Información (EGSI), que
se adjunta a este acuerdo como Anexo 1, a excepción de las disposiciones o
normas marcadas como prioritarias en dicho esquema, las cuales se implementarán
en (6) meses desde la emisión del presente Acuerdo.

La
implementación del EGSI se realizará en cada institución de acuerdo al ámbito
de acción, estructura orgánica, recursos y nivel de madurez en gestión de Seguridad
de la Información.

Artículo 3.- Las
entidades designarán, al interior de su institución, un Comité de Seguridad de
la Información liderado con un Oficial de Seguridad de la Información, conforme
lo establece el EGSI y cuya designación deberá ser comunicada a la Secretaría
Nacional de la Administración Pública, en el transcurso de treinta (30) días posteriores
a la emisión del presente Acuerdo.

Artículo 4.- La
Secretaría Nacional de la Administración Pública coordinará y dará seguimiento
a la implementación del EGSI en las entidades de la Administración Pública Central,
Institucional y que dependen de la Función Ejecutiva. El seguimiento y control
a la implementación de la EGSI se realizará mediante el Sistema de Gestión por Resultados
(GPR) u otras herramientas que para el efecto implemente la Secretaría Nacional
de la Administración Pública.

Artículo 5.- La
Secretaría Nacional de la Administración Pública realizará de forma ordinaria
una revisión anual del EGSI en conformidad a las modificaciones de la norma INEN
ISO/IEC 27002 que se generen y de forma extraordinaria o periódica cuando las
circunstancias así lo ameriten, además definirá los procedimientos o metodologías
para su actualización, implementación, seguimiento y control.

Artículo 6.- Es
responsabilidad de la máxima autoridad de cada entidad mantener la
documentación de la implementación del EGSI debidamente organizada y registrada
de acuerdo al procedimiento específico que para estos efectos establezca la
Secretaría Nacional de la Administración Pública.

Artículo 7.- Las
entidades realizarán una evaluación de riesgos y diseñarán e implementarán el
plan de manejo de riesgos de su institución, en base a la norma INEN ISO/IEC 27005
?Gestión del Riesgo en la Seguridad de la Información?.

DISPOSICIONES
GENERALES

Primera.- El
EGSI podrá ser revisado periódicamente de acuerdo a las sugerencias u
observaciones realizadas por las entidades de la Administración Pública
Central, Institucional o que dependen de la Función Ejecutiva, las cuales
deberán ser presentadas por escrito a la Secretaría Nacional de la
Administración Pública.

Segunda.- Cualquier
propuesta de inclusión de controles o directrices adicionales a los ya
establecidos en el EGSI que se generen en la implementación del mismo, deberán
ser comunicados a la Secretaría Nacional de la Administración Pública, previo a
su aplicación; de igual manera, en caso de existir alguna excepción
institucional respecto a la implementación del EGSI, ésta deberá ser justificada
técnicamente y comunicada a la Secretaría Nacional de la Administración Pública,
para su análisis y autorización.

Tercera.- Los
Oficiales de Seguridad de la Información de los Comités de Gestión de Seguridad
de la Información designados por las instituciones, actuarán como contrapartes de
la Secretaría Nacional de la Administración Pública en la implementación del EGSI y en la gestión de
incidentes de seguridad de la información.

Cuarta.- Cualquier
comunicación respecto a las disposiciones realizadas en el presente Acuerdo
deberá ser informada directamente a la Subsecretaría de Gobierno Electrónico de
la Secretaría Nacional de la Administración Pública.

DISPOSICIONES
TRANSITORIAS

Primera.- Para
efectivizar el control y seguimiento del EGSI institucional, la Secretaría
Nacional de la Administración Pública en un plazo de quince (15) días creará un
proyecto en el sistema GPR en el que se homogenice los hitos que deben de
cumplir las instituciones para implementar el EGSI.

Segunda.- La
Secretaría Nacional de la Administración Pública emitirá en el plazo de sesenta
(60) días desde la emisión del presente Acuerdo los lineamientos específicos de
registro y documentación de la implementación institucional del ESGI.

Tercera.- La
Secretaría Nacional de la Administración Pública, además, en un plazo de
noventa (90) días desde la emisión del presente Acuerdo, definirá las
metodologías o procedimientos para
actualización, implementación, seguimiento y control del EGSI.

DISPOSICIÓN
DEROGATORIA

Deróguese los
Acuerdo Ministeriales No. 804 de 29 de julio de 2011 y No. 837 de 19 de agosto
de 2011.

DISPOSICION
FINAL.- Este Acuerdo entrará en vigencia a partir de su publicación en el
Registro Oficial.

Dado en el
Palacio Nacional, a los 19 días del mes de septiembre de 2013.

f.) Cristian
Castillo Peñaherrera, Secretario Nacional de la Administración Pública.

Es fiel copia
del original.- LO CERTIFICO. Quito, 20 de septiembre de 2013.

f.) Dra.
Rafaela Hurtado Espinoza, Coordinadora General de Asesoría Jurídica, Secretaría
Nacional de la Administración Pública.

Anexo 1 del
Acuerdo No. 166 del 19 de septiembre de 2013

SECRETARÍA
NACIONAL DE LA ADMINISTRACIÓN

PÚBLICA

ESQUEMA
GUBERNAMENTAL DE SEGURIDAD DE

LA INFORMACIÓN
(EGSI)

Versión 1.0

Septiembre de
2013

Contenido

INTRODUCCIÓN

1. POLÍTICA DE
SEGURIDAD DE LA INFORMACIÓN

2.
ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

3. GESTIÓN DE
LOS ACTIVOS

4. SEGURIDAD
DE LOS RECURSOS HUMANOS

5. SEGURIDAD
FISICA Y DEL ENTORNO

6. GESTIÓN DE
COMUNICACIONES Y OPERACIONES

7. CONTROL DE
ACCESO

8.
ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIÓN

9. GESTIÓN DE
LOS INCIDENTES DE LA SEGURIDAD DE LA INFORMACIÓN

10. GESTIÓN DE
LA CONTINUIDAD DEL NEGOCIO

11.
CUMPLIMIENTO GLOSARIO DE TÉRMINOS

INTRODUCCIÓN

Los avances de
las Tecnologías de la Información y Comunicación (TIC) han ocasionado que los
gobiernos otorguen mayor atención a la protección de sus activos de información
con el fin de generar confianza en la ciudadanía, en sus propias instituciones
y minimizar riesgos derivados de vulnerabilidades informáticas.

La Secretaría
Nacional de Administración Pública, considerando que las TIC son herramientas
imprescindibles para el desempeño de institucional e inter-institucional, y como
respuesta a la necesidad gestionar de forma eficiente y eficaz la seguridad de
la información en las entidades públicas, emitió los Acuerdos Ministeriales No.
804 y No. 837, de 29 de julio y 19 de agosto de 2011 respectivamente, mediante
los cuales creó la Comisión para la Seguridad Informática y de las Tecnologías
de la Información y Comunicación.

La comisión
realizó un análisis de la situación respecto de la gestión de la Seguridad de
la Información en las Instituciones de la Administración Pública Central, Dependiente
e Institucional, llegando a determinar la necesidad de aplicar normas y
procedimientos para seguridad de la información, e incorporar a la cultura y procesos
institucionales la gestión permanente de la misma.

El presente
documento, denominado Esquema Gubernamental de Seguridad de la Información
(EGSI), está basado en la norma técnica ecuatoriana INEN ISO/IEC 27002 para
Gestión de la Seguridad de la Información y está dirigido a las Instituciones
de la Administración Pública Central, Dependiente e Institucional.

El EGSI
establece un conjunto de directrices prioritarias para Gestión de la Seguridad
de la Información e inicia un proceso de mejora continua en las instituciones
de la Administración Pública. El EGSI no reemplaza a la norma INEN ISO/IEC
27002 sino que marca como prioridad la implementación de algunas directrices.

La
implementación del EGSI incrementará la seguridad de la información en las
entidades públicas así como en la confianza de los ciudadanos en la
Administración Pública.

1. POLÍTICA DE
SEGURIDAD DE LA INFORMACIÓN

1.1. Documento
de la Política de la Seguridad de la Información

La máxima
autoridad de la institución dispondrá la implementación de este Esquema
Gubernamental de Seguridad de la Información (EGSI) en su entidad (*)1.

Se difundirá
la siguiente política de seguridad de la información como referencia (*):

?Las entidades
de la Administración Pública Central, Dependiente e Institucional que generan,
utilizan, procesan, comparten y almacenan información en medio electrónico o
escrito, clasificada como pública, confidencial, reservada y no reservada,
deberán aplicar el Esquema Gubernamental de Seguridad de la Información para
definir los procesos, procedimientos y tecnologías a fin de garantizar la
confidencialidad, integridad y disponibilidad de esa información, en los medios
y el tiempo que su legitimidad lo requiera?.

Las entidades
públicas podrán especificar una política de seguridad más amplia o específica
en armonía con la Constitución, leyes y demás normativa legal propia o relacionada
así como su misión y competencias.

1.2. Revisión
de la Política

Para
garantizar la vigencia de la política de seguridad de la información en la
institución, esta deberá ser revisada anualmente o cuando se produzcan cambios significativos
a nivel operativo, legal, tecnológica, económico, entre otros.

2. ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

2.1. Compromiso de la máxima autoridad de
la institución con la seguridad de la información

Realizar el
seguimiento de la puesta en marcha de las normas de este documento (*).

Disponer la
difusión, capacitación y sensibilización del contenido de este documento (*).

Conformar
oficialmente el Comité de Gestión de la Seguridad de la Información de la institución
(CSI) y designar a los integrantes (*).

1 (*) En todo este documento esta
marca significa que se trata de un control/directriz prioritario

El comité de
coordinación de la seguridad de la información involucrará la participación y
cooperación de los cargos directivos de la institución. El comité deberá
convocarse de forma periódica o cuando las circunstancias lo ameriten. Se deberá
llevar registros y actas de las reuniones.

2.2. Coordinación de la Gestión de la
Seguridad de la Información

La
coordinación estará a cargo del Comité de Gestión de Seguridad de la
Información el cual tendrá las siguientes funciones:

Definir y
mantener la política y normas institucionales particulares en materia de seguridad
de la información y gestionar la aprobación y puesta en vigencia por parte de la
máxima autoridad de la institución así como el cumplimiento por parte de los funcionarios
de la institución.

Monitorear
cambios significativos de los riesgos que afectan a los recursos de información
frente a las amenazas más importantes.

Tomar
conocimiento y supervisar la investigación y monitoreo de los incidentes relativos
a la seguridad. ?

Aprobar las
principales iniciativas para incrementar la seguridad de la información, de acuerdo
a las competencias y responsabilidades asignadas a cada área.

Acordar y
aprobar metodologías y procesos específicos, en base al EGSI relativos a la seguridad
de la información.

Evaluar y
coordinar la implementación de controles específicos de seguridad de la información
para nuevos sistemas o servicios, en base al EGSI.

Promover la
difusión y apoyo a la seguridad de la información dentro de la institución.

Coordinar el
proceso de gestión de la continuidad de la operación de los servicios y sistemas
de información de la institución frente a incidentes de seguridad imprevistos.

Designar a los
custodios o responsables de la información de las diferentes áreas de la entidad,
que deberá ser formalizada en un documento físico o electrónico.

Gestionar la
provisión permanente de recursos económicos, tecnológicos y humanos para la gestión
de la seguridad de la información.

Velar por la
aplicación de la familia de normas técnicas ecuatorianas INEN ISO/IEC 27000 en
la institución según el ámbito de cada norma.

Designar
formalmente a un funcionario como Oficial de Seguridad de la Información quien actuará
como coordinador del CSI. El Oficial de Seguridad no pertenecerá al área de Tecnologías
de la Información y reportará a la máxima autoridad de la institución (*).

Designar
formalmente al responsable de seguridad del área de Tecnologías de la Información
en coordinación con el director o responsable del área de Tecnologías de la Información
de la Institución (*).

2.3 Asignación de responsabilidades para
la seguridad de la información

El Oficial de
Seguridad de la Información tendrá las siguientes responsabilidades:

Definir
procedimientos para el control de cambios a los procesos operativos, los
sistemas e instalaciones, y verificar su cumplimiento, de manera que no afecten
la seguridad de la información.

Establecer
criterios de seguridad para nuevos sistemas de información, actualizaciones y
nuevas versiones, contemplando la realización de las pruebas antes de su aprobación
definitiva.

Definir
procedimientos para el manejo de incidentes de seguridad y para la
administración de los medios de almacenamiento.

Controlar los
mecanismos de distribución y difusión de información dentro y fuera de la
institución.

Definir y
documentar controles para la detección y prevención del acceso no autorizado,
la protección contra software malicioso, garantizar la seguridad de los datos y
los servicios conectados a las redes de la institución.

Desarrollar
procedimientos adecuados de concienciación de usuarios en materia de seguridad,
controles de acceso a los sistemas y administración de cambios.

Verificar el
cumplimiento de las normas, procedimientos y controles de seguridad institucionales
establecidos.

Coordinar la
gestión de eventos de seguridad con otras entidades gubernamentales.

Convocar
regularmente o cuando la situación lo amerite al Comité de Seguridad de la
Información así como llevar registros de asistencia y actas de las reuniones.

El responsable
de Seguridad del Área de Tecnologías de la Información tendrá las siguientes
responsabilidades:

Controlar la
existencia de documentación física o electrónica actualizada relacionada con
los procedimientos de comunicaciones, operaciones y sistemas.

Evaluar el
posible impacto operativo a nivel de seguridad de los cambios previstos a
sistemas y equipamiento y verificar su correcta implementación, asignando
responsabilidades.

Administrar
los medios técnicos necesarios para permitir la segregación de los ambientes de
procesamiento.

Monitorear las
necesidades de capacidad de los sistemas en operación y proyectar las futuras
demandas de capacidad para soportar potenciales amenazas a la seguridad de la
información que procesan.

Controlar la
obtención de copias de resguardo de información, así como la prueba periódica
de su restauración.

Asegurar el
registro de las actividades realizadas por el personal operativo de seguridad
de la información, para su posterior revisión.

Desarrollar y
verificar el cumplimiento de procedimientos para comunicar las fallas en el procesamiento
de la información o los sistemas de comunicaciones, que permita tomar medidas correctivas.

Implementar
los controles de seguridad definidos (ej., evitar software malicioso, accesos
no autorizados, etc.).

Definir e
implementar procedimientos para la administración de medios informáticos de almacenamiento
(ej., cintas, discos, etc.) e informes impresos, y verificar la eliminación o
destrucción segura de los mismos, cuando proceda.

Gestionar los
incidentes de seguridad de la información de acuerdo a los procedimientos
establecidos.

Otras que por
naturaleza de las actividades de gestión de la seguridad de la información
deban ser realizadas.

2.4 Proceso de autorización para nuevos
servicios de procesamiento de la información

Asignar un
custodio o responsable para cualquier nuevo servicio a implementar,
generalmente del área peticionaria, incluyendo la definición de las características
de la información y la definición de los diferentes niveles de acceso por
usuario.

Autorizar
explícitamente por parte del custodio el uso de un nuevo servicio según las
definiciones anteriores.

Solicitar la
autorización del oficial de seguridad de la información el uso del nuevo
servicio garantizando el cumplimiento de la políticas de seguridad de la información
y normas definidas en este documento.

Evaluar la
compatibilidad a nivel de hardware y software con sistemas internos.

Implementar
los controles necesarios para el uso de nuevos servicios para procesar
información de la institución sean personales o de terceros para evitar nuevas
vulnerabilidades.

2.5. Acuerdos
sobre Confidencialidad (*)

Elaborar y
aprobar los acuerdos de confidencialidad y de no-divulgación de información
conforme la Constitución, las leyes, las necesidades de protección de información
de la institución y el EGSI.

Controlar que
los acuerdos de confidencialidad de la información, documento físico o
electrónico, sean firmados de forma manuscrita o electrónica por todo el personal
de la institución sin excepción.

Gestionar la
custodia de los acuerdos firmados, en los expedientes, físicos o electrónicos,
de cada funcionario, por parte del área de gestión de recursos humanos.

Controlar que
la firma de los acuerdos de confidencialidad sean parte de los procedimientos
de incorporación de nuevos funcionarios a la institución, sin excepción.

Gestionar la
aceptación, entendimiento y firma de acuerdos de confidencialidad y de no
divulgación de información por parte de terceros (ej., contratistas, proveedores,
pasantes, entre otros) que deban realizar labores dentro de la institución sea
por medios lógicos o físicos y que involucren el manejo de información.

2.6 Contacto
con las autoridades

Establecer un
procedimiento que especifique cuándo y a cuales autoridades se reportarán
incidentes derivados del infringimiento de la política de seguridad o por acciones
de seguridad de cualquier origen (ej., SNAP, fiscalía, policía, bomberos, 911,
otros). Todo incidente de seguridad de la información que sea considerado crítico
deberá ser reportado al oficial de seguridad y este a su vez al comité de
seguridad y la máxima autoridad según los casos.

Reportar
oportunamente los incidentes identificados de la seguridad de la información a
la SNAP si se sospecha de incumplimiento de la ley o que provoquen indisponibilidad
o continuidad.

Identificar y
mantener actualizados los datos de contacto de proveedores de bienes o
servicios de telecomunicaciones o de acceso a la Internet para gestionar
potenciales incidentes.

Establecer
acuerdos para compartir información con el objeto de mejorar la cooperación y
la coordinación de los temas de la seguridad. Tales acuerdos deberían identificar
los requisitos para la protección de la información sensible.

2.7 Contactos
con grupos de interés especiales

Mantener
contacto apropiados con organizaciones públicas y privadas, asociaciones
profesionales y grupos de interés especializados en seguridad de la información
para mejorar el conocimiento sobre mejores prácticas y estar actualizado con
información pertinente a gestión de la seguridad.

Recibir
reportes advertencias oportunas de alertas, avisos y parches relacionados con
ataques y vulnerabilidades de organizaciones públicas, privadas y académicas
reconocidas por su aporte a la gestión de la seguridad de la información.

Establecer
contactos entre oficiales y responsables de la seguridad de la información para
compartir e intercambiar información acerca de nuevas tecnologías, productos,
amenazas o vulnerabilidades;

2.8 Revisión
independiente de la seguridad de la información

Ejecutar
revisiones independientes de la gestión de la seguridad a intervalos
planificados o cuando ocurran cambios significativos en la implementación

Identificar oportunidades
de mejora y la necesidad de cambios en el enfoque de la seguridad, incluyendo
la política y los objetivos de control a partir de las revisiones
independientes. La revisión deberá contemplar las actuaciones de la alta
dirección, del comité de seguridad y del oficial de seguridad en materia de
gestión de la seguridad.

Registrar y
documentar todas las revisiones independientes de la gestión de la seguridad de
la información que la institución realice.

2.9
Identificación de los riesgos relacionados con las partes externas

Identificar y
evaluar los riesgos para la información y los servicios de procesamiento de
información de la entidad en los procesos que involucran terceras partes e implementar
los controles apropiados antes de autorizar el acceso.

Bloquear el
acceso de la tercera parte a la información de la organización hasta haber
implementado los controles apropiados y, cuando es viable, haber firmado un
contrato que defina los términos y las condiciones del caso así como acuerdos
de confidencialidad respecto de la información a la tendrán acceso.

Garantizar que
la tercera parte es consciente de sus obligaciones y acepta las
responsabilidades y deberes involucrados en el acceso, procesamiento, comunicación
o gestión de la información y los servicios de procesamiento de información de
la organización.

Registrar y
mantener las terceras partes vinculadas a la entidad considerando los
siguientes tipos:

proveedores de
servicios (ej., Internet, proveedores de red, servicios telefónicos, servicios
de mantenimiento, energía eléctrica, agua, entre otros);

servicios de
seguridad;

contratación
externa de proveedores de servicios y/u operaciones;

asesores y
auditores externos;

limpieza,
alimentación y otros servicios de soporte contratados externamente;

personal
temporal (estudiantes, pasantes,funcionarios públicos externos);

ciudadanos/clientes;

Otros

2.10
Consideraciones de la seguridad cuando se trata con ciudadanos o clientes

Identificar
requisitos de seguridad antes de facilitar servicios a ciudadanos o clientes de
entidades gubernamentales que utilicen o procesen información de los mismos o
de la entidad. Se podrá utilizar los siguientes criterios

protección de
activos de información; ?
descripción del producto o
servicio;

las diversas razones, requisitos y
beneficios del acceso del cliente;

política de
control del acceso;

convenios para
gestión de inexactitudes de la información, incidentes de la seguridad de la información
y violaciones de la seguridad;

descripción de
cada servicio que va a estar disponible;

nivel de
servicio comprometido y los niveles inaceptables de servicio;

el derecho a
monitorear y revocar cualquier actividad relacionada con los activos de la organización;
las respectivas responsabilidades civiles de la organización y del cliente;

las
responsabilidades relacionadas con asuntos legales y la forma en que se
garantiza el cumplimiento de los requisitos legales

derechos de
propiedad intelectual y asignación de derechos de copia y la protección de
cualquier trabajo colaborativos

protección de
datos en base la Constitución y leyes nacionales, particularmente datos
personales o financieros de los ciudadanos

2.11
Consideraciones de la seguridad en los acuerdos con terceras partes

Garantizar que
exista un entendimiento adecuado en los acuerdos que se firmen entre la
organización y la tercera parte con el objeto de cumplir los requisitos de la seguridad
de la entidad. Refiérase a la norma INEN ISO/IEC para los aspectos claves a
considerar en este control.

3. GESTIÓN DE
LOS ACTIVOS

3.1.
Inventario de activos

Inventariar
los activos primarios, en formatos físicos y/o electrónicos:

Los procesos
estratégicos, claves y de apoyo de la institución.

Las normas y
reglamentos que son la razón de ser de la institución.

Planes
estratégicos y operativos de la institución y áreas específicas.

Los archivos
generados por los servidores públicos, tanto de manera física como electrónica,
razón de ser de la función que desempeñan en la institución.

Los manuales e
instructivos de sistemas informáticos: instalación, guía de usuario, operación,
administración, mantenimiento, entre otros.

De la
operación de los aplicativos informáticos de los servicios informáticos: datos
y meta-datos asociados, archivos de configuración, código fuente, respaldos, versiones,
etc.

Del desarrollo
de aplicativos de los servicios informáticos: actas de levantamiento de
requerimientos, documento de análisis de requerimientos, modelos entidad ?
relación, diseño de componentes, casos de uso, diagramas de flujo y estado,
casos de prueba, etc.

Del soporte de
aplicativos de los servicios informáticos: tickets de soporte, reportes físicos
y electrónicos, evaluaciones y encuestas, libros de trabajo para capacitación,
etc.

De la imagen
corporativa de la institución: manual corporativo (que incluye manual de marca
y fuentes en formato electrónico de logos), archivos multimedia, tarjetas de
presentación, volantes, banners, trípticos, etc.

Inventariar
los activos de soporte de Hardware (*):

Equipos
móviles: teléfono inteligente (smartphone), teléfono celular, tableta,
computador portátil, asistente digital personal (PDA), etc.

Equipos fijos:
servidor de torre, servidor de cuchilla, servidor de rack, computador de
escritorio, computadoras portátiles, etc.

Periféricos de
entrada: teclado, ratón, micrófono, escáner plano, escáner de mano, cámara
digital, cámara web, lápiz óptico, pantalla de toque, etc.

Periféricos de
salida: monitor, proyector, audífonos, parlantes, impresora láser, impresora de
inyección de tinta, impresora matricial, impresora térmica, plóter, máquina de
fax, etc.

Periféricos y
dispositivos de almacenamiento: sistema de almacenamiento (NAS, SAN), librería
de cintas, cintas magnéticas, disco duro portátil, disco flexible, grabador de
discos (CD, DVD, Blu-ray), CD, DVD, Blu-ray, memoria USB, etc.

Periféricos de
comunicaciones: tarjeta USB para redes inalámbricas (Wi-Fi, Bluetooth, GPRS,
HSDPA), tarjeta PCMCIA para redes inalámbricas (Wi-Fi, Bluetooth, GPRS, HSDPA),
tarjeta USB para redes alámbricas/inalámbricas de datos y de telefonía, etc.

Tableros: de
transferencia (bypass) de la unidad ininterrumpible de energía (UPS), de
salidas de energía eléctrica, de transferencia automática de energía, etc.

Sistemas: de
control de accesos, de aire acondicionado, automático de extinción de
incendios, de circuito cerrado de televisión, etc.

Inventariar
los activos de soporte de Software (*):

Sistemas
operativos.

Software de
servicio, mantenimiento o administración de: gabinetes de servidores de cuchilla,
servidores (estantería/rack, torre, virtuales), sistema de redes de datos,
sistemas de almacenamiento (NAS, SAN), telefonía, sistemas (de UPS, grupo
electrógeno, de aire acondicionado, automático de extinción de incendios, de
circuito cerrado de televisión), etc.

Paquetes de
software o software base de: suite de ofimática, navegador de Internet, cliente
de correo electrónico, mensajería instantánea, edición de imágenes, vídeo
conferencia, servidor (proxy, de archivos, de correo electrónico, de impresiones,
de mensajería instantánea, de aplicaciones, de base de datos), etc.

Aplicativos
informáticos del negocio.

Inventariar
los activos de soporte de redes (*):

Cables de
comunicaciones (interfaces: RJ-45 o RJ-11, SC, ST o MT-RJ,interfaz V35, RS232,
USB, SCSI, LPT), panel de conexión (patch panel), tomas o puntos de red, racks
(cerrado o abierto, de piso o pared), etc.

Switchs (de
centros de datos, de acceso, de borde, de gabinete de servidores,
access-ppoint, transceiver, equipo terminal de datos, etc.).

Ruteador
(router), cortafuego (firewall), controlador de red inalámbrica, etc.

Sistema de
detección/prevención de intrusos (IDS/IPS), firewall de aplicaciones web,
balanceador de carga, switch de contenido, etc.

Inventariar
los activos referentes a la estructura organizacional:

Estructura
organizacional de la institución, que incluya todas las unidades
administrativas con los cargos y nombres de las autoridades: área de la máxima autoridad,
área administrativa, área de recursos humanos, área financiera, etc.

Estructura
organizacional del área de las TIC, con los cargos y nombres del personal:
administrador (de servidores, de redes de datos, de respaldos de la información,
de sistemas de almacenamiento, de bases de datos, de seguridades, de aplicaciones
del negocio, de recursos informáticos, etc.), líder de proyecto, personal de
capacitación, personal de mesa de ayuda, personal de aseguramiento de calidad,
programadores (PHP, Java, etc.).

Inventario
referente a los sitios y edificaciones de la institución: planos
arquitectónicos, estructurales, eléctricos, sanitarios, de datos, etc.

Dirección
física, dirección de correo electrónico, teléfonos y contactos de todo el
personal de la institución.

De los
servicios esenciales: número de líneas telefónicas fijas y celulares, proveedor
de servicios de Internet y transmisión de datos, proveedor del suministro de
energía eléctrica, proveedor del suministro de agua potable, etc.

Los activos
deberán ser actualizados ante cualquier modificación de la información
registrada y revisados con una periodicidad
no mayor a seis meses.

3.2.
Responsable de los activos

Asignar los
activos asociados (o grupos de activos) a un individuo que actuará como
Responsable del Activo. Por ejemplo, debe haber un responsable de los computadores
de escritorio, otro de los celulares, otro de los servidores del centro de
datos, etc. El término «responsable» no implica que la persona tenga realmente
los derechos de propiedad de los activos. El Responsable del Activo tendrá las
siguientes funciones:

Elaborar el
inventario de los activos a su cargo y mantenerlo actualizado.

Delegar tareas
rutinarias, tomando en cuenta que la responsabilidad sigue siendo del
responsable. ? Administrar la información dentro de
los procesos de la institución a los cuales ha sido asignado.

Elaborar las
reglas para el uso aceptable del mismo e implantarlas previa autorización de la
autoridad correspondiente.

Clasificar,
documentar y mantener actualizada la información y los activos, y definir los
permisos de acceso a la información.

Consolidar los
inventarios de los activos a cargo del Responsable del Activo, por área o
unidad organizativa.

3.3. Uso
aceptable de los activos

Identificar,
documentar e implementar las reglas sobre el uso aceptable de los activos
asociados con los servicios de procesamiento de la información. Para la elaboración
de las reglas, el Responsable del Activo deberá tomar en cuenta las actividades
definidas en los controles correspondientes a los ámbitos de ?Intercambio de
Información? y ?Control de Acceso?, donde sea aplicable.

El Oficial de
Seguridad de la Información es el encargado de asegurar que los lineamientos
para la utilización de los recursos de las Tecnologías de la Información
contemplen los requerimientos de seguridad establecidos, según la criticidad de
la información que procesan.

La información
y documentos generados en la institución y enviados por cualquier medio o herramienta
electrónica son propiedad de la misma institución.

d) Reglamentar
el uso de correo electrónico institucional (*):

Este servicio
debe utilizarse exclusivamente para las tareas propias de las funciones que se
desarrollan en la institución y no debe utilizarse para ningún otro fin.

Cada persona
es responsable tanto del contenido del mensaje
enviado como de cualquier otra información que adjunte.

Todos los
mensajes deben poder ser monitoreados y conservados permanentemente por parte
de las institución.

Toda cuenta de
correo electrónico debe estar asociada a una única cuenta de usuario.

La
conservación de los mensajes se efectuará en carpetas personales, para archivar
la información de acceso exclusivo del usuario y que no debe compartirse con
otros usuarios. Debe definirse un límite de espacio máximo.

Toda la
información debe ser gestionado de forma centralizados y no en las estaciones
de trabajo de los usuarios. ?

Todo sistema
debe contar con las facilidades automáticas que notifiquen al usuario cuando un
mensaje enviado por él no es recibido correctamente por el destinatario,
describiendo detalladamente el motivo del error.

Deben
utilizarse programas que monitoreen el accionar de virus informáticos tanto en
mensajes como en archivos adjuntos, antes de su ejecución.

Todo usuario
es responsable por la destrucción de los mensajes con origen desconocido, y
asume la responsabilidad por las consecuencias que pueda ocasionar la ejecución
de los archivos adjuntos. En estos casos, no deben contestar dichos mensajes y
deben enviar una copia al Oficial de Seguridad de la Información para que
efectúe el seguimiento y la investigación necesaria.

Para el envío
y la conservación de la información, debe implementarse el cifrado
(criptografía) de datos.

Todo usuario
es responsable de la cantidad y tamaño de mensajes que envíe. Debe controlarse
el envío no autorizado de correos masivos.

e) Reglamentar el acceso y uso de la
Internet y sus aplicaciones/servicios (*):

Este servicio
debe utilizarse exclusivamente para las tareas propias de la función
desarrollada en la institución, y no debe utilizarse para ningún otro fin.

Cada usuario
es responsable de la información y contenidos a los que accede y de aquella que
copia para conservación en los equipos de la institución.

Debe limitarse
a los usuarios el acceso a portales, aplicaciones o servicios de la Internet y
la Web que pudieren perjudicar los
intereses y la reputación de la institución. Específicamente, se debe bloquear
el acceso por medio de dispositivos fijos y/o móviles a aquellos portales,
aplicaciones o servicios de la Internet y la Web sobre pornografía, racismo,
violencia, delincuencia o de contenidos ofensivos y contrarios a los intereses,
entre otros, y valores de la institución o que impacten negativamente en la
productividad y trabajo de la institución (ej., mensajería instantánea-chats,
redes sociales, video, otros) y particularmente a los que atenten a la ética y
moral.

El Oficial de
Seguridad de la Información debe elaborar, poner en marcha y controlar la
aplicación de un procedimiento institucional para acceso y uso de la Internet y
la Web por parte de todo funcionario sin excepción, y en el cual se acepten las
condiciones aquí especificadas y otras que la institución considere apropiadas.

Todos los
accesos deben poder ser sujetos de monitoreo y conservación permanente por
parte de la institución.

El Oficial de
Seguridad de la Información, puede acceder a los contenidos monitoreados, con
el fin de asegurar el cumplimiento de las medidas de seguridad.

La institución
podrá en cualquier momento bloquear o limitar el acceso y uso de la Internet a
los funcionarios o a terceros que accedan tanto por medio alámbrico como
inalámbrico.

Se debe
bloquear y prohibir el acceso y uso de servicios de correo electrónico de libre
uso tales como: Gmail, Hotmail, Yahoo, Facebook, entre otros.

Se prohíbe
expresamente a las entidades de la Administración Pública la contratación,
acceso y uso de servicios de correo electrónico en la Internet (Nube), para uso
institucional o de servidores públicos, con empresas privadas o públicas cuyos
centros de datos, redes (salvo la Internet), equipos, software base y de
gestión de correo electrónico y cualquier elemento tecnológico necesario, se
encuentren fuera del territorio nacional; y adicionalmente, si las condiciones
de los servicios que tales empresas prestaren no se someten a la Constitución y
Leyes Ecuatorianas.

f) Reglamentar el uso de los sistemas
de videoconferencia (*):

Definir un
responsable para administrar la videoconferencia.

Definir y
documentar el procedimiento de acceso a los ambiente de pruebas y producción.

Elaborar un
documento tipo ?lista de chequeo? (check-list) que contenga los parámetros de
seguridad para el acceso a la red interministerial que soporta el servicios de
video-conferencia.

Crear
contraseñas para el ingreso a la configuración de los equipos y para las salas
virtuales de videoconferencia.

Deshabilitar
la respuesta automática de los equipos de video-conferencia.

3.4.
Directrices de clasificación de la información

Clasificar la
información como pública o confidencial. (*)

Elaborar y
aprobar un catálogo de clasificación de la información. Se la deberá clasificar
en términos de su valor, de los requisitos legales, de la sensibilidad y la
importancia para la institución. El nivel de protección se puede evaluar
analizando la confidencialidad, la integridad y la disponibilidad

3.5.
Etiquetado y manejo de la información

Incluir datos
mediante abreviaturas, acerca del tipo de activo y su funcionalidad para la
generación de etiquetas.

En caso de
repetirse la etiqueta del activo, deberá añadirse un número secuencial único al
final.

En caso de
documentos en formato electrónico, la etiqueta deberá asociarse a un metadato
único, pudiendo ser éste un código MD5.

Las etiquetas
generadas deberán estar incluidas en el inventario, asociadas a su respectivo
activo.

Los
responsables de los activos supervisarán el cumplimiento del proceso de
generación de etiquetas y rotulación de los activos.

Para el caso
de etiquetas físicas, los responsables de los activos verificarán con una
periodicidad no mayor a 6 meses, que los activos se encuentren rotulados y con
etiquetas legibles.

En caso de
destrucción de un activo, la etiqueta asociada a éste debe mantenerse en el
inventario respectivo con los registros de las acciones realizadas.

4. SEGURIDAD
DE LOS RECURSOS HUMANOS

4.1. Funciones
y responsabilidades

Verificar a
los candidatos, previa su contratación, el certificado de antecedentes penales
y revisar la información entregada en su hoja de vida (*).

Entregar
formalmente a los funcionarios sus funciones y responsabilidades (*).

Notificar al
Oficial de Seguridad de la Información los permisos necesarios para activación
y acceso a los activos de información.

Informar al
Oficial de Seguridad de la Información sobre los eventos potenciales, intentos
de intrusión u otros riesgos que pueden afectar la seguridad de la información
de la institución.

4.2 Selección

Verificar
antecedentes de candidatos a ser empleados, contratistas o usuarios de terceras
partes, o designaciones y promociones de funcionarios de acuerdo con los
reglamentos, la ética y las leyes pertinentes, y deben ser proporcionales a la
naturaleza y actividades de la entidad pública, a la clasificación de la
información a la cual se va a tener acceso y los riesgos percibidos. No debe
entenderse este control como discriminatorio en ningún aspecto,

Definir los
criterios y las limitaciones para las revisiones de verificación de personal
actual (por motivos de designación o promoción), potenciales empleados y de
terceras partes.

Informar del
procedimiento de revisión y solicitar el consentimiento al personal actual (por
motivos de designación o promoción), potenciales empleados y de terceras
partes.

4.3. Términos y condiciones laborales

Realizar la
firma de un acuerdo de confidencialidad o no-divulgación, antes de que los
empleados, contratistas y usuarios de terceras partes, tengan acceso a la
información. Dicho acuerdo debe establecer los parámetros tanto de vigencia del
acuerdo, información confidencial referida, formas de acceso, responsabilidades
y funciones.

Socializar los
derechos y responsabilidades legales de los empleados, los contratistas y
cualquier otro usuario sobre la protección de datos; dejando constancia de lo
actuado a través de hojas de registro, informes o similares, que evidencie la
realización de la misma.

Responsabilizar
al personal sobre el manejo y creación de la información resultante durante el
contrato laboral con la institución.

4.4. Responsabilidades de la dirección a
cargo del funcionario

Explicar y
definir las funciones y las responsabilidades respecto a la seguridad de la información,
antes de otorgar el acceso a la
información, contraseñas o sistemas de información sensibles (*).

Lograr la
concienciación sobre la seguridad de la información correspondiente a sus
funciones y responsabilidades dentro de la institución.

Acordar los
términos y las condiciones laborales, las cuales incluyen la política de la
seguridad de la información de la institución y los métodos apropiados de
trabajo.

Verificar el
cumplimiento de las funciones y responsabilidades respecto a la seguridad de la
información mediante la utilización de reportes e informes.

4.5. Educación, formación y sensibilización
en seguridad de la información

Socializar y
capacitar de forma periódica y oportuna sobre las normas y los procedimientos
para la seguridad, las responsabilidades legales y los controles de la
institución, así como en la capacitación del uso correcto de los servicios de
información.

4.6. Proceso disciplinario

Garantizar el
tratamiento imparcial y correcto para los empleados que han cometido violaciones
comprobadas a la seguridad de la información.

Considerar
sanciones graduales, dependiendo de factores tales como la naturaleza, cantidad
y la gravedad de la violación, así como su impacto en el negocio, el nivel de
capacitación del personal, la legislación correspondiente (ej., Ley de Comercio
Electrónico, Firmas Electrónicas y Mensajes de Datos, EGSI, etc., ) y otros
factores existentes en los procedimientos propios de la entidad.

4.7. Responsabilidades de terminación del
contrato

Comunicar oficialmente
al personal las responsabilidades para la terminación de su relación laboral,
lo cual debe incluir los requisitos permanentes para la seguridad de la
información y las responsabilidades legales o contenidas en cualquier acuerdo
de confidencialidad

Los cambios en
la responsabilidad o en el contrato laboral deberán ser gestionados como la
terminación de la responsabilidad o el contrato laboral respectivo, y la nueva
responsabilidad o contrato laboral se deberá instaurar en el contrato de
confidencialidad respectivo.

Previa la
terminación de un contrato se deberá realizar la transferencia de la
documentación e información de la que
fue responsable al nuevo funcionario a cargo, en caso de ausencia, al Oficial
de Seguridad de la Información.

Los contratos
del empleado, el contratista o el usuario de terceras partes, deben incluir las
responsabilidades válidas aún después de la terminación del contrato laboral.

4.8. Devolución de activos

Formalizar el
proceso de terminación del contrato laboral, para incluir la devolución de
software, documentos corporativos y los equipos. También es necesaria la
devolución de otros activos de la institución tales como los dispositivos de
cómputo móviles, tarjetas de crédito, las tarjetas de acceso, tokens USB con certificados
de electrónicos, certificados electrónicos en archivo, memorias flash,
teléfonos celulares, cámaras, manuales, información almacenada en medios
electrónicos y otros estipulados en las políticas internas de cada entidad.

Aplicar los
debidos procesos para garantizar que toda la información generada por el
empleado, contratista o usuario de terceras partes dentro de la institución,
sea transferida, archivada o eliminada con seguridad.

Realizar el
proceso de traspaso de conocimientos por parte del empleado, contratistas o
terceras partes, luego de la terminación de su contrato laboral, para la
continuación de las operaciones importantes dentro de la institución.

4.9. Retiro de los privilegios de acceso

Retirar los
privilegios de acceso a los activos de información y a los servicios de
procesamiento de información (ej., sistema de directorio, correo electrónico,
accesos físicos, aplicaciones de software, etc.,) inmediatamente luego de que
se comunique formalmente al Oficial de Seguridad de la Información formalmente
la terminación de la relación laboral por parte del área correspondiente.

5. SEGURIDAD
FÍSICA Y DEL ENTORNO

5.1. Perímetro de la seguridad física

Definir y
documentar claramente los perímetros de seguridad (barreras, paredes, puertas
de acceso controladas con tarjeta, etc.), con una ubicación y fortaleza
adecuadas.

Definir una
área de recepción, con personal y otros medios para controlar el acceso físico
al lugar o edificio (*)

Extender las
barreras físicas necesarias desde el piso hasta el techo a fin de impedir el ingreso
inapropiado y la contaminación del medio ambiente.

Disponer de
alarmas de incendio y puertas de evacuación debidamente monitoreadas que
cumplan normas nacionales e internacionales.

Disponer de un
sistema de vigilancia mediante el uso de circuitos cerrados de televisión.

Aislar los
ambientes de procesamiento de información de los ambientes proporcionados por
terceros.

5.2. Controles
de acceso físico

Supervisar la
permanencia de los visitantes en las áreas restringidas y registrar la hora y
fecha de su ingreso y salida (*).

Controlar y
limitar el acceso, exclusivamente a personal autorizado, a la información
clasificada y a las instalaciones de procesamiento de información. Se debe
utilizar controles de autenticación como tarjetas de control de acceso más el
número de identificación personal.

Implementar el
uso de una identificación visible para todo el personal y visitantes, quienes
deberán ser escoltados por una persona autorizada para el tránsito en las áreas
restringidas (*).

Revisar y
actualizar periódicamente los derechos de accesos a las áreas restringidas,
mismos que serán documentados y firmados por el responsable.

5.3. Seguridad de oficinas, recintos e
instalaciones

Aplicar los
reglamentos y las normas en materia de sanidad y seguridad.

Proteger las
instalaciones claves de tal manera que se evite el acceso al público (*).

Establecer que
los edificios o sitios de procesamiento sean discretos y tengan un señalamiento
mínimo apropiado.

Ubicar las
impresoras, copiadoras, etc., en un área protegida(*).

Disponer que
las puertas y ventanas permanezcan cerradas, especialmente cuando no haya
vigilancia.

5.4. Protección contra amenazas externas y
ambientales.

Almacenar los
materiales combustibles o peligrosos a una distancia prudente de las áreas
protegidas.

Ubicar los
equipos de repuesto y soporte a una distancia
prudente para evitar daños en caso de desastre que afecte las instalaciones
principales.

Suministrar el
equipo apropiado contra incendios y ubicarlo adecuadamente.

Realizar
mantenimientos de las instalaciones eléctricas y UPS.(*)

Realizar
mantenimientos en los sistemas de climatización y ductos de ventilación (*).

Adoptar
controles para minimizar el riesgo de amenazas físicas potenciales como robo,
incendio, explosión, humo, agua, polvo, vibración, efectos químicos,
interferencia del suministro eléctrico e interferencia a las comunicaciones.

5.5. Trabajo en áreas seguras

Dar a conocer
al personal, la existencia de un área segura.

Evitar el
trabajo no supervisado para evitar actividades maliciosas.

Revisar
periódicamente y disponer de un bloqueo físico de las áreas seguras vacías.

No permitir
equipos de grabación, cámaras, equipos de vídeo y audio, dispositivos móviles,
etc., a menos de que estén autorizados (*).

5.6. Áreas de carga, despacho y acceso
público

Permitir el
acceso al área de despacho y carga, únicamente a personal identificado y
autorizado (*).

Descargar y
despachar los suministros, únicamente en el área de descarga y despacho.

Asegurar las
puertas externas e internas de despacho y carga.

Inspeccionar
el material que llega para determinar posibles amenazas.

Registrar el
material que llega, de acuerdo a los procedimientos de gestión de activos.

5.7. Ubicación y protección de los equipos

Ubicar los
equipos de modo que se elimine el acceso innecesario a las áreas de trabajo
restringidas.

Aislar los
servicios de procesamiento de información con datos sensibles y elementos que
requieran protección especial, para reducir el riesgo de visualización de la
información de personas no autorizadas.

Establecer
directrices para no comer, beber y fumar en las cercanías de las áreas de procesamiento
de información (*).

Monitorear las
condiciones ambientales de temperatura y humedad.

Tener
protección contra descargas eléctricas en todas las edificaciones de la
institución y disponer de filtros protectores en el suministro de energía y en
las líneas de comunicación.

Disponer de
métodos especiales de protección para equipos en ambientes industriales.

5.8. Servicios de suministro

Implementar y
documentar los servicios de electricidad, agua, calefacción, ventilación y aire
acondicionado, suministrados a la institución.

Inspeccionar
regularmente todos los sistemas de suministro.

Tener un
sistema de suministro de energía sin interrupción (UPS) o al menos permitir el
cierre/apagado ordenado de los servicios y equipos que soportan las operaciones
críticas de los servicios informáticos de la institución (*).

Tener al
alcance el suministro de combustible para que el grupo electrógeno pueda
funcionar mientras dure la suspensión del suministro eléctrico público.

Disponer de
los interruptores de emergencia cerca de las salidas, para suspender el paso de
energía eléctrica, en caso de un incidente o problema.

5.9. Seguridad del cableado

Disponer de
líneas de fuerza (energía) y de telecomunicaciones subterráneas protegidas, en
cuanto sea posible.

Proteger el
cableado de la red contra la interceptación o daño.

Separar los
cables de energía de los cables de comunicaciones.

Identificar y
rotular los cables de acuerdo a normas locales o internacionales para evitar