Registro Oficial

Registro Oficial No 88 - Miércoles 25 de Septiembre de 2013 Segundo Suplemento

Miércoles, 25 de septiembre de 2013

Última modificación: Viernes, 29 de agosto de 2014 | 11:15

Administración del Señor Ec. Rafael Correa Delgado

Presidente Constitucional de la República del Ecuador

Miércoles 25 de Septiembre de  2013 - R. O. No. 88

SEGUNDO SUPLEMENTO

SUMARIO

Acuerdo

               

Secretaría Nacional de la Administración Pública:

Acuerdo

166 Dispónese a las entidades de la Administración Pública Central, Institucional y que dependen de la Función Ejecutiva el uso obligatorio de las Normas Técnicas Ecuatorianas NTE INEN-ISO/IEC 27000 para la Gestión de Seguridad de la Información

CONTENIDO


No. 166

Cristian Castillo Peñaherrera

SECRETARIO NACIONAL DE LA ADMINISTRACIÓN PÚBLICA

Considerando:

Que, la Constitución de la República determina en el artículo 227 que la Administración Pública constituye un servicio a la colectividad que se rige por principios de eficacia, calidad, jerarquía, desconcentración, descentralización, coordinación, participación, planificación, transparencia y evaluación.

Que, el artículo 13 del Estatuto del Régimen Jurídico Administrativo de la Función Ejecutiva establece que la Secretaría Nacional de la Administración Pública es una entidad de derecho público, con personalidad jurídica y patrimonio propio, dotada de autonomía presupuestaria, financiera, económica y administrativa, encargada de establecer las políticas, metodologías de gestión e innovación institucional y  herramientas necesarias para el mejoramiento de la eficiencia, calidad y transparencia de la gestión en las entidades y organismos de la Función Ejecutiva, con quienes coordinará las   acciones que sean necesarias para la correcta ejecución de dichos fines; así como también de realizar el control, seguimiento y evaluación de la gestión de los planes, programas, proyectos y procesos de las entidades y organismos de la Función Ejecutiva que se encuentran en ejecución; y, el control, seguimiento y evaluación de la calidad en la gestión de los mismos.

Que, mediante Acuerdos Ministeriales Nos. 804 y 837 de 29 de julio y 19 de agosto de 2011, respectivamente, la Secretaría Nacional de la Administración Pública creó la Comisión para la Seguridad Informática y de las Tecnologías de la Información y Comunicación conformada por delegados del Ministerio de Telecomunicaciones y de la Sociedad de la Información, la Secretaría Nacional de Inteligencia y la Secretaría Nacional de la Administración Pública y dentro de sus atribuciones tiene la de establecer lineamientos de seguridad informática, protección de infraestructura computacional y todo lo relacionado con ésta,  incluyendo la información contenida para las entidades de la Administración Pública Central e Institucional.

Que, es importante adoptar políticas, estrategias, normas, procesos, procedimientos, tecnologías y medios necesarios para mantener la seguridad en la información que se genera y custodia en diferentes medios y formatos de las entidades de la Administración Pública Central, Institucional y que dependen de la Función Ejecutiva.

Que, la Administración Pública de forma integral y coordinada debe propender a minimizar o anular riesgos en la información así como proteger la infraestructura gubernamental, más aún si es estratégica, de los denominados ataques informáticos o cibernéticos.

Que, las Tecnologías de la Información y Comunicación son herramientas imprescindibles para el cumplimiento de la gestión institucional e inter-institucional de la Administración Pública en tal virtud, deben cumplir con estándares de seguridad que garanticen la confidencialidad, integridad y disponibilidad de la información;

Que, la Comisión para la Seguridad Informática y de las Tecnologías de la Información y Comunicación en referencia ha desarrollado el Esquema Gubernamental de Seguridad de la Información (EGSI), elaborado en base a la norma NTE INEN-ISO/IEC 27002 ?Código de Práctica para la Gestión de la Seguridad de la Información?.

Que, el artículo 15, letra i) del Estatuto del Régimen Jurídico y Administrativo de la Función Ejecutiva establece como atribución del Secretario Nacional de la Administración Pública, impulsar proyectos de estandarización en procesos, calidad y tecnologías de la información y comunicación;

En uso de las facultades y atribuciones que le confiere el artículo 15, letra n) del Estatuto del Régimen Jurídico y Administrativo de la Función Ejecutiva,

Acuerda:

Artículo 1.- Disponer a las entidades de la Administración Pública Central, Institucional y que dependen de la Función Ejecutiva el uso obligatorio de las Normas Técnicas Ecuatorianas NTE INEN-ISO/IEC 27000 para la Gestión de Seguridad de la Información.

Artículo 2.- Las entidades de la Administración Pública implementarán en un plazo de dieciocho (18) meses el Esquema Gubernamental de Seguridad de la Información (EGSI), que se adjunta a este acuerdo como Anexo 1, a excepción de las disposiciones o normas marcadas como prioritarias en dicho esquema, las cuales se implementarán en (6) meses desde la emisión del presente Acuerdo.

La implementación del EGSI se realizará en cada institución de acuerdo al ámbito de acción, estructura orgánica, recursos y nivel de madurez en gestión de Seguridad de la Información.

Artículo 3.- Las entidades designarán, al interior de su institución, un Comité de Seguridad de la Información liderado con un Oficial de Seguridad de la Información, conforme lo establece el EGSI y cuya designación deberá ser comunicada a la Secretaría Nacional de la Administración Pública, en el transcurso de treinta (30) días posteriores a la emisión del presente Acuerdo.

Artículo 4.- La Secretaría Nacional de la Administración Pública coordinará y dará seguimiento a la implementación del EGSI en las entidades de la Administración Pública Central, Institucional y que dependen de la Función Ejecutiva. El seguimiento y control a la implementación de la EGSI se realizará mediante el Sistema de Gestión por Resultados (GPR) u otras herramientas que para el efecto implemente la Secretaría Nacional de la Administración Pública.

Artículo 5.- La Secretaría Nacional de la Administración Pública realizará de forma ordinaria una revisión anual del EGSI en conformidad a las modificaciones de la norma INEN ISO/IEC 27002 que se generen y de forma extraordinaria o periódica cuando las circunstancias así lo ameriten, además definirá los procedimientos o metodologías para su actualización, implementación, seguimiento y control.

Artículo 6.- Es responsabilidad de la máxima autoridad de cada entidad mantener la documentación de la implementación del EGSI debidamente organizada y registrada de acuerdo al procedimiento específico que para estos efectos establezca la Secretaría Nacional de la Administración Pública.

Artículo 7.- Las entidades realizarán una evaluación de riesgos y diseñarán e implementarán el plan de manejo de riesgos de su institución, en base a la norma INEN ISO/IEC 27005 ?Gestión del Riesgo en la Seguridad de la Información?.

DISPOSICIONES GENERALES

Primera.- El EGSI podrá ser revisado periódicamente de acuerdo a las sugerencias u observaciones realizadas por las entidades de la Administración Pública Central, Institucional o que dependen de la Función Ejecutiva, las cuales deberán ser presentadas por escrito a la Secretaría Nacional de la Administración Pública.

Segunda.- Cualquier propuesta de inclusión de controles o directrices adicionales a los ya establecidos en el EGSI que se generen en la implementación del mismo, deberán ser comunicados a la Secretaría Nacional de la Administración Pública, previo a su aplicación; de igual manera, en caso de existir alguna excepción institucional respecto a la implementación del EGSI, ésta deberá ser justificada técnicamente y comunicada a la Secretaría Nacional de la Administración Pública, para su análisis y autorización.

Tercera.- Los Oficiales de Seguridad de la Información de los Comités de Gestión de Seguridad de la Información designados por las instituciones, actuarán como contrapartes de la Secretaría Nacional de la Administración Pública en la  implementación del EGSI y en la gestión de incidentes de seguridad de la información.

Cuarta.- Cualquier comunicación respecto a las disposiciones realizadas en el presente Acuerdo deberá ser informada directamente a la Subsecretaría de Gobierno Electrónico de la Secretaría Nacional de la Administración Pública.

DISPOSICIONES TRANSITORIAS

Primera.- Para efectivizar el control y seguimiento del EGSI institucional, la Secretaría Nacional de la Administración Pública en un plazo de quince (15) días creará un proyecto en el sistema GPR en el que se homogenice los hitos que deben de cumplir las instituciones para implementar el EGSI.

Segunda.- La Secretaría Nacional de la Administración Pública emitirá en el plazo de sesenta (60) días desde la emisión del presente Acuerdo los lineamientos específicos de registro y documentación de la implementación institucional del ESGI.

Tercera.- La Secretaría Nacional de la Administración Pública, además, en un plazo de noventa (90) días desde la emisión del presente Acuerdo, definirá las metodologías o procedimientos  para actualización, implementación, seguimiento y control del EGSI.

DISPOSICIÓN DEROGATORIA

Deróguese los Acuerdo Ministeriales No. 804 de 29 de julio de 2011 y No. 837 de 19 de agosto de 2011.

DISPOSICION FINAL.- Este Acuerdo entrará en vigencia a partir de su publicación en el Registro Oficial.

Dado en el Palacio Nacional, a los 19 días del mes de septiembre de 2013.

f.) Cristian Castillo Peñaherrera, Secretario Nacional de la Administración Pública.

Es fiel copia del original.- LO CERTIFICO. Quito, 20 de septiembre de 2013.

f.) Dra. Rafaela Hurtado Espinoza, Coordinadora General de Asesoría Jurídica, Secretaría Nacional de la Administración Pública.



Anexo 1 del Acuerdo No. 166 del 19 de septiembre de 2013

SECRETARÍA NACIONAL DE LA ADMINISTRACIÓN

PÚBLICA

ESQUEMA GUBERNAMENTAL DE SEGURIDAD DE

LA INFORMACIÓN (EGSI)

Versión 1.0

Septiembre de 2013

Contenido

INTRODUCCIÓN

1. POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

2. ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

3. GESTIÓN DE LOS ACTIVOS

4. SEGURIDAD DE LOS RECURSOS HUMANOS

5. SEGURIDAD FISICA Y DEL ENTORNO

6. GESTIÓN DE COMUNICACIONES Y OPERACIONES

7. CONTROL DE ACCESO

8. ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIÓN

9. GESTIÓN DE LOS INCIDENTES DE LA SEGURIDAD DE LA INFORMACIÓN

10. GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO

11. CUMPLIMIENTO GLOSARIO DE TÉRMINOS


INTRODUCCIÓN

Los avances de las Tecnologías de la Información y Comunicación (TIC) han ocasionado que los gobiernos otorguen mayor atención a la protección de sus activos de información con el fin de generar confianza en la ciudadanía, en sus propias instituciones y minimizar riesgos derivados de vulnerabilidades informáticas.

La Secretaría Nacional de Administración Pública, considerando que las TIC son herramientas imprescindibles para el desempeño de institucional e inter-institucional, y como respuesta a la necesidad gestionar de forma eficiente y eficaz la seguridad de la información en las entidades públicas, emitió los Acuerdos Ministeriales No. 804 y No. 837, de 29 de julio y 19 de agosto de 2011 respectivamente, mediante los cuales creó la Comisión para la Seguridad Informática y de las Tecnologías de la Información y Comunicación.

La comisión realizó un análisis de la situación respecto de la gestión de la Seguridad de la Información en las Instituciones de la Administración Pública Central, Dependiente e Institucional, llegando a determinar la necesidad de aplicar normas y procedimientos para seguridad de la información, e incorporar a la cultura y procesos institucionales la gestión permanente de la misma.

El presente documento, denominado Esquema Gubernamental de Seguridad de la Información (EGSI), está basado en la norma técnica ecuatoriana INEN ISO/IEC 27002 para Gestión de la Seguridad de la Información y está dirigido a las Instituciones de la Administración Pública Central, Dependiente e Institucional.

El EGSI establece un conjunto de directrices prioritarias para Gestión de la Seguridad de la Información e inicia un proceso de mejora continua en las instituciones de la Administración Pública. El EGSI no reemplaza a la norma INEN ISO/IEC 27002 sino que marca como prioridad la implementación de algunas directrices.

La implementación del EGSI incrementará la seguridad de la información en las entidades públicas así como en la confianza de los ciudadanos en la Administración Pública.

1. POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

1.1. Documento de la Política de la Seguridad de la Información

La máxima autoridad de la institución dispondrá la implementación de este Esquema Gubernamental de Seguridad de la Información (EGSI) en su entidad (*)1.

Se difundirá la siguiente política de seguridad de la información como referencia (*):

?Las entidades de la Administración Pública Central, Dependiente e Institucional que generan, utilizan, procesan, comparten y almacenan información en medio electrónico o escrito, clasificada como pública, confidencial, reservada y no reservada, deberán aplicar el Esquema Gubernamental de Seguridad de la Información para definir los procesos, procedimientos y tecnologías a fin de garantizar la confidencialidad, integridad y disponibilidad de esa información, en los medios y el tiempo que su legitimidad lo requiera?.

Las entidades públicas podrán especificar una política de seguridad más amplia o específica en armonía con la Constitución, leyes y demás normativa legal propia o relacionada así como su misión y competencias.

1.2. Revisión de la Política

Para garantizar la vigencia de la política de seguridad de la información en la institución, esta deberá ser revisada anualmente o cuando se produzcan cambios significativos a nivel operativo, legal, tecnológica, económico, entre otros.

2.             ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

2.1.          Compromiso de la máxima autoridad de la institución con la seguridad de la información

Realizar el seguimiento de la puesta en marcha de las normas de este documento (*).

Disponer la difusión, capacitación y sensibilización del contenido de este documento (*).

Conformar oficialmente el Comité de Gestión de la Seguridad de la Información de la institución (CSI) y designar a los integrantes (*).


1              (*) En todo este documento esta marca significa que se trata de un control/directriz prioritario

El comité de coordinación de la seguridad de la información involucrará la participación y cooperación de los cargos directivos de la institución. El comité deberá convocarse de forma periódica o cuando las circunstancias lo ameriten. Se deberá llevar registros y actas de las reuniones.

2.2.          Coordinación de la Gestión de la Seguridad de la Información

La coordinación estará a cargo del Comité de Gestión de Seguridad de la Información el cual tendrá las siguientes funciones:

Definir y mantener la política y normas institucionales particulares en materia de seguridad de la información y gestionar la aprobación y puesta en vigencia por parte de la máxima autoridad de la institución así como el cumplimiento por parte de los funcionarios de la institución.

Monitorear cambios significativos de los riesgos que afectan a los recursos de información frente a las amenazas más importantes.

Tomar conocimiento y supervisar la investigación y monitoreo de los incidentes relativos a la seguridad. ?

Aprobar las principales iniciativas para incrementar la seguridad de la información, de acuerdo a las competencias y responsabilidades asignadas a cada área.

Acordar y aprobar metodologías y procesos específicos, en base al EGSI relativos a la seguridad de la información.

Evaluar y coordinar la implementación de controles específicos de seguridad de la información para nuevos sistemas o servicios, en base al EGSI.

Promover la difusión y apoyo a la seguridad de la información dentro de la institución.

Coordinar el proceso de gestión de la continuidad de la operación de los servicios y sistemas de información de la institución frente a incidentes de seguridad imprevistos.

Designar a los custodios o responsables de la información de las diferentes áreas de la entidad, que deberá ser formalizada en un documento físico o electrónico.

Gestionar la provisión permanente de recursos económicos, tecnológicos y humanos para la gestión de la seguridad de la información.

Velar por la aplicación de la familia de normas técnicas ecuatorianas INEN ISO/IEC 27000 en la institución según el ámbito de cada norma.

Designar formalmente a un funcionario como Oficial de Seguridad de la Información quien actuará como coordinador del CSI. El Oficial de Seguridad no pertenecerá al área de Tecnologías de la Información y reportará a la máxima autoridad de la institución (*).

Designar formalmente al responsable de seguridad del área de Tecnologías de la Información en coordinación con el director o responsable del área de Tecnologías de la Información de la Institución (*).

2.3           Asignación de responsabilidades para la seguridad de la información

El Oficial de Seguridad de la Información tendrá las siguientes responsabilidades:

Definir procedimientos para el control de cambios a los procesos operativos, los sistemas e instalaciones, y verificar su cumplimiento, de manera que no afecten la seguridad de la información.

Establecer criterios de seguridad para nuevos sistemas de información, actualizaciones y nuevas versiones, contemplando la realización de las pruebas antes de su aprobación definitiva.

Definir procedimientos para el manejo de incidentes de seguridad y para la administración de los medios de almacenamiento.

Controlar los mecanismos de distribución y difusión de información dentro y fuera de la institución.

Definir y documentar controles para la detección y prevención del acceso no autorizado, la protección contra software malicioso, garantizar la seguridad de los datos y los servicios conectados a las redes de la institución.

Desarrollar procedimientos adecuados de concienciación de usuarios en materia de seguridad, controles de acceso a los sistemas y administración de cambios.

Verificar el cumplimiento de las normas, procedimientos y controles de seguridad institucionales establecidos.

Coordinar la gestión de eventos de seguridad con otras entidades gubernamentales.

Convocar regularmente o cuando la situación lo amerite al Comité de Seguridad de la Información así como llevar registros de asistencia y actas de las reuniones.

El responsable de Seguridad del Área de Tecnologías de la Información tendrá las siguientes responsabilidades:

Controlar la existencia de documentación física o electrónica actualizada relacionada con los procedimientos de comunicaciones, operaciones y sistemas.

Evaluar el posible impacto operativo a nivel de seguridad de los cambios previstos a sistemas y equipamiento y verificar su correcta implementación, asignando responsabilidades.

Administrar los medios técnicos necesarios para permitir la segregación de los ambientes de procesamiento.

Monitorear las necesidades de capacidad de los sistemas en operación y proyectar las futuras demandas de capacidad para soportar potenciales amenazas a la seguridad de la información que procesan.

Controlar la obtención de copias de resguardo de información, así como la prueba periódica de su restauración.

Asegurar el registro de las actividades realizadas por el personal operativo de seguridad de la información, para su posterior revisión.

Desarrollar y verificar el cumplimiento de procedimientos para comunicar las fallas en el procesamiento de la información o los sistemas de comunicaciones, que permita tomar medidas correctivas.

Implementar los controles de seguridad definidos (ej., evitar software malicioso, accesos no autorizados, etc.).

Definir e implementar procedimientos para la administración de medios informáticos de almacenamiento (ej., cintas, discos, etc.) e informes impresos, y verificar la eliminación o destrucción segura de los mismos, cuando proceda.

Gestionar los incidentes de seguridad de la información de acuerdo a los procedimientos establecidos.

Otras que por naturaleza de las actividades de gestión de la seguridad de la información deban ser realizadas.

2.4           Proceso de autorización para nuevos servicios de procesamiento de la información

Asignar un custodio o responsable para cualquier nuevo servicio a implementar, generalmente del área peticionaria, incluyendo la definición de las características de la información y la definición de los diferentes niveles de acceso por usuario.

Autorizar explícitamente por parte del custodio el uso de un nuevo servicio según las definiciones anteriores.

Solicitar la autorización del oficial de seguridad de la información el uso del nuevo servicio garantizando el cumplimiento de la políticas de seguridad de la información y normas definidas en este documento.

Evaluar la compatibilidad a nivel de hardware y software con sistemas internos.

Implementar los controles necesarios para el uso de nuevos servicios para procesar información de la institución sean personales o de terceros para evitar nuevas vulnerabilidades.

2.5. Acuerdos sobre Confidencialidad (*)

Elaborar y aprobar los acuerdos de confidencialidad y de no-divulgación de información conforme la Constitución, las leyes, las necesidades de protección de información de la institución y el EGSI.

Controlar que los acuerdos de confidencialidad de la información, documento físico o electrónico, sean firmados de forma manuscrita o electrónica por todo el personal de la institución sin excepción.

Gestionar la custodia de los acuerdos firmados, en los expedientes, físicos o electrónicos, de cada funcionario, por parte del área de gestión de recursos humanos.

Controlar que la firma de los acuerdos de confidencialidad sean parte de los procedimientos de incorporación de nuevos funcionarios a la institución, sin excepción.

Gestionar la aceptación, entendimiento y firma de acuerdos de confidencialidad y de no divulgación de información por parte de terceros (ej., contratistas, proveedores, pasantes, entre otros) que deban realizar labores dentro de la institución sea por medios lógicos o físicos y que involucren el manejo de información.

2.6 Contacto con las autoridades

Establecer un procedimiento que especifique cuándo y a cuales autoridades se reportarán incidentes derivados del infringimiento de la política de seguridad o por acciones de seguridad de cualquier origen (ej., SNAP, fiscalía, policía, bomberos, 911, otros). Todo incidente de seguridad de la información que sea considerado crítico deberá ser reportado al oficial de seguridad y este a su vez al comité de seguridad y la máxima autoridad según los casos.

Reportar oportunamente los incidentes identificados de la seguridad de la información a la SNAP si se sospecha de incumplimiento de la ley o que provoquen indisponibilidad o continuidad.

Identificar y mantener actualizados los datos de contacto de proveedores de bienes o servicios de telecomunicaciones o de acceso a la Internet para gestionar potenciales incidentes.

Establecer acuerdos para compartir información con el objeto de mejorar la cooperación y la coordinación de los temas de la seguridad. Tales acuerdos deberían identificar los requisitos para la protección de la información sensible.

2.7 Contactos con grupos de interés especiales

Mantener contacto apropiados con organizaciones públicas y privadas, asociaciones profesionales y grupos de interés especializados en seguridad de la información para mejorar el conocimiento sobre mejores prácticas y estar actualizado con información pertinente a gestión de la seguridad.

Recibir reportes advertencias oportunas de alertas, avisos y parches relacionados con ataques y vulnerabilidades de organizaciones públicas, privadas y académicas reconocidas por su aporte a la gestión de la seguridad de la información.

Establecer contactos entre oficiales y responsables de la seguridad de la información para compartir e intercambiar información acerca de nuevas tecnologías, productos, amenazas o vulnerabilidades;

2.8 Revisión independiente de la seguridad de la información

Ejecutar revisiones independientes de la gestión de la seguridad a intervalos planificados o cuando ocurran cambios significativos en la implementación

Identificar oportunidades de mejora y la necesidad de cambios en el enfoque de la seguridad, incluyendo la política y los objetivos de control a partir de las revisiones independientes. La revisión deberá contemplar las actuaciones de la alta dirección, del comité de seguridad y del oficial de seguridad en materia de gestión de la seguridad.

Registrar y documentar todas las revisiones independientes de la gestión de la seguridad de la información que la institución realice.

2.9 Identificación de los riesgos relacionados con las partes externas

Identificar y evaluar los riesgos para la información y los servicios de procesamiento de información de la entidad en los procesos que involucran terceras partes e implementar los controles apropiados antes de autorizar el acceso.

Bloquear el acceso de la tercera parte a la información de la organización hasta haber implementado los controles apropiados y, cuando es viable, haber firmado un contrato que defina los términos y las condiciones del caso así como acuerdos de confidencialidad respecto de la información a la tendrán acceso.

Garantizar que la tercera parte es consciente de sus obligaciones y acepta las responsabilidades y deberes involucrados en el acceso, procesamiento, comunicación o gestión de la información y los servicios de procesamiento de información de la organización.

Registrar y mantener las terceras partes vinculadas a la entidad considerando los siguientes tipos:

proveedores de servicios (ej., Internet, proveedores de red, servicios telefónicos, servicios de mantenimiento, energía eléctrica, agua, entre otros);

servicios de seguridad;

contratación externa de proveedores de servicios y/u operaciones;

asesores y auditores externos;

limpieza, alimentación y otros servicios de soporte contratados externamente;

personal temporal (estudiantes, pasantes,funcionarios públicos externos);

ciudadanos/clientes;

Otros

2.10 Consideraciones de la seguridad cuando se trata con ciudadanos o clientes

Identificar requisitos de seguridad antes de facilitar servicios a ciudadanos o clientes de entidades gubernamentales que utilicen o procesen información de los mismos o de la entidad. Se podrá utilizar los siguientes criterios

protección de activos de información; ? descripción del producto o servicio;

las diversas razones, requisitos y beneficios del acceso del cliente;

política de control del acceso;

convenios para gestión de inexactitudes de la información, incidentes de la seguridad de la información y violaciones de la seguridad;

descripción de cada servicio que va a estar disponible;

nivel de servicio comprometido y los niveles inaceptables de servicio;

el derecho a monitorear y revocar cualquier actividad relacionada con los activos de la organización; las respectivas responsabilidades civiles de la organización y del cliente;

las responsabilidades relacionadas con asuntos legales y la forma en que se garantiza el cumplimiento de los requisitos legales

derechos de propiedad intelectual y asignación de derechos de copia y la protección de cualquier trabajo colaborativos

protección de datos en base la Constitución y leyes nacionales, particularmente datos personales o financieros de los ciudadanos

2.11 Consideraciones de la seguridad en los acuerdos con terceras partes

Garantizar que exista un entendimiento adecuado en los acuerdos que se firmen entre la organización y la tercera parte con el objeto de cumplir los requisitos de la seguridad de la entidad. Refiérase a la norma INEN ISO/IEC para los aspectos claves a considerar en este control.

3. GESTIÓN DE LOS ACTIVOS

3.1. Inventario de activos

Inventariar los activos primarios, en formatos físicos y/o electrónicos:

Los procesos estratégicos, claves y de apoyo de la institución.

Las normas y reglamentos que son la razón de ser de la institución.

Planes estratégicos y operativos de la institución y áreas específicas.

Los archivos generados por los servidores públicos, tanto de manera física como electrónica, razón de ser de la función que desempeñan en la institución.

Los manuales e instructivos de sistemas informáticos: instalación, guía de usuario, operación, administración, mantenimiento, entre otros.

De la operación de los aplicativos informáticos de los servicios informáticos: datos y meta-datos asociados, archivos de configuración, código fuente, respaldos, versiones, etc.

Del desarrollo de aplicativos de los servicios informáticos: actas de levantamiento de requerimientos, documento de análisis de requerimientos, modelos entidad ? relación, diseño de componentes, casos de uso, diagramas de flujo y estado, casos de prueba, etc.

Del soporte de aplicativos de los servicios informáticos: tickets de soporte, reportes físicos y electrónicos, evaluaciones y encuestas, libros de trabajo para capacitación, etc.

De la imagen corporativa de la institución: manual corporativo (que incluye manual de marca y fuentes en formato electrónico de logos), archivos multimedia, tarjetas de presentación, volantes, banners, trípticos, etc.

Inventariar los activos de soporte de Hardware (*):

Equipos móviles: teléfono inteligente (smartphone), teléfono celular, tableta, computador portátil, asistente digital personal (PDA), etc.

Equipos fijos: servidor de torre, servidor de cuchilla, servidor de rack, computador de escritorio, computadoras portátiles, etc.

Periféricos de entrada: teclado, ratón, micrófono, escáner plano, escáner de mano, cámara digital, cámara web, lápiz óptico, pantalla de toque, etc.

Periféricos de salida: monitor, proyector, audífonos, parlantes, impresora láser, impresora de inyección de tinta, impresora matricial, impresora térmica, plóter, máquina de fax, etc.

Periféricos y dispositivos de almacenamiento: sistema de almacenamiento (NAS, SAN), librería de cintas, cintas magnéticas, disco duro portátil, disco flexible, grabador de discos (CD, DVD, Blu-ray), CD, DVD, Blu-ray, memoria USB, etc.

Periféricos de comunicaciones: tarjeta USB para redes inalámbricas (Wi-Fi, Bluetooth, GPRS, HSDPA), tarjeta PCMCIA para redes inalámbricas (Wi-Fi, Bluetooth, GPRS, HSDPA), tarjeta USB para redes alámbricas/inalámbricas de datos y de telefonía, etc.

Tableros: de transferencia (bypass) de la unidad ininterrumpible de energía (UPS), de salidas de energía eléctrica, de transferencia automática de energía, etc.

Sistemas: de control de accesos, de aire acondicionado, automático de extinción de incendios, de circuito cerrado de televisión, etc.

Inventariar los activos de soporte de Software (*):

Sistemas operativos.

Software de servicio, mantenimiento o administración de: gabinetes de servidores de cuchilla, servidores (estantería/rack, torre, virtuales), sistema de redes de datos, sistemas de almacenamiento (NAS, SAN), telefonía, sistemas (de UPS, grupo electrógeno, de aire acondicionado, automático de extinción de incendios, de circuito cerrado de televisión), etc.

Paquetes de software o software base de: suite de ofimática, navegador de Internet, cliente de correo electrónico, mensajería instantánea, edición de imágenes, vídeo conferencia, servidor (proxy, de archivos, de correo electrónico, de impresiones, de mensajería instantánea, de aplicaciones, de base de datos), etc.

Aplicativos informáticos del negocio.

Inventariar los activos de soporte de redes (*):

Cables de comunicaciones (interfaces: RJ-45 o RJ-11, SC, ST o MT-RJ,interfaz V35, RS232, USB, SCSI, LPT), panel de conexión (patch panel), tomas o puntos de red, racks (cerrado o abierto, de piso o pared), etc.

Switchs (de centros de datos, de acceso, de borde, de gabinete de servidores, access-ppoint, transceiver, equipo terminal de datos, etc.).

Ruteador (router), cortafuego (firewall), controlador de red inalámbrica, etc.

Sistema de detección/prevención de intrusos (IDS/IPS), firewall de aplicaciones web, balanceador de carga, switch de contenido, etc.

Inventariar los activos referentes a la estructura organizacional:

Estructura organizacional de la institución, que incluya todas las unidades administrativas con los cargos y nombres de las autoridades: área de la máxima autoridad, área administrativa, área de recursos humanos, área financiera, etc.

Estructura organizacional del área de las TIC, con los cargos y nombres del personal: administrador (de servidores, de redes de datos, de respaldos de la información, de sistemas de almacenamiento, de bases de datos, de seguridades, de aplicaciones del negocio, de recursos informáticos, etc.), líder de proyecto, personal de capacitación, personal de mesa de ayuda, personal de aseguramiento de calidad, programadores (PHP, Java, etc.).

Inventario referente a los sitios y edificaciones de la institución: planos arquitectónicos, estructurales, eléctricos, sanitarios, de datos, etc.

Dirección física, dirección de correo electrónico, teléfonos y contactos de todo el personal de la institución.

De los servicios esenciales: número de líneas telefónicas fijas y celulares, proveedor de servicios de Internet y transmisión de datos, proveedor del suministro de energía eléctrica, proveedor del suministro de agua potable, etc.

Los activos deberán ser actualizados ante cualquier modificación de la información registrada y revisados con una  periodicidad no mayor a seis meses.

3.2. Responsable de los activos

Asignar los activos asociados (o grupos de activos) a un individuo que actuará como Responsable del Activo. Por ejemplo, debe haber un responsable de los computadores de escritorio, otro de los celulares, otro de los servidores del centro de datos, etc. El término "responsable" no implica que la persona tenga realmente los derechos de propiedad de los activos. El Responsable del Activo tendrá las siguientes funciones:

Elaborar el inventario de los activos a su cargo y mantenerlo actualizado.

Delegar tareas rutinarias, tomando en cuenta que la responsabilidad sigue siendo del responsable. ? Administrar la información dentro de los procesos de la institución a los cuales ha sido asignado.

Elaborar las reglas para el uso aceptable del mismo e implantarlas previa autorización de la autoridad correspondiente.

Clasificar, documentar y mantener actualizada la información y los activos, y definir los permisos de acceso a la información.

Consolidar los inventarios de los activos a cargo del Responsable del Activo, por área o unidad organizativa.

3.3. Uso aceptable de los activos

Identificar, documentar e implementar las reglas sobre el uso aceptable de los activos asociados con los servicios de procesamiento de la información. Para la elaboración de las reglas, el Responsable del Activo deberá tomar en cuenta las actividades definidas en los controles correspondientes a los ámbitos de ?Intercambio de Información? y ?Control de Acceso?, donde sea aplicable.

El Oficial de Seguridad de la Información es el encargado de asegurar que los lineamientos para la utilización de los recursos de las Tecnologías de la Información contemplen los requerimientos de seguridad establecidos, según la criticidad de la información que procesan.

La información y documentos generados en la institución y enviados por cualquier medio o herramienta electrónica son propiedad de la misma institución.

d) Reglamentar el uso de correo electrónico institucional (*):

Este servicio debe utilizarse exclusivamente para las tareas propias de las funciones que se desarrollan en la institución y no debe utilizarse para ningún otro fin.

Cada persona es responsable tanto del contenido del  mensaje enviado como de cualquier otra información que adjunte.

Todos los mensajes deben poder ser monitoreados y conservados permanentemente por parte de las institución.

Toda cuenta de correo electrónico debe estar asociada a una única cuenta de usuario.

La conservación de los mensajes se efectuará en carpetas personales, para archivar la información de acceso exclusivo del usuario y que no debe compartirse con otros usuarios. Debe definirse un límite de espacio máximo.

Toda la información debe ser gestionado de forma centralizados y no en las estaciones de trabajo de los usuarios. ?

Todo sistema debe contar con las facilidades automáticas que notifiquen al usuario cuando un mensaje enviado por él no es recibido correctamente por el destinatario, describiendo detalladamente el motivo del error.

Deben utilizarse programas que monitoreen el accionar de virus informáticos tanto en mensajes como en archivos adjuntos, antes de su ejecución.

Todo usuario es responsable por la destrucción de los mensajes con origen desconocido, y asume la responsabilidad por las consecuencias que pueda ocasionar la ejecución de los archivos adjuntos. En estos casos, no deben contestar dichos mensajes y deben enviar una copia al Oficial de Seguridad de la Información para que efectúe el seguimiento y la investigación necesaria.

Para el envío y la conservación de la información, debe implementarse el cifrado (criptografía) de datos.

Todo usuario es responsable de la cantidad y tamaño de mensajes que envíe. Debe controlarse el envío no autorizado de correos masivos.

e)            Reglamentar el acceso y uso de la Internet y sus aplicaciones/servicios (*):

Este servicio debe utilizarse exclusivamente para las tareas propias de la función desarrollada en la institución, y no debe utilizarse para ningún otro fin.

Cada usuario es responsable de la información y contenidos a los que accede y de aquella que copia para conservación en los equipos de la institución.

Debe limitarse a los usuarios el acceso a portales, aplicaciones o servicios de la Internet y la Web que  pudieren perjudicar los intereses y la reputación de la institución. Específicamente, se debe bloquear el acceso por medio de dispositivos fijos y/o móviles a aquellos portales, aplicaciones o servicios de la Internet y la Web sobre pornografía, racismo, violencia, delincuencia o de contenidos ofensivos y contrarios a los intereses, entre otros, y valores de la institución o que impacten negativamente en la productividad y trabajo de la institución (ej., mensajería instantánea-chats, redes sociales, video, otros) y particularmente a los que atenten a la ética y moral.

El Oficial de Seguridad de la Información debe elaborar, poner en marcha y controlar la aplicación de un procedimiento institucional para acceso y uso de la Internet y la Web por parte de todo funcionario sin excepción, y en el cual se acepten las condiciones aquí especificadas y otras que la institución considere apropiadas.

Todos los accesos deben poder ser sujetos de monitoreo y conservación permanente por parte de la institución.

El Oficial de Seguridad de la Información, puede acceder a los contenidos monitoreados, con el fin de asegurar el cumplimiento de las medidas de seguridad.

La institución podrá en cualquier momento bloquear o limitar el acceso y uso de la Internet a los funcionarios o a terceros que accedan tanto por medio alámbrico como inalámbrico.

Se debe bloquear y prohibir el acceso y uso de servicios de correo electrónico de libre uso tales como: Gmail, Hotmail, Yahoo, Facebook, entre otros.

Se prohíbe expresamente a las entidades de la Administración Pública la contratación, acceso y uso de servicios de correo electrónico en la Internet (Nube), para uso institucional o de servidores públicos, con empresas privadas o públicas cuyos centros de datos, redes (salvo la Internet), equipos, software base y de gestión de correo electrónico y cualquier elemento tecnológico necesario, se encuentren fuera del territorio nacional; y adicionalmente, si las condiciones de los servicios que tales empresas prestaren no se someten a la Constitución y Leyes Ecuatorianas.

f)             Reglamentar el uso de los sistemas de videoconferencia (*):

Definir un responsable para administrar la videoconferencia.

Definir y documentar el procedimiento de acceso a los ambiente de pruebas y producción.

Elaborar un documento tipo ?lista de chequeo? (check-list) que contenga los parámetros de seguridad para el acceso a la red interministerial que soporta el servicios de video-conferencia.

Crear contraseñas para el ingreso a la configuración de los equipos y para las salas virtuales de videoconferencia.

Deshabilitar la respuesta automática de los equipos de video-conferencia.

3.4. Directrices de clasificación de la información

Clasificar la información como pública o confidencial. (*)

Elaborar y aprobar un catálogo de clasificación de la información. Se la deberá clasificar en términos de su valor, de los requisitos legales, de la sensibilidad y la importancia para la institución. El nivel de protección se puede evaluar analizando la confidencialidad, la integridad y la disponibilidad

3.5. Etiquetado y manejo de la información

Incluir datos mediante abreviaturas, acerca del tipo de activo y su funcionalidad para la generación de etiquetas.

En caso de repetirse la etiqueta del activo, deberá añadirse un número secuencial único al final.

En caso de documentos en formato electrónico, la etiqueta deberá asociarse a un metadato único, pudiendo ser éste un código MD5.

Las etiquetas generadas deberán estar incluidas en el inventario, asociadas a su respectivo activo.

Los responsables de los activos supervisarán el cumplimiento del proceso de generación de etiquetas y rotulación de los activos.

Para el caso de etiquetas físicas, los responsables de los activos verificarán con una periodicidad no mayor a 6 meses, que los activos se encuentren rotulados y con etiquetas legibles.

En caso de destrucción de un activo, la etiqueta asociada a éste debe mantenerse en el inventario respectivo con los registros de las acciones realizadas.

4. SEGURIDAD DE LOS RECURSOS HUMANOS

4.1. Funciones y responsabilidades

Verificar a los candidatos, previa su contratación, el certificado de antecedentes penales y revisar la información entregada en su hoja de vida (*).

Entregar formalmente a los funcionarios sus funciones y responsabilidades (*).

Notificar al Oficial de Seguridad de la Información los permisos necesarios para activación y acceso a los activos de información.

Informar al Oficial de Seguridad de la Información sobre los eventos potenciales, intentos de intrusión u otros riesgos que pueden afectar la seguridad de la información de la institución.

4.2           Selección

Verificar antecedentes de candidatos a ser empleados, contratistas o usuarios de terceras partes, o designaciones y promociones de funcionarios de acuerdo con los reglamentos, la ética y las leyes pertinentes, y deben ser proporcionales a la naturaleza y actividades de la entidad pública, a la clasificación de la información a la cual se va a tener acceso y los riesgos percibidos. No debe entenderse este control como discriminatorio en ningún aspecto,

Definir los criterios y las limitaciones para las revisiones de verificación de personal actual (por motivos de designación o promoción), potenciales empleados y de terceras partes.

Informar del procedimiento de revisión y solicitar el consentimiento al personal actual (por motivos de designación o promoción), potenciales empleados y de terceras partes.

4.3.          Términos y condiciones laborales

Realizar la firma de un acuerdo de confidencialidad o no-divulgación, antes de que los empleados, contratistas y usuarios de terceras partes, tengan acceso a la información. Dicho acuerdo debe establecer los parámetros tanto de vigencia del acuerdo, información confidencial referida, formas de acceso, responsabilidades y funciones.

Socializar los derechos y responsabilidades legales de los empleados, los contratistas y cualquier otro usuario sobre la protección de datos; dejando constancia de lo actuado a través de hojas de registro, informes o similares, que evidencie la realización de la misma.

Responsabilizar al personal sobre el manejo y creación de la información resultante durante el contrato laboral con la institución.

4.4.          Responsabilidades de la dirección a cargo del funcionario

Explicar y definir las funciones y las responsabilidades respecto a la seguridad de la información, antes de  otorgar el acceso a la información, contraseñas o sistemas de información sensibles (*).

Lograr la concienciación sobre la seguridad de la información correspondiente a sus funciones y responsabilidades dentro de la institución.

Acordar los términos y las condiciones laborales, las cuales incluyen la política de la seguridad de la información de la institución y los métodos apropiados de trabajo.

Verificar el cumplimiento de las funciones y responsabilidades respecto a la seguridad de la información mediante la utilización de reportes e informes.

4.5.          Educación, formación y sensibilización en seguridad de la información

Socializar y capacitar de forma periódica y oportuna sobre las normas y los procedimientos para la seguridad, las responsabilidades legales y los controles de la institución, así como en la capacitación del uso correcto de los servicios de información.

4.6.          Proceso disciplinario

Garantizar el tratamiento imparcial y correcto para los empleados que han cometido violaciones comprobadas a la seguridad de la información.

Considerar sanciones graduales, dependiendo de factores tales como la naturaleza, cantidad y la gravedad de la violación, así como su impacto en el negocio, el nivel de capacitación del personal, la legislación correspondiente (ej., Ley de Comercio Electrónico, Firmas Electrónicas y Mensajes de Datos, EGSI, etc., ) y otros factores existentes en los procedimientos propios de la entidad.

4.7.          Responsabilidades de terminación del contrato

Comunicar oficialmente al personal las responsabilidades para la terminación de su relación laboral, lo cual debe incluir los requisitos permanentes para la seguridad de la información y las responsabilidades legales o contenidas en cualquier acuerdo de confidencialidad

Los cambios en la responsabilidad o en el contrato laboral deberán ser gestionados como la terminación de la responsabilidad o el contrato laboral respectivo, y la nueva responsabilidad o contrato laboral se deberá instaurar en el contrato de confidencialidad respectivo.

Previa la terminación de un contrato se deberá realizar la transferencia de la documentación e  información de la que fue responsable al nuevo funcionario a cargo, en caso de ausencia, al Oficial de Seguridad de la Información.

Los contratos del empleado, el contratista o el usuario de terceras partes, deben incluir las responsabilidades válidas aún después de la terminación del contrato laboral.

4.8.          Devolución de activos

Formalizar el proceso de terminación del contrato laboral, para incluir la devolución de software, documentos corporativos y los equipos. También es necesaria la devolución de otros activos de la institución tales como los dispositivos de cómputo móviles, tarjetas de crédito, las tarjetas de acceso, tokens USB con certificados de electrónicos, certificados electrónicos en archivo, memorias flash, teléfonos celulares, cámaras, manuales, información almacenada en medios electrónicos y otros estipulados en las políticas internas de cada entidad.

Aplicar los debidos procesos para garantizar que toda la información generada por el empleado, contratista o usuario de terceras partes dentro de la institución, sea transferida, archivada o eliminada con seguridad.

Realizar el proceso de traspaso de conocimientos por parte del empleado, contratistas o terceras partes, luego de la terminación de su contrato laboral, para la continuación de las operaciones importantes dentro de la institución.

4.9.          Retiro de los privilegios de acceso

Retirar los privilegios de acceso a los activos de información y a los servicios de procesamiento de información (ej., sistema de directorio, correo electrónico, accesos físicos, aplicaciones de software, etc.,) inmediatamente luego de que se comunique formalmente al Oficial de Seguridad de la Información formalmente la terminación de la relación laboral por parte del área correspondiente.

5. SEGURIDAD FÍSICA Y DEL ENTORNO

5.1.          Perímetro de la seguridad física

Definir y documentar claramente los perímetros de seguridad (barreras, paredes, puertas de acceso controladas con tarjeta, etc.), con una ubicación y fortaleza adecuadas.

Definir una área de recepción, con personal y otros medios para controlar el acceso físico al lugar o edificio (*)

Extender las barreras físicas necesarias desde el piso  hasta el techo a fin de impedir el ingreso inapropiado y la contaminación del medio ambiente.

Disponer de alarmas de incendio y puertas de evacuación debidamente monitoreadas que cumplan normas nacionales e internacionales.

Disponer de un sistema de vigilancia mediante el uso de circuitos cerrados de televisión.

Aislar los ambientes de procesamiento de información de los ambientes proporcionados por terceros.

5.2. Controles de acceso físico

Supervisar la permanencia de los visitantes en las áreas restringidas y registrar la hora y fecha de su ingreso y salida (*).

Controlar y limitar el acceso, exclusivamente a personal autorizado, a la información clasificada y a las instalaciones de procesamiento de información. Se debe utilizar controles de autenticación como tarjetas de control de acceso más el número de identificación personal.

Implementar el uso de una identificación visible para todo el personal y visitantes, quienes deberán ser escoltados por una persona autorizada para el tránsito en las áreas restringidas (*).

Revisar y actualizar periódicamente los derechos de accesos a las áreas restringidas, mismos que serán documentados y firmados por el responsable.

5.3.          Seguridad de oficinas, recintos e instalaciones

Aplicar los reglamentos y las normas en materia de sanidad y seguridad.

Proteger las instalaciones claves de tal manera que se evite el acceso al público (*).

Establecer que los edificios o sitios de procesamiento sean discretos y tengan un señalamiento mínimo apropiado.

Ubicar las impresoras, copiadoras, etc., en un área protegida(*).

Disponer que las puertas y ventanas permanezcan cerradas, especialmente cuando no haya vigilancia.

5.4.          Protección contra amenazas externas y ambientales.

Almacenar los materiales combustibles o peligrosos a una distancia prudente de las áreas protegidas.

Ubicar los equipos de repuesto y soporte a una  distancia prudente para evitar daños en caso de desastre que afecte las instalaciones principales.

Suministrar el equipo apropiado contra incendios y ubicarlo adecuadamente.

Realizar mantenimientos de las instalaciones eléctricas y UPS.(*)

Realizar mantenimientos en los sistemas de climatización y ductos de ventilación (*).

Adoptar controles para minimizar el riesgo de amenazas físicas potenciales como robo, incendio, explosión, humo, agua, polvo, vibración, efectos químicos, interferencia del suministro eléctrico e interferencia a las comunicaciones.

5.5.          Trabajo en áreas seguras

Dar a conocer al personal, la existencia de un área segura.

Evitar el trabajo no supervisado para evitar actividades maliciosas.

Revisar periódicamente y disponer de un bloqueo físico de las áreas seguras vacías.

No permitir equipos de grabación, cámaras, equipos de vídeo y audio, dispositivos móviles, etc., a menos de que estén autorizados (*).

5.6.          Áreas de carga, despacho y acceso público

Permitir el acceso al área de despacho y carga, únicamente a personal identificado y autorizado (*).

Descargar y despachar los suministros, únicamente en el área de descarga y despacho.

Asegurar las puertas externas e internas de despacho y carga.

Inspeccionar el material que llega para determinar posibles amenazas.

Registrar el material que llega, de acuerdo a los procedimientos de gestión de activos.

5.7.          Ubicación y protección de los equipos

Ubicar los equipos de modo que se elimine el acceso innecesario a las áreas de trabajo restringidas.

Aislar los servicios de procesamiento de información con datos sensibles y elementos que requieran protección especial, para reducir el riesgo de visualización de la información de personas no autorizadas.

Establecer directrices para no comer, beber y fumar  en las cercanías de las áreas de procesamiento de información (*).

Monitorear las condiciones ambientales de temperatura y humedad.

Tener protección contra descargas eléctricas en todas las edificaciones de la institución y disponer de filtros protectores en el suministro de energía y en las líneas de comunicación.

Disponer de métodos especiales de protección para equipos en ambientes industriales.

5.8.          Servicios de suministro

Implementar y documentar los servicios de electricidad, agua, calefacción, ventilación y aire acondicionado, suministrados a la institución.

Inspeccionar regularmente todos los sistemas de suministro.

Tener un sistema de suministro de energía sin interrupción (UPS) o al menos permitir el cierre/apagado ordenado de los servicios y equipos que soportan las operaciones críticas de los servicios informáticos de la institución (*).

Tener al alcance el suministro de combustible para que el grupo electrógeno pueda funcionar mientras dure la suspensión del suministro eléctrico público.

Disponer de los interruptores de emergencia cerca de las salidas, para suspender el paso de energía eléctrica, en caso de un incidente o problema.

5.9.          Seguridad del cableado

Disponer de líneas de fuerza (energía) y de telecomunicaciones subterráneas protegidas, en cuanto sea posible.

Proteger el cableado de la red contra la interceptación o daño.

Separar los cables de energía de los cables de comunicaciones.

Identificar y rotular los cables de acuerdo a normas locales o internacionales para evitar

 

Change password



Loading..